#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на ADP, использовала тактику социальной инженерии, чтобы обманом заставить сотрудников раскрыть свои учетные данные для входа в систему. Вредоносные электронные письма имитируют законные сообщения ADP, позволяя злоумышленникам получать несанкционированный доступ к учетным записям сотрудников и извлекать конфиденциальную личную информацию. Этот инцидент иллюстрирует постоянную угрозу, исходящую от киберпреступников, сосредоточенных на утечке корпоративных данных с помощью изощренных методов фишинга.
-----

Недавняя кампания по фишингу, нацеленная на ADP, высветила методы, используемые злоумышленниками для проникновения в учетные записи сотрудников и извлечения конфиденциальных данных. Эта кампания использует тактику социальной инженерии, чтобы обманом заставить пользователей раскрыть свои учетные данные для входа в систему. Электронные письма с фишингом разработаны таким образом, чтобы максимально походить на законные сообщения от ADP, что увеличивает вероятность того, что ничего не подозревающие сотрудники будут взаимодействовать с вредоносным контентом.

Как только пользователь становится жертвой попытки фишинга, злоумышленник получает доступ к регистрационным данным сотрудника. Это нарушение не только позволяет злоумышленнику проникнуть в систему ADP, но и позволяет ему извлекать личные данные и другую конфиденциальную информацию, хранящуюся в скомпрометированной учетной записи. Последствия таких утечек данных могут быть серьезными, затрагивая как вовлеченных лиц, так и организацию в целом.

Эффективное обучение персонала и осведомленность играют решающую роль в защите от подобных фишинг-атак. Организациям рекомендуется принимать действенные программы обеспечения безопасности, которые обучают сотрудников о признании красные флаги, связанные с фишинг попытки. Подчеркивая важность проверки подлинности электронной почты и ссылки до вмешательства можно значительно снизить риск успешной эксплуатации.

Таким образом, кампания по фишингу, имитирующая ADP, подчеркивает эволюционирующую тактику киберпреступников в нацеливании на конфиденциальные корпоративные данные и подчеркивает необходимость проактивных стратегий защиты внутри организаций. Регулярные обновления информации об угрозах фишинга и передовых методах обеспечения безопасности могут помочь сотрудникам стать эффективной первой линией защиты от подобных киберугроз.

#ParsedReport #CompletenessMedium
23-12-2025

B2B2C Supply Chain Attack: Hotels Booking Accounts Compromised to Target Customers

https://dti.domaintools.com/b2b2c-supply-chain-attack-hotels-booking-accounts-compromised-to-target-customers/

Report completeness: Medium

Actors/Campaigns:
Storm-1865

Threats:
Supply_chain_technique
Netsupportmanager_rat
Telekopye

Victims:
Booking dot com customers, Hotel customers, Hospitality sector

Industry:
Entertainment, Financial

Geo:
Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1078, T1199, T1204.002, T1566.002, T1583.001, T1584

IOCs:
File: 1
IP: 4
Domain: 361

Soft:
Debian Linux, Nginx

Languages:
php

Links:
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/Bookingcom-ScamIOCs.csv

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С мая 2025, киберугроза опасный должны быть выполнены цепи цепочка поставок поставка таргетинга управления по бронированию счетов, в частности Booking.com клиентов. Они скомпрометированы персонал счета получить заказ платформой учетные данные, создание около 1000 мошеннических доменов, привязанных к динамическим фишинг-сайтов, выдающих себя за фактические детали бронирования, чтобы извлечь конфиденциальные платежные данные. В этой кампании используются веб-наборы Scraper/Interceptor, связанные с инструментарием Telekopye, и используется инфраструктура, прослеживаемая до Москвы, демонстрируя сложный, нацеленный подход к использованию уязвимостей в гостиничном секторе.
-----

С мая 2025 году хакерская группировка была задействована в цепи цепочка поставок питания ориентируясь на компромисс управление бронью отеля, специально ориентированных на Booking.com клиентов. Почти 1000 мошеннических бронирование и бронирование отеля домены были созданы для облегчения этой операции. Приступ характеризуется использованием срочные уведомления, помечены как "проверить или отменить", которые направляют пользователей на внешние фишинг-сайты. Эти сайты предназначены для динамической нагрузки фактические детали бронирования жертвы, фактически обманывая пользователя предоставить конфиденциальную платежную информацию.

Первоначальным направлением этой атаки был взлом учетных записей персонала отеля с целью получения доступа к учетным данным платформы бронирования. Эта операция согласуется с предыдущими кампаниями по фишингу, о которых сообщалось, такими как кампания "Я заплатил дважды", что указывает на потенциальную связь между злоумышленниками, нацелившимися на учетные данные отеля, и теми, кто осуществлял фишинг-атаки. Сообщается, что украденные учетные данные продаются на русскоязычных форумах по цене ниже 5000 долларов за штуку, что указывает на процветающий черный рынок такой информации.

Технические детали атаки раскрывают ее зависимость от веб-наборов Scraper/Interceptor, которые обычно используются в мошенничестве против Booking.com и пользователи Airbnb. Компоненты этих наборов относятся к инструментарию Telekopye, который известен своим использованием в операциях "фишинг как услуга", связанных с российскими киберпреступными экосистемами. Кроме того, вредоносная инфраструктура, связанная с этой кампанией, отслеживается по IP-адресам, расположенным в Москве, на которых запущены службы в системах Debian Linux, включая ProFTPD, Exim, ISC Bind, F5 Nginx и Dovecot.

Эта кампания эффективно использует доверие, присущее Цепочке поставок гостиничного бизнеса, используя скомпрометированные учетные записи отелей для отправки сообщений через официальные Booking.com каналы связи. Эта стратегия позволяет злоумышленникам обходить обычные меры безопасности электронной почты и избегать обнаружения бдительными пользователями, тем самым повышая вероятность успешных попыток фишинга. Последствия этого метода атаки подчеркивают уязвимости в секторе бронирования отелей и потенциальную возможность значительных финансовых потерь и потери данных как для бизнеса, так и для потребителей.

#ParsedReport #CompletenessHigh
23-12-2025

Spearphishing Campaign Abuses npm Registry to Target U.S. and Allied Manufacturing and Healthcare Organizations

https://socket.dev/blog/spearphishing-campaign-abuses-npm-registry

Report completeness: High

Actors/Campaigns:
Beamglea

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Aitm_technique
Evilginx_tool
Supply_chain_technique

Victims:
Manufacturing, Industrial automation, Plastics, Healthcare

Industry:
Healthcare, Transport

Geo:
America, Spain, Belgium, Germany, Asia, Taiwan, Italy, Portugal, United kingdom, Canada, France, Sweden, Turkey, Austria

TTPs:
Tactics: 2
Technics: 16

IOCs:
File: 8
Domain: 5
Url: 5
Email: 6

Soft:
Outlook, Selenium, Node.js

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе кампании по Целевому фишингу реестр npm был использован для того, чтобы нацелить американские и смежные организации в производственном секторе и здравоохранении. Злоумышленники создали 27 вредоносных пакетов npm для облегчения кражи учетных данных, используя браузерные приманки, которые выдавали себя за законные службы обмена документами. Они внедрили методы антианализа и нацелили персонал, который, вероятно, будет взаимодействовать с нежелательными сообщениями, используя такие методы, как Имперсонация и тактика уклонения, соответствующие системе MITRE ATT&CK.
-----

Недавняя кампания по Целевому фишингу использовала реестр npm (Node Package Manager) для нацеливания на американские и смежные организации в производственном секторе и здравоохранении. За пять месяцев злоумышленники превратили 27 пакетов npm в изощренный инструмент для кражи учетных данных. Эти пакеты служили хостами для браузерных приманок, которые выдают себя за службы обмена документами и страницы входа в систему Microsoft, эффективно ориентируясь на 25 конкретных организаций.

Операционная стратегия предполагала использование экосистемы npm не просто для установки программного обеспечения, но и в качестве инфраструктуры для фишинга. Используя одноразовые пакеты npm, злоумышленники перенаправляли жертв с, казалось бы, законных приманок для бизнес-документов на страницы сбора учетных записей, часто встраивая адрес электронной почты нацеленного пользователя в URL-адрес предварительно заполненных форм. Страницы для фишинга, замаскированные под сервис под названием "MicroSecure", ложно утверждали, что делятся документами с жертвой, повышая надежность приманки с помощью сфабрикованного контента, такого как профили компаний и запросы предложений.

Чтобы помешать анализу и автоматическому обнаружению, кампания использовала несколько методов антианализа. Пакеты включали проверки на стороне клиента, которые выявляли индикаторы автоматизации, такие как признаки безголового просмотра или ненормальные размеры браузера. Кроме того, в поток фишинга был интегрирован механизм honeypot, использующий скрытые поля формы, предназначенные для отслеживания взаимодействий с ботами, что позволяет злоумышленникам отличать подлинных пользователей от автоматизированных систем.

После успешного обмана с помощью первоначальной приманки жертвы перенаправлялись на инфраструктуру, контролируемую злоумышленником, что облегчало сбор учетных записей и перехват сеанса. Выбор целей злоумышленником был стратегическим; пакеты для фишинга были сконфигурированы с жестко закодированными Адресами эл. почты, которые соответствовали персоналу, выполняющему роли, которые могут быть связаны с нежелательными запросами, такими как менеджеры по работе с клиентами и представители по развитию бизнеса.

Кампания согласуется с несколькими методами, описанными в рамках MITRE ATT&CK, включая Компрометацию цепочки поставок, фишинг с использованием Целевых фишинга со ссылками, тактику сбора информации и методы уклонения от обнаружения с помощью "песочницы". Специфическая тактика, такая как Маскировка и Имперсонация, также была неотъемлемой частью операции, подчеркивая передовые методы, используемые злоумышленниками для поддержания эффективности их усилий по фишингу. В целом, эта кампания подчеркивает растущее использование законных программных экосистем в качестве каналов для кибер-обмана и кражи учетных данных.

#ParsedReport #CompletenessHigh
24-12-2025

Evasive Panda APT poisons DNS requests to deliver MgBot

https://securelist.com/evasive-panda-apt/118576/

Report completeness: High

Actors/Campaigns:
Daggerfly

Threats:
Mgbot
Aitm_technique
Dll_sideloading_technique
Macma
Supply_chain_technique
Watering_hole_technique

Victims:
Multiple industries

Industry:
Telco

Geo:
India, Asian, Chinese, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.004, T1106, T1189, T1557, T1574.002

IOCs:
File: 12
Domain: 1
Path: 5
Hash: 4
IP: 15

Soft:
macOS

Algorithms:
xor, md5, lzma

Win API:
ShellExecuteW, VirtualProtect, GetProcAddress, CryptUnprotectData, RtlGetVersion, CryptProtectData

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С ноября 2022 по ноябрь 2024 года Evasive Panda, APT-группировка, осуществляющая с 2012 года группировку, защищенную от сложных угроз, проводила сложные кампании, используя вредоносный исполняемый файл, замаскированный под обновление для приложения SohuVA. Их многоэтапное развертывание использует вторичный загрузчик, Маскировку под библиотеку Windows, для выполнения полезных нагрузок, избегая обнаружения, при этом сообщается о целях в Турции, Китае и Индии. Группа использует такие методы, как компромиссы в supply-chain и атаки по принципу "Злоумышленник посередине", что указывает на их постоянную адаптацию и закрепление в работе.
-----

Evasive Panda, также известная как Bronze Highland, Daggerfly и StormBamboo, является APT-группировкой, которая действует с 2012 года. В их последних кампаниях, которые проходили с ноября 2022 по ноябрь 2024 года, использовались сложные и эволюционирующие методы, ориентированные на различные отрасли. Первоначальный вектор заражения включал вредоносный исполняемый файл, Маскировку под пакет обновлений для потокового приложения SohuVA, специально названный sohuva_update_10.2.29.1-lup-s-tp.exe . Эта тактика позволила группе эффективно распространять вредоносное ПО под видом законного обновления программного обеспечения.

Развертывание вредоносного ПО основывалось на многоступенчатом процессе выполнения шелл-кода, который использовал алгоритм хэширования под названием PJW для скрытого разрешения API Windows во время выполнения. Во время атаки был запущен дополнительный загрузчик, замаскированный под законную библиотеку Windows libpython2.4.dll , способствовал более незаметному механизму загрузки. Этот загрузчик использовал более старую, подписанную версию python.exe , известный как evteng.exe (MD5: 1c36452c2dad8da95d460bee3bea365e), чтобы вызвать функцию Py_Main, таким образом выполняя введенную полезную нагрузку, избегая обнаружения.

Воздействие этих операций было заметным: сообщалось о жертвах в Турции, Китае и Индии. Некоторые системы удалось остаться нарушена в течение более чем года, подчеркивая настойчивость злоумышленник актер закрепление и долгосрочную работоспособность. Телеметрия показывает, что значительная приверженность Evasive Panda, как их поддерживали этот длительной кампании с последовательным распределением ресурсов.

Приписывание атаки явно указывает на Evasive Panda, что подтверждается их установленными методами, тактикой и процедурами (TTP). Несмотря на внедрение нового загрузчика в этой кампании, они использовали имплантат десятилетней давности MgBot, хотя и с обновленными конфигурациями. Группа имеет опыт использования таких методов, как компрометация supply-chain, атаки Злоумышленника посередине (AiTM) и watering-hole, для скрытного распространения своего вредоносного ПО.

Таким образом, APT-группировка Evasive Panda продолжает демонстрировать свои передовые возможности, используя новые методы и совершенствуя свой арсенал, сохраняя при этом постоянную угрозу нацеленным системам. Их текущие операции предполагают постоянные улучшения и адаптацию их тактики, указывая на то, что в будущем могут появиться новые кампании.

#ParsedReport #CompletenessLow
21-12-2025

Operation Artemis: HWP-based DLL Sideloading Attack Analysis

https://www.genians.co.kr/blog/threat_intelligence/dll

Report completeness: Low

Actors/Campaigns:
Artemis (motivation: information_theft)
Scarcruft (motivation: information_theft)
Toybox_story

Threats:
Dll_sideloading_technique
Artemis
Steganography_technique
Rokrat
Spear-phishing_technique

Victims:
Media sector, Broadcast journalism

Industry:
Military, Education, Government

Geo:
North korea, Russian, Korea, North korean, Russia, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1204.001, T1566.001, T1574.002, T1583.003

IOCs:
File: 11
Path: 8
Email: 1
Hash: 14

Soft:
Sysinternals, Dropbox

Algorithms:
md5, xor

Win Services:
bits

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 3, dump: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Artemis, проведенная APT37, использовала документы HWP для запуска кибератак с использованием тактики социальной инженерии. Злоумышленники маскировались под журналистов, чтобы убедить жертв открыть вредоносные документы, содержащие встроенные OLE-объекты, используя методы DLL Sideloading для получения первоначального доступа. Эта атака продемонстрировала передовые методы обфускации и была подключена к российской облачной инфраструктуре, продемонстрировав тактическую эволюцию APT37's и использование обманчивых взаимодействий для обхода мер безопасности.
-----

В ходе анализа операции Artemis, проведенного группой APT37, был выявлен сложный вектор атаки с использованием документов HWP (текстовый процессор Hangul) для инициирования кибератак. Злоумышленники использовали стратегию, включающую социальную инженерию, выдавая себя за журналиста, чтобы завоевать доверие и побудить цели взаимодействовать с кажущимися безобидными документами, которые содержали вредоносные OLE-объекты. Эта хитроумная уловка приводила жертв к непреднамеренному запуску файлов HWP, которые активировали цепочку атак, главным образом с помощью методов DLL sideloading для обхода мер безопасности.

Процесс атака началась с фишинговых Spear phishing, где были распространены ЗЛМ документов, внедренных с вредоносным содержимым. Как только пользователь доверял документу и взаимодействовал с ним, встроенный OLE-объект запускался, предоставляя злоумышленникам первоначальный доступ к среде цели. Этот метод ознаменовал заметную эволюцию угроз, продемонстрировав комбинацию Стеганографии и DLL sideloading, которая совершенствовалась в течение нескольких месяцев. Примечательно, что использование DLL-файлов, таких как 'version.библиотеки DLL', представлены единой методологии с октября по ноябрь 2025, подчеркнув намерение группы для поддержания тайных операций.

Анализ структуры документа выявил общую закономерность в образцах вредоносного ПО HWP, особенно в хранилище BinData, где были обнаружены OLE-объекты. Это встраивание техники свидетельствует об общей тенденции видеть в сложных постоянных угроз повышенной сложности (apt), где интеграция различных слоев обфускация используется для скрытия вредоносного кода. Кроме того, APT37 связана их деятельность командования и управления инфраструктурой (С2), которая использовала России на основе облака Яндекса, что позволяет предположить зависимость от облачные сервисы для упрощения их операций.

Тактика нападения, описанная в "Операции Artemis", отражает продуманный подход, который предполагает не только техническую изощренность, но и ответственность за социальную инженерию. Злоумышленники тщательно разрабатывали разговоры и взаимодействия, которые обходили прямые вредоносные действия, пока не было установлено доверие. Этот метод согласуется с предыдущим поведением, продемонстрированным APT37, подчеркивая их адаптивность и закрепление в кибероперациях.

Для защиты от таких многогранных атак со стороны APT37 в анализе подчеркивается важность реализации надежной многоуровневой стратегии защиты, в первую очередь с использованием систем обнаружения конечных точек и реагирования (EDR), которые фокусируются на обнаружении аномалий на основе поведения. Такая активная позиция имеет решающее значение для противодействия развивающейся тактике, которая использует облачную инфраструктуру наряду с традиционными направлениями атак на основе файлов.

#ParsedReport #CompletenessLow
22-12-2025

2025 Holiday Scams: Docusign Phishing Meets Loan Spam

https://www.forcepoint.com/blog/x-labs/docusign-phishing-holiday-loan-spam

Report completeness: Low

Threats:
Credential_harvesting_technique
Bec_technique

Victims:
Business accounts, Consumers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1583.001, T1598.003

IOCs:
Domain: 5
Url: 6
IP: 1
Email: 3

Soft:
Gmail

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Во время сезона отпусков злоумышленники активизируют свою деятельность по фишингу и мошенничеству, в частности, с помощью фишинга на тему DocuSign для сбора корпоративных учетных данных и рассылки спама по электронной почте с запросом личных и банковских данных. Атаки фишинга используют вводящие в заблуждение домены и срочность, чтобы обманом заставить жертв раскрыть корпоративные регистрационные данные, в то время как мошенники с кредитами обещают привлекательные условия с подозрительными адресами отправителей и ссылками на анкеты о краже личных данных. Методы атаки подчеркивают характер срочности и несоответствия между адресами отправителей и контентом, стремясь использовать финансовые трудности.
-----

Во время отпускного сезона, актеры опасный активизировать свою деятельность за счет использования высокого давления, таких сценариях, как перегруженный почтовые ящики и финансового стресса. Недавнее исследование, проведенное компанией X-Labs, выявило две важные тенденции: фишинг-атаки на тему DocuSign, направленные на сбор корпоративных учетных данных, и спам-письма, предлагающие праздничные кредиты, которые направлены на сбор личной и банковской информации.

Кампания фишинга DocuSign направлена на то, чтобы ввести жертв в заблуждение и заставить их предоставить свои корпоративные логины электронной почты, что впоследствии может способствовать компрометации деловой электронной почты (BEC) или другим мошенническим действиям. Ключевыми признаками таких попыток фишинга являются следующие: электронные письма, отправляемые с доменов, несовместимых с подлинными доменами DocuSign — часто с использованием .покупайте домены верхнего уровня и IP-адреса, не связанные с признанной инфраструктурой DocuSign. Вредоносные ссылки в этих фишинг-письмах часто маскируются под удобные ссылки для просмотра документов, но перенаправляют пользователей на скомпрометированные сайты. Попытки фишинга часто подчеркивают срочность, побуждая жертв действовать быстро, не проверяя законность запроса.

Одновременно в праздничные дни увеличивается количество рассылок со спамом по кредитам. Эти сообщения, как правило, обещают низкие процентные ставки и быструю финансовую помощь, используя срочность и беспокойство, которые сопровождают составление бюджета на праздничные дни. Они часто приходят с вводящих в заблуждение адресов отправителей, где домен для ответа не соответствует фактическому отправителю, и могут содержать подозрительные ссылки, ведущие на сайты по извлечению личной информации. Один из выявленных вариантов приводит жертв к анкете о краже личных данных, размещенной на доменах, напоминающих законные источники кредитования. После предоставления конфиденциальных данных жертвы часто подвергаются вторичным перенаправлениям, побуждающим к дальнейшему сбору информации и дополнительному спаму, связанному с кредитами.

Учитывая тактику мошенников, законные кредиторы, как правило, не обращаются с незапрашиваемыми предложениями о кредите по электронной почте. Таким образом, пользователям следует опасаться чрезмерно привлекательных условий кредитования, срочности сообщений и любого несоответствия между адресом отправителя и содержанием электронного письма. К "красным флажкам" относятся общее форматирование и неожиданное перенаправление, которые могут указывать на попытки фишинга, направленные на сбор конфиденциальной информации для кражи личных данных или других злонамеренных намерений.

Чтобы снизить риски, связанные с подобными мошенничествами в праздничные дни, частным лицам и организациям крайне важно сохранять бдительность, тщательно проверять нежелательные сообщения и воздерживаться от перехода по ссылкам или разглашения личной информации без обеспечения законности.

#ParsedReport #CompletenessMedium
22-12-2025

From ClickFix to code signed: the quiet shift of MacSync Stealer malware

https://www.jamf.com/blog/macsync-stealer-evolution-code-signed-swift-malware-analysis/

Report completeness: Medium

Threats:
Macsyncstealer
Clickfix_technique
Odyssey_stealer
Macstealer

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1106, T1140, T1204, T1553.002

IOCs:
File: 2
Domain: 1
Url: 1
Hash: 12

Soft:
LibreOffice, curl, macOS, Gatekeeper

Algorithms:
base64, sha256

Functions:
daemon_function, _NSHomeDirectory, checkInternet, runInstaller, log, print, _runInstaller, therunInstaller

Languages:
swift

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4