#ParsedReport #CompletenessLow
06-01-2026

The DocuSign Impersonation Wave with Real-Time Customizable LogoKit

https://www.group-ib.com/blog/docusign-impersonation-logokit/

Report completeness: Low

Threats:
Logokit_tool
Credential_harvesting_technique

Victims:
Docusign users

Industry:
Critical_infrastructure

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1102, T1204, T1204.001, T1566.002, T1583.006

IOCs:
IP: 6

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Число атак фишинга, выдаваемых за DocuSign, резко возросло в 2024 году, увеличившись на 22%, и было зарегистрировано более 193 000 инцидентов. Злоумышленники используют методы социальной инженерии, включая поддельные электронные письма и веб-сайты с динамическим credential-harvesting для обмана пользователей. Эти письма с фишингом часто содержат несоответствующие заголовки для ответа и URL-адреса, содержащие адрес электронной почты жертвы, что повышает их эффективность, в то время как технические индикаторы, такие как неудачная проверка SPF, сигнализируют о вредоносной активности.
-----

Растущая распространенность атак фишинга, особенно тех, которые выдают себя за DocuSign, подчеркивает заметную киберугрозу, использующую методы социальной инженерии для обмана пользователей и получения их учетных данных. В 2024 году активность фишинга выросла на 22%, при этом было зарегистрировано более 193 000 инцидентов, которые привели к значительным финансовым потерям.

Эти кампании фишинга обычно разворачиваются с помощью электронных писем, которые выглядят как законные запросы на проверку документов от DocuSign. Злоумышленники часто подделывают Адреса эл. почты, иногда имитируя собственный домен получателя для повышения доверия. Содержание этих электронных писем тщательно продумано, они адресованы пользователям по их именам для входа и содержат кнопки “Просмотреть документ”, которые ссылаются на веб-сайты, использующие credential-harvesting, созданные с использованием платформы LogoKit. Этот фреймворк позволяет злоумышленникам динамически генерировать убедительные страницы входа в систему, используя фирменные элементы в режиме реального времени, что требует минимальных усилий для создания обмана.

Ключевыми характеристиками таких писем с фишингом являются несовпадающие заголовки ответов, которые перенаправляют пользователей на несвязанные объекты, и URL-адреса, размещенные на таких платформах, как IPFS или AWS S3, часто содержащие адрес электронной почты жертвы в качестве части ссылки, - тактика, разработанная для персонализации и повышения эффективности фишинга. Такие ссылки ведут на страницы, использующие динамический сбор учетных записей, что делает их особенно коварными.

Признаки компрометации в этих атаках очевидны; например, в электронных письмах с фишингом обычно обнаруживаются неудачные проверки SPF из-за подмены отправителя. Дополнительные признаки вредоносного поведения обнаруживаются с помощью различных аналитических методов, которые определяют личность отправителя, проверяют содержимое на наличие признаков спама и анализируют URL-адреса на наличие известных шаблонов, связанных с предыдущими попытками фишинга.

Система защиты деловой электронной почты Group-IB (BEP) обеспечивает многоуровневый подход к обнаружению, предназначенный для эффективного противодействия таким угрозам. Он выявляет расхождения между заголовками "Ответить кому" и "От кого", распознает ненормальные ответы SPF и DKIM и использует машинное обучение для обозначения подозрительного содержимого электронной почты. Кроме того, BEP анализирует URL-адреса на предмет внедрения шаблонов, отражающих предыдущие атаки, тем самым обеспечивая защиту, которая блокирует попытки фишинга до того, как они дойдут до пользователя.

Продолжающаяся волна Имперсонации DocuSign не только иллюстрирует эволюцию тактики фишинга посредством неправильного использования бренда и адаптивного дизайна веб-страниц, но и подчеркивает необходимость надежных стратегий обнаружения для эффективного противодействия таким возникающим киберугрозам.

#ParsedReport #CompletenessMedium
07-01-2026

Malicious NPM Packages Deliver NodeCordRAT

https://www.zscaler.com/blogs/security-research/malicious-npm-packages-deliver-nodecordrat

Report completeness: Medium

Threats:
Nodecordrat
Supply_chain_technique
Typosquatting_technique

Victims:
Software developers, Cryptocurrency users

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 9
Email: 1
Hash: 3

Soft:
Discord, Chrome, Linux, macOS, Node.js

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
md5

Languages:
jscript, powershell, javascript

Links:
https://github.com/bitcoinjs
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Zscaler ThreatLabZ выявил три вредоносных пакета npm, предназначенных для доставки NodeCordRAT, троянца удаленного доступа (RAT), который нацелен на конфиденциальные данные браузера, такие как учетные данные Chrome и информация о метамасках. RAT использует Discord для командования и контроля, создавая частный канал для эксфильтрации команд и данных. Использование JavaScript в рамках Node.js среде, он собирает незащищенные учетные данные и может извлекать файлы и скриншоты из зараженной системы.
-----

В ноябре 2025 года Zscaler ThreatLabZ обнаружил три вредоносных пакета npm: bitcoin-main-lib, bitcoin-lib-js и bip40. Эти пакеты были разработаны для доставки NodeCordRAT, троянца удаленного доступа (RAT), который может красть конфиденциальную информацию. Пакеты bitcoin-main-lib и bitcoin-lib-js выполнили сценарий постустановки, который требовал установки bip40, который содержит фактическую вредоносную полезную нагрузку. Этот подход, включающий typosquatting, использовал имена, похожие на законные репозитории в проекте bitcoinjs, чтобы обманом заставить разработчиков загрузить эти вредоносные пакеты. Примечательно, что NodeCordRAT также можно загрузить автономно через пакет bip40, что позволяет ему обходить предыдущие установки.

NodeCordRAT предназначен для обработки различных конфиденциальных данных браузера, включая учетные данные Chrome, токены API и данные с криптовалютной платформы MetaMask. Примечательно, что ThreatLabZ сообщил о нескольких тысячах загрузок этих вредоносных пакетов, что указывает на значительную потенциальную базу пользователей, затронутых этой угрозой.

Технически, NodeCordRAT работает путем установления уникального идентификатора для каждой зараженной машины с помощью снятия отпечатков пальцев хоста и использует Discord для обмена данными между командами и контролем (C2). Этот RAT создает приватный канал в Discord после подключения к жестко запрограммированному серверу, облегчая эксфильтрацию команд и данных. Возможности вредоносного ПО включают сбор конфиденциальной информации из скомпрометированной системы и отправку ее обратно злоумышленнику по этому частному каналу.

Вредоносное ПО создано с использованием JavaScript и использует Node.js среда, выполняющая команды для сбора подробной системной информации и конфигурации сети. Он специально выполняет поиск незащищенных учетных данных в текстовых файлах и данных сеанса браузера, включая файлы cookie и сохраненные пароли. Кроме того, он может извлекать файлы из локальной системы и даже делать скриншоты активности пользователя.

NodeCordRAT использует Discord API в первую очередь для связи C2, используя структурированный канал для отправки команд и сбора информации. Собранные данные загружаются непосредственно через существующее соединение C2, что затрудняет жертвам отслеживание или остановку процесса эксфильтрации.

#ParsedReport #CompletenessLow
08-01-2026

Chrome Extensions Impersonate AI Tools to Steal ChatGPT & DeepSeek Chats

https://socradar.io/blog/chrome-extensions-steal-chatgpt-deepseek-chats/

Report completeness: Low

Victims:
Browser users

ChatGPT TTPs:
do not use without manual check
T1102, T1176

IOCs:
Hash: 2
Domain: 6

Soft:
Chrome, ChatGPT, DeepSeek, Claude

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена Вредоносная Кампания с использованием обманчивых расширений Chrome, выдающих себя за законные инструменты искусственного интеллекта, которая была загружена более чем 900 000 раз, прежде чем была раскрыта. Эти вредоносные расширения запрашивали у пользователей разрешения под видом аналитики, внедряя код для мониторинга активности в интернете и сбора конфиденциальных данных, включая URL-адреса, поисковые запросы и потенциально конфиденциальную информацию. Несмотря на их разоблачение, оба расширения оставались доступными в интернет-магазине Chrome в течение некоторого времени.
-----

Недавнее расследование выявило Вредоносную Кампанию с участием двух обманчивых расширений Chrome, которые выдавали себя за законные инструменты искусственного интеллекта. Эти расширения, предназначенные для сбора пользовательских данных, в совокупности собрали более 900 000 загрузок из интернет-магазина Chrome, прежде чем была раскрыта их вредоносная природа. Исследователи безопасности выявили, что после установки этих расширений пользователям было предложено авторизовать то, что якобы являлось анонимной аналитикой. После утверждения расширения развернули код, который отслеживал активность пользователей во всех открытых вкладках Chrome.

Типы данных, собираемых вредоносными расширениями, включали конфиденциальные разговоры в сеансах искусственного интеллекта, которые могли непреднамеренно содержать конфиденциальную информацию, деловые обсуждения и личные данные. Кроме того, расширения предоставляли полные URL-адреса всех открытых вкладок, потенциально раскрывая доступ к конфиденциальным или ограниченным ресурсам. Они также фиксировали поисковые запросы, в которых указывались темы исследований пользователей или следственные действия, а также параметры URL-адресов, которые могли привести к утечке идентификаторов или информации, связанной с сеансами пользователя.

После обнаружения этих угроз в конце декабря Google сообщила о расширениях. На тот момент, хотя у одного из них был удален статус рекомендуемого, оба они оставались доступными в интернет-магазине Chrome. Этот инцидент подчеркивает риски, связанные с кажущимися законными расширениями, которые могут злоупотребить доверием пользователей, что приводит к существенной компрометации данных.

#ParsedReport #CompletenessHigh
07-01-2026

Inside GoBruteforcer: AI-Generated Server Defaults, Weak Passwords, and Crypto-Focused Campaigns

https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/

Report completeness: High

Threats:
Gobruteforcer_botnet
Garbler_tool

Victims:
Crypto and blockchain projects, Linux servers

Industry:
Military, Financial, Government

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 10
Url: 1
File: 5
Coin: 1
IP: 4
Domain: 6

Soft:
curl, mysql, wordpress, wordpress:wordpress, phpMyAdmin, PostgreSQL, Linux, Docker

Wallets:
tron, harmony_wallet

Crypto:
binance

Algorithms:
sha256, md5

Languages:
perl, php

Platforms:
x86, arm, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoBruteforcer, модульный ботнет, написанный на Go, нацелен на серверы Linux, используя слабые пароли в таких сервисах, как FTP, MySQL, PostgreSQL и phpMyAdmin. Он распространяется через Веб-шеллы и IRC-ботов и особенно активен в отношении устаревших веб-стеков, таких как XAMPP, которые часто используют учетные данные по умолчанию. Ботнет использует систематические методы брутфорса, используя сервер управления для управления учетными данными и применяя тактику скрытности, чтобы оставаться незамеченным при компрометации более 50 000 серверов, особенно тех, которые связаны с криптовалютными проектами.
-----

GoBruteforcer - это модульный ботнет, нацеленный на серверы Linux с помощью слабых паролей и учетных данных, позволяющий использовать брутфорс для входа в такие сервисы, как FTP, MySQL, PostgreSQL и phpMyAdmin. По оценкам, более 50 000 серверов находятся под угрозой из-за конфигураций, созданных искусственным интеллектом, использующих предсказуемые имена пользователей и слабые пароли по умолчанию. Ботнет в основном распространяется через плохо защищенные FTP-сервисы, особенно в системах, использующих XAMPP, которые часто неправильно настроены для обеспечения безопасности. Он использует систематический брутфорс с использованием предопределенных списков учетных данных, управляемых сервером C2. Вредоносное ПО использует интеллектуальный выбор IP-адреса, проверяет службы перед попыткой входа в систему, используя жестко закодированные учетные данные для FTP и логины из C2-источников для MySQL и PostgreSQL. Модуль phpMyAdmin выполняет более сложные веб-взаимодействия через HTTP. GoBruteforcer скрывает свое присутствие с помощью изменений имен процессов и запланированных задач, обеспечивая закрепление и оперативную скрытность. Ботнет балансирует рабочие нагрузки на зараженных серверах, чтобы повысить производительность без перегрузки ресурсов. Использование неправильно сконфигурированных систем подчеркивает значительные угрозы, создаваемые автоматизированными инструментами в скомпрометированной инфраструктуре.

#ParsedReport #CompletenessLow
08-01-2026

NoName057(16) and DDoSia Project Analysis: Russias Most Persistent Hacktivist Operation

https://socradar.io/blog/noname05716-and-ddosia-project-analysis-russia/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism, propaganda)

Threats:
Ddosia_botnet
Synflood_technique
Udpflood_technique
Slowloris_technique

Victims:
Government bodies, Financial institutions, Media outlets, Nato member states, Ukraine supporters

Industry:
Financial, Iot, Government, Military

Geo:
Russias, Ukraine, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1082, T1204, T1498, T1499, T1562, T1583, T1587

Soft:
Linux, Android, Telegram

Algorithms:
aes-gcm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NoName057(16) - российская хактивистская группа, использующая проект DDoSia, который приглашает добровольцев установить программное обеспечение для запуска DDoS-атак на нацеленные объекты, такие как государственные и финансовые учреждения. С 2022 года проект развивался в течение пяти итераций, включая передовые методы уклонения, включая зашифрованную связь C2 и ротацию пользовательских агентов. DDoSia использует различные векторы атак и адаптирует стратегии, основанные на возможностях устройств филиалов, в то время как ее операции тесно связаны с геополитическими событиями.
-----

NoName057(16) и его проект DDoSia представляют собой высокоорганизованную операцию российских хактивистов, отличающуюся уникальным подходом к кибератаке. В отличие от традиционных ботнет, которые обычно используют уязвимости для компрометации систем без согласия пользователей, DDoSia работает по модели, при которой добровольцы добровольно устанавливают программное обеспечение для участия в DDoS-атаках на цели, определенные руководством группы. Эта модель использует психологические стратегии, включая пропаганду, геймификацию и криптовалютные стимулы, привлекая людей с минимальными техническими навыками, но добиваясь значительной операционной эффективности.

DDoSia претерпела быструю техническую эволюцию, продемонстрировав пять основных итераций с момента своего создания в 2022 году. В каждой версии представлены расширенные возможности уклонения, такие как зашифрованная связь по управлению (C2), ротация пользовательских агентов, широкое использование прокси-серверов и функции, направленные на антианализ. Группировка координирует свои атаки с геополитическими событиями и обычно запускает их в течение 24-72 часов после значительных событий, таких как расширение НАТО или санкции, связанные с военными действиями России на Украине. Профиль целей особенно широк: на государственные структуры приходится примерно 40-50% атак, на финансовые учреждения приходится 17-23%, а на средства массовой информации - 12-18%, в первую очередь ориентируясь на сторонников НАТО и Украины.

Платформа DDoSia использует несколько векторов атак, включая HTTP/HTTP2-флуды, TCP SYN floods, UDP floods, атаки Slowloris и использование TLS-рукопожатия. Используемые методы уклонения включают запутывание строк во время выполнения, шифрование AES-GCM и методы обхода систем защиты от ботов и обнаружения виртуальных машин. Кроме того, вредоносное ПО может динамически обновлять списки целей через серверы C2 без необходимости перераспределять двоичные файлы и может корректировать стратегии атак на основе возможностей устройств, используемых аффилированными лицами.

Помимо технических аспектов своей деятельности, NoName057(16) эффективно использует сложные пропагандистские стратегии, управляя активными Telegram-каналами с большим количеством подписчиков, чтобы способствовать вовлечению и поддержке. Учитывая сохраняющуюся геополитическую напряженность между Россией и Украиной, ожидается, что NoName057(16) продолжит свою деятельность и будет развиваться дальше. Будущие тенденции могут включать в себя усовершенствованные методы атак и изменения инфраструктуры, что подчеркивает важность понимания организациями этого ландшафта угроз. Повышенная осведомленность об изменяющейся тактике DDoSia's и текущей среде угроз крайне важна для организаций, стремящихся усилить свои меры кибербезопасности против этой постоянной хактивистской операции.

#ParsedReport #CompletenessLow
07-01-2026

How Scareware Emails Now Push Legitimate Subscriptions

https://malwr-analysis.com/2026/01/08/how-scareware-emails-now-push-legitimate-subscriptions/

Report completeness: Low

Threats:
Credential_harvesting_technique

IOCs:
Url: 2
Domain: 3
IP: 1
Hash: 1

Soft:
twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Электронные письма Scareware, тематически связанные с "Заполнением облачного хранилища", используют опасения пользователей потерять личные данные, чтобы заставить их предпринять срочные действия в отношении своих учетных записей. Эти попытки фишинга эволюционировали от первичного извлечения личной информации к продвижению законных подписок на Облачные сервисы, используя срочность для получения дохода без прямой установки вредоносного ПО. Эта тенденция подчеркивает необходимость адаптации аналитики киберугроз по мере того, как злоумышленники совершенствуют методы, использующие человеческую психологию, в условиях растущей зависимости от Облачных сервисов.
-----

Вредоносные электронные письма, особенно те, которые посвящены теме “Облачное хранилище заполнено”, были постоянной угрозой в течение многих лет, наживаясь на страхах пользователей потерять свои личные данные. Эти попытки фишинга используют распространенные страхи для манипулирования отдельными лицами, заставляя их принимать срочные меры в отношении своих учетных записей. Электронные письма обычно вызывают чувство паники, утверждая, что облачное хранилище пользователей заполнено и что требуются немедленные действия, чтобы избежать потери данных.

Со временем стратегии монетизации, используемые в этих кампаниях по фишингу, значительно эволюционировали. Изначально такие электронные письма в первую очередь были направлены на извлечение личной информации или установку вредоносного ПО. Однако текущая тенденция демонстрирует сдвиг в сторону продвижения законных подписок как средства получения дохода. Используя срочность, внушаемую получателям, электронные письма часто побуждают пользователей подписываться на, казалось бы, необходимые облачные сервисы хранения данных. Этот новый подход не только использует страх потери данных, но и создает видимость законности, повышая вероятность того, что ничего не подозревающие люди подчинятся.

Продолжающаяся эволюция этой тактики подчеркивает тревожную тенденцию в области киберугроз, когда традиционные методы защиты от вредоносных программ совершенствуются для получения финансово выгодного результата без прямого требования установки вредоносного программного обеспечения. Разведка киберугроз должна сохранять бдительность, поскольку злоумышленники постоянно адаптируют свои стратегии, используя человеческую психологию и растущую зависимость от Облачных сервисов. Понимание этих изменений имеет решающее значение для разработки эффективной защиты от таких эволюционирующих схем фишинга.

#ParsedReport #CompletenessLow
08-01-2026

New phishing campaign on "Health Card expiration" underway

https://cert-agid.gov.it/news/nuova-campagna-di-phishing-su-scadenza-tessera-sanitaria-in-corso/

Report completeness: Low

Victims:
Health sector, Government sector

Industry:
Healthcare

Geo:
Italy

IOCs:
Domain: 2
Url: 5