#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО TamperedChef, также известное как EvilAI, представляет собой значительную киберугрозу, распространяемую через троянизированные приложения для продуктивности, такие как редакторы PDF, что приводит пользователей к вредоносным загрузкам. Оно демонстрирует сходство с рекламным ПО, но обладает скрытым закреплением и способностью выполняться после длительных периодов бездействия. Вредоносное ПО, наблюдаемое в различных кампаниях и связанное с организованными сетями, использует обманные механизмы доставки, такие как Сертификаты подписи кода и сайты, выглядящие легитимно, для распространения вторичных загрузок, таких как крадущие информацию программы и RAT.
-----

Вредоносное ПО TamperedChef, также известное как EvilAI, распространяется через троянизированные приложения для повышения продуктивности, такие как редакторы PDF и календари.

Это часто приводит пользователей к вредоносным полезным нагрузкам через обманные рекламные объявления.

Данный тип ВПО имеет сходство с потенциально нежелательными программами (PUPs) и рекламным ПО, обладая сильными механизмами закрепления.

TamperedChef обладает скрытными характеристиками, оставаясь в спящем режиме в течение длительных периодов перед выполнением вредоносных компонентов.

Наблюдаются кластеры активности, связанные с данным ВПО, выявлено более 4 000 образцов и около 100 уникальных вариантов.

Вторичные полезная нагрузка из этих кампаний включает в себя инфостилеры и удаленные доступ трояны (RATs), доставляемые через серверы управления (C2).

В 2025 году наблюдается рост вредоносных приложений, имитирующих легитимные инструменты, что привело к выявлению более 100 новых связанных вариантов ВПО.

Эти приложения используют обманные механизмы доставки и тщательно разработанные веб-сайты для уклонения от обнаружения, а также мошеннические тактики рекламы и задачи, запланированные по расписанию.

Операторы ВПО повышают легитимность с помощью Сертификатов подписи кода, хотя плохая гигиена в этих сертификатах может способствовать обнаружению.

Существует значительная связь между кластерами активности и корпоративными структурами в Израиле и Украине, что указывает на организованную сеть, стоящую за операциями.

Вертикальная интеграция разработки ВПО и рекламных операций указывает на наличие обширных возможностей для проведения рекламных кампаний.

TamperedChef ведет себя как рекламное ПО, но также собирает конфиденциальную информацию пользователей, включая учетные данные и сведения об устройстве.

Доставка полезной нагрузки часто включает скрытые RAT с акцентом на манипуляции с браузером.

Мониторинг журналов доступа на предмет потенциального несанкционированного использования учётных данных имеет решающее значение, поскольку кампании TamperedChef продолжают развиваться.

#ParsedReport #CompletenessHigh
20-05-2026

Operation Dragon Whistle: UNG002 Targets Chinese Academia via Weaponized Institutional Lure

https://www.seqrite.com/blog/operation-dragon-whistle-ung002-targets-chinese-academia-via-weaponized-institutional-lure/

Report completeness: High

Actors/Campaigns:
Dragon_whistle
Ung002
Cobalt_whisper

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Dllsearchorder_hijacking_technique
Cobalt_strike_tool

Victims:
Education, Government affiliated academic bodies, Sports and physical education departments, Students, Academic administration

Industry:
Education, Government, Healthcare

Geo:
Korean, Chinese, China

TTPs:
Tactics: 6
Technics: 18

IOCs:
File: 14
IP: 1
Domain: 1
Hash: 6

Soft:
macOS, Bandizip, Windows security, Event Tracing for Windows, Alibaba Cloud, Feishu, HiChina, baba Cloud spec

Algorithms:
sha256, zip

Functions:
CreateArk

Win API:
GetTickCount, CheckRemoteDebuggerPresent, IsDebuggerPresent, VirtualAlloc, CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 1, dump: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Dragon Whistle, проведенная злоумышленником UNG002, представляет собой кампанию целевого фишинга, нацеленную на персонал Чанчжоуского университета, с использованием приманки, связанной с фиктивным тестированием физической подготовки. Выполнение атаки включает ZIP-файл, который запускает вредоносный VBScript-код с применением техники living-off-the-land, что приводит к подгрузке вредоносной DLL-библиотеки. В результате выполнения полезной нагрузки активируется Cobalt Strike Beacon, связывающийся с инфраструктурой управления на Alibaba Cloud и использующий методы антианализа для уклонения от обнаружения.
-----

Операция Dragon Whistle, приписываемая злоумышленнику UNG002, включает в себя сложную кампанию целевого фишинга, направленную против студентов и преподавателей Чанчжоуского университета в Китае. Кампания использует тщательно подготовленную приманку, связанную с предстоящей обязательной физической аттестацией университета, запланированной на 2026 год. Фишинговое письмо содержит ZIP-архив с официальным названием, побуждающий получателей загрузить и выполнить его из-за срочности, связанной с их правом на получение диплома.

При анализе было установлено, что целевой фишинг-письмо было отправлено с бесплатного почтового сервиса, специально предназначенного для обхода стандартных мер безопасности электронной почты. ZIP-архив содержит документ-приманку, который максимально точно имитирует официальное уведомление университета, что свидетельствует о глубоком понимании злоумышленниками институциональных процессов и корпоративной культуры. Приманка дополняется дополнительными элементами, такими как реальные имена сотрудников и контактные данные, что способствует высокой степени достоверности социальной инженерии.

После запуска ZIP-архива используется техника living-off-the-land, при которой задействуется легитимный исполняемый файл Windows Explorer для выполнения вредоносного кода на VBScript. Этот скрипт играет ключевую роль в координации последовательности атаки, управляя одновременным и скрытым выполнением как поддельного PDF-файла, так и настоящего вредоносного кода. Он динамически формирует пути к этим файлам во время выполнения, чтобы избежать обнаружения при статическом анализе, а также обеспечивает достаточное время для отображения поддельного файла перед запуском реального вредоносного кода.

Следующий этап атаки включает подгрузку DLL (DLL side-loading), при которой скрипт запускает легитимный файл (Bandizip), заражённый вредоносной DLL (ark.x64.dll). ВПО использует различные техники противодействия анализу, такие как проверка наличия активных процессов мониторинга и уклонение от обнаружения общедоступными инструментами анализа. Если ВПО обнаруживает подобную активность мониторинга, оно завершает своё выполнение для сохранения анонимности.

После подтверждения безопасной среды выполнения вредоносное ПО переходит к доставке своей полезной нагрузки, что завершается запуском Cobalt Strike Beacon. Примечательно, что весь процесс происходит в памяти для минимизации артефактов на диске, напрямую взаимодействуя с инфраструктурой управления (управление), размещенной на Alibaba Cloud, что является повторяющимся выбором этого актора для избежания обнаружения и блокировки.

Расследование этой кампании выявило обширные оперативные связи с предыдущей деятельностью UNG002, в частности, отражая аналогичные тактики, техники и процедуры, наблюдавшиеся в более ранних кампаниях, таких как Operation Cobalt Whisper. Использование инфраструктуры Feishu и других доменных индикаторов дополнительно подтвердило атрибуцию к китайскому актору.

В заключение, операция Dragon Whistle представляет собой значительную эскалацию стратегии целеполагания UNG002, эффективно использующую социальное давление внутри академических учреждений для манипуляции поведением, стимулирования взаимодействия и выполнения вредоносного программного обеспечения (ВПО) при сохранении скрытности.

#ParsedReport #CompletenessMedium
20-05-2026

PoisonX WindowsTelemetry: BYOVD-Assisted RAT With a Plugin Loader

https://www.derp.ca/research/poisonx-windowstelemetry-byovd-rat/

Report completeness: Medium

Threats:
Poisonx
Byovd_technique
Rusty_stealer
Ailurophile_stealer
Mranon
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Winrm_tool
Cridex
Domain_fronting_technique

Geo:
Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1007, T1010, T1012, T1027, T1027.007, T1049, T1057, T1059.001, T1059.003, T1068, have more...

IOCs:
File: 8
IP: 2
Path: 1
Command: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
base64, sha256, xor

Win API:
NtQuerySystemInformation, PsSetCreateProcessNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetLoadImageNotifyRoutine, TerminateProcess, NtSuspendProcess, NtResumeProcess, EnumWindows, RtlCompressBuffer, getaddrinfo, have more...

Languages:
powershell

Platforms:
x64

Links:
https://github.com/kirkderp/yara/tree/main/poisonx\_windowstelemetry
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство вредоносного ПО PoisonX использует многоэтапную атаку с применением подгрузки DLL и техники BYOVD. Оно начинается с того, что легитимный процесс dashost.exe загружает вредоносный VERSION.dll, который декодирует встроенные строки и изменяет настройки Windows Defender для отключения защиты. Вредоносное ПО использует собственный драйвер для обхода обнаружения и взаимодействует с сервером C2 с использованием собственного протокола, выполняя различные задачи, сохраняя закрепление и скрытность посредством поведенческих модификаций.
-----

Недавно выявленное семейство вредоносного ПО PoisonX связано с двумя архивами WindowsTelemetry, использующими сложную многоэтапную технику атаки, включающую подгрузку DLL и метод BYOVD (Bring Your Own Vulnerable Driver). Ключевыми артефактами этой атаки являются вредоносный файл VERSION.dll, используемый для подгрузки Троянской программы (RAT), а также полезная нагрузка планировщика и конечная точка сервера управления (C2), расположенная по IP-адресу 101.32.190.202:8080.

Атака начинается с легитимного процесса Windows dashost.exe, который заставляет загрузить вредоносный VERSION.dll, размещённый в его каталоге. Этот вредоносный DLL затем использует операции XOR для декодирования встроенных строк, читает зашифрованный файл scheduler.cache и отображает его содержимое в память, эффективно сохраняя скрытность во время выполнения. Кроме того, перед установкой RAT вредоносное ПО изменяет настройки Windows Defender для отключения защиты в реальном времени и создания исключений процессов для каталога его развертывания.

Метод BYOVD, применяемый в данном случае, заключается в записи на диск пользовательского драйвера, который манипулирует обратными вызовами ядра, связанными с уведомлениями о процессах, потоках и образах. Этот драйвер отключает защиту от использования уязвимых драйверов, устанавливая значение реестра `VulnerableDriverBlocklistEnable` равным 0. Затем он нацеливается на удаление обратных вызовов продуктов безопасности путем перезаписи записей обратных вызовов в памяти, тем самым уклоняясь от обнаружения программным обеспечением безопасности.

После завершения предварительных этапов вредоносное ПО загружает декодированный файл cache.db, который имеет структуру 64-битного PE (Portable Executable) файла и выполняет роль основного компонента выполнения RAT. Этот базовый компонент инициирует связь с C2, используя собственный протокол поверх raw TCP. Он выполняет различные операционные задачи, такие как перечисление и управление процессами, контроль служб и сбор информации о системе, все это обеспечивается через встроенный JSON интерфейс.

RAT содержит механизмы для поддержания закрепления и возможности установки SOCKS5-прокси для туннелирования запросов без использования стандартного метода HTTP connect. Важно отметить, что заражение использует различные поведенческие модификации, включая изменения настроек реестра Windows и установку драйвера, которые могут быть выявлены с помощью специфических YARA-правил, нацеленных на вредоносный VERSION.dll, артефакты планировщика и ядро RAT.

Эта масштабная реализация атак демонстрирует эволюцию ландшафта угроз и подчеркивает постоянную необходимость бдительности в защите от таких продвинутых постоянных угроз, как PoisonX.

#ParsedReport #CompletenessLow
20-05-2026

Telegram smishing is back after two years, and account takeovers are on again

https://asec.ahnlab.com/ko/93789/

Report completeness: Low

Threats:
Smishing_technique

Victims:
Telegram users

ChatGPT TTPs:
do not use without manual check
T1078, T1566.002, T1566.003, T1656

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлен всплеск атак смишингом, нацеленных на пользователей Телеграм, при этом злоумышленники применяют фишинговые тактики, эксплуатирующие ложные заявления о проблемах безопасности. Пользователей обманом заставляют вводить свои номера телефонов и коды входа на поддельных страницах авторизации, что позволяет злоумышленникам перехватывать учетные записи и похищать личную информацию и переписки. Фишинговая инфраструктура спроектирована так, чтобы избегать обнаружения путем перенаправления пользователей в зависимости от значения User-Agent их браузера, что дополнительно усложняет усилия по реагированию.
-----

Наблюдается возрождение атак смишингом, нацеленных на пользователей Телеграм, напоминающее тактики, применявшиеся два года назад. Злоумышленники используют методы фишинга, утверждая, что они призваны решить проблемы безопасности в Телеграм, и обманом заставляют пользователей предоставлять свои номера телефонов и коды входа на поддельных сайтах. Такой подход позволяет им перехватывать учетные записи, что ведет к потенциальной краже личной информации и переписки.

Текущая волна смишинг-атак использует сообщения, в которых ложно утверждается о проблемах, связанных с безопасностью, защитой аккаунта или проверкой входа. Когда пользователи переходят по ссылкам в этих сообщениях, они перенаправляются на фишинговый сайт, имитирующий легитимную страницу входа в Телеграм. Эти поддельные сайты тщательно разработаны, что позволяет жертвам легко принять их за подлинные процессы безопасности.

Заметной особенностью этой фишинговой инфраструктуры является её способность к уклонению. Фишинговый сайт анализирует User-Agent посещающего браузера и перенаправляет пользователей на реальные страницы Телеграм, если обнаруживает автоматизированные инструменты или средства защиты, тем самым обходя обнаружение сотрудниками служб безопасности. Когда пользователь вводит свой номер телефона, он получает код входа через приложение Телеграм, после чего ему предлагается ввести этот код на фишинговой странице. При успешном выполнении этого сценария злоумышленники получают доступ к аккаунтам Телеграм жертв.

Следовательно, скомпрометированные аккаунты могут привести к эксфильтрации личных переписок и повышению рисков для контактов, поскольку злоумышленники могут отправлять дальнейшие попытки смишинга на эти сохраненные номера. Учитывая, что Телеграм часто используется как для личных, так и для профессиональных коммуникаций, последствия захвата аккаунтов могут быть масштабными, включая раскрытие конфиденциальной рабочей или финансовой информации.

Для снижения риска пользователям рекомендуется проявлять осторожность при получении сообщений, побуждающих проверить безопасность аккаунта или перейти по ссылкам для верификации. Крайне важно не вводить учетные данные или коды авторизации на незнакомых страницах и включать двухфакторную аутентификацию для аккаунтов в Телеграм. Этот дополнительный уровень безопасности может существенно затруднить способность злоумышленника получить доступ к аккаунту, даже если ему удастся перехватить код входа.

#ParsedReport #CompletenessLow
20-05-2026

GhostTree: Unveiling Path Manipulation Techniques to Bypass Windows Security

https://www.varonis.com/blog/ghosttree-ntfs-trick

Report completeness: Low

Threats:
Ghosttree_technique
Ghostbranch_tool

ChatGPT TTPs:
do not use without manual check
T1564

IOCs:
Path: 18
File: 1

Soft:
Windows Security, Windows Defender, Twitter

Functions:
LinkToFolder

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostTree использует NTFS-ссылки и символические ссылки для создания рекурсивных циклов, позволяющих избегать обнаружения средствами безопасности, особенно теми, которые сканируют каталоги на наличие вредоносного содержимого. Создавая ссылки, указывающие обратно на родительский каталог, он может генерировать фактически бесконечные пути к файлам, перегружая решения для обнаружения и реагирования на конечных точках (EDR), такие как Windows Defender, которые попадают в бесконечные циклы. Этот метод опирается на GhostBranch, усложняя обнаружение ВПО, скрытого в каталогах.
-----

Техника, известная как GhostTree, использует NTFS-ссылки и символические ссылки для создания рекурсивных циклов, которые могут оставаться незамеченными средствами защиты, особенно теми, которые сканируют каталоги на наличие вредоносного содержимого. В отличие от обычных функций файловой системы, которые часто остаются без внимания, NTFS-ссылки позволяют любому пользователю с правами записи создавать связь между одним каталогом и другим, не требуя административных привилегий.

GhostTree работает путём создания ссылок-переходов (junctions), указывающих обратно на родительский каталог, что приводит к формированию фактически бесконечных путей к файлам. Эта бесконечная рекурсия может перегрузить средства сканирования, включая продукты обнаружения и реагирования на конечных точках (EDR), заставляя их застревать в бесконечном цикле. Поскольку эти инструменты не могут завершить сканирование, вредоносные файлы, размещённые в исходном каталоге, остаются без проверки.

Структура GhostTree основана на более простом методе под названием GhostBranch, где злоумышленник создает папковые соединения (junctions) с заданными именами и пунктами назначения. GhostTree улучшает этот подход, вводя несколько дочерних папок, что позволяет организовать более сложную структуру непрерывных путей. Эта вариация расширяет диапазон возможных путей, создавая дополнительные трудности для механизмов обнаружения.

Тестирование подтвердило, что известные решения безопасности, такие как Windows Defender, действительно могут быть обойдены с помощью этой техники, поскольку непрерывная генерация путей делает содержащую папку несканируемой. Следовательно, злоумышленники могут эффективно скрывать ВПО в каталогах, которые остаются незамеченными при использовании обычных методов сканирования.

Для защитников техника GhostTree демонстрирует ограничения, связанные с полаганием исключительно на сканирование конечных точек для обеспечения безопасности. Она подчеркивает необходимость более продвинутого мониторинга активности файловой системы на уровне данных. Внедрение надежных инструментов мониторинга, способных обнаруживать аномалии, такие как необычное создание точек соединения (junction) или рекурсивные структуры каталогов, имеет решающее значение для выявления и нейтрализации этих уклончивых тактик.

#ParsedReport #CompletenessHigh
20-05-2026

Inside SHADOW-WATER-063's Banana RAT: From Build Server to Banking Fraud

https://www.trendmicro.com/en_us/research/26/e/banana-rat.html

Report completeness: High

Actors/Campaigns:
Shadow-water-063 (motivation: information_theft, financially_motivated, cyber_espionage)
Fluxroot
Ta2725
Unc5176

Threats:
Banana_rat
Polymorphism_technique
Bancos
Junk_code_technique
Process_injection_technique
Qshing_technique
Typosquatting_technique
Grandoreiro
Mekotio
Metamorfo
Astaroth
Chavecloak
Javali

Victims:
Brazilian financial institutions, Brazilian localized cryptocurrency exchanges, Customers in brazil

Industry:
Financial, Retail, Telco

Geo:
Portuguese, Brasil, Spain, Ita, Brazil, Mexican, Brazilian, Portugal, Chilean

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 13
Domain: 3
Url: 5
Command: 1
IP: 4
Hash: 4

Soft:
WhatsApp, FastAPI, NET Framework, Windows GDI, Task Scheduler

Algorithms:
aes-256, aes-256-cbc, sha256, hmac, aes, xor

Functions:
Add-Type

Win API:
ShowWindow, BitBlt, GetAsyncKeyState, GetForegroundWindow, BlockInput

Win Services:
WebClient

Languages:
delphi, powershell, php, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, schema: 2, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Banana RAT от SHADOW-WATER-063, банковское ВПО, нацеленное на бразильские финансовые учреждения, использует передовые техники уклонения, включая полезную нагрузку, обернутую алгоритмом AES, и выполнение PowerShell без файлов, для обеспечения мошенничества в реальном времени. Оно использует тактики социальной инженерии для доставки вредоносных полезной нагрузки, что позволяет осуществлять регистрацию нажатий клавиш, потоковую передачу экрана и манипуляцию транзакциями, особенно затрагивая систему Pix Центрального банка Бразилии. Работа ВПО характеризуется полиморфной системой доставки, что усложняет обнаружение и подчеркивает растущую угрозу, исходящую от локализованных киберпреступных сетей.
-----

Banana RAT от SHADOW-WATER-063 — это банковское ВПО, нацеленное на бразильские финансовые учреждения.

ВПО использует сложные техники уклонения для выполнения мошенничества в реальном времени.

Оно использует методы многослойной обфускации, такие как полезная нагрузка, обернутая алгоритмом AES, и выполнение PowerShell без создания файлов.

Banana RAT поддерживает постоянное управление через запланированные задачи и TCP-соединения по порту 443.

Жертв заманивают загрузить вредоносные пакетные файлы через WhatsApp или фишинговые URL-адреса.

Первоначальный пакетный файл запускает команду PowerShell, которая загружает вторую стадию полезной нагрузки, работающую полностью в памяти.

Компонент второго этапа обеспечивает потоковую передачу экрана в реальном времени, регистрацию нажатий клавиш, контроль ввода и перехват QR-кодов, направленный на мошеннические транзакции.

ВПО использует тактики социальной инженерии, маскируясь под легитимные документы, такие как электронные счета-фактуры.

Его PowerShell-клиент поддерживает мониторинг системы в реальном времени, эксфильтрацию файлов и создание поддельных оверлеев легитимных банковских приложений.

ВПО может манипулировать транзакциями через систему Pix Бразильского центрального банка.

Атрибуция указывает на бразильских злоумышленников на основе конвенций кодирования и целевой аудитории жертв.

RAT Banana нацелен исключительно на бразильские учреждения, что указывает на локализованную операционную направленность.

В ней используется полиморфная система доставки полезной нагрузки, которая генерирует уникальные варианты для каждого жертвы, усложняя обнаружение.

Заражённые хосты могут оставаться функциональными, даже если инфраструктура доставки скомпрометирована.

Операция знаменует собой стратегическую эволюцию в киберкриминале, использующую передовые услуги ВПО и представляющую значительные риски для финансового сектора.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's MSHTA Legacy Tool Still Powers Malware Campaigns on Windows

https://www.bitdefender.com/en-us/blog/labs/microsofts-mshta-legacy-malware-windows

Report completeness: High

Threats:
Lolbin_technique
Clickfix_technique
Lumma_stealer
Castleloader
Emmenhtal
Amatera_stealer
Countloader
Clipbanker
Purplefox
Seo_poisoning_technique
Amsi_bypass_technique
Procmon_tool
Xworm_rat
Danabot
Lalala_stealer

Victims:
Windows users, Enterprise environments, Cryptocurrency users

Industry:
Financial, Education

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036.003, T1036.008, T1059.001, T1059.006, T1059.007, T1070.004, T1105, T1140, have more...

IOCs:
File: 25
Domain: 71
Url: 40
Coin: 1
Hash: 7
Command: 2
IP: 30

Soft:
macOS, Claude, Internet Explorer, Microsoft Edge, Discord, Windows Defender

Algorithms:
base64, sha256

Win Services:
WebClient

Languages:
php, javascript, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4