#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники осуществили кибератаку, включающую поддельный процесс верификации человеком, для распространения стиллера StealC и программ-вымогателей Qilin через скомпрометированный сайт. Цепочка заражения была инициирована вредоносным скриптом, который загрузил троян удаленного доступа NetSupport (RAT), который, в свою очередь, извлек пакет StealC V2 в ZIP-файле. Кроме того, загруженная сбоку DLL-библиотека с именем rtworkq.библиотека dll была использована для запуска вредоносного ПО StealC, что подчеркивает сложные методологии, используемые в этой атаке.
-----

В недавнем кибер-инциденте злоумышленники использовали поддельный процесс проверки человеком для доставки стиллера StealC и Qilin Ransomware. Эта цепочка атак началась, когда жертвы посетили скомпрометированный веб-сайт, aquafestonline.com , который содержал вредоносный скрипт. Скрипт был разработан для получения запутанного внешнего файла JavaScript (d.js) с внешнего сервера, islonline.org , облегчающий начальные стадии атаки.

Основным методом заражения было внедрение троянца удаленного доступа NetSupport (RAT). RAT отвечал за загрузку пакета StealC V2, который был заархивирован в ZIP-файл, идентифицированный хэш-значениями 0c71102046bea598d2369d2fca664472 для ZIP-архива, и дополнительными хэшами для его содержимого. Основные полезные нагрузки включали client32.exe , который также содержал конкретные идентифицируемые хэши, такие как 98dd757e1c1fa8b5605bda892aa0b82ebefa1f07 для самого исполняемого файла.

Кроме того, в атаке использовался вредоносный DLL-файл с именем rtworkq.dll , который был загружен для выполнения вредоносного ПО StealC. Эта библиотека DLL играла жизненно важную роль в инфраструктуре атаки, гарантируя, что полезная нагрузка может успешно выполняться в системе жертвы.

Индикаторы угрозы, связанные с этим инцидентом, подчеркивают сложный характер атаки и предоставляют важные данные для обнаружения и анализа. Серия хэшей SHA1 и SHA256, относящихся к полезной нагрузке StealC, NetSupport RAT и ZIP-файлам, необходима командам безопасности, стремящимся выявлять и смягчать воздействие таких инфекций в своих средах. В целом, этот инцидент подчеркивает постоянную эволюцию киберугроз и использование сложных методов для компрометации жертв.

#ParsedReport #CompletenessHigh
20-12-2025

APT36 sample analysis

https://www.ctfiot.com/287443.html

Report completeness: High

Actors/Campaigns:
Transparenttribe

Victims:
Government sector, Information technology sector

Industry:
Military, Iot

Geo:
Pakistan, India, Chinese, Indian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1105, T1204, T1204.002, T1204.004, T1218.005

IOCs:
Hash: 21
File: 27
Registry: 2
Url: 2
IP: 3
Command: 2

Soft:
Linux, systemd, PyInstaller, Zoom, WeChat

Algorithms:
aes, zip, xor, sha1, gzip, aes-ecb, sha256, base64, md5

Functions:
listall, upload, download, zip, runcmd, python, screenshot, clean, crack, CanPingGoogleDns, have more...

Win API:
gethostname, decompress, deletefile

Languages:
python, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36 использует два метода для развертывания вредоносного ПО в системах Linux и Windows, маскируя Вредоносные файлы под законные документы. В Linux он создает каталог ".local" и загружает файлы, выполняя скрипт, который открывает потенциально опасный PDF-файл. В Windows он использует вредоносный файл LNK для запуска выполнения встроенного кода с помощью `mshta.exe `, который запускает вредоносное HTML-приложение, что указывает на стратегию социальной инженерии, основанную на доверии пользователей.
-----

Было замечено, что APT36 использует два различных метода для запуска вредоносного ПО на платформах Linux и Windows, уделяя особое внимание распространению Вредоносных файлов, замаскированных под законные документы.

В Linux атака начинается с создания каталога `.local` с определенными разрешениями (0755), за которым следует загрузка трех файлов с целевого URL: `gkt3.1`, `gkt3.sh `, и "ПРИЛОЖЕНИЕ ДЛЯ ОБНОВЛЕНИЯ.pdf`. Тот самый `gkt3.sh После этой загрузки выполняется скрипт, который впоследствии использует команду "xdg-open" для открытия PDF-файла, что потенциально может привести к дальнейшей эксплуатации или запуску вредоносного ПО.

И наоборот, на платформах Windows APT36 использует вредоносный ярлык (файл LNK) с именем "APPL ДЛЯ ОБНОВЛЕНИЯ ИДЕНТИФИКАТОРА ЭЛЕКТРОННОЙ ПОЧТЫ НА ОСНОВЕ ИМЕНИ и ОФИЦИАЛЬНОЙ СЕТЕВОЙ КАРТЫ.pdf.LNK`. Этот файл инициирует выполнение встроенного кода с помощью `mshta.exe `инструмент, законное системное приложение Windows. Ярлык загружает и запускает вредоносное HTML-приложение `app.hta` (идентифицируемое по хэшу MD5 90796ed66e7f5f36b6317e6bdf9718ce), которое представляет значительную угрозу, способствуя дальнейшему компрометированию системы.

Используемые методы отражают стратегический подход к социальной инженерии, использующий знакомые названия документов, чтобы заманить жертв к запуску вредоносного ПО, тем самым подчеркивая сохраняющуюся тенденцию в киберугрозах, когда злоумышленники используют доверие пользователей к официальным сообщениям.

#ParsedReport #CompletenessMedium
17-12-2025

NuGet malware targets Nethereum tools

https://www.reversinglabs.com/blog/nuget-malware-crypto-oauth-tokens

Report completeness: Medium

Threats:
Nethereumnet
Supply_chain_technique

Victims:
Crypto users, Software developers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1528, T1552, T1565

IOCs:
File: 1
Url: 1
Hash: 265

Soft:
NuGet, Nethereum, Twitter

Wallets:
bitcoincore, coinbase

Crypto:
solana, ethereum, binance

Algorithms:
xor, exhibit, sha1

Languages:
csharp, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ReversingLabs выявила вредоносные пакеты на платформах с открытым исходным кодом, нацеленные на разработчиков криптовалют, число которых увеличится с 2024 по 2025 год. Вредоносное ПО включает в себя специализированные стиллеры кошельков, которые маскируют вредоносный код в законных приложениях, пакеты NuGet, такие как Coinbase.Net.Api, которые манипулируют методами транзакций для перекачки средств, и GoogleAds.Пакет API, который извлекает данные OAuth. Эти атаки используют уязвимости в Цепочке поставок программного обеспечения с открытым исходным кодом, позволяя злоумышленникам создавать бесшумные бэкдоры.
-----

ReversingLabs выявила серию вредоносных пакетов на платформах программного обеспечения с открытым исходным кодом, в частности, нацеленных на разработчиков и пользователей криптовалют. Эта тенденция, которая начала усиливаться в 2024 году и сохранялась до 2025 года, указывает на значительный поворот злоумышленников к использованию криптографических приложений для получения финансовой выгоды.

Самое вредоносное ПО можно разделить в основном на три группы. Первая группа включает в себя специализированные кошелек похитителей, которые не сразу выполнить вредоносный код после установки, в отличие от обычных вредоносное ПО. Вместо этого, эти пакеты предназначены, чтобы замаскировать вредоносный код внутри легитимной базы кода. Это скрытый способ позволяет вредоносное ПО, которые должны быть включены в приложения, не вызывая немедленное подозрение.

Вторая группа включает специальные пакеты NuGet, такие как Coinbase.Net.Api, которые аналогичным образом внедряют вредоносные функции. В рамках этой платформы злоумышленник может манипулировать методом SendMoneyAsync, который обрабатывает транзакции с криптовалютой. Изменив адрес целевого кошелька на адрес, контролируемый злоумышленником, можно незаметно вывести средства из транзакций на сумму более 100 долларов, особенно во время небольших транзакций, которые представляют меньший риск срабатывания предупреждений.

К третьей группе относятся GoogleAds.Пакет API, который работает аналогично вышеупомянутому стиллеру кошельков, но нацелен на удаление конфиденциальных данных Google Ads OAuth вместо информации о криптовалюте. Это демонстрирует универсальность методов атаки, используемых злоумышленниками.

Последствия этих атак глубоки, они подчеркивают уязвимости в Цепочке поставок программного обеспечения с открытым исходным кодом, где доверием можно легко воспользоваться. Актеры опасный заработать на первый взгляд безобидные зависимости, чтобы создать то, что составляет молчит бэкдор для своих атак.

#ParsedReport #CompletenessLow
17-12-2025

From Linear to Complex: An Upgrade in RansomHouse Encryption

https://unit42.paloaltonetworks.com/ransomhouse-encryption-upgrade/

Report completeness: Low

Actors/Campaigns:
Ransomhouse (motivation: financially_motivated)

Threats:
Ransomhouse
Mragent
Spear-phishing_technique
Mario
Junk_code_technique
Esxiargs

Industry:
Healthcare, Transport, Government, Financial

Geo:
Japan, Korea, Middle east, India, Australia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1203, T1486, T1560.001, T1566.001

IOCs:
File: 1
Hash: 4

Soft:
ESXi, Telegram, esxcli, VirtualBox

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RansomHouse, управляемый группой Jolly Scorpius, расширил свое предложение "программа-вымогатель как услуга" за счет улучшенного шифрования и эволюционирующих стратегий атак. Первоначальные вторжения используют spear phishing, социальную инженерию и использование уязвимостей zero-day, за которыми следуют методы эксфильтрации данных с использованием таких инструментов, как MrAgent и Mario. Новая версия Mario шифрует файлы сложными, многоуровневыми методами, ориентируясь на определенные расширения файлов и используя метод обхода каталогов, что указывает на расширение возможностей киберпреступников.
-----

RansomHouse - это усовершенствованная программа-вымогатель как услуга (RaaS), управляемая группой, известной как Jolly Scorpius, которая недавно обновила свои механизмы шифрования, что указывает на значительную эволюцию их стратегий атак. Акторы, стоящие за RansomHouse, в основном выступают в качестве разработчиков серверной части платформы RaaS, полагаясь на аффилированных лиц для осуществления первоначальных вторжений в сети жертв. Эти первоначальные атаки обычно выполняются с помощью spear phishing и социальной инженерии, а также путем использования уязвимых систем, использующих уязвимости zero-day.

Как только злоумышленники получают доступ, они используют методы для эксфильтрации эксфильтрация, в том числе для сжатия файлов и перенос инженерных сетей, и отправить этот украденные данные на собственных серверах. После эксфильтрация, вымогателей развернут, после чего наступает этап вымогательство где переговоров с жертвами происходят через платформы, такие как сайт, утечка телеграмму и специализированных данных.

В ransomhouse RansomHouse использует специальные инструменты, в том числе MrAgent и Марио, которые адаптированы для ущерба для виртуальных сред, особенно тех, кто работает на сети в ESXi. MrAgent-это основной инструмент развертывания, что способствует стойким и управления доступом взломанных систем. Его функционал включает в себя методы обфускации, чтобы затруднить реверс-инжиниринга и он сохраняет настройки и данные состояния через внутреннюю JSON структур.

Mario, специализированный инструмент шифрования, работает путем шифрования файлов, связанных с виртуальными машинами. Обновленная версия Mario внедрила более сложные методы шифрования по сравнению со своей предшественницей. Он нацелен на определенные расширения файлов и работает по методу обхода каталогов, в то время как зашифрованные файлы переименовываются с расширением, включающим ".emario". Новая версия Mario также повышает эффективность и устойчивость к анализу благодаря более сложному подходу, включающему выборочную обработку файлов.

Модернизация технологии шифрования RansomHouse отражают тревожную тенденцию в рекламных, переход от базового шифрования, к более сложным, многослойным одна, что усиливает эффективность этих злоумышленников. Эта модернизация предполагает непрерывное совершенствование потенциала субъектов опасным, подчеркивает необходимость участия защитников, чтобы адаптировать свои стратегии в ответ на эти новые угрозы.

#ParsedReport #CompletenessLow
18-12-2025

In depth analysis of the alleged Qilin, DragonForce and LockBit alliance

https://labs.yarix.com/2025/12/in-depth-analysis-of-the-alleged-qilin-dragonforce-and-lockbit-alliance/

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
Lockbit
Shinyhunters (motivation: financially_motivated)
Lockbitsupp

Threats:
Qilin_ransomware
Lockbit
Dragonforce_ransomware
Blackcat
Ransomhub
Hunters_international
Hive_ransomware
Playcrypt
Akira_ransomware
Clop
Inc_ransomware
Safepay
Lynx
Babuk

Geo:
Russian

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


Soft:
GoAnywhere, MOVEit, Salesforce

Languages:
solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Союз между вымогателей группы Qilin, DragonForce, и LockBit свидетельствует об изменении вымогателей ландшафта, в частности, как установлено групп, как LockBit лицо эксплуатационные проблемы из-за неопытных операторов, так и конкуренцию со стороны других субъектов, с использованием нетрадиционных вымогателей-как-услуга моделей. В частности, cl0p's уязвимостей в корпоративных самых интересных моментов из программного обеспечения эта тенденция. Несмотря на рост числа заявлений о вымогательстве, фрагментация среди этих групп свидетельствует о необходимости поддержания актуальности, а не о единой операционной стратегии.
-----

Анализ касается недавно объявленного альянса между группами программ-вымогателей Qilin, DragonForce и LockBit, о котором сообщалось 15 сентября 2025 года. Это объявление вызвало обеспокоенность относительно целостности и функциональности этих групп в рамках развивающегося рынка программ-вымогателей. Данные, собранные из различных источников вплоть до конца ноября 2025 года, указывают на существенный кризис реструктуризации в экосистеме программ-вымогателей, в значительной степени связанный с упадком исторически доминирующих игроков, таких как HIVE и LockBit, и продолжающимися операциями против этих групп.

Важный вывод подчеркивает, что многие операторы, связанные с LockBit, неопытны, что приводит к снижению операционной эффективности и трудностям с привлечением новых квалифицированных участников. Это привело к восприятию LockBit как все более устаревшего, особенно после неудач в операции Cronos. Параллельно растет число альтернативных акторов-вымогателей, отличающихся от традиционных моделей "Программы-вымогатели как услуга" (RaaS), с заметным акцентом на использование уязвимостей в широко используемом программном обеспечении, прежде чем предъявлять требования о выкупе. Cl0p является примером этой тенденции, успешно использовав слабые места в приложениях, предназначенных для передачи корпоративных данных.

Несмотря на сообщения об увеличении числа заявлений о вымогательстве примерно на 61% в годовом исчислении, что свидетельствует о росте числа зарегистрированных инцидентов, основные проблемы, с которыми сталкиваются известные группы, такие как LockBit, указывают на фрагментацию власти, а не на согласованную операционную стратегию. Эта фрагментация дополнительно иллюстрируется отсутствием оперативных сигналов от LockBit с середины 2025 года, что позволяет предположить, что любой созданный альянс может в первую очередь служить репутационным целям, а не свидетельствовать о подлинном сотрудничестве между этими группами.

Кроме того, изучение настроений сообщества на подпольных форумах выявляет недоверие опытных операторов к LockBit, о чем свидетельствует опрос, который высказался за сохранение ограничений на учетную запись известного участника LockBit. Общий вывод представляет альянс Qilin, DragonForce и LockBit как потенциальную стратегию выживания в условиях операционного давления, направленную на сохранение актуальности бренда и привлечение новых партнеров, а не представляющую собой расширенное сотрудничество между известными акторами-вымогателями.

#ParsedReport #CompletenessHigh
18-12-2025

Defeating AuraStealer: Practical Deobfuscation Workflows for Modern Infostealers

https://www.gendigital.com/blog/insights/research/defeating-aurastealer-obfuscation

Report completeness: High

Threats:
Aurastealer
Antivm_technique
Sandbox_evasion_technique
Antidebugging_technique
Heavens_gate_technique
Dll_sideloading_technique
Glassworm
Clickfix_technique
Lumma_stealer
Stealc
Vidar_stealer
Rhadamanthys
Unicorn_tool
Anydesk_tool

Victims:
Consumers, General users

Geo:
Lithuania, Estonia, Russian, Latvia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1059.001, T1071.001, T1105, T1106, T1106.001, T1140, T1204.002, have more...

IOCs:
File: 1
Path: 1
IP: 1
Hash: 12
Domain: 27

Soft:
TikTok, Microsoft Defender, Discord, Telegram, Steam, KeePass, Bitwarden, 1Password, LastPass

Algorithms:
mersenne_twister, xor, murmur3, fnv-1a, aes-cbc, exhibit

Functions:
NTDLL, IDA, AuraStealer

Win API:
WinMain, ShellExecuteExW, GetModuleHandleA, VirtualAlloc, MapFileAndCheckSumW, GetUserDefaultLCID, GetSystemDefaultLCID, GetLocaleInfoA, GetSystemTimePreciseAsFileTime, GetUserNameW, have more...

Languages:
powershell, python

Links:
https://github.com/avast/ioc/blob/master/AuraStealer/extras/aurastealer\_config\_extractor.py
https://github.com/avast/ioc/blob/master/AuraStealer/extras/aurastealer\_decrypt\_strings.py
have more...

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 2, dump: 6, code: 13, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer - это вредоносное ПО-стиллер на основе C++, предназначенное для систем Windows от 7 до 11, предназначенное для извлечения данных из более чем 110 браузеров и 70 приложений, в частности кошельков и средств аутентификации. Он распространяется с помощью вводящих в заблуждение видеороликов TikTok, используя административные команды PowerShell для своей установки. Вредоносное ПО использует передовые методы обфускации и антианализа, включая динамическую генерацию мьютексов и специальные проверки защитных сред, чтобы избежать обнаружения, одновременно облегчая масштабные операции по краже данных.
-----

AuraStealer - это стиллер вредоносного ПО типа "как услуга", разработанный на C++ и предназначенный для систем Windows от Windows 7 до Windows 11. Он извлекает данные из более чем 110 браузеров и 70 приложений, включая кошельки и инструменты двухфакторной аутентификации. Вредоносное ПО использует вводящие в заблуждение видеоролики TikTok, чтобы заставить пользователей выполнять вредоносные команды и загружать полезную нагрузку через PowerShell. Он использует методы запутывания, такие как косвенное запутывание потока управления, хэширование API, управляемое исключениями, и запутывание строк, чтобы затруднить анализ. AuraStealer включает в себя методы антианализа, проверку наличия защитных сред и диалоговые окна пользовательского ввода. Он также проводит проверку геолокации и обнаруживает аномалии, такие как отладчики и виртуальные машины. Его процесс выполнения включает в себя настройку пользовательских обработчиков исключений, расшифровку конфигураций и кражу данных с помощью динамически генерируемого мьютекса для ограничения количества экземпляров. Он обходит шифрование, привязанное к приложениям, в браузерах на базе Chromium, выполняя их в приостановленном безголовом режиме. Сетевые действия начинаются с проверки подключения и взаимодействия с инфраструктурой управления для поиска конфигурации и эксфильтрации файлов через назначенные конечные точки API.

#ParsedReport #CompletenessHigh
19-12-2025

Stealth in Layers: Unmasking the Loader used in Targeted Email Campaigns

https://cyble.com/blog/stealth-in-layers-unmasking-loader-in-targeted-email-campaigns/

Report completeness: High

Threats:
Steganography_technique
Purelogs
Katz_stealer
Asyncrat
Remcos_rat
Process_injection_technique
Uac_bypass_technique
Process_hollowing_technique
Spear-phishing_technique

Victims:
Manufacturing, Government, Industrial

Industry:
Entertainment, Government

Geo:
Middle east, Saudi arabia, Italy, Finland

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 22

IOCs:
File: 2
IP: 1
Hash: 6
Url: 4

Soft:
Task Scheduler, Firefox, NET framework

Algorithms:
cbc, sha256, gzip, des, base64, zip

Functions:
TaskScheduler

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4