#ParsedReport #CompletenessMedium
06-02-2026

APT36 LNK-based malware activity

https://www.ctfiot.com/297073.html

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Antivm_technique
Spear-phishing_technique

Victims:
Government

Industry:
Government

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 11
Command: 1
Domain: 2

Soft:
Windows Runtime, WhatsApp, WeChat

Algorithms:
exhibit, base64

Functions:
PDfiums, dropHijackDll, Pensisting

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36 - это злоумышленник, проводящий нацеленные атаки вредоносного ПО с использованием методов социальной инженерии, в частности, путем маскировки вредоносных файлов ярлыков Windows (LNK) под надежные PDF-документы. Эти вводящие в заблуждение файлы эксплуатируют доверие пользователей, заставляя их непреднамеренно запускать вредоносное ПО, которое обеспечивает несанкционированный доступ к их системам и контроль над ними. Эта кампания подчеркивает изощренное использование APT36's психологических манипуляций для обхода мер безопасности и успешного проникновения в системы жертв.
-----

APT36 был идентифицирован как злоумышленник, стоящий за нацеленной кампанией атак вредоносного ПО, которая использует методы социальной инженерии для проникновения в системы жертв. Эта кампания характеризуется использованием обманчивого подхода, при котором актор маскирует вредоносную полезную нагрузку под надежные документы. В частности, APT36 использовал файл ярлыков Windows (LNK-файл), Маскировку под PDF-документ, тактику, направленную на то, чтобы ввести пользователей в заблуждение и избежать обнаружения.

Атака начинается с распространения этих вредоносных программ.Файлы LNK, которые создаются для того, чтобы использовать доверие пользователей, выдавая себя за законные правительственные рекомендации. Как только жертва непреднамеренно взаимодействует с ярлыком, это запускает запуск вредоносного ПО, что потенциально приводит к несанкционированному доступу и контролю над скомпрометированной системой. Этот метод заражения основан на предположениях жертв о безопасности и достоверности информации, касающейся государственных тем.

Использование такого механизма доставки подчеркивает изощренность APT36, подчеркивая их зависимость от психологических манипуляций для достижения своих целей. Внедряя вредоносное ПО в, казалось бы, безобидные файлы, они могут обойти традиционные меры безопасности и увеличить вероятность успешного проникновения. Как указывает кампания, поддержание повышенной осведомленности о тактике социальной инженерии и тщательное изучение нежелательных сообщений могут служить важнейшей защитой от таких нацеленных угроз.

#ParsedReport #CompletenessMedium
06-02-2026

NFCShare Android Trojan: NFC card data theft via malicious APK

https://www.d3lab.net/nfcshare-android-trojan-nfc-card-data-theft-via-malicious-apk

Report completeness: Medium

Threats:
Nfcshare
Supercard-x
Relaynfc
Ngate

Victims:
Banking customers

Industry:
Financial

Geo:
Italian, Chinese, Deutsche

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1071.001, T1105, T1204.002, T1446, T1566

IOCs:
File: 2
Hash: 1
Domain: 1

Soft:
Android

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец NFCShare нацелен на пользователей Android с помощью кампании фишинга, выдающей себя за Deutsche Bank, направляя жертв на загрузку вредоносного APK-файла, который маскируется под "Support Nexi". Он использует технологию Android.nfc.Фреймворк IsoDep для считывания данных с платежных карт с поддержкой NFC, выводя конфиденциальную информацию на удаленный веб-сервер. Дизайн трояна, включая встроенный китайский текст и методы обфускации, предполагает связи с китайскими злоумышленниками и организованными группами киберпреступности.
-----

Троянец NFCShare нацелен на пользователей Android с помощью кампании фишинга, специально разработанной для того, чтобы выдавать себя за Deutsche Bank. Сначала жертвы попадают на мошеннический веб-сайт, имитирующий законную платформу банка, где им предлагается ввести номер своего мобильного телефона. Впоследствии им предлагается "обновить" свое банковское приложение, загрузив вредоносный APK-файл с именем deutsche.apk. После установки троянец маскируется под приложение под названием "Support Nexi" и инициирует обманный процесс верификации карты. Этот процесс включает в себя указание пользователю поднести свою NFC-карту к телефону, держать ее близко для аутентификации и ввести личный идентификационный номер карты (PIN-код).

Технически, вредоносный APK-файл использует технологию android.nfc.tech.Фреймворк IsoDep (ИЗОДЕП), который является частью протокола NFC, совместимого со стандартом ISO 14443. Используя эту технологию, приложение способно считывать данные с платежных карт с поддержкой NFC. Он обрабатывает эту информацию для создания объекта CardInfoitmanteis, который инкапсулирует конфиденциальные данные карты перед отправкой их на удаленную конечную точку WebSocket. Эта возможность не только допускает кражу информации о карте, но и предполагает, что приложение специально разработано для использования технологии NFC для эксфильтрации данных.

Троянцу было присвоено название NFCShare из-за последовательного присвоения внутреннего кода и поведенческих паттернов, наблюдаемых в ходе анализа, которые согласуются с его функциональными возможностями, включающими обмен данными с помощью NFC-карт. Более того, есть заметные ссылки на инструменты, связанные с китайскими злоумышленниками, о чем свидетельствует использование встроенного китайского текста в коде приложения и методы запутывания строк, которые повторяют те, что встречаются в известном китайском вредоносном ПО для Android. Это указывает на потенциальную связь с организованными группами киберпреступности, действующими из Китая, что усложняет картину угроз, связанных с этим конкретным Trojan.

#ParsedReport #CompletenessLow
06-02-2026

Russian Hacktivist Group Russian Legion Initiate OpDenmark

https://www.truesec.com/hub/blog/russian-hacktivist-group-russian-legion-initiate-opdenmark

Report completeness: Low

Actors/Campaigns:
Russian_legion (motivation: hacktivism)
Opdenmark (motivation: hacktivism)
Ragnarok (motivation: hacktivism)
Shadowclawz_404 (motivation: hacktivism)
Russian_partisan (motivation: hacktivism)
Inteid (motivation: hacktivism)
Noname057 (motivation: hacktivism)

Victims:
Danish companies, Private organizations, Swedish targets

Industry:
Government, Energy

Geo:
Russian, Danish, Russia, Denmark, Swedish, Poland

ChatGPT TTPs:
do not use without manual check
T1498, T1587

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская хактивистская группа "Russian Legion" проводит DDoS-атаки против датских компаний и расширяет свою кампанию в Швеции с помощью "Operation Ragnark". Их стратегия вербовки, которая включает денежные призы для новых членов, подразумевает высокий уровень организации, который может указывать на потенциальную государственную поддержку, сравнимую с другими пророссийскими группами, участвующими в кибероперациях. Сосредоточенность группы на тактике DDoS-атак подчеркивает их текущие методы работы, одновременно предполагая намерение расширить свое влияние.
-----

Российская группа хактивистов, известная как "Russian Legion", недавно запустила кампанию под названием "OpDenmark", направленную против нескольких датских компаний и организаций, главным образом посредством распределенных атак типа "отказ в обслуживании" (DDoS). Эта группа утверждает, что обладает передовыми возможностями для кибератак, хотя их текущие операции по-прежнему сосредоточены на тактике DDoS.

В рамках развития своей кампании Russian Legion объявила о начале второй фазы, получившей название "Operation Ragnark", которая может распространить их деятельность и на цели в Швеции. Объявление об этом новом этапе указывает на потенциальную эскалацию их деятельности и означает, что группа, возможно, расширяет сферу своей деятельности за пределы Дании.

Тактика вербовки, применяемая Russian Legion, которая включает в себя предложение денежных призов новым хактивистам, вступающим в их ряды, предполагает уровень организации и финансирования, который может свидетельствовать о государственной поддержке или принадлежности к интересам российского правительства. Это аналогично действиям другой пророссийской хактивистской группы, NoName057(16), которая была связана с российским правительственным учреждением, специализирующимся на информационной войне. Финансовое стимулирование участия в этих хакерских усилиях подчеркивает согласованный подход к укреплению их деятельности, подразумевающий стратегический план по усилению их влияния и оперативного охвата в среде хактивистов.

Таким образом, "Russian Legion" сосредоточен на проведении DDoS-атак против датских организаций, намекая при этом на экспансию в шведские интересы, подкрепленную стратегией вербовки, которая предполагает потенциальные связи с государственным финансированием или поддержкой, аналогичной той, что наблюдается у других пророссийских кибергруппировок.

#ParsedReport #CompletenessMedium
06-02-2026

Security Alert for APT-C-28 (ScarCruft) Launching Cyber Attacks with MiradorShell

https://www.ctfiot.com/297233.html

Report completeness: Medium

Actors/Campaigns:
Scarcruft

Threats:
Miradorshell
Spear-phishing_technique

Victims:
Cryptocurrency industry, Web3 startups, Defi developers

Industry:
Energy

Geo:
Korean, Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.008, T1204, T1566.001

IOCs:
Hash: 4
File: 7
Url: 3
Domain: 1
IP: 1

Soft:
WeChat

Algorithms:
md5, zip

Win API:
CreateProcessA

Languages:
autoit, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-28, или ScarCruft, нацелен на сектор криптовалют, используя сложную тактику spear phishing, которая использует обманчивые PDF-файлы, замаскированные под файлы LNK, чтобы заманить жертв, особенно в Web3 и децентрализованном финансовом пространстве. После запуска эти файлы LNK запускают многоэтапный процесс установки, развертывая MiradorShell версии 2.0, чтобы получить контроль над зараженной системой, хотя подробная информация об этом вредоносном ПО остается скудной. Эта атака подчеркивает растущие риски для финансовых транзакций и данных в новых технологиях.
-----

Сообщается, что APT-C-28, известный как ScarCruft, расширяет цели своих кибератак, чтобы охватить сектор криптовалют. Эта разработка была обнаружена в результате ежедневного отслеживания и анализа, проводимого Институтом перспективных исследований угроз 360. Группа ScarCruft применяет сложную тактику spear phishing, используя документы-приманки, которые выглядят как PDF-файлы, но на самом деле являются файлами LNK. Эти документы разработаны таким образом, чтобы привлечь инвестиции в размере от 1 до 3 миллионов долларов США, непосредственно ориентированные на стартапы Web3 и разработчиков в сфере децентрализованных финансов (DeFi). Дизайн этих документов носит стратегический характер и направлен на привлечение потенциальных жертв, не вызывая подозрений.

После выполнения файла LNK инициируется многоэтапная установка полезной нагрузки, завершающаяся развертыванием MiradorShell версии 2.0. Это вредоносное ПО предназначено для установления контроля над зараженной системой, хотя полные технические характеристики этой версии MiradorShell публично не разглашались. Оперативная методология, лежащая в основе этой атаки, подчеркивает важность осведомленности о потенциальных угрозах в индустрии криптовалют, особенно учитывая специфическую направленность финансовых транзакций и данных, связанных с новыми технологиями. Понимание этого вектора атаки имеет решающее значение для частных лиц и организаций, вовлеченных в сферу криптовалют, для внедрения эффективных мер защиты от компрометации данных и финансовых потерь.

#ParsedReport #CompletenessHigh
05-02-2026

Analysis of Suspected Malware Linked to APT-Q-27 Targeting Financial Institutions

https://cystack.net/research/malware-linked-apt-q-27

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog

Threats:
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Financial institutions, Finance sector

Geo:
California, Singapore, China, Tokyo, Philippines, Japan, Korea, Guangdong, India, Hong kong

TTPs:
Tactics: 7
Technics: 22

IOCs:
Url: 1
Registry: 3
IP: 38
Hash: 11
Domain: 1
Path: 2
File: 2

Soft:
Windows service, Zendesk, Chrome, Firefox, Chrome, Sogou, Internet Explorer, Chrome, Firefox, Sogou

Algorithms:
xor, sha256, base64, md5

Functions:
CPUandRamCheck

Win API:
VirtualProtect, Decompress, CreateMutexA, GetLastError, IsDebuggerPresent, GetSystemInfo, GlobalMemoryStatusEx, ShellExecuteExA, OpenSCManagerA, CreateServiceA, have more...

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27 - это APT-группировка, нацеленная на финансовые учреждения с помощью сложных многоэтапных атак. Используя Целевой фишинг со ссылкой, замаскированный в тикете Zendesk, они доставляют вредоносное ПО под Маскировку в формате JPEG, с дроппером, который поэтапно извлекает полезную нагрузку и использует DLL sideloading для выполнения вредоносного кода с повышенными привилегиями. Вредоносное ПО использует различные тактики уклонения, поддерживает закрепление с помощью записей реестра и выполняет множество функций бэкдора для эксфильтрации данных и контроля, имитируя при этом законные процессы, чтобы избежать обнаружения.
-----

APT-Q-27, изощренная APT-группировка, занимающаяся распространением устойчивых угроз (APT), была тщательно изучена на предмет их нацеленных кампаний против финансовых учреждений. Вредоносное ПО, связанное с этой группой, использует многоэтапный подход к атаке, который делает упор на незаметную работу за счет минимизации следов на диске и имитации безопасных системных действий, что затрудняет обнаружение. Расследование показало, что вредоносное ПО не распространялось в поперечном направлении по системам затронутой организации.

Точкой первоначального доступа для этой кибератаки была Целевая фишинг со ссылкой, включенная в тикет Zendesk, что привело к доставке Вредоносного файла, Маскировки под изображение в формате JPEG, но на самом деле это был файл PIF. Эта тактика использует доверие пользователей, заставляя их запускать то, что они считают безвредным файлом изображения.

Рабочий процесс выполнения вредоносного ПО включает в себя дроппер, который не внедряет основную полезную нагрузку, а извлекает ее поэтапно. Законно выглядящий `updat.exe `действует как подписанный загрузчик, в то время как "crashreport.dll `, нелегитимный компонент, помещается в тот же каталог для облегчения DLL sideloading. Поскольку эта библиотека DLL специально названа так, чтобы отображаться как законная зависимость для `updat.exe `, он предпочтительно загружается операционной системой Windows. Выполнение `crashreport.dll ` ставит под угрозу высшие привилегии"updat.exe `, запускающий вредоносный код под видом доверенного процесса.

После активации бэкдор, встроенный в вредоносное ПО, выполняет несколько защитных проверок, чтобы убедиться, что оно не анализируется и не запускается в контролируемой среде. Методы атак, используемые вредоносным ПО, включают в себя различные стратегии уклонения, такие как подрыв контроля доверия с помощью Подписей исполняемого кода, случайный переход в спящий режим, чтобы избежать обнаружения из изолированных сред, и использование Скрытого окна для сокрытия своих операций.

Время злоумышленник также предусматривается закрепление на зараженных системах, добавление записей в реестре, запустить вредоносное ПО при загрузке системы. Кроме того, он очищает следы своей деятельности путем удаления истории браузера и очистка журналов событий Windows, чтобы обойти меры безопасности.

Поведение вредоносного ПО тщательно задокументировано с привязкой к известным методам MITRE ATT&CK, явно демонстрирующим тактику, связанную с первоначальным доступом посредством фишинга, выполнением вредоносных полезных нагрузок и попытками скрыть свое присутствие в зараженных системах, таких как Маскировка под законные системные файлы. Примечательно, что было идентифицировано несколько модулей бэкдора, каждый из которых предназначен для выполнения определенных функций, таких как передача файлов, сбор учетных записей и выполнение команд, что указывает на комплексную инфраструктуру, направленную на поддержание контроля над скомпрометированными системами и извлечение конфиденциальной информации из нацеленных финансовых организаций.

#ParsedReport #CompletenessLow
05-02-2026

Malicious Bing Ads Lead to Widespread Azure Tech Support Scams

https://www.netskope.com/blog/malicious-bing-ads-lead-to-widespread-azure-tech-support-scams

Report completeness: Low

Victims:
Healthcare, Manufacturing, Technology

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1204, T1583.006, T1608.004, T1608.006, T1608.009

IOCs:
Domain: 71

Soft:
Azure Blob, WordPress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
2 февраля 2023 года была обнаружена кампания фишинга, нацеленная на пользователей из 48 организаций США, включая такие секторы, как здравоохранение и технологии, которая использовала вредоносную рекламу в результатах поиска Bing. Эти объявления перенаправляли жертв на мошеннические страницы технической поддержки, размещенные в хранилище больших двоичных объектов Azure, что указывало на структурированную методологию атаки. Вредоносные URL-адреса соответствовали согласованному шаблону, привязанному к доменам Azure, что усложняло их отслеживание.
-----

2 февраля 2023 года, около 16:00 UTC, Netskope Threat Labs зафиксировала всплеск пользователей из 48 организаций в США, которые переходили по мошенническим ссылкам технической поддержки, размещенным в хранилище больших двоичных объектов Azure. Затронутые организации охватывали различные секторы, такие как здравоохранение, производство и технологии, что указывает на широкое воздействие этой кампании за короткий промежуток времени.

Первоначальным направлением атаки мошенников была вредоносная реклама, отображаемая в результатах поиска Bing. Эта реклама появлялась, когда пользователи искали распространенные, безобидные термины, такие как "amazon", что фактически перенаправляло их на поддельные страницы технической поддержки. Этот инцидент подчеркивает опасность вредоносной рекламы и потенциальные риски, связанные с поиском хорошо известных онлайн-сервисов.

В инфраструктуре, используемой для размещения мошеннического контента, в основном использовалось хранилище больших двоичных объектов Azure. Каждый из вредоносных URL-адресов соответствовал определенной схеме, что предполагает стандартизированный подход к развертыванию инфраструктуры атаки. Отмеченная схема была привязана к доменам хранилища больших двоичных объектов Azure, что делало вредоносный контент доступным и трудным для отслеживания на начальном этапе.

Netskope идентифицировал эти мошеннические страницы технической поддержки как целевую страницу поддержки Microsoft для фишинга в рамках своего фреймворка обнаружения. ... ФИШИНГ. После этого обнаружения все домены, связанные с контейнерами хранения больших двоичных объектов Azure, использованными в мошенничестве, были уведомлены Корпорацией Майкрософт, и на дату публикации результатов они больше не предоставляют вредоносный контент. В дальнейшем Netskope Threat Labs намерена отслеживать эту кампанию, чтобы оценить ее текущее воздействие и эволюцию.

#ParsedReport #CompletenessHigh
05-02-2026

New Clickfix variant CrashFix deploying Python Remote Access Trojan

https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/

Report completeness: High

Threats:
Clickfix_technique
Crashfix
Process_hacker_tool
Modelorat
Nltest_tool

Victims:
Web browser users

TTPs:
Tactics: 5
Technics: 0

IOCs:
Path: 1
Hash: 8
Url: 3
Domain: 2
File: 6
IP: 6
Registry: 1

Soft:
Chrome, Dropbox, Microsoft Defender, Microsoft Defender for Endpoint

Algorithms:
zip, sha256

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix представила новый вариант, CrashFix, который использует социальную инженерию для эксплуатации пользователей, ищущих средства блокировки рекламы. Жертвы направляются к поддельному расширению Chrome, выдающему себя за uBlock Origin Lite; после установки расширение приводит к сбою в работе браузеров и пытается манипулировать пользователями, заставляя их выполнять вредоносные команды. Наличие Троянской программы удаленного доступа на Python (RAT) указывает на продвинутый уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.
-----

Кампания ClickFix эволюционировала с появлением нового варианта, известного как CrashFix, который был представлен в январе 2026 года. Эта итерация усиливает существующую тактику, используя механизм социальной инженерии, который использует поиск пользователями средств блокировки рекламы. Жертвы часто сталкиваются с вредоносной рекламой, которая перенаправляет их на поддельное расширение в интернет-магазине Chrome, Маскировку под законный uBlock Origin Lite. Такой подход призван создать видимость законности, тем самым побуждая пользователей устанавливать вредоносное расширение для браузера.

После установки вредоносное расширение предназначено для аварийного завершения работы браузера, что приводит к разочарованию пользователя. Под видом технического сбоя он пытается манипулировать жертвами, заставляя их выполнять вредоносные команды, с ложным обещанием восстановить нормальную функциональность браузера. Использование Троянской программы удаленного доступа на Python (RAT) в рамках этого фреймворка предполагает сложный уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.

Для организаций, использующих Microsoft Defender XDR, существуют специальные средства обнаружения, направленные на выявление этой вредоносной активности. Платформа XDR обеспечивает комплексные стратегии защиты по нескольким направлениям, включая конечные точки, идентификационные данные, электронную почту и приложения, обеспечивая таким образом комплексную защиту от подобных атак. Кроме того, корпорация Майкрософт предоставляет аналитические отчеты об угрозах, которые позволяют клиентам своевременно получать информацию об злоумышленниках, их методологиях и рекомендациях по смягчению последствий и стратегиям реагирования. Эти ресурсы имеют решающее значение для поддержания надежной системы кибербезопасности в условиях развивающихся угроз, таких как CrashFix, вариант кампании ClickFix.