#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoBruteforcer, модульный ботнет, написанный на Go, нацелен на серверы Linux, используя слабые пароли в таких сервисах, как FTP, MySQL, PostgreSQL и phpMyAdmin. Он распространяется через Веб-шеллы и IRC-ботов и особенно активен в отношении устаревших веб-стеков, таких как XAMPP, которые часто используют учетные данные по умолчанию. Ботнет использует систематические методы брутфорса, используя сервер управления для управления учетными данными и применяя тактику скрытности, чтобы оставаться незамеченным при компрометации более 50 000 серверов, особенно тех, которые связаны с криптовалютными проектами.
-----

GoBruteforcer - это модульный ботнет, нацеленный на серверы Linux с помощью слабых паролей и учетных данных, позволяющий использовать брутфорс для входа в такие сервисы, как FTP, MySQL, PostgreSQL и phpMyAdmin. По оценкам, более 50 000 серверов находятся под угрозой из-за конфигураций, созданных искусственным интеллектом, использующих предсказуемые имена пользователей и слабые пароли по умолчанию. Ботнет в основном распространяется через плохо защищенные FTP-сервисы, особенно в системах, использующих XAMPP, которые часто неправильно настроены для обеспечения безопасности. Он использует систематический брутфорс с использованием предопределенных списков учетных данных, управляемых сервером C2. Вредоносное ПО использует интеллектуальный выбор IP-адреса, проверяет службы перед попыткой входа в систему, используя жестко закодированные учетные данные для FTP и логины из C2-источников для MySQL и PostgreSQL. Модуль phpMyAdmin выполняет более сложные веб-взаимодействия через HTTP. GoBruteforcer скрывает свое присутствие с помощью изменений имен процессов и запланированных задач, обеспечивая закрепление и оперативную скрытность. Ботнет балансирует рабочие нагрузки на зараженных серверах, чтобы повысить производительность без перегрузки ресурсов. Использование неправильно сконфигурированных систем подчеркивает значительные угрозы, создаваемые автоматизированными инструментами в скомпрометированной инфраструктуре.

#ParsedReport #CompletenessLow
08-01-2026

NoName057(16) and DDoSia Project Analysis: Russias Most Persistent Hacktivist Operation

https://socradar.io/blog/noname05716-and-ddosia-project-analysis-russia/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism, propaganda)

Threats:
Ddosia_botnet
Synflood_technique
Udpflood_technique
Slowloris_technique

Victims:
Government bodies, Financial institutions, Media outlets, Nato member states, Ukraine supporters

Industry:
Financial, Iot, Government, Military

Geo:
Russias, Ukraine, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1082, T1204, T1498, T1499, T1562, T1583, T1587

Soft:
Linux, Android, Telegram

Algorithms:
aes-gcm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NoName057(16) - российская хактивистская группа, использующая проект DDoSia, который приглашает добровольцев установить программное обеспечение для запуска DDoS-атак на нацеленные объекты, такие как государственные и финансовые учреждения. С 2022 года проект развивался в течение пяти итераций, включая передовые методы уклонения, включая зашифрованную связь C2 и ротацию пользовательских агентов. DDoSia использует различные векторы атак и адаптирует стратегии, основанные на возможностях устройств филиалов, в то время как ее операции тесно связаны с геополитическими событиями.
-----

NoName057(16) и его проект DDoSia представляют собой высокоорганизованную операцию российских хактивистов, отличающуюся уникальным подходом к кибератаке. В отличие от традиционных ботнет, которые обычно используют уязвимости для компрометации систем без согласия пользователей, DDoSia работает по модели, при которой добровольцы добровольно устанавливают программное обеспечение для участия в DDoS-атаках на цели, определенные руководством группы. Эта модель использует психологические стратегии, включая пропаганду, геймификацию и криптовалютные стимулы, привлекая людей с минимальными техническими навыками, но добиваясь значительной операционной эффективности.

DDoSia претерпела быструю техническую эволюцию, продемонстрировав пять основных итераций с момента своего создания в 2022 году. В каждой версии представлены расширенные возможности уклонения, такие как зашифрованная связь по управлению (C2), ротация пользовательских агентов, широкое использование прокси-серверов и функции, направленные на антианализ. Группировка координирует свои атаки с геополитическими событиями и обычно запускает их в течение 24-72 часов после значительных событий, таких как расширение НАТО или санкции, связанные с военными действиями России на Украине. Профиль целей особенно широк: на государственные структуры приходится примерно 40-50% атак, на финансовые учреждения приходится 17-23%, а на средства массовой информации - 12-18%, в первую очередь ориентируясь на сторонников НАТО и Украины.

Платформа DDoSia использует несколько векторов атак, включая HTTP/HTTP2-флуды, TCP SYN floods, UDP floods, атаки Slowloris и использование TLS-рукопожатия. Используемые методы уклонения включают запутывание строк во время выполнения, шифрование AES-GCM и методы обхода систем защиты от ботов и обнаружения виртуальных машин. Кроме того, вредоносное ПО может динамически обновлять списки целей через серверы C2 без необходимости перераспределять двоичные файлы и может корректировать стратегии атак на основе возможностей устройств, используемых аффилированными лицами.

Помимо технических аспектов своей деятельности, NoName057(16) эффективно использует сложные пропагандистские стратегии, управляя активными Telegram-каналами с большим количеством подписчиков, чтобы способствовать вовлечению и поддержке. Учитывая сохраняющуюся геополитическую напряженность между Россией и Украиной, ожидается, что NoName057(16) продолжит свою деятельность и будет развиваться дальше. Будущие тенденции могут включать в себя усовершенствованные методы атак и изменения инфраструктуры, что подчеркивает важность понимания организациями этого ландшафта угроз. Повышенная осведомленность об изменяющейся тактике DDoSia's и текущей среде угроз крайне важна для организаций, стремящихся усилить свои меры кибербезопасности против этой постоянной хактивистской операции.

#ParsedReport #CompletenessLow
07-01-2026

How Scareware Emails Now Push Legitimate Subscriptions

https://malwr-analysis.com/2026/01/08/how-scareware-emails-now-push-legitimate-subscriptions/

Report completeness: Low

Threats:
Credential_harvesting_technique

IOCs:
Url: 2
Domain: 3
IP: 1
Hash: 1

Soft:
twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Электронные письма Scareware, тематически связанные с "Заполнением облачного хранилища", используют опасения пользователей потерять личные данные, чтобы заставить их предпринять срочные действия в отношении своих учетных записей. Эти попытки фишинга эволюционировали от первичного извлечения личной информации к продвижению законных подписок на Облачные сервисы, используя срочность для получения дохода без прямой установки вредоносного ПО. Эта тенденция подчеркивает необходимость адаптации аналитики киберугроз по мере того, как злоумышленники совершенствуют методы, использующие человеческую психологию, в условиях растущей зависимости от Облачных сервисов.
-----

Вредоносные электронные письма, особенно те, которые посвящены теме “Облачное хранилище заполнено”, были постоянной угрозой в течение многих лет, наживаясь на страхах пользователей потерять свои личные данные. Эти попытки фишинга используют распространенные страхи для манипулирования отдельными лицами, заставляя их принимать срочные меры в отношении своих учетных записей. Электронные письма обычно вызывают чувство паники, утверждая, что облачное хранилище пользователей заполнено и что требуются немедленные действия, чтобы избежать потери данных.

Со временем стратегии монетизации, используемые в этих кампаниях по фишингу, значительно эволюционировали. Изначально такие электронные письма в первую очередь были направлены на извлечение личной информации или установку вредоносного ПО. Однако текущая тенденция демонстрирует сдвиг в сторону продвижения законных подписок как средства получения дохода. Используя срочность, внушаемую получателям, электронные письма часто побуждают пользователей подписываться на, казалось бы, необходимые облачные сервисы хранения данных. Этот новый подход не только использует страх потери данных, но и создает видимость законности, повышая вероятность того, что ничего не подозревающие люди подчинятся.

Продолжающаяся эволюция этой тактики подчеркивает тревожную тенденцию в области киберугроз, когда традиционные методы защиты от вредоносных программ совершенствуются для получения финансово выгодного результата без прямого требования установки вредоносного программного обеспечения. Разведка киберугроз должна сохранять бдительность, поскольку злоумышленники постоянно адаптируют свои стратегии, используя человеческую психологию и растущую зависимость от Облачных сервисов. Понимание этих изменений имеет решающее значение для разработки эффективной защиты от таких эволюционирующих схем фишинга.

#ParsedReport #CompletenessLow
08-01-2026

New phishing campaign on "Health Card expiration" underway

https://cert-agid.gov.it/news/nuova-campagna-di-phishing-su-scadenza-tessera-sanitaria-in-corso/

Report completeness: Low

Victims:
Health sector, Government sector

Industry:
Healthcare

Geo:
Italy

IOCs:
Domain: 2
Url: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная кампания по фишингу использует темы истечения срока действия медицинских карт, используя официальные логотипы, чтобы обманом заставить людей предоставить конфиденциальную информацию. Эта кампания подрывает доверие общественности к государственным службам, создавая значительную угрозу безопасности. CERT-AGID предупредил соответствующие органы и поделился показателями компрометации, чтобы помочь организациям в выявлении этой угрозы и реагировании на нее.
-----

Недавно выявленная кампания по фишингу нацелена на отдельных лиц, используя темы, связанные с истечением срока действия медицинских карт. В этой кампании используются логотипы и фирменный стиль, связанные с системой медицинских карт и Министерством здравоохранения, для создания вводящих в заблуждение сообщений, направленных на то, чтобы обманом заставить получателей разгласить конфиденциальную информацию. Кампания представляет значительную угрозу, поскольку она укрепляет доверие общественности к государственным службам для повышения их эффективности.

В ответ на эту угрозу CERT-AGID предпринял упреждающие меры, предупредив Министерство здравоохранения и департамент безопасности Министерства экономики и финансов (MEF) о продолжающейся деятельности по фишингу. Агентство также направило запросы на вывод вредоносного домена из эксплуатации, чтобы предотвратить дальнейшую эксплуатацию. Кроме того, CERT-AGID распространил среди организаций индикаторы компрометации (IOCs), чтобы помочь в обнаружении и устранении этой угрозы фишинга. Акцент на немедленных действиях отражает срочность ситуации, подчеркивая необходимость осведомленности и бдительности потенциальных целей.

#ParsedReport #CompletenessLow
08-01-2026

Defending Against Gamaredon: Practical Controls That Actually Work

https://blog.synapticsystems.de/how-to-defend-against-gamaredon/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique
Gamaload

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.005, T1059.007, T1071.001, T1102, T1104, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 8
Path: 3
Registry: 2

Soft:
Windows PowerShell, outlook

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Gamaredon UAC-0010 компрометирует системы главным образом с помощью приглашений пользователей и выполнения на основе сценариев, используя VBScripts, JavaScripts, HTA-файлы и загрузчики ярлыков. Их атаки генерируют трафик HTTP и HTTPS с использованием стандартных сетевых компонентов Windows, что делает видимость сети критически важной для обнаружения угроз. Gamaredon проявляет адаптивное поведение, чтобы избежать обнаружения, что требует принятия упреждающих мер для противодействия их эволюционирующей тактике.
-----

Группа Gamaredon UAC-0010 использует особый подход к компрометации систем, в первую очередь полагаясь на приглашение, а не на взлом. Их работа зависит от выполнения на основе сценариев, в частности, с использованием VBScripts, JavaScripts, HTA-файлов и загрузчиков на основе ярлыков. Таким образом, одна из основных мер защиты от них должна включать отключение или смягчение возможности выполнения сценариев в пользовательских контекстах. Благодаря нейтрализации уровня скриптов многие стратегии заражения Gamaredon's, скорее всего, потерпят неудачу до того, как будет выполнена какая-либо вредоносная полезная нагрузка.

Более того, хотя предотвращение выполнения имеет решающее значение, не менее важно поддерживать видимость сетевой активности. Кампании Gamaredon эффективно используют сетевые компоненты Windows, такие как MSXMLHTTP, и обычно генерируют трафик HTTP и HTTPS непосредственно из скриптов, не полагаясь на пользовательские бэкдоры или экзотические протоколы. Таким образом, стратегии, ориентированные на видимость сети и мониторинг, могут значительно помочь в распознавании потенциальных угроз.

Чтобы усилить усилия по обнаружению, следует уделять внимание DNS-трафику, особенно в отношении динамически регистрируемых доменов, который следует ограничить и тщательно проверять. Логика обнаружения должна включать телеметрию DNS не только для целей разрешения. Мониторинг этого аспекта может дать представление о потенциальных угрозах, исходящих от Gamaredon.

Наконец, стоит отметить, что Gamaredon демонстрирует адаптивное поведение, чтобы избежать обнаружения, реагируя на аналитические усилия. Это подчеркивает важность принятия упреждающих мер против их тактики антианализа, гарантируя, что защита развивается в тандеме с их методами. Понимая эти аспекты операционного поведения Gamaredon's, организации могут лучше подготовить и внедрить эффективные средства контроля для снижения своей подверженности рискам.

#ParsedReport #CompletenessLow
08-01-2026

Fake Windows Update and BSOD Alerts Used in a Tech Support Scam

https://malwr-analysis.com/2026/01/09/fake-windows-update-and-bsod-alerts-used-in-a-tech-support-scam/

Report completeness: Low

Threats:
Petya
Emotet

Victims:
Consumers

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 1
IP: 1
File: 3

Soft:
WordPress, Windows Security

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенники из службы технической поддержки используют поддельные предупреждения центра обновления Windows и BSOD, чтобы обмануть пользователей, заставив их поверить, что их системы скомпрометированы. Злоумышленники создают страницы фишинга, которые используют социальную инженерию для внушения страха, побуждая жертв обращаться в мошеннические службы поддержки, где они могут предоставить удаленный доступ к своим системам, что приводит к краже данных и установке вредоносного ПО. Этот метод подчеркивает более широкую тенденцию среди киберпреступников, которые используют недостаток технических знаний пользователей для усиления взаимодействия со злонамеренными акторами.
-----

Расследование выявило мошенничество с технической поддержкой, использующее поддельные оповещения центра обновления Windows и предупреждающие сообщения о синем экране смерти (BSOD) для обмана пользователей. Злоумышленники создают страницы фишинга, имитирующие законные обновления Windows, заставляя пользователей полагать, что их системы заражены или работают со сбоями. На этих страницах обычно используются методы социальной инженерии, чтобы внушить страх, принуждая людей обращаться в предполагаемые службы технической поддержки.

При обращении в эти мошеннические службы поддержки жертв часто убеждают предоставить удаленный доступ к своим компьютерам, что приводит к потенциальной краже данных, установке вредоносного программного обеспечения или дальнейшим финансовым аферам. Этот способ работы в значительной степени основан на использовании недостатка технических знаний пользователей, что делает их более восприимчивыми к манипуляциям.

Злоумышленник, стоящий за этой схемой, остается неустановленным, но применяемая тактика указывает на более широкую тенденцию в поведении киберпреступников, когда использование поддельных оповещений значительно повышает вероятность взаимодействия пользователей со вредоносными объектами. Необходимо усилить меры по кибербезопасности, чтобы обучить пользователей отличать подлинные системные уведомления от мошеннических, а также подчеркнуть важность обращения по техническим вопросам к официальным каналам поддержки.

#ParsedReport #CompletenessMedium
07-01-2026

Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware

https://www.group-ib.com/blog/ghost-tapped-chinese-malware/

Report completeness: Medium

Threats:
Ghost_tap_technique
Nfcgate_tool
X-nfc_tool
Smishing_technique
Ngate
Z-nfc_tool
Supercard
Phantomcard
Jiagu

Victims:
Banking, Mobile wallets, Financial institutions, Payment networks, Consumers

Industry:
Financial

Geo:
China, Italy, Chinese, Czech, Singapore, Asia, Malaysian, Brazil, Middle east, Africa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1204.002, T1566.004, T1587.001, T1598.003

IOCs:
File: 2
Domain: 5
Hash: 54

Soft:
Android, Telegram

Algorithms:
sha256, md5, sha1

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Group-IB выявило рост вредоносного ПО tap-to-pay в Китае, нацеленного на устройства Android и использующего технологию NFC для несанкционированных банковских транзакций. Вредоносные приложения, такие как TX-NFC и NFU Pay, продаются в Telegram и обманом заставляют пользователей устанавливать их с помощью smishing или Кампаний по Вымогательству. После установки вредоносное ПО захватывает информацию о картах, инструктируя жертв подключаться к их банковским картам, передавая данные злоумышленникам через сервер управления и способствуя значительным мошенническим транзакциям с использованием скомпрометированных финансовых данных.
-----

Китайское вредоносное ПО tap-to-pay нацелено на устройства Android, используя технологию NFC для несанкционированных транзакций. Вредоносное ПО распространяется через вредоносные приложения, продаваемые на китайских форумах по борьбе с киберпреступностью, в частности в Telegram. Известные варианты вредоносного ПО включают TX-NFC с более чем 21 000 подписчиков и NFU Pay. TX-NFC появился в январе 2025 года, в то время как другой вариант, X-NFC, появился в декабре 2024 года и набрал 5000 участников. Жертв обманом заставляют устанавливать эти приложения с помощью smishing или Кампаний по Вымогательству. После установки жертвы подключают свои банковские карты к зараженным устройствам, захватывая информацию о карте, которая отправляется на сервер управления. Злоумышленники используют скомпрометированные POS-терминалы, рекламируемые в каналах киберпреступности, для облегчения процесса вывода наличных. Один поставщик отметил мошеннические транзакции на сумму более 355 000 долларов США в период с ноября 2024 по август 2025 года. Было идентифицировано более 54 различных образцов APK, многие из которых замаскированы под законные финансовые приложения. Вредоносное ПО использует сложные оболочки и методы обфускации, такие как китайский коммерческий упаковщик 360 Jiagu, чтобы избежать обнаружения. Образцы TX-NFC могут использоваться как в качестве считывателя, так и в качестве толкателя, что повышает универсальность эксплуатации. Злоумышленники создают индивидуальные версии вредоносного ПО для конкретных географических целей, что указывает на переход к более эффективным стратегиям фишинга. Эта тенденция создает значительные риски для финансовых учреждений и частных лиц, подчеркивая необходимость усиления мер безопасности и бдительности.

#ParsedReport #CompletenessLow
08-01-2026

Fake Browser Updates Targeting WordPress Administrators via Malicious Plugin

https://blog.sucuri.net/2026/01/fake-browser-updates-targeting-wordpress-administrators-via-malicious-plugin.html

Report completeness: Low

Victims:
Wordpress administrators, Website administrators

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1071.001, T1078.003, T1102, T1105, T1189, T1190, T1204.002, T1505.003, have more...

IOCs:
Domain: 2
Url: 1

Soft:
WordPress, Chrome, Firefox

Algorithms:
base64

Languages:
javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4