#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние инциденты с безопасностью, связанные с инфраструктурой dYdX, подвергают серьезным рискам экосистемы управления пакетами, такие как npm и PyPI, в первую очередь из-за компромиссов со стороны сопровождающих. Вредоносные пакеты npm способствовали краже учетных данных и включали функциональность, которая позволяет извлекать конфиденциальные пользовательские данные, такие как начальные фразы. Кроме того, скомпрометированный пакет PyPI содержал Троянскую программу для удаленного доступа, способную выполнять произвольный код, демонстрирующую передовые методы обфускации, которые используют связь управления с помощью командной строки, что отражает сложный подход злоумышленника.
-----

Недавние инциденты с безопасностью, связанные с инфраструктурой dYdX, выявили значительные риски, связанные с экосистемами управления пакетами, такими как npm и PyPI, в частности, из-за компрометации сопровождающего, что привело к распространению вредоносных клиентских пакетов dYdX. Этот инцидент способствовал краже учетных данных из кошельков пользователей и сделал возможным потенциальное Удаленное Выполнение Кода в затронутых системах.

Нападение является частью более широкой картины целеуказания dYdX на протяжении многих лет, с предыдущими случаями цепочка поставок снабжение и атаки на уровне домена. Например, в сентябре 2022, нарушена npm-пакетов, используемых на различных криптовалютных платформ включены сценарии, которые выполняются внешних, вредоносных полезных нагрузок после установки. Кроме того, более недавний инцидент с DNS hijacking в июле 2024 года привел к тому, что пользователи попали на сайт фишинга, нацеленный на вывод средств с криптовалютных кошельков, продемонстрировав различные методы, используемые злоумышленниками.

Что касается вредоносного пакета npm, то он включает в себя функцию createRegistry(), которая после интеграции извлекает конфиденциальную пользовательскую информацию, включая начальные фразы и отпечатки пальцев устройства. Этот механизм представляет значительный риск, поскольку разработчики невольно раскрывают учетные данные своих пользователей с помощью, казалось бы, безобидных функций.

На платформе PyPI вредоносный пакет включает в себя не только кражу учетных данных, но и Троянскую программу удаленного доступа (RAT), скрытую в зашифрованной полезной нагрузке. RAT позволяет злоумышленникам выполнять произвольный код после импорта пакета, поскольку он предназначен для автоматического запуска при первом использовании. Эта возможность позволяет полностью скомпрометировать систему, выходя за рамки простой кражи кошелька и потенциально получая контроль над всей системой жертвы.

Тактика обфускации, используемая в полезной нагрузке RAT, которая подключается к серверу управления для получения инструкций, демонстрирует изощренность злоумышленников. Это позволяет лучше понять системные уязвимости, поскольку эффективно обходит типичные механизмы обнаружения.

Инциденты соответствуют множеству методов, определенных в рамках фреймворка MITRE ATT&CK, включая Компрометацию цепочки поставок, использование Интерпретатора командной строки и сценариев и эксфильтрацию по каналу управления. В совокупности эти атаки подчеркивают острую необходимость проявлять бдительность в Цепочках поставок программного обеспечения и важность внедрения надежных методов обеспечения безопасности для снижения рисков.

#ParsedReport #CompletenessMedium
05-02-2026

DYNOWIPER: Destructive Malware Targeting Poland's EnergySector

https://www.elastic.co/security-labs/dynowiper

Report completeness: Medium

Actors/Campaigns:
Static_tundra
Energeticbear

Threats:
Dynowiper

Victims:
Energy sector, Renewable energy facilities, Combined heat and power plant

Industry:
Ics, Critical_infrastructure, Energy

Geo:
Poland

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 1
Path: 1
Hash: 6
IP: 5

Soft:
Active Directory

Algorithms:
sha256, prng, sha1, md5

Functions:
Microsoft

Win API:
GetLogicalDrives, CreateFileW, OpenProcessToken, SeShutdownPrivilege, AdjustTokenPrivileges, ExitWindowsEx, SetFileAttributesW

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кибератаке на энергетическую инфраструктуру Польши 29 декабря 2025 года использовалось пользовательское вредоносное ПО wiper под названием DYNOWIPER, которое необратимо уничтожило данные более чем на 30 объектах возобновляемой энергетики и ТЭЦ. В атаке использовались такие уязвимости, как непатентованные устройства и отсутствие Многофакторной аутентификации, а также поврежденные файлы DYNOWIPER с использованием специального метода, который нацелен на логические диски, не затрагивая критические каталоги. Этот инцидент, атрибутируемый с известным кластером угроз, подчеркивает растущий риск разрушительных операций на критически важной инфраструктуре.
-----

29 декабря 2025 года скоординированная кибератака была нацелена на энергетическую инфраструктуру Польши, оказав значительное воздействие на более чем 30 объектов возобновляемой энергетики и крупную комбинированную теплоэлектростанцию (ТЭЦ). В атаках использовалось пользовательское вредоносное ПО wiper под названием DYNOWIPER, которое необратимо уничтожало данные в затронутых сетях. Эта атака была атрибутирована с кластером угроз, признанным различными фирмами по кибербезопасности под разными названиями, включая Static Tundra от Cisco и Berserk Bear от Crowdstrike.

Атака использовала уязвимости, такие как VPN-интерфейсы, в которых отсутствует Многофакторная аутентификация, и повторно использовала учетные данные на различных объектах, наряду с незащищенными уязвимостями устройств. DYNOWIPER работает путем перечисления логических дисков в зараженных системах, специально нацеливаясь на стационарные и съемные диски, при этом стратегически повреждая файлы, не затрагивая критически важные для системы каталоги, тем самым поддерживая некоторый уровень стабильности системы во время атаки.

Вредоносное ПО использует генератор псевдослучайных чисел, основанный на алгоритме Mersenne Twister, для генерации случайных данных при повреждении файла. Вместо того чтобы полностью перезаписывать файлы, DYNOWIPER повреждает выбранные их части, усугубляя ущерб, но позволяя процессу выполняться быстро. После завершения этапов повреждения и удаления DYNOWIPER принудительно перезагружает систему, чтобы помочь достичь своих разрушительных целей.

Существуют две известные версии DYNOWIPER, задокументированные CERT Polska; проанализированный образец соответствует версии A, которая включает функциональность отключения системы. В отличие от этого, версия B опускает эту функциональность и включает паузу между фазами ее повреждения и удаления.

Elastic Defend удалось обнаружить и предотвратить запуск DYNOWIPER до того, как произошло какое—либо повреждение, используя canary file monitoring - стратегически размещенные файлы-приманки, которые запускают оповещения при модификации, на что непреднамеренно повлиял подход DYNOWIPER's к неизбирательному повреждению файлов.

Что касается возможностей обнаружения, ключевые показатели включают выполнение вызовов API GetLogicalDrives в сочетании с массовыми файловыми операциями и необычным поведением системы, таким как повышение привилегий и модификации объектов групповой политики, связанные с запланированными задачами. Восстановление после атаки включает в себя восстановление из автономных резервных копий, проверку их целостности и обеспечение сброса всех учетных данных, в частности учетных записей администраторов домена, для снижения риска дальнейшего использования.

Атаки в декабре 2025 года иллюстрируют тревожную тенденцию в деструктивных кибероперациях, направленных на критически важную инфраструктуру, при этом DYNOWIPER демонстрирует эффективную, но относительно несложную методологию быстрого Уничтожения данных, дополненную обширным доступом, который уже существовал у злоумышленников.

#ParsedReport #CompletenessLow
06-02-2026

New Wave of Odyssey Stealer Actively Targeting macOS Users

https://cybersecuritynews.com/new-wave-of-odyssey-stealer/

Report completeness: Low

Threats:
Odyssey_stealer
Polymorphism_technique

Victims:
Macos users

Geo:
France, United kingdom, Spain, Canada, Brazil, India, Italy, Germany, Asia, Africa

ChatGPT TTPs:
do not use without manual check
T1027

IOCs:
Hash: 14

Soft:
macOS, Chrome, twitter

Algorithms:
sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Odyssey Stealer активизировало свою атаку на пользователей macOS с помощью сложных методов уклонения, в частности polymorphism, который позволяет вредоносному ПО изменять свой код и цифровые подписи, чтобы избежать обнаружения традиционными мерами безопасности. Эта кампания подчеркивает растущую угрозу системам macOS, где безопасность может быть менее надежной, чем на других платформах. Использование автоматизированных методов уклонения отражает продолжающуюся адаптацию киберугроз в ответ на меры безопасности.
-----

Вредоносная Кампания Odyssey Stealer активизировалась, сосредоточив свои усилия на пользователях macOS с помощью передовых методов уклонения. Это вредоносное ПО классифицируется как изощренное и агрессивное, что подчеркивает растущую угрозу для систем macOS. Одной из наиболее важных характеристик Odyssey Stealer является его зависимость от polymorphism, который позволяет ему изменять свой код, чтобы эффективно обходить обычные меры безопасности. Этот метод уклонения включает автоматическое изменение его цифровой подписи, что затрудняет традиционным антивирусным программам обнаружение угрозы и реагирование на нее.

Активизация кампании Odyssey Stealer означает растущую тенденцию к распространению киберугроз, нацеленных на среды macOS, где механизмы безопасности могут быть не такими надежными, как в других операционных системах. Используя автоматизацию для уклонения, вредоносное ПО может защитить себя от обнаружения и максимально увеличить свои шансы на успешное проникновение в целевые системы. Пользователям следует сохранять бдительность, поскольку злоумышленники постоянно адаптируют свою тактику для использования уязвимостей, что отражает продолжающуюся гонку вооружений между разработчиками вредоносного ПО и специалистами по безопасности.

#ParsedReport #CompletenessMedium
06-02-2026

APT36 LNK-based malware activity

https://www.ctfiot.com/297073.html

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Antivm_technique
Spear-phishing_technique

Victims:
Government

Industry:
Government

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 11
Command: 1
Domain: 2

Soft:
Windows Runtime, WhatsApp, WeChat

Algorithms:
exhibit, base64

Functions:
PDfiums, dropHijackDll, Pensisting

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36 - это злоумышленник, проводящий нацеленные атаки вредоносного ПО с использованием методов социальной инженерии, в частности, путем маскировки вредоносных файлов ярлыков Windows (LNK) под надежные PDF-документы. Эти вводящие в заблуждение файлы эксплуатируют доверие пользователей, заставляя их непреднамеренно запускать вредоносное ПО, которое обеспечивает несанкционированный доступ к их системам и контроль над ними. Эта кампания подчеркивает изощренное использование APT36's психологических манипуляций для обхода мер безопасности и успешного проникновения в системы жертв.
-----

APT36 был идентифицирован как злоумышленник, стоящий за нацеленной кампанией атак вредоносного ПО, которая использует методы социальной инженерии для проникновения в системы жертв. Эта кампания характеризуется использованием обманчивого подхода, при котором актор маскирует вредоносную полезную нагрузку под надежные документы. В частности, APT36 использовал файл ярлыков Windows (LNK-файл), Маскировку под PDF-документ, тактику, направленную на то, чтобы ввести пользователей в заблуждение и избежать обнаружения.

Атака начинается с распространения этих вредоносных программ.Файлы LNK, которые создаются для того, чтобы использовать доверие пользователей, выдавая себя за законные правительственные рекомендации. Как только жертва непреднамеренно взаимодействует с ярлыком, это запускает запуск вредоносного ПО, что потенциально приводит к несанкционированному доступу и контролю над скомпрометированной системой. Этот метод заражения основан на предположениях жертв о безопасности и достоверности информации, касающейся государственных тем.

Использование такого механизма доставки подчеркивает изощренность APT36, подчеркивая их зависимость от психологических манипуляций для достижения своих целей. Внедряя вредоносное ПО в, казалось бы, безобидные файлы, они могут обойти традиционные меры безопасности и увеличить вероятность успешного проникновения. Как указывает кампания, поддержание повышенной осведомленности о тактике социальной инженерии и тщательное изучение нежелательных сообщений могут служить важнейшей защитой от таких нацеленных угроз.

#ParsedReport #CompletenessMedium
06-02-2026

NFCShare Android Trojan: NFC card data theft via malicious APK

https://www.d3lab.net/nfcshare-android-trojan-nfc-card-data-theft-via-malicious-apk

Report completeness: Medium

Threats:
Nfcshare
Supercard-x
Relaynfc
Ngate

Victims:
Banking customers

Industry:
Financial

Geo:
Italian, Chinese, Deutsche

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1071.001, T1105, T1204.002, T1446, T1566

IOCs:
File: 2
Hash: 1
Domain: 1

Soft:
Android

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец NFCShare нацелен на пользователей Android с помощью кампании фишинга, выдающей себя за Deutsche Bank, направляя жертв на загрузку вредоносного APK-файла, который маскируется под "Support Nexi". Он использует технологию Android.nfc.Фреймворк IsoDep для считывания данных с платежных карт с поддержкой NFC, выводя конфиденциальную информацию на удаленный веб-сервер. Дизайн трояна, включая встроенный китайский текст и методы обфускации, предполагает связи с китайскими злоумышленниками и организованными группами киберпреступности.
-----

Троянец NFCShare нацелен на пользователей Android с помощью кампании фишинга, специально разработанной для того, чтобы выдавать себя за Deutsche Bank. Сначала жертвы попадают на мошеннический веб-сайт, имитирующий законную платформу банка, где им предлагается ввести номер своего мобильного телефона. Впоследствии им предлагается "обновить" свое банковское приложение, загрузив вредоносный APK-файл с именем deutsche.apk. После установки троянец маскируется под приложение под названием "Support Nexi" и инициирует обманный процесс верификации карты. Этот процесс включает в себя указание пользователю поднести свою NFC-карту к телефону, держать ее близко для аутентификации и ввести личный идентификационный номер карты (PIN-код).

Технически, вредоносный APK-файл использует технологию android.nfc.tech.Фреймворк IsoDep (ИЗОДЕП), который является частью протокола NFC, совместимого со стандартом ISO 14443. Используя эту технологию, приложение способно считывать данные с платежных карт с поддержкой NFC. Он обрабатывает эту информацию для создания объекта CardInfoitmanteis, который инкапсулирует конфиденциальные данные карты перед отправкой их на удаленную конечную точку WebSocket. Эта возможность не только допускает кражу информации о карте, но и предполагает, что приложение специально разработано для использования технологии NFC для эксфильтрации данных.

Троянцу было присвоено название NFCShare из-за последовательного присвоения внутреннего кода и поведенческих паттернов, наблюдаемых в ходе анализа, которые согласуются с его функциональными возможностями, включающими обмен данными с помощью NFC-карт. Более того, есть заметные ссылки на инструменты, связанные с китайскими злоумышленниками, о чем свидетельствует использование встроенного китайского текста в коде приложения и методы запутывания строк, которые повторяют те, что встречаются в известном китайском вредоносном ПО для Android. Это указывает на потенциальную связь с организованными группами киберпреступности, действующими из Китая, что усложняет картину угроз, связанных с этим конкретным Trojan.

#ParsedReport #CompletenessLow
06-02-2026

Russian Hacktivist Group Russian Legion Initiate OpDenmark

https://www.truesec.com/hub/blog/russian-hacktivist-group-russian-legion-initiate-opdenmark

Report completeness: Low

Actors/Campaigns:
Russian_legion (motivation: hacktivism)
Opdenmark (motivation: hacktivism)
Ragnarok (motivation: hacktivism)
Shadowclawz_404 (motivation: hacktivism)
Russian_partisan (motivation: hacktivism)
Inteid (motivation: hacktivism)
Noname057 (motivation: hacktivism)

Victims:
Danish companies, Private organizations, Swedish targets

Industry:
Government, Energy

Geo:
Russian, Danish, Russia, Denmark, Swedish, Poland

ChatGPT TTPs:
do not use without manual check
T1498, T1587

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская хактивистская группа "Russian Legion" проводит DDoS-атаки против датских компаний и расширяет свою кампанию в Швеции с помощью "Operation Ragnark". Их стратегия вербовки, которая включает денежные призы для новых членов, подразумевает высокий уровень организации, который может указывать на потенциальную государственную поддержку, сравнимую с другими пророссийскими группами, участвующими в кибероперациях. Сосредоточенность группы на тактике DDoS-атак подчеркивает их текущие методы работы, одновременно предполагая намерение расширить свое влияние.
-----

Российская группа хактивистов, известная как "Russian Legion", недавно запустила кампанию под названием "OpDenmark", направленную против нескольких датских компаний и организаций, главным образом посредством распределенных атак типа "отказ в обслуживании" (DDoS). Эта группа утверждает, что обладает передовыми возможностями для кибератак, хотя их текущие операции по-прежнему сосредоточены на тактике DDoS.

В рамках развития своей кампании Russian Legion объявила о начале второй фазы, получившей название "Operation Ragnark", которая может распространить их деятельность и на цели в Швеции. Объявление об этом новом этапе указывает на потенциальную эскалацию их деятельности и означает, что группа, возможно, расширяет сферу своей деятельности за пределы Дании.

Тактика вербовки, применяемая Russian Legion, которая включает в себя предложение денежных призов новым хактивистам, вступающим в их ряды, предполагает уровень организации и финансирования, который может свидетельствовать о государственной поддержке или принадлежности к интересам российского правительства. Это аналогично действиям другой пророссийской хактивистской группы, NoName057(16), которая была связана с российским правительственным учреждением, специализирующимся на информационной войне. Финансовое стимулирование участия в этих хакерских усилиях подчеркивает согласованный подход к укреплению их деятельности, подразумевающий стратегический план по усилению их влияния и оперативного охвата в среде хактивистов.

Таким образом, "Russian Legion" сосредоточен на проведении DDoS-атак против датских организаций, намекая при этом на экспансию в шведские интересы, подкрепленную стратегией вербовки, которая предполагает потенциальные связи с государственным финансированием или поддержкой, аналогичной той, что наблюдается у других пророссийских кибергруппировок.

#ParsedReport #CompletenessMedium
06-02-2026

Security Alert for APT-C-28 (ScarCruft) Launching Cyber Attacks with MiradorShell

https://www.ctfiot.com/297233.html

Report completeness: Medium

Actors/Campaigns:
Scarcruft

Threats:
Miradorshell
Spear-phishing_technique

Victims:
Cryptocurrency industry, Web3 startups, Defi developers

Industry:
Energy

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.008, T1204, T1566.001

IOCs:
Hash: 4
File: 7
Url: 3
Domain: 1
IP: 1

Soft:
WeChat

Algorithms:
md5, zip

Win API:
CreateProcessA

Languages:
autoit, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-28, или ScarCruft, нацелен на сектор криптовалют, используя сложную тактику spear phishing, которая использует обманчивые PDF-файлы, замаскированные под файлы LNK, чтобы заманить жертв, особенно в Web3 и децентрализованном финансовом пространстве. После запуска эти файлы LNK запускают многоэтапный процесс установки, развертывая MiradorShell версии 2.0, чтобы получить контроль над зараженной системой, хотя подробная информация об этом вредоносном ПО остается скудной. Эта атака подчеркивает растущие риски для финансовых транзакций и данных в новых технологиях.
-----

Сообщается, что APT-C-28, известный как ScarCruft, расширяет цели своих кибератак, чтобы охватить сектор криптовалют. Эта разработка была обнаружена в результате ежедневного отслеживания и анализа, проводимого Институтом перспективных исследований угроз 360. Группа ScarCruft применяет сложную тактику spear phishing, используя документы-приманки, которые выглядят как PDF-файлы, но на самом деле являются файлами LNK. Эти документы разработаны таким образом, чтобы привлечь инвестиции в размере от 1 до 3 миллионов долларов США, непосредственно ориентированные на стартапы Web3 и разработчиков в сфере децентрализованных финансов (DeFi). Дизайн этих документов носит стратегический характер и направлен на привлечение потенциальных жертв, не вызывая подозрений.

После выполнения файла LNK инициируется многоэтапная установка полезной нагрузки, завершающаяся развертыванием MiradorShell версии 2.0. Это вредоносное ПО предназначено для установления контроля над зараженной системой, хотя полные технические характеристики этой версии MiradorShell публично не разглашались. Оперативная методология, лежащая в основе этой атаки, подчеркивает важность осведомленности о потенциальных угрозах в индустрии криптовалют, особенно учитывая специфическую направленность финансовых транзакций и данных, связанных с новыми технологиями. Понимание этого вектора атаки имеет решающее значение для частных лиц и организаций, вовлеченных в сферу криптовалют, для внедрения эффективных мер защиты от компрометации данных и финансовых потерь.

#ParsedReport #CompletenessHigh
05-02-2026

Analysis of Suspected Malware Linked to APT-Q-27 Targeting Financial Institutions

https://cystack.net/research/malware-linked-apt-q-27

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog

Threats:
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Financial institutions, Finance sector

Geo:
California, Singapore, China, Tokyo, Philippines, Japan, Korea, Guangdong, India, Hong kong

TTPs:
Tactics: 7
Technics: 22

IOCs:
Url: 1
Registry: 3
IP: 38
Hash: 11
Domain: 1
Path: 2
File: 2

Soft:
Windows service, Zendesk, Chrome, Firefox, Chrome, Sogou, Internet Explorer, Chrome, Firefox, Sogou

Algorithms:
xor, sha256, base64, md5

Functions:
CPUandRamCheck

Win API:
VirtualProtect, Decompress, CreateMutexA, GetLastError, IsDebuggerPresent, GetSystemInfo, GlobalMemoryStatusEx, ShellExecuteExA, OpenSCManagerA, CreateServiceA, have more...

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4