#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Salesforce обнаружила необычную активность, связанную с приложениями Gainsight, что указывает на потенциальный несанкционированный доступ к данным клиентов из-за уязвимостей в том, как эти приложения взаимодействуют с системами Salesforce. Хотя конкретные подробности о векторе атаки остаются нераскрытыми, расследование указывает на то, что в приложениях Gainsight или их интеграциях могут быть слабые места. Постоянный мониторинг сторонних приложений на предмет аномалий безопасности необходим для защиты конфиденциальной информации.
-----

Salesforce обнаружила необычную активность в отношении приложений, опубликованных Gainsight, которые управляются и устанавливаются клиентами. Расследование этой деятельности предполагает, что, возможно, имел место несанкционированный доступ к некоторым данным клиентов из-за способа подключения этих приложений к системам Salesforce. Хотя конкретные технические подробности, касающиеся характера этого несанкционированного доступа или вектора атаки, не разглашаются, подразумевается, что уязвимости могут существовать в приложениях Gainsight или точках их интеграции с Salesforce. Клиенты, использующие эти приложения, должны сохранять бдительность и пересмотреть свои конфигурации и средства контроля доступа, чтобы снизить любые потенциальные риски, возникающие в результате этой необычной деятельности. Продолжающееся расследование подчеркивает важность постоянного мониторинга сторонних приложений на предмет аномалий безопасности для эффективной защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
19-11-2025

Reframing Insights

https://chollima-group.io/posts/reframing-insights-our-research-msmt

Report completeness: Low

Actors/Campaigns:
Moonstone_sleet
Detankwar
Babylongroup

Victims:
Freelance platforms, Art and decoration services, Crypto ecosystem

Industry:
Transport, Telco, Healthcare, Maritime

Geo:
Tanzania, Middle east, Russia, Laos, Guinea, Russian, China, Africa, Korea, Chinese, American, Hong kong, Oman, Seychelles, Dprk, North korean, Vietnam, Nigeria, Armenia, Bangladesh, Iraq, North koreans, Nigerian, Korean, North koreas

IOCs:
File: 1
Email: 40
IP: 1
Url: 4

Soft:
Instagram, Chrome

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете MSMT описывается деятельность северокорейских ИТ-специалистов в Африке, в частности одного фрилансера, известного как Дэвид Орион, который работает с 2017 года и разработал приложение под названием FlippedWorld. Хотя отмечена активность с нигерийских IP-адресов, физическое присутствие в Нигерии подтверждено не было; однако связи с местными преступными группировками предполагают потенциальное сотрудничество. В отчете также обсуждаются связи между северокорейскими ИТ-работниками и APT-группировкой Moonstone Sleet, что указывает на изощренный подход к обходу санкций и участию в кибероперациях, особенно в сфере криптовалют.
-----

В недавнем отчете Многосторонней группы по мониторингу санкций (MSMT) освещалась деятельность северокорейских ИТ-специалистов (КНДР) в различных африканских странах, включая Танзанию, Гвинею, Экваториальную Гвинею и Нигерию. Примечательно, что конкретный ИТ-специалист, работающий в Конакри, Гвинея, был активен примерно с 2017 года и использовал онлайн-персонажей Дэвида Ориона, Билла Онейла и Генже Ву. Этот человек сосредоточился на сайтах фриланса и разработал приложение с эффектом камеры под названием FlippedWorld, ранее размещенное в Apple App Store.

В то время как MSMT выявила повышенную активность ИТ-работников КНДР с нигерийских IP-адресов, по-прежнему нет никаких свидетельств физического присутствия в Нигерии. Однако предыдущее исследование установило связи между нигерийскими преступными группировками и ИТ-работниками КНДР, что указывает на потенциальное сотрудничество, которое могло бы способствовать кибероперациям.

Кроме того, в отчете зафиксирована группа северокорейских художников, действовавших в странах Персидского залива (Оман и ОАЭ) в период с 2008 по 2015 год, предположительно работавших на подставные компании, связанные с попавшей под санкции корейской торговой корпорацией Paekho. Деятельность этих артистов указывает на использование культурных и художественных прикрытий для поддержки незаконных финансовых и оперативных целей, связанных с нарушениями санкций КНДР.

Кроме того, Бюро 61, которое начало развертывать делегации ИТ-специалистов в 2021 году, связано с различными подставными компаниями, работающими в таких регионах, как Владивосток и Шэньян, что предполагает более широкую инфраструктуру для киберопераций КНДР, выходящую за рамки традиционных технологических сфер.

В критическом выводе обсуждалась связь некоторых ИТ-работников с APT-группировкой, известной как Moonstone Sleet, выявляя текущие стратегические повороты и адаптации в ландшафте киберугроз КНДР, особенно в отношении криптовалютных операций. В целом, в докладе подчеркиваются изощренные и эволюционирующие стратегии, применяемые кибероператорами КНДР, использующими целый ряд международных баз для обхода санкций и участия в незаконной деятельности.

#ParsedReport #CompletenessLow
24-11-2025

Shai-Hulud 2.0: Ongoing Supply Chain Attack

https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique
Shai-hulud
Credential_harvesting_technique

Victims:
Software development ecosystem, Open source repositories

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 13
Domain: 1

Soft:
docker, ubuntu, Linux, MacOS

Algorithms:
base64

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud 2.0 - это масштабная атака по Цепочке поставок, нацеленная на пакеты npm, затрагивающая более 25 000 репозиториев и около 350 пользователей. Кампания предполагает интеграцию вредоносных пакетов в легальные репозитории, выявляя уязвимости в Цепочках поставок программного обеспечения. Хотя конкретная тактика остается нераскрытой, масштаб предполагает методичный подход к развертыванию этих скомпрометированных пакетов, чтобы избежать обнаружения.
-----

Кампания Shai-Hulud 2.0 представляет собой масштабную атаку на Цепочку поставок, направленную в первую очередь на пакеты npm. В результате этой атаки было затронуто более 25 000 репозиториев, что оказало воздействие примерно на 350 уникальных пользователей. Кампания подчеркивает уязвимость Цепочек поставок программного обеспечения, особенно в широко используемых экосистемах управления пакетами, таких как npm.

Сообщается, что вредоносные пакеты интегрируются в законные репозитории, создавая риск для разработчиков и организаций, которые полагаются на эти ресурсы для своих приложений. Конкретная тактика и методы, используемые в этой кампании, полностью не раскрываются; однако масштаб воздействия предполагает методичный подход к развертыванию скомпрометированных пакетов, чтобы избежать обнаружения и максимально увеличить охват.

Для борьбы с текущей угрозой пользователям и организациям важно проявлять бдительность при мониторинге своих зависимостей на предмет любых несанкционированных или вредоносных обновлений. Лучшие практики включают регулярный аудит использования пакетов, обеспечение строгого контроля доступа и использование автоматизированных инструментов для обнаружения аномалий в цепочках зависимостей. Принимая эти меры, разработчики могут снизить риски, связанные с такими атаками по Цепочке поставок, и защитить свои программные среды от потенциального использования.

#ParsedReport #CompletenessMedium
24-11-2025

Xillen Stealer v5 Advanced Credential Theft and Loader Platform

https://cybersecsentinel.com/xillen-stealer-v5-advanced-credential-theft-and-loader-platform/

Report completeness: Medium

Actors/Campaigns:
Xillen_killers

Threats:
Xillenstealer
Polymorphism_technique
Polyglot_technique
Steganography_technique

Industry:
E-commerce

TTPs:
Tactics: 5
Technics: 0

IOCs:
Path: 5
File: 7
Registry: 1

Soft:
Telegram, AnyConnect, Docker, Slack, Discord, Chrome, Firefox, Chromium

Algorithms:
zip

Functions:
Telegram

Languages:
python, javanoscript, rust, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пятая версия Xillen Stealer представляет собой продвинутую эволюцию вредоносного ПО для кражи информации, использующего управляемые искусственным интеллектом методы уклонения, которые улучшают предотвращение обнаружения. Он использует тактику социальной инженерии для доставки, часто замаскированную под законное программное обеспечение, и проводит разведку, нацеливаясь на конфиденциальные облачные данные и системные данные разработчиков. Вредоносное ПО выполняет высокочастотные POST-запросы в Telegram для эксфильтрации данных, используя методы обфускации, включая Стеганографию и альтернативные потоки данных, для незаметной передачи украденных учетных данных.
-----

Xillen Stealer пятой версии - это сложное вредоносное ПО для кражи информации, представляющее серьезную угрозу предприятиям. Он использует передовые методы уклонения с использованием Искусственного интеллекта, чтобы избежать обнаружения системами безопасности. Вредоносное ПО нацелено на конфиденциальные данные в облачных средах и системах разработчиков. Методы доставки включают социальную инженерию, часто замаскированную под взломанное программное обеспечение или игровые моды на таких платформах, как Telegram. После установки он проводит разведку, чтобы найти ценные инструменты управления облаком, языки программирования и системы контроля версий. Он использует сложные методы запутывания и сканирует пользовательские каталоги на наличие облачных конфигурационных файлов и токенов сеанса. Xillen Stealer v5 отправляет высокочастотные POST-запросы в Telegram для передачи украденных данных и использует Стеганографию и альтернативные потоки данных для скрытой эксфильтрации. Его оценка угрозы составляет 7,5, что отражает его сложность. Стратегии смягчения последствий включают комплексную защиту конечных точек, исправление старых уязвимостей VPN-клиентов, ограничение вредоносных двоичных файлов и использование двухфакторной аутентификации на основе токенов Аппаратного обеспечения. Регулярные проверки рабочих станций разработчиков и сканирование на наличие скрытых потоков данных имеют решающее значение для борьбы с этой угрозой.

#ParsedReport #CompletenessLow
23-11-2025

Sha1-Hulud: The Second Coming - Zapier, ENS Domains, and Other Prominent NPM Packages Compromised

https://www.stepsecurity.io/blog/sha1-hulud-the-second-coming-zapier-ens-domains-and-other-prominent-npm-packages-compromised

Report completeness: Low

Threats:
Supply_chain_technique
Shai-hulud

Victims:
Software development ecosystem, Npm ecosystem, Open source developers

Industry:
Software_development

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053, T1078, T1105, T1195, T1199, T1584

IOCs:
File: 22

Soft:
Linux, macOS, curl, Windows PowerShell

Languages:
powershell, javanoscript

Links:
https://github.com/settings/security-log
https://github.com/search?q=Sha1-Hulud%3A+The+Second+Coming.&ref=opensearch&type=repositories
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Возрождение червя Shai-Hulud привело к серьезной атаке на Цепочку поставок, затронувшей более 70 пакетов npm, с использованием сложных методов самораспространения, которые привели к созданию более 16 000 репозиториев GitHub, содержащих украденные учетные данные, всего за пять часов. Вредоносное ПО, характеризующееся сильно запутанной полезной нагрузкой с именем bun_environment.js , задерживает выполнение, чтобы избежать обнаружения при извлечении информации, и устанавливает закрепление с помощью файла рабочего процесса GitHub Actions с именем discussion.yaml. Эта атака подчеркивает уязвимости, присутствующие в экосистеме JavaScript.
-----

Возрождение червя Shai-Hulud, теперь известного как "Sha1-Hulud: Второе пришествие", привело к серьезной атаке на Цепочку поставок, затронувшей более 70 пакетов npm. Этот вариант обладает сложными возможностями самораспространения, и в течение пяти часов после его первоначального обнаружения было создано более 16 000 общедоступных репозиториев GitHub, содержащих украденные учетные данные разработчика. Этот инцидент подчеркивает сохраняющиеся уязвимости в экосистеме JavaScript, привлекая внимание команд безопасности, таких как StepSecurity, которые активно расследуют ситуацию.

Атака включает в себя полезную нагрузку объемом более 10 МБ, известную как bun_environment.js это сильно запутано, что усложняет процесс обратного проектирования. Примечательно, что вредоносное ПО задерживает свое полное выполнение, переходя в фоновый режим, позволяя внешнему виду установки оставаться нормальным, в то же время инициируя процесс удаления конфиденциальной информации вскоре после этого. Этот метод направлен на то, чтобы обойти немедленное обнаружение разработчиками.

Дальнейший анализ показывает, что вредоносное ПО устанавливает уровень закрепления, генерируя файл рабочего процесса GitHub Actions под названием discussion.yaml в скомпрометированных репозиториях. Этот рабочий процесс может быть использован из-за его восприимчивости к внедрению скриптов, что позволяет создавать вредоносные потоки; однако он выполняется в автономной среде, что сводит к минимуму его доступ к правильно настроенным репозиториям.

Чтобы смягчить последствия этой атаки, рекомендуется выполнить комплексные действия по исправлению: полностью удалить каталог node_modules, очистить кэш npm, обновить файл package-lock.json, чтобы исключить вредоносные версии, и впоследствии переустановить только безопасные версии. Кроме того, организации могут внедрить проверку восстановления NPM, чтобы предотвратить использование недавно выпущенных версий пакетов до тех пор, пока они не будут тщательно оценены, что значительно снижает риск, связанный с поспешными обновлениями.

StepSecurity также подчеркивает полезность своего инструмента Artifact Monitor, который постоянно отслеживает и обнаруживает несанкционированные выпуски пакетов в различных реестрах. Эта возможность мониторинга может значительно увеличить время отклика и снизить риск взлома кода, предупреждая команды о необычных схемах публикации.

#ParsedReport #CompletenessMedium
24-11-2025

ClickFix Gets Creative: Malware Buried in Images

https://www.huntress.com/blog/clickfix-malware-buried-in-images

Report completeness: Medium

Threats:
Clickfix_technique
Stego_loader
Donut
Lumma_stealer
Rhadamanthys
Steganography_technique
Blob_url_obfuscation_technique
Junk_code_technique
Process_injection_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1055, T1059, T1059.001, T1059.007, T1105, T1140, T1204.001, have more...

IOCs:
File: 20
Url: 25
IP: 3
Domain: 20
Registry: 1

Algorithms:
aes, base64, xor

Functions:
hexToKey, b64ToUint8Array, xorDecode, uint8ToUtf8, reinject, drkdbVkywZ, GetManifestResourceStream, LockBits, injectAndExecute, sendStat, have more...

Win API:
VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, TerminateProcess, CloseHandle

Languages:
jnoscript, powershell, python, php, javanoscript

Links:
https://gist.github.com/polygonben/b897daea0d8a7f6983fef9dc0e3bf152/raw/10edd10cad29c5be74da7b47a962c13a6156b0bd/stage1.hta
have more...
https://gist.github.com/polygonben/b897daea0d8a7f6983fef9dc0e3bf152#file-stage1-hta
https://github.com

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной кампании вредоносного ПО используются приманки ClickFix для доставки вредоносного ПО, скрывающего информацию, таких как LummaC2 и Rhadamanthys, с помощью многоэтапного процесса. Он использует Стеганографию для сокрытия вредоносных полезных данных в файлах PNG, позволяя восстанавливать полезную нагрузку в памяти. Атака начинается, когда пользователь взаимодействует с вредоносным сайтом, который запускает полезную нагрузку JScript, ведущую к загрузчику PowerShell, а затем к сборке .NET, которая извлекает шелл-код, скрытый в образе, и в конечном итоге внедряет его в такие процессы, как explorer.exe .
-----

Анализ выявляет сложную кампанию вредоносного ПО, использующую приманки ClickFix для выполнения многоэтапной доставки вредоносного ПО, что в конечном итоге приводит к развертыванию вредоносного ПО для сбора информации, такого как LummaC2 и Rhadamanthys. Важным аспектом этой кампании является инновационное использование Стеганографии для сокрытия вредоносной полезной нагрузки в файлах изображений, в частности PNG, где вредоносный код внедряется непосредственно в пиксельные данные. Этот метод улучшает скрытие, поскольку полезная нагрузка реконструируется и расшифровывается в памяти с использованием определенных цветовых каналов.

Последовательность атак начинается, когда жертва взаимодействует с вредоносным веб-сайтом, который был идентифицирован как размещающий приманку ClickFix и использует mshta.exe для запуска начальной полезной нагрузки JScript. После этого загрузчик PowerShell используется для загрузки дальнейших команд, запутанных junk code, чтобы избежать анализа. Третий этап включает в себя сборку .NET, действующую в качестве загрузчика, где фактическая полезная нагрузка, закодированная в виде шеллкода, скрыта в зашифрованном файле PNG с использованием пользовательского стеганографического алгоритма.

Извлечение вредоносного шелл-кода включает в себя расшифровку файла изображения и использование специального стеганографического метода для извлечения исполняемого кода. Этот шелл-код затем вводится в целевой процесс, такой как explorer.exe используя метод, который включает в себя отражательную загрузку вторичной сборки. Извлеченные полезные файлы упакованы с помощью инструмента под названием Donut, типичного для скрытия и запуска вредоносного ПО скрытым образом.

Дальнейшие наблюдения показали адаптивность кампании по привлечению ClickFix, включая вариант, который обманывает пользователей, заставляя их думать, что они проходят обновление Windows. Эта итерация представляет собой убедительный пользовательский интерфейс, имитирующий законный экран обновления Windows, что позволяет дополнительно манипулировать пользователями, заставляя их выполнять вредоносные команды. Сайты-приманки, к сожалению, демонстрируют минимальную запутанность и содержат комментарии на русском языке, что потенциально дает дополнительные зацепки для выявления связанных сайтов в кампании.

#ParsedReport #CompletenessHigh
24-11-2025

Morphisec Thwarts Russian-Linked StealC V2 Campaign Targeting Blender Users via Malicious .blend Files

https://www.morphisec.com/blog/morphisec-thwarts-russian-linked-stealc-v2-campaign-targeting-blender-users-via-malicious-blend-files/

Report completeness: High

Actors/Campaigns:
Blender

Threats:
Stealc
Pyramid_c2_tool
Blenderx
Uac_bypass_technique

Victims:
Blender users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1204, T1587, T1588

IOCs:
File: 2
Url: 27
Hash: 24
Path: 1
IP: 9

Soft:
macOS, Linux, Chromium, Firefox, Opera, Chrome, Telegram, Discord, Pidgin

Algorithms:
chacha20, sha256, zip

Languages:
python, powershell

Links:
https://github.com/cessen/rigify/tree/master

#ParsedReport #CompletenessMedium
24-11-2025

Browser Notification Hijack via Matrix Push C2

https://cybersecsentinel.com/browser-notification-hijack-via-matrix-push-c2/

Report completeness: Medium

Threats:
Clearfake
Clearshort
Clickfix_technique
Etherhiding_technique
Netsupportmanager_rat
Amos_stealer
Lumma_stealer
Vidar_stealer
Latrodectus
Bitsadmin_tool

Victims:
Cryptocurrency users, Websites

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1102, T1105, T1204, T1566, T1566.002, T1583.001, T1584.004, T1608.004, have more...

IOCs:
Coin: 3
File: 4
Domain: 17
Registry: 1

Soft:
Chrome, Firefox, WordPress, macOS, Linux, Android, curl

Algorithms:
aes

Languages:
powershell, javanoscript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Matrix Push C2 фокусируется на методах атаки на основе браузера, которые используют W3C Push API и сервисных работников для постоянной связи с скомпрометированными пользователями. Злоумышленники используют такие методы, как ClearFake, который заражает веб-сайты вредоносными скриптами, и ClickFix, использующий социальную инженерию, чтобы обманом заставить пользователей выполнять вредоносные команды под видом законного устранения неполадок. Недавние кампании особенно нацелены на пользователей криптовалютных кошельков, используя тактику фишинга для кражи конфиденциальной информации, сохраняя при этом скрытность благодаря взаимодействию с пользователем и инновационным каналам C2.
-----

Matrix Push C2 фокусируется на методах атаки на основе браузера. Используя веб-функции, такие как W3C Push API и Service Workers, эта платформа управления (C2) позволяет злоумышленникам поддерживать постоянную связь с скомпрометированными пользователями, не полагаясь на традиционные исполняемые файлы. Этот метод сочетает вредоносный трафик со стандартными веб-действиями, усложняя усилия по обнаружению для защиты от кибербезопасности.

Система Matrix Push C2 позволяет злоумышленникам эффективно воздействовать на поведение конкретных пользователей. В нем используются два ключевых метода доставки, известных как ClearFake и ClickFix, которые повышают охват и эффективность метода. ClearFake включает в себя компрометацию многочисленных веб-сайтов для внедрения вредоносных скриптов загрузки, в то время как ClickFix использует социальную инженерию, чтобы убедить пользователей выполнять команды, которые, по их мнению, являются частью законных действий по устранению неполадок. Например, жертвы могут получать предупреждения о проблемах, связанных с браузером или DNS, побуждающие их выполнять вредоносные команды с помощью обычных системных утилит.

Оценки рисков классифицируют Matrix Push C2 по повышенному уровню угрозы, оцененному в 6,8, из-за его высокой развертываемости и способности к скрытным операциям. Платформа использует преимущества взаимодействия с пользователем и поддерживает канал C2, который позволяет избежать традиционных методов обнаружения. Кроме того, используется технология блокчейн, использующая смарт-контракты в смарт-цепочке BNB для хранения сведений о конфигурации, что добавляет еще один уровень устойчивости к удалению.

Недавние кампании были особенно нацелены на лиц, использующих расширения криптовалютных кошельков, распространяя вводящие в заблуждение уведомления о предполагаемых обновлениях безопасности и заявлениях о сбросе средств, тем самым способствуя краже конфиденциальной информации, такой как начальные фразы и учетные данные кошелька. Способность инструмента отслеживать и идентифицировать расширения криптовалютных кошельков позволяет проводить индивидуальные попытки фишинга, повышая вероятность успешного использования.

Чтобы смягчить эти угрозы, организациям необходимо внедрить надежные средства управления политикой браузера, такие как блокирование запросов уведомлений по умолчанию и уделение особого внимания информированию пользователей об опасностях выполнения нежелательных команд. Поддержание бдительности с помощью телеметрии и приема данных SIEM имеет решающее значение для обнаружения признаков компрометации ClearFake и EtherHiding. Традиционные меры кибербезопасности, включая фильтрацию электронной почты и защиту конечных точек, остаются жизненно важными компонентами комплексной стратегии защиты от вызовов, создаваемых эволюционирующими угрозами, такими как Matrix Push C2.