#ParsedReport #CompletenessLow
07-01-2026

How Scareware Emails Now Push Legitimate Subscriptions

https://malwr-analysis.com/2026/01/08/how-scareware-emails-now-push-legitimate-subscriptions/

Report completeness: Low

Threats:
Credential_harvesting_technique

IOCs:
Url: 2
Domain: 3
IP: 1
Hash: 1

Soft:
twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Электронные письма Scareware, тематически связанные с "Заполнением облачного хранилища", используют опасения пользователей потерять личные данные, чтобы заставить их предпринять срочные действия в отношении своих учетных записей. Эти попытки фишинга эволюционировали от первичного извлечения личной информации к продвижению законных подписок на Облачные сервисы, используя срочность для получения дохода без прямой установки вредоносного ПО. Эта тенденция подчеркивает необходимость адаптации аналитики киберугроз по мере того, как злоумышленники совершенствуют методы, использующие человеческую психологию, в условиях растущей зависимости от Облачных сервисов.
-----

Вредоносные электронные письма, особенно те, которые посвящены теме “Облачное хранилище заполнено”, были постоянной угрозой в течение многих лет, наживаясь на страхах пользователей потерять свои личные данные. Эти попытки фишинга используют распространенные страхи для манипулирования отдельными лицами, заставляя их принимать срочные меры в отношении своих учетных записей. Электронные письма обычно вызывают чувство паники, утверждая, что облачное хранилище пользователей заполнено и что требуются немедленные действия, чтобы избежать потери данных.

Со временем стратегии монетизации, используемые в этих кампаниях по фишингу, значительно эволюционировали. Изначально такие электронные письма в первую очередь были направлены на извлечение личной информации или установку вредоносного ПО. Однако текущая тенденция демонстрирует сдвиг в сторону продвижения законных подписок как средства получения дохода. Используя срочность, внушаемую получателям, электронные письма часто побуждают пользователей подписываться на, казалось бы, необходимые облачные сервисы хранения данных. Этот новый подход не только использует страх потери данных, но и создает видимость законности, повышая вероятность того, что ничего не подозревающие люди подчинятся.

Продолжающаяся эволюция этой тактики подчеркивает тревожную тенденцию в области киберугроз, когда традиционные методы защиты от вредоносных программ совершенствуются для получения финансово выгодного результата без прямого требования установки вредоносного программного обеспечения. Разведка киберугроз должна сохранять бдительность, поскольку злоумышленники постоянно адаптируют свои стратегии, используя человеческую психологию и растущую зависимость от Облачных сервисов. Понимание этих изменений имеет решающее значение для разработки эффективной защиты от таких эволюционирующих схем фишинга.

#ParsedReport #CompletenessLow
08-01-2026

New phishing campaign on "Health Card expiration" underway

https://cert-agid.gov.it/news/nuova-campagna-di-phishing-su-scadenza-tessera-sanitaria-in-corso/

Report completeness: Low

Victims:
Health sector, Government sector

Industry:
Healthcare

Geo:
Italy

IOCs:
Domain: 2
Url: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная кампания по фишингу использует темы истечения срока действия медицинских карт, используя официальные логотипы, чтобы обманом заставить людей предоставить конфиденциальную информацию. Эта кампания подрывает доверие общественности к государственным службам, создавая значительную угрозу безопасности. CERT-AGID предупредил соответствующие органы и поделился показателями компрометации, чтобы помочь организациям в выявлении этой угрозы и реагировании на нее.
-----

Недавно выявленная кампания по фишингу нацелена на отдельных лиц, используя темы, связанные с истечением срока действия медицинских карт. В этой кампании используются логотипы и фирменный стиль, связанные с системой медицинских карт и Министерством здравоохранения, для создания вводящих в заблуждение сообщений, направленных на то, чтобы обманом заставить получателей разгласить конфиденциальную информацию. Кампания представляет значительную угрозу, поскольку она укрепляет доверие общественности к государственным службам для повышения их эффективности.

В ответ на эту угрозу CERT-AGID предпринял упреждающие меры, предупредив Министерство здравоохранения и департамент безопасности Министерства экономики и финансов (MEF) о продолжающейся деятельности по фишингу. Агентство также направило запросы на вывод вредоносного домена из эксплуатации, чтобы предотвратить дальнейшую эксплуатацию. Кроме того, CERT-AGID распространил среди организаций индикаторы компрометации (IOCs), чтобы помочь в обнаружении и устранении этой угрозы фишинга. Акцент на немедленных действиях отражает срочность ситуации, подчеркивая необходимость осведомленности и бдительности потенциальных целей.

#ParsedReport #CompletenessLow
08-01-2026

Defending Against Gamaredon: Practical Controls That Actually Work

https://blog.synapticsystems.de/how-to-defend-against-gamaredon/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Spear-phishing_technique
Gamaload

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.005, T1059.007, T1071.001, T1102, T1104, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 8
Path: 3
Registry: 2

Soft:
Windows PowerShell, outlook

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Gamaredon UAC-0010 компрометирует системы главным образом с помощью приглашений пользователей и выполнения на основе сценариев, используя VBScripts, JavaScripts, HTA-файлы и загрузчики ярлыков. Их атаки генерируют трафик HTTP и HTTPS с использованием стандартных сетевых компонентов Windows, что делает видимость сети критически важной для обнаружения угроз. Gamaredon проявляет адаптивное поведение, чтобы избежать обнаружения, что требует принятия упреждающих мер для противодействия их эволюционирующей тактике.
-----

Группа Gamaredon UAC-0010 использует особый подход к компрометации систем, в первую очередь полагаясь на приглашение, а не на взлом. Их работа зависит от выполнения на основе сценариев, в частности, с использованием VBScripts, JavaScripts, HTA-файлов и загрузчиков на основе ярлыков. Таким образом, одна из основных мер защиты от них должна включать отключение или смягчение возможности выполнения сценариев в пользовательских контекстах. Благодаря нейтрализации уровня скриптов многие стратегии заражения Gamaredon's, скорее всего, потерпят неудачу до того, как будет выполнена какая-либо вредоносная полезная нагрузка.

Более того, хотя предотвращение выполнения имеет решающее значение, не менее важно поддерживать видимость сетевой активности. Кампании Gamaredon эффективно используют сетевые компоненты Windows, такие как MSXMLHTTP, и обычно генерируют трафик HTTP и HTTPS непосредственно из скриптов, не полагаясь на пользовательские бэкдоры или экзотические протоколы. Таким образом, стратегии, ориентированные на видимость сети и мониторинг, могут значительно помочь в распознавании потенциальных угроз.

Чтобы усилить усилия по обнаружению, следует уделять внимание DNS-трафику, особенно в отношении динамически регистрируемых доменов, который следует ограничить и тщательно проверять. Логика обнаружения должна включать телеметрию DNS не только для целей разрешения. Мониторинг этого аспекта может дать представление о потенциальных угрозах, исходящих от Gamaredon.

Наконец, стоит отметить, что Gamaredon демонстрирует адаптивное поведение, чтобы избежать обнаружения, реагируя на аналитические усилия. Это подчеркивает важность принятия упреждающих мер против их тактики антианализа, гарантируя, что защита развивается в тандеме с их методами. Понимая эти аспекты операционного поведения Gamaredon's, организации могут лучше подготовить и внедрить эффективные средства контроля для снижения своей подверженности рискам.

#ParsedReport #CompletenessLow
08-01-2026

Fake Windows Update and BSOD Alerts Used in a Tech Support Scam

https://malwr-analysis.com/2026/01/09/fake-windows-update-and-bsod-alerts-used-in-a-tech-support-scam/

Report completeness: Low

Threats:
Petya
Emotet

Victims:
Consumers

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 1
IP: 1
File: 3

Soft:
WordPress, Windows Security

Algorithms:
base64

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенники из службы технической поддержки используют поддельные предупреждения центра обновления Windows и BSOD, чтобы обмануть пользователей, заставив их поверить, что их системы скомпрометированы. Злоумышленники создают страницы фишинга, которые используют социальную инженерию для внушения страха, побуждая жертв обращаться в мошеннические службы поддержки, где они могут предоставить удаленный доступ к своим системам, что приводит к краже данных и установке вредоносного ПО. Этот метод подчеркивает более широкую тенденцию среди киберпреступников, которые используют недостаток технических знаний пользователей для усиления взаимодействия со злонамеренными акторами.
-----

Расследование выявило мошенничество с технической поддержкой, использующее поддельные оповещения центра обновления Windows и предупреждающие сообщения о синем экране смерти (BSOD) для обмана пользователей. Злоумышленники создают страницы фишинга, имитирующие законные обновления Windows, заставляя пользователей полагать, что их системы заражены или работают со сбоями. На этих страницах обычно используются методы социальной инженерии, чтобы внушить страх, принуждая людей обращаться в предполагаемые службы технической поддержки.

При обращении в эти мошеннические службы поддержки жертв часто убеждают предоставить удаленный доступ к своим компьютерам, что приводит к потенциальной краже данных, установке вредоносного программного обеспечения или дальнейшим финансовым аферам. Этот способ работы в значительной степени основан на использовании недостатка технических знаний пользователей, что делает их более восприимчивыми к манипуляциям.

Злоумышленник, стоящий за этой схемой, остается неустановленным, но применяемая тактика указывает на более широкую тенденцию в поведении киберпреступников, когда использование поддельных оповещений значительно повышает вероятность взаимодействия пользователей со вредоносными объектами. Необходимо усилить меры по кибербезопасности, чтобы обучить пользователей отличать подлинные системные уведомления от мошеннических, а также подчеркнуть важность обращения по техническим вопросам к официальным каналам поддержки.

#ParsedReport #CompletenessMedium
07-01-2026

Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware

https://www.group-ib.com/blog/ghost-tapped-chinese-malware/

Report completeness: Medium

Threats:
Ghost_tap_technique
Nfcgate_tool
X-nfc_tool
Smishing_technique
Ngate
Z-nfc_tool
Supercard
Phantomcard
Jiagu

Victims:
Banking, Mobile wallets, Financial institutions, Payment networks, Consumers

Industry:
Financial

Geo:
China, Italy, Chinese, Czech, Singapore, Asia, Malaysian, Brazil, Middle east, Africa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1204.002, T1566.004, T1587.001, T1598.003

IOCs:
File: 2
Domain: 5
Hash: 54

Soft:
Android, Telegram

Algorithms:
sha256, md5, sha1

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Group-IB выявило рост вредоносного ПО tap-to-pay в Китае, нацеленного на устройства Android и использующего технологию NFC для несанкционированных банковских транзакций. Вредоносные приложения, такие как TX-NFC и NFU Pay, продаются в Telegram и обманом заставляют пользователей устанавливать их с помощью smishing или Кампаний по Вымогательству. После установки вредоносное ПО захватывает информацию о картах, инструктируя жертв подключаться к их банковским картам, передавая данные злоумышленникам через сервер управления и способствуя значительным мошенническим транзакциям с использованием скомпрометированных финансовых данных.
-----

Китайское вредоносное ПО tap-to-pay нацелено на устройства Android, используя технологию NFC для несанкционированных транзакций. Вредоносное ПО распространяется через вредоносные приложения, продаваемые на китайских форумах по борьбе с киберпреступностью, в частности в Telegram. Известные варианты вредоносного ПО включают TX-NFC с более чем 21 000 подписчиков и NFU Pay. TX-NFC появился в январе 2025 года, в то время как другой вариант, X-NFC, появился в декабре 2024 года и набрал 5000 участников. Жертв обманом заставляют устанавливать эти приложения с помощью smishing или Кампаний по Вымогательству. После установки жертвы подключают свои банковские карты к зараженным устройствам, захватывая информацию о карте, которая отправляется на сервер управления. Злоумышленники используют скомпрометированные POS-терминалы, рекламируемые в каналах киберпреступности, для облегчения процесса вывода наличных. Один поставщик отметил мошеннические транзакции на сумму более 355 000 долларов США в период с ноября 2024 по август 2025 года. Было идентифицировано более 54 различных образцов APK, многие из которых замаскированы под законные финансовые приложения. Вредоносное ПО использует сложные оболочки и методы обфускации, такие как китайский коммерческий упаковщик 360 Jiagu, чтобы избежать обнаружения. Образцы TX-NFC могут использоваться как в качестве считывателя, так и в качестве толкателя, что повышает универсальность эксплуатации. Злоумышленники создают индивидуальные версии вредоносного ПО для конкретных географических целей, что указывает на переход к более эффективным стратегиям фишинга. Эта тенденция создает значительные риски для финансовых учреждений и частных лиц, подчеркивая необходимость усиления мер безопасности и бдительности.

#ParsedReport #CompletenessLow
08-01-2026

Fake Browser Updates Targeting WordPress Administrators via Malicious Plugin

https://blog.sucuri.net/2026/01/fake-browser-updates-targeting-wordpress-administrators-via-malicious-plugin.html

Report completeness: Low

Victims:
Wordpress administrators, Website administrators

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1071.001, T1078.003, T1102, T1105, T1189, T1190, T1204.002, T1505.003, have more...

IOCs:
Domain: 2
Url: 1

Soft:
WordPress, Chrome, Firefox

Algorithms:
base64

Languages:
javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование киберугрозы выявило вредоносный плагин под названием "Modern Recent Posts", нацеленный на администраторов WordPress с помощью обманчивых уведомлений об обновлениях браузера. Этот плагин, который маскировался под законный виджет, загружал удаленные JavaScript-скрипты и избегал обнаружения пользователями, не являющимися пользователями Windows. Это позволило злоумышленникам получить доступ к конфиденциальной информации, генерировать поддельные запросы на обновление и поддерживать закрепление в скомпрометированных системах, обеспечивая постоянный доступ, несмотря на смену пароля.
-----

Недавнее расследование киберугроз выявило вредоносную активность, направленную против администраторов WordPress с помощью обманчивых уведомлений об обновлениях браузера. Жертвы сообщали о постоянных всплывающих окнах на своих веб-сайтах, призывающих к ненужным обновлениям браузера, несмотря на то, что их программное обеспечение является актуальным. Основная причина была идентифицирована как вредоносный плагин под названием "Современные последние сообщения", который маскировался под доброкачественный виджет. Этот плагин отвечал за загрузку и выполнение удаленных JavaScript-скриптов из внешнего домена, а именно hxxps://persistancejs.store/jsplug/plugin.php .

Вредоносная кампания была специально разработана для того, чтобы избежать обнаружения, сосредоточившись на законных пользователях и игнорируя ботов, сканеры или пользователей, не являющихся пользователями Windows, которые не могут запустить удаленный exe-файл. После установки плагин выполнял несколько гнусных действий: он передавал конфиденциальную информацию злоумышленникам, генерировал поддельные запросы на обновление Java для имитации срочности и подлинности, а также включал функциональность для удаленного обновления и самоуничтожения, гарантируя, что вредоносное ПО сохраняло закрепление в скомпрометированных системах.

Последствия для затронутых сайтов WordPress были значительными, поскольку установка этого бэкдора позволяла злоумышленникам получать постоянный доступ даже при изменении паролей. Шаги по исправлению включают удаление всех нераспознанных каталогов плагинов, аудит учетных записей пользователей для устранения подозрительной активности, сброс всех связанных с ними учетных данных и проведение всестороннего сканирования локальных систем на предмет потенциальных компрометаций. Кроме того, рекомендуется отслеживать исходящий трафик на предмет подозрительных подключений к домену, обновлять все компоненты WordPress до их последних версий и использовать брандмауэр веб-приложений (WAF) в качестве превентивных мер против подобных атак.

#ParsedReport #CompletenessLow
08-01-2026

UAT-7290 targets high value telecommunications infrastructure in South Asia

https://blog.talosintelligence.com/uat-7290/

Report completeness: Low

Actors/Campaigns:
Uat-7290 (motivation: cyber_espionage)
Stone_panda
Redfoxtrot

Threats:
Chronosrat
Driveswitch
Mystrodx
Redleaves
Shadowpad
Bulbature
Cobalt_strike_tool
Supershell
Gobrat

Victims:
Telecommunications infrastructure, Critical infrastructure entities

Industry:
Telco, Critical_infrastructure

Geo:
China, Hong kong, Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1497, T1497, T1571

IOCs:
Hash: 3

Soft:
Linux, Busybox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-7290 - это злоумышленник, нацеленный на телекоммуникационную инфраструктуру в Южной Азии с 2022 года, использующий сложный инструментарий, включающий семейства вредоносных ПО, такие как RushDrop, SilentRaid и Bulbature. RushDrop функционирует как дроппер с закодированными двоичными файлами, что позволяет избежать обнаружения, в то время как SilentRaid имеет модульную конструкцию с плагинами для настраиваемых операций. Bulbature использует аналогичную кодировку и предоставляет возможность привязки к указанным портам для выполнения команд.
-----

UAT-7290 - это злоумышленник, известный тем, что он осуществляет шпионские вторжения, нацеленные на ценную телекоммуникационную инфраструктуру в Южной Азии. Действующая по меньшей мере с 2022 года, эта группа занимается всесторонней технической разведкой целевых организаций перед началом атак. UAT-7290 использует сложный набор инструментов для защиты от вредоносного ПО, который включает в себя несколько различных семейств: RushDrop, DriveSwitch, SilentRaid и Bulbature.

RushDrop функционирует как дроппер вредоносного ПО, разработанный с использованием трех закодированных двоичных файлов. Он выполняет предварительные проверки, чтобы убедиться, что работает на подлинных системах, избегая обнаружения "песочницами". Этот дроппер облегчает развертывание дополнительных полезных нагрузок, которые могут быть использованы в жизненном цикле атаки.

SilentRaid - это многофункциональное вредоносное ПО, написанное на C++, которое работает с использованием модульной архитектуры плагинов. Он начинается с выполнения рутинных проверок антивирусной машины (VM) и анализа перед контактом с сервером управления (C2) для получения дальнейших инструкций. Плагины, встроенные в SilentRaid, предоставляют различные вредоносные функции, позволяющие злоумышленнику настраивать поведение вредоносного ПО в зависимости от конкретной операции, которую он намеревается выполнить.

Кроме того, вредоносное ПО Bulbature использует схему кодирования, аналогичную другим вредоносным ПО, разработанным UAT-7290, обычно с использованием сжатия UPX. Bulbature может связывать и прослушивать либо случайный порт, либо порт, указанный через командную строку, обеспечивая гибкое выполнение команд в соответствии с требованиями злоумышленника.