#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака NeoShadow npm supply-chain использует многоступенчатый загрузчик в JavaScript, найденный в scripts/setup.js , нацеленный на системы Windows для извлечения и запуска троянца удаленного доступа (RAT). Он извлекает URL-адрес сервера управления (C2) из смарт-контракта Ethereum и маскирует вредоносную полезную нагрузку под законный код, используя такие методы, как кодирование Base64 и внедрение расширенного постоянного соединения (APC), чтобы избежать обнаружения. RAT поддерживает защищенную связь C2 с использованием шифрования ChaCha20 и использует исправления ETW для сокрытия своей деятельности, создавая основу для дальнейших вредоносных программ, таких как кейлоггеры или Ransomware.
-----

Атака NeoShadow npm на supply-chain характеризуется многоступенчатым загрузчиком, разработанным в виде вредоносного файла JavaScript, находящегося в scripts/setup.js файл в различных пакетах. Этот загрузчик работает исключительно в системах Windows. Его основная функция заключается в облегчении поиска и запуска сложного троянца удаленного доступа (RAT) путем выполнения определенных этапов.

Атака изначально использует технологию блокчейн для динамической настройки. Он запрашивает смарт-контракт Ethereum через Etherscan API для извлечения URL-адреса сервера управления (C2), возвращаясь к жестко закодированному домену в случае сбоя запроса блокчейна. На последующем этапе загрузчик ищет удаленный файл JavaScript, замаскированный под код аналитики, который содержит полезную нагрузку в кодировке Base64, скрытую в комментарии, служащую исключительно хранилищем для фактического исполняемого кода.

Анализ полезной нагрузки показывает ее преобразование в исполняемый шелл-код. Вредоносный процесс начинается с приостановки RuntimeBroker.exe , где он вводит шелл-код с использованием метода APC injection через QueueUserAPC с последующим ResumeThread. Такая конструкция позволяет вредоносному ПО обходить стандартные механизмы обнаружения.

После ввода в эксплуатацию конечная полезная нагрузка действует как универсальный бэкдор, подключаясь к контуру маяка для связи с сервером C2, передавая системную информацию и запрашивая дальнейшие указания. Этот RAT эффективен и предназначен для долгосрочного доступа; он устанавливает защищенный канал связи с использованием шифрования ChaCha20 с ключами, сгенерированными с помощью Curve25519 ECDH.

Набор команд вредоносного ПО позволяет извлекать полезную нагрузку с различных URL-адресов, имея возможности обрабатывать как библиотеки DLL, так и шелл-код, используя сложные методы внедрения, чтобы избежать обнаружения. Минималистичный характер RAT помогает оставаться незаметным, одновременно зарекомендовав себя как базовый уровень для потенциального вторичного, более вредоносного вредоносного ПО, такого как кейлоггеры или Ransomware.

Чтобы скрыть свою деятельность, вредоносное ПО использует такие методы, как исправление ETW (Event Tracing for Windows), что затрудняет видимость продуктов безопасности, которые полагаются на ETW для обнаружения. Кроме того, сервер C2, идентифицированный как metrics-flow.com , демонстрирует поведение, направленное на маскировку своих злонамеренных намерений, предоставляя рандомизированный контент, чтобы ввести в заблуждение автоматизированные системы обнаружения и аналитиков.

Первоначальные наблюдения были сосредоточены на версии вредоносных пакетов, развернутых 30 декабря 2025 года, а последующая версия, выпущенная 2 января 2026 года, включала исполняемый файл Windows с именем analytics.node, который остался незамеченным антивирусными решениями.

Таким образом, атака NeoShadow является примером хорошо скоординированного компрометирования supply-chain, использующего инновационные методы доставки и методы оперативной безопасности для поддержания скрытности и постоянства, что делает ее заметной проблемой для аналитиков и профессионалов в области кибербезопасности.

#ParsedReport #CompletenessLow
05-01-2026

Gamaredon: Same Goal, Fewer Fingerprints

https://blog.synapticsystems.de/gamaredon-same-goal-fewer-fingerprints/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Gamawiper
Litterdrifter

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1480

IOCs:
Hash: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon сместился свою главную вредоносное ПО от Pterodo в GamaWiper, знаменуя переход к активной киберугроз уже 22 декабря 2025 года. Группа также представила управления потоком шума в виде помутнения рассудка, повышения их анти-анализ возможностей за счет усложнения четкость исполнения своих вредоносное ПО. Эта тактическая эволюция подчеркивает свое намерение сорвать усилия обнаружения во время эксплуатации существующих уязвимостей системы.
-----

Gamaredon, злоумышленник, известный своими кибероперациями, продемонстрировал стратегический сдвиг в своей тактике борьбы с вредоносным ПО, особенно в недавнем использовании GamaWiper, заменив ранее наблюдавшийся Pterodo в качестве основной полезной нагрузки в аналитических средах. Этот переход знаменует собой поворотный момент для Gamaredon, поскольку начиная с 22 декабря 2025 года он переходит от фазы пассивного наблюдения к более активному реагированию на киберугрозы.

Примечательное изменение в их тактике включает введение шума потока управления, который является формой запутывания, выходящей за рамки традиционных методов сокрытия строк. Вместо этого он фокусируется на маскировке четкости выполнения в рамках работы вредоносного ПО, что усложняет аналитикам анализ поведения вредоносного ПО в ходе расследования. Это изменение является частью развивающейся стратегии Gamaredon's по борьбе с анализом, которая адаптирует поведение при доставке на основе характеристик контекста выполнения, с которым она сталкивается.

Изменения, внедренные Gamaredon, не являются чрезмерно сложными; скорее, они демонстрируют продуманный подход, позволяющий создать ровно столько операционных проблем, чтобы помешать усилиям по анализу вредоносного ПО. Это подчеркивает намерение актора поддерживать эффективность, одновременно усложняя обнаружение и понимание их тактики. Такая эволюция в поведении вредоносного ПО способствует усилению сохраняющихся уязвимостей в системах, нацеленных на такие сложные целенаправленные угрозы.

#ParsedReport #CompletenessLow
05-01-2026

Large-Scale Parasite SEO Campaign Using Amazon Style Pages on Cloudflare Pages

https://malwr-analysis.com/2026/01/05/large-scale-parasite-seo-campaign-using-amazon-style-pages-on-cloudflare-pages/

Report completeness: Low

Actors/Campaigns:
Slot_gacor

Threats:
Credential_harvesting_technique
Seo_poisoning_technique

Industry:
Government, Ngo

Geo:
Thailand

ChatGPT TTPs:
do not use without manual check
T1036, T1583.006, T1585.001, T1650

IOCs:
Domain: 7

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В киберкампании используются методы SEO-паразитов, которые создают поддельные страницы товаров, похожие на Amazon, заполненные SEO-спамом, связанным с азартными играми, для манипулирования рейтингами в поисковых системах. Злоумышленники используют теги canonical, чтобы ложно представить эти страницы как легитимные, используя метаданные Open Graph и структурированные данные для повышения видимости и нанесения ущерба репутации подлинных сайтов. Использование таких платформ, как Cloudflare Pages, позволяет этим вредоносным страницам поддерживать постоянное присутствие в Сети, подчеркивая изощренность тактики в этих обширных усилиях по SEO-манипулированию.
-----

Была выявлена крупномасштабная киберкампания, использующая методологию паразитного SEO, которая использует поддельные страницы товаров, имитирующие дизайн Amazon. Злоумышленники внедряют шаблон, который включает HTML-элементы, стилизованные под законные списки товаров Amazon, которые затем заполняются SEO-спамом, относящимся к азартным играм. Эта стратегия направлена на манипулирование результатами поисковой системы с целью ложного повышения видимости вредоносного контента.

В ходе атаки используются различные технические механизмы, в частности, используются теги canonical, метаданные Open Graph и поля структурированных данных. Теги Canonical используются для представления поддельных страниц как законных альтернатив подлинным продуктам, что снижает рейтинг репутации не связанных с ними законных веб-сайтов. Эта манипуляция может привести к снижению видимости поиска для жертв, в то время как злоумышленники повышают рейтинг своего спам-контента в результатах поиска.

Кроме того, использование страниц Cloudflare для размещения этих вводящих в заблуждение страниц облегчает постоянное присутствие в Сети и позволяет избежать обнаружения в течение длительного периода. Этот метод не только подрывает достоверность результатов поисковой системы, но и угрожает целостности брендов, которые ненадлежащим образом ассоциируются со спамом, связанным с азартными играми. Злоупотребление устоявшимися веб-технологиями и платформами подчеркивает изощренную тактику, используемую злоумышленниками для проведения этой масштабной кампании по манипулированию SEO.

#ParsedReport #CompletenessLow
06-01-2026

QuasarRAT (xRAT) malware being distributed via webhards (adult gaming)

https://asec.ahnlab.com/ko/91835/

Report completeness: Low

Threats:
Quasar_rat
Xrat_rat
Njrat
Xworm_rat

Victims:
Webhard users, Adult gaming users

Industry:
Entertainment

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1036

IOCs:
File: 8
Hash: 4
Domain: 1

Soft:
Event Tracing for Windows

Algorithms:
zip, md5, aes

Functions:
EtwEventWrite

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
xRAT, или QuasarRAT - троянец удаленного доступа, распространенный в Южной Корее, в основном распространяемый через платформы webhard, выдающий себя за игровой контент для взрослых. Это предоставляет злоумышленникам широкий контроль над зараженными системами, позволяя им выполнять команды, перехватывать нажатия клавиш и извлекать данные. То, что вредоносное ПО нацелено на определенную демографическую группу, свидетельствует о преднамеренной эксплуатации со стороны злоумышленников, выявляющих уязвимости в программной экосистеме этих платформ.
-----

xRAT, также известный как QuasarRAT, превратился в серьезную угрозу в корейском киберпространстве, особенно известный своим распространением через платформы webhard, Маскировкой под игровой контент для взрослых. Эти веб-карты являются популярными файлообменными сервисами, используемыми в Южной Корее, которые позволяют пользователям загружать различные типы носителей. Рост распространения вредоносного ПО через такие платформы подчеркивает распространенную угрозу тактики социальной инженерии, используемой для заманивания ничего не подозревающих пользователей к загрузке Вредоносных файлов.

QuasarRAT - это троян удаленного доступа (RAT), который предоставляет злоумышленникам широкий контроль над зараженными системами. После развертывания он позволяет киберпреступникам удаленно выполнять команды, фиксировать нажатия клавиш, отслеживать активность на экране и потенциально извлекать конфиденциальные данные. Нацеливание на игровые платформы для взрослых предполагает продуманный подход злоумышленников к использованию демографических данных конкретных пользователей, что делает вредоносное ПО более привлекательным и увеличивает вероятность успешного заражения.

Продолжающееся распространение xRAT указывает на критическую уязвимость в программной экосистеме сайтов webhard, подчеркивая необходимость повышенной бдительности пользователей в отношении типов файлов, которые они выбирают для загрузки. Меры по кибербезопасности должны быть направлены на информирование пользователей о потенциальных рисках, связанных с загрузкой контента из непроверенных источников, особенно в области программного обеспечения для взрослых, где склонность к внедрению вредоносного ПО может быть значительно выше. В целом, рост xRAT представляет собой эволюционирующий ландшафт угроз, в котором пользователи должны проявлять осторожность, чтобы защитить свои системы от многогранных киберугроз.

#ParsedReport #CompletenessMedium
06-01-2026

Phishing actors exploit complex routing and misconfigurations to spoof domains

https://www.microsoft.com/en-us/security/blog/2026/01/06/phishing-actors-exploit-complex-routing-and-misconfigurations-to-spoof-domains/

Report completeness: Medium

Actors/Campaigns:
Storm-1747

Threats:
Tycoon_2fa
Bec_technique
Aitm_technique

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1566.003

IOCs:
IP: 8
Domain: 7

Soft:
Microsoft Defender, Microsoft Entra, Microsoft Exchange, Office 365, Microsoft Office 365, Microsoft Edge, Windows Hello, Twitter

Algorithms:
base64

Functions:
InternetMessageId

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы, занимающиеся фишингом, используют неправильно настроенные средства защиты от подделки доменов и сложную маршрутизацию для создания убедительных электронных писем, которые, как представляется, приходят с законных внутренних доменов, часто используя платформы фишинга как услуги, такие как Tycoon2FA. Ключевые уязвимости включают неадекватные настройки записи MX и слабые политики DMARC, позволяющие злоумышленникам отправлять поддельные электронные письма, напоминающие внутреннюю переписку. Эти попытки фишинга часто имитируют такие сервисы, как DocuSign или HR-уведомления, с целью обманом заставить получателей раскрыть свои учетные данные.
-----

Акторы, занимающиеся фишингом, все чаще используют сложные сценарии маршрутизации и неправильно настроенные средства защиты от подделки доменов для создания убедительных электронных писем с фишингом, которые, как представляется, исходят из законных внутренних доменов. Эта тактика часто предполагает использование платформ "фишинг как услуга", таких как Tycoon2FA, для распространения различных типов вредоносных сообщений. Приманки разнообразны и вращаются вокруг таких тем, как голосовая почта, общие документы или сообщения из отдела кадров, касающиеся конфиденциальных тем, таких как сброс пароля или изменение льгот, и все они направлены на выявление фишинга учетных данных.

Одной из критических уязвимостей, используемых злоумышленниками, является неадекватная конфигурация MX-записей и политики защиты от подделок. В случаях, когда MX-записи клиента не перенаправляются в Office 365 и отсутствуют строгие политики DMARC, злоумышленники могут отправлять поддельные электронные письма, которые, как представляется, приходят из домена организации. Чтобы противодействовать этому, важно внедрить строгие политики отклонения DMARC и параметры жесткого отказа SPF, а также надлежащие конфигурации любых сторонних почтовых соединителей.

Наблюдаемые попытки фишинга часто используют знакомую тактику, включая поддельные сервисы, такие как DocuSign, или Маскировку под сообщения отдела кадров, побуждая получателей переходить по ссылкам или сканировать QR-коды, ведущие на веб-сайты, занимающиеся фишингом. Заметной отличительной чертой этих атак является их внешний вид; в полях "От" и "Кому" в электронных письмах часто указывается один и тот же внутренний адрес, что повышает легитимность попыток фишинга.

Кроме того, Microsoft Threat Intelligence задокументировала финансовые аферы, проводимые с помощью этих поддельных электронных писем, часто напоминающих обсуждения между высокопоставленными руководителями и запросы, связанные с финансами. Такие сообщения могут не только вводить получателей в заблуждение, но и из—за отсутствия принудительной аутентификации, на что указывают разрешающие настройки DMARC, могут беспрепятственно проникать в почтовые ящики организации.

Чтобы смягчить последствия этих атак, организациям следует внедрить рекомендуемые конфигурации для соединителей почтового потока и применять более строгие методы проверки подлинности электронной почты. Скоординированные меры по обнаружению и предотвращению имеют решающее значение для всех конечных точек и систем электронной почты для эффективной борьбы с этими проблемами фишинга. Такие инструменты, как Microsoft Defender XDR, облегчают обнаружение подобных угроз и реагирование на них, предлагая интегрированную защиту различных ресурсов.

#ParsedReport #CompletenessLow
06-01-2026

The DocuSign Impersonation Wave with Real-Time Customizable LogoKit

https://www.group-ib.com/blog/docusign-impersonation-logokit/

Report completeness: Low

Threats:
Logokit_tool
Credential_harvesting_technique

Victims:
Docusign users

Industry:
Critical_infrastructure

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1102, T1204, T1204.001, T1566.002, T1583.006

IOCs:
IP: 6

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Число атак фишинга, выдаваемых за DocuSign, резко возросло в 2024 году, увеличившись на 22%, и было зарегистрировано более 193 000 инцидентов. Злоумышленники используют методы социальной инженерии, включая поддельные электронные письма и веб-сайты с динамическим credential-harvesting для обмана пользователей. Эти письма с фишингом часто содержат несоответствующие заголовки для ответа и URL-адреса, содержащие адрес электронной почты жертвы, что повышает их эффективность, в то время как технические индикаторы, такие как неудачная проверка SPF, сигнализируют о вредоносной активности.
-----

Растущая распространенность атак фишинга, особенно тех, которые выдают себя за DocuSign, подчеркивает заметную киберугрозу, использующую методы социальной инженерии для обмана пользователей и получения их учетных данных. В 2024 году активность фишинга выросла на 22%, при этом было зарегистрировано более 193 000 инцидентов, которые привели к значительным финансовым потерям.

Эти кампании фишинга обычно разворачиваются с помощью электронных писем, которые выглядят как законные запросы на проверку документов от DocuSign. Злоумышленники часто подделывают Адреса эл. почты, иногда имитируя собственный домен получателя для повышения доверия. Содержание этих электронных писем тщательно продумано, они адресованы пользователям по их именам для входа и содержат кнопки “Просмотреть документ”, которые ссылаются на веб-сайты, использующие credential-harvesting, созданные с использованием платформы LogoKit. Этот фреймворк позволяет злоумышленникам динамически генерировать убедительные страницы входа в систему, используя фирменные элементы в режиме реального времени, что требует минимальных усилий для создания обмана.

Ключевыми характеристиками таких писем с фишингом являются несовпадающие заголовки ответов, которые перенаправляют пользователей на несвязанные объекты, и URL-адреса, размещенные на таких платформах, как IPFS или AWS S3, часто содержащие адрес электронной почты жертвы в качестве части ссылки, - тактика, разработанная для персонализации и повышения эффективности фишинга. Такие ссылки ведут на страницы, использующие динамический сбор учетных записей, что делает их особенно коварными.

Признаки компрометации в этих атаках очевидны; например, в электронных письмах с фишингом обычно обнаруживаются неудачные проверки SPF из-за подмены отправителя. Дополнительные признаки вредоносного поведения обнаруживаются с помощью различных аналитических методов, которые определяют личность отправителя, проверяют содержимое на наличие признаков спама и анализируют URL-адреса на наличие известных шаблонов, связанных с предыдущими попытками фишинга.

Система защиты деловой электронной почты Group-IB (BEP) обеспечивает многоуровневый подход к обнаружению, предназначенный для эффективного противодействия таким угрозам. Он выявляет расхождения между заголовками "Ответить кому" и "От кого", распознает ненормальные ответы SPF и DKIM и использует машинное обучение для обозначения подозрительного содержимого электронной почты. Кроме того, BEP анализирует URL-адреса на предмет внедрения шаблонов, отражающих предыдущие атаки, тем самым обеспечивая защиту, которая блокирует попытки фишинга до того, как они дойдут до пользователя.

Продолжающаяся волна Имперсонации DocuSign не только иллюстрирует эволюцию тактики фишинга посредством неправильного использования бренда и адаптивного дизайна веб-страниц, но и подчеркивает необходимость надежных стратегий обнаружения для эффективного противодействия таким возникающим киберугрозам.

#ParsedReport #CompletenessMedium
07-01-2026

Malicious NPM Packages Deliver NodeCordRAT

https://www.zscaler.com/blogs/security-research/malicious-npm-packages-deliver-nodecordrat

Report completeness: Medium

Threats:
Nodecordrat
Supply_chain_technique
Typosquatting_technique

Victims:
Software developers, Cryptocurrency users

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 9
Email: 1
Hash: 3

Soft:
Discord, Chrome, Linux, macOS, Node.js

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
md5

Languages:
jscript, powershell, javascript

Links:
https://github.com/bitcoinjs
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Zscaler ThreatLabZ выявил три вредоносных пакета npm, предназначенных для доставки NodeCordRAT, троянца удаленного доступа (RAT), который нацелен на конфиденциальные данные браузера, такие как учетные данные Chrome и информация о метамасках. RAT использует Discord для командования и контроля, создавая частный канал для эксфильтрации команд и данных. Использование JavaScript в рамках Node.js среде, он собирает незащищенные учетные данные и может извлекать файлы и скриншоты из зараженной системы.
-----

В ноябре 2025 года Zscaler ThreatLabZ обнаружил три вредоносных пакета npm: bitcoin-main-lib, bitcoin-lib-js и bip40. Эти пакеты были разработаны для доставки NodeCordRAT, троянца удаленного доступа (RAT), который может красть конфиденциальную информацию. Пакеты bitcoin-main-lib и bitcoin-lib-js выполнили сценарий постустановки, который требовал установки bip40, который содержит фактическую вредоносную полезную нагрузку. Этот подход, включающий typosquatting, использовал имена, похожие на законные репозитории в проекте bitcoinjs, чтобы обманом заставить разработчиков загрузить эти вредоносные пакеты. Примечательно, что NodeCordRAT также можно загрузить автономно через пакет bip40, что позволяет ему обходить предыдущие установки.

NodeCordRAT предназначен для обработки различных конфиденциальных данных браузера, включая учетные данные Chrome, токены API и данные с криптовалютной платформы MetaMask. Примечательно, что ThreatLabZ сообщил о нескольких тысячах загрузок этих вредоносных пакетов, что указывает на значительную потенциальную базу пользователей, затронутых этой угрозой.

Технически, NodeCordRAT работает путем установления уникального идентификатора для каждой зараженной машины с помощью снятия отпечатков пальцев хоста и использует Discord для обмена данными между командами и контролем (C2). Этот RAT создает приватный канал в Discord после подключения к жестко запрограммированному серверу, облегчая эксфильтрацию команд и данных. Возможности вредоносного ПО включают сбор конфиденциальной информации из скомпрометированной системы и отправку ее обратно злоумышленнику по этому частному каналу.

Вредоносное ПО создано с использованием JavaScript и использует Node.js среда, выполняющая команды для сбора подробной системной информации и конфигурации сети. Он специально выполняет поиск незащищенных учетных данных в текстовых файлах и данных сеанса браузера, включая файлы cookie и сохраненные пароли. Кроме того, он может извлекать файлы из локальной системы и даже делать скриншоты активности пользователя.

NodeCordRAT использует Discord API в первую очередь для связи C2, используя структурированный канал для отправки команд и сбора информации. Собранные данные загружаются непосредственно через существующее соединение C2, что затрудняет жертвам отслеживание или остановку процесса эксфильтрации.