#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, известный как Charming Kitten, является иранским злоумышленником, который использует структурированный и бюрократический подход к кибероперациям, тщательно управляя ресурсами с помощью системы, подобной бухгалтерской. Их операции включают в себя нацеленную психологическую войну против израильских граждан, используя индивидуальные методы фишинга, разведку и одноразовые удостоверения личности для каждой кампании, чтобы свести к минимуму разоблачение. Методы, описанные в платформе MITRE ATT&CK, включают Активное сканирование, фишинг страниц для получения первоначального доступа и использование поддельных удостоверений личности для сокрытия их истинных мотивов.
-----

APT35, также известный как Charming Kitten, является иранским злоумышленником, известным бюрократическим подходом к кибероперациям. Недавние утечки раскрывают подробную систему управления инфраструктурой, отслеживающую ресурсы, такие как арендованные серверы и зарегистрированные домены. Кибератаки с помощью APT35 рассматриваются как процессы, регулируемые бюджетными ограничениями. Группа использует небольшие криптовалютные транзакции для управления ресурсами, обрабатываемые через Cryptomus для анонимных платежей. APT35 работает по модели подписки для киберопераций. Подразделение Moses Staff нацелено на израильский государственный персонал для ведения психологической войны в соответствии с доктриной асимметричной войны Ирана. APT35 использует операции разведки и фишинга с помощью специально разработанных электронных писем и одноразовых удостоверений личности, чтобы свести к минимуму разоблачение. Методы включают Активное сканирование, фишинг-страницы для первоначального доступа и одноразовые учетные записи ProtonMail для закрепления. Они также используют тактику Маскировки, чтобы имитировать организации из Израиля, США или Европы. В целом, операции APT35's сочетают в себе традиционные бюрократические методы с передовыми технологиями ведения информационной войны.

#ParsedReport #CompletenessHigh
17-12-2025

Phantom 3.5: Initial Vector Analysis & Forensics

https://labs.k7computing.com/index.php/phantom-3-5-initial-vector-analysis-forensics/

Report completeness: High

Threats:
Phantom_stealer
Process_injection_technique
Procdump_tool
Heavens_gate_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1539, T1555

IOCs:
Url: 2
File: 1
Hash: 5

Soft:
BLACKHAWK, Chromium, Chrome, outlook, Discord, Firefox, Telegram, Twitter

Algorithms:
base64, rc4, aes, md5

Win API:
WriteProcessMemory, VirtualAllocEx, ResumeThread

Languages:
javascript, powershell

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 21, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom 3.5 - это вредоносное ПО-стиллер, которое нацелено на конфиденциальные данные, извлекая пароли пользователей, файлы cookie браузера, данные кредитной карты и учетные данные криптовалютного кошелька, что приводит к краже личных данных и захвату учетных записей. После установки в систему он также может способствовать дальнейшим кибератакам, используя скомпрометированный компьютер. Это вредоносное ПО является примером растущих угроз в области кибербезопасности, подчеркивая важность обнаружения и устранения таких атак.
-----

Phantom 3.5 - это вредоносное ПО-стиллер, которое компрометирует конфиденциальные данные из зараженных систем, что делает его серьезной угрозой в сфере киберпреступности. Вредоносное ПО предназначено для извлечения различных типов ценной информации, включая пароли пользователей, файлы cookie браузера, данные кредитной карты, учетные данные криптовалютного кошелька и даже IP-адреса жертвы. Такой сбор данных может способствовать краже личных данных и захвату учетных записей, создавая серьезные риски как для отдельных лиц, так и для организаций.

После установки Phantom 3.5 потенциально может превратить зараженный компьютер в платформу для более масштабных кибератак. Собранная информация не только помогает в прямой краже, но и может заложить основу для организации более сложных атак, используя скомпрометированную систему в качестве стартовой площадки. Эта возможность подчеркивает роль вредоносного ПО в более широком контексте угроз кибербезопасности, когда первоначальная кража данных может привести ко все более изощренным и разрушительным эксплойтам. Использование Phantom 3.5 подчеркивает необходимость принятия надежных мер по кибербезопасности для обнаружения и смягчения воздействия такого вредоносного ПО.

#ParsedReport #CompletenessHigh
16-12-2025

Parked Domains Become Weapons with Direct Search Advertising

https://blogs.infoblox.com/threat-intelligence/parked-domains-become-weapons-with-direct-search-advertising/

Report completeness: High

Actors/Campaigns:
Master134

Threats:
Fastflux_technique
Typosquatting_technique
Residential_proxy_technique
Tedy
Clickfix_technique
Babar
Cloaking_technique

Industry:
Financial, Education, Entertainment

Geo:
Canadian, Japanese, Russian

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1204.001, T1568.002, T1583.001, T1584.004, T1592.004, T1608.001, T1608.004

IOCs:
Domain: 24
Email: 1
File: 1
Hash: 3
IP: 1
Url: 1

Soft:
chrome, linux, Gmail, Opera GX, Firefox

Algorithms:
sha256, base64, zip

Languages:
javascript

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 2, windows: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Припаркованные домены все чаще используются злоумышленниками-акторами для направления пользователей на вредоносные целевые страницы, используя сложные рекламные экосистемы, которые скрывают атрибуцию. Проанализированные случаи, такие как Scotaibank.com , выявляют запутанные пути перенаправления, которые подвергают пользователей воздействию вредоносного ПО и мошеннических действий, в то время как владельцы доменов извлекают выгоду из typosquatting и сложной техники "двойного" fast flux, которая усложняет отслеживание их вредоносных действий. Эта среда создает значительные риски для ничего не подозревающих пользователей Интернета, о чем свидетельствует растущее распространение доменов-двойников и манипулирование потоками трафика.
-----

Припаркованные домены, часто воспринимаемые как безобидные пространства, заполненные рекламой, превратились в серьезную киберугрозу из-за манипуляций с ними злонамеренными акторами и сложных рекламных экосистем. Исследования показывают, что когда пользователи посещают эти припаркованные домены, они часто попадают на вредоносные целевые страницы, причем большая часть трафика продается партнерским рекламным сетям. Такое несоответствие между припаркованным доменом и окончательной рекламой усложняет атрибуцию и представляет значительный риск для ничего не подозревающих пользователей.

Одним из наглядных примеров этих рисков является случай Scotaibank.com , где тщательный анализ выявил сложные пути перенаправления, ведущие к различным опасностям, включая вредоносное ПО, мошенничество и нерелевантный контент. Обнаруженные целевые страницы варьировались от подозрительных до откровенно вредоносных, демонстрируя, как распределение трафика по припаркованным доменам может создать опасную среду для пользователей Интернета.

Злонамеренные рекламодатели играют значительную роль в этом ландшафте угроз; однако владельцы доменов — физические или юридические лица, владеющие большими портфелями доменов, — в равной степени виновны. Эти доменщики часто владеют многочисленными доменами-двойниками, которые используют распространенные опечатки, направляя трафик на потенциально вредоносную рекламу. Монетизация этих доменов представляет собой прибыльную бизнес-модель, которую используют многие владельцы доменов, повышая ставки для пользователей, непреднамеренно попадающих на эти страницы.

Кроме того, некоторых владельцев доменов участвовать в технике сродни "двойной" fast flux, изменяя оба сервера имен и IP-адресов, связанных с их припаркованных доменах. Этот метод усложняет отслеживание, тем самым скрывая вредоносные действия, связанные с этими доменами. Редко используется из-за его сложности, использование двойных fast flux демонстрирует сложный уровень уклонения от нанятых актеров опасный, С около 80 000 доменов в свой портфель.

Еще одним тревожным аспектом является использование typosquatting, когда акторам нравится тот, кто стоит за domaincntrol.com используйте распространенные типографские ошибки в записях DNS для перенаправления пользователей на потенциально вредоносный контент. Было отмечено, что эта специфическая стратегия нацелена на пользователей Cloudflare DNS, что еще больше увеличивает риск.

#cyberthreattech

Вышла новая карта российского рынка информационной безопасности 2025, теперь мы там тоже есть :)

#ParsedReport #CompletenessMedium
17-12-2025

Operation ForumTroll continues: Russian political scientists targeted using plagiarism reports

https://securelist.com/operation-forumtroll-new-targeted-campaign/118492/

Report completeness: Medium

Actors/Campaigns:
Forumtroll
Memento_labs

Threats:
Leetagent
Dante
Com_hijacking_technique
Tuoni_tool
Spear-phishing_technique

Victims:
Political scientists, International relations scholars, Global economics scholars, Universities, Research institutions

Industry:
Education

Geo:
Russian, Russian federation, Russia, Belarus

CVEs:
CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1546.015, T1566, T1583.001

IOCs:
Email: 1
Domain: 4
Url: 1
IP: 1
Path: 1
Registry: 1

Soft:
Google Chrome

Algorithms:
zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция ForumTroll включает в себя кибератаки APT-группировки, нацеленные на российских политологов, с использованием уязвимости CVE-2025-2783 в Google Chrome. Злоумышленники используют вредоносное ПО, такое как бэкдор LeetAgent и фреймворк Tuoni, используя кампании фишинга с Вредоносными ссылками из электронной библиотеки домена.вики для доставки полезной нагрузки. Такие методы, как COM Hijacking, используются для закрепления, что указывает на стратегическую направленность на влиятельные сектора российского академического сообщества.
-----

Операция "ForumTroll" представляет собой серию продолжающихся кибератак, приписываемых конкретной APT-группировке, которая продолжает быть нацелена на российских политологов с момента их первоначального обнаружения в марте 2025 года. Эти атаки используют уязвимость CVE-2025-2783 в Google Chrome и используют сложное вредоносное ПО, включая бэкдор LeetAgent и шпионское ПО Dante, разработанное Memento Labs. Операция расширилась с первоначальной ориентации на организации до нацеленных кампаний фишинга, нацеленных на отдельных ученых в области политологии и смежных областях в известных российских академических институтах.

В октябре 2025 года, непосредственно перед презентацией об этих атаках на саммите Security Analyst Summit, была обнаружена новая волна электронных писем с фишингом. Эти электронные письма пришли с вредоносного домена e-library.wiki, который был зарегистрирован ранее в том же году, чтобы укрепить свою репутацию и избежать спам-фильтров, что указывает на уровень подготовки злоумышленников. В кампании по фишингу использовались хорошо продуманные методы социальной инженерии, чтобы склонить получателей к загрузке Вредоносных файлов.

Файлы, на которые были даны ссылки в электронных письмах, содержали полезную нагрузку, которая в конечном итоге доставляла фреймворк Tuoni на скомпрометированные устройства. Этот фреймворк, представляющий собой коммерческий инструмент red teaming, позволяет злоумышленникам поддерживать удаленный доступ и в дальнейшем эксплуатировать систему жертвы. Стоит отметить, что код фреймворка Tuoni частично доступен на GitHub, что позволяет предположить, что злоумышленники используют легкодоступную инфраструктуру для своих операций.

Как весенние, так и осенние атаки имеют заметное сходство. В обоих случаях исходный вектор был нацелен на фишинг, и злоумышленники использовали COM Hijacking в качестве метода для поддержания закрепления своих имплантатов. Загрузчик, используемый для развертывания вредоносных полезных нагрузок, оставался неизменным в обеих кампаниях, что подчеркивает стратегический подход злоумышленников к компрометации системы. Характер угроз, исходящих от группы ForumTroll, свидетельствует о сложном и целенаправленном характере угроз, особенно направленных против влиятельных секторов российского академического сообщества.

#ParsedReport #CompletenessLow
18-12-2025

CVE-2025-20393: Cisco AsyncOS Zero-Day Impacts Secure Email Appliances

https://socradar.io/blog/cve-2025-20393-cisco-asyncos-zero-day-email/

Report completeness: Low

Actors/Campaigns:
Uat-9686
Winnti
Unc5174

Threats:
Aquashell
Aquatunnel_tool
Chisel_tool
Aquapurge_tool
Reversessh_tool

Industry:
Government

Geo:
China, Chinese

CVEs:
CVE-2025-20393 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1190, T1505.003, T1543

IOCs:
Hash: 3
IP: 3

Languages:
python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2025/12

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco выявила критическую уязвимость zero-day, CVE-2025-20393, в своих устройствах Secure Email Gateway и Secure Email и Web Manager, использующих AsyncOS, с оценкой CVSS 10,0. Для ее использования требуется, чтобы функция карантина нежелательной почты была включена и доступна через Интернет, что позволяет злоумышленникам выполнять команды с правами root. привилегии. Атаки приписываются актору сложных целенаправленных угроз UAT-9686 из Китая, использующему бэкдор под названием AquaShell для постоянной эксплуатации и контроля над скомпрометированными системами.
-----

Cisco объявила об обнаружении критической уязвимости zero-day, отслеживаемой как CVE-2025-20393, влияющей на ее защищенный почтовый шлюз и устройства защищенной электронной почты и веб-менеджера, работающие под управлением операционной системы AsyncOS. Эта уязвимость имеет оценку CVSS 10,0, что указывает на ее серьезный характер и потенциал для активного использования злоумышленниками. Недостаток связан с неправильной проверкой вводимых данных, которая позволяет злоумышленникам выполнять произвольные команды с привилегиями корневого уровня в скомпрометированных системах.

В частности, уязвимость нацелена на ограниченное количество устройств защиты электронной почты Cisco, которые имеют незащищенные порты. В частности, для использования должна быть включена функция карантина нежелательной почты, а ее интерфейс должен быть доступен из Интернета.

Атаки, связанные с этой уязвимостью, приписываются актору сложной целенаправленной угрозы из Китая, обозначенному как UAT-9686, что указывает на сложную и организованную угрозу. Эта кампания была признана активной по крайней мере с конца ноября 2025 года. Вредоносная активность была выявлена в ходе расследования дела службой поддержки Cisco в начале декабря 2025 года.

Чтобы поддерживать закрепление в скомпрометированных системах, злоумышленники использовали бэкдор, известный как AquaShell, который представляет собой инструмент на основе Python, интегрированный в существующие файлы веб-приложений. AquaShell отвечает на специально созданные, не прошедшие проверку подлинности HTTP POST-запросы, позволяя злоумышленникам декодировать входящие данные и выполнять команды непосредственно в системной оболочке, тем самым увеличивая потенциал для дальнейшего использования и нанесения ущерба.

В ответ на продолжающуюся эксплуатацию CVE-2025-20393 Агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей, подчеркнув ее актуальность и необходимость для организаций оперативно устранять ее. Организациям рекомендуется проверить, включена ли функция карантина нежелательной почты и является ли она общедоступной. Непосредственные рекомендации для защитников включают устранение прямого доступа к интерфейсам управления и карантина нежелательной почты через Интернет, размещение устройств за брандмауэрами, которые ограничивают доступ только к доверенным хостам, и обеспечение того, чтобы функции обработки почты были отделены от интерфейсов управления для снижения потенциальных рисков.

#ParsedReport #CompletenessHigh
17-12-2025

GachiLoader: Defeating Node.js Malware with API Tracing

https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/

Report completeness: High

Threats:
Gachiloader
Kidkadi
Pe_injection_technique
Rhadamanthys
Vmprotect_tool
Themida_tool

Victims:
Consumers

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1055, T1055.002, T1057, T1059.001, T1071.001, T1106, T1112, have more...

IOCs:
Command: 1
File: 70
Hash: 304
Domain: 8
Url: 11
IP: 6

Soft:
Node.js, Windows Defender, whatsapp, twitter, KeePass, Windows Media Player, hyper-v, virtualbox, qemu

Wallets:
harmony_wallet

Algorithms:
base64

Functions:
Get-WmiObject

Win API:
LoadLibrary, NtMapViewOfSection, NtOpenSection, NtClose

Languages:
javascript, powershell

Links:
have more...
https://github.com/CheckPointSW/Nodejs-Tracer

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GachiLoader - это сильно запутанный Node.js Вредоносное ПО, связанное с сетью YouTube Ghost, функционирует как загрузчик для дополнительной полезной нагрузки, используя передовые методы антианализа. Он использует nexe packer для компиляции в большие исполняемые файлы и использует такие методы, как повышение привилегий с помощью PowerShell и моделирование сред, отличных от "песочницы", чтобы избежать обнаружения. Были идентифицированы два варианта, в одном из которых используется вредоносное ПО Kidkadi, использующее уникальные методы Внедрения PE-образа, которые усложняют анализ.
-----

GachiLoader - это сильно запутанный Node.js Вредоносное ПО идентифицировано как часть YouTube Ghost Network, киберугрозы, которая использует скомпрометированные учетные записи для распространения вредоносного контента. Этот конкретный вариант вредоносного ПО не только служит загрузчиком для дополнительной полезной нагрузки, но и использует сложные методы антианализа, которые усложняют его проверку. Он построен с использованием nexe packer, который компилирует Node.js приложения в автономные исполняемые файлы, создавая файлы размером от 60 до 90 МБ. Хотя жертвы, ожидающие легального программного обеспечения, могут воспринимать эти размеры как не вызывающие подозрений, они создают проблемы для анализа из-за запутывания.

GachiLoader использует различные стратегии защиты от виртуальных машин и антианализа, чтобы избежать обнаружения. Например, он проверяет, работает ли он в среде, отличной от изолированной среды, выполняя команду "сетевой сеанс"; если он определяет, что он работает в ограниченном контексте, он повышает привилегии с помощью PowerShell. Чтобы еще больше избежать обнаружения, вредоносное ПО пытается завершить процесс работы защитника Windows (SecHealthUI.exe ) и создайте исключения в настройках Defender, которые позволят его действиям оставаться незамеченными.

Были рассмотрены два основных варианта GachiLoader. Первый вариант извлекает полезную нагрузку второго этапа путем отправки системной информации, включая сведения об антивирусе и версию операционной системы, на свой сервер C2 (Command and Control), используя несколько адресов для избыточности. Напротив, второй вариант содержит встроенное вредоносное ПО Kidkadi, которое не связывается с сервером C2 и вместо этого выполняет свою полезную нагрузку непосредственно из временного каталога под именем kidkadi.node.

Одной из замечательных характеристик Kidkadi является его новый метод внедрения переносимых исполняемых файлов (PE). Он использует векторизованную обработку исключений для манипулирования памятью: законная библиотека DLL (wmp.dll ) изменяется динамически, чтобы заменить его вредоносным содержимым полезной нагрузки, позволяя вредоносному ПО сопоставлять и выполнять его в пространстве процесса. Этот процесс еще больше усложняет усилия по анализу и смягчению последствий вредоносного ПО.

Чтобы помочь исследователям в анализе GachiLoader, Check Point Research создала программу с открытым исходным кодом Node.js tracer, который упрощает процесс деобфускации и позволяет аналитикам эффективно подключаться к вызовам Node-API. Этот трассировщик обходит функции антианализа вредоносного ПО, сохраняя доказательства вредоносной активности до того, как вредоносное ПО сможет их удалить. Растущая распространенность запутанных Node.js наличие вредоносного ПО обусловливает необходимость разработки таких инструментов для повышения эффективности анализа киберугроз и реагирования на них.