#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Shai-Hulud 2.0, обнаруженная в августе 2025 года, использовала уязвимость GitHub Actions injection в экосистеме NPM, что позволило злоумышленникам извлекать токены публикации NPM и загружать вредоносные пакеты, которые скомпрометировали локальные инструменты искусственного интеллекта. Первоначальный доступ был получен через электронное письмо с фишингом, что привело к распространению вредоносного ПО, представленного Setup_bun.js , который устанавливает постоянное присутствие и крадет токены GitHub, одновременно нарушая работу DNS для эксфильтрации конфиденциальных данных. Этот инцидент выявил значительные уязвимости в Цепочке поставок программного обеспечения, потенциально затрагивающие многочисленные организации, зависящие от NPM.
-----

Атака Shai-Hulud 2.0 использовала уязвимость Цепочки поставок в экосистеме NPM с помощью ошибки внедрения действий на GitHub. Злоумышленники манипулировали заголовком запроса на извлечение, чтобы выполнить команды оболочки и извлечь токены публикации NPM. Были загружены вредоносные версии доверенных пакетов NPM, которые управляли локальными средствами командной строки искусственного интеллекта для поиска конфиденциальной информации. Первоначальный доступ был получен с помощью электронного письма с фишингом, замаскированного под предупреждение системы безопасности NPM. Фреймворк вредоносного ПО включает в себя скрипт загрузки (Setup_bun.js ), который гарантирует наличие среды выполнения Bun JavaScript для выполнения основного вредоносного ПО (bun_environment.js ). После взлома вредоносное ПО крадет токен GitHub жертвы и регистрирует систему как автономный сервер под идентификатором SHA1HULUD с помощью вредоносного рабочего процесса. Он предпринимает попытку повышения привилегий с помощью проверок доступа sudo и использования Docker путем изменения файла sudoers. Вредоносное ПО нарушает разрешение DNS, останавливая службу, разрешенную systemd, и перенаправляя вызовы на контролируемые злоумышленником DNS-серверы. Эксфильтрация данных осуществляется путем кодирования конфиденциальной информации в double Base64 и загрузки ее в хранилища, контролируемые злоумышленниками. Если не удается пройти аутентификацию или создать хранилище, вредоносное ПО удаляет содержимое домашнего каталога пользователя. Атака создает риски для организаций, полагающихся на экосистему NPM, подчеркивая уязвимости в инструментах разработчика и рабочих процессах.

#ParsedReport #CompletenessLow
05-12-2025

Malicious Go Packages Impersonate Googles UUID Library and Exfiltrate Data

https://socket.dev/blog/malicious-go-packages-impersonate-googles-uuid-library-and-exfiltrate-data

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 4
File: 15

Soft:
Outlook

Algorithms:
aes

Links:
have more...
https://socket.dev/go/package/github.com/bpoorman/uuid
https://socket.dev/go/package/github.com/bpoorman/uid?version=v0.0.0-20210528062104-e068190dd06b

#ParsedReport #CompletenessMedium
04-12-2025

Dangerous Invitations: Russian Threat Actor Spoofs European Security Events in Targeted Phishing Attacks

https://www.volexity.com/blog/2025/12/04/dangerous-invitations-russian-threat-actor-spoofs-european-security-events-in-targeted-phishing-attacks/

Report completeness: Medium

Actors/Campaigns:
Uta0355

Threats:
Spear-phishing_technique
Device_code_phishing_technique
Credential_stealing_technique

Victims:
Microsoft users, Google users, Conference attendees, Volexity customers

Industry:
Government

Geo:
Serbia, Russia, Indo pacific, Russian, Indo-pacific, Belgium

ChatGPT TTPs:
do not use without manual check
T1078.004, T1204.001, T1566.002, T1583.001, T1585.003, T1591

IOCs:
Domain: 7
Url: 11

Soft:
WhatsApp, Microsoft Entra, Linux, Android, Gmail, Volexity Volcano

Algorithms:
base64

Platforms:
apple

Links:
have more...
https://github.com/denniskniep/DeviceCodePhishing
https://github.com/volexity/threat-intel/blob/main/2025/2025-12-03%20UTA0355/iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году российский злоумышленник UTA0355 использовал передовые методы фишинга, нацеленные на пользователей Microsoft 365 и Google, в частности, с помощью OAuth и рабочих процессов с кодом устройства. Они начали операции с использованием мошеннического веб-сайта, связанного с Белградской конференцией по безопасности, используя тактику социальной инженерии, общаясь с лицами, которые отказываются от участия, тем самым расширяя свою сеть потенциальных жертв. Эта стратегия включает в себя запрос дополнительных контактов по электронной почте, что увеличивает общий риск компрометации.
-----

В 2025 году российские злоумышленники стали применять все более изощренные методы фишинга, в частности, используя OAuth Microsoft 365 и рабочие процессы аутентификации по коду устройства. Анализ Volexity показывает, что эти акторы постоянно ориентируются на пользователей платформ Microsoft и Google, адаптируя свои методы и темы для социальной инженерии, чтобы повысить их эффективность. Несмотря на предыдущие предупреждения, распространенность этих методов свидетельствует о тенденции, которая продолжает развиваться.

Злоумышленники расширили свои операции по фишингу, используя учетную запись Gmail для отправки электронных писем с Целевым фишингом, связанных с мошенническим веб-сайтом, bsc2025.org , которая ложно представляет себя связанной с Белградской конференцией по безопасности. Эта тактика иллюстрирует преднамеренную попытку использовать законные ассоциации событий для обмана целей, демонстрируя сочетание социальной инженерии и веб-Имперсонации.

Более того, злоумышленник, идентифицированный под кодовым именем UTA0355, демонстрирует стратегию расширения своего охвата путем общения с теми, кто отказывается от участия в поддельном мероприятии. После ответа потенциальной жертвы, указывающего, что они не могут присутствовать, UTA0355 извлекает выгоду из этого взаимодействия, поощряя их регистрироваться для получения обновлений, а также запрашивая дополнительные имена и Адреса эл. почты заинтересованных коллег. Эта тактика не только способствует более эффективному нацеливанию, но и оказалась успешной в расширении сети потенциальных жертв злоумышленника. В некоторых случаях сообщалось даже о случаях социального знакомства жертв, что еще больше усугубляло риск.

#ParsedReport #CompletenessHigh
05-12-2025

Weyhro C2: Because Ransomware Wasnt Paying the Bills Anymore

https://lumma-labs.com/weyhro-c2-because-ransomware-wasnt-paying-the-bills-anymore-b136fd7ef100?gi=0d5f4ec2222c

Report completeness: High

Threats:
Weyhro-c2_tool
Lumma_stealer
Residential_proxy_technique
Proxychains_tool
Hvnc_tool
Polymorphism_technique
Process_injection_technique
Process_hollowing_technique

Victims:
Enterprises, Windows users

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1055.012, T1059.003, T1090.003, T1106, T1140, T1518.001, have more...

IOCs:
File: 4
Path: 3
Hash: 3
IP: 1

Soft:
Event Tracing for Windows, Local Security Authority

Algorithms:
xor, aes-128, chacha20, aes-128-ctr, aes

Functions:
FindFirstFile, FindNextFile, CreateRemoteThread-based, send

Win API:
CreateFileW, GetFileSize, VirtualAlloc, ReadFile, CloseHandle, EtwEventWrite, AmsiScanBuffer, SHGetFolderPathW, GetFileAttributesW, RegOpenKeyExA, have more...

Win Services:
bits

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/WeyhroC2/win\_mal\_weyhroc2.yar?source=post\_page-----b136fd7ef100---------------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Полезная нагрузка Weyhro C2 использует передовые методы обхода, включая шифрование ChaCha20 для запутывания и Disabling Event Tracing для телеметрии Windows путем перезаписи функции "EtwEventWrite". Он достигает закрепления, копируя себя в каталог AppData, и использует Внедрение в пустой процесс для ввода кода в `cmd.exe `, и все это при использовании hidden VNC для необнаруженной работы. Вредоносное ПО включает в себя возможности для извлечения заявок Kerberos и устанавливает прокси-сервер SOCKS5 для маршрутизации трафика, хотя его передача данных по управлению, в частности, незашифрована, что создает потенциальный риск перехвата.
-----

Полезная нагрузка Weyhro C2 является примером сложного подхода к киберугрозам, в основном использующего различные методы уклонения и функциональные возможности, которые подчеркивают его злонамеренный умысел. Он использует шифрование ChaCha20 для запутывания путей к файлам, в частности для расшифровки целевых путей к файлам, таких как `C:\Windows\System32\ntdll.dll `. Он отключает отслеживание событий для телеметрии Windows (ETW) путем прямой перезаписи функции 'EtwEventWrite` в ntdll.dll , облегчающий скрытное поведение во время работы.

Для закрепления Weyhro C2 копирует себя в каталог AppData пользователя, заменяя любой существующий файл, чтобы обеспечить чистую установку. Это выполняется с помощью прямых вызовов API, проверки наличия существующих файлов с помощью `GetFileAttributesW` и выполнения удалений при необходимости.

Одним из ключевых методов атаки, используемых этой полезной нагрузкой, является Внедрение в пустой процесс. Он расшифровывает путь для `cmd.exe `, затем запускает его в подвешенном состоянии. Это позволяет полезной нагрузке внедрять свой код в законный процесс, выполняя операции, не вызывая немедленных подозрений. В сочетании с этим полезная нагрузка включает функцию скрытых виртуальных сетевых вычислений (HVNC), создающую невидимый сеанс рабочего стола для evasion, который позволяет приложениям запускаться незамеченными жертвой.

Кроме того, Weyhro C2 интегрирует возможности для извлечения билетов Kerberos, используя локальные службы безопасности (LSA) для сбора конфиденциальной аутентификационной информации. Загрузчик уникальным образом разрешает функции Windows API с помощью поиска по хэшу DJB2 вместо типичных таблиц импорта, добавляя еще один уровень скрытности.

Коммуникация по управлению (C2) примечательна использованием незашифрованного открытого текста, несмотря на использование внутреннего шифрования для запутывания строк. Эта уязвимость может подвергнуть трафик полезной нагрузки перехвату, потенциально раскрывая оперативную информацию защитникам.

Кроме того, команды C2 включают в себя различные функциональные возможности, такие как установка прокси-сервера SOCKS5 для маршрутизации трафика с скомпрометированного компьютера, создание обратной оболочки для выполнения команд и реализация механизма сердцебиения для поддержания соединения с сервером C2. Возможности Внедрения кода в процесс еще больше расширяются благодаря классическим методам, таким как "CreateRemoteThread", подчеркивающим способность полезной нагрузки выполнять свои команды в контексте законных процессов.

Weyhro C2 отражает полный набор функций, предназначенных для скрытности, закрепления и эксплуатационной гибкости, что представляет значительные риски для затронутых сетей.

#ParsedReport #CompletenessLow
04-12-2025

Decoding Brickstorms Garble strings

https://medium.com/walmartglobaltech/decoding-brickstorms-garble-strings-b0a60828b3cc?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Brickstorm
Garble_tool

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Brickstorm - это киберугроза, характеризующаяся использованием методов обфускации, в частности, кодированием полезной нагрузки с помощью "Garble strings", чтобы избежать обнаружения. Вредоносное ПО, по-видимому, использует передовые методы атаки, возможно, используя уязвимости программного обеспечения для получения первоначального доступа. Постоянный мониторинг и анализ его развивающихся возможностей имеют решающее значение, поскольку вредоносное ПО может адаптировать свои методы для обхода мер безопасности.
-----

Brickstorm - заметная киберугроза, которая в последнее время привлекла к себе внимание. Анализ образца, связанного с Brickstorm, загруженного на VirusTotal, позволяет получить важную техническую информацию о его работе и характеристиках.

Вредоносное ПО использует методы обфускации, чтобы избежать обнаружения и анализа. Он использует "garble strings" в качестве метода кодирования своей полезной нагрузки, что затрудняет традиционным решениям безопасности определение его истинного назначения и функциональности. Этот метод обфускации предполагает, что вредоносное ПО разработано с учетом скрытности, направленной на то, чтобы избежать эвристического обнаружения и обнаружения на основе сигнатур средствами безопасности.

Кроме того, поведение Brickstorm указывает на то, что он может использовать передовые методы атаки для компрометации систем. Это включает в себя возможность использования уязвимостей в программном обеспечении для получения первоначального доступа. Хотя конкретные уязвимости не были подробно описаны в анализе, подразумевается, что злоумышленники могут постоянно сканировать системы на наличие незащищенных систем или использовать известные эксплойты для развертывания вредоносного ПО Brickstorm.

Понимание механизмов, лежащих в основе обфускации Brickstorm's, может помочь специалистам по безопасности в разработке более совершенных методов обнаружения. Анализируя закодированные строки и поведение, проявляемое вредоносным ПО, исследователи могут создавать более индивидуальные сигнатуры для стратегий обнаружения и реагирования.

Более того, в отчете подчеркивается важность мониторинга и анализа вновь обнаруженных образцов Brickstorm, поскольку его возможности и методы могут эволюционировать с течением времени. Этот постоянный анализ имеет решающее значение для поддержания в актуальном состоянии средств защиты от таких постоянных угроз. Таким образом, Brickstorm представляет собой развивающуюся киберугрозу, которая использует сложные методы для поддержания скрытности, подчеркивая необходимость постоянной бдительности и инноваций в мерах киберзащиты.

#ParsedReport #CompletenessHigh
05-12-2025

UDPGangster Campaigns Target Multiple Countries

https://www.fortinet.com/blog/threat-research/udpgangster-campaigns-target-multiple-countries

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Udpgangster
Phoenix_keylogger

Victims:
Government, Organizations

Industry:
Government

Geo:
Israel, Middle east, Azerbaijan, Israeli, Turkish, Cyprus, Turkey

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1095, T1204.002, T1566.001

IOCs:
Domain: 1
File: 18
Path: 3
Registry: 1
IP: 2
Url: 2
Hash: 12

Soft:
Microsoft Word, VirtualBox, QEMU

Algorithms:
zip, base64

Functions:
Document_Open, SmartToggle

Win API:
CreateProcessA, GetLogicalProcessorInformation, GlobalMemoryStatusEx, GetAdaptersInfo, GetModuleHandleA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании UDPGangster, приписываемые хакерской группировке MuddyWater, используют передовые методы доставки, такие как механизмы на основе макросов, встроенные в документы, для проведения атак с помощью фишингов электронных писем, которые выдают себя за официальные источники. Связанное с ним вредоносное ПО представляет собой бэкдор на основе UDP, который взаимодействует со своим сервером C2 по протоколу пользовательских дейтаграмм и использует методы антианализа, чтобы избежать обнаружения. Нацеленные на организации в таких регионах, как Израиль, Азербайджан и Турция, эти кампании свидетельствуют о высоком уровне изощренности и координации, типичных для спонсируемых государством акторов.
-----

Кампании UDPGangster раскрывают использование передовых методов доставки и изощренных методов уклонения, связанных с хакерской группировкой MuddyWater. Прежде всего, в этих кампаниях используются механизмы доставки на основе макросов, которые часто встраиваются в документы в качестве средства инициирования атак. Электронные письма с фишингом, используемые в этих кампаниях, выдают себя за заслуживающие доверия источники, такие как Министерство иностранных дел Турецкой Республики Северного Кипра. Получателей заманивают на онлайн-семинар на тему "Президентские выборы и их результаты" с помощью электронных писем, содержащих вложения с названием seminer.doc и seminer.zip . Адрес отправителя составлен таким образом, чтобы максимально походить на официальное сообщение, а содержание представлено на официальном турецком языке для придания аутентичности.

Вредоносное ПО, связанное с UDPGangster, идентифицируется как бэкдор на основе UDP, который взаимодействует со своим сервером управления (C2), используя протокол пользовательских дейтаграмм (UDP). Обозначение "UDPGangster" происходит от пути к базе данных встроенных программ (PDB), найденного в файлах образцов, что указывает на предысторию разработки, связанную с исполняемым файлом. Эти пути примечательны и предполагают общую родословную различных вредоносных документов, что еще больше указывает на одних и тех же злоумышленников. Например, другой исполняемый файл, обнаруженный в отдельном вредоносном документе, содержит аналогичный путь к PDB.

UDPGangster использует различные методы антианализа, предназначенные для предотвращения обнаружения исследователями безопасности и автоматизированными системами анализа. Эти методы включают проверки, которые определяют, анализируется ли среда, тем самым позволяя вредоносному ПО изменять свое поведение, чтобы эффективно уклоняться от обнаружения. Эта возможность подчеркивает изощренность и намерение, стоящие за дизайном UDPGangster's, и представляет значительную угрозу для целевых организаций.

Кампании продемонстрировали, что они нацелены на организации в конкретных регионах, включая Израиль, Азербайджан и Турцию, что указывает на согласованные усилия группы MuddyWater. Общая инфраструктура и сходство кода предполагают более высокий уровень организации и планирования, типичный для спонсируемых государством злоумышленников, что еще раз подчеркивает серьезный характер рисков, связанных с такими кампаниями.

#ParsedReport #CompletenessHigh
05-12-2025

French NGO Reporters Without Borders targeted by Calisto in recent campaign

https://blog.sekoia.io/ngo-reporters-without-borders-targeted-by-calisto-in-recent-campaign/

Report completeness: High

Actors/Campaigns:
Calisto (motivation: cyber_espionage)
Seaborgium
Gamaredon
Fancy_bear

Threats:
Spear-phishing_technique
Clickfix_technique
Supply_chain_technique
Credential_harvesting_technique
Evilginx_tool
Aitm_technique

Victims:
Reporters without borders, Nonprofit organizations, Media organizations, Journalism support organizations, Entities supporting ukraine

Industry:
Military, Logistic, Ngo

Geo:
Ukraine, Australia, New zealand, Russia, Russian, Usa, Ukrainian, French

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1204.001, T1204.002, T1566.001, T1583.001

IOCs:
Email: 1
Domain: 86
File: 1
Url: 7
IP: 1

Soft:
Twitter, ProtonMail, ProtonDrive, Nginx

Algorithms:
zip

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года вторжение Calisto нацелилось на "Репортеров без границ", используя тактику spear phishing, которая включала сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как ClickFix. Попытки фишинга включали электронные письма, имитирующие доверенные контакты, и использовали специально разработанный набор для фишинга, предназначенный для обмана пользователей ProtonMail, используя метод Злоумышленника посередине для ретрансляции двухфакторной аутентификации. Операция продемонстрировала постоянный интерес Calisto's к политически мотивированным объектам, в первую очередь организациям, поддерживающим Украину.
-----

В мае и июне 2025 года группа взломщиков, известная как Calisto, также известная как ColdRiver или Star Blizzard, нацелилась на французскую неправительственную организацию "Репортеры без границ" (RSF) с помощью серии попыток spear phishing. Эта кампания согласуется с установленными Calisto's тактиками, техниками и процедурами (TTP), в первую очередь включающими сбор учетных записей и потенциальное выполнение кода с помощью таких методов, как техника ClickFix. Эти атаки конкретно нацелены на организации, поддерживающие Украину, что указывает на постоянный интерес актора к политически мотивированным целям.

Операция против "Репортеров без границ" началась в марте 2025 года, когда неправительственная организация сообщила о подозрительном электронном письме с фишингом, полученном одним из ее основных членов. Электронное письмо было отправлено с адреса ProtonMail, созданного для имитации доверенного контакта, с просьбой ознакомиться с несуществующим документом. Эта распространенная тактика в кампаниях Calisto's направлена на то, чтобы побудить получателя запросить недостающий файл, и в этот момент злоумышленник может отправить фактическую вредоносную полезную нагрузку в последующем сообщении. Сообщение о фишинге было составлено на французском языке и сопровождалось соответствующей подписью предполагаемого доверенного лица, однако вместо активного PDF-файла в нем содержалась неработающая ссылка.

В отдельном инциденте злоумышленники попытались обмануть другую жертву, прикрепив файл, помеченный как PDF. Однако этот файл представлял собой ZIP-архив, неверно представленный как PDF, что еще больше усложняло возможность жертвы запустить файл и усиливало уловку фишинга.

Анализ набора для фишинга показал, что он был специально создан для нацеливания на учетные записи ProtonMail, размещенные в домене, связанном с злоумышленником. Этот набор обладал уникальными характеристиками, которые не были связаны с известными фреймворками, такими как Evilginx, что подчеркивало его самодельный характер. Примечательно, что он использовал метод Злоумышленника посередине (AiTM) для ретрансляции двухфакторной аутентификации, который облегчает внедрение вредоносного JavaScript на страницы фишинга для входа в систему.

С точки зрения инфраструктуры, в недавних кампаниях Calisto's использовались серверы двух типов: в одной группе размещались веб-страницы для фишинга, в то время как другая функционировала как конечные точки API. Базовый анализ Passive DNS и сервисов позволил идентифицировать домены, используемые в этих кампаниях по фишингу, выявив операционную структуру, которая поддерживает постоянные усилия Calisto's по кибершпионажу и краже учетных данных.

#ParsedReport #CompletenessLow
05-12-2025

Weekly Threat Infrastructure Investigation(Week48)

https://disconinja.hatenablog.com/entry/2025/12/05/234503

Report completeness: Low

Threats:
Venomrat
Cobalt_strike_tool
Viper
Sliver_c2_tool
Octopus

Geo:
Japan

IOCs:
IP: 7

#ParsedReport #CompletenessMedium
05-12-2025

Atomic Stealer: Darktraces Investigation of a Growing macOS Threat

https://www.darktrace.com/blog/atomic-stealer-darktraces-investigation-of-a-growing-macos-threat

Report completeness: Medium

Threats:
Amos_stealer
Clickfix_technique
Realst

Victims:
Education sector, Apple users

Industry:
Education

Geo:
Americas, Apac, Africa, Asia pacific, Emea, Netherlands, Middle east

TTPs:
Tactics: 2
Technics: 3

IOCs:
IP: 4
File: 1

Soft:
macOS, Telegram, cURL

Wallets:
electrum

Algorithms:
base64, zip

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4