#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по добыче криптовалюты, нацеленная на сервисы Amazon EC2 и ECS, использовала скомпрометированные учетные данные пользователя IAM с повышенными привилегиями. Злоумышленники изначально обращались окружающей среды за счет аномального сетей, выполняя разведка и прощупывание нормы обслуживания до развертывания вредоносных образов Docker для майнинга через ФОВ кластера. Примечательно, что они изменили атрибуты экземпляра EC2, чтобы предотвратить завершение работы, уклоняясь от реагирования на инциденты, в то время как усилиям по обнаружению способствовали многоуровневая идентификация аномалий GuardDuty и расширенные возможности обнаружения угроз.
-----

Кампания по добыче криптовалюты, нацеленная на сервисы Amazon EC2 и ECS, впервые была замечена 2 ноября 2025 года, в основном с использованием скомпрометированных учетных данных пользователя IAM с повышенными привилегиями. Первоначальный доступ был получен благодаря использованию этих учетных данных из аномальных сетей, что вызвало обнаружение Amazon GuardDuty. Злоумышленники провели разведку среды, в частности, проверили квоты служб EC2, чтобы определить их возможности развертывания. Систематический характер их исследования включал многократный вызов API RunInstances с флагом DryRun для оценки разрешений перед выполнением вредоносных действий.

Во время их работы злоумышленник создал множество кластеров ECS — в некоторых случаях более 50 — и зарегистрировал вредоносный образ Docker Hub для задач криптодобычи через RegisterTaskDefinition API. Они использовали конкретные параметры запроса для настройки этих задач, что привело к развертыванию операций крипто-майнинга на ECS с использованием узлов Fargate.

Заметным использованным методом закрепления была модификация атрибутов экземпляра EC2, которая отключала завершение работы API, тем самым препятствуя усилиям по реагированию на инциденты. Это эффективно защищало их операции по добыче полезных ископаемых от прекращения в результате случайных административных действий или автоматизированных процедур, предназначенных для устранения нарушений.

Многоуровневая методология обнаружения GuardDuty доказала свою решающую роль в выявлении всех этапов цепочки атак, используя комбинацию анализа угроз и обнаружения аномалий. Что касается результатов EC2, GuardDuty может предупреждать о подозрительном поведении сети, указывающем на потенциальную деятельность по крипто-майнингу, включая попытки входа в систему методом грубой силы и подключения к известным вредоносным доменам. Кроме того, результаты IAM имели решающее значение для выявления скомпрометированных учетных данных путем обнаружения аномального поведения, связанного с действиями пользователя, которое включало необычные вызовы API.

Мониторинг времени выполнения, ключевая функция GuardDuty, позволял получить представление о действиях на уровне хоста, подтверждая выполнение процессов крипто-майнинга с помощью конкретных результатов, которые выявляли как сетевые подключения к доменам, связанным с криптографией, так и выполнение процессов, связанных с майнингом. Кроме того, недавно внедренные расширенные возможности обнаружения угроз в GuardDuty используют искусственный интеллект и машинное обучение для сопоставления данных из нескольких источников, помогая выявлять сложные схемы атак в скомпрометированных группах ресурсов EC2.

#ParsedReport #CompletenessHigh
16-12-2025

The APT35 Dump Episode 4: Leaking The Backstage Pass To An Iranian Intelligence Operation

https://dti.domaintools.com/the-apt35-dump-episode-4-leaking-the-backstage-pass-to-an-iranian-intelligence-operation/

Report completeness: High

Actors/Campaigns:
Charming_kitten (motivation: information_theft, financially_motivated, hacktivism, sabotage, politically_motivated, cyber_espionage, propaganda)
Mosesstaff (motivation: financially_motivated, hacktivism, sabotage, cyber_espionage, propaganda)
Irgc (motivation: financially_motivated, cyber_espionage, sabotage, propaganda)

Threats:
Credential_harvesting_technique
Pydcrypt
Dcsrv
Strifewater_rat
Spear-phishing_technique

Victims:
Journalists, Dissidents, Soldiers, Defense engineers, Municipal employees, Lawyers, It administrators, Israeli institutions

Industry:
Critical_infrastructure, E-commerce, Petroleum, Financial, Military, Telco, Education, Logistic, Energy, Government

Geo:
Netherlands, Israel, Cyprus, Iranian, Korea, Tehran, Israeli, Bulgarian, Russian, Bulgaria, Kuwait, American, Iran, Saudi arabia

TTPs:
Tactics: 13
Technics: 28

IOCs:
File: 3
Url: 3
IP: 7
Domain: 15
Email: 21
Coin: 26

Soft:
ProtonMail, WordPress, Microsoft Exchange, Ivanti

Crypto:
bitcoin

Algorithms:
exhibit

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, известный как Charming Kitten, является иранским злоумышленником, который использует структурированный и бюрократический подход к кибероперациям, тщательно управляя ресурсами с помощью системы, подобной бухгалтерской. Их операции включают в себя нацеленную психологическую войну против израильских граждан, используя индивидуальные методы фишинга, разведку и одноразовые удостоверения личности для каждой кампании, чтобы свести к минимуму разоблачение. Методы, описанные в платформе MITRE ATT&CK, включают Активное сканирование, фишинг страниц для получения первоначального доступа и использование поддельных удостоверений личности для сокрытия их истинных мотивов.
-----

APT35, также известный как Charming Kitten, является иранским злоумышленником, известным бюрократическим подходом к кибероперациям. Недавние утечки раскрывают подробную систему управления инфраструктурой, отслеживающую ресурсы, такие как арендованные серверы и зарегистрированные домены. Кибератаки с помощью APT35 рассматриваются как процессы, регулируемые бюджетными ограничениями. Группа использует небольшие криптовалютные транзакции для управления ресурсами, обрабатываемые через Cryptomus для анонимных платежей. APT35 работает по модели подписки для киберопераций. Подразделение Moses Staff нацелено на израильский государственный персонал для ведения психологической войны в соответствии с доктриной асимметричной войны Ирана. APT35 использует операции разведки и фишинга с помощью специально разработанных электронных писем и одноразовых удостоверений личности, чтобы свести к минимуму разоблачение. Методы включают Активное сканирование, фишинг-страницы для первоначального доступа и одноразовые учетные записи ProtonMail для закрепления. Они также используют тактику Маскировки, чтобы имитировать организации из Израиля, США или Европы. В целом, операции APT35's сочетают в себе традиционные бюрократические методы с передовыми технологиями ведения информационной войны.

#ParsedReport #CompletenessHigh
17-12-2025

Phantom 3.5: Initial Vector Analysis & Forensics

https://labs.k7computing.com/index.php/phantom-3-5-initial-vector-analysis-forensics/

Report completeness: High

Threats:
Phantom_stealer
Process_injection_technique
Procdump_tool
Heavens_gate_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1539, T1555

IOCs:
Url: 2
File: 1
Hash: 5

Soft:
BLACKHAWK, Chromium, Chrome, outlook, Discord, Firefox, Telegram, Twitter

Algorithms:
base64, rc4, aes, md5

Win API:
WriteProcessMemory, VirtualAllocEx, ResumeThread

Languages:
javascript, powershell

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 21, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom 3.5 - это вредоносное ПО-стиллер, которое нацелено на конфиденциальные данные, извлекая пароли пользователей, файлы cookie браузера, данные кредитной карты и учетные данные криптовалютного кошелька, что приводит к краже личных данных и захвату учетных записей. После установки в систему он также может способствовать дальнейшим кибератакам, используя скомпрометированный компьютер. Это вредоносное ПО является примером растущих угроз в области кибербезопасности, подчеркивая важность обнаружения и устранения таких атак.
-----

Phantom 3.5 - это вредоносное ПО-стиллер, которое компрометирует конфиденциальные данные из зараженных систем, что делает его серьезной угрозой в сфере киберпреступности. Вредоносное ПО предназначено для извлечения различных типов ценной информации, включая пароли пользователей, файлы cookie браузера, данные кредитной карты, учетные данные криптовалютного кошелька и даже IP-адреса жертвы. Такой сбор данных может способствовать краже личных данных и захвату учетных записей, создавая серьезные риски как для отдельных лиц, так и для организаций.

После установки Phantom 3.5 потенциально может превратить зараженный компьютер в платформу для более масштабных кибератак. Собранная информация не только помогает в прямой краже, но и может заложить основу для организации более сложных атак, используя скомпрометированную систему в качестве стартовой площадки. Эта возможность подчеркивает роль вредоносного ПО в более широком контексте угроз кибербезопасности, когда первоначальная кража данных может привести ко все более изощренным и разрушительным эксплойтам. Использование Phantom 3.5 подчеркивает необходимость принятия надежных мер по кибербезопасности для обнаружения и смягчения воздействия такого вредоносного ПО.

#ParsedReport #CompletenessHigh
16-12-2025

Parked Domains Become Weapons with Direct Search Advertising

https://blogs.infoblox.com/threat-intelligence/parked-domains-become-weapons-with-direct-search-advertising/

Report completeness: High

Actors/Campaigns:
Master134

Threats:
Fastflux_technique
Typosquatting_technique
Residential_proxy_technique
Tedy
Clickfix_technique
Babar
Cloaking_technique

Industry:
Financial, Education, Entertainment

Geo:
Canadian, Japanese, Russian

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1204.001, T1568.002, T1583.001, T1584.004, T1592.004, T1608.001, T1608.004

IOCs:
Domain: 24
Email: 1
File: 1
Hash: 3
IP: 1
Url: 1

Soft:
chrome, linux, Gmail, Opera GX, Firefox

Algorithms:
sha256, base64, zip

Languages:
javascript

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 2, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Припаркованные домены все чаще используются злоумышленниками-акторами для направления пользователей на вредоносные целевые страницы, используя сложные рекламные экосистемы, которые скрывают атрибуцию. Проанализированные случаи, такие как Scotaibank.com , выявляют запутанные пути перенаправления, которые подвергают пользователей воздействию вредоносного ПО и мошеннических действий, в то время как владельцы доменов извлекают выгоду из typosquatting и сложной техники "двойного" fast flux, которая усложняет отслеживание их вредоносных действий. Эта среда создает значительные риски для ничего не подозревающих пользователей Интернета, о чем свидетельствует растущее распространение доменов-двойников и манипулирование потоками трафика.
-----

Припаркованные домены, часто воспринимаемые как безобидные пространства, заполненные рекламой, превратились в серьезную киберугрозу из-за манипуляций с ними злонамеренными акторами и сложных рекламных экосистем. Исследования показывают, что когда пользователи посещают эти припаркованные домены, они часто попадают на вредоносные целевые страницы, причем большая часть трафика продается партнерским рекламным сетям. Такое несоответствие между припаркованным доменом и окончательной рекламой усложняет атрибуцию и представляет значительный риск для ничего не подозревающих пользователей.

Одним из наглядных примеров этих рисков является случай Scotaibank.com , где тщательный анализ выявил сложные пути перенаправления, ведущие к различным опасностям, включая вредоносное ПО, мошенничество и нерелевантный контент. Обнаруженные целевые страницы варьировались от подозрительных до откровенно вредоносных, демонстрируя, как распределение трафика по припаркованным доменам может создать опасную среду для пользователей Интернета.

Злонамеренные рекламодатели играют значительную роль в этом ландшафте угроз; однако владельцы доменов — физические или юридические лица, владеющие большими портфелями доменов, — в равной степени виновны. Эти доменщики часто владеют многочисленными доменами-двойниками, которые используют распространенные опечатки, направляя трафик на потенциально вредоносную рекламу. Монетизация этих доменов представляет собой прибыльную бизнес-модель, которую используют многие владельцы доменов, повышая ставки для пользователей, непреднамеренно попадающих на эти страницы.

Кроме того, некоторых владельцев доменов участвовать в технике сродни "двойной" fast flux, изменяя оба сервера имен и IP-адресов, связанных с их припаркованных доменах. Этот метод усложняет отслеживание, тем самым скрывая вредоносные действия, связанные с этими доменами. Редко используется из-за его сложности, использование двойных fast flux демонстрирует сложный уровень уклонения от нанятых актеров опасный, С около 80 000 доменов в свой портфель.

Еще одним тревожным аспектом является использование typosquatting, когда акторам нравится тот, кто стоит за domaincntrol.com используйте распространенные типографские ошибки в записях DNS для перенаправления пользователей на потенциально вредоносный контент. Было отмечено, что эта специфическая стратегия нацелена на пользователей Cloudflare DNS, что еще больше увеличивает риск.

#cyberthreattech

Вышла новая карта российского рынка информационной безопасности 2025, теперь мы там тоже есть :)

#ParsedReport #CompletenessMedium
17-12-2025

Operation ForumTroll continues: Russian political scientists targeted using plagiarism reports

https://securelist.com/operation-forumtroll-new-targeted-campaign/118492/

Report completeness: Medium

Actors/Campaigns:
Forumtroll
Memento_labs

Threats:
Leetagent
Dante
Com_hijacking_technique
Tuoni_tool
Spear-phishing_technique

Victims:
Political scientists, International relations scholars, Global economics scholars, Universities, Research institutions

Industry:
Education

Geo:
Russian, Russian federation, Russia, Belarus

CVEs:
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1546.015, T1566, T1583.001

IOCs:
Email: 1
Domain: 4
Url: 1
IP: 1
Path: 1
Registry: 1

Soft:
Google Chrome

Algorithms:
zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция ForumTroll включает в себя кибератаки APT-группировки, нацеленные на российских политологов, с использованием уязвимости CVE-2025-2783 в Google Chrome. Злоумышленники используют вредоносное ПО, такое как бэкдор LeetAgent и фреймворк Tuoni, используя кампании фишинга с Вредоносными ссылками из электронной библиотеки домена.вики для доставки полезной нагрузки. Такие методы, как COM Hijacking, используются для закрепления, что указывает на стратегическую направленность на влиятельные сектора российского академического сообщества.
-----

Операция "ForumTroll" представляет собой серию продолжающихся кибератак, приписываемых конкретной APT-группировке, которая продолжает быть нацелена на российских политологов с момента их первоначального обнаружения в марте 2025 года. Эти атаки используют уязвимость CVE-2025-2783 в Google Chrome и используют сложное вредоносное ПО, включая бэкдор LeetAgent и шпионское ПО Dante, разработанное Memento Labs. Операция расширилась с первоначальной ориентации на организации до нацеленных кампаний фишинга, нацеленных на отдельных ученых в области политологии и смежных областях в известных российских академических институтах.

В октябре 2025 года, непосредственно перед презентацией об этих атаках на саммите Security Analyst Summit, была обнаружена новая волна электронных писем с фишингом. Эти электронные письма пришли с вредоносного домена e-library.wiki, который был зарегистрирован ранее в том же году, чтобы укрепить свою репутацию и избежать спам-фильтров, что указывает на уровень подготовки злоумышленников. В кампании по фишингу использовались хорошо продуманные методы социальной инженерии, чтобы склонить получателей к загрузке Вредоносных файлов.

Файлы, на которые были даны ссылки в электронных письмах, содержали полезную нагрузку, которая в конечном итоге доставляла фреймворк Tuoni на скомпрометированные устройства. Этот фреймворк, представляющий собой коммерческий инструмент red teaming, позволяет злоумышленникам поддерживать удаленный доступ и в дальнейшем эксплуатировать систему жертвы. Стоит отметить, что код фреймворка Tuoni частично доступен на GitHub, что позволяет предположить, что злоумышленники используют легкодоступную инфраструктуру для своих операций.

Как весенние, так и осенние атаки имеют заметное сходство. В обоих случаях исходный вектор был нацелен на фишинг, и злоумышленники использовали COM Hijacking в качестве метода для поддержания закрепления своих имплантатов. Загрузчик, используемый для развертывания вредоносных полезных нагрузок, оставался неизменным в обеих кампаниях, что подчеркивает стратегический подход злоумышленников к компрометации системы. Характер угроз, исходящих от группы ForumTroll, свидетельствует о сложном и целенаправленном характере угроз, особенно направленных против влиятельных секторов российского академического сообщества.

#ParsedReport #CompletenessLow
18-12-2025

CVE-2025-20393: Cisco AsyncOS Zero-Day Impacts Secure Email Appliances

https://socradar.io/blog/cve-2025-20393-cisco-asyncos-zero-day-email/

Report completeness: Low

Actors/Campaigns:
Uat-9686
Winnti
Unc5174

Threats:
Aquashell
Aquatunnel_tool
Chisel_tool
Aquapurge_tool
Reversessh_tool

Industry:
Government

Geo:
China, Chinese

CVEs:
CVE-2025-20393 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1190, T1505.003, T1543

IOCs:
Hash: 3
IP: 3

Languages:
python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2025/12

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco выявила критическую уязвимость zero-day, CVE-2025-20393, в своих устройствах Secure Email Gateway и Secure Email и Web Manager, использующих AsyncOS, с оценкой CVSS 10,0. Для ее использования требуется, чтобы функция карантина нежелательной почты была включена и доступна через Интернет, что позволяет злоумышленникам выполнять команды с правами root. привилегии. Атаки приписываются актору сложных целенаправленных угроз UAT-9686 из Китая, использующему бэкдор под названием AquaShell для постоянной эксплуатации и контроля над скомпрометированными системами.
-----

Cisco объявила об обнаружении критической уязвимости zero-day, отслеживаемой как CVE-2025-20393, влияющей на ее защищенный почтовый шлюз и устройства защищенной электронной почты и веб-менеджера, работающие под управлением операционной системы AsyncOS. Эта уязвимость имеет оценку CVSS 10,0, что указывает на ее серьезный характер и потенциал для активного использования злоумышленниками. Недостаток связан с неправильной проверкой вводимых данных, которая позволяет злоумышленникам выполнять произвольные команды с привилегиями корневого уровня в скомпрометированных системах.

В частности, уязвимость нацелена на ограниченное количество устройств защиты электронной почты Cisco, которые имеют незащищенные порты. В частности, для использования должна быть включена функция карантина нежелательной почты, а ее интерфейс должен быть доступен из Интернета.

Атаки, связанные с этой уязвимостью, приписываются актору сложной целенаправленной угрозы из Китая, обозначенному как UAT-9686, что указывает на сложную и организованную угрозу. Эта кампания была признана активной по крайней мере с конца ноября 2025 года. Вредоносная активность была выявлена в ходе расследования дела службой поддержки Cisco в начале декабря 2025 года.

Чтобы поддерживать закрепление в скомпрометированных системах, злоумышленники использовали бэкдор, известный как AquaShell, который представляет собой инструмент на основе Python, интегрированный в существующие файлы веб-приложений. AquaShell отвечает на специально созданные, не прошедшие проверку подлинности HTTP POST-запросы, позволяя злоумышленникам декодировать входящие данные и выполнять команды непосредственно в системной оболочке, тем самым увеличивая потенциал для дальнейшего использования и нанесения ущерба.

В ответ на продолжающуюся эксплуатацию CVE-2025-20393 Агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей, подчеркнув ее актуальность и необходимость для организаций оперативно устранять ее. Организациям рекомендуется проверить, включена ли функция карантина нежелательной почты и является ли она общедоступной. Непосредственные рекомендации для защитников включают устранение прямого доступа к интерфейсам управления и карантина нежелательной почты через Интернет, размещение устройств за брандмауэрами, которые ограничивают доступ только к доверенным хостам, и обеспечение того, чтобы функции обработки почты были отделены от интерфейсов управления для снижения потенциальных рисков.

#ParsedReport #CompletenessHigh
17-12-2025

GachiLoader: Defeating Node.js Malware with API Tracing

https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/

Report completeness: High

Threats:
Gachiloader
Kidkadi
Pe_injection_technique
Rhadamanthys
Vmprotect_tool
Themida_tool

Victims:
Consumers

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1055.002, T1057, T1059.001, T1071.001, T1106, T1112, have more...

IOCs:
Command: 1
File: 70
Hash: 304
Domain: 8
Url: 11
IP: 6

Soft:
Node.js, Windows Defender, whatsapp, twitter, KeePass, Windows Media Player, hyper-v, virtualbox, qemu

Wallets:
harmony_wallet

Algorithms:
base64

Functions:
Get-WmiObject

Win API:
LoadLibrary, NtMapViewOfSection, NtOpenSection, NtClose

Languages:
javascript, powershell

Links:
have more...
https://github.com/CheckPointSW/Nodejs-Tracer