#ParsedReport #CompletenessMedium
26-11-2025
Dark Web Profile: Berserk Bear
https://socradar.io/dark-web-profile-berserk-bear/
Report completeness: Medium
Actors/Campaigns:
Energeticbear (motivation: financially_motivated, cyber_espionage)
Sandworm
Static_tundra
Threats:
Havex_rat
Teamspy
Teamviewer_tool
Watering_hole_technique
Supply_chain_technique
Oldrea
Synful_knock
Passthehash_technique
Credential_dumping_technique
Hydra
Crackmapexec_tool
Mimikatz_tool
Secretsdump_tool
Spear-phishing_technique
Credential_harvesting_technique
Victims:
Critical infrastructure, Energy sector, Utilities, Government agencies, Municipal networks, Aviation systems, Telecommunications infrastructure, Academic and research institutions
Industry:
Energy, Ics, Education, Critical_infrastructure, Aerospace, Government, Telco
Geo:
America, Russian, Hungarian
CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...
CVE-2011-0611 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<10.2.154.27)
CVE-2018-0171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)
TTPs:
Tactics: 9
Technics: 58
IOCs:
File: 4
Soft:
PsExec, Outlook
Languages:
python, powershell
26-11-2025
Dark Web Profile: Berserk Bear
https://socradar.io/dark-web-profile-berserk-bear/
Report completeness: Medium
Actors/Campaigns:
Energeticbear (motivation: financially_motivated, cyber_espionage)
Sandworm
Static_tundra
Threats:
Havex_rat
Teamspy
Teamviewer_tool
Watering_hole_technique
Supply_chain_technique
Oldrea
Synful_knock
Passthehash_technique
Credential_dumping_technique
Hydra
Crackmapexec_tool
Mimikatz_tool
Secretsdump_tool
Spear-phishing_technique
Credential_harvesting_technique
Victims:
Critical infrastructure, Energy sector, Utilities, Government agencies, Municipal networks, Aviation systems, Telecommunications infrastructure, Academic and research institutions
Industry:
Energy, Ics, Education, Critical_infrastructure, Aerospace, Government, Telco
Geo:
America, Russian, Hungarian
CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...
CVE-2011-0611 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<10.2.154.27)
CVE-2018-0171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)
TTPs:
Tactics: 9
Technics: 58
IOCs:
File: 4
Soft:
PsExec, Outlook
Languages:
python, powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Berserk Bear
Berserk Bear is a Russian state-sponsored cyber espionage group linked to the FSB. They have been active since at least 2010 under many names (Dragonfly,
CTT Report Hub
#ParsedReport #CompletenessMedium 26-11-2025 Dark Web Profile: Berserk Bear https://socradar.io/dark-web-profile-berserk-bear/ Report completeness: Medium Actors/Campaigns: Energeticbear (motivation: financially_motivated, cyber_espionage) Sandworm Static_tundra…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Berserk Bear, спонсируемая российским государством шпионская группировка, связанная с ФСБ, фокусируется на проникновении в критически важную инфраструктуру, особенно в энергетическом и коммунальном секторах, используя многоэтапные кампании, в которых особое внимание уделяется скрытности. Их тактика включает в себя фишинг, компрометацию supply-chain и использование уязвимостей в ключевых Сетевых устройствах, в частности, нацеленных на правительственные и муниципальные системы. Известные методы включают обнаружение Доменных учетных записей, манипулирование учетными данными и использование таких инструментов, как Mimikatz, демонстрирующих возможность постоянного доступа и эксфильтрации конфиденциальных данных.
-----
Berserk Bear - спонсируемая российским государством группа кибершпионажа, связанная с ФСБ, известная своей долгой историей проведения киберопераций, начиная как минимум с 2010 года. Группа была идентифицирована под несколькими псевдонимами, включая Dragonfly, Energetic Bear, Havex и Crouching Yeti, и сосредоточилась на проникновении в критически важную инфраструктуру, особенно в энергетическом и коммунальном секторах. Их деятельность эволюционировала и включает в себя нацеливание на правительственные учреждения, муниципальные сети, транспортные системы, телекоммуникации и академические учреждения.
Оперативная стратегия группы включает в себя проведение многоэтапных шпионских кампаний, характеризующихся терпеливым прогрессированием и сильным акцентом на скрытность. Berserk Bear использует комбинацию методов для получения доступа к системам, включая фишинг, компрометацию supply-chain и использование уязвимостей в основных Сетевых устройствах. Такая тактика позволяет им проникать в промышленные системы управления (ICS) и операционные технологические сети, где они проводят разведку, собирают конфиденциальные данные, такие как конструкторская документация и учетные данные, и поддерживают долгосрочный доступ.
Атаки Berserk Bear's отражены в различных тактиках, техниках и процедурах (TTP), описанных в рамках MITRE ATT&CK. Заслуживающие внимания методы включают обнаружение Доменных учетных записей, где для перечисления пользователей используются пакетные сценарии, а также манипулирование учетными данными, позволяющее добавлять учетные записи в группы администраторов. Они используют интерпретаторы командной строки, использующие скрипты PowerShell и Python для выполнения команд. Группа также обладает опытом эксплуатации общедоступных приложений, успешно устраняя уязвимости в таких системах, как Citrix и Exchange. Кроме того, было замечено, что они используют целый ряд вредоносных инструментов, включая Mimikatz и CrackMapExec для credential Dumping и перемещения внутри компании.
Механизмы закрепления группы обозначаются такими действиями, как создание разделов реестра для автозапуска и использование запланированных задач для облегчения текущего доступа. Они также используют различные методы фишинга, нацеливаясь на отдельных лиц с помощью Целевого фишинга с вложениями и ссылок, предназначенных для сбора учетных данных. Для эксфильтрации данных Berserk Bear сжимает собранную информацию в файлы, часто используя SMB для связи командования и контроля.
Что касается защиты, организациям рекомендуется усилить точки входа в сети, внимательно следить за признаками долгосрочных вторжений и усилить защиту от обычной тактики, применяемой Berserk Bear, чтобы снизить риск, создаваемый этим актором-носителем сложной целенаправленной угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Berserk Bear, спонсируемая российским государством шпионская группировка, связанная с ФСБ, фокусируется на проникновении в критически важную инфраструктуру, особенно в энергетическом и коммунальном секторах, используя многоэтапные кампании, в которых особое внимание уделяется скрытности. Их тактика включает в себя фишинг, компрометацию supply-chain и использование уязвимостей в ключевых Сетевых устройствах, в частности, нацеленных на правительственные и муниципальные системы. Известные методы включают обнаружение Доменных учетных записей, манипулирование учетными данными и использование таких инструментов, как Mimikatz, демонстрирующих возможность постоянного доступа и эксфильтрации конфиденциальных данных.
-----
Berserk Bear - спонсируемая российским государством группа кибершпионажа, связанная с ФСБ, известная своей долгой историей проведения киберопераций, начиная как минимум с 2010 года. Группа была идентифицирована под несколькими псевдонимами, включая Dragonfly, Energetic Bear, Havex и Crouching Yeti, и сосредоточилась на проникновении в критически важную инфраструктуру, особенно в энергетическом и коммунальном секторах. Их деятельность эволюционировала и включает в себя нацеливание на правительственные учреждения, муниципальные сети, транспортные системы, телекоммуникации и академические учреждения.
Оперативная стратегия группы включает в себя проведение многоэтапных шпионских кампаний, характеризующихся терпеливым прогрессированием и сильным акцентом на скрытность. Berserk Bear использует комбинацию методов для получения доступа к системам, включая фишинг, компрометацию supply-chain и использование уязвимостей в основных Сетевых устройствах. Такая тактика позволяет им проникать в промышленные системы управления (ICS) и операционные технологические сети, где они проводят разведку, собирают конфиденциальные данные, такие как конструкторская документация и учетные данные, и поддерживают долгосрочный доступ.
Атаки Berserk Bear's отражены в различных тактиках, техниках и процедурах (TTP), описанных в рамках MITRE ATT&CK. Заслуживающие внимания методы включают обнаружение Доменных учетных записей, где для перечисления пользователей используются пакетные сценарии, а также манипулирование учетными данными, позволяющее добавлять учетные записи в группы администраторов. Они используют интерпретаторы командной строки, использующие скрипты PowerShell и Python для выполнения команд. Группа также обладает опытом эксплуатации общедоступных приложений, успешно устраняя уязвимости в таких системах, как Citrix и Exchange. Кроме того, было замечено, что они используют целый ряд вредоносных инструментов, включая Mimikatz и CrackMapExec для credential Dumping и перемещения внутри компании.
Механизмы закрепления группы обозначаются такими действиями, как создание разделов реестра для автозапуска и использование запланированных задач для облегчения текущего доступа. Они также используют различные методы фишинга, нацеливаясь на отдельных лиц с помощью Целевого фишинга с вложениями и ссылок, предназначенных для сбора учетных данных. Для эксфильтрации данных Berserk Bear сжимает собранную информацию в файлы, часто используя SMB для связи командования и контроля.
Что касается защиты, организациям рекомендуется усилить точки входа в сети, внимательно следить за признаками долгосрочных вторжений и усилить защиту от обычной тактики, применяемой Berserk Bear, чтобы снизить риск, создаваемый этим актором-носителем сложной целенаправленной угрозы.
#ParsedReport #CompletenessLow
26-11-2025
VSCode Marketplace Hit by Rogue Prettier Extension Delivering Anivia Stealer
https://gbhackers.com/vscode-marketplace-2/
Report completeness: Low
Threats:
Anivia
Victims:
Software developers, Vscode users
Industry:
E-commerce, Education
ChatGPT TTPs:
T1005, T1027, T1036, T1041, T1059, T1195, T1204
IOCs:
File: 1
Soft:
VSCode, Twitter, WhatsApp, Visual Studio Code
Algorithms:
base64, aes
Languages:
powershell, swift
26-11-2025
VSCode Marketplace Hit by Rogue Prettier Extension Delivering Anivia Stealer
https://gbhackers.com/vscode-marketplace-2/
Report completeness: Low
Threats:
Anivia
Victims:
Software developers, Vscode users
Industry:
E-commerce, Education
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036, T1041, T1059, T1195, T1204
IOCs:
File: 1
Soft:
VSCode, Twitter, WhatsApp, Visual Studio Code
Algorithms:
base64, aes
Languages:
powershell, swift
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
VSCode Marketplace Hit by Rogue Prettier Extension Delivering Anivia Stealer
A recently discovered malicious Visual Studio Code (VSCode) extension masquerading as the well-known “Prettier” formatter briefly infiltrated the official VSCode Marketplace.
CTT Report Hub
#ParsedReport #CompletenessLow 26-11-2025 VSCode Marketplace Hit by Rogue Prettier Extension Delivering Anivia Stealer https://gbhackers.com/vscode-marketplace-2/ Report completeness: Low Threats: Anivia Victims: Software developers, Vscode users Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Для доставки вредоносного ПО-стиллера Anivia было использовано вредоносное расширение Маскировки под "более симпатичный" форматировщик в Visual Studio Code Marketplace. Эта многоэтапная атака, разработанная для обхода стандартных мер безопасности, была направлена на сбор конфиденциальных учетных данных для входа в систему и личных данных, включая частные чаты WhatsApp. Инцидент подчеркивает значительные угрозы, исходящие от вредоносного программного обеспечения сторонних производителей, нацеленного на разработчиков, и сложности, связанные с такими уклончивыми атаками вредоносного ПО.
-----
Недавний инцидент, связанный с торговой площадкой Visual Studio Code (VSCode), высветил значительную киберугрозу, когда вредоносное расширение, выдававшее себя за популярное средство форматирования "Красивее", использовалось для доставки вредоносного ПО-стиллера Anivia. Это мошенническое расширение, названное "prettier-vscode-plus", было ненадолго доступно на официальном маркетплейсе и предназначалось для разработчиков, стремясь получить конфиденциальные учетные данные для входа в систему и личные данные из их систем.
В ходе атаки используется многоэтапный и обходной подход, который особенно примечателен, поскольку он предназначен для обхода обычных мер безопасности. Такая сложность как в процессе заражения, так и в процессе выполнения указывает на хорошо спланированный механизм атаки, позволяющий избежать обнаружения стандартными сканерами безопасности.
После запуска вредоносное ПО-стиллер Anivia умеет извлекать ценную информацию, захватывая не только учетные данные для входа в систему, но и системные метаданные и личные данные, включая личные чаты WhatsApp. Цель, стоящая за этим широким сбором данных, подчеркивает серьезность угрозы, поскольку она направлена на то, чтобы скомпрометировать как профессиональные, так и личные аспекты скомпрометированных систем.
Этот инцидент служит напоминанием о постоянных рисках, связанных со сторонним программным обеспечением и расширениями в средах разработки, подчеркивая необходимость повышенной бдительности и надежных мер безопасности против таких целенаправленных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Для доставки вредоносного ПО-стиллера Anivia было использовано вредоносное расширение Маскировки под "более симпатичный" форматировщик в Visual Studio Code Marketplace. Эта многоэтапная атака, разработанная для обхода стандартных мер безопасности, была направлена на сбор конфиденциальных учетных данных для входа в систему и личных данных, включая частные чаты WhatsApp. Инцидент подчеркивает значительные угрозы, исходящие от вредоносного программного обеспечения сторонних производителей, нацеленного на разработчиков, и сложности, связанные с такими уклончивыми атаками вредоносного ПО.
-----
Недавний инцидент, связанный с торговой площадкой Visual Studio Code (VSCode), высветил значительную киберугрозу, когда вредоносное расширение, выдававшее себя за популярное средство форматирования "Красивее", использовалось для доставки вредоносного ПО-стиллера Anivia. Это мошенническое расширение, названное "prettier-vscode-plus", было ненадолго доступно на официальном маркетплейсе и предназначалось для разработчиков, стремясь получить конфиденциальные учетные данные для входа в систему и личные данные из их систем.
В ходе атаки используется многоэтапный и обходной подход, который особенно примечателен, поскольку он предназначен для обхода обычных мер безопасности. Такая сложность как в процессе заражения, так и в процессе выполнения указывает на хорошо спланированный механизм атаки, позволяющий избежать обнаружения стандартными сканерами безопасности.
После запуска вредоносное ПО-стиллер Anivia умеет извлекать ценную информацию, захватывая не только учетные данные для входа в систему, но и системные метаданные и личные данные, включая личные чаты WhatsApp. Цель, стоящая за этим широким сбором данных, подчеркивает серьезность угрозы, поскольку она направлена на то, чтобы скомпрометировать как профессиональные, так и личные аспекты скомпрометированных систем.
Этот инцидент служит напоминанием о постоянных рисках, связанных со сторонним программным обеспечением и расширениями в средах разработки, подчеркивая необходимость повышенной бдительности и надежных мер безопасности против таких целенаправленных атак.
#ParsedReport #CompletenessLow
26-11-2025
Discord Bot backdoor malware from the UNC5174 group
https://asec.ahnlab.com/ko/91228/
Report completeness: Low
Actors/Campaigns:
Unc5174
Threats:
Vshell
Discord_c2_technique
Victims:
Unspecified organizations
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1053, T1059, T1071.001, T1105, T1219
IOCs:
Coin: 2
Soft:
Discord
Algorithms:
base64, md5, aes
Functions:
AddHandler
Languages:
golang
Links:
26-11-2025
Discord Bot backdoor malware from the UNC5174 group
https://asec.ahnlab.com/ko/91228/
Report completeness: Low
Actors/Campaigns:
Unc5174
Threats:
Vshell
Discord_c2_technique
Victims:
Unspecified organizations
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1053, T1059, T1071.001, T1105, T1219
IOCs:
Coin: 2
Soft:
Discord
Algorithms:
base64, md5, aes
Functions:
AddHandler
Languages:
golang
Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/bwmarrin/discordgoASEC
UNC5174 그룹의 Discord Bot 백도어 악성코드 - ASEC
UNC5174 그룹의 Discord Bot 백도어 악성코드 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 26-11-2025 Discord Bot backdoor malware from the UNC5174 group https://asec.ahnlab.com/ko/91228/ Report completeness: Low Actors/Campaigns: Unc5174 Threats: Vshell Discord_c2_technique Victims: Unspecified organizations…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа UNC5174 использует бэкдор - вредоносное ПО, использующее Discord API для своих операций командования и контроля (C2), что позволяет осуществлять постоянный контроль над скомпрометированными системами. Первоначально они используют установленные бэкдоры, такие как vshell, для получения доступа, а затем внедряют более скрытые варианты, чтобы избежать обнаружения. Эта стратегия иллюстрирует их адаптивные методы и подчеркивает тенденцию использования законных платформ для вредоносных действий.
-----
Была идентифицирована группа UNC5174, использующая бэкдор вредоносного ПО, которая использует Discord API для создания системы командования и контроля (C2). Этот инновационный подход позволяет злоумышленникам сохранять постоянный контроль над скомпрометированными системами, используя методологию, которая предполагает последовательное развертывание различных типов бэкдоров после первоначального взлома. Первоначально эти злоумышленники получают доступ к своим целям, используя установленные бэкдоры, такие как vshell. После этого первоначального доступа группа впоследствии внедряет новые варианты бэкдоров, которые предназначены для более эффективного уклонения от обнаружения.
Как показывает анализ взломов, эта тактика не только подчеркивает способность группы адаптировать свои методы, но и указывает на более масштабные стратегические усилия по обеспечению долгосрочного доступа к скомпрометированным сетям. Сначала используя более заметный бэкдор, а затем обновляясь до более скрытой версии, UNC5174 демонстрирует понимание операционной безопасности и закрепления угроз. Использование Discord для операций C2 особенно примечательно, поскольку оно использует преимущества законной инфраструктуры для маскировки вредоносных действий, что указывает на растущую тенденцию среди злоумышленников использовать широко используемые платформы в целях сокрытия.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа UNC5174 использует бэкдор - вредоносное ПО, использующее Discord API для своих операций командования и контроля (C2), что позволяет осуществлять постоянный контроль над скомпрометированными системами. Первоначально они используют установленные бэкдоры, такие как vshell, для получения доступа, а затем внедряют более скрытые варианты, чтобы избежать обнаружения. Эта стратегия иллюстрирует их адаптивные методы и подчеркивает тенденцию использования законных платформ для вредоносных действий.
-----
Была идентифицирована группа UNC5174, использующая бэкдор вредоносного ПО, которая использует Discord API для создания системы командования и контроля (C2). Этот инновационный подход позволяет злоумышленникам сохранять постоянный контроль над скомпрометированными системами, используя методологию, которая предполагает последовательное развертывание различных типов бэкдоров после первоначального взлома. Первоначально эти злоумышленники получают доступ к своим целям, используя установленные бэкдоры, такие как vshell. После этого первоначального доступа группа впоследствии внедряет новые варианты бэкдоров, которые предназначены для более эффективного уклонения от обнаружения.
Как показывает анализ взломов, эта тактика не только подчеркивает способность группы адаптировать свои методы, но и указывает на более масштабные стратегические усилия по обеспечению долгосрочного доступа к скомпрометированным сетям. Сначала используя более заметный бэкдор, а затем обновляясь до более скрытой версии, UNC5174 демонстрирует понимание операционной безопасности и закрепления угроз. Использование Discord для операций C2 особенно примечательно, поскольку оно использует преимущества законной инфраструктуры для маскировки вредоносных действий, что указывает на растущую тенденцию среди злоумышленников использовать широко используемые платформы в целях сокрытия.
#ParsedReport #CompletenessMedium
26-11-2025
Zscaler Threat Hunting Discovers and Reconstructs a Sophisticated Water Gamayun APT Group Attack
https://www.zscaler.com/blogs/security-research/water-gamayun-apt-attack
Report completeness: Medium
Actors/Campaigns:
Encrypthub
Threats:
Eviltwin_technique
Credential_harvesting_technique
Silentprism
Darkwisp
Rhadamanthys
Victims:
Enterprise networks, Government networks
Industry:
Government
Geo:
Russia, Russian
CVEs:
CVE-2025-26633 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.003, T1055, T1059.001, T1068, T1105, T1140, T1190, T1202, T1204.001, have more...
IOCs:
File: 4
Domain: 1
Url: 2
IP: 1
Hash: 6
Soft:
UnRAR
Algorithms:
base64, md5
Functions:
TaskPad
Languages:
powershell, javascript
26-11-2025
Zscaler Threat Hunting Discovers and Reconstructs a Sophisticated Water Gamayun APT Group Attack
https://www.zscaler.com/blogs/security-research/water-gamayun-apt-attack
Report completeness: Medium
Actors/Campaigns:
Encrypthub
Threats:
Eviltwin_technique
Credential_harvesting_technique
Silentprism
Darkwisp
Rhadamanthys
Victims:
Enterprise networks, Government networks
Industry:
Government
Geo:
Russia, Russian
CVEs:
CVE-2025-26633 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.003, T1055, T1059.001, T1068, T1105, T1140, T1190, T1202, T1204.001, have more...
IOCs:
File: 4
Domain: 1
Url: 2
IP: 1
Hash: 6
Soft:
UnRAR
Algorithms:
base64, md5
Functions:
TaskPad
Languages:
powershell, javascript
Zscaler
In-Depth Analysis: Water Gamayun APT Multi-Stage Attack Uncovered
Zscaler Threat Hunting team analyzes Water Gamayun APT’s multi-stage attack exploiting MMC, fake PDFs, and obfuscation to deliver hidden malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 26-11-2025 Zscaler Threat Hunting Discovers and Reconstructs a Sophisticated Water Gamayun APT Group Attack https://www.zscaler.com/blogs/security-research/water-gamayun-apt-attack Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка Water Gamayun, предположительно российского происхождения, осуществила многоэтапную кибератаку, используя скомпрометированный законный веб-сайт и похожий домен. Ключевые методы включали использование полезной нагрузки RAR с двойным расширением, замаскированной под PDF, использование уязвимости Windows MMC (CVE-2025-26633) для внедрения кода и последующее выполнение скрытых полезных нагрузок PowerShell. Эта группа специализируется на скрытных кампаниях по краже информации, нацеленных на конфиденциальные данные с помощью социальной инженерии и усовершенствованных методик атак, включая эксплойты zero-day и пользовательские трояны удаленного доступа (RAT).
-----
Недавний анализ многоэтапной кибератаки, приписываемой APT-группировке Water Gamayun, выявил несколько сложных методов, используемых для успешной компрометации целей. Первоначальное нарушение было вызвано взломом законного веб-сайта и домена-двойника. Злоумышленники использовали полезную нагрузку RAR с двойным расширением, замаскированную под PDF-файл, что воспользовалось доверием пользователей. Критически важным для этой атаки было использование уязвимости Windows MMC, в частности CVE-2025-26633, которая позволяла внедрять вредоносный код в законный mmc.exe процесс. Эта эксплуатация позволяла выполнять скрытые полезные нагрузки PowerShell, эффективно скрывая вредоносные действия от обнаружения пользователем.
Реконструкция, предоставленная командой Zscaler по поиску угроз, выявила сложную схему атаки, использующую команды, относящиеся к конкретной задаче, в консоли управления Microsoft (MMC) для инициирования этапов вредоносного по с использованием многоуровневых методов запутывания. Чтобы сохранить видимость законного взаимодействия с пользователем, был развернут поддельный документ, и злоумышленники использовали защищенный паролем архив наряду с небольшим .Класс NET, предназначенный для скрытия процессов. Деятельность группы компаний "Water Gamayun" демонстрирует уникальное мастерство, характеризующееся обфускацией сигнатур, двухсторонней инфраструктурой и специфической тактикой социальной инженерии.
Water Gamayun, идентифицированная как вероятная российская APT-группировка, стала заметным злоумышленником, специализирующимся на тайных кампаниях по краже информации, нацеленных как на правительственные, так и на корпоративные сети. Их основное внимание уделяется эксфильтрации конфиденциальных данных, сбору учетных записей и поддержанию долговременного закрепления с использованием пользовательских троянов удаленного доступа (RAT). За прошедший год группа усовершенствовала свою методологию атак, в частности, включив использование zero-day и выполнение доверенных двоичных прокси-серверов для эффективного обхода современных средств защиты от кибербезопасности.
Приписывание этой конкретной кампании Water Gamayun подкрепляется последовательными выводами по целому ряду доказательных источников, включая наблюдаемые тактики, методы и процедуры (TTP). Аналитики Zscaler используют эти данные для упреждающего поиска возникающих угроз и индикаторов, связанных с поведением противника. Их подход к расследованию включает в себя проверку загрузок с вводящими в заблуждение расширениями файлов, мониторинг сетевого трафика на подозрительные домены и тщательное изучение использования доверенных двоичных файлов при выполнении вредоносных задач.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка Water Gamayun, предположительно российского происхождения, осуществила многоэтапную кибератаку, используя скомпрометированный законный веб-сайт и похожий домен. Ключевые методы включали использование полезной нагрузки RAR с двойным расширением, замаскированной под PDF, использование уязвимости Windows MMC (CVE-2025-26633) для внедрения кода и последующее выполнение скрытых полезных нагрузок PowerShell. Эта группа специализируется на скрытных кампаниях по краже информации, нацеленных на конфиденциальные данные с помощью социальной инженерии и усовершенствованных методик атак, включая эксплойты zero-day и пользовательские трояны удаленного доступа (RAT).
-----
Недавний анализ многоэтапной кибератаки, приписываемой APT-группировке Water Gamayun, выявил несколько сложных методов, используемых для успешной компрометации целей. Первоначальное нарушение было вызвано взломом законного веб-сайта и домена-двойника. Злоумышленники использовали полезную нагрузку RAR с двойным расширением, замаскированную под PDF-файл, что воспользовалось доверием пользователей. Критически важным для этой атаки было использование уязвимости Windows MMC, в частности CVE-2025-26633, которая позволяла внедрять вредоносный код в законный mmc.exe процесс. Эта эксплуатация позволяла выполнять скрытые полезные нагрузки PowerShell, эффективно скрывая вредоносные действия от обнаружения пользователем.
Реконструкция, предоставленная командой Zscaler по поиску угроз, выявила сложную схему атаки, использующую команды, относящиеся к конкретной задаче, в консоли управления Microsoft (MMC) для инициирования этапов вредоносного по с использованием многоуровневых методов запутывания. Чтобы сохранить видимость законного взаимодействия с пользователем, был развернут поддельный документ, и злоумышленники использовали защищенный паролем архив наряду с небольшим .Класс NET, предназначенный для скрытия процессов. Деятельность группы компаний "Water Gamayun" демонстрирует уникальное мастерство, характеризующееся обфускацией сигнатур, двухсторонней инфраструктурой и специфической тактикой социальной инженерии.
Water Gamayun, идентифицированная как вероятная российская APT-группировка, стала заметным злоумышленником, специализирующимся на тайных кампаниях по краже информации, нацеленных как на правительственные, так и на корпоративные сети. Их основное внимание уделяется эксфильтрации конфиденциальных данных, сбору учетных записей и поддержанию долговременного закрепления с использованием пользовательских троянов удаленного доступа (RAT). За прошедший год группа усовершенствовала свою методологию атак, в частности, включив использование zero-day и выполнение доверенных двоичных прокси-серверов для эффективного обхода современных средств защиты от кибербезопасности.
Приписывание этой конкретной кампании Water Gamayun подкрепляется последовательными выводами по целому ряду доказательных источников, включая наблюдаемые тактики, методы и процедуры (TTP). Аналитики Zscaler используют эти данные для упреждающего поиска возникающих угроз и индикаторов, связанных с поведением противника. Их подход к расследованию включает в себя проверку загрузок с вводящими в заблуждение расширениями файлов, мониторинг сетевого трафика на подозрительные домены и тщательное изучение использования доверенных двоичных файлов при выполнении вредоносных задач.
#ParsedReport #CompletenessHigh
26-11-2025
FlexibleFerret malware continues to strike
https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/
Report completeness: High
Actors/Campaigns:
Contagious_interview
Threats:
Flexibleferret
Terminalfix_technique
Victims:
Job seekers
Industry:
Financial
Geo:
Dprk
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1056.003, T1059, T1059.007, T1071.001, T1105, T1189, T1204, T1566, T1567.002, have more...
IOCs:
Domain: 5
Url: 9
File: 3
Hash: 9
IP: 1
Soft:
macOS, curl, Chrome, Dropbox, Gatekeeper
Algorithms:
zip
Functions:
RunDLL_5179_Main, generate_5179_UUID, RunDLL, main, recover
Win API:
DllRegisterServer
Languages:
javascript, golang
Platforms:
arm, intel
26-11-2025
FlexibleFerret malware continues to strike
https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/
Report completeness: High
Actors/Campaigns:
Contagious_interview
Threats:
Flexibleferret
Terminalfix_technique
Victims:
Job seekers
Industry:
Financial
Geo:
Dprk
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1056.003, T1059, T1059.007, T1071.001, T1105, T1189, T1204, T1566, T1567.002, have more...
IOCs:
Domain: 5
Url: 9
File: 3
Hash: 9
IP: 1
Soft:
macOS, curl, Chrome, Dropbox, Gatekeeper
Algorithms:
zip
Functions:
RunDLL_5179_Main, generate_5179_UUID, RunDLL, main, recover
Win API:
DllRegisterServer
Languages:
javascript, golang
Platforms:
arm, intel
Jamf
FlexibleFerret: macOS Malware Deploys in Fake Job Scams
Jamf Threat Labs analyzes the FlexibleFerret macOS malware, a threat that uses fake recruitment lures and social engineering to infect systems and steal credentials.
CTT Report Hub
#ParsedReport #CompletenessHigh 26-11-2025 FlexibleFerret malware continues to strike https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/ Report completeness: High Actors/Campaigns: Contagious_interview Threats: Flexibleferret Terminalfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
FlexibleFerret - семейство связанных с Северной Кореей вредоносных ПО, используемых в схемах социальной инженерии, которые нацелены на отдельных лиц с помощью поддельных процессов найма на работу. Жертв направляют на обманчивые веб-сайты и обманом заставляют выполнять команды, которые компрометируют их учетные данные и конфиденциальную информацию. Вредоносное ПО содержит бэкдор на базе Golang под названием CDrivers, который поддерживает цикл обработки команд для связи с сервером C2 и включает обработку ошибок для обеспечения закрепления даже во время сбоев в выполнении.
-----
FlexibleFerret - семейство вредоносных ПО, приписываемое операторам, связанным с Северной Кореей, и идентифицированное как часть вредоносной схемы, нацеленной на отдельных лиц с помощью поддельных процессов найма. Вредоносное ПО внедряется с помощью тактики социальной инженерии, в частности, с помощью ложных оценок вакансий, которые требуют от кандидатов выполнять команды на их терминале, тем самым компрометируя учетные данные и конфиденциальную информацию.
Атака начинается с создания обманчивых веб-сайтов по подбору персонала, таких как evaluza.com, предназначенных для того, чтобы убедить потенциальных жертв в том, что они участвуют в законном процессе найма. Людей часто обманывают, заставляя загружать личные видеоролики и предоставлять подробную информацию под видом заявления о приеме на работу. Как только жертва заходит на эти сайты, ей предоставляется приложение-приманка, имитирующее запросы браузера, якобы запрашивающее доступ к камере и данные для входа в систему. Затем эти данные собираются и отправляются на аккаунт Dropbox, управляемый злоумышленниками.
Реализация вредоносного ПО включает в себя проект Golang под названием CDrivers, который служит Backdoor. Как только жертва поймана в ловушку, бэкдор переходит в постоянный цикл обработки команд, известный как StartFirst5179Iter. Этот цикл непрерывно выполняет команды следующим образом: он вызывает обработчики для текущего типа команды, создает исходящие сообщения с идентификатором машины и подготавливает данные для обмена с сервером команд и контроля (C2) через функцию, называемую Htxp_Exchange. Кроме того, бэкдор обрабатывает ответы от сервера C2 для декодирования следующей команды для выполнения, поддерживая цикл, который может адаптироваться к вводимым данным от злоумышленника.
Существенной особенностью этого бэкдора является его механизм обработки ошибок; если во время выполнения команды происходит сбой, он сбрасывает тип команды на безвредный запрос системной информации и переходит в спящий режим на пять минут, обеспечивая продолжение работы, несмотря на временные сбои. Вредоносное ПО FlexibleFerret является примером того, как можно использовать убедительные схемы подбора персонала для обхода существующих мер безопасности, таких как Gatekeeper в macOS.
Организациям необходимо сохранять бдительность в отношении нежелательных проверок рабочих мест, особенно тех, кто запрашивает команды с терминала, поскольку ожидается, что эти угрозы будут возникать все чаще. Внимание к осведомленности и сообщению о таких нежелательных запросах имеет решающее значение для снижения риска, связанного с развитием тактики социальной инженерии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
FlexibleFerret - семейство связанных с Северной Кореей вредоносных ПО, используемых в схемах социальной инженерии, которые нацелены на отдельных лиц с помощью поддельных процессов найма на работу. Жертв направляют на обманчивые веб-сайты и обманом заставляют выполнять команды, которые компрометируют их учетные данные и конфиденциальную информацию. Вредоносное ПО содержит бэкдор на базе Golang под названием CDrivers, который поддерживает цикл обработки команд для связи с сервером C2 и включает обработку ошибок для обеспечения закрепления даже во время сбоев в выполнении.
-----
FlexibleFerret - семейство вредоносных ПО, приписываемое операторам, связанным с Северной Кореей, и идентифицированное как часть вредоносной схемы, нацеленной на отдельных лиц с помощью поддельных процессов найма. Вредоносное ПО внедряется с помощью тактики социальной инженерии, в частности, с помощью ложных оценок вакансий, которые требуют от кандидатов выполнять команды на их терминале, тем самым компрометируя учетные данные и конфиденциальную информацию.
Атака начинается с создания обманчивых веб-сайтов по подбору персонала, таких как evaluza.com, предназначенных для того, чтобы убедить потенциальных жертв в том, что они участвуют в законном процессе найма. Людей часто обманывают, заставляя загружать личные видеоролики и предоставлять подробную информацию под видом заявления о приеме на работу. Как только жертва заходит на эти сайты, ей предоставляется приложение-приманка, имитирующее запросы браузера, якобы запрашивающее доступ к камере и данные для входа в систему. Затем эти данные собираются и отправляются на аккаунт Dropbox, управляемый злоумышленниками.
Реализация вредоносного ПО включает в себя проект Golang под названием CDrivers, который служит Backdoor. Как только жертва поймана в ловушку, бэкдор переходит в постоянный цикл обработки команд, известный как StartFirst5179Iter. Этот цикл непрерывно выполняет команды следующим образом: он вызывает обработчики для текущего типа команды, создает исходящие сообщения с идентификатором машины и подготавливает данные для обмена с сервером команд и контроля (C2) через функцию, называемую Htxp_Exchange. Кроме того, бэкдор обрабатывает ответы от сервера C2 для декодирования следующей команды для выполнения, поддерживая цикл, который может адаптироваться к вводимым данным от злоумышленника.
Существенной особенностью этого бэкдора является его механизм обработки ошибок; если во время выполнения команды происходит сбой, он сбрасывает тип команды на безвредный запрос системной информации и переходит в спящий режим на пять минут, обеспечивая продолжение работы, несмотря на временные сбои. Вредоносное ПО FlexibleFerret является примером того, как можно использовать убедительные схемы подбора персонала для обхода существующих мер безопасности, таких как Gatekeeper в macOS.
Организациям необходимо сохранять бдительность в отношении нежелательных проверок рабочих мест, особенно тех, кто запрашивает команды с терминала, поскольку ожидается, что эти угрозы будут возникать все чаще. Внимание к осведомленности и сообщению о таких нежелательных запросах имеет решающее значение для снижения риска, связанного с развитием тактики социальной инженерии.
#ParsedReport #CompletenessLow
26-11-2025
Whisper Leak: A novel side-channel attack on remote language models
https://www.microsoft.com/en-us/security/blog/2025/11/07/whisper-leak-a-novel-side-channel-cyberattack-on-remote-language-models/
Report completeness: Low
Victims:
Ai chatbot users
Industry:
Government, Healthcare
Geo:
San francisco
ChatGPT TTPs:
T1040
IOCs:
File: 1
Soft:
Microsoft Defender
Algorithms:
aes-gcm, ecdh, chacha20, aes
Links:
26-11-2025
Whisper Leak: A novel side-channel attack on remote language models
https://www.microsoft.com/en-us/security/blog/2025/11/07/whisper-leak-a-novel-side-channel-cyberattack-on-remote-language-models/
Report completeness: Low
Victims:
Ai chatbot users
Industry:
Government, Healthcare
Geo:
San francisco
ChatGPT TTPs:
do not use without manual checkT1040
IOCs:
File: 1
Soft:
Microsoft Defender
Algorithms:
aes-gcm, ecdh, chacha20, aes
Links:
http://github.com/yo-yo-yo-jbo/whisper\_leakMicrosoft News
Whisper Leak: A novel side-channel attack on remote language models
Understand the risks of encrypted AI traffic exposure and explore practical steps users and cloud providers can take to stay secure. Learn more.
CTT Report Hub
#ParsedReport #CompletenessLow 26-11-2025 Whisper Leak: A novel side-channel attack on remote language models https://www.microsoft.com/en-us/security/blog/2025/11/07/whisper-leak-a-novel-side-channel-cyberattack-on-remote-language-models/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака по побочному каналу "Whisper Leak" использует уязвимости в чат-ботах на базе искусственного интеллекта, особенно в таких деликатных контекстах, как здравоохранение и юридические консультации, путем анализа структуры трафика данных, чтобы отличить обсуждения по конкретным темам, таким как законность, от общей болтовни. Используя эту методологию, злоумышленники потенциально могут раскрыть конфиденциальные пользовательские данные, поскольку моделирование показывает, что даже незначительные обсуждения конфиденциальных тем среди несвязанных разговоров создают значительные риски для конфиденциальности. Это подчеркивает настоятельную необходимость эффективных мер по анонимизации и шифрованию в коммуникациях с использованием искусственного интеллекта.
-----
Разработка чат-ботов на базе искусственного интеллекта привела к растущей обеспокоенности по поводу конфиденциальности взаимодействий, особенно в таких деликатных ситуациях, как здравоохранение и юридические консультации. Внедрение новой атаки по побочному каналу, называемой "Whisper Leak", выявляет уязвимости в моделях удаленного языка, которые потенциально могут раскрыть конфиденциальные пользовательские данные. Эта методология атаки использует предсказуемость разговоров, выделяя конкретную тему — такую как "законность отмывания денег" — из общих обсуждений посредством анализа закономерностей в трафике данных.
Атаки по побочным каналам обычно нацелены на криптографические реализации путем мониторинга таких аспектов, как энергопотребление и время извлечения секретных ключей. В этом случае атака Whisper Leak использует аналогичные принципы, обучая классификатор различать целевую чувствительную тему и фоновый шум, создаваемый несвязанными разговорами. Моделирование показывает, что даже при незначительном присутствии конфиденциальной темы в большом наборе данных существует значительный риск компрометации пользовательских данных. Это означает, что кибератакующие могли бы эффективно отслеживать разговоры в режиме реального времени, вызывая серьезные этические проблемы и проблемы безопасности в отношении конфиденциальности пользователей.
Чтобы снизить риски, связанные с этой уязвимостью, пользователям рекомендуется воздерживаться от обсуждения деликатных тем с помощью чат-ботов с искусственным интеллектом, особенно в ненадежных сетях. Рекомендуется использовать VPN-сервисы для дополнительной безопасности, выбирать поставщиков, у которых действуют надежные меры конфиденциальности, и выбирать модели, не связанные с потоковой передачей. Постоянное обновление протоколов безопасности поставщиков также имеет решающее значение для обеспечения безопасности взаимодействий в контексте растущего использования искусственного интеллекта. Атака Whisper Leak подчеркивает важность эффективной анонимизации и шифрования для поддержания целостности и конфиденциальности коммуникаций с системами искусственного интеллекта.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака по побочному каналу "Whisper Leak" использует уязвимости в чат-ботах на базе искусственного интеллекта, особенно в таких деликатных контекстах, как здравоохранение и юридические консультации, путем анализа структуры трафика данных, чтобы отличить обсуждения по конкретным темам, таким как законность, от общей болтовни. Используя эту методологию, злоумышленники потенциально могут раскрыть конфиденциальные пользовательские данные, поскольку моделирование показывает, что даже незначительные обсуждения конфиденциальных тем среди несвязанных разговоров создают значительные риски для конфиденциальности. Это подчеркивает настоятельную необходимость эффективных мер по анонимизации и шифрованию в коммуникациях с использованием искусственного интеллекта.
-----
Разработка чат-ботов на базе искусственного интеллекта привела к растущей обеспокоенности по поводу конфиденциальности взаимодействий, особенно в таких деликатных ситуациях, как здравоохранение и юридические консультации. Внедрение новой атаки по побочному каналу, называемой "Whisper Leak", выявляет уязвимости в моделях удаленного языка, которые потенциально могут раскрыть конфиденциальные пользовательские данные. Эта методология атаки использует предсказуемость разговоров, выделяя конкретную тему — такую как "законность отмывания денег" — из общих обсуждений посредством анализа закономерностей в трафике данных.
Атаки по побочным каналам обычно нацелены на криптографические реализации путем мониторинга таких аспектов, как энергопотребление и время извлечения секретных ключей. В этом случае атака Whisper Leak использует аналогичные принципы, обучая классификатор различать целевую чувствительную тему и фоновый шум, создаваемый несвязанными разговорами. Моделирование показывает, что даже при незначительном присутствии конфиденциальной темы в большом наборе данных существует значительный риск компрометации пользовательских данных. Это означает, что кибератакующие могли бы эффективно отслеживать разговоры в режиме реального времени, вызывая серьезные этические проблемы и проблемы безопасности в отношении конфиденциальности пользователей.
Чтобы снизить риски, связанные с этой уязвимостью, пользователям рекомендуется воздерживаться от обсуждения деликатных тем с помощью чат-ботов с искусственным интеллектом, особенно в ненадежных сетях. Рекомендуется использовать VPN-сервисы для дополнительной безопасности, выбирать поставщиков, у которых действуют надежные меры конфиденциальности, и выбирать модели, не связанные с потоковой передачей. Постоянное обновление протоколов безопасности поставщиков также имеет решающее значение для обеспечения безопасности взаимодействий в контексте растущего использования искусственного интеллекта. Атака Whisper Leak подчеркивает важность эффективной анонимизации и шифрования для поддержания целостности и конфиденциальности коммуникаций с системами искусственного интеллекта.
#ParsedReport #CompletenessMedium
26-11-2025
Fake adult websites pop realistic Windows Update screen to deliver stealers via ClickFix
https://www.acronis.com/en/tru/posts/fake-adult-websites-pop-realistic-windows-update-screen-to-deliver-stealers-via-clickfix/
Report completeness: Medium
Threats:
Clickfix_technique
Jackfix_technique
Rhadamanthys
Vidar_stealer
Redline_stealer
Amadey
Filefix_technique
Junk_code_technique
Victims:
Consumers, Adult site visitors
Industry:
Education, Financial, Government
Geo:
Guinea, Australia, Russian, Indonesia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059, T1059.001, T1105, T1140, T1189, T1204, T1204.002, T1566.002, have more...
IOCs:
File: 1
Domain: 31
IP: 11
Soft:
Windows Security, Steam, Telegram, Chrome, Firefox, Microsoft Defender, twitter
Algorithms:
xor, aes, base64
Win Services:
bits
Languages:
powershell, javascript
26-11-2025
Fake adult websites pop realistic Windows Update screen to deliver stealers via ClickFix
https://www.acronis.com/en/tru/posts/fake-adult-websites-pop-realistic-windows-update-screen-to-deliver-stealers-via-clickfix/
Report completeness: Medium
Threats:
Clickfix_technique
Jackfix_technique
Rhadamanthys
Vidar_stealer
Redline_stealer
Amadey
Filefix_technique
Junk_code_technique
Victims:
Consumers, Adult site visitors
Industry:
Education, Financial, Government
Geo:
Guinea, Australia, Russian, Indonesia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1059.001, T1105, T1140, T1189, T1204, T1204.002, T1566.002, have more...
IOCs:
File: 1
Domain: 31
IP: 11
Soft:
Windows Security, Steam, Telegram, Chrome, Firefox, Microsoft Defender, twitter
Algorithms:
xor, aes, base64
Win Services:
bits
Languages:
powershell, javascript
Acronis
Fake adult websites pop realistic Windows Update screen to deliver stealers via ClickFix
Acronis TRU researchers have discovered an ongoing campaign that leverages a novel combination of screen hijacking techniques with ClickFix, displaying a realistic, full-screen Windows Update of “Critical Windows Security Updates” to trick victims into executing…