#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1, windows: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Elastic Security Labs обнаружила значительное вторжение со стороны преступная хакерская группировка REF4033, которая нацелен на серверы Windows IIS с использованием вредоносного ПО BADIIS. Эта атака подвергла компрометация более 1800 серверов по всему миру, используя неизвестный начальный вектор для быстрого получения контроля, за которым последовала разведка с помощью веб-оболочки. BADIIS работает как вредоносный модуль, который внедряет SEO-контент на основе определенных HTTP-заголовков, способствуя монетизации за счет продвижения незаконного контента, сохраняя при этом скрытность на протяжении всей своей деятельности.
-----

В ноябре 2025 года Elastic Security Labs выявила значительное вторжение, затронувшее многонациональную организацию в Юго-Восточной Азии, отслеживая деятельность, связанную с преступная хакерская группировка, известная как REF4033. Эта группа причастна к крупномасштабной кампании по SEO poisoning с использованием вредоносной программы BADIIS, которая специально нацелена на серверы Windows Internet Information Services (IIS). В результате анализа была выявлена компрометация более 1800 серверов Windows по всему миру, затронувшая различные секторы, включая государственные учреждения, корпорации и образовательные учреждения во многих странах, включая Австралию, Китай и Индию.

Последовательность вторжений началась с неизвестного вектора атаки, который позволил злоумышленник-злоумышленнице установить контроль над сервером Windows IIS в течение 17 минут. Злоумышленник инициировал разведка с помощью веб-оболочки, запущенной в рамках рабочего процесса IIS (w3wp.exe ), что привело к развертыванию BADIIS вредоносное ПО с помощью серии промежуточных файлов. Основной исполняемый файл, CbsMsgApi.exe , содержит элементы, указывающие на происхождение атаки, включая упрощенные строки на китайском языке. Этот исполняемый файл отвечает за установку последующих вредоносных модулей, включая критический компонент CbsMsgApi.dll , который изменяет конфигурации IIS для размещения вредоносное ПО BADIIS.

BADIIS работает как вредоносный модуль IIS с функциональностью, предназначенной для внедрения или перенаправления вредоносного SEO-контента на основе определенных заголовков HTTP-запросов, таких как User-Agent или Refererer. Этот метод обфускации позволяет вредоносное ПО оставаться незамеченным во время обычной работы, эффективно монетизируя инфраструктуры компрометация за счет продвижения азартных игр и другого незаконного контента.

Технические детали кампании соответствуют тактике, задокументированной в MITRE ATT&CK фреймворк, что указывает на системный подход к использованию уязвимых серверов в более широких вредоносных целях. Идентифицированные хэши SHA-256 подтверждают наличие различных компонентов вредоносное ПО и их соответствующую роль в жизненном цикле атаки. Более того, исследования инфраструктуры домена выявили подключения к нескольким серверам конфигурации и контента, используемым кампанией BADIIS, что иллюстрирует многоуровневый и постоянный подход к кибероперациям.

#ParsedReport #CompletenessMedium
12-02-2026

Dark Web Profile: The Gentlemen Ransomware

https://socradar.io/blog/dark-web-profile-the-gentlemen-ransomware/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)

Threats:
Gentlemen_ransomware
Byovd_technique

Victims:
Medium to large organizations

Industry:
Education, Financial, Healthcare

Geo:
Indonesia, France, Colombia, Brazil, Vietnam, Thailand, United kingdom

TTPs:
Tactics: 10
Technics: 32

IOCs:
File: 4

Soft:
Linux, ESXi, Active Directory, PsExec

Algorithms:
curve25519, xchacha20

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Gentlemen Ransomware является вымогателей-как-услуга (Раас) группа возникающие в середине 2025, ориентированных на средних и крупных организаций. Они используют изощренные методы на повышение привилегий и перемещение внутри компании, позволяя им получить доступ и эффективное использование комплексных корпоративных систем. Текущие кампании в начале 2026 указать их адаптивный характер и намерения эксплуатировать уязвимости в системе безопасности.
-----

Gentlemen Ransomware - это появляющаяся преступная хакерская группировка, которая впервые получила известность благодаря активным кампаниям, отмеченным в августе 2025 года, хотя первые сигналы о разработке относятся к июлю 2025 года. Это программное обеспечение-вымогатель работает как программа-вымогатель как услуга (RaaS), привлекая партнеров с помощью структурированной партнерской модели, которая была объявлена в сообщении на форуме Dark Web в сентябре 2025 года. Группа нацелена на средние и крупные организации со сложной корпоративной средой, привлекая широкий круг жертв.

The Gentlemen вымогателей использует эффективный цепная реакция характеризуется адаптивный инструментарий и достаточный доступ к корпоративным системам. Конкретные методы, используемые в их операции включают в себя методы, направленные на повышение привилегий и перемещение внутри компании в сетях, что позволит им максимально эффективно воздействие удара. Усилия по смягчению последствий в отношении The Gentlemen подчеркивают важность предотвращения злоупотребления привилегиями и сосредоточения внимания на механизмах обнаружения на ранней стадии. Этот подход предпочтительнее традиционных методов, основанных на сигнатурах, которые могут быть не столь эффективны против этой адаптивной угрозы.

Недавние сообщения указывают на то, что группа активно добавляла жертв в начале 2026 года. Информация, полученная из источников мониторинга программ-вымогателей, подчеркивает постоянный и эволюционирующий характер их кампаний. Организациям рекомендуется усилить свою защиту для противодействия конкретным угрозам, исходящим от этой группы программ-вымогателей, поскольку она демонстрирует явные возможности и намерение использовать слабые места в корпоративной безопасности.

#ParsedReport #CompletenessLow
12-02-2026

Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary\]

https://isc.sans.edu/diary/32708

Report completeness: Low

Threats:
Ssh_worm

Victims:
Linux systems

Industry:
Telco, Iot

Geo:
Germany, Deutschland

TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 1

Soft:
Linux, sshpass, Raspberry Pi, Twitter

Platforms:
raspbian

Links:
https://github.com/bruneaug/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещается угроза, исходящая от самораспространяющегося SSH worm, который использует слабые SSH-пароли с помощью атак Подстановка украденных учетных данных. Это вредоносное ПО использует криптографически подписанный механизм управления для быстрого распространения среди систем Linux, подвергшихся компрометация, подчеркивая сохраняющуюся уязвимость, связанную со слабыми учетные данные. Его сложная работа усложняет обнаружение, позволяя ему быстро заражать дополнительные хосты, что подчеркивает необходимость применения надежных паролей в Кибербезопасность.
-----

В статье обсуждается сохраняющаяся угроза, исходящая от операторов ботнет, которые используют слабые SSH-пароли, которые по-прежнему являются серьезной уязвимостью в Интернете. Основное внимание уделяется самораспространяющемуся SSH worm, который использует криптографически подписанный механизм управления (C2), позволяющий ему эффективно распространять и выполнять команды в системах компрометация.

Этот червь использует атаки Подстановка украденных учетных данных, которые позволяют злоумышленникам получать несанкционированный доступ к системам Linux, используя слабые или часто используемые SSH-пароли. Как только устройство подвергнуто компрометация, червь может инициировать массовое заражение, потенциально компрометация дополнительных хостов в течение нескольких секунд. Быстрое распространение такого вредоносное ПО подчеркивает важность надежного управления учетными данными и применения политики надежных паролей для защиты от подобных типов автоматических атак.

В статье подчеркивается, что, несмотря на достижения в области обеспечения безопасности, слабые учетные данные остаются критической зоной атаки для киберугроза. Криптографическая подпись червем сообщений C2 повышает уровень сложности, возможно, затрудняя решениям по обеспечению безопасности обнаружение и смягчение его активности. Поддержание бдительности в отношении этого типа вредоносное ПО требует сочетания надежных паролей и постоянного мониторинга сетевого трафика для выявления необычного поведения, указывающего на попытки эксплуатации или активность ботнет-сети.

#ParsedReport #CompletenessMedium
12-02-2026

Emulating the Elusive Cephalus Ransomware

https://www.attackiq.com/2026/02/05/emulating-cephalus-ransomware/

Report completeness: Medium

Threats:
Cephalus
Dll_sideloading_technique
Process_injection_technique
Shadow_copies_delete_technique

TTPs:
Tactics: 2
Technics: 13

IOCs:
Hash: 1
Path: 1
Registry: 1
File: 2

Soft:
Windows Defender, Microsoft Defender

Algorithms:
sha256, rsa-1024, aes, aes-256

Functions:
Set-MpPreference

Win API:
VirtualAlloc, VirtualProtect, GetSystemInfo, RtlGetVersion, GetComputerNameExW, GetUserNameW, GetEnvironmentStrings, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cephalus ransomware использует process Injection с использованием API-интерфейсов VirtualAlloc и VirtualProtect для первоначального развертывания, обеспечивая выполнение вредоносного кода в рамках законных процессов. Он выполняет разведка путем сбора системной информации с помощью различных вызовов API и отключает защитник Windows, чтобы избежать обнаружения. Программа-вымогатель использует AES-256 для шифрования файлов, управляя ключами с помощью RSA-1024, и может удалять Shadow Copies томов, чтобы препятствовать восстановлению данных, используя такие методы, как DLL Side-Loading, чтобы повысить свой риск.
-----

Эмуляция Cephalus ransomware направлена на ознакомление организаций с направлениями ее атак и повышение уровня их безопасности. Развертывание программы-вымогателя начинается с process Injection с помощью API VirtualAlloc и VirtualProtect, что позволяет ей запускать вредоносный код в рамках законных процессов. Чтобы поддерживать закрепление, Cephalus создает запланированные задачи, гарантирующие их выполнение после перезагрузки системы.

На этапе обнаружения Cephalus проводит тщательную разведка, собирая системные и пользовательские данные с помощью API, таких как GetSystemInfo и RtlGetVersion. Он также собирает переменные среды с помощью GetEnvironmentStrings и перечисляет запущенные процессы с помощью семейства API CreateToolhelp32Snapshot, что помогает отобразить среду компрометация для дальнейшей эксплуатации.

Чтобы избежать обнаружения, Cephalus отключает защиту защитника Windows с помощью PowerShell и изменений в реестре, а также обновляет списки исключений, чтобы обеспечить себе безопасное рабочее пространство. Вредоносное ПО является ключевой частью стратегии обход защиты.

Фаза "Воздействие" начинается с удаления Shadow Copies тома с помощью vssadmin.exe , что помогает предотвратить восстановление данных жертвы. Cephalus извлекает информацию об адаптере и диске с помощью API GetAdaptersInfo и DeviceIoControl. Затем он обходит файловую систему и готовится к шифрованию с помощью вызовов FindFirstFileW и FindNextFileW. В процессе шифрования применяется AES-256 в режиме CTR для шифрования файлов при безопасном управлении ключами шифрования с помощью RSA-1024.

Дополнительным отмеченным методом является DLL Side-Loading (T1574.002), который позволяет программе-вымогателю использовать законные приложения для загрузки своей вредоносной библиотеки динамических ссылок (DLL), тем самым создавая дополнительные риски. Эмуляция cephalus Ransomware служит для того, чтобы оценить и укрепить защитные силы безопасности, об обязании службы безопасности в целях повышения их возможностей по реагированию на этом изощренная угроза. На основе непрерывного контроля и оценки организации могут усовершенствовать свои меры безопасности и повысить их общую эффективность против таких киберугроз.

#ParsedReport #CompletenessHigh
12-02-2026

Nation-State Actors Exploit Notepad++ Supply Chain

https://unit42.paloaltonetworks.com/notepad-infrastructure-compromise/

Report completeness: High

Actors/Campaigns:
Dragonfish
Volt_typhoon
Ghostemperor

Threats:
Cobalt_strike_tool
Dll_sideloading_technique
Supply_chain_technique
Chrysalis
Microsoft_warbird_tool
Lolbin_technique
Aitm_technique

Victims:
Notepad++ users, Cloud hosting industry

Industry:
Energy, Government, Critical_infrastructure, Software_development, Telco

Geo:
America, Australia, India, Middle east, Japan, Asia, Korea

TTPs:

IOCs:
File: 21
IP: 5
Url: 9
Hash: 13
Domain: 4

Soft:
NSIS installer

Win API:
EnumWindowStationsW

Languages:
php, lua

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня по декабрь 2025 года спонсируемая государством преступная хакерская группировка Lotus Blossom подвергла компрометация инфраструктуру Notepad++ путем использования уязвимостей в устаревшем средстве обновления WinGUp. Они перенаправляли трафик на свои серверы с помощью поддельных элементов управления и использовали такие методы, как вредоносный установщик NSIS, выполняющий Lua-скрипт для доставки Cobalt Strike Beacon. Операция также включала DLL side-loading для внедрения бэкдора Chrysalis, что свидетельствует о переходе к целенаправленным атакам на supply chain среди актор, спонсируемых государством.
-----

В период с июня по декабрь 2025 года официальная инфраструктура хостинга текстового редактора Notepad++ была подвергнута компрометация спонсируемой государством группой, идентифицированной как Lotus Blossom. Этот злоумышленник использовал уязвимости в среде провайдера общего хостинга, в частности, нацелившись на недостаточные средства проверки, обнаруженные в устаревших версиях программы обновления Notepad++ WinGUp. Манипулируя этими элементами управления, злоумышленники перенаправляли трафик на контролируемые ими серверы, что приводило к дальнейшей эксплуатации.

Кампания включала в себя несколько методов атаки, включая вредоносный установщик с использованием NSIS (Nullsoft Scriptable Install System), который выполнял Lua-скрипт. Этот скрипт был разработан для загрузки и запуска полезной нагрузки Cobalt Strike Beacon, которая часто связана с задачами после эксплуатации и дальнейшими операциями командования и контроля. Кроме того, злоумышленники использовали методы DLL side-loading для внедрения бэкдора Chrysalis в системную память, что позволяло выполнять скрытые операции в среде, на которую нацелен.

Эта операция отражает значительную эволюцию тактики, используемой злоумышленник, спонсируемыми государством. В отличие от предыдущих кампаний таких групп, как Volt Typhoon и Salt Typhoon, которые в первую очередь были сосредоточены на проникновении в критически важную инфраструктуру с помощью широких стратегий предварительного позиционирования, группа Lotus Blossom продемонстрировала более целенаправленный подход, сосредоточив свои усилия на административной работе, необходимой для компрометация чувствительных Supply Chains. Этот сдвиг подчеркивает их стратегический приоритет в ориентации на ключевых сотрудников внутри организаций для более эффективного использования.

В статье также предлагается напоминание командам по Кибербезопасность о необходимости скорректировать свои методы хранения данных, в частности, изучить их эффективность при отслеживании действий до 2 декабря 2025 года. В нем рекомендуется использовать запросы к холодильному хранилищу для анализа данных, выходящих за пределы непосредственного хранения, чтобы обнаружить любые признаки компрометация в результате этих значительных манипуляций с supply chain.

#ParsedReport #CompletenessLow
12-02-2026

How a Complex Multi Payload Infostealer Hid in NPM Disguised as 'Console Visibility'

https://research.jfrog.com/post/duer-js-malicious-package/

Report completeness: Low

Threats:
Bada_stealer

Victims:
Software developers, Npm users, Discord users, Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1057, T1059.007, T1105, T1195.001, T1555.003, T1562.001, T1567.002, T1622, have more...

IOCs:
File: 19
Path: 2
Url: 3
Hash: 1

Soft:
Discord, telegram, discordcanary, discordptb, lightcord, Chrome, Opera, Steam, Electron

Wallets:
brave_wallet, exodus_wallet, atomicwallet

Algorithms:
zip, xor

Functions:
eval

Platforms:
x86

Links:
have more...
https://github.com/xSalca/Viral
https://github.com/xSalca/

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 3, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженный пакет duer-js в NPM представляет собой сложное вредоносное ПО, идентифицированное как "bada stealer", нацеленное на системы Windows. После выполнения он завершает процессы браузера для сбора конфиденциальной информации, такой как пароли и данные кредитной карты, которые он извлекает через Discord webhook или Gofile. Кроме того, он загружает дополнительную полезную нагрузку, предназначенную для взлома настольного приложения Discord, используя передовые методы обфускации для перехвата конфиденциального сетевого трафика.
-----

Недавнее обнаружение вредоносного пакета с именем duer-js в NPM пользователем, идентифицированным как luizaearlyx, вызвало серьезную тревогу. Это изощренное вредоносное ПО, которое самоидентифицируется как "bada stealer", представляет собой усовершенствованный похититель информации, предназначенный для систем Windows. Примечательно, что пакет включает в себя меры защиты от несанкционированного доступа, которые усложняют анализ для исследователей, пытающихся расшифровать или изменить его содержимое.

После запуска вредоносное ПО инициирует процесс, завершая активные процессы браузера и Telegram, чтобы подготовиться к краже данных. Он систематически собирает конфиденциальную информацию, такую как пароли пользователей, данные кредитной карты и данные автозаполнения. Извлеченная информация хранится в файлах с именами Passwords.txt , Cards.txt , и Autofills.txt в пределах указанного пути "copyright" перед удалением. Основным методом эксфильтрация осуществляется через веб-интерфейс Discord, с альтернативным методом резервного копирования, использующим файлообменный сервис Gofile, где вредоносное ПО динамически извлекает адреса серверов для загрузки украденных данных.

Кроме того, исходная полезная нагрузка предназначена для загрузки вторичной полезной нагрузки по сильно запутанной ссылке. Этот второй этап вредоносное ПО не менее сложен и использует такие методы, как экранирование URI и динамическое вычисление для запутывания строк. Его основная функция заключается в захвате электронной среды настольного приложения Discord. Подключив отладчик, он способен перехватывать и фиксировать конфиденциальный сетевой трафик в режиме реального времени.

Что касается исправления, пострадавшим пользователям рекомендуется удалить пакет duer-js и предпринять шаги по отзыву и замене любых учетные данные, которые были скомпрометированы при компрометация. Это включает в себя полное удаление Discord из их систем, удаление связанных папок и обеспечение очистки связанных данных из их среды. Пользователи должны дополнительно аннулировать все украденные токены Discord, включить двухфакторную аутентификацию (2FA) и удалить любые потенциально компрометация приложений из своих процессов запуска.

Несмотря на относительно небольшое количество загрузок - 528, уникальные методы обфускации и структура с несколькими полезными нагрузками этого вредоносное ПО подчеркивают его потенциал для значительного воздействие на затронутых лиц. Присутствие пакета на GitHub более двух лет позволяет предположить, что он, возможно, способствовал другим попыткам заражения до недавних находок, что вызывает опасения по поводу личности и целей злоумышленника, стоящего за пользователем luizaearlyx.

#ParsedReport #CompletenessLow
12-02-2026

The macOS Stealer Gold Rush: How Cybercriminals Are Racing to Exploit Apples Ecosystem

https://flare.io/learn/resources/blog/the-macos-stealer-gold-rush-how-cybercriminals-are-racing-to-exploit-apples-ecosystem

Report completeness: Low

Actors/Campaigns:
Valhall88 (motivation: cyber_criminal)

Threats:
Macc_stealer
Clearfake
Amos_stealer
Etherhiding_technique
Clickfix_technique
Fakecop

Victims:
Cryptocurrency platforms, Wordpress ecosystem, Mac users

Industry:
Education, E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1056, T1059.004, T1083, T1102, T1105, T1190, T1204, T1553.002, T1555.001, T1555.003, have more...

Soft:
macOS, Chrome, Gatekeeper, WordPress, ChatGPT, Mac OS, OpenAI, LastPass

Wallets:
exodus_wallet, trezor

Languages:
swift, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4