#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Во время сезона отпусков злоумышленники активизируют свою деятельность по фишингу и мошенничеству, в частности, с помощью фишинга на тему DocuSign для сбора корпоративных учетных данных и рассылки спама по электронной почте с запросом личных и банковских данных. Атаки фишинга используют вводящие в заблуждение домены и срочность, чтобы обманом заставить жертв раскрыть корпоративные регистрационные данные, в то время как мошенники с кредитами обещают привлекательные условия с подозрительными адресами отправителей и ссылками на анкеты о краже личных данных. Методы атаки подчеркивают характер срочности и несоответствия между адресами отправителей и контентом, стремясь использовать финансовые трудности.
-----

Во время отпускного сезона, актеры опасный активизировать свою деятельность за счет использования высокого давления, таких сценариях, как перегруженный почтовые ящики и финансового стресса. Недавнее исследование, проведенное компанией X-Labs, выявило две важные тенденции: фишинг-атаки на тему DocuSign, направленные на сбор корпоративных учетных данных, и спам-письма, предлагающие праздничные кредиты, которые направлены на сбор личной и банковской информации.

Кампания фишинга DocuSign направлена на то, чтобы ввести жертв в заблуждение и заставить их предоставить свои корпоративные логины электронной почты, что впоследствии может способствовать компрометации деловой электронной почты (BEC) или другим мошенническим действиям. Ключевыми признаками таких попыток фишинга являются следующие: электронные письма, отправляемые с доменов, несовместимых с подлинными доменами DocuSign — часто с использованием .покупайте домены верхнего уровня и IP-адреса, не связанные с признанной инфраструктурой DocuSign. Вредоносные ссылки в этих фишинг-письмах часто маскируются под удобные ссылки для просмотра документов, но перенаправляют пользователей на скомпрометированные сайты. Попытки фишинга часто подчеркивают срочность, побуждая жертв действовать быстро, не проверяя законность запроса.

Одновременно в праздничные дни увеличивается количество рассылок со спамом по кредитам. Эти сообщения, как правило, обещают низкие процентные ставки и быструю финансовую помощь, используя срочность и беспокойство, которые сопровождают составление бюджета на праздничные дни. Они часто приходят с вводящих в заблуждение адресов отправителей, где домен для ответа не соответствует фактическому отправителю, и могут содержать подозрительные ссылки, ведущие на сайты по извлечению личной информации. Один из выявленных вариантов приводит жертв к анкете о краже личных данных, размещенной на доменах, напоминающих законные источники кредитования. После предоставления конфиденциальных данных жертвы часто подвергаются вторичным перенаправлениям, побуждающим к дальнейшему сбору информации и дополнительному спаму, связанному с кредитами.

Учитывая тактику мошенников, законные кредиторы, как правило, не обращаются с незапрашиваемыми предложениями о кредите по электронной почте. Таким образом, пользователям следует опасаться чрезмерно привлекательных условий кредитования, срочности сообщений и любого несоответствия между адресом отправителя и содержанием электронного письма. К "красным флажкам" относятся общее форматирование и неожиданное перенаправление, которые могут указывать на попытки фишинга, направленные на сбор конфиденциальной информации для кражи личных данных или других злонамеренных намерений.

Чтобы снизить риски, связанные с подобными мошенничествами в праздничные дни, частным лицам и организациям крайне важно сохранять бдительность, тщательно проверять нежелательные сообщения и воздерживаться от перехода по ссылкам или разглашения личной информации без обеспечения законности.

#ParsedReport #CompletenessMedium
22-12-2025

From ClickFix to code signed: the quiet shift of MacSync Stealer malware

https://www.jamf.com/blog/macsync-stealer-evolution-code-signed-swift-malware-analysis/

Report completeness: Medium

Threats:
Macsyncstealer
Clickfix_technique
Odyssey_stealer
Macstealer

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1106, T1140, T1204, T1553.002

IOCs:
File: 2
Domain: 1
Url: 1
Hash: 12

Soft:
LibreOffice, curl, macOS, Gatekeeper

Algorithms:
base64, sha256

Functions:
daemon_function, _NSHomeDirectory, checkInternet, runInstaller, log, print, _runInstaller, therunInstaller

Languages:
swift

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО MacSync Stealer эволюционировало от примитивных методов выполнения, таких как перетаскивание на терминал и ClickFix, к более сложному подходу, теперь использующему подписанное и нотариально заверенное приложение для лучшего обхода мер безопасности. Вредоносное ПО использует универсальный двоичный файл Mach-O, который запускается с помощью функции _main, проводя проверку подключения к Интернету перед извлечением полезной нагрузки второго этапа. Эта эволюция отражает тенденцию, когда злоумышленники совершенствуют свои методы для повышения скрытности и эффективности доставки полезной нагрузки.
-----

Вредоносное ПО MacSync Stealer претерпело значительную эволюцию, перейдя от своих более ранних, более примитивных методов выполнения к более изощренному подходу. Изначально более ранние варианты MacSync Stealer основывались на таких методах, как перетаскивание на терминал и ClickFix, когда пользователи непреднамеренно запускали вредоносные скрипты, помещая их в терминал или вставляя команды в кодировке base64, которые декодировали и выполняли полезную нагрузку. Эти традиционные методы обычно оставляли минимальные следы на диске, что говорит о сосредоточении внимания на выполнении в памяти.

Недавний анализ, проведенный Jamf Threat Labs, выявил обновленную версию этого вредоносного ПО, которая поставляется в виде подписанного и нотариально заверенного приложения, что указывает на переход к использованию технологий подписи кода для более эффективного обхода мер безопасности. Этот обновленный образец показывает значительные изменения в его цепь—без выполнения предыдущих методов в пользу более структурированный подход, где универсального Маха-О'бинарных осуществляется в пределах пакета приложений.

Точкой входа для этого двоичного файла является функция _main, которая устанавливает состояние приложения и задает пути ведения журнала. Он также проводит проверку подключения к Интернету; в случае успеха он извлекает полезную нагрузку второго этапа, что свидетельствует о явном прогрессе в области оперативной скрытности. Более глубокое изучение функции RunInstaller() показывает, как dropper выполняет эту последующую полезную нагрузку, отмечая заметный сдвиг в технологии доставки полезных нагрузок, связанных с MacSync Stealer.

Недавние изменения в дизайне MacSync Stealer's демонстрируют адаптацию злоумышленников, которые совершенствуют свои методы, чтобы избежать обнаружения, одновременно повышая эффективность доставки полезной нагрузки. Эта эволюция отражает более широкую тенденцию в разработке вредоносного ПО, когда злоумышленники все чаще используют подписание кода для обхода механизмов безопасности и обеспечения скрытого выполнения своих вредоносных целей.

#ParsedReport #CompletenessHigh
22-12-2025

Trial, Error, and Typos: Why Some Malware Attacks Aren't as 'Sophisticated' as You Think

https://www.huntress.com/blog/trial-error-typos-malware-attacks-sophisticated

Report completeness: High

Threats:
X2anylock
Lolbin_technique
Shellcoderunner
Gotohttp_tool
Spark_rat

Victims:
Web applications

Industry:
Education

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1016, T1033, T1059.001, T1059.003, T1190, T1505.003, T1562.001

IOCs:
File: 7
IP: 6
Path: 5
Url: 1
Command: 5
Hash: 3

Soft:
Velociraptor, OpenSSH, Windows Defender, Microsoft Defender, Windows service, ChatGPT, Claude

Algorithms:
sha256

Functions:
Get-MpPreference

Languages:
golang, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки вредоносного ПО демонстрируют менее сложный подход, чем принято считать, в основном основанный на методе проб и ошибок и использующий уязвимости веб-приложений для выполнения команд на конечных точках. Троянец Golang по имени agent.exe был повторно развернут во всех проанализированных инцидентах, выполнив системный перебор и выполнив команды PowerShell для управления настройками защитника Windows для дальнейшей эксплуатации. Кроме того, все инциденты демонстрировали схожие схемы атак и инфраструктуру, подчеркивая согласованную, хотя и базовую, схему действий злоумышленников.
-----

Анализ показывает, что недавние атаки вредоносного ПО могут быть не такими изощренными, как часто изображается. Хотя отчеты об общественной безопасности предполагают высокоорганизованный подход злоумышленников, факты указывают на более неорганизованную методологию, включающую метод проб и ошибок, а также зависимость от типичных уязвимостей в веб-приложениях. В частности, эти злоумышленники использовали уязвимости, которые позволяли выполнять команды на конечных точках через скомпрометированные веб-серверы.

В трех проанализированных инцидентах повторяющимся методом было внедрение троянца Golang под названием agent.exe , целью которого было закрепиться внутри системы. В первом инциденте актор инициировал действия по перечислению, используя команды типа "whoami.exe ,"netstat -an" и "ipconfig /all" для сбора информации о системе, за которыми последовали попытки выполнения дальнейших вредоносных команд, которые были оперативно заблокированы Защитником Windows.

Второй инцидент быстро обострился: вскоре после начала первоначального процесса была выполнена серия команд PowerShell. Эти команды манипулировали настройками защитника Windows, добавляя исключения в его мониторинг, что фактически подрывало действующие меры защиты. Аналогичным образом, третий инцидент отразил это поведение, также включающее доступ к Веб-шеллу и попытки отключить средства безопасности. Примечательно, что исполняемый файл "dllhost.exe " была опробована как часть выполнения атаки; однако она не была успешно запущена.

При изучении этих случаев были выявлены общие закономерности в отношении методов атаки и инфраструктуры, выявились схожие используемые IP-адреса, соглашения об именовании вредоносного ПО и согласованные операционные каталоги, из которых действовали злоумышленники. Такое большое количество сходств указывает на потенциально менее изощренный, но все еще эффективный оперативный план действий, используемый злоумышленниками. Наблюдение за тем, что многие элементы выполнения атак повторяются в разных инцидентах, подчеркивает зависимость от испытанных методов, а не от инновационных стратегий.

#ParsedReport #CompletenessLow
24-12-2025

CVE-2025-14733: WatchGuard Firebox RCE Vulnerability

https://socradar.io/blog/cve-2025-14733-watchguard-firebox-rce-flaw/

Report completeness: Low

CVEs:
CVE-2025-14733 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.5.15)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1068, T1190, T1210, T1595

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-14733 - это критическая уязвимость RCE в устройствах WatchGuard Firebox, работающих под управлением определенных версий Fireware OS, возникающая из-за проблемы с записью за пределы доступа в процессе iked для согласования VPN IKEv2. Эксплуатация может осуществляться удаленно без аутентификации, что создает риск манипулирования трафиком и нарушения работы VPN для более чем 115 000 незащищенных устройств. Уязвимость, оцененная в 9,3 балла по шкале CVSS, активно эксплуатируется, что привело к ее включению в каталог KEV CISA и требует срочного внимания со стороны затронутых организаций.
-----

CVE-2025-14733 - это критическая уязвимость Удаленного Выполнения Кода (RCE), которая воздействие на устройства WatchGuard Firebox, работающие под управлением определенных версий Fireware OS. Эта уязвимость возникает из-за проблемы с записью за пределы системы в процессе iked, который отвечает за обработку переговоров об обмене ключами Интернета (IKE) в туннелях IKEv2 VPN. Использование этой уязвимости может быть осуществлено удаленно и без необходимости аутентификации, что вызывает серьезную озабоченность и привлекает значительное внимание со стороны организаций, занимающихся обеспечением безопасности. Уязвимость оценена по шкале CVSS в 9,3 балла, что указывает на серьезный риск.

Из-за его критического характера CISA включила CVE-2025-14733 в свой каталог известных эксплуатируемых уязвимостей (KEV), признавая, что он активно эксплуатируется в дикой природе. Чтобы снизить риски, связанные с этой уязвимостью, организациям было поручено внедрить исправления или стратегии смягчения последствий к 26 декабря 2025 года в рамках обязательной операционной директивы (BOD) 22-01. Эксплуатация может поставить под угрозу безопасность уязвимых устройств, позволяя злоумышленникам манипулировать трафиком, нарушать VPN-подключение и потенциально использовать скомпрометированное устройство в качестве плацдарма для дальнейшего доступа к сети.

Последние данные указывают на то, что более 115 000 устройств WatchGuard Firebox могут быть подвержены этой уязвимости, причем многие из них по-прежнему доступны онлайн даже после выпуска исправлений. Организациям, использующим уязвимые устройства Firebox, рекомендуется ограничить воздействие, сократив доступ к IKEv2 и пересмотрев свои конфигурации VPN, если немедленное внедрение исправления невозможно. Кроме того, WatchGuard предоставила рекомендации по конкретным настройкам BOVPN для повышения безопасности.

Чтобы обнаружить потенциальную эксплуатацию или признаки компрометации, WatchGuard поделилась несколькими поведенческими индикаторами для мониторинга. Зашедший в тупик процесс iked, который затрудняет переговоры по VPN, служит убедительным показателем эксплуатации, в то время как сбои процесса iked, сопровождаемые сообщениями о неисправностях, также могут иметь значение, хотя и менее определенно. Принятие упреждающих мер по устранению этой уязвимости имеет решающее значение для организаций, чтобы усилить свою защиту от потенциальных киберугроз, связанных с CVE-2025-14733.

#ParsedReport #CompletenessMedium
24-12-2025

Atera Under the Spotlight: Exploring More Effective Detections

https://www.immersivelabs.com/resources/blog/atera-under-the-spotlight-exploring-more-effective-detections

Report completeness: Medium

Actors/Campaigns:
Muddywater
Sandworm

Threats:
Atera_tool
Lockbit
Blackcat
Zerolot
Conti

Industry:
Transport, Energy

Geo:
Iranian, Ukraine

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.005, T1566, T1566.003

IOCs:
File: 4
IP: 1
Url: 2

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачная платформа RMM Atera используется злоумышленниками из-за ее функциональных возможностей, которые облегчают мониторинг конечных точек и удаленную ИТ-поддержку, обеспечивая как прямую доставку вредоносного ПО, так и тактику социальной инженерии. Атаки часто включают использование Atera для проникновения в сети с использованием специальных методов, таких как использование HTA-файлов для выполнения команд PowerShell для вредоносных установок. Способность инструмента RMM смешиваться с обычным сетевым трафиком расширяет возможности его использования для поддержания закрепления в скомпрометированных средах.
-----

Atera, облачная платформа удаленного мониторинга и управления (RMM), привлекла к себе внимание тем, что широко используется злоумышленниками благодаря своим законным и удобным для пользователя функциональным возможностям, которые включают мониторинг конечных точек, автоматизацию задач и предоставление удаленной ИТ-поддержки. Широкое использование платформы в ИТ-средах облегчает различные методы атак, включая прямую доставку вредоносного ПО и тактики социальной инженерии, такие как фишинг и клонирование веб-сайтов.

В атаках с использованием Atera часто участвуют злоумышленники, использующие этот инструмент для компрометации сетей. Например, во время операций Conti были установлены специальные средства обнаружения для идентификации установок Atera с помощью msiexec.exe процесс. Однако эффективность этих средств обнаружения может варьироваться, о чем свидетельствуют как успешные, так и безуспешные попытки злоумышленников обойти их. Это подчеркивает сохраняющуюся проблему адаптации механизмов обнаружения для борьбы с меняющейся тактикой, используемой злонамеренными акторами.

Один конкретный метод атаки предполагает использование файла HTA (HTML-приложения), который выполняет команды PowerShell для установки файла MSI. В сочетании с тезисом преобразований, этот метод манипулирует процесс установки для сокрытия вредоносной активности, что делает его менее заметным. Способность инструментов RMM, таких как Atera, сливаться с обычным сетевым трафиком в значительной степени повышает их привлекательность для поддержания закрепления в скомпрометированных средах.

Таким образом, в то время как Atera выполняет законные функции в рамках ИТ-менеджмента, ее простота использования и природа инструментов RMM делают ее предпочтительным выбором для злоумышленников, стремящихся проникнуть в сети и сохраниться в них. Возникающие в результате проблемы безопасности подчеркивают необходимость адаптивных и эффективных стратегий обнаружения угроз для противодействия такому злонамеренному использованию широко распространенных программных решений.

#ParsedReport #CompletenessMedium
24-12-2025

REVISITING MEDUSA LOCKER RANSOMWARE

https://theravenfile.com/2025/12/24/revisiting-medusa-locker-ransomware/

Report completeness: Medium

Threats:
Medusalocker
Medusa_ransomware
Cobalt_strike_tool
Raccoon_stealer
Rusty_stealer
Donut
Dcrat
Flawedammyy
Gozi
Emotet
Asyncrat
Industoyer2
Babylockerkz
Marlock
Marnet_ransomware
Mamai_ransomware
Keversen
Sunnyday
Huylock
Farattack
Lolkek
Ako_ransomware

Industry:
Media

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1090.003, T1105, T1106, T1486, T1547.001, T1584.004, T1587.001, T1657

IOCs:
IP: 2
Domain: 7
Hash: 51
File: 1
Email: 2
Coin: 2

Soft:
Node.js, GMAIL, Telegram

Crypto:
bitcoin

Algorithms:
md5

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 1, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Medusa Locker, действующая с 2019 года, значительно эволюционировала и работает по модели "Программа-вымогатель как услуга", в основном используемой российскими злоумышленниками в Dark Web. Последние варианты, такие как BabylockerKZ, усложняют отслеживание из-за нетипичных соглашений об именовании. Программа-вымогатель нацелена на различные отрасли промышленности во многих странах, использует двухэтапную работу с TOR v3 и содержит уязвимость в своей платформе продажи билетов, которую можно использовать для анализа, подчеркивая ее постоянное развитие и операционное воздействие.
-----

Программа-вымогатель Medusa Locker активна с 2019 года и недавно претерпела значительные изменения. Эта программа-вымогатель характеризуется постоянной связью с российским хостингом, в основном использующим для своих операций Dark Web. Модель "Программы-вымогатели как услуга" (RaaS), используемая группой, указывает на стратегию сдачи возможностей в аренду другим преступникам, что приводит к увеличению числа жертв в различных секторах.

Недавний анализ Medusa Locker выявил варианты, называемые BabylockerKZ, связанные с идентификатором мьютекса "HOHOL1488". Однако это соглашение об именовании отличается от обычных записей и создает проблемы для отслеживания действий. Группа Medusa Locker нацелена на широкий спектр отраслей промышленности, и данные указывают на случаи заражения в десяти странах и тринадцати отраслях промышленности, что подчеркивает широкий охват группы.

Принцип работы Medusa Locker остается неизменным, с идентифицируемыми двумя фазами: операции до и после внедрения TOR v3. Конкретные точки привязки злоумышленников, связанные с вариантом TOR v3, включают нацеленные Адреса эл. почты и идентификаторы чата TOX, облегчающие общение и переговоры о выкупе с жертвами. Анализ показывает, что программа-вымогатель продолжает развиваться, и ее воздействие остается значительным, при этом регулярно появляются новые случаи.

Примечательное событие связано с уязвимостью, обнаруженной в платформе продажи билетов группы, которая потенциально может быть использована для дальнейшего анализа и расследования. Кроме того, выплаты выкупа на фоне успеха программы-вымогателя Medusa Locker дают представление о ее операционной эффективности и положении в более широком контексте киберугроз.

Чтобы правильно анализировать инциденты, связанные с этой вымогателей, это имеет решающее значение для кибербезопасность кибербезопасность различать Medusa Locker и несвязанные Medusa Ransomware вариант. По ошибке идентифицировала эти отдельные сущности могут помешать защитные меры и усилия атрибуции в кибербезопасность кибербезопасность. Следовательно, постоянное информирование о технических характеристиках и моделях поведения Medusa Locker имеет важное значение для уменьшения его угрозы.

#ParsedReport #CompletenessHigh
24-12-2025

Silver Fox Targeting India Using Tax Themed Phishing Lures

https://www.cloudsek.com/blog/silver-fox-targeting-india-using-tax-themed-phishing-lures

Report completeness: High

Actors/Campaigns:
Silver_fox
Sidewinder

Threats:
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Donut
Donutloader
Valleyrat
Credential_harvesting_technique
Process_hollowing_technique
Spear-phishing_technique

Victims:
Government sector, Tax agencies

Geo:
India, Chinese

TTPs:
Tactics: 9
Technics: 23

IOCs:
Domain: 17
File: 8
Path: 1
IP: 9
Registry: 1
Hash: 4

Soft:
NSIS Installer, Windows Update service(wuauserv, Windows registry, Windows Update service, wuauserv

Algorithms:
sha256, zip, md5

Functions:
sub_405E40

Win API:
GetTempPathA, VirtualAllocEx, WriteProcessMemory

Win Services:
wuauserv

Links:
https://github.com/listinvest/undonut
https://github.com/volexity/donut-decryptor
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2, code: 11, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4