#ParsedReport #CompletenessLow
09-01-2026

New Threat Actor Group PayTool Targets Canadians with Traffic Scams

https://flare.io/learn/resources/blog/paytool-targets-canadians-traffic-scams/

Report completeness: Low

Actors/Campaigns:
Paytool (motivation: information_theft)

Threats:
Smishing_technique

Victims:
Consumers, Government transportation and traffic authorities

Industry:
Financial, Government

Geo:
Canadian, Chinese, Columbia, Ontario, Canada

ChatGPT TTPs:
do not use without manual check
T1204, T1583.001

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка PayTool нацелена на канадцев с помощью изощренных мошеннических действий, связанных с трафиком, с помощью незапрашиваемых текстовых сообщений, преимущественно на китайском языке. Их тактика включает в себя использование местных знаний путем использования кодов городов и контекстов, имеющих отношение к жертвам, таких как ссылки на неоплаченные сборы за проезд или штрафы за парковку. За прошедший год их деятельность привела к выявлению более 900 жертв и увеличению числа регистраций связанных с ними веб-сайтов, что указывает на постоянную и эволюционирующую угрозу.
-----

Новая хакерская группировка под названием PayTool нацелена на канадцев с помощью все более изощренных мошенничеств, связанных с трафиком, в основном осуществляемых с помощью нежелательных текстовых сообщений. Эти аферы, в основном совершаемые лицами, говорящими по-китайски, эволюционировали от ссылок на хорошо известные штаты США до включения местных канадских провинций, что делает их более понятными и правдоподобными для потенциальных жертв. За последние двенадцать месяцев произошел заметный всплеск регистрации веб-сайтов, связанных с PayTool, особенно с июля, что совпало с ростом сообщений о мошеннических текстовых сообщениях.

Методология работы PayTool предполагает отправку незапрашиваемых текстовых сообщений, которые предназначены для уведомления получателей о неоплаченных платах за проезд или штрафах за парковку. В типичном сценарии в тексте используется местный код провинции Онтарио, при этом ложно утверждается, что он из Британской Колумбии, о нарушении скорости в школьной зоне. Эта тактика использует знакомство с местными жителями, чтобы обманом заставить людей участвовать в мошенничестве.

Деятельность PayTool's привела к выявлению более 900 жертв, непосредственно связанных с этой кампанией, наряду с дополнительными жертвами предыдущих операций, которые, как полагают, были связаны с группой. Продолжающийся рост их мошеннической деятельности и появление новых доменов указывают на постоянную угрозу, которая требует постоянного мониторинга и реагирования.

Службам безопасности рекомендуется включить информацию о таких мошеннических действиях с трафиком в программы обучения своих сотрудников кибербезопасности, поскольку угроза, исходящая от PayTool и подобных групп, продолжает расти. Организации должны сохранять бдительность и проактивность в выявлении и снижении рисков, связанных с подобными видами мошенничества с целью эксплуатации.

#ParsedReport #CompletenessHigh
10-01-2026

Q4 2025 Malware Statistics Report for Linux SSH Servers

https://asec.ahnlab.com/ko/91969/

Report completeness: High

Actors/Campaigns:
Rubycarp (motivation: financially_motivated)

Threats:
P2pinfect
Prometei_botnet
Xmrig_miner
Mirai
Bashlite
Tsunami_botnet
Shellbot
Xorddos
Coinminer
Perlbot
Logcleaner_tool
Nmap_tool
Udpflood_technique

Industry:
Iot

Geo:
Romanian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1110, T1190, T1496, T1498

IOCs:
Domain: 1
Hash: 5
Url: 5
IP: 5

Soft:
Linux

Algorithms:
md5

Languages:
perl

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В четвертом квартале 2025 года анализ AhnLab выявил всплеск атак методом грубой силы на небезопасные SSH-серверы Linux, когда злоумышленники использовали приманки для совершенствования своих методов. В отчете идентифицировано вредоносное ПО ShellBot, связанное с RUBYCARP, хакерской группировкой, которая использует уязвимости для создания ботнет-сетей и проводит такие действия, как майнинг монет и DDoS-атаки. Полученные данные подчеркивают эволюционирующую тактику киберпреступников, выдвигая на первый план серьезные проблемы безопасности организаций, управляющих системами Linux.
-----

В четвертом квартале 2025 года аналитический центр безопасности AhnLab (ASEC) проанализировал значительный рост числа атак методом перебора или по словарю, нацеленных на ненадлежащим образом защищенные SSH-серверы Linux. В этих атаках часто используются приманки для сбора данных, что позволяет злоумышленникам совершенствовать свои методы борьбы с уязвимыми системами. Отчет дает представление о векторах атак, выявленных за этот период, подробно описывает конкретные используемые вредоносные ПО и предлагает статистический анализ их эффективности.

Примечательно, что в отчете подчеркивается появление вредоносного ПО ShellBot, связанного с хакерской группировкой RUBYCARP. Эта группа, которая работает уже более десяти лет, в первую очередь занимается созданием ботнет-сетей путем использования общедоступных уязвимостей и проведения атак методом перебора. RUBYCARP известен своими разнообразными стратегиями атак, связанными с добычей монет, распределенными атаками типа "отказ в обслуживании" (DDoS) и фишингом, направленным на получение финансовой выгоды. Это подчеркивает тревожную тенденцию, поскольку киберпреступники используют автоматизацию и существующие уязвимости для расширения своих операционных возможностей в погоне за прибылью.

Закрепление и эволюция вредоносного ПО, такого как ShellBot, подчеркивают насущные проблемы безопасности при управлении SSH-серверами Linux, особенно теми, которые имеют неадекватную защиту. Отчет служит важным напоминанием организациям о необходимости усиления своих мер безопасности для предотвращения несанкционированного доступа и снижения рисков, связанных с такими сложными угрозами. По мере того как злоумышленники адаптируют и совершенствуют свои методологии, постоянная бдительность и проактивное управление безопасностью остаются необходимыми.

#ParsedReport #CompletenessLow
08-01-2026

Q4 2025 Malware Statistics Report for Windows Web Servers

https://asec.ahnlab.com/ko/91970/

Report completeness: Low

Actors/Campaigns:
Andariel

Threats:
Xmrig_miner
Tiger_rat
Procdump_tool
Petitpotato_tool
Printspoofer_tool
Juicypotato_tool
Regeorg_tool

ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1505.003

IOCs:
File: 1
Hash: 5
Url: 5
Domain: 1

Soft:
Remote Desktop Services

Algorithms:
md5

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете AhnLab о статистике вредоносного ПО за 4 квартал 2025 года подчеркивается возрождение вредоносного ПО TigerRAT группы Andariel, нацеленного на веб-серверы Windows, особенно на те, на которых запущены информационные службы Интернета (IIS). Злоумышленники, вероятно, воспользовались уязвимостями сервера, используя такие методы, как веб-оболочки для первоначального доступа и выполняя вредоносные команды через рабочий процесс IIS".w3wp.exe ." Тактика систематического сбора информации указывает на передовые методологии злоумышленников, подчеркивающие необходимость проявлять бдительность в отношении таких постоянных угроз.
-----

В отчете о статистике вредоносного ПО за 4 квартал 2025 года Аналитический центр безопасности AhnLab (ASEC) выявил значительные угрозы, нацеленные на веб-серверы Windows, в первую очередь сосредоточив внимание на возрождении вредоносного ПО TigerRAT группы Andariel. Этот бэкдор исторически ассоциировался с атаками, направленными на захват контроля над скомпрометированными системами, которые в основном наблюдались в предыдущие годы, но вновь появились в октябре 2025 года. Аналитики отметили, что скомпрометированные системы обычно включали веб-серверы Internet Information Services (IIS), что позволяет предположить, что злоумышленники использовали уязвимости на этих серверах для восстановления работы вредоносного ПО.

Хотя точный метод первоначального проникновения остается неизвестным, есть подозрение, что злоумышленники использовали webshell для получения контроля над сервером IIS, поскольку последующие вредоносные команды выполнялись через "w3wp.exe " процесс, который является рабочим процессом для обработки веб-запросов в IIS. Это говорит о высокой осведомленности об архитектуре сервера и способности эффективно управлять системными процессами.

Команды сбора информации, используемые злоумышленниками, иллюстрируют системный подход, направленный на изучение окружающей среды и создание более надежного вектора атаки. Такая тактика подчеркивает важность комплексных мер безопасности и стратегий исправления для веб-серверов Windows, чтобы противодействовать риску, создаваемому акторами, создающими сложные целенаправленные угрозы, такими как Andariel Group. Появление TigerRAT в этом контексте подчеркивает эволюционирующую тактику злоумышленников и необходимость постоянной бдительности и проактивной защиты от угроз вредоносного ПО, нацеленных на конфигурации веб-серверов.

#ParsedReport #CompletenessMedium
09-01-2026

THE KNOWNSEC LEAK: Yet Another Leak of Chinas Contractor-Driven Cyber-Espionage Ecosystem

https://dti.domaintools.com/the-knownsec-leak-yet-another-leak-of-chinas-contractor-driven-cyber-espionage-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Knownsec_leak (motivation: cyber_espionage, government_sponsored)
I-soon_leak
Red_delta
Apt31
Winnti

Threats:
Ghostx_tool
Dns_hijack_technique
Spear-phishing_technique
Dns_hijacking_technique
Polymorphism_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Financial sector, Telecommunications sector, Energy sector, Critical infrastructure

Industry:
Financial, Ics, Critical_infrastructure, Telco, Government, E-commerce, Energy, Education, Military, Transport, Iot

Geo:
Chinas, China, India, Taiwan, Vietnam, Russia, Chinese, Korea, Tokyo, Asia, South africa, Taiwanese, Japan, Brazil, Korean, Indian, Polish

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 64

Soft:
ZoomEye, Zoom, Gmail, Outlook, Telegram, Instagram

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, table: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KnownSec leak раскрывает операции китайской фирмы по кибербезопасности, выступающей в качестве подрядчика по наступательной разведке, с подробным описанием набора инструментов кибершпионажа, включая семейство GhostX для использования уязвимостей браузера и инструмент Un-Mail для использования веб-почты. В нем освещаются возможности KnownSec по разведке с помощью платформы ZoomEye и ее структурированной операционной иерархии, поддерживающей цели государственной безопасности, наряду с показателями компрометации, связанными с атаками на критическую инфраструктуру. В документации подчеркивается интеграция KnownSec в структуру вооруженных сил и разведки Китая.
-----

KnownSec leak, опубликованная в ноябре 2025 года, раскрывает роль компании в качестве подрядчика по наступательной разведке для Китая. Утечка включает в себя внутренние документы и технические руководства с подробным описанием инструментов кибершпионажа. Лаборатория безопасности 404 специализируется на использовании уязвимостей и методах деанонимизации. Ключевые инструменты включают семейство GhostX, которое использует уязвимости браузера и проводит дактилоскопию в браузере. Un-Mail используется для использования веб-почты посредством перехвата сеанса и внедрения скрипта.

KnownSec использует платформу ZoomEye для разведки, каталогизации устройств и уязвимостей по всему миру. Их хранилище аналитических данных TargetDB систематизирует данные о критически важной инфраструктуре в различных отраслях промышленности. KnownSec работает в соответствии с военной иерархией, объединяющей подразделения НИОКР, управления данными и военной продукции.

Компания активно поддерживает кибероперации, связанные с картографированием инфраструктуры и агрегированием данных, полученных в результате взломов. Стратегия закупок KnownSec включает в себя приобретение инфраструктуры на международном уровне для повышения оперативной скрытности. В утечке подробно описаны признаки компрометации, включая конкретные IP-адреса, нацеленные на критически важную инфраструктуру, что отражает их методичный подход к шпионажу.

#ParsedReport #CompletenessLow
09-01-2026

Chrome Extension Steal ChatGPT and DeepSeek Conversations

https://www.truesec.com/hub/blog/chrome-extension-steal-chatgpt-and-deepseek-conversations

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1056.007, T1204.002

IOCs:
Hash: 2
Domain: 4

Soft:
Chrome, ChatGPT, DeepSeek, Claude

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены два вредоносных расширения для Chrome, Маскировка которых под боковую панель AITOPIA AI, ложно утверждающие, что они расширяют функциональные возможности ChatGPT, DeepSeek и Claude при одновременной фильтрации пользовательских данных. После установки они запрашивают недетализированные разрешения analytics для кражи конфиденциальной информации, включая разговоры, проприетарный код и личную идентифицируемую информацию. Используемые расширения идентифицируются по идентификатору fnmihdojmnkclgjpcoonokmkhjpjechg, и они особенно ориентированы на пользователей расширений Chrome, использующих GPT-5.
-----

Были идентифицированы два вредоносных расширения Chrome, которые выдают себя за законную боковую панель AITOPIA AI. Эти расширения, которые утверждают, что предоставляют функциональность для ChatGPT, DeepSeek и Claude, занимаются вредоносной деятельностью путем эксфильтрации пользовательских данных. После установки они запрашивают согласие на "безымянную аналитику", эффективно маскируя свое истинное намерение украсть конфиденциальную информацию. Эти украденные данные могут включать разговоры в ChatGPT и DeepSeek, проприетарный код, корпоративные стратегии и личную идентифицируемую информацию (PII).

К числу уязвимых продуктов относятся версии расширений Chrome для ChatGPT, использующие GPT-5, а также Claude Sonnet и DeepSeek AI, которые были идентифицированы по идентификатору расширения fnmihdojmnkclgjpcoonokmkhjpjechg и версии модели 1.9.6.

В ответ на эту угрозу эксперты по безопасности рекомендуют пользователям немедленно проверить наличие этих вредоносных расширений в своих браузерах и удалить их. Для устранения потенциальных компромиссов рекомендуется обновить пароли для любых учетных записей, к которым осуществляется доступ через эти расширения, а также для любых других сайтов, посещаемых во время их использования. Кроме того, настоятельно рекомендуется включить Многофакторную аутентификацию для критически важных учетных записей для усиления защиты от кражи учетных данных.

#ParsedReport #CompletenessMedium
08-01-2026

Astaroths Boto Cor-de-Rosa campaign targets Brazil with new WhatsApp malware technique

https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/

Report completeness: Medium

Actors/Campaigns:
Boto_cor-de-rosa (motivation: financially_motivated)

Threats:
Astaroth
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Banking users

Industry:
Financial

Geo:
Brazil, Brazilian, Dutch, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1140, T1204.002, T1218.007

IOCs:
File: 2
Hash: 20
Domain: 5

Soft:
WhatsApp, twitter

Algorithms:
zip

Languages:
visual_basic, delphi, python, autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковское вредоносное ПО Astaroth в настоящее время нацелено на Бразилию с помощью новой кампании, которая распространяет вредоносные ZIP-файлы через WhatsApp. Эти файлы содержат запутанный загрузчик скриптов Visual Basic (VBS), который при выполнении инициирует процесс заражения вредоносным ПО. Вредоносное ПО использует законный интерпретатор AutoIt для развертывания, использует закодированный загрузчик для основной полезной нагрузки и включает модуль Python для саморепликации через WhatsApp, расширяющий возможности его распространения.
-----

Банковское вредоносное ПО Astaroth получило развитие благодаря новой кампании, нацеленной на Бразилию, в которой для облегчения распространения используется новая технология через WhatsApp. Цепочка заражения начинается с того, что жертвы получают сообщения WhatsApp, содержащие вредоносный ZIP-архив. Имена файлов в этих архивах имеют определенный шаблон, состоящий из цифр и шестнадцатеричных символов, что помогает избежать обнаружения.

Внутри ZIP-файла находится запутанный загрузчик скриптов Visual Basic (VBS), обычно размером от 50 до 100 КБ, предназначенный для усложнения анализа. Этот скрипт VBS играет решающую роль в процессе заражения, инициируя выполнение вредоносного ПО, как только оно извлекается и запускается жертвой.

Astaroth использует особый шаблон развертывания, который включает в себя законный интерпретатор AutoIt, который включен вместе с закодированным загрузчиком. Этот загрузчик жизненно важен для расшифровки и загрузки основной полезной нагрузки Astaroth, повышая способность вредоносного ПО обходить статические методы обнаружения. Модульный характер этой архитектуры позволяет вредоносному ПО адаптироваться и сохранять эффективность в отношении мер безопасности.

Кроме того, кампания включает в себя механизм распространения, облегчаемый загрузчиком. Он устанавливает встроенный интерпретатор Python вместе с вредоносным модулем Python с именем zapbiu.py . Этот модуль позволяет вредоносному ПО реплицироваться через WhatsApp, используя функции обмена сообщениями платформы для дальнейшего распространения среди контактов жертв.

#ParsedReport #CompletenessMedium
08-01-2026

An In-Depth Analysis of AuraStealer-MaaS Obfuscation and Countermeasure Techniques

https://mp.weixin.qq.com/s/g6Jp46nUANJj6bTOGNTrug

Report completeness: Medium

Threats:
Aurastealer
Steganography_technique
Dll_sideloading_technique
Glassworm
Clickfix_technique
Lumma_stealer
Stealc
Vidar_stealer
Heavens_gate_technique
Rhadamanthys
Sandbox_evasion_technique
Antivm_technique
Antidebugging_technique
Anydesk_tool

Geo:
Estonia, Lithuania, Russian, Latvia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1059.001, T1204.002

IOCs:
File: 2
Path: 1
Hash: 12

Soft:
TikTok, Microsoft Defender, Discord, Telegram, Steam, KeePass, Bitwarden, 1Password, LastPass

Algorithms:
aes-cbc, exhibit, base64, fnv-1a, murmur3, mersenne_twister, xor

Functions:
NTDLL, IDA, AuraStealer

Win API:
WinMain, VirtualAlloc, MapFileAndCheckSumW, GetUserDefaultLCID, GetSystemDefaultLCID, GetLocaleInfoA, GetSystemTimePreciseAsFileTime, GetUserNameW, GetComputerNameW, GetComputerNameW GetComputerNameW, have more...

Languages:
powershell, python