#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 9, dump: 7, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Криптер Shanya, появившийся в конце 2024 года, является важным пакетным сервисом, используемым группами вымогателей для маскировки вредоносного ПО, сменив HeartCrypt. Он использует блок среды процесса (PEB) для хранения данных и использует методы динамического разрешения Windows API, расширяя возможности уклонения. Связанная с кампанией CastleRAT, нацеленной на гостиничный сектор, Shanya действует как EDR killer, подрывая меры безопасности и создавая серьезную угрозу.
-----

Появление шифровальщика Shanya представляет собой значительное развитие в предложениях "упаковщик как услуга" в экосистеме киберпреступников, особенно пользующихся популярностью у групп вымогателей. Первоначально упоминавшийся на подпольных форумах ближе к концу 2024 года, Shanya получил признание за свою способность маскировать вредоносное ПО, сменив более ранний сервис HeartCrypt. Ранние образцы шифровальщика Shanya содержали идентифицируемые артефакты, такие как исполняемый файл с именем shanya_crypter.exe , подчеркивая его специфическую функцию в среде вредоносного ПО.

Географически к концу 2025 года в Shanya было зафиксировано широкое распространение инфекций во всех четырех полушариях, хотя некоторые страны сообщили о более высоких показателях заболеваемости на душу населения. Глубоко техническая разработка Shanya включает в себя использование блока среды процесса (PEB) для безопасного хранения важных данных, таких как адреса API, что помогает выполнять полезную нагрузку без обнаружения. Вредоносное ПО динамически разрешает функции Windows API путем анализа структуры PEB_LDR_DATA, используя пользовательский алгоритм хэширования, который меняется в зависимости от каждого образца, тем самым улучшая методы обхода.

Shanya включает в себя различные анти-анализ меры, такие как вызов RtlDeleteFunctionTable с недопустимые аргументы для создания необработанных исключений, если программа запускается в отладчике. Эта тактика направлена на то, чтобы помешать как автоматическому, так и ручному анализу, тем самым сохраняя его функциональность до тех пор, пока не будет выполнена вредоносная полезная нагрузка.

Само вредоносное ПО связано с кампанией распространения, известной как CastleRAT, которая, как сообщается, нацелена на гостиничный сектор. В этих атаках Shanya служит защитным слоем для вредоносного ПО, специально классифицируемого как средство уничтожения EDR (Endpoint Detection and Response), целью которого является подрыв мер безопасности, что делает вредоносное ПО особенно опасным.

Для борьбы с этими угрозами Sophos определила несколько сигнатур обнаружения для Shanya, включая варианты с маркировкой ATK/Shanya-B, ATK/Shanya-C и ATK/Shanya-D для борьбы с этими угрозами. Продолжающаяся эволюция предложений packer-as-a-service в сочетании с EDR killers предполагает наличие постоянной угрозы, обусловленной финансовыми стимулами для киберпреступников. Эти события указывают на то, что такие сложные типы вредоносного ПО, вероятно, будут продолжать развиваться и создавать проблемы для кибербезопасности в будущем.

#ParsedReport #CompletenessMedium
05-12-2025

CVE-2025-55182 (React2Shell) Opportunistic Exploitation In The Wild: What The GreyNoise Observation Grid Is Seeing So Far

https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far

Report completeness: Medium

Threats:
React2shell_vuln
Mirai
Amsi_bypass_technique

Victims:
Web applications, Software development platforms

Geo:
Netherlands, Hong kong, China

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1082, T1105, T1190

IOCs:
File: 9
Command: 6
Url: 5
Domain: 3
IP: 1
Coin: 1

Soft:
Slack, Chrome, curl

Functions:
GetField, SetValue

Win Services:
Webclient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, или React2Shell, используется злоумышленниками, которые нацеливаются на логику приложения с производственными разрешениями, что позволяет легко обнаруживать и использовать его с помощью таких инструментов, как BuiltWith и Wappalyzer. Эксплойты обычно начинаются с сканирования на наличие уязвимостей с использованием автоматизированных методов, включая низкоуровневые команды PowerShell для проверки выполнения. Эта кампания отражает современную тактику, направленную на кражу учетных данных, криптомайнинг, внедрение программ-вымогателей и продажу доступа к скомпрометированным средам, с акцентом на высокопроизводительные эксплойты.
-----

CVE-2025-55182, также известный как React2Shell, был идентифицирован как объект оппортунистической эксплуатации. Эта уязвимость важна, поскольку React2Shell позволяет злоумышленникам напрямую взаимодействовать с логикой приложения, которая часто работает с производственными разрешениями. Злоумышленники могут легко обнаруживать и эксплуатировать незащищенные сервисы, используя такие инструменты, как BuiltWith и Wappalyzer, что приводит к широкомасштабным и системным компрометациям.

Начальные этапы эксплуатации обычно включают в себя оппортунистические процессы сканирования и проверки, характеризующиеся выполнением "дешевых математических" команд PowerShell, предназначенных для проверки proof-of-execution (PoE). Наблюдаемый трафик указывает на то, что в кампаниях доминирует автоматизация, при этом заметные строки пользовательского агента, такие как "Assetnote/1.0.0 в Chrome 60", сигнализируют о системном подходе к поиску уязвимостей.

Кампания демонстрирует характеристики, типичные для современной оперативной тактики, хотя она была описана как "не новая" и "несерьезная". Эти операции часто приводят к целому ряду вредоносных последствий, включая кражу учетных данных, попытки криптомайнинга, внедрение программ-вымогателей или перепродажу доступных сред другим злоумышленникам. Акцент на высокопроизводительные эксплойты соответствует современным стратегиям атак, где целью часто является максимальное воздействие за счет автоматизации и широкого использования.

Чтобы улучшить обнаружение и реагирование, группам безопасности следует сосредоточиться на мониторинге действий конечных точек, особенно на создании процессов и помеченных операциях, использующих закодированные команды PowerShell в сочетании с другими подозрительными примитивами. Такое проактивное наблюдение может помочь выявить и смягчить воздействие такого рода кампаний до того, как они перерастут в более серьезные угрозы.

#ParsedReport #CompletenessMedium
03-12-2025

Investigating Indonesias Gambling Ecosystem: Indicators of National-Level Cyber Operations

https://www.malanta.ai/blog-posts/investigating-indonesias-gambling-ecosystem-indicators-of-national-level-cyber-operations

Report completeness: Medium

Threats:
Typosquatting_technique
Credential_harvesting_technique
Gsocket_tool
Domain_fronting_technique

Victims:
Government, Education, Healthcare, Manufacturing, Transport

Industry:
Healthcare, Government, E-commerce, Education, Financial

Geo:
Chinese, Mexican, Ecuador, Apac, Indonesia, Asia, Indonesian

TTPs:
Tactics: 7
Technics: 11

IOCs:
Url: 1
File: 4
Domain: 2

Soft:
Android, WordPress, Slack, Instagram, TikTok, WhatsApp, Docker, ORB network, NGINX

Languages:
php

Links:
https://github.com/malanta-ai/iopas/tree/main/Indonesian-Gambling-Infrastructure

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2, code: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая государством операция по борьбе с киберпреступностью в Индонезии, связанная с сложной целенаправленной угрозой (APT), действует уже более 14 лет и в основном сосредоточена на незаконных азартных играх. Операция включает в себя масштабный захват домена, использование уязвимостей в приложениях WordPress и PHP для перенаправления пользователей на сайты азартных игр с использованием бэкдоров, таких как GSocket, для постоянного доступа. Кроме того, тысячи вредоносных APK-файлов распространяются через скомпрометированную экосистему Android, при этом значительное количество украденных учетных данных собирается и продается на подпольных рынках.
-----

Исследование выявило масштабную операцию по борьбе с киберпреступностью, спонсируемую государством в Индонезии, которая действует уже более 14 лет и в значительной степени связана с незаконными азартными играми. Эта инфраструктура, относящаяся к сложной системе защиты от сложных целенаправленных угроз (APT), работает с замечательными ресурсами, типичными для акторов государственного уровня, и состоит из более чем 328 000 доменов, включая 90 125 взломанных доменов и 236 433 купленных домена. Кампания использует обширные методы захвата доменов, в первую очередь нацеленные на организации и государственные учреждения из различных секторов. Показатели его деятельности включают использование обратных прокси-серверов, завершающих работу по протоколу TLS, для сокрытия трафика command and control (C2) и облегчения кражи файлов cookie на скомпрометированных сайтах.

Методы эксплуатации APT в основном связаны с использованием уязвимостей в приложениях на базе WordPress и PHP. Злоумышленники получают доступ к законным веб-сайтам с помощью этих уязвимостей, перехватывая существующий контент, чтобы перенаправить пользователей на азартные игры. Это включает в себя создание новых каталогов на затронутых сайтах для размещения спам-контента и установку бэкдоров, в частности, использование бэкдора, известного как GSocket, для постоянного доступа. Кроме того, злоумышленники также манипулируют просроченными записями DNS и зависшими доменами, чтобы укрепить свои позиции.

Значительная часть этой операции связана с вредоносной экосистемой Android, размещенной на AWS S3, где распространяются тысячи файлов APK, предназначенных как для кражи данных, так и для направления пользователей на сайты азартных игр. Исследование выявило более 51 000 украденных учетных данных, связанных с этой инфраструктурой, часто собранных со взломанных игровых платформ и зараженных устройств, которые затем продаются на подпольных рынках.

Рекламные аспекты сайтов азартных игр также были в значительной степени интегрированы в различные платформы Социальных сетей, со значительной заметностью в таких сетях, как Facebook, Instagram, TikTok и других, что указывает на сложную рекламную стратегию привлечения пользователей.

Архитектура операции предполагает намерения замаскировать возможности C2 за фасадом азартных игр, что потенциально служит двойным целям для акторов — способствовать незаконному азартному играм, а также участвовать в более широкой киберпреступной деятельности. Важнейшие показатели деятельности этого актора указывают на его глубокие связи в регионе Азиатско-Тихоокеанского региона, что позволяет предположить наличие в нем сотрудников, говорящих на индонезийском и, возможно, на китайском языках.

Контрмеры включают в себя надежный аудит DNS на наличие уязвимостей, усовершенствование протоколов безопасности для конфиденциальных веб-приложений и обнаружение вредоносной инфраструктуры с помощью сетевой аналитики для выявления необычных моделей исходящего трафика. Комплексный характер инфраструктуры требует повышенной бдительности и упреждающих мер по снижению воздействия и устранению рисков поглощения, связанных с захваченными доменами и скомпрометированными учетными данными.

#ParsedReport #CompletenessMedium
08-12-2025

Operation Tornado: Cyber Espionage Against Domestic Xinchuang Platforms

https://mp.weixin.qq.com/s/qcsO7RYvM1gTGnjeianfPw

Report completeness: Medium

Actors/Campaigns:
Operation_tornado (motivation: cyber_espionage)
Oceanlotus (motivation: cyber_espionage)
Operation_typhoon (motivation: cyber_espionage)
Nighteagle (motivation: cyber_espionage)
Utg-q-008 (motivation: cyber_espionage)
Hurricane (motivation: cyber_espionage)
Transparenttribe (motivation: cyber_espionage)
Operation_oceanstorm (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
Government networks, Cctf platforms, Domestic xinchuang platforms, Homegrown systems

Industry:
Government, Iot, Energy

Geo:
China, Asia-pacific, India

ChatGPT TTPs:
do not use without manual check
T1041, T1566

IOCs:
File: 3
Hash: 9

Soft:
Linux, Openssl, pyinstaller

Algorithms:
zip, md5

Win API:
CreateThread

Win Services:
bits

Languages:
python, rust, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Tornado - это заметная кампания кибершпионажа, нацеленная на внутренние платформы Sintron в Китае, в частности на терминалы CCTF, которые содержат конфиденциальные правительственные данные. Первоначально связанная с группой Sea Lotus, она привлекла внимание нескольких APT-группировок, таких как APT-Q-95 и UTG-Q-008, целью которых является получение несанкционированного доступа к критически важной информации для потенциального влияния на национальную политику. Это подчеркивает уязвимости в государственных инфраструктурах обработки данных, эксплуатируемые спонсируемыми государством кибер-акторами.
-----

Operation Tornado представляет собой масштабную кампанию кибершпионажа, направленную в первую очередь на внутренние платформы Sintron в Китае. Первоначально сообщалось в 2022 году, эта операция была первой, связанных с Sea Lotus группы во время их нападения на внутренних систем, особенно консультативным комитетом времени и частоты терминалов. Эти терминалы имеют решающее значение, так как они хранят конфиденциальные данные, относящиеся к деятельности правительства.

Последующий мониторинг выявил, что различные APT-группировка с расширенными возможностями защиты от постоянных угроз (advanced persistent threat), включая APT-Q-95 и UTG-Q-008, а также неустановленная группа, продолжали атаковать эти платформы CCTF и связанные с ними правительственные сети. Цель, стоящая за этими атаками, заключается в получении несанкционированного доступа к ценным правительственным данным, которые могут быть использованы для понимания национальной политики и стратегических разработок или вмешательства в них. Акцент на внутренних платформах подчеркивает сохраняющиеся уязвимости в инфраструктурах государственных данных и подчеркивает постоянную угрозу, исходящую от спонсируемых государством кибер-акторов, стремящихся использовать эти слабые места в целях шпионажа.

#ParsedReport #CompletenessMedium
08-12-2025

APT44 - Sandworm Team

https://blog.synapticsystems.de/apt44-sandworm-team/

Report completeness: Medium

Actors/Campaigns:
Sandworm (motivation: information_theft, sabotage, cyber_espionage)

Threats:
Spear-phishing_technique
Credential_dumping_technique
Adminer
Prestige_ransomware
Killdisk
Olympic_destroyer
Eternal_petya
Industoyer2
Credential_harvesting_technique
Chisel_tool
Swiftslicer
Vpnfilter
Kalambur
Brushpass
Sharpivory
Arguepatch_loader
Lolbin_technique

Victims:
Government organizations, Military, Critical infrastructure, High value private sector, Western corporations, Defense contractors

Industry:
Ics, Military, Critical_infrastructure, Energy, Government, Aerospace

Geo:
Ukrainian, Russia, Russian

TTPs:
Tactics: 13
Technics: 34

Soft:
Windows Service, Systemd, Android, Active Directory

Algorithms:
base64, gzip

Languages:
powershell, visual_basic

Links:
https://github.com/Mr128Bit/apt-malware-samples/tree/main/APT44/VPNFilter
have more...
https://github.com/Mr128Bit/apt-malware-samples/tree/main/APT44/Industroyer
https://github.com/Mr128Bit/apt-malware-samples/tree/main/APT44/Kalambur

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT44, связанная с российским ГРУ, нацелена на западные корпорации и правительственные учреждения для киберсаботажа и кражи данных с использованием специальных инструментов и вредоносного ПО. Их операции основаны на тактике living-off-the-land, вредоносном ПО для модульных маршрутизаторов и деструктивных очистителях, нацеленных на промышленные системы управления, что приводит к значительным сбоям в работе критически важной инфраструктуры. APT44 уделяет большое внимание оперативной безопасности, используя методы защиты от обнаружения и приурочивая свои атаки к геополитическим событиям для достижения своих целей.
-----

APT44, также известная как команда Sandworm, - это APT-группировка, связанная с российской военной разведкой, ГРУ (MUN 74455). С 2004 года эту группу целей, в первую очередь западных корпораций, государственных учреждений и оборонных подрядчиков с мотивацией вокруг диверсий и кражи данных кибер. Операции APT44's характеризуются сочетанием настраиваемых инструментов и распространенного вредоносного ПО с методами, которые используют существующие системы, позволяя им поддерживать долгосрочный доступ к своим целям.

Команда Sandworm использует множество сложных методов, включая тактику living-off-the-land, которая использует существующие инструменты в системах, в которые они проникают, чтобы избежать обнаружения. Их подход к кибероперациям включает в себя как сбор разведывательных данных, так и подрывные действия. Известно, что, когда их цели требуют саботажа, они используют модульное вредоносное ПО для маршрутизаторов, деструктивные очистители и специализированные наборы инструментов, нацеленные на промышленные системы управления (ICS). Эта способность позволяет им проводить операции, которые могут значительно подорвать критически важную инфраструктуру.

Их кампании отличаются сильным акцентом на оперативную безопасность, включая тактику защиты от "песочницы" и антианализа, чтобы предотвратить обнаружение с помощью мер безопасности. Сроки их кибератак стратегически согласованы с геополитическими событиями, что позволяет предположить, что их действия не только технически мотивированы, но и обусловлены более широкими национальными целями. В целом, APT44 представляет собой изощренного злоумышленника, способного выполнять сложные кибероперации с высоким уровнем осмотрительности и целеустремленности.

#ParsedReport #CompletenessLow
07-12-2025

LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak

https://cybersecuritynews.com/lockbit-5-0-infrastructure-exposed/

Report completeness: Low

Threats:
Lockbit
Winrm_tool

Geo:
Russian, Iceland

IOCs:
IP: 1
Domain: 1
File: 1

Soft:
Twitter

Algorithms:
xchacha20

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Раскрытие инфраструктуры LockBit 5.0, включая IP-адрес 205.185.116.233 и домен karma0.xyz, раскрывает подробности о его операционной среде и подчеркивает усилия по разведке против этой группы программ-вымогателей. LockBit 5.0 известен своими возможностями самораспространения и обширной эксфильтрацией данных, ориентированной на различные отрасли промышленности. Идентификация ее инфраструктуры может облегчить действия аналитиков по кибербезопасности и правоохранительных органов по пресечению деятельности группы.
-----

Недавнее разоблачение ключевой инфраструктуры LockBit 5.0 раскрыло важные подробности о ее операционной среде, включая конкретный IP-адрес 205.185.116.233 и домен karma0.xyz, который служит хостингом для последних утечек данных группы вымогателей. Этот инцидент подчеркивает разведка и усилий, сопоставления против LockBit вымогателей-а-а-сервис, который существенно вектор угрозы в кибер пейзаж.

LockBit 5.0, последняя версия LockBit ransomware, известна своими возможностями самораспространения и ориентирована на различные отрасли промышленности для обширной эксфильтрации данных перед шифрованием. Идентификация его инфраструктуры может дать представление аналитикам по кибербезопасности и правоохранительным органам, стремящимся устранить оперативные возможности злоумышленника, стоящего за LockBit. Раскрытие информации может привести к потенциальным операциям по удалению данных с указанного IP-адреса и домена, что нарушит деятельность группы вымогателей и снизит их эффективность.

Нацеливаясь на эти ресурсы и отключая их, защитники могут ослабить работу LockBit, потенциально сводя к минимуму риск, создаваемый для различных организаций, которые часто становятся мишенями атак программ-вымогателей. Постоянный мониторинг и расследование инфраструктуры таких групп вымогателей по-прежнему имеют решающее значение для эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessHigh
08-12-2025

Bellerophonte never dreamed of such a thing. The ChimeraWire Trojan scams the popularity of websites by skillfully pretending to be human Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15090&lng=ru&c=5

Report completeness: High

Threats:
Chimerawire
Dllsearchorder_hijacking_technique
Buster_tool
Nopecha_tool

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 18
Path: 5
Domain: 12
Hash: 24
Url: 12
IP: 2

Soft:
Google Chrome, Windows shell, Linux, macOS, Windows Registry

Algorithms:
aes-gcm, base64, zip

Languages:
python, visual_basic, powershell

Links:
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Trojan.ChimeraWire/README.adoc
https://github.com/sohaha/zlsgo
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2