#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part III: The Infrastructure That Was Too Perfect

https://redasgard.com/blog/hunting-lazarus-part3-infrastructure-too-perfect

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview
Gamaredon

Threats:
Ottercookie
Beavertail
Invisibleferret
Smuggling_technique
Winrm_tool
Polyglot_technique
Dead_drop_technique
Xmrig_miner
Tsunami_framework
Supply_chain_technique

Victims:
Cryptocurrency sector, Software developers, Blockchain sector

Industry:
Education, Financial, Government

Geo:
Russian, North korean, American, Dprk

CVEs:
CVE-2022-24999 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- qs_project qs (<6.2.4, <6.3.3, <6.5.3, <6.7.3, <6.8.3)

CVE-2020-7699 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- express-fileupload_project express-fileupload (<1.1.8)

CVE-2017-16026 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- request_project request (<2.47.0, le2.67.0)


TTPs:
Tactics: 4
Technics: 19

IOCs:
File: 10
IP: 12
Hash: 1
Registry: 2

Soft:
VSCode, macOS, Linux, virtualbox, qemu, xen, Hyper-V, IndexedDB, Node.js, Chrome, have more...

Wallets:
metamask, keplr, tonkeeper, coinbase, rabby, safepal, tronlink, trezor

Crypto:
binance

Algorithms:
xor

Functions:
Get-ItemProperty, Get-ScheduledTask, Get-Process, captureAllMonitors

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи выявили новое семейство вредоносных ПО под названием OtterCookie, связанное с группой Lazarus, нацеленное на 27 браузерных расширений для криптовалютных кошельков, что значительно больше, чем у его предшественника, BeaverTail. Сложная инфраструктура C2 OtterCookie's использует HTTP и пользовательские сокеты, обеспечивая надежную защиту от попыток атак, включая серверы-призраки, предназначенные для уклонения. Ключевые функции OtterCookie включают в себя кейлоггер, Захват экрана, механизмы закрепления и продвинутые методы уклонения, представляющие значительную угрозу для пользователей криптовалюты.
-----

В ходе анализа инфраструктуры группы Lazarus исследователи выявили новое семейство вредоносных ПО под названием OtterCookie, которое обладает отличными характеристиками и возможностями по сравнению с ранее известным вариантом BeaverTail. OtterCookie нацелен на 27 различных браузерных расширений для криптовалютных кошельков, что значительно расширяет возможности BeaverTail's по сравнению всего с 2-3 целями. Инфраструктура командования и контроля (C2), используемая OtterCookie, работает на более обширной поверхности конечных точек. Он использует такие протоколы, как HTTP и пользовательские сокеты, подчеркивая сложный уровень функциональности, включая механизмы обнаружения виртуальных машин и закрепления, которые позволяют повторно запускать вредоносное ПО.

Исследование выявило около 20 серверов-призраков, которые не были занесены ни в одну из общедоступных баз данных по разведке угроз. Эти серверы обладают похожими конфигурациями по несколько портов, содействие в обе OtterCookie и beavertail расфокусированный из той же инфраструктуры. Распространенные порты включают тех, для FTP, HTTP и таможни связь С2, что свидетельствует о правильно организованной архитектуры разработан, чтобы избежать обнаружения.

Несмотря на попытки использовать уязвимости в инфраструктуре C2, исследователи обнаружили, что она исключительно безопасна. Они не обнаружили уязвимостей, которые можно было бы использовать при различных классах атак. Примечательно, что все их контрабанды smuggling и десериализации попытки не увенчались успехом, отражающие закаленной безопасность редко рассматривается в уголовном инфраструктуры, в том числе известных хакерских групп. Использование ограничения скорости, в то время как легко обойти, добавили еще один уровень сложности для потенциальных эксплуатации. Исследовательская группа предположила, что эта инфраструктура может быть даже контрразведывательной операции, призванной следить зондирование попытки исследователей.

При оценке вредоносного ПО было подтверждено, что OtterCookie обладает такими функциями, как кейлоггер, возможность Захвата экрана, механизмы закрепления и продвинутые методы обхода, нацеленные на виртуальные машины. OtterCookie обеспечивает непрерывную эксфильтрацию данных в указанную конечную точку, что делает его серьезной угрозой для пользователей с криптоактивами. Организациям рекомендуется блокировать индикаторы компрометации (IOCs), связанные с обоими семействами вредоносного ПО, и сохранять бдительность в отношении потенциальных рисков, создаваемых скомпрометированными платформами.

#ParsedReport #CompletenessMedium
04-02-2026

New year, new sector: Transparent Tribe targets Indias startup ecosystem

https://www.acronis.com/en/tru/posts/new-year-new-sector-transparent-tribe-targets-indias-startup-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Crimson_rat
Ares_rat
Allakore_rat
Getarat
Deskrat
Credential_harvesting_technique
Spear-phishing_technique
Motw_bypass_technique
Gymrat

Victims:
Startups, Cybersecurity sector, Government, Defense, Diplomatic, Research

Industry:
Military, Education, Government

Geo:
Pakistan, Indian, Asia, India, Afghanistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.007, T1059, T1059.003, T1202, T1204.001, T1204.002, T1547, T1566.001, T1588.001, have more...

IOCs:
File: 10
Hash: 5
IP: 1
Domain: 1

Soft:
twitter

Algorithms:
md5, zip, exhibit

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 12, dump: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Transparent Tribe (APT36) переключила свое внимание на экосистему индийских стартапов, особенно в области кибербезопасности, используя обманчивую тактику Целевого фишинга с помощью ISO-файла с именем MeetBisht.iso . Этот файл содержит вредоносный ярлык, Meet Bisht.xlsx.lnk, который запускает пакетный скрипт, запускающий Crimson RAT, Trojan. для удаленного доступа на базе .NET. Кампания использует заслуживающие доверия документы-приманки и использует такие методы, как намеренные орфографические ошибки в именах файлов, что повышает ее скрытность и усложняет обнаружение при маршрутизации сообщений через сервер управления в Канзас-Сити.
-----

Transparent Tribe, также известная как APT36, представляет собой шпионскую группу, связанную главным образом с государственными интересами, нацеленную на страны Южной Азии, в частности Индию и Афганистан. Последние разведданные свидетельствуют о стратегическом повороте в сторону индийской экосистемы стартапов, особенно в секторе кибербезопасности. Этот сдвиг очевиден в недавно выявленной кампании, которая использует обманчивые материалы на тему стартапов для заманивания жертв, распространяемые в формате ISO-файла.

Атака инициируется с помощью электронных писем с Целевым фишингом, содержащих ISO-образ с именем MeetBisht.iso . Этот ISO-файл специально разработан таким образом, чтобы казаться релевантным получателю, часто ссылаясь на владельца нацеленного стартапа. В ISO злоумышленники встраивают вредоносный файл быстрого доступа с именем Meet Bisht.xlsx.lnk, который после выполнения активирует пакетный скрипт, который служит как средством запуска, так и механизмом закрепления. Этот скрипт впоследствии запускает Crimson RAT, троянца удаленного доступа на базе .NET, замаскированного под законный исполняемый файл, что еще больше повышает шансы на успешную эксплуатацию.

Технический анализ кампании выявил использование документа-приманки наряду с вредоносными компонентами, направленное на повышение доверия к приманке. Конкретный материал-приманка был привязан к стартапу, специализирующемуся на OSINT, предполагая, что Transparent Tribe манипулирует общедоступной информацией для создания правдоподобных сценариев, несмотря на то, что не подразумевает прямого нацеливания на конкретных людей или организации.

Полезная нагрузка Crimson RAT особенно примечательна из-за ее завышенного размера файла, достигаемого за счет вставки значительных объемов мусорных данных в ее ресурсы, что усложняет усилия по обнаружению. Было обнаружено, что связь со скомпрометированными системами направлялась через сервер управления, расположенный в Канзас-Сити, что выявило базовую инфраструктуру предыдущих кампаний, связанных с этой группой.

Более того, использование имен файлов с намеренными орфографическими ошибками, таких как "Evidence.pdf.lnk", не только демонстрирует закономерность в деятельности группы, но и предоставляет аналитикам возможность сопоставлять активность в различных кампаниях для более точной атрибуции. Благодаря этой кампании Transparent Tribe демонстрирует эволюцию своей стратегии таргетинга, расширяя свое внимание и охватывая новые технологические секторы, которые становятся важнейшими объектами разведки наряду с традиционными государственными секторами. Этот сдвиг указывает на глубокое понимание меняющегося ландшафта угроз и адаптивность тактики для использования уязвимостей в новых областях.

#ParsedReport #CompletenessMedium
04-02-2026

Hunting Lazarus Part II: When the Dead Drop Moved to the Blockchain

https://redasgard.com/blog/hunting-lazarus-part2-blockchain-dead-drop

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview
Kimsuky
Winnti

Threats:
Dead_drop_technique

Victims:
Blockchain sector, Web3 developers, Software developers

Industry:
Financial

TTPs:
Tactics: 4
Technics: 6

IOCs:
Coin: 2
File: 10
IP: 7
Hash: 3

Soft:
Node.js, VSCode, VirtualBox, 1Password, LastPass, Bitwarden, KeePass, DashLane, Chrome, Firefox, Tor Browser, have more...

Wallets:
metamask, coinbase, keplr

Crypto:
binance

Algorithms:
sha256

Functions:
The, getMemo, configureCollection, Function

Win API:
Polygon

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus усовершенствовала свою тактику командования и контроля (C2), используя технологию блокчейн, в частности, используя контракты Polygon NFT для хранения вредоносного JavaScript. Такой подход позволяет создавать постоянные и воспроизводимые полезные нагрузки, отходя от уязвимых традиционных методов. Их многоэтапное внедрение вредоносного ПО включает троян удаленного доступа (RAT), который часто взаимодействует с C2 и нацелен на различные криптовалютные кошельки и Менеджеры паролей, используя известные уязвимости, такие как слабые секреты подписи JWT, и используя законные Облачные сервисы для дальнейшего запутывания.
-----

Расследование недавней тактики группы Lazarus выявило значительные успехи в использовании ими технологии блокчейн для операций командования и контроля (C2). Исследовательская группа Red Asgard по изучению угроз заметила несколько ключевых элементов этого нового подхода. Примечательно, что группа использовала контракты Polygon NFT для хранения вредоносного JavaScript, подчеркивая возможности блокчейна для создания неизменяемых и реплицируемых полезных нагрузок, которые сложно нарушить. Это позволило им отказаться от традиционных методов, таких как Закладка с данными (DDR) учетных записей на Pastebin, которые были заблокированы; таким образом, они искали альтернативы, которые менее подвержены блокировке или изъятию.

Природа их тактики социальной инженерии заключалась в обманчивом распространении информации, использовании LinkedIn, чтобы представить себя как возможности для разработки блокчейна, эффективно завоевывая доверие благодаря предполагаемым бизнес-достижениям и реалистичным презентациям проектов. Предположительно, цель убедили принять участие в демонстрации прямого выполнения кода, демонстрируя уверенность злоумышленников в своей настройке, при этом избегая действий, которые могли бы разоблачить их злонамеренные намерения.

С технической точки зрения, вредоносное ПО, разработанное группой Lazarus, основано на сложной многоэтапной стратегии развертывания. Первоначальная полезная нагрузка устанавливает функциональность трояна удаленного доступа (RAT), который взаимодействует с C2 каждые пять секунд, получая ряд дополнительных модулей. Примечательно, что стиллер информации объемом 72 КБ нацелен на множество расширений криптовалютных кошельков, многочисленные Менеджеры паролей и различные веб-браузеры, что отражает широкий охват работы.

Новая инфраструктура C2 указывает на эволюцию в том, как работают эти злоумышленники, поскольку они используют законные Облачные сервисы, такие как Vercel, для размещения своих операций, что усложняет усилия по обнаружению и реагированию. Вредоносное ПО добавляет уровень сложности, используя известные уязвимости, такие как секреты подписи JWT, которые были особенно уязвимы при установке значений по умолчанию, позволяя злоумышленникам беспрепятственно подделывать токены.

Обнаружения и смягчения его последствий в отношении этих меняющейся тактики включают аудита файлов развития показателей угона сценарий, блокируя вредоносные ИПС С2 через правила брандмауэра, и мониторинг запросов сервере для блокчейн-узлов, особенно от не Web3 приложений. Кроме того, тактика сопоставляются в рамках Митре АТТ&КФК, подробно, как действия группы совпадают с установленными фишинг фишинг и векторы исполнения.

Таким образом, переход группы Lazarus на блокчейн DDR представляет собой значительный сдвиг в их операционной устойчивости, создавая серьезные проблемы для защитников, которые должны адаптироваться ко все более сложным и децентрализованным стратегиям C2.

#ParsedReport #CompletenessMedium
04-02-2026

Silent Push Identifies More Than 10,000 Infected IPs as Part of SystemBC Botnet Malware Family

https://www.silentpush.com/blog/systembc/

Report completeness: Medium

Threats:
Systembc
Droxidat

Industry:
Government

Geo:
Singapore, France, Africa, Vietnamese, India, Russian, Vietnam, Germany

IOCs:
Domain: 1
IP: 14
Hash: 3

Soft:
Linux, WordPress

Algorithms:
rc4, sha256

Languages:
perl

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, table: 1

#ParsedReport #CompletenessHigh
04-02-2026

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia

https://research.checkpoint.com/2026/amaranth-dragon-weaponizes-cve-2025-8088-for-targeted-espionage/

Report completeness: High

Actors/Campaigns:
Amaranth-dragon (motivation: cyber_espionage, cyber_criminal)
Winnti (motivation: cyber_espionage, cyber_criminal)

Threats:
Amaranth_loader
Cryptopp_tool
Havoc
Amaranth_rat
Dodgebox
Dustpan
Dusttrap
Dll_sideloading_technique
Process_injection_technique
Spear-phishing_technique

Victims:
Government, Law enforcement, Police, Philippines coast guard

Industry:
Critical_infrastructure, Government

Geo:
China, Asian, Philippines, Chinese, Laos, Cambodia, Singapore, Philippine, Indonesia, Asia, Thailand

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 13
Hash: 62
Path: 2
Command: 2
Registry: 1
Url: 22
Domain: 5
IP: 10

Soft:
dropbox, Telegram, Windows Defender

Wallets:
harmony_wallet

Algorithms:
gzip, rc4, aes, xor, aes-cbc, zip, deflate

Functions:
NUL, CreateWzAddrBook

Win API:
VirtualAlloc, ConvertThreadToFiber, CreateFiber, SwitchToFiber, InternetOpenA, GetProcAddress, DebugActiveProcess, ReadProcessMemory

Win Services:
WebClient

Languages:
python, powershell

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/zero2504/Anti-Debugging
https://github.com/HavocFramework/Havoc
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amaranth-Dragon, APT-группировка, связанная с APT-41, проводила нацеленные кампании кибершпионажа в Юго-Восточной Азии, используя уязвимость WinRAR CVE-2025-8088 для выполнения кода через вредоносные архивы RAR. Их операции включают использование пользовательского инструмента Amaranth Loader и TGAmaranth RAT, использующего Telegram для командования и контроля, а также социальную инженерию и легальные сервисы для скрытности. Тактика группы подчеркивает дисциплинированный подход и быструю адаптацию к новым уязвимостям, что указывает на сложный ландшафт угроз.
-----

Amaranth-Dragon, APT-группировка, связанная с APT-41, провела нацеленные кампании кибершпионажа по всей Юго-Восточной Азии в 2025 году, в первую очередь против правительственных и правоохранительных органов. Операции группы совпадают со значительными геополитическими событиями в регионе, что служит тактикой для увеличения их шансов на успешное проникновение. Примечательно, что они использовали недавно раскрытую уязвимость WinRAR, CVE-2025-8088, позволяющую им использовать вредоносные архивы RAR для выполнения кода и закрепления в системах-жертвах. Эта уязвимость была раскрыта 8 августа 2025 года, и всего несколько дней спустя Amaranth-Dragon интегрировала ее в свои кампании, что ознаменовало бы быструю адаптацию к новым доступным эксплойтам.

Группа использует специальный инструмент, известный как загрузчик амаранта, которая обеспечивает зашифрованную полезную нагрузку и, в основном развертывает Havoc управление рамок (С2). Их деятельность характеризуется использованием законных таких услуг, как Dropbox и демонстрируют неординарный подход для сохранения скрытности, серверы С2 гео-ограничено, только отвечает на запросы от конкретных странах для минимизации непреднамеренных инфекций. Новый троян удаленного доступа (RAT) по имени TGAmaranth также выявлено, в которой работают телеграмма канал С2, что свидетельствует о тенденции к использованию популярных платформ связи для целей командования и управления.

Атаки Amaranth-Dragon были тщательно спланированы, с особым акцентом на темы, связанные с местными событиями, такими как кампания против филиппинской береговой охраны в честь ее 124-й годовщины. Они также использовали тактику социальной инженерии, выдавая себя за официальные организации, такие как "Администрация президента". В своих ранних кампаниях, до внедрения CVE-2025-8088, они использовали традиционные средства, такие как ZIP-файлы, содержащие файлы сценариев для запуска их загрузчика.

Набор инструментов группы демонстрирует заметное сходство с методами, ранее связанными с APT-41, включая DLL sideloading и другие методы, используемые в известных кампаниях. Определенные характеристики, такие как использование логики, основанной на времени, и специфических файловых артефактов, служат показателями дисциплинированной оперативной группы, работающей в рамках времени UTC+8. Возможности TGAmaranth RAT, которые включают функции защиты от обнаружения в системах обнаружения конечных точек и реагирования (EDR), еще больше подчеркивают техническое мастерство задействованных злоумышленников.

Таким образом, деятельность Amaranth-Dragon подчеркивает сложный ландшафт угроз, в котором уязвимости, подобные CVE-2025-8088, быстро используются в целях шпионажа. Операции группы подчеркивают необходимость для организаций, особенно в критически важных секторах, совершенствовать свои защитные механизмы, уделять приоритетное внимание своевременному устранению уязвимостей и поддерживать повышенную осведомленность о меняющихся тактиках и методах атак. Использование передовых методов для поддержания оперативности и эффективности служит напоминанием о постоянных рисках, создаваемых хорошо обеспеченными ресурсами злоумышленниками в сегодняшнем геополитическом климате.

#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part IV: Real Blood on the Wire

https://redasgard.com/blog/hunting-lazarus-part4-real-blood-on-the-wire

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Anydesk_tool
Beavertail
Invisibleferret
Ottercookie
Tsunami_botnet
Xmrig_miner
Dead_drop_technique

Victims:
Software developers, Banking users, Cryptocurrency users, Blockchain platforms, Developer platforms

Industry:
Financial, Entertainment, Software_development, Telco

Geo:
France, Nigeria, Sri lanka, Hungary, Asia, Russia, Croatia, Pakistan, Bangladesh, India, Vietnam, Singapore, America, Costa rica, Spain

CVEs:
CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)


TTPs:
Tactics: 5
Technics: 22

IOCs:
IP: 17
File: 5
Path: 1
Registry: 1

Soft:
VSCode, Chrome

Wallets:
metamask, coinbase

Algorithms:
base64, xor

Functions:
Get-Content, Write-Warning, Get-ItemProperty, Get-ScheduledTask

Languages:
php, python, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview нацелена на разработчиков, использующих уязвимости и поведение вредоносного ПО, связанные с сервером командования и контроля по IP 146.70.253.107. Злоумышленники используют домены-приманки для получения учетных данных жертв, что приводит к раскрытию конфиденциальной информации, включая банковские реквизиты, в общей сложности 241 764 скомпрометированных учетных записей. Примечательно, что кампания предполагает использование троянца удаленного доступа AnyDesk для постоянного доступа, наряду с критическими уязвимостями, такими как CVE-2024-4577 на сервере XAMPP, и уязвимостью IDOR для несанкционированного доступа к данным.
-----

Недавние расследования кампании Contagious Interview выявили серьезные уязвимости и поведение вредоносного ПО, связанные с определенной инфраструктурой командования и контроля (C2) по IP-адресу 146.70.253.107. На этом сервере C2 размещены не прошедшие проверку подлинности конечные точки HTTP, такие как /uploadInfo и /uploadFile, которые используются вредоносным ПО для указания жертвам отправлять украденные данные. Кампания выявила структурированные записи жертв, включая имена хостов, IP-адреса и конфиденциальные учетные данные, хранящиеся в открытом виде, что указывает на значительный риск для финансовой и личной информации.

Атака специально нацелена на разработчиков, работающих в локальных средах, захватывая их пароли, сохраненные в браузере, с помощью вредоносного ПО, которое взаимодействует с серверами разработки, такими как React и Vite. Этот подход использует домены-приманки, где жертвы непреднамеренно предоставляют свои учетные данные, регистрируясь на, казалось бы, законных платформах, связанных с блокчейн-играми. Злоумышленники извлекают выгоду из повторного использования пароля, позволяя им получать доступ к другим учетным записям, которые используют те же учетные данные.

Расследование задокументировало 121 жертву с открытыми банковскими учетными данными, что привело к подаче отчета в ФБР. Дополнительным обнаружением стал троян удаленного доступа AnyDesk (RAT), внедренный в рамках той же кампании, который обеспечивает постоянный доступ к компьютерам жертв после кражи учетных данных. AnyDesk RAT включает жестко закодированные учетные данные злоумышленника в конфигурации жертв и служит бэкдором для непрерывной эксплуатации.

Технический анализ также выявил критическую уязвимость —CVE-2024-4577— в конфигурации сервера XAMPP, используемой C2, которая потенциально допускает Удаленное Выполнение Кода, если она используется. Кроме того, уязвимость небезопасной прямой ссылки на объект (IDOR) позволяет получить несанкционированный доступ к данным жертв, связанным с конкретными кампаниями, через конечные точки API.

Вредоносное ПО демонстрирует сложную тактику работы, такую как автоматическое планирование работы маяка C2 каждые 10 минут и использование XOR-шифрования в различных компонентах. Вся инфраструктура опирается на несколько основных IP-адресов, при этом одновременно запускается несколько кампаний, извлекающих большие объемы учетных данных от жертв, в общей сложности 241 764 задокументированных скомпрометированных аккаунта.

Чтобы снизить риск, пользователям рекомендуется проверить свои сохраненные учетные данные на наличие неизвестных записей, немедленно сменить важные пароли и удалить все несанкционированные экземпляры AnyDesk. Кроме того, внедрение двухфакторной аутентификации может защитить учетные записи от несанкционированного доступа, связанного со скомпрометированными учетными данными, связанными с этими атаками.

#ParsedReport #CompletenessLow
03-02-2026

Vive La Vulnrabilit: French Kubernetes Cluster Hunts Your Webhook Endpoints

https://www.labs.greynoise.io/grimoire/2026-02-03-vive-la-vulnerabilite-french-kubernetes-cluster-hunts-your-webhook-endpoints/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Webhook endpoints, N8n platforms

Industry:
Healthcare

Geo:
France, French

CVEs:
CVE-2026-21858 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.121.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1583.003, T1583.004, T1583.006, T1595, T1595.003

Soft:
Kubelet, Debian, OpenSSH, curl, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4