#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-7290 - это злоумышленник, нацеленный на телекоммуникационную инфраструктуру в Южной Азии с 2022 года, использующий сложный инструментарий, включающий семейства вредоносных ПО, такие как RushDrop, SilentRaid и Bulbature. RushDrop функционирует как дроппер с закодированными двоичными файлами, что позволяет избежать обнаружения, в то время как SilentRaid имеет модульную конструкцию с плагинами для настраиваемых операций. Bulbature использует аналогичную кодировку и предоставляет возможность привязки к указанным портам для выполнения команд.
-----

UAT-7290 - это злоумышленник, известный тем, что он осуществляет шпионские вторжения, нацеленные на ценную телекоммуникационную инфраструктуру в Южной Азии. Действующая по меньшей мере с 2022 года, эта группа занимается всесторонней технической разведкой целевых организаций перед началом атак. UAT-7290 использует сложный набор инструментов для защиты от вредоносного ПО, который включает в себя несколько различных семейств: RushDrop, DriveSwitch, SilentRaid и Bulbature.

RushDrop функционирует как дроппер вредоносного ПО, разработанный с использованием трех закодированных двоичных файлов. Он выполняет предварительные проверки, чтобы убедиться, что работает на подлинных системах, избегая обнаружения "песочницами". Этот дроппер облегчает развертывание дополнительных полезных нагрузок, которые могут быть использованы в жизненном цикле атаки.

SilentRaid - это многофункциональное вредоносное ПО, написанное на C++, которое работает с использованием модульной архитектуры плагинов. Он начинается с выполнения рутинных проверок антивирусной машины (VM) и анализа перед контактом с сервером управления (C2) для получения дальнейших инструкций. Плагины, встроенные в SilentRaid, предоставляют различные вредоносные функции, позволяющие злоумышленнику настраивать поведение вредоносного ПО в зависимости от конкретной операции, которую он намеревается выполнить.

Кроме того, вредоносное ПО Bulbature использует схему кодирования, аналогичную другим вредоносным ПО, разработанным UAT-7290, обычно с использованием сжатия UPX. Bulbature может связывать и прослушивать либо случайный порт, либо порт, указанный через командную строку, обеспечивая гибкое выполнение команд в соответствии с требованиями злоумышленника.

#ParsedReport #CompletenessLow
08-01-2026

Analysis of a Fake Cloudflare Turnstile Used as a Traffic Filtering Gate

https://malwr-analysis.com/2026/01/07/analysis-of-a-fake-cloudflare-turnstile-used-as-a-traffic-filtering-gate/

Report completeness: Low

Geo:
France, French

ChatGPT TTPs:
do not use without manual check
T1059.007, T1082, T1102, T1583.006, T1586, T1590.001

IOCs:
File: 2

Soft:
Cloudflare Turnstile, Selenium

Languages:
php, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена цепочка URL-адресов для фишинга, использующая поддельную страницу проверки турникета Cloudflare, которая злонамеренно фильтрует веб-трафик вместо обеспечения безопасности. Он использует отслеживание геолокации, чтобы блокировать или разрешать доступ в зависимости от региона пользователя, обнаруживает использование прокси-сервера для выявления потенциальных злонамеренных намерений и использует дактилоскопию браузера для оценки законности попыток доступа. Этот сложный подход повышает эффективность операции фишинга за счет тонкой настройки управления трафиком.
-----

Анализ цепочки URL-адресов для фишинга выявил работу поддельной страницы проверки турникета Cloudflare, предназначенной для функционирования в качестве сложного шлюза для фильтрации веб-трафика. Вместо того чтобы выполнять свою основную задачу по обеспечению безопасности веб-сайтов, этот поддельный турникет действует злонамеренно, выборочно отказывая, перенаправляя или разрешая доступ пользователям на основе нескольких критериев. Используемые механизмы включают отслеживание геолокации, идентификацию использования прокси-сервера и методы снятия отпечатков пальцев с браузера.

Геолокация используются для определения географического происхождения входящего трафика. Это может привести к блокировки пользователей из определенных регионов, позволяя доступ к другим, исходя из предпочтений злоумышленника. Использование прокси-сервера обнаружения СПИДа в предлагаемых ли пользователь использует сервисы анонимизации, что может свидетельствовать о злому умыслу или в обход мер безопасности. Отпечатки пальцев браузера, техника, которая собирает информацию об устройстве пользователя и настроек браузера добавляет дополнительный уровень анализа, чтобы определить законность попытка доступа. Такое сочетание методов позволяет противнику тонко настраивать контроль доступа применяется к веб-трафик, тем самым повышая эффективность их работы фишинг.

#ParsedReport #CompletenessLow
08-01-2026

Fake portal of the Ministry of Interior discovered: phishing on residence permit

https://cert-agid.gov.it/news/scoperto-falso-portale-del-ministero-dellinterno/

Report completeness: Low

Victims:
Immigrants, Public sector users

Industry:
Financial

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1036, T1566.002, T1583.001

IOCs:
Domain: 1
Url: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженная киберугроза связана с мошенническим доменом, выдающим себя за Министерство внутренних дел Италии, на котором размещен поддельный портал, запрашивающий конфиденциальную личную информацию под видом проверки документов, связанных с иммиграцией. Эта схема фишинга использует общественное доверие к правительственным веб-сайтам, повышая вероятность взаимодействия пользователей с вредоносным контентом, тем самым повышая риск кражи личных данных и других киберпреступных действий. Эта тенденция подчеркивает необходимость осторожности при взаимодействии с онлайновыми государственными службами.
-----

Недавно выявленная киберугроза была связана с созданием вредоносного домена, на котором размещен поддельный портал, Маскировка под Министерство внутренних дел Италии. Этот мошеннический сайт претендует на предоставление услуг по проверке статуса и действительности различных административных документов, в частности, касающихся иммиграции. Портал не только нацелен на то, чтобы обманом заставить пользователей предоставлять конфиденциальную личную информацию, но и предназначен для того, чтобы выдавать себя за заслуживающие доверия государственные учреждения, включая ссылки на государственную полицию.

Это фишинг попытку является частью общей тенденции, когда киберпреступники эксплуатируют доверие в правительственных веб-сайтов для кражи конфиденциальной информации от ничего не подозревающих людей. Имитирующих официальные порталы, этими злоумышленниками увеличить вероятность пользователи взаимодействуют с сайтом и невольно представив личные данные, которые затем могут быть использованы для кражи личных данных и других вредоносных действий.

Специфика этой угрозы подчеркивает важность бдительности в отношении онлайн-взаимодействий, особенно при работе с государственными службами. Пользователи должны быть осторожны и проверять подлинность таких порталов, проверяя официальные правительственные сообщения или используя URL-адреса с прямыми ссылками для доступа к сервисам, а не полагаться на результаты поисковой системы или интерактивные ссылки, которые могут привести к мошенническим сайтам.

#ParsedReport #CompletenessLow
06-01-2026

Behavioral and Code Analysis Findings

https://www.reversinglabs.com/blog/unpacking-pkr_mtsi

Report completeness: Low

Threats:
Pkr_mtsi_tool
Seo_poisoning_technique
Vanguard_stealer
Oyster
Vidar_stealer
Supper_backdoor
Shellcoderunner
Textshell
Junk_code_technique
Antidebugging_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1106, T1140, T1204.002, T1608.004, T1608.006, T1622

IOCs:
File: 11

Soft:
Microsoft Teams

Algorithms:
sha256, exhibit, xor

Functions:
Obfuscated, Conditional, Many

Win API:
VirtualAlloc, ZwAllocateVirtualMemory, DllRegisterServer, CheckRemoteDebuggerPresent, LoadLibraryA, ntdll_handle, RtlInitUnicodeString, LdrLoadDll, NtProtectVirtualMemory, VirtualProtect, have more...

Platforms:
x64

YARA: Found

Links:
https://github.com/OALabs/hashdb
have more...
https://github.com/upx/upx/blob/1ebd3356f36780960a03354a8ded23410ebc7e79/src/stub/src/amd64-win64.pe.S#L480-L507

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Упаковщик pkr_mtsi значительно продвинулся вперед, чтобы избежать обнаружения, перейдя от идентифицируемых характеристик UPX к использованию передовых методов запутывания. Он распространяется под видом законных установщиков программного обеспечения через мошеннические сайты, использующие Вредоносную рекламу для обмана пользователей. Ключевые технические характеристики включают методы динамического выделения памяти, обширные меры по борьбе с отладкой, сложность разрешения указателя на функцию и запутанный второй этап, который рассеивает код, затрудняя статический анализ.
-----

Упаковщик pkr_mtsi был разработан таким образом, чтобы избежать обнаружения, используя передовые методы запутывания. Ранние варианты можно было идентифицировать по характеристикам, связанным с упаковщиком UPX и простым разрешением API. Он распространяется путем Маскировки под законных установщиков программного обеспечения на мошеннических сайтах загрузки, используя тактику Вредоносной рекламы и SEO. В старых версиях образцы выделяют память с помощью функции VirtualAlloc, в то время как в новых образцах используется более запутанная функция ZwAllocateVirtualMemory. Pkr_mtsi доступен в форматах EXE и DLL, причем библиотека DLL способна поддерживать несколько путей выполнения. Функции защиты от отладки используют вызовы API, такие как IsDebuggerPresent и CheckRemoteDebuggerPresent, которые могут завершать процесс или вызывать бесконечные циклы. У него есть методы для получения дескриптора для ntdll.dll , используя прямые вызовы или пользовательские функции распознавателя для улучшения скрытности. Разрешение указателя на функцию достигается с помощью имен функций или хэшей, что усложняет статический анализ. Вторая стадия вредоносного ПО основана на UPX и модифицирована таким образом, чтобы избежать обнаружения путем удаления идентифицируемых разделов и рассредоточения фрагментов кода. Усилия по обнаружению и реагированию должны быть нацелены на конкретные шаблоны выполнения, действия по выделению памяти и необычное поведение API.

#ParsedReport #CompletenessMedium
07-01-2026

The Great VM Escape: ESXi Exploitation in the Wild

https://www.huntress.com/blog/esxi-vm-escape-exploit

Report completeness: Medium

Threats:
Maestro
Vsockpuppet
Impacket_tool
Sharefinder_tool
Toctou_vuln
Getshell

Victims:
Enterprise it, Esxi environments

Geo:
Chinese

CVEs:
CVE-2025-22225 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22224 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22226 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.001, T1055, T1059.004, T1070.004, T1078.002, T1105, T1133, T1190, T1543.003, have more...

IOCs:
Path: 8
Command: 3
File: 9
Hash: 5

Soft:
ESXi, Microsoft Defender for Endpoint, Windows firewall, Linux, Unix, ChatGPT, Claude

Functions:
SetGuestInfo, socket, GetShell

Win API:
WSCInstallProvider64_32

Win Services:
bits

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
have more...
https://github.com/hfiref0x/KDU

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025, значительное вторжение в средах VMware ESXi в сообщении, происходящих из скомпрометированных устройств SonicWall VPN-соединения. Злоумышленники использовали инструментарий, используя уязвимости в версиях ESXi с 5.1 до 8,0, в частности, уязвимость CVE-2025-22224 уязвимость CVE-2025-22226 и CVE-2025-22225, облегчая перемещение внутри компании после компрометации учетной записи администратора домена. Они разместили вредоносное ПО звонил MAESTRO для управления ВМ побегов и установили VSOCKpuppet для постоянного удаленного доступа, нарушения гипервизора и виртуальных машин на хост.
-----

В декабре 2025 года Huntress обнаружила вторжение с использованием эксплойтов VMware ESXi, что указывает на значительную угрозу виртуализированным средам. Сообщается, что злоумышленники получили первоначальный доступ через скомпрометированный SonicWall VPN, подчеркнув, что изоляция, обеспечиваемая виртуальными машинами, может быть нарушена с помощью уязвимостей в гипервизоре. Ключом к этому эксплойту был набор инструментов, предназначенный для широкого спектра сборок ESXi, в частности версий с 5.1 по 8.0, и подчеркивающий критическую важность своевременного исправления для этих систем, особенно для тех, на которых все еще работают версии с истекшим сроком службы.

Злоумышленник (TA) воспользовался скомпрометированной учетной записью администратора домена (DA) для перемещения по сети, сначала нацелившись на резервный контроллер домена, а затем на основной контроллер домена. Они попытались сбросить пароль DA, что было предотвращено решениями управляемой безопасности. Получив доступ к основному контроллеру домена, они развернули VMware ESXi exploit toolkit, впоследствии изменив брандмауэр Windows, чтобы изолировать хост от внешних сетей, сохранив при этом внутреннее подключение.

Во время этой атаки было использовано несколько уязвимостей, в том числе CVE-2025-22224, уязвимость TOCTOU высокой степени серьезности, позволяющая осуществлять запись за пределы системы и выполнение кода. Другие уязвимости, такие как CVE-2025-22226 и CVE-2025-22225, способствовали раскрытию потенциально опасной информации о памяти и возможности выхода из виртуальной машины.

В атаке использовалась часть вредоносного ПО, известная как exploit.exe , именуемый MAESTRO, который выступал в качестве организатора для операции escape виртуальной машины, не содержа фактической логики эксплуатации. Вместо этого он настраивал среду, управлял развертыванием эксплойта, контролировал его выполнение и выполнял необходимые операции по очистке для поддержания скрытности. Вредоносный драйвер MyDriver.sys сыграл ключевую роль, позволив осуществлять прямые манипуляции с памятью через каналы VMCI (Virtual Machine Communication Interface), что крайне важно для обхода традиционных мер безопасности.

Сложный характер атаки позволил злоумышленнику получить утечку адресов из процесса VMX и записать шелл-код непосредственно в его память. После эксплуатации злоумышленник установил VSOCKpuppet — исполняемый файл ELF, который обеспечивал постоянный удаленный доступ по соединениям VSOCK, эффективно позволяя осуществлять связь со скомпрометированным хостом ESXi без обнаружения обычными средствами мониторинга сети.

Важно отметить, что этот инцидент является примером многоэтапной атаки, которая приводит к полной компрометации гипервизора, тем самым угрожая целостности и безопасности всех виртуальных машин, работающих на хосте. Используемые методы эксплуатации, включая использование скрытых каналов связи и изоляцию эксплуатируемой среды, подчеркивают необходимость бдительного мониторинга и использования передовых мер обнаружения для смягчения таких сложных угроз в виртуализированных инфраструктурах.

#ParsedReport #CompletenessLow
08-01-2026

RMM tools (Syncro, SuperOps, NinjaOne, etc.) distributing video files in disguise

https://asec.ahnlab.com/ko/91933/

Report completeness: Low

Actors/Campaigns:
Muddywater

Threats:
Syncro_tool
Superops_tool
Ninjaone_tool
Screenconnect_tool
Pdq_connect_tool
Logmein_tool
Blackcat
Ninjarmm_tool

Victims:
Managed service providers, It teams, Organizations using rmm tools

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1219, T1553.002, T1566.001

IOCs:
File: 8
Domain: 2
Hash: 5
Url: 5

Soft:
NSIS installer

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки используют инструменты удаленного мониторинга и управления (RMM), такие как Syncro, SuperOps, NinjaOne и ScreenConnect, используя вредоносное ПО, замаскированное под PDF-файлы, чтобы обманом заставить жертв загрузить эти инструменты с поддельных страниц Google Диска. Злоумышленники задействовали уникальный характер РММ инструменты, облегчающие пульт дистанционного управления без срабатывания стандартных мер безопасности, таким образом, затрудняя обнаружение. Загрузчик вредоносное ПО создана с НСУ сопровождает установок РММ, что свидетельствует о тенденции использования легального программного обеспечения для вредоносных целей.
-----

Последние данные аналитического центра безопасности от шпионских программ (АПЭК) раскрыть серию кибератак, использования дистанционного мониторинга и управления (RMM) инструменты, такие как Syncro, SuperOps, NinjaOne, и ScreenConnect. Злоумышленники применяют обманный маневр, распространяющих вредоносное ПО замаскированный под PDF-документов, обманывая потерпевших на скачивание РММ по ОТ поддельную страницу распределение Google Диск. Факты свидетельствуют, что эти вредоносные действия продолжались с октября 2025 года, а указывается общая справка подписания вредоносное ПО.

Точный способ первичного распределения остается неясным; однако, считается, что PDF-файлы были названы с помощью общих терминов, как "расходная накладная", "заказ товара" и "платеж". Следовательно, эти документы, скорее всего, распространяются с помощью вложений электронной почты для фишинга, которые заманивают пользователей к использованию инструмента RMM.

Syncro RMM, предназначенный для поставщиков управляемых услуг (MSP) и ИТ-отделов, является одной из основных целей этих атак. Инструменты RMM особенно привлекательны для киберпреступников, поскольку они облегчают удаленный контроль и управление системой. В отличие от типичного вредоносного ПО, такого как бэкдоры или трояны удаленного доступа (RAT), инструменты RMM обычно используются системами безопасности организаций в законных целях. Эта уникальность позволяет злоумышленникам использовать их, не вызывая обычных мер безопасности, что затрудняет обнаружение и предотвращение для брандмауэров и антивирусных решений.

ScreenConnect, еще один используемый инструмент RMM, предоставляет возможности удаленного доступа и управления экраном, которые злоумышленники, в том числе из групп вымогателей, таких как ALPHV (BlackCat) и Hive, используют в вредоносных целях. Кроме того, один и тот же сертификат также объединяет NinjaOne и SuperOps, оба облачных решения RMM, которые обеспечивают широкие возможности управления ИТ. NinjaOne предлагает такие услуги, как удаленный доступ и мониторинг производительности, в то время как SuperOps интегрирует RMM с автоматизацией профессиональных сервисов для MSP.

Примечательно, что к установочным файлам RMM прилагается загрузчик вредоносного ПО, созданный с помощью NSIS. Этот загрузчик запрограммирован на получение дополнительных вредоносных полезных данных с использованием внутреннего скрипта NSI, с указанием на то, что он ранее распространял RMM NinjaOne. Растущая тенденция использования надежных инструментов RMM для кибератак представляет значительный риск для организаций, поскольку законный характер этих инструментов затрудняет их идентификацию как вредоносного программного обеспечения.

#ParsedReport #CompletenessLow
08-01-2026

Fake WinRAR downloads hide malware behind a real installer

https://www.malwarebytes.com/blog/threat-intel/2026/01/fake-winrar-downloads-hide-malware-behind-a-real-installer

Report completeness: Low

Threats:
Winzipper

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002

IOCs:
File: 6
Domain: 3
Path: 1

Algorithms:
zip

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания распространяет поддельные установщики WinRAR, в частности "1winrar-x64-713scp1.exe ," с различных китайских веб-сайтов, чтобы обманом заставить пользователей загружать вредоносное ПО. Мошеннические установщики используют социальную инженерию, имитируя законное программное обеспечение, чтобы снизить подозрения, что может способствовать целому ряду кибератак. Эта тенденция указывает на растущие усилия злоумышленников по использованию загружаемого популярного программного обеспечения, особенно в регионах с меньшей бдительностью пользователей в отношении подлинности программного обеспечения.
-----

Недавнее открытие веб-исследователей выявило вредоносную кампанию с использованием поддельных установщиков WinRAR, распространяемых с различных китайских веб-сайтов. Мошеннический установщик с именем "1winrar-x64-713scp1.exe ," маскируется под законное приложение WinRAR, что является распространенным методом, используемым для снижения подозрительности пользователей. Наличие китайских иероглифов, которые переводятся как "установить", позволяет предположить, что эти ссылки направлены на то, чтобы обманом заставить пользователей загружать вредоносное ПО под видом легального программного обеспечения.

Такая тактика внедрения вредоносного ПО в легальный установщик может способствовать целому ряду кибератак, поскольку пользователи часто доверяют хорошо известным приложениям, таким как WinRAR. Эта кампания подчеркивает важность тщательного изучения загружаемого программного обеспечения, поскольку злоумышленники часто используют методы социальной инженерии, чтобы обманом заставить пользователей скомпрометировать свои системы.

Учитывая распространенность этих типов методов распространения вредоносного ПО, это свидетельствует о потенциально возрастающих усилиях злоумышленников по использованию популярных загрузок программного обеспечения, особенно в регионах, где пользователи могут быть менее бдительны в отношении подлинности источников программного обеспечения. Бдительность в области кибербезопасности имеет первостепенное значение, и следует поощрять пользователей следить за законностью загрузок и поддерживать обновленные меры безопасности, чтобы снизить риск, связанный с такой обманной практикой.