#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RansomHouse, управляемый группой Jolly Scorpius, расширил свое предложение "программа-вымогатель как услуга" за счет улучшенного шифрования и эволюционирующих стратегий атак. Первоначальные вторжения используют spear phishing, социальную инженерию и использование уязвимостей zero-day, за которыми следуют методы эксфильтрации данных с использованием таких инструментов, как MrAgent и Mario. Новая версия Mario шифрует файлы сложными, многоуровневыми методами, ориентируясь на определенные расширения файлов и используя метод обхода каталогов, что указывает на расширение возможностей киберпреступников.
-----

RansomHouse - это усовершенствованная программа-вымогатель как услуга (RaaS), управляемая группой, известной как Jolly Scorpius, которая недавно обновила свои механизмы шифрования, что указывает на значительную эволюцию их стратегий атак. Акторы, стоящие за RansomHouse, в основном выступают в качестве разработчиков серверной части платформы RaaS, полагаясь на аффилированных лиц для осуществления первоначальных вторжений в сети жертв. Эти первоначальные атаки обычно выполняются с помощью spear phishing и социальной инженерии, а также путем использования уязвимых систем, использующих уязвимости zero-day.

Как только злоумышленники получают доступ, они используют методы для эксфильтрации эксфильтрация, в том числе для сжатия файлов и перенос инженерных сетей, и отправить этот украденные данные на собственных серверах. После эксфильтрация, вымогателей развернут, после чего наступает этап вымогательство где переговоров с жертвами происходят через платформы, такие как сайт, утечка телеграмму и специализированных данных.

В ransomhouse RansomHouse использует специальные инструменты, в том числе MrAgent и Марио, которые адаптированы для ущерба для виртуальных сред, особенно тех, кто работает на сети в ESXi. MrAgent-это основной инструмент развертывания, что способствует стойким и управления доступом взломанных систем. Его функционал включает в себя методы обфускации, чтобы затруднить реверс-инжиниринга и он сохраняет настройки и данные состояния через внутреннюю JSON структур.

Mario, специализированный инструмент шифрования, работает путем шифрования файлов, связанных с виртуальными машинами. Обновленная версия Mario внедрила более сложные методы шифрования по сравнению со своей предшественницей. Он нацелен на определенные расширения файлов и работает по методу обхода каталогов, в то время как зашифрованные файлы переименовываются с расширением, включающим ".emario". Новая версия Mario также повышает эффективность и устойчивость к анализу благодаря более сложному подходу, включающему выборочную обработку файлов.

Модернизация технологии шифрования RansomHouse отражают тревожную тенденцию в рекламных, переход от базового шифрования, к более сложным, многослойным одна, что усиливает эффективность этих злоумышленников. Эта модернизация предполагает непрерывное совершенствование потенциала субъектов опасным, подчеркивает необходимость участия защитников, чтобы адаптировать свои стратегии в ответ на эти новые угрозы.

#ParsedReport #CompletenessLow
18-12-2025

In depth analysis of the alleged Qilin, DragonForce and LockBit alliance

https://labs.yarix.com/2025/12/in-depth-analysis-of-the-alleged-qilin-dragonforce-and-lockbit-alliance/

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
Lockbit
Shinyhunters (motivation: financially_motivated)
Lockbitsupp

Threats:
Qilin_ransomware
Lockbit
Dragonforce_ransomware
Blackcat
Ransomhub
Hunters_international
Hive_ransomware
Playcrypt
Akira_ransomware
Clop
Inc_ransomware
Safepay
Lynx
Babuk

Geo:
Russian

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


Soft:
GoAnywhere, MOVEit, Salesforce

Languages:
solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Союз между вымогателей группы Qilin, DragonForce, и LockBit свидетельствует об изменении вымогателей ландшафта, в частности, как установлено групп, как LockBit лицо эксплуатационные проблемы из-за неопытных операторов, так и конкуренцию со стороны других субъектов, с использованием нетрадиционных вымогателей-как-услуга моделей. В частности, cl0p's уязвимостей в корпоративных самых интересных моментов из программного обеспечения эта тенденция. Несмотря на рост числа заявлений о вымогательстве, фрагментация среди этих групп свидетельствует о необходимости поддержания актуальности, а не о единой операционной стратегии.
-----

Анализ касается недавно объявленного альянса между группами программ-вымогателей Qilin, DragonForce и LockBit, о котором сообщалось 15 сентября 2025 года. Это объявление вызвало обеспокоенность относительно целостности и функциональности этих групп в рамках развивающегося рынка программ-вымогателей. Данные, собранные из различных источников вплоть до конца ноября 2025 года, указывают на существенный кризис реструктуризации в экосистеме программ-вымогателей, в значительной степени связанный с упадком исторически доминирующих игроков, таких как HIVE и LockBit, и продолжающимися операциями против этих групп.

Важный вывод подчеркивает, что многие операторы, связанные с LockBit, неопытны, что приводит к снижению операционной эффективности и трудностям с привлечением новых квалифицированных участников. Это привело к восприятию LockBit как все более устаревшего, особенно после неудач в операции Cronos. Параллельно растет число альтернативных акторов-вымогателей, отличающихся от традиционных моделей "Программы-вымогатели как услуга" (RaaS), с заметным акцентом на использование уязвимостей в широко используемом программном обеспечении, прежде чем предъявлять требования о выкупе. Cl0p является примером этой тенденции, успешно использовав слабые места в приложениях, предназначенных для передачи корпоративных данных.

Несмотря на сообщения об увеличении числа заявлений о вымогательстве примерно на 61% в годовом исчислении, что свидетельствует о росте числа зарегистрированных инцидентов, основные проблемы, с которыми сталкиваются известные группы, такие как LockBit, указывают на фрагментацию власти, а не на согласованную операционную стратегию. Эта фрагментация дополнительно иллюстрируется отсутствием оперативных сигналов от LockBit с середины 2025 года, что позволяет предположить, что любой созданный альянс может в первую очередь служить репутационным целям, а не свидетельствовать о подлинном сотрудничестве между этими группами.

Кроме того, изучение настроений сообщества на подпольных форумах выявляет недоверие опытных операторов к LockBit, о чем свидетельствует опрос, который высказался за сохранение ограничений на учетную запись известного участника LockBit. Общий вывод представляет альянс Qilin, DragonForce и LockBit как потенциальную стратегию выживания в условиях операционного давления, направленную на сохранение актуальности бренда и привлечение новых партнеров, а не представляющую собой расширенное сотрудничество между известными акторами-вымогателями.

#ParsedReport #CompletenessHigh
18-12-2025

Defeating AuraStealer: Practical Deobfuscation Workflows for Modern Infostealers

https://www.gendigital.com/blog/insights/research/defeating-aurastealer-obfuscation

Report completeness: High

Threats:
Aurastealer
Antivm_technique
Sandbox_evasion_technique
Antidebugging_technique
Heavens_gate_technique
Dll_sideloading_technique
Glassworm
Clickfix_technique
Lumma_stealer
Stealc
Vidar_stealer
Rhadamanthys
Unicorn_tool
Anydesk_tool

Victims:
Consumers, General users

Geo:
Lithuania, Estonia, Russian, Latvia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1059.001, T1071.001, T1105, T1106, T1106.001, T1140, T1204.002, have more...

IOCs:
File: 1
Path: 1
IP: 1
Hash: 12
Domain: 27

Soft:
TikTok, Microsoft Defender, Discord, Telegram, Steam, KeePass, Bitwarden, 1Password, LastPass

Algorithms:
mersenne_twister, xor, murmur3, fnv-1a, aes-cbc, exhibit

Functions:
NTDLL, IDA, AuraStealer

Win API:
WinMain, ShellExecuteExW, GetModuleHandleA, VirtualAlloc, MapFileAndCheckSumW, GetUserDefaultLCID, GetSystemDefaultLCID, GetLocaleInfoA, GetSystemTimePreciseAsFileTime, GetUserNameW, have more...

Languages:
powershell, python

Links:
https://github.com/avast/ioc/blob/master/AuraStealer/extras/aurastealer\_config\_extractor.py
https://github.com/avast/ioc/blob/master/AuraStealer/extras/aurastealer\_decrypt\_strings.py
have more...

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 2, dump: 6, code: 13, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer - это вредоносное ПО-стиллер на основе C++, предназначенное для систем Windows от 7 до 11, предназначенное для извлечения данных из более чем 110 браузеров и 70 приложений, в частности кошельков и средств аутентификации. Он распространяется с помощью вводящих в заблуждение видеороликов TikTok, используя административные команды PowerShell для своей установки. Вредоносное ПО использует передовые методы обфускации и антианализа, включая динамическую генерацию мьютексов и специальные проверки защитных сред, чтобы избежать обнаружения, одновременно облегчая масштабные операции по краже данных.
-----

AuraStealer - это стиллер вредоносного ПО типа "как услуга", разработанный на C++ и предназначенный для систем Windows от Windows 7 до Windows 11. Он извлекает данные из более чем 110 браузеров и 70 приложений, включая кошельки и инструменты двухфакторной аутентификации. Вредоносное ПО использует вводящие в заблуждение видеоролики TikTok, чтобы заставить пользователей выполнять вредоносные команды и загружать полезную нагрузку через PowerShell. Он использует методы запутывания, такие как косвенное запутывание потока управления, хэширование API, управляемое исключениями, и запутывание строк, чтобы затруднить анализ. AuraStealer включает в себя методы антианализа, проверку наличия защитных сред и диалоговые окна пользовательского ввода. Он также проводит проверку геолокации и обнаруживает аномалии, такие как отладчики и виртуальные машины. Его процесс выполнения включает в себя настройку пользовательских обработчиков исключений, расшифровку конфигураций и кражу данных с помощью динамически генерируемого мьютекса для ограничения количества экземпляров. Он обходит шифрование, привязанное к приложениям, в браузерах на базе Chromium, выполняя их в приостановленном безголовом режиме. Сетевые действия начинаются с проверки подключения и взаимодействия с инфраструктурой управления для поиска конфигурации и эксфильтрации файлов через назначенные конечные точки API.

#ParsedReport #CompletenessHigh
19-12-2025

Stealth in Layers: Unmasking the Loader used in Targeted Email Campaigns

https://cyble.com/blog/stealth-in-layers-unmasking-loader-in-targeted-email-campaigns/

Report completeness: High

Threats:
Steganography_technique
Purelogs
Katz_stealer
Asyncrat
Remcos_rat
Process_injection_technique
Uac_bypass_technique
Process_hollowing_technique
Spear-phishing_technique

Victims:
Manufacturing, Government, Industrial

Industry:
Entertainment, Government

Geo:
Middle east, Saudi arabia, Italy, Finland

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 22

IOCs:
File: 2
IP: 1
Hash: 6
Url: 4

Soft:
Task Scheduler, Firefox, NET framework

Algorithms:
cbc, sha256, gzip, des, base64, zip

Functions:
TaskScheduler

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен сложный загрузчик, нацеленный на производственный и государственный секторы Италии, Финляндии и Саудовской Аравии с целью кражи конфиденциальных данных и компрометации учетных данных. Он предоставляет различные трояны удаленного доступа и использует Стеганографию, чтобы скрыть вредоносную полезную нагрузку внутри доброкачественных изображений, что затрудняет обнаружение. Атака использует такие методы, как запутывание JavaScript, гибридная сборка в библиотеках с открытым исходным кодом, UAC bypass для получения повышенных привилегий и Внедрение в пустой процесс, создавая сложную среду угроз.
-----

CRIL выявила сложный загрузчик, используемый многочисленными злоумышленниками в нацеленных кампаниях, нацеленных на производственный и государственный секторы, главным образом в Италии, Финляндии и Саудовской Аравии. Основной целью этих кампаний является кража конфиденциальных промышленных данных и компрометация административных учетных данных. Загрузчик функционирует как универсальная платформа распространения вредоносного ПО, предоставляя ряд троянов удаленного доступа (RAT) и стиллеров информации, включая PureLog Stealer, Katz Stealer, DC RAT, Async Rat и Remcos. Использование Стеганографии позволяет встраивать вредоносную полезную нагрузку в доброкачественные изображения, размещенные на законных платформах, таким образом избегая традиционной сетевой защиты.

Злоумышленники используют метод, называемый "гибридной сборкой", для вставки вредоносных функций в надежные библиотеки с открытым исходным кодом, в частности в библиотеку TaskScheduler. Этот процесс позволяет файлам выглядеть законными, скрывая при этом их вредоносные возможности, что усложняет усилия по обнаружению на основе сигнатур. Процесс заражения проходит по четырехэтапному конвейеру, разработанному для минимального криминалистического обнаружения: он начинается с обфускации JavaScript, чтобы скрыть его назначение, за которой следует стеганографическое извлечение полезной нагрузки из файла изображения, которое затем автоматически загружается в память для выполнения без взаимодействия с диском. Кроме того, был использован уникальный метод обхода контроля учетных записей пользователей (UAC), который обманом заставляет операционную систему предоставлять повышенные привилегии, случайно задействуя запросы UAC во время обычных операций.

Первоначальным источником заражения в первую очередь являются электронные письма с Целевым фишингом, замаскированные под законные заказы на покупку, отправляемые нацеленным организациям. Файл JavaScript содержит сильно запутанный код, выполняемый PowerShell, который извлекает вредоносный PNG-файл из Archive.org , встраивая .NET-сборку в кодировке base64. Эта сборка становится оружием путем внедрения вредоносного кода в троянскую версию библиотеки TaskScheduler. Наконец, вредоносное ПО использует Внедрение в пустой процесс, вводя полезную нагрузку во вновь созданный приостановленный RegAsm.exe процесс, позволяющий ему функционировать как законному приложению Windows при выполнении своих вредоносных задач.

Конечная полезная нагрузка, PureLog Stealer, извлекается с помощью процесса тройного дешифрования DES с последующей распаковкой в GZip перед вызовом полезной нагрузки. Методология атаки отражает последовательное использование передовых методов обфускации, Стеганографии и существующих системных процессов для уклонения от обнаружения, что делает этот загрузчик частью постоянной и адаптируемой среды киберугроз.

#ParsedReport #CompletenessLow
18-12-2025

ShadyPanda: The Silent Browser Takeover Threat and How Qualys TruRisk Eliminate Helps You Stop It

https://blog.qualys.com/product-tech/patch-management/2025/12/17/shadypanda-malicious-browser-extensions-prevention

Report completeness: Low

Actors/Campaigns:
Shadypanda

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056, T1059, T1105, T1195, T1195.003, T1204, T1566

Soft:
Chrome, Firefox

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadyPanda представляет собой эволюцию в области киберугроз, использующую надежные расширения браузера для доставки вредоносного ПО, а не традиционного фишинга или использования zero-day. С 2024 по 2025 год актор скомпрометировал миллионы пользователей, внедрив вредоносные возможности в законные расширения, что выявило значительное слабое место в системе безопасности. Этот подход фокусируется на использовании доверия пользователей к существующему программному обеспечению, а не на прямых атаках, что требует переоценки методов обеспечения безопасности в экосистеме расширений для браузера.
-----

ShadyPanda представляет собой значительный сдвиг в тактике борьбы с киберугрозами, используя надежные расширения браузера в качестве средства доставки вредоносного ПО вместо того, чтобы полагаться на традиционные методы, такие как фишинг или использование уязвимостей zero-day. В период с 2024 по 2025 год этот злоумышленник успешно скомпрометировал миллионы пользователей, внедрив вредоносные возможности в законные расширения браузера, продемонстрировав, как обычное программное обеспечение может превратиться в серьезную проблему безопасности. Их метод основан на использовании врожденного доверия пользователей к расширениям, а не на прямых атаках на недостатки программного обеспечения.

Эта сложная операция вызвала тревогу у организаций, указывая на то, что экосистема расширений для браузера стала новым слепым пятном в области кибербезопасности. Действия ShadyPanda's показывают, как злоумышленники могут использовать, казалось бы, законные инструменты для бесшумного проникновения в среду пользователей, что повышает важность упреждающих мер безопасности, выходящих за рамки стандартного исправления.

Для борьбы с угрозами, подобными ShadyPanda, организациям рекомендуется внедрять такие решения, как Qualys TruRisk Eliminate, которые помогают выявлять рискованное поведение, связанное с расширениями браузера. Инструмент определяет приоритеты подлинных угроз и помогает устранить вредоносные компоненты до того, как они смогут быть использованы. Два важных шага, рекомендуемых для усиления защиты, включают внедрение автоматических исправлений с нулевым касанием для безопасного обновления браузера на конечных точках, что сводит к минимуму подверженность угрозам со стороны вредоносных расширений, и использование сценариев CAR для быстрого выявления и удаления нестандартных или вредоносных расширений.

Стратегия требует всесторонней очистки установленных расширений, гарантируя, что они соответствуют утвержденному списку, и немедленно устраняя все, что считается ненадежным. По мере развития киберугроз важность использования поведенческого анализа и упреждающего управления рисками становится первостепенной для предприятий, стремящихся защитить свои активы и данные от таких изощренных атак.

#ParsedReport #CompletenessMedium
17-12-2025

Inside DPRK Operations: New Lazarus and Kimsuky Infrastructure Uncovered Across Global Campaigns

https://hunt.io/blog/dprk-lazarus-kimsuky-infrastructure-uncovered

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)
Smoothoperator
Famous_chollima
Bluenoroff

Threats:
Credential_harvesting_technique
Http_troy
Blindingcan
Memload
Supply_chain_technique
Badcall
Passview_tool
Passwordfox_tool
Netpass_tool
Dialupass_tool
Pstpassword_tool
Rclone_tool
Mythic_c2
Quasar_rat
Sqlmap_tool
Masscan_tool
Nmap_tool
Ngrok_tool
Microsocks_tool
Frpc_tool
Impacket_tool
Nuclei_tool
Mimikatz_tool
Poolrat
Fastreverseproxy_tool
Opendir_technique

Geo:
Hong kong, Chinese, Singapore, North korean, Dprk, Ireland

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1053, T1057, T1059, T1078, T1090, T1102, have more...

IOCs:
IP: 38
Hash: 8
File: 11
Domain: 1

Soft:
Linux, Burp Suite

Algorithms:
sha256, exhibit, zip

Functions:
Fake_Cmd, logMessage

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование деятельности северокорейских хакерских группировок, таких как Lazarus и Kimsuky, выявило использование ими сложных методов для получения разведывательной информации и финансовой выгоды, таких как использование открытых структур каталогов для промежуточных узлов и инструментов сбора учетных записей. Известный инструмент, бэкдор Badcall, сыграл свою роль в 3CX supply-chain attack 2023 года, продемонстрировав свою адаптивность. В открытых каталогах были обнаружены обширные коллекции вредоносных инструментов, что указывает на хорошо отлаженную инфраструктуру, использующую быстрый обратный прокси-сервер для обеспечения согласованности работы кампаний.
-----

Недавние расследования северокорейских хакерских операций выявили продолжающуюся деятельность таких групп, как Lazarus и Kimsuky. Эти спонсируемые государством кибер-акторы используют сложные методы для сбора разведывательных данных, получения финансовой выгоды и более широких оперативных целей. Их кампании демонстрируют отличительные закономерности, используя открытые структуры каталогов в качестве промежуточных узлов, последовательное использование инструментов сбора учетных записей и повторяющуюся вредоносную инфраструктуру в различных глобальных кампаниях.

Одно из важнейших открытий относится к бэкдору Badcall, который связан с операциями Lazarus. Linux-вариант Badcall сыграл заметную роль в 3CX supply-chain Attack 2023 года, что указывает на адаптируемость вредоносного ПО к сменным сценариям и сценариям после эксплуатации. Операции Lazarus также использовали открытые каталоги, содержащие множество наборов для кражи учетных данных, замаскированных под законные инструменты. Например, недавняя атака, Маскировка под оценку найма персонала NVIDIA, привела к обнаружению двух утилит для восстановления учетных данных, MailPassView и WebBrowserPassView, которые использовались для извлечения конфиденциальной информации.

Анализ открытой инфраструктуры показал преобладание обширных коллекций инструментов. В одном наблюдении из открытого каталога по IP-адресу 207.254.22.248 был обнаружен набор инструментов для кражи учетных данных, состоящий из различных инструментов для восстановления и извлечения паролей, объемом 112 МБ. Другая важная находка на 149.28.139.62 выявила еще большую коллекцию объемом 270 МБ, которая включала компоненты Quasar RAT наряду с инструментами сбора учетных записей и утилитами для передачи файлов. Кроме того, хостинг по адресу 154.216.177.215 обнаружил массивный набор данных объемом 2 ГБ с вредоносными инструментами безопасности и многочисленными скриптами, предназначенными для использования и сбора данных.

Эти усилия по расследованию также выявили зависимость инфраструктуры от Fast Reverse Proxy (FRP), которая связывает различные кампании, сохраняя при этом постоянный оперативный охват. Развертывание двоичных файлов FRP на нескольких узлах VPS, работающих одинаково, иллюстрирует предсказуемую схему, которую можно отслеживать для получения дополнительной информации о деятельности КНДР.

Ключевые рекомендации для защитников включают мониторинг случаев уязвимости open directory, которые могут содержать эти вредоносные наборы инструментов, распознавание повторных развертываний FRP, создающих наблюдаемые шаблоны, и выявление повторного использования сертификатов, которые могут подвергать опасности кластеры операционной инфраструктуры. Кроме того, отслеживание исторической телеметрии провайдеров общего доступа к VPS может помочь выявить и сорвать новые кампании до того, как они полностью реализуются.

#ParsedReport #CompletenessMedium
19-12-2025

APT-C-36 (Blind Eagle) utilizes Hijackloader for attack activities

https://www.ctfiot.com/287745.html

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Purecoder

Threats:
Hijackloader
Heavens_gate_technique
Rshell
Dotnet_reactor_tool

Geo:
Colombia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1204, T1562

IOCs:
File: 18
Hash: 4
Domain: 1

Soft:
NET Reactor, WeChat

Algorithms:
gzip, base64, lznt1, crc-32, zip

Win API:
LoadLibrary, VirtualProtect, RtlDecompressBuffer, NtQuerySystemInformation, CreateProcessW, NtDelayExecution, NtOpenProcess, NtGetContextThread, NtSetContextThread, NtResumeThread, have more...

Win Services:
bits, avastsvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-36, также известный как Blind Eagle, использует модульную вредоносную полезную нагрузку под названием Hijackloader в своих кампаниях атак. Этот загрузчик использует многоступенчатые и повторяющиеся методы внедрения шелл-кода, создавая сложные цепочки атак, которые скрывают его действия и усложняют усилия по обнаружению. Адаптивность Hijackloader повышает его эффективность в различных сценариях эксплуатации, позволяя APT-C-36 достигать своих целей, обходя меры безопасности.
-----

Было замечено, что APT-C-36, также известный как Blind Eagle, использует вредоносную полезную нагрузку под названием Hijackloader в рамках своих атакующих кампаний. Этот загрузчик работает по модульному принципу, что позволяет ему выполнять различные методы внедрения, включая многоступенчатые и повторяющиеся внедрения шелл-кода. Такая сложность разработана для повышения ее эффективности в различных сценариях атак.

Модульная природа Hijackloader позволяет злоумышленнику адаптировать загрузчик для различных случаев эксплуатации, повышая его универсальность. Повторяющийся метод внедрения шеллкода в сочетании с многоэтапным выполнением создает сложную цепочку атак, которая может ввести жертв в заблуждение и затруднить судебно-медицинский анализ. Используя эти сложные методы, APT-C-36 стремится запутать свою деятельность, усложнить процессы обнаружения систем безопасности и, в конечном счете, достичь своих вредоносных целей без подачи предупреждений.

#ParsedReport #CompletenessLow
19-12-2025

Atomic macOS stealer is spreading via ChatGPT and Grok answers

https://moonlock.com/amos-stealer-spread-chatgpt-grok

Report completeness: Low

Threats:
Amos_stealer
Ai-clickfix_technique
Clickfix_technique

Victims:
Macos users

ChatGPT TTPs:
do not use without manual check
T1204, T1566

Soft:
macOS, ChatGPT, Ledger Live, Chrome, Firefox, OpenAI

Wallets:
electrum, metamask, coinbase

Algorithms:
base64

Platforms:
apple