#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Group123, северокорейская APT-группировка, занимается кибершпионажем, в первую очередь нацеливаясь на Южную Корею и распространяясь на Японию, Вьетнам и Ближний Восток. Они активизируют операции, используя уязвимости в программном обеспечении, в частности, посредством spearphishing с использованием вредоносных документов Hangul/HWP, и используют различное пользовательское вредоносное ПО, такое как ROKRAT и Oceansalt, для облегчения эксфильтрации данных и перемещения внутри компании. Использование ими протокола HTTPS для связи C2 и интеграция уязвимостей zero-day повышает эффективность и скрытность их атак на критически важные секторы инфраструктуры.
-----

Group123, также известная как APT37, Reaper и ScarCruft, является спонсируемой государством северокорейской APT-группировкой, которая действует по меньшей мере с 2012 года. В первую очередь ориентированная на кибершпионаж, группа исторически нацеливалась на Южную Корею, но с 2017 года расширила свою деятельность, включив Японию, Вьетнам, Ближний Восток и другие регионы.

Недавно Group123 усилила свое внимание к средам Windows, применяя тактику spearphishing и используя вредоносные приманки для документов, особенно нацеленные на форматы файлов Hangul/HWP. Их деятельность характеризуется использованием недавно выявленных уязвимостей в различном программном обеспечении, включая офисные пакеты, операционные системы и веб-приложения. Эта тактика направлена на установление постоянного доступа к сетям в правительственных, оборонных, исследовательских и критически важных инфраструктурных секторах.

Инструментарий, используемый Group123, включает в себя ряд пользовательских семейств вредоносных ПО. Среди последних дополнений - ROKRAT, PoohMilk Loader, Freenki Loader, GELCAPSULE и Oceansalt, которые дополняют более старые варианты вредоносного ПО, такие как DOGCALL/Nokki и NavRAT. Эти варианты вредоносного ПО предназначены для облегчения различных вредоносных действий, таких как выполнение команд, эксфильтрация данных, кража учетных данных и перемещение внутри компании в зараженных сетях. Одной из примечательных особенностей их деятельности является использование механизмов командования и контроля на основе HTTPS (C2), что помогает их деятельности вписываться в законный сетевой трафик и усложняет усилия по обнаружению.

Group123 тоже умело использовать zero-day уязвимостей, что значительно повышает эффективность их атак. Их история включает в себя использование браузера и флеш нулевого дня, построена на уязвимости CVE-2016-4171, который может похвастаться критических CVSS оценку 9.8. Группа известна быстрой интеграции новых уязвимостей в цепи атак, тем самым повышая риски, с которыми сталкиваются организации, не применять своевременные патчи, особенно необновленных или устаревших систем. В целом, group123's целенаправленных методов, пользовательских вредоносное ПО и эксплуатации оппортунистических уязвимость представляет значительные трудности для кибербезопасность кибербезопасность в различных регионах они работают.

#ParsedReport #CompletenessLow
10-12-2025

New Vishing Attack Leverages Microsoft Teams Calls and QuickAssist to Deploy .NET Malware

https://cybersecuritynews.com/new-vishing-attack-leverages-microsoft-teams-call/

Report completeness: Low

Threats:
Microsoft_quick_assist_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1204, T1566

IOCs:
Domain: 2
File: 2

Soft:
Microsoft Teams, NET Core

Algorithms:
xor, aes-cbc

Functions:
Teams

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась рекламная кампания, для развертывания которой используются Microsoft Teams и QuickAssist .СЕТЕВОЕ вредоносное ПО проходит через многоэтапную цепочку заражения. Центральным элементом этой атаки является вредоносный исполняемый файл, updater.exe , который служит оболочкой для встроенной библиотеки, loader.dll , который осуществляет вредную деятельность. Этот подход подчеркивает сочетание социальной инженерии со сложным техническим использованием, иллюстрируя изменение тактики злоумышленников для эффективного манипулирования надежными системами.
-----

Недавняя кампания по вымогательсту объединила сложные методы с использованием вызовов Microsoft Teams и QuickAssist для облегчения развертывания .NET вредоносного ПО. Метод атаки использует многоэтапную цепочку заражения, в которой вредоносный исполняемый файл, идентифицированный как updater.exe , используется для выполнения вредоносного поведения.

В основе этой кампании лежит исполняемый файл .NET Core 8.0, который выступает в качестве вектора для дальнейшей эксплуатации. Тот updater.exe файл разработан как оболочка вокруг встроенной библиотеки, loader.dll , который содержит фактическую полезную нагрузку, которая после выполнения приводит к вредоносным действиям. Использование законных инструментов совместной работы, таких как Microsoft Teams, повышает уровень скрытности, позволяя злоумышленникам более эффективно обманывать жертв, используя протоколы, знакомые пользователям.

Эта фишинговая атака подчеркивает сочетание социальной инженерии и технической эксплуатации, демонстрируя значительную эволюцию в том, как злоумышленники могут манипулировать надежными системами и процессами для достижения своих вредоносных целей. Переход от обычных фишинг методов для этого более совершенные методики означает острую необходимость в повышении осведомленности уязвимости, присущие широко используемых платформ для совместной работы, а также важность действенных мер по обеспечению безопасности по выявлению и нейтрализации подобных угроз.

#ParsedReport #CompletenessMedium
10-12-2025

Goldeneye Dog (APT-Q-27) abuses AWS S3 storage buckets to distribute latest malicious payloads

https://www.ctfiot.com/286193.html

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog

Threats:
Procmon_tool
Process_hacker_tool

Geo:
Tokyo, Philippines, China, California, India, Japan, San francisco, Hong kong

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1055, T1056, T1059, T1070.001, T1070.004, T1071, T1105, T1106, have more...

IOCs:
Hash: 26
File: 6
Registry: 3
IP: 38

Soft:
qemu, process explorer, Internet Explorer, Chrome, Firefox, Sogou, WeChat

Algorithms:
sha256, md5, crc-32, sha1, deflate, base64, gzip

Functions:
main

Win API:
decompress, ShellExecuteExA

Languages:
java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-Q-27, известная как GoldenEye Dog, использует пакеты AWS S3 для развертывания вредоносного ПО, уделяя особое внимание предотвращению обнаружения в виртуализированных средах путем проверки конкретных имен виртуальных машин. Вредоносное ПО содержит шелл-код, замаскированный под файл DataReport.log, который извлекает и запускает переносимый исполняемый файл (PE) в памяти, избегая традиционного сканирования файлов. Кроме того, он включает зашифрованные адреса команд и контроля, что позволяет осуществлять обширный удаленный контроль над зараженными системами, подчеркивая при этом закрепление и оперативную скрытность за счет управления процессами и манипуляций с реестром.
-----

Хакерская группировка GoldenEye Dog (APT-Q-27) была причастна к недавней серии атак, использующих хранилища Amazon Веб-сервисов (AWS) S3 для распространения вредоносных полезных нагрузок. Детальный анализ их вредоносного ПО показывает сложную методологию развертывания, начинающуюся с оценки записей реестра. Вредоносное ПО специально проверяет наличие имен виртуальных машин, таких как "vmware", "virtual", "vbox", "qemu" и "xen". Это наводит на мысль о намерении избежать обнаружения в виртуализированных средах, что является обычной тактикой для изощренных злоумышленников.

Анализ вредоносного ПО показывает, что оно включает компонент, замаскированный под расшифрованный файл DataReport.log, который служит в качестве шеллкода. При выполнении этот шелл-код распаковывает переносимый исполняемый файл (PE) в память и впоследствии загружает его для выполнения, тем самым обходя традиционные меры безопасности, которые могут сканировать файлы, хранящиеся на диске.

В образец встроен ряд зашифрованных адресов управления (C&C), предназначенных для динамического выбора на основе условий сети или стратегий предотвращения обнаружения. Вредоносное ПО способно выполнять множество команд удаленного управления, позволяя злоумышленнику осуществлять полный контроль над зараженными системами. Команды включают в себя функции для управления файлами, завершения процесса и возможность удаления следов атаки — например, удаление данных браузера на нескольких веб-платформах, таких как Internet Explorer, Chrome и Firefox.

Злоумышленник демонстрирует явный акцент на поддержании закрепления и оперативной скрытности. Например, вредоносное ПО может принудительно завершать такие процессы, как explorer.exe и cmd.exe , управлять реестром для стратегических корректировок и включать различные подключаемые модули для дальнейшего расширения возможностей.

Общий анализ указывает на сложный ландшафт угроз, при этом APT-Q-27 использует передовые технологии и инфраструктуру для проведения операций. Эти стратегии подчеркивают растущую изощренность методологий кибератак, используемых APT-группировка, которая занимается распространением устойчивых угроз, что указывает на потенциальную эскалацию в их будущих кампаниях.

#ParsedReport #CompletenessMedium
10-12-2025

APT-C-53 (Gamaredon) uses CVE-2025-8088 to conduct phishing attacks.

https://mp.weixin.qq.com/s/zerWPti8aO8ymhOT1Ij-ig

Report completeness: Medium

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique

Victims:
Government

Industry:
Government

Geo:
Ukrainian, Ukraine

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1566.001

IOCs:
Path: 1
File: 2
Url: 1
Hash: 2
IP: 2
Domain: 5

Algorithms:
base64, md5, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, известный как Gamaredon, использует уязвимость CVE-2025-8088, недостаток обхода пути в WinRAR, для усиления своих кампаний Целевого фишинга против украинских государственных структур. Эта тактика позволяет группе создавать вредоносные полезные программы, которые обходят меры безопасности, обеспечивая эффективные операции по краже разведывательных данных, направленные на получение конфиденциальной информации. Их деятельность отражает согласованные усилия по нацеливанию на украинские институты и проникновению в них, особенно в течение 2025 года.
-----

Apt-c-53, также известный как Gamaredon, активно эксплуатируя уязвимость идентифицирована как CVE-2025-8088, который представляет собой прохождение пути брешь в WinRAR. Этот эксплуатации является ключевым компонентом группы целевой фишинг-кампании, направленные на хищение разведданных от украинских государственных структур. Эта деятельность характеризуется как высокая плотность интеллект-кража операций, предполагая целенаправленный и агрессивный подход в планировании конфиденциальной информации в пределах Украины в течение 2025.

Использование CVE-2025-8088 позволяет злоумышленникам создавать вредоносные программы, которые могут обходить меры безопасности, что делает их особенно эффективными при попытках фишинга. Таким образом, в докладе подчеркивается настоятельная необходимость в усилении протоколов безопасности среди целевых учреждений. Рекомендации включают повышение осведомленности персонала о безопасности, совершенствование методов шифрования и усиление контроля доступа к секретным данным. Этот многогранный подход направлен на снижение риска утечки информации в результате злонамеренной деятельности группы Gamaredon.

#ParsedReport #CompletenessHigh
10-12-2025

01flip: Multi-Platform Ransomware Written in Rust

https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/

Report completeness: High

Actors/Campaigns:
Lockbit

Threats:
01flip
Sliver_c2_tool
Lockbit
Credential_dumping_technique

Victims:
Critical infrastructure, Organizations in southeast asia

Industry:
Ics, Critical_infrastructure

Geo:
Taiwan, Asia, Philippines, Asia-pacific

CVEs:
CVE-2019-11580 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian crowd (<3.0.5, <3.1.6, <3.2.8, <3.3.5, <3.4.4)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Email: 1
File: 1
IP: 1
Hash: 4
Url: 4

Soft:
Linux, Zimbra, fsutil

Crypto:
bitcoin

Algorithms:
aes, sha256, aes-128-cbc, rsa-2048

Functions:
setZeroData

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/BishopFox/sliver
have more...
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-06-24-IOCs-for-01flip-ransomware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года появилось семейство программ-вымогателей 01flip, нацеленное на критически важную инфраструктуру в Юго-Восточной Азии и разработанное в Rust, обеспечивающее кроссплатформенную функциональность. Злоумышленники воспользовались уязвимостями, такими как CVE-2019-11580, и использовали версию фреймворка Sliver для перемещения внутри компании, прежде чем развернуть 01flip по сетям. Программа-вымогатель отличается отсутствием обфускации, методом удаления заметок о выкупе и методами стирания следов после шифрования, при этом, в частности, исключая из своих атак файлы с расширением "lockbit".
-----

В июне 2025 года появилось недавно идентифицированное семейство программ-вымогателей под названием 01flip, специально предназначенное для организаций в Азиатско-Тихоокеанском регионе, особенно для тех, кто управляет критически важной инфраструктурой в Юго-Восточной Азии. Эта программа-вымогатель примечательна тем, что полностью разработана на языке программирования Rust, что делает ее способной работать на нескольких платформах благодаря функциям кросс-компиляции Rust.

Первоначальное расследование 01flip началось, когда исследователи из подразделения 42 проанализировали подозрительный исполняемый файл Windows, который продемонстрировал поведение, похожее на поведение программы-вымогателя в контролируемой среде. Было установлено, что ответственные за это злоумышленники использовали более старые уязвимости, в частности CVE-2019-11580, в приложениях, ориентированных на Интернет, еще в апреле 2025 года. После успешных попыток эксплуатации они развернули Linux—версию Sliver - общедоступной платформы для моделирования противника, написанной на Go. К концу мая перемещение внутри компании было выполнено на другую машину Linux с использованием профилированного имплантата TCP Pivot из набора инструментов Sliver. Впоследствии несколько экземпляров программы-вымогателя 01flip были развернуты на различных устройствах в сетях жертв.

С технической точки зрения программа-вымогатель 01flip поддерживает как Windows, так и Linux версии. В отличие от многих инструментов киберпреступников, он не сильно запутан, что позволяет легче идентифицировать происхождение его исходного кода Rust. Одна из его основных функций заключается в размещении сообщений о выкупе в доступных для записи каталогах перед шифрованием файлов, предоставляя важную контактную информацию и данные, необходимые для расшифровки. Программа-вымогатель использует низкоуровневые API и системные вызовы, чтобы избежать обнаружения, сводя к минимуму свою видимость среди стандартных процессов операционной системы. Кроме того, после завершения шифрования файлов 01flip пытается стереть любые следы своего присутствия в зараженных системах, выполняя специальные команды как для своих версий Windows, так и для Linux.

По состоянию на конец октября 2025 года хакерская группировка, идентифицированная как CL-CRI-1036, по-видимому, не использует схему двойного вымогательства, которая обычно наблюдается при операциях "программа-вымогатель как услуга" (RaaS). Интересно, что во время анализа программы-вымогателя 01flip исследователи отметили исключение файлов с расширением "LockBit" из процесса шифрования, что указывает на потенциальные совпадения или связи с более известными операциями LockBit ransomware.

#ParsedReport #CompletenessHigh
10-12-2025

NANOREMOTE, cousin of FINALDRAFT

https://www.elastic.co/security-labs/nanoremote

Report completeness: High

Actors/Campaigns:
Earth_alux (motivation: cyber_espionage)

Threats:
Nanoremote
Finaldraft
Wmloader
Minidump_tool
Pathloader

Industry:
Software_development, Transport

Geo:
Chinese, Philippines

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 8
Hash: 7
IP: 1

Algorithms:
aes, xor, base64, aes-cbc, sha256, md5, exhibit

Functions:
GetStdHandle

Win API:
VirtualAlloc, VirtualProtect, CoCreateGuid, WSAIoctl, GetUserNameW, GetComputerNameW, GetModuleFileNameW, GetCurrentProcessID, GetLogicalDrives, GetDiskFreeSpaceExW, have more...

Platforms:
x86, x64

YARA: Found

Links:
have more...
https://github.com/hasherezade/libpeconv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NANOREMOTE - это сложный бэкдор для Windows, обнаруженный в октябре 2025 года, тесно связанный с имплантатом FINALDRAFT. Это вредоносное ПО, предназначенное для шпионажа, работает через двухкомпонентную цепочку атак с загрузчиком (WMLOADER) и полезной нагрузкой, используя Google Drive API для выполнения команд и передачи данных. Он имеет жестко запрограммированное подключение к не маршрутизируемому IP-адресу, сжимает данные с помощью Zlib, шифрует их с помощью AES-CBC и использует архитектуру управления с 22 обработчиками команд, предполагающую связи с аналогичными злоумышленниками на основе общей структуры кода и поведения.
-----

Бэкдор NANOREMOTE, идентифицированный Elastic Security Labs в октябре 2025 года, представляет собой сложный вариант вредоносного ПО для Windows, тесно связанный с имплантатом FINALDRAFT и другим вредоносным ПО, упомянутым в REF7707. Этот полнофункциональный бэкдор предназначен для шпионажа и обладает возможностями выполнения команд, разведки, передачи файлов и обнаружения системы через Google Drive API. Архитектура NANOREMOTE's объединяет элементы из известных проектов с открытым исходным кодом, таких как Microsoft Detours и libPeConv.

Вредоносное ПО действует посредством двухкомпонентной цепочки атак, включающей загрузчик, называемый WMLOADER, и саму полезную нагрузку, NANOREMOTE. Бэкдор написан на C++ и представлен в виде 64-разрядного исполняемого файла, созданного без запутывания, что предполагает потенциальное быстрое развертывание и более высокую обнаруживаемость. Его конструкция предполагает предварительно настроенное подключение к жестко закодированному, не маршрутизируемому IP-адресу, что приводит к выводу, что оно было сгенерировано с помощью конструктора вредоносного ПО без видимых настроек конфигурации в коде.

Связь с NANOREMOTE устанавливается по протоколу HTTP, где он передает сжатые Zlib и зашифрованные AES-CBC данные JSON через POST-запросы к указанному URI: /api/клиенту. Функциональность GUID для вычисления полезной нагрузки с FNV для хэширования позволяет идентифицировать пользователя во время запросов команд. NANOREMOTE управляется 22 различными обработчиками команд, которые облегчают различные действия, отражая структурированную архитектуру управления (C2). Кроме того, он оснащен пользовательским интерфейсом, который регистрирует подробные действия в режиме реального времени, усиливая контроль оператора.

Сходство между NANOREMOTE и FINALDRAFT охватывает как структуру кода, так и поведенческие паттерны, указывая на то, что они могли быть разработаны или использованы одними и теми же или связанными с ними злоумышленниками. Elastic Security Labs использует платформу MITRE ATT&CK для оценки и документирования тактик, методов и процедур (TTP), связанных с этими угрозами, предоставляя представление о том, как они работают в корпоративных сетях.

Усилия по смягчению последствий NANOREMOTE показали эффективность в лабораторных тестах с использованием Elastic Defend, которые запускали множество предупреждений, указывающих на вредоносную активность, при запуске вредоносного ПО. Это подчеркивает полезность упреждающих мер защиты при обнаружении и противодействии таким сложным угрозам бэкдора, как NANOREMOTE.

#ParsedReport #CompletenessLow
10-12-2025

[Includes IOC\] Analysis of Wild Exploitation Incidents of Next.js RCE Vulnerability

https://mp.weixin.qq.com/s/a0uB8-dr25TSdeIb2Towrw

Report completeness: Low

Threats:
Nezha_tool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


IOCs:
File: 1
Hash: 1
IP: 10

Soft:
curl

Algorithms:
zip, md5

#ParsedReport #CompletenessMedium
11-12-2025

RTO Challan Fraud: A Technical Report on APK-Based Financial and Identity Theft

https://www.cyfirma.com/research/rto-challan-fraud-a-technical-report-on-apk-based-financial-and-identity-theft/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Mobile users in india

Industry:
Government, Financial

Geo:
India, Chinese

TTPs:
Tactics: 6
Technics: 10

IOCs:
Domain: 2
File: 1
Hash: 2

Soft:
Android, WhatsApp

Algorithms:
base64, zip, sha256, md5

Functions:
sendTextMessage

YARA: Found