#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается методология команды Sekoia по обнаружению угроз и исследованию для автоматизации извлечения конфигурации вредоносного ПО, уделяя особое внимание вредоносному ПО, написанному на Go, такому как Kaiji, которое нацелено на устройства Linux и Интернета вещей. Процесс использует Assemblyline, платформу с открытым исходным кодом, для извлечения критических элементов, таких как домены C2 и IP-адреса, из образцов вредоносного ПО с помощью службы ConfigExtractor. Анализ показывает, как Kaiji распространяется с помощью атак методом перебора по SSH и использует уязвимости, такие как CVE-2022-7954 и CVE-2023-1389, с четким подходом к извлечению конфигурации C2.
-----

Статья служит введением к первой части серии из четырех частей, в которой подробно описывается методология, используемая командой Sekoia по обнаружению и исследованию угроз (TDR) для автоматизации извлечения конфигурации вредоносного ПО. В нем описан систематический подход к идентификации и обработке данных конфигурации из различных образцов вредоносных ПО, включая .NET вредоносное ПО, и использование Capstone для дизассемблирования, демонстрирующий универсальность метода в различных семействах.

Ключевым компонентом этой методологии является Assemblyline, платформа анализа вредоносного ПО с открытым исходным кодом, разработанная Канадским центром кибербезопасности (CCCS). Assemblyline организует процесс анализа вредоносного ПО в несколько служб, причем конкретная служба ориентирована на извлечение конфигурации, которая идентифицирует такие элементы, как домены C2 (Command and Control), IP-адреса, URL-адреса URL-адресов и криптографические материалы в образцах вредоносного ПО. Платформа позволяет интегрироваться с другими системами через API, облегчая автоматическую отправку образцов вредоносного ПО, полученных из honeypots, платформ обмена вредоносным ПО или мониторинга open directory в Assemblyline для анализа.

Служба ConfigExtractor играет жизненно важную роль в этом рабочем процессе, используя библиотеку ConfigExtractor на Python для извлечения конфигураций вредоносного ПО. Он поддерживает различные платформы извлечения, при этом команда TDR использует MACO для своих экстракторов. Компонент обновления постоянно извлекает новые экстракторы из частного репозитория Git и устанавливает необходимые зависимости, чтобы не отставать от появляющихся семейств вредоносных ПО. Сервис также интегрирует общедоступные репозитории для расширения своих возможностей извлечения.

Сосредоточив внимание на конкретном варианте вредоносного ПО под названием Kaiji, который написан на Go и в первую очередь нацелен на системы Linux и устройства Интернета вещей, в статье обсуждается его способ действия, включая первоначальное распространение посредством атак методом перебора SSH и использование таких уязвимостей, как CVE-2022-7954 и CVE-2023-1389. Анализ включал в себя выполнение статического анализа образца вредоносного ПО, чтобы понять его внутреннюю структуру и то, как оно получает доступ к конфигурациям C2. Примечательно, что было замечено, что двоичный файл не запутан, что упрощает обратное проектирование.

В процессе извлечения конфигурации C2 используется подробный метод, который включает итерацию по извлеченным строкам и использование регулярных выражений для идентификации конкретных конфигураций. Процесс фокусируется на строках с префиксом "use ParseCertificate", декодировании любых найденных значений Base64 и синтаксическом анализе полученных данных для извлечения сведений о C2 и порту. Этот структурированный подход иллюстрирует стремление команды TDR автоматизировать извлечение ценной информации из вредоносного ПО, тем самым расширяя их возможности обнаружения угроз.

#ParsedReport #CompletenessMedium
02-12-2025

QuasarRAT Malware Campaign using CVE-2025-6218

https://blog.synapticsystems.de/quasarrat-malware-campaign-using-cve-2025-6218/

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Tinba
Kuaibu8

Victims:
Coinme users

Industry:
Financial

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1105, T1204

IOCs:
Hash: 2
File: 22
Command: 3
Path: 2
Url: 4
Domain: 1

Soft:
Windows remote access

Algorithms:
sha256, gzip, base64

Win Services:
WebClient

Languages:
python, visual_basic

Platforms:
x64

Links:
https://github.com/Levbohol

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампанию вредоносного ПО QuasarRAT, использующую уязвимость WinRAR CVE-2025-6218, позволяющую злоумышленникам распространять вредоносную полезную нагрузку с помощью скрипта на Python с именем Coin.me.py.txt , который извлекает Адреса эл. почты из coinme.com пользователи. Этот скрипт загружает стеганографическое изображение в формате PNG, которое скрывает вредоносные двоичные файлы, выполняя их в памяти, чтобы обойти обнаружение. Кроме того, размещенный на GitHub скрипт Python помогает извлекать полезную нагрузку, связанную с определенным хэшем SHA256.
-----

Недавний анализ образцов вредоносного ПО, использующих уязвимость WinRAR CVE-2025-6218, выявил появление кампании вредоносного ПО QuasarRAT. Эта уязвимость позволяет злоумышленникам использовать недостатки в WinRAR, что приводит к распространению вредоносной полезной нагрузки. Идентифицирован один примечательный образец, на который ссылаются как Coin.me.py.txt , содержит скрипт на Python, предназначенный для извлечения Адресов эл. почты у пользователей coinme.com .

Скрипт работает независимо от антивирусных обнаружений и запрограммирован на загрузку изображения в формате PNG с удаленного сервера. В этом изображении используются методы Стеганографии, встраивающие вредоносные двоичные данные в значения пикселей. После успешного извлечения изображения конечная полезная нагрузка, которая может включать в себя функции для кражи информации или облегчения дистанционного управления, полностью выполняется в памяти, что позволяет избежать традиционных методов обнаружения.

Чтобы помочь в извлечении вредоносной полезной нагрузки, скрытой в изображении, в репозитории GitHub предоставляется скрипт на Python. Этот скрипт упрощает процесс и генерирует файл с меткой stage2_payload.bin, который связан с хэшем SHA256 d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36. Кампания подчеркивает эффективность использования известных уязвимостей и инновационного использования Стеганографии для сокрытия вредоносных действий в, казалось бы, безобидных типах файлов.

#ParsedReport #CompletenessHigh
08-12-2025

Operation FrostBeacon: Multi-Cluster Cobalt Strike Campaign Targets Russia

https://www.seqrite.com/blog/operation-frostbeacon-multi-cluster-cobalt-strike-campaign-targets-russia/

Report completeness: High

Actors/Campaigns:
Frostbeacon (motivation: financially_motivated)
Cobalt
Sidewinder

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Metasploit_tool

Victims:
B2b enterprises, Finance departments, Legal departments

Industry:
Logistic, Government, Financial

Geo:
Russian, Asia, Russian federation, Sri lanka, Russia, Bangladesh, Pakistan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 5
Technics: 12

IOCs:
Domain: 25
Hash: 65
Command: 1
File: 6
Url: 48
Path: 1
IP: 2

Soft:
Microsoft Word, openai

Algorithms:
base64, deflate, zip, md5, gzip, xor

Functions:
GetModuleHandle

Win API:
GetProcAddress, VirtualAlloc, LoadLibraryA, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, table: 1, code: 2, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, распространяющая Cobalt Strike Beacons среди российских организаций финансового и юридического секторов. Он использует фишинг-сообщения электронной почты с вредоносными архивными файлами и использует уязвимость CVE-2017-0199 во вложениях DOCX для выполнения удаленных файлов HTML-приложений. Злоумышленники используют команды PowerShell с обфускацией на уровне символов и сложную трехуровневую технику обфускации, чтобы избежать обнаружения, сочетая в своем подходе техническую эксплуатацию с тактикой социальной инженерии.
-----

Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, выявленная Seqrite Labs, которая специально поставляет Cobalt Strike Beacons организациям на территории Российской Федерации, особенно тем, которые занимаются финансовыми и юридическими операциями. Кампания использует многоуровневую стратегию заражения с двумя различными кластерами: один использует архивные файлы с фишингом, содержащие вредоносные ярлыки, в то время как другой использует уязвимость CVE-2017-0199 с помощью вредоносных вложений DOCX.

Первый кластер инициирует инфекцию через фишинг-письма, которые несут сжимаются архивные файлы. Эти файлы предназначены, чтобы скрыть свою вредоносную нагрузку и избежать обнаружения. В отличие от этого, вторая группа использует файлы DOCX, который эксплуатирует уязвимость CVE-2017-0199, чтобы вызвать редактор формул, что впоследствии позволяет оформлении заявки на удаленной HTML (ОТЗ) файл. Эта уязвимость была центральным пунктом во многих кибератак несмотря на свой возраст, что свидетельствует о сохраняющейся эффективности таргетинга устаревшей недостатки программного обеспечения.

Стейджер Cobalt Strike, используемый в кампании, размещен по русскоязычному URL, "update.ecols.ru ," и дальнейшие разведывательные усилия выявили более 40 похожих URL-адресов для скачивания. Фаза выполнения вредоносного ПО включает в себя команды PowerShell, которые запускаются в скрытом режиме, что делает их невидимыми для пользователей. Примечательно, что злоумышленники используют запутывание на уровне символов (m ^ s ^ h ^ t ^ a) для активации mshta.exe , облегчающий скрытый поиск полезных данных для последующих атак.

Конечная полезная нагрузка PowerShell включает в себя сложную трехуровневую технологию запутывания для задержки обнаружения и защиты своей логики. Начальный этап содержится в сжатой с помощью gzip строке Base64, встроенной в MemoryStream. При распаковке это приводит к созданию вторичного скрипта PowerShell с критическими функциями, необходимыми для продвижения атаки.

Электронные письма с фишингом, используемые в этой операции, создаются таким образом, чтобы выглядеть как законные требования о погашении долга, создавая ощущение срочности и законности. Они угрожают судебным иском, если конкретные платежи не будут произведены к установленному сроку, используя точные формулировки контракта, которые также требуют отправки заверенного заявления о сверке по почте на их официальный адрес. Эта тактика манипулирования направлена на то, чтобы побудить жертв к ответным действиям, облегчая процесс проникновения.

В целом, операция FrostBeacon представляет собой подробные и последовательные усилия по финансово мотивированных хакеров для использования установленных уязвимостей, с использованием современных механизмов доставки и традиционных приемов социальной инженерии для достижения своих целей.

#ParsedReport #CompletenessHigh
09-12-2025

React2Shell: Technical Deep-Dive & In-the-Wild Exploitation of CVE-2025-55182

https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

Report completeness: High

Threats:
React2shell_vuln
Credential_harvesting_technique
Sliver_c2_tool
Xmrig_miner
C3pool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
File: 11
Domain: 2
IP: 13
Url: 26
Hash: 16
Coin: 1

Soft:
curl, Node.js, Docker

Crypto:
monero

Algorithms:
base64, sha1

Functions:
Function, eval

Languages:
python, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182 - критическая уязвимость во фреймворке React2Shell, которую злоумышленники активно используют для таких сценариев, как сбор учетных записей и создание облачных бэкдоров. Эксплуатация включает в себя сложные методы, включая использование автоматизированных сценариев для обхода мер безопасности и получения несанкционированного контроля над системами. Текущие угрозы указывают на значительные риски для целостности облачной инфраструктуры, поскольку злоумышленники используют эту уязвимость для дальнейшего проникновения и вредоносной активности.
-----

В статье представлен всесторонний анализ CVE-2025-55182, критической уязвимости, которая активно эксплуатировалась в дикой природе. Эта уязвимость относится к платформе React2Shell, что приводит к различным сценариям атак, в первую очередь к сбору учетных записей и созданию продвинутых облачных бэкдоров. Техническая разбивка раскрывает механизм эксплойта, иллюстрируя, как злоумышленники могут использовать эту уязвимость для получения несанкционированного доступа и контроля над целевыми системами.

Наблюдалась активная эксплуатация CVE-2025-55182, демонстрирующая настоятельную необходимость для организаций исправления уязвимых систем и снижения рисков. В статье подробно рассматриваются методологии, используемые злоумышленниками, подробно описываются процессы получения первоначального доступа и выполнения полезных нагрузок в облачных средах. Процесс эксплуатации часто включает в себя обход мер безопасности и неправильную настройку, чтобы облегчить развертывание вредоносного ПО для дальнейшего проникновения.

В резюме подчеркивается важность ситуационной осведомленности об этой уязвимости, поскольку она создает значительные риски для целостности облачной инфраструктуры. В нем освещаются сложные методы, лежащие в основе эксплуатации, такие как использование хорошо проработанных сценариев, которые автоматизируют процесс сбора учетных данных и доступа к конфиденциальным ресурсам. Анализ служит важнейшим ресурсом для специалистов по кибербезопасности, стремящихся понять эволюционирующую тактику киберугроз, связанную с фреймворком React2Shell и использованием CVE-2025-55182, и защититься от нее.

#ParsedReport #CompletenessMedium
09-12-2025

LLM's M.O.: F6 analysts examine the attack using PureCrypter and DarkTrack RATs

https://www.f6.ru/blog/purecrypter-darktrack-rat/

Report completeness: Medium

Threats:
Purecryptor
Darktrack
Darktrack_rat
Process_hollowing_technique

Geo:
Norway

IOCs:
File: 12
Hash: 18
Url: 1
Domain: 1
Path: 1
IP: 1

Soft:
Opera_GX, Opera, Telegram, Viber, WhatsApp

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
F6 Threat Intelligence сообщила об атаке с использованием PureCrypter crypter и DarkTrack RAT, связанных с злоумышленником LLM. Вредоносный архив с именем "продукт-44 DSP.rar," обнаруженных на 21 ноября 2025 служит как индикатор компромисс, с PureCrypter запутывание полезной нагрузки, чтобы избежать обнаружения и DarkTrack обеспечивая постоянный доступ к жидкости эксфильтрация. Этот инцидент иллюстрирует сложный подход ЛЛМ в эксплуатируя уязвимости для выполнения скоординированных кибератаках.
-----

F6 Threat Intelligence сообщила о кибератаке с использованием PureCrypter и DarkTrack RAT, связанных с LLM (злоумышленником). 21 ноября 2025 года аналитики обнаружили вредоносный архив под названием "Продукт-44 DSP.rar " (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4) загружен в общедоступную онлайн-"песочницу", которая послужила ключевым показателем компрометации для атаки.

Известно, что PureCrypter является адаптируемым шифровальщиком, который запутывает полезные данные, чтобы избежать обнаружения, в то время как DarkTrack идентифицируется как троян удаленного доступа (RAT), способный предоставлять злоумышленникам постоянный доступ к скомпрометированным системам, облегчая эксфильтрацию данных и манипулирование ими. Комбинация этих инструментов предполагает сложный подход со стороны злоумышленника LLM, использующего методы шифрования, позволяющие оставаться незамеченными при выполнении вредоносных команд на компьютерах жертв.

Расследование освещает тактику, применяемую LLM при использовании этих инструментов, что указывает на постоянную угрозу инфраструктурам безопасности. Изучая характеристики и поведение вредоносного архива, можно получить дополнительную информацию о возможностях и намерениях LLM group, поскольку она продолжает использовать уязвимости и организовывать скоординированные кибератаки. Акцент на непрерывном мониторинге и анализе подчеркивает неотложность реагирования на подобные угрозы в условиях меняющегося ландшафта киберпреступности.

#ParsedReport #CompletenessLow
09-12-2025

Inside the Triada Battle: A Five-Year Investigation and the Security Upgrades It Triggered

https://adex.com/blog/triada-malvertising-case-study/

Report completeness: Low

Threats:
Triada_trojan
Cloaking_technique

Victims:
Advertising technology, Mobile users

Industry:
Financial, Government

Geo:
India, Turkey, France, Turkish

ChatGPT TTPs:
do not use without manual check
T1078, T1080, T1105, T1195, T1204, T1566.002, T1583.001, T1585

IOCs:
File: 1
Email: 11

Soft:
PropellerAds, Android, Discord, WhatsApp, Gmail, Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Triada - это троян для Android, впервые обнаруженный в 2016 году, известный своими модульными возможностями бэкдора и руткита, которые предоставляют злоумышленникам привилегированный доступ. Он распространяется через модифицированные приложения, такие как FMWhatsApp и YoWhatsApp, а также предустанавливается на поддельные устройства. Базирующийся в Турции злоумышленник на протяжении многих лет развивал тактику от обхода процедур KYC до компрометации проверенных аккаунтов рекламодателей и использования предустановленных программ фишинга, замаскированных под обновления Chrome, и теперь размещает Вредоносные файлы на GitHub.
-----

Triada - это троян для Android, впервые обнаруженный в 2016 году, отличающийся модульным бэкдором и возможностями руткита, которые предоставляют злоумышленникам привилегированный доступ к скомпрометированным устройствам. Основные методы распространения Triada включают модифицированные приложения, такие как FMWhatsApp и YoWhatsApp. Эти неофициальные версии часто продвигаются с помощью платной рекламы и Социальных сетей, заманивая пользователей обещаниями расширенных функциональных возможностей. В дополнение к зараженным приложениям, также была обнаружена Triada, предустановленная на поддельных устройствах и активирующаяся при первой загрузке.

Как только устройство находится под угрозой, Triada может осуществлять различные рекламные обзоры техники и схемы манипуляций трафика. С 2020 года, один особенно организованной злоумышленник, предположительно в Турции, был замечен работающим зарегистрировать рекламодателя счетов, которые действуют как каналы доставки для Triada. Первое столкновение с Triada было отмечено в августе 2020 года, когда была обнаружена необычная активность среди группы рекламодателей, утверждающих, что они из Турции.

За прошедшие годы тактика этих злоумышленников значительно эволюционировала. В первой волне (2020-2021 годы) они использовали сомнительные методы для обхода процедур "Знай своего клиента" (KYC). Однако на втором этапе (2022-2024 годы) они перешли к более стратегическому подходу, скомпрометировав установленные, проверенные аккаунты рекламодателей для распространения вредоносного ПО. Эта новая тактика позволила им перенаправлять трафик через доверенные домены и использовать методы cloaking, чтобы избежать обнаружения.

Последняя разработка в эволюции Triada (до 2025 года и далее) предполагает использование предустановленных программ для фишинга, замаскированных под обновления браузера Chrome. Вредоносные файлы, связанные с этой итерацией, размещены на GitHub, что указывает на повышение сложности и адаптацию тактики для использования надежных платформ.

#ParsedReport #CompletenessMedium
09-12-2025

JS#SMUGGLER: Multi-Stage - Hidden iframes, Obfuscated JavaScript, Silent Redirectors & NetSupport RAT Delivery

https://www.securonix.com/blog/jssmuggler-multi-stage-hidden-iframes-obfuscated-javascript-silent-redirectors-netsupport-rat-delivery/

Report completeness: Medium

Threats:
Js-smuggler
Netsupportmanager_rat
Lolbas_technique

Victims:
Enterprise users

TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 22
Url: 4
Domain: 9
Command: 1
Path: 1
IP: 9
Hash: 11

Soft:
Android, Node.js, Windows ActiveX, Windows security, Windows Defender, Windows Powershell

Algorithms:
aes, gzip, aes-256-ecb, base64, sha256, zip

Functions:
_0x19d1, DOM, createScript, _0x4eba19, generateRandomString, checkLastVisit, setTimeout

Languages:
javascript, powershell, jscript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4