#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, - это связанный с Пакистаном злоумышленник, занимающийся кибершпионажем против правительственных секторов Индии, используя многоступенчатую систему доставки вредоносного ПО, которая начинается с Целевого фишинга электронных писем. Атака включает в себя ZIP-файл, содержащий вредоносный LNK-файл, который активирует mshta.exe для запуска HTA-скрипта, ведущего к выполнению полезной нагрузки, включая компоненты только для чтения и записи для закрепления вредоносного ПО и удаленного доступа. Основная библиотека DLL, ki2mtmkl.dll , управляет функциями вредоносного ПО, делая упор на долгосрочное наблюдение с помощью модульных методов обмана.
-----

APT36, также известная как Transparent Tribe, является связанным с Пакистаном злоумышленником, проводящим сложную кампанию кибершпионажа, специально нацеленную на индийский правительственный и стратегический секторы. Эта операция в основном использует многоэтапную систему доставки вредоносного ПО, начиная с Целевого фишинга по электронной почте, содержащего ZIP-архив. В этом архиве содержится вредоносный файл ярлыка Windows (LNK), замаскированный под PDF-документ, эффективно вводящий пользователей в заблуждение и повышающий вероятность взаимодействия.

Процесс запуска вредоносного ПО запускается при открытии этого ZIP-файла. Это запускает mshta.exe , приводящий к выполнению HTA-скрипта, ответственного за расшифровку и выполнение полезных нагрузок в памяти. Кампания содержит основную полезную нагрузку, известную как ReadOnly, которая настраивает среду в обход проверок безопасности в .NET-приложениях. Другой критически важный компонент, WriteOnly, работает путем выполнения вредоносной библиотеки DLL в памяти, что облегчает операции с трояном удаленного доступа (RAT). Это вредоносное ПО разработано для адаптации к существующим антивирусным решениям, обеспечения закрепления при перезагрузке системы и поддержки множества функциональных возможностей, включая удаленное управление системой, эксфильтрацию данных и наблюдение.

После выполнения основная библиотека DLL, идентифицированная как ki2mtmkl.dll , запускает функцию под названием Work(), которая управляет последующими действиями вредоносного ПО, включая согласование полезной нагрузки и передачу команд и контрольных сообщений. Кроме того, кампания соответствует главной цели APT36 по сбору разведывательных данных, фокусируясь на долгосрочном наблюдении, а не на сиюминутной финансовой выгоде или разрушительных целях.

Использование обманных методов доставки и передовые методы выполнения значительно расширить возможности злоумышленник актера для проведения шпионских операций, не вызывая подозрений пользователя. Кампания демонстрирует эволюцию в apt36's, иллюстрируя их способность использовать комплекс, модульный подходы, которые используют fileless исполнения и зашифрованных сообщений упорно доступ к скомпрометированной среде. Эти характеристики подчеркивают необходимость усиленных мер безопасности, постоянного мониторинга и информированности пользователей для противодействия постоянной и изощренной угрозе, исходящей от таких акторов, связанных с государством.

#ParsedReport #CompletenessMedium
31-12-2025

DarkSpectre: Unmasking the Threat Actor Behind 8.8 Million Infected Browsers

https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers

Report completeness: Medium

Actors/Campaigns:
Darkspectre (motivation: cyber_espionage, financially_motivated)
Shadypanda

Threats:
Ghostposter
Timebomb_technique
Wetab
Steganography_technique

Victims:
Browser users, Corporate users of video conferencing platforms

Industry:
E-commerce

Geo:
Russian, China, North korean, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1059.007, T1071.001, T1090, T1105, T1119, T1195.003, T1199, have more...

IOCs:
Domain: 15
IP: 1
Coin: 14

Soft:
Zoom, Chrome, Firefox, Opera, Twitter, Microsoft Teams

Algorithms:
xor

Functions:
eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DarkSpectre - это изощренный злоумышленник, ответственный за компрометацию 8,8 миллионов браузеров с помощью вредоносных расширений, в основном связанных с jt2x.com кластер, обеспечивающий операции командования и контроля, эксфильтрацию данных и мошенничество. Их деятельность включает в себя три приложения: долгосрочный ShadyPanda для Удаленного Выполнения Кода, GhostPoster для скрытой доставки полезной нагрузки в Firefox и стиллер Zoom, который собирает конфиденциальную информацию о корпоративных собраниях. Эта кампания демонстрирует характеристики хорошо обеспеченной ресурсами группы, вероятно, китайского происхождения, подчеркивая значительные угрозы корпоративной безопасности.
-----

DarkSpectre определяется как изощренный злоумышленник, ответственных за угрозу 8,8 млн. браузерах путем развертывания различных вредоносных расширений браузера. Изначально прослеживается от shadypanda ShadyPanda, исследователи обнаружили более 100 взаимосвязанные расширения, с особым упором на кластер jt2x.com , что облегчило операции Управления, контроля, загрузки конфигурации, эвакуация эксфильтрация и партнерская схемы мошенничества.

В darkspectre DarkSpectre использует три различные сценарии, каждый нацелен на разных целей. Первый сборник пьес, представленных ShadyPanda, предполагает долгосрочное обслуживание, казалось бы, законных расширения за несколько лет до вооружает их через одно обновление, включение удаленное выполнение кода и конфигурации командования и управления. Этот метод позволяет расширениям обманывать проверяющих, оставаясь чистыми во время проверок.

Вторая игра, получившая название GhostPoster, фокусируется на скрытой доставке полезных данных пользователям браузера Firefox. Последняя версия, известная как Zoom Стиллер, предназначена для нацеленного сбора корпоративной информации. Этот набор расширений маскируется под инструменты повышения производительности, связанные с более чем 28 популярными платформами видеоконференцсвязи, собирая конфиденциальную информацию, такую как ссылки на собрания, учетные данные, списки участников и сведения о спикерах в режиме реального времени.

Эти расширения используют базу данных Firebase в режиме реального времени для хранения собранных данных и обмена данными через облачную функцию Google, добавляя уровни легитимности своим операциям и создавая надежную инфраструктуру для эксфильтрации данных. Такой обширный сбор информации о встречах от 2,2 миллионов пользователей создает возможности для Имперсонации и шпионажа, создавая значительную угрозу корпоративной безопасности.

Исследование показало, что только кампания ShadyPanda заразила более 4,3 миллионов пользователей, что свидетельствует о длительных операциях, характеризующихся как активными, так и бездействующими расширениями. К активным угрозам относятся те, которые нацелены на пользователей с немедленной эксфильтрацией данных и мошенничеством с аффилированными лицами, в то время как бездействующие расширения могут быть активированы в любое время, что отражает стратегический выжидательный подход, применяемый операторами.

Атрибуция DarkSpectre предполагает наличие хорошо обеспеченной ресурсами группы, вероятно, китайского происхождения, на что указывает зависимость их инфраструктуры от Alibaba Cloud, наличие элементов китайского языка в коде и стиль разработки, соответствующий китайским операционным моделям. Это указывает на то, что DarkSpectre является высокоорганизованной структурой, способной осуществлять сложные операции в течение значительного периода времени, будь то в качестве группы, связанной с государством, или финансово мотивированной преступной организации.

#ParsedReport #CompletenessLow
31-12-2025

Fake WordPress Domain Renewal Phishing Email Stealing Credit Card And 3-D Secure OTP

https://malwr-analysis.com/2025/12/31/fake-wordpress-domain-renewal-phishing-email-stealing-credit-card-and-3-d-secure-otp/

Report completeness: Low

Victims:
Wordpress users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1102.002, T1566.002, T1608.006

IOCs:
Url: 1
File: 2
IP: 2
Domain: 1

Soft:
WordPress, Telegram

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании по фишингу, нацеленной на пользователей WordPress, используются мошеннические электронные письма, имитирующие законную переписку, что создает срочность при продлении домена. Жертвы перенаправляются на поддельный платежный портал для сбора конфиденциальной финансовой информации, такой как данные кредитной карты и одноразовые пароли, которые передаются злоумышленникам через Telegram. В кампании используются методы социальной инженерии, что создает риски как для отдельных пользователей, так и для целостности сервисов WordPress.
-----

Расследование в области кибербезопасности выявило кампанию фишинга, направленную против пользователей WordPress с мошенническими электронными письмами, в которых утверждалось о приближающихся сроках продления домена. Эти электронные письма предназначены для того, чтобы создать ощущение срочности, побуждая жертв к немедленным действиям, чтобы избежать сбоев в обслуживании. Сообщение имитирует внешний вид законной корреспонденции от WordPress.com , что придает ему атмосферу аутентичности.

Перейдя по ссылкам в этих электронных письмах, жертвы перенаправляются на поддельный платежный портал, который размещен на серверах, контролируемых злоумышленниками. Этот сайт используется в основном для сбора конфиденциальной финансовой информации, в частности данных кредитной карты и одноразовых паролей 3-D Secure (OTP). Кража этой информации осуществляется с помощью скрытого метода эксфильтрации данных, при котором собранные учетные данные отправляются злоумышленникам через платформу обмена сообщениями Telegram.

Кампания использует тактику социальной инженерии, чтобы манипулировать пользователей в заблуждение финансовой информации, представляя опасность не только для людей, но и для целостности услуг, связанных с доменами в WordPress. Это подчеркивает важность бдительности в отношении попыток фишинга и необходимость проверки пользователями подлинности сообщений, касающихся их учетных записей или сервисов.

#ParsedReport #CompletenessLow
30-12-2025

RMM Abuse in a Crypto Wallet Distribution Campaign

https://malwr-analysis.com/2025/12/31/rmm-abuse-in-a-crypto-wallet-distribution-campaign/

Report completeness: Low

Threats:
Logmein_tool
Gotoresolve_tool
Supply_chain_technique
Credential_harvesting_technique

Victims:
Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1219

IOCs:
Url: 1
File: 5
Hash: 2
Domain: 1

Crypto:
cardano

Algorithms:
exhibit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания использует инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного криптокошелька, замаскированного под "LogMeIn Resolve Unattended v1.30.0.636", с файлом с именем "Eternl.msi" (хэш: 8fa4844e40669c1cb417d7cf923bf3e0) и размером 23,3 МБ. Эта схема нацелена на пользователей, заинтересованных в криптовалютах, обеспечивая несанкционированный доступ к системе и демонстрируя растущее использование инструментов RMM злоумышленниками для достижения вредоносных целей. Использование файлов MSI указывает на стремление поддерживать закрепление на скомпрометированных устройствах, обеспечивая полный контроль.
-----

Недавняя кампания использовала инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного крипто-кошелька, идентифицируемого по имени файла "Eternl.msi". Этот конкретный файл размером 23,3 МБ упакован как установщик Windows (MSI) с хэш-значением 8fa4844e40669c1cb417d7cf923bf3e0. Рекламируемое под видом "LogMeIn Resolve Unattended v1.30.0.636", вредоносное ПО, по-видимому, вводит пользователей в заблуждение, заставляя их думать, что они загружают законное программное обеспечение, тем самым облегчая несанкционированный доступ к системам.

Инструменты RMM, подобные приведенному в данном примере, обычно используются ИТ-отделами для управления устройствами. Однако злоумышленники все чаще используют эти инструменты для осуществления гнусных планов, что подчеркивает тревожную тенденцию в кибероперациях. Эта кампания специально нацелена на пользователей, желающих управлять криптовалютами или хранить их, предполагая, что злоумышленники могут быть сосредоточены на использовании растущего интереса и инвестиций в цифровые валюты. Использование MSI-файлов для распространения подразумевает, что атака также основана на попытках добиться закрепления на зараженных компьютерах.

Установка этой полезной нагрузки, вероятно, включает в себя механизмы для установления удаленного доступа, позволяющие полностью контролировать скомпрометированную систему. Сложный характер злоупотреблений RMM демонстрирует двойную природу использования законного программного обеспечения, которое может способствовать как продуктивному управлению ИТ, так и вредоносным эксплойтам, усиливая риски, связанные с нерегулируемым доступом к программному обеспечению и управлением им в киберпространстве. Поскольку эта модель атаки продолжает развиваться, постоянный мониторинг и оценка инструментов RMM будут иметь решающее значение для предотвращения подобных кампаний по распространению в будущем.

#ParsedReport #CompletenessLow
02-01-2026

The Intriguing Lotus: A Deep Dive into Sagerunex Securite360

https://securite360.net/the-intriguing-lotus-a-deep-dive-into-sagerunex

Report completeness: Low

Actors/Campaigns:
Dragonfish
Naikon

Threats:
Sagerunex
Plugx_rat
Shadowpad

Industry:
Energy, Military, Telco, Financial, Government

Geo:
Asian, Canada, French, Philippines, Hong kong, France, Vietnam, Taiwan, China, Chinese, Asia, Indonesia

IOCs:
Hash: 1
File: 2

Soft:
Internet Explorer, Firefox, Dropbox, Twitter, Zimbra, WordPress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайский APT-сервер Lotus Blossom использует вредоносное ПО Sagerunex для атак на различные секторы, включая правительственные и военные, главным образом в Юго-Восточной Азии. Sagerunex функционирует как бэкдор для удаленного выполнения команд и отличается гибкостью, позволяя выполнять различные типы файлов, оставаясь скрытым с помощью таких методов, как Имперсонация токена проводника и временные операции. Он взаимодействует с инфраструктурой C2 через WinHTTP, используя законные платформы, такие как Dropbox и Twitter, чтобы скрыть свою деятельность.
-----

Lotus Blossom, также известный как красный Саламандра или Lotus Panda, представляет собой сложную сложная целенаправленная угроза (apt), связанных с Китаем, активна как минимум с 2009 года. Этот шпионско-ориентированный набор заражения отмечается при ориентации на широкий спектр отраслей, включая государственные, телекоммуникационные, военные и энергетические, в первую очередь в Юго-Восточной Азии, но также распространяется и на США и Канады. Акцент на высокой стоимости и стратегические сектора соответствует интересам китайской государственной поддержке операций.

В центре Lotus panda'S-это вредоносное вредоносное ПО, Sagerunex, который не был широко распространен в существующей литературе, несмотря анализ по фирмам, как Symantec и Cisco Талос. Sagerunex действует как эффективный бэкдор, позволяющий удаленное выполнение команд, загрузка файлов и настройка регулировок без жестко заданных параметров; вместо этого, он получает информацию о конфигурации в качестве аргумента командной строки и создает файлы, чтобы хранить эту информацию в скомпрометированных системах.

Вредоносное ПО обладает расширенными возможностями, позволяя выполнять различные типы файлов на основе префиксов команд. Например, он может запускать исполняемые файлы, загружать библиотеки DLL или выполнять команды оболочки с помощью `cmd.exe `. Такая гибкость повышает способность злоумышленника скрытно манипулировать зараженной системой.

Sagerunex взаимодействует со своей инфраструктурой управления (C2), используя протокол WinHTTP, первоначально используя конфигурации прокси-сервера системы по умолчанию или возвращаясь к альтернативным методам обнаружения прокси-сервера, если первая попытка подключения завершается неудачей. Вредоносное ПО также становится незаметным, используя Имперсонацию токена Explorer, что позволяет ему обходить обнаружение, получая доступ к ресурсам с разрешениями вошедшего в систему пользователя без создания новых процессов.

Чтобы еще больше избежать обнаружения, Sagerunex можно запрограммировать на работу только в течение заданных временных интервалов, что повышает его скрытность. Эта операционная стратегия дополняется ее способностью использовать как законные, так и настроенные онлайн-сервисы для C2, такие как Dropbox и Twitter, тем самым скрывая свои коммуникации.

#ParsedReport #CompletenessLow
31-12-2025

Guloader malware being distributed disguised as an employee performance report.

https://asec.ahnlab.com/ko/91798/

Report completeness: Low

Threats:
Cloudeye
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
File: 1
Url: 3
IP: 2
Hash: 1

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Guloader распространяется с помощью фишинг-писем, замаскированных под отчеты о работе сотрудников, используя срочность, чтобы обманом заставить получателей открыть вредоносные вложения. После запуска Guloader может загружать и запускать другие вредоносные ПО, включая программы-вымогатели или стиллеры данных, расширяя воздействие атаки. Эта тактика подчеркивает риски социальной инженерии, подчеркивая, что человеческий фактор остается критической уязвимостью в области кибербезопасности.
-----

Вредоносное ПО Guloader в настоящее время распространяется с помощью фишингов электронных писем, которые маскируются под отчеты о работе сотрудников. Недавний отчет аналитического центра безопасности AhnLab (ASEC) подчеркивает эту тенденцию, в котором утверждается, что электронное письмо содержит отчет об эффективности работы сотрудников за октябрь 2025 года. Эта тактика используется для создания чувства срочности и беспокойства у получателей, особенно поскольку она намекает на потенциальное увольнение с работы, тем самым повышая вероятность того, что люди откроют вредоносное вложение.

Guloader особенно примечателен своей способностью облегчать загрузку и выполнение дополнительного вредоносного ПО, как только оно заражает систему. Эта возможность позволяет злоумышленникам развертывать различные полезные программы, включая программы-вымогатели или стиллеры информации, эффективно расширяя масштабы своей атаки. Электронные письма с фишингом тщательно разрабатываются, чтобы побудить пользователей нарушить систему безопасности, открыв вложение под предлогом просмотра важной информации о сотрудниках.

Использование методов социальной инженерии в этом методе распространения вредоносного ПО подчеркивает постоянный риск, связанный с человеческим фактором в области кибербезопасности. Организациям настоятельно рекомендуется усилить мониторинг и обучение в связи с угрозами фишинга, особенно в связи с тем, что злоумышленники используют все более изощренные тактики для использования психологических факторов, связанных с трудоустройством и гарантией занятости. Регулярные обновления протоколов безопасности и информационные кампании могли бы значительно снизить риски, связанные с попытками проникновения такого вредоносного ПО.

#ParsedReport #CompletenessMedium
02-01-2026

VVS Discord Stealer Using Pyarmor for Obfuscation and Detection Evasion

https://unit42.paloaltonetworks.com/vvs-stealer/

Report completeness: Medium

Threats:
Vvs_stealer
Pyarmor_tool

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1106, T1140, T1539, T1555.003

IOCs:
Hash: 3
File: 7
Path: 2
Url: 2

Soft:
Discord, Telegram, PyInstaller, Electron, Chrome, 7Star, Amigo, CentBrowser, Epic Privacy Browser, Kometa, have more...

Algorithms:
xor, sha256, zip, aes, aes-128-ctr

Functions:
deopt_code

Win API:
MessageBoxW

Languages:
cpython, python, javascript

Platforms:
x64

Links:
have more...
https://github.com/python/cpython/blob/3.11/Python/marshal.c
https://github.com/dashingsoft/pyarmor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер VVS нацелен на пользователей Discord, извлекая конфиденциальную информацию и данные браузера, используя передовые методы обфускации с использованием Pyarmor и шифрования AES-128-CTR, которые усложняют обнаружение и анализ. Он переупаковывается как пакет PyInstaller и использует инструмент Pycdc для устранения запутывания. Обладая возможностями кражи учетных данных, перехвата сеанса и вредоносного внедрения JavaScript, VVS добивается закрепления, копируя себя в каталог автозагрузки Windows, и использует социальную инженерию для введения пользователей в заблуждение.
-----

Стиллер VVS, также известный как VVS $tealer, представляет собой сложное вредоносное ПО, нацеленное на пользователей Discord путем фильтрации конфиденциальной информации и данных браузера. Это вредоносное ПО использует Pyarmor для обфускации и уклонения от обнаружения, тем самым делая его более устойчивым к обычным мерам безопасности.

Распространяемый как пакет PyInstaller, VVS сначала переупаковывается таким образом, что для его выполнения не требуются дополнительные установки. В работе вредоносного ПО используется инструмент Pycdc, декомпилятор байт-кода на Python, который помогает устранить запутывание, введенное Pyarmor. Этот анализ раскрывает важные подробности о механизмах работы вредоносного ПО, включая использование им режима BCC (преобразование байт-кода в компиляцию), который преобразует функции Python в функции C, повышая сложность структуры вредоносного ПО.

Методологии обфускации Pyarmor's еще больше усложняют статический анализ. Формат байт-кода вредоносного ПО значительно изменен, чтобы указать на запутывание, идентифицируя его с помощью специального бита, установленного в поле co_flags. Более того, базовый байт-код зашифрован с использованием AES-128-CTR, причем ключ привязан к уникальной лицензии Pyarmor, гарантируя, что полезную нагрузку трудно расшифровать без соответствующей среды выполнения.

Операционные возможности стиллера VVS сосредоточены на краже учетных данных и перехвате сеанса. Он сканирует зашифрованные токены Discord, соответствующие определенному формату, и способен выполнять поиск по расширениям файлов, обычно ассоциируемым с данными Discord. Кроме того, вредоносное ПО активно пытается внедрить вредоносный JavaScript в запущенные экземпляры Discord, заменяя основные компоненты своей собственной полезной нагрузкой, что еще больше облегчает эксфильтрацию данных.

Данные веб-браузера также входят в сферу возможностей VVS, ориентируясь на несколько браузерных приложений для максимального охвата. Чтобы обеспечить закрепление, вредоносное ПО копирует себя в каталог автозагрузки Windows, что позволяет ему активироваться при перезагрузке системы, сохраняя таким образом долгосрочный доступ к зараженному компьютеру.

Наконец, VVS стиллер использует методы социальной инженерии, отображая поддельные сообщения об ошибках с использованием Win32 API, чтобы ввести пользователей в заблуждение, заставив их поверить, что произошла критическая системная проблема. Эта тактика помогает маскировать его действия, сохраняя при этом взаимодействие с пользователем, позволяя ему действовать скрытно.