#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт киберпреступности развивается, и такие инструменты, как "ClickFix" и "ErrTraffic", подчеркивают переход к коммерциализированной социальной инженерии. ErrTraffic использует методы, которые изменяют объектную модель документа (DOM) веб-страниц, чтобы заставить пользователей выполнять вредоносные команды PowerShell с помощью механизма "Вставить и запустить", эффективно обходя традиционные меры безопасности. Этот инструмент нацелен на различные операционные системы и собирает конфиденциальную информацию, создавая самоподдерживающийся цикл кражи учетных данных и компрометации системы.
-----

Среда киберпреступности значительно смещается в сторону коммерциализированных методов социальной инженерии, примером чего является появление инструментов "ClickFix", которые предназначены для того, чтобы обманом заставить пользователей выполнять вредоносные скрипты. Это преобразование сигнализирует об отходе от традиционных атак высокой квалификации в сторону более доступных методов для менее опытных злоумышленников.

ClickFix использует уязвимости, присущие взаимодействию между веб-браузерами и операционными системами, используя преимущества улучшенных функций безопасности современных браузеров, которые сделали автоматическую загрузку без звука устаревшей. В результате злоумышленники теперь полагаются на более изощренные формы социальной инженерии, чтобы обманом заставить пользователей самостоятельно выполнять вредоносные действия.

Инструмент ErrTraffic, представленный злоумышленником по имени "LenAI", разработан таким образом, чтобы быть удобным в использовании, с Панелью управления, которая имитирует легальные платформы "Программное обеспечение как услуга" (SaaS). Его развертывание включает в себя модификацию объектной модели документа (DOM) веб-страниц, на которые нацелены, для создания обманчивых наложений, которые побуждают пользователей к действиям, ведущим к заражению. Эта модификация облегчается с помощью файла со специальным именем с символом .js.php расширение, позволяющее обрабатывать логику PHP при предоставлении пользователю JavaScript, таким образом обходя некоторые функции безопасности.

Заметное методе, при помощи которого ErrTraffic является его "вставить и работать" механизм, в котором пользователи должны запустить JavaScript-скопировать PowerShell PowerShell, который запускает вредоносную нагрузку на их системы. Этот метод эффективно привлекает пользователей к выполнению действий, инициирующих атаку, тем самым уменьшая потребность в методах прямого вторжения.

ErrTraffic работает как Система распределения трафика (TDS), которая доставляет файлы, адаптированные к операционной системе жертвы, постоянно облегчая цикл компрометации. Он собирает не только банковские учетные данные, но и доступ к различным системам управления контентом (CMS), тем самым расширяя свой потенциал для использования. Конечным результатом является самоподдерживающаяся экосистема для киберпреступников, усиливающая цикл кражи учетных данных и компрометации системы.

#ParsedReport #CompletenessLow
29-12-2025

Zestix Threat Actor Profile \| TTPs, Victims, and Breach Activity

https://cyberint.com/blog/threat-intelligence/zestix-threat-actor-profile-ttps-victims-and-breach-activity/

Report completeness: Low

Actors/Campaigns:
Zestix

Victims:
Transportation sector, Government sector, Major spanish airline, Health company

Industry:
Transport, Government, Aerospace, Healthcare, Military

Geo:
Brazilian, Brazil, Spanish, Spain

Soft:
Twitter, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Zestix - криминальный злоумышленник, действующий с сентября 2025 года, нацеленный на транспортный и государственный секторы с целью личной финансовой выгоды. Этот человек применяет изощренную тактику, совершив значительные утечки данных, включая инциденты с участием крупной испанской авиакомпании и медицинской компании. Zestix участвует в дискуссиях на хакерских форумах, уделяя особое внимание обходу мер безопасности и обмену информацией об утечке данных, что указывает на потенциальную эскалацию угроз для конфиденциальной информации.
-----

Zestix - криминальный злоумышленник, который появился в сентябре 2025 года, руководствуясь преимущественно личной финансовой выгодой. Этот актор индивидуального уровня был связан со значительными утечками данных, особенно в отношении организаций транспортного и государственного секторов.

Тактика, методы и процедуры (TTP), используемые Zestix, демонстрируют глубокое понимание уязвимостей в области кибербезопасности. Хотя конкретные методы не детализированы, последствия утечки данных от известных организаций, включая крупную испанскую авиакомпанию и медицинскую компанию, указывают на возможность эффективного обхода систем безопасности. Известно, что актор активен на хакерских форумах, в частности forum.exploit.in , где Zestix обсуждает различные методы кибербезопасности, в том числе способы обхода средств защиты, и делится информацией о продолжающихся утечках данных. Общение с потенциальными сотрудниками или информаторами осуществляется через защищенные платформы обмена сообщениями, такие как qTox.

Участие Zestix's в сообществе киберпреступников предполагает уровень угрозы, который может возрасти еще больше, особенно учитывая сосредоточенность актора на громких целях. Извлечение конфиденциальной информации из государственного и транспортного секторов вызывает опасения по поводу потенциальных более широких последствий для безопасности и конфиденциальности. Методы, используемые Zestix, подчеркивают эволюционирующий характер киберугроз, подчеркивая необходимость бдительности и упреждающих мер в области защиты кибербезопасности, чтобы помешать таким лицам.

#ParsedReport #CompletenessMedium
30-12-2025

EmEditor Supply Chain Incident Details Disclosed: Distribution of Information-Stealing Malware Sweeps Through Domestic Government and Enterprise Entities

https://ti.qianxin.com/blog/articles/emeditor-supply-chain-incident-details-disclosed-en/

Report completeness: Medium

Threats:
Supply_chain_technique
Putty_tool
Mitm_technique

Victims:
Government, Enterprise entities

Industry:
Government

Geo:
China, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.001, T1176, T1195, T1553.002

IOCs:
File: 4
Domain: 16
Hash: 2
IP: 3

Soft:
Discord, Slack, Zoom, WinSCP, Steam, Telegram

Algorithms:
md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была раскрыта атака по Цепочке поставок, нацеленная на EmEditor, в ходе которой официальные установочные пакеты MSI были заменены вредоносными версиями в период с 19 по 22 декабря 2025 года, подписанными неофициальной подписью. Скомпрометированные пакеты выполняли команды PowerShell, позволяя злоумышленникам получить контроль, в то время как было установлено расширение для браузера под названием "Кэширование Google диска", функционирующее как вредоносное ПО для кражи информации. Этот инцидент подчеркивает уязвимости в Цепочках поставок программного обеспечения и потенциальную возможность серьезных утечек данных.
-----

23 декабря 2025 года была раскрыта атака по Цепочке поставок, нацеленная на EmEditor, что указывает на то, что установочные пакеты MSI официального веб-сайта были скомпрометированы в период с 19 по 22 декабря. Эти пакеты были заменены вредоносными версиями, которые были подписаны неофициальной подписью, связанной с "WALSHAM INVESTMENTS LIMITED". Нарушение в первую очередь затронуло государственные структуры и предприятия.

Вредоносный установочный пакет содержит встроенный скрипт, предназначенный для выполнения команд PowerShell. Эта возможность позволяет предположить, что злоумышленники стремились установить дополнительный контроль над скомпрометированными средами, используя PowerShell для дополнительных вредоносных действий. Конечная цель атаки раскрывается с помощью установки расширения для браузера под названием "Кэширование Google диска". Это расширение характеризуется как полнофункциональное вредоносное ПО для кражи информации, что указывает на высокий уровень угрозы конфиденциальным данным затронутых пользователей.

Использование PowerShell, общего управления и автоматизации, инструмент, иллюстрирует методику в кибератак, что позволяет противникам сохранять скрытность во время выполнения дальнейших вредоносных команд. Механизм закрепления с помощью расширения браузера подчеркивает изощренность атаки, поскольку он позволяет вредоносному ПО оставаться в системе жертвы и продолжать активную эксфильтрацию данных. В целом, этот инцидент подчеркивает уязвимость в цепи цепочка поставок и потенциально крупных утечек данных, вытекающих из таких нападений.

#ParsedReport #CompletenessHigh
30-12-2025

APT36 : Multi-Stage LNK Malware Campaign Targeting Indian Government Entities

https://www.cyfirma.com/research/apt36-multi-stage-lnk-malware-campaign-targeting-indian-government-entities/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Spear-phishing_technique
Process_injection_technique
Lolbin_technique

Victims:
Indian government entities, Educational institutions, Strategic sectors

Industry:
Government

Geo:
Indian, Pakistan

TTPs:
Tactics: 11
Technics: 30

IOCs:
File: 12
Path: 1
IP: 1
Hash: 6
Domain: 2

Algorithms:
sha256, zip, md5, base64, aes, xor

Functions:
ReadOnly, WriteOnly, Work, parse, getsystem, GetDeepInfo, CopyFromScreen, getclipboardtext, setclipboardtext, Send, have more...

Languages:
powershell, visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, - это связанный с Пакистаном злоумышленник, занимающийся кибершпионажем против правительственных секторов Индии, используя многоступенчатую систему доставки вредоносного ПО, которая начинается с Целевого фишинга электронных писем. Атака включает в себя ZIP-файл, содержащий вредоносный LNK-файл, который активирует mshta.exe для запуска HTA-скрипта, ведущего к выполнению полезной нагрузки, включая компоненты только для чтения и записи для закрепления вредоносного ПО и удаленного доступа. Основная библиотека DLL, ki2mtmkl.dll , управляет функциями вредоносного ПО, делая упор на долгосрочное наблюдение с помощью модульных методов обмана.
-----

APT36, также известная как Transparent Tribe, является связанным с Пакистаном злоумышленником, проводящим сложную кампанию кибершпионажа, специально нацеленную на индийский правительственный и стратегический секторы. Эта операция в основном использует многоэтапную систему доставки вредоносного ПО, начиная с Целевого фишинга по электронной почте, содержащего ZIP-архив. В этом архиве содержится вредоносный файл ярлыка Windows (LNK), замаскированный под PDF-документ, эффективно вводящий пользователей в заблуждение и повышающий вероятность взаимодействия.

Процесс запуска вредоносного ПО запускается при открытии этого ZIP-файла. Это запускает mshta.exe , приводящий к выполнению HTA-скрипта, ответственного за расшифровку и выполнение полезных нагрузок в памяти. Кампания содержит основную полезную нагрузку, известную как ReadOnly, которая настраивает среду в обход проверок безопасности в .NET-приложениях. Другой критически важный компонент, WriteOnly, работает путем выполнения вредоносной библиотеки DLL в памяти, что облегчает операции с трояном удаленного доступа (RAT). Это вредоносное ПО разработано для адаптации к существующим антивирусным решениям, обеспечения закрепления при перезагрузке системы и поддержки множества функциональных возможностей, включая удаленное управление системой, эксфильтрацию данных и наблюдение.

После выполнения основная библиотека DLL, идентифицированная как ki2mtmkl.dll , запускает функцию под названием Work(), которая управляет последующими действиями вредоносного ПО, включая согласование полезной нагрузки и передачу команд и контрольных сообщений. Кроме того, кампания соответствует главной цели APT36 по сбору разведывательных данных, фокусируясь на долгосрочном наблюдении, а не на сиюминутной финансовой выгоде или разрушительных целях.

Использование обманных методов доставки и передовые методы выполнения значительно расширить возможности злоумышленник актера для проведения шпионских операций, не вызывая подозрений пользователя. Кампания демонстрирует эволюцию в apt36's, иллюстрируя их способность использовать комплекс, модульный подходы, которые используют fileless исполнения и зашифрованных сообщений упорно доступ к скомпрометированной среде. Эти характеристики подчеркивают необходимость усиленных мер безопасности, постоянного мониторинга и информированности пользователей для противодействия постоянной и изощренной угрозе, исходящей от таких акторов, связанных с государством.

#ParsedReport #CompletenessMedium
31-12-2025

DarkSpectre: Unmasking the Threat Actor Behind 8.8 Million Infected Browsers

https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers

Report completeness: Medium

Actors/Campaigns:
Darkspectre (motivation: cyber_espionage, financially_motivated)
Shadypanda

Threats:
Ghostposter
Timebomb_technique
Wetab
Steganography_technique

Victims:
Browser users, Corporate users of video conferencing platforms

Industry:
E-commerce

Geo:
Russian, China, North korean, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1059.007, T1071.001, T1090, T1105, T1119, T1195.003, T1199, have more...

IOCs:
Domain: 15
IP: 1
Coin: 14

Soft:
Zoom, Chrome, Firefox, Opera, Twitter, Microsoft Teams

Algorithms:
xor

Functions:
eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DarkSpectre - это изощренный злоумышленник, ответственный за компрометацию 8,8 миллионов браузеров с помощью вредоносных расширений, в основном связанных с jt2x.com кластер, обеспечивающий операции командования и контроля, эксфильтрацию данных и мошенничество. Их деятельность включает в себя три приложения: долгосрочный ShadyPanda для Удаленного Выполнения Кода, GhostPoster для скрытой доставки полезной нагрузки в Firefox и стиллер Zoom, который собирает конфиденциальную информацию о корпоративных собраниях. Эта кампания демонстрирует характеристики хорошо обеспеченной ресурсами группы, вероятно, китайского происхождения, подчеркивая значительные угрозы корпоративной безопасности.
-----

DarkSpectre определяется как изощренный злоумышленник, ответственных за угрозу 8,8 млн. браузерах путем развертывания различных вредоносных расширений браузера. Изначально прослеживается от shadypanda ShadyPanda, исследователи обнаружили более 100 взаимосвязанные расширения, с особым упором на кластер jt2x.com , что облегчило операции Управления, контроля, загрузки конфигурации, эвакуация эксфильтрация и партнерская схемы мошенничества.

В darkspectre DarkSpectre использует три различные сценарии, каждый нацелен на разных целей. Первый сборник пьес, представленных ShadyPanda, предполагает долгосрочное обслуживание, казалось бы, законных расширения за несколько лет до вооружает их через одно обновление, включение удаленное выполнение кода и конфигурации командования и управления. Этот метод позволяет расширениям обманывать проверяющих, оставаясь чистыми во время проверок.

Вторая игра, получившая название GhostPoster, фокусируется на скрытой доставке полезных данных пользователям браузера Firefox. Последняя версия, известная как Zoom Стиллер, предназначена для нацеленного сбора корпоративной информации. Этот набор расширений маскируется под инструменты повышения производительности, связанные с более чем 28 популярными платформами видеоконференцсвязи, собирая конфиденциальную информацию, такую как ссылки на собрания, учетные данные, списки участников и сведения о спикерах в режиме реального времени.

Эти расширения используют базу данных Firebase в режиме реального времени для хранения собранных данных и обмена данными через облачную функцию Google, добавляя уровни легитимности своим операциям и создавая надежную инфраструктуру для эксфильтрации данных. Такой обширный сбор информации о встречах от 2,2 миллионов пользователей создает возможности для Имперсонации и шпионажа, создавая значительную угрозу корпоративной безопасности.

Исследование показало, что только кампания ShadyPanda заразила более 4,3 миллионов пользователей, что свидетельствует о длительных операциях, характеризующихся как активными, так и бездействующими расширениями. К активным угрозам относятся те, которые нацелены на пользователей с немедленной эксфильтрацией данных и мошенничеством с аффилированными лицами, в то время как бездействующие расширения могут быть активированы в любое время, что отражает стратегический выжидательный подход, применяемый операторами.

Атрибуция DarkSpectre предполагает наличие хорошо обеспеченной ресурсами группы, вероятно, китайского происхождения, на что указывает зависимость их инфраструктуры от Alibaba Cloud, наличие элементов китайского языка в коде и стиль разработки, соответствующий китайским операционным моделям. Это указывает на то, что DarkSpectre является высокоорганизованной структурой, способной осуществлять сложные операции в течение значительного периода времени, будь то в качестве группы, связанной с государством, или финансово мотивированной преступной организации.

#ParsedReport #CompletenessLow
31-12-2025

Fake WordPress Domain Renewal Phishing Email Stealing Credit Card And 3-D Secure OTP

https://malwr-analysis.com/2025/12/31/fake-wordpress-domain-renewal-phishing-email-stealing-credit-card-and-3-d-secure-otp/

Report completeness: Low

Victims:
Wordpress users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1102.002, T1566.002, T1608.006

IOCs:
Url: 1
File: 2
IP: 2
Domain: 1

Soft:
WordPress, Telegram

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании по фишингу, нацеленной на пользователей WordPress, используются мошеннические электронные письма, имитирующие законную переписку, что создает срочность при продлении домена. Жертвы перенаправляются на поддельный платежный портал для сбора конфиденциальной финансовой информации, такой как данные кредитной карты и одноразовые пароли, которые передаются злоумышленникам через Telegram. В кампании используются методы социальной инженерии, что создает риски как для отдельных пользователей, так и для целостности сервисов WordPress.
-----

Расследование в области кибербезопасности выявило кампанию фишинга, направленную против пользователей WordPress с мошенническими электронными письмами, в которых утверждалось о приближающихся сроках продления домена. Эти электронные письма предназначены для того, чтобы создать ощущение срочности, побуждая жертв к немедленным действиям, чтобы избежать сбоев в обслуживании. Сообщение имитирует внешний вид законной корреспонденции от WordPress.com , что придает ему атмосферу аутентичности.

Перейдя по ссылкам в этих электронных письмах, жертвы перенаправляются на поддельный платежный портал, который размещен на серверах, контролируемых злоумышленниками. Этот сайт используется в основном для сбора конфиденциальной финансовой информации, в частности данных кредитной карты и одноразовых паролей 3-D Secure (OTP). Кража этой информации осуществляется с помощью скрытого метода эксфильтрации данных, при котором собранные учетные данные отправляются злоумышленникам через платформу обмена сообщениями Telegram.

Кампания использует тактику социальной инженерии, чтобы манипулировать пользователей в заблуждение финансовой информации, представляя опасность не только для людей, но и для целостности услуг, связанных с доменами в WordPress. Это подчеркивает важность бдительности в отношении попыток фишинга и необходимость проверки пользователями подлинности сообщений, касающихся их учетных записей или сервисов.

#ParsedReport #CompletenessLow
30-12-2025

RMM Abuse in a Crypto Wallet Distribution Campaign

https://malwr-analysis.com/2025/12/31/rmm-abuse-in-a-crypto-wallet-distribution-campaign/

Report completeness: Low

Threats:
Logmein_tool
Gotoresolve_tool
Supply_chain_technique
Credential_harvesting_technique

Victims:
Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1219

IOCs:
Url: 1
File: 5
Hash: 2
Domain: 1

Crypto:
cardano

Algorithms:
exhibit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания использует инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного криптокошелька, замаскированного под "LogMeIn Resolve Unattended v1.30.0.636", с файлом с именем "Eternl.msi" (хэш: 8fa4844e40669c1cb417d7cf923bf3e0) и размером 23,3 МБ. Эта схема нацелена на пользователей, заинтересованных в криптовалютах, обеспечивая несанкционированный доступ к системе и демонстрируя растущее использование инструментов RMM злоумышленниками для достижения вредоносных целей. Использование файлов MSI указывает на стремление поддерживать закрепление на скомпрометированных устройствах, обеспечивая полный контроль.
-----

Недавняя кампания использовала инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного крипто-кошелька, идентифицируемого по имени файла "Eternl.msi". Этот конкретный файл размером 23,3 МБ упакован как установщик Windows (MSI) с хэш-значением 8fa4844e40669c1cb417d7cf923bf3e0. Рекламируемое под видом "LogMeIn Resolve Unattended v1.30.0.636", вредоносное ПО, по-видимому, вводит пользователей в заблуждение, заставляя их думать, что они загружают законное программное обеспечение, тем самым облегчая несанкционированный доступ к системам.

Инструменты RMM, подобные приведенному в данном примере, обычно используются ИТ-отделами для управления устройствами. Однако злоумышленники все чаще используют эти инструменты для осуществления гнусных планов, что подчеркивает тревожную тенденцию в кибероперациях. Эта кампания специально нацелена на пользователей, желающих управлять криптовалютами или хранить их, предполагая, что злоумышленники могут быть сосредоточены на использовании растущего интереса и инвестиций в цифровые валюты. Использование MSI-файлов для распространения подразумевает, что атака также основана на попытках добиться закрепления на зараженных компьютерах.

Установка этой полезной нагрузки, вероятно, включает в себя механизмы для установления удаленного доступа, позволяющие полностью контролировать скомпрометированную систему. Сложный характер злоупотреблений RMM демонстрирует двойную природу использования законного программного обеспечения, которое может способствовать как продуктивному управлению ИТ, так и вредоносным эксплойтам, усиливая риски, связанные с нерегулируемым доступом к программному обеспечению и управлением им в киберпространстве. Поскольку эта модель атаки продолжает развиваться, постоянный мониторинг и оценка инструментов RMM будут иметь решающее значение для предотвращения подобных кампаний по распространению в будущем.