#ParsedReport #CompletenessHigh
05-02-2026

Analysis of Suspected Malware Linked to APT-Q-27 Targeting Financial Institutions

https://cystack.net/research/malware-linked-apt-q-27

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog

Threats:
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Financial institutions, Finance sector

Geo:
California, Singapore, China, Tokyo, Philippines, Japan, Korea, Guangdong, India, Hong kong

TTPs:
Tactics: 7
Technics: 22

IOCs:
Url: 1
Registry: 3
IP: 38
Hash: 11
Domain: 1
Path: 2
File: 2

Soft:
Windows service, Zendesk, Chrome, Firefox, Chrome, Sogou, Internet Explorer, Chrome, Firefox, Sogou

Algorithms:
xor, sha256, base64, md5

Functions:
CPUandRamCheck

Win API:
VirtualProtect, Decompress, CreateMutexA, GetLastError, IsDebuggerPresent, GetSystemInfo, GlobalMemoryStatusEx, ShellExecuteExA, OpenSCManagerA, CreateServiceA, have more...

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27 - это APT-группировка, нацеленная на финансовые учреждения с помощью сложных многоэтапных атак. Используя Целевой фишинг со ссылкой, замаскированный в тикете Zendesk, они доставляют вредоносное ПО под Маскировку в формате JPEG, с дроппером, который поэтапно извлекает полезную нагрузку и использует DLL sideloading для выполнения вредоносного кода с повышенными привилегиями. Вредоносное ПО использует различные тактики уклонения, поддерживает закрепление с помощью записей реестра и выполняет множество функций бэкдора для эксфильтрации данных и контроля, имитируя при этом законные процессы, чтобы избежать обнаружения.
-----

APT-Q-27, изощренная APT-группировка, занимающаяся распространением устойчивых угроз (APT), была тщательно изучена на предмет их нацеленных кампаний против финансовых учреждений. Вредоносное ПО, связанное с этой группой, использует многоэтапный подход к атаке, который делает упор на незаметную работу за счет минимизации следов на диске и имитации безопасных системных действий, что затрудняет обнаружение. Расследование показало, что вредоносное ПО не распространялось в поперечном направлении по системам затронутой организации.

Точкой первоначального доступа для этой кибератаки была Целевая фишинг со ссылкой, включенная в тикет Zendesk, что привело к доставке Вредоносного файла, Маскировки под изображение в формате JPEG, но на самом деле это был файл PIF. Эта тактика использует доверие пользователей, заставляя их запускать то, что они считают безвредным файлом изображения.

Рабочий процесс выполнения вредоносного ПО включает в себя дроппер, который не внедряет основную полезную нагрузку, а извлекает ее поэтапно. Законно выглядящий `updat.exe `действует как подписанный загрузчик, в то время как "crashreport.dll `, нелегитимный компонент, помещается в тот же каталог для облегчения DLL sideloading. Поскольку эта библиотека DLL специально названа так, чтобы отображаться как законная зависимость для `updat.exe `, он предпочтительно загружается операционной системой Windows. Выполнение `crashreport.dll ` ставит под угрозу высшие привилегии"updat.exe `, запускающий вредоносный код под видом доверенного процесса.

После активации бэкдор, встроенный в вредоносное ПО, выполняет несколько защитных проверок, чтобы убедиться, что оно не анализируется и не запускается в контролируемой среде. Методы атак, используемые вредоносным ПО, включают в себя различные стратегии уклонения, такие как подрыв контроля доверия с помощью Подписей исполняемого кода, случайный переход в спящий режим, чтобы избежать обнаружения из изолированных сред, и использование Скрытого окна для сокрытия своих операций.

Время злоумышленник также предусматривается закрепление на зараженных системах, добавление записей в реестре, запустить вредоносное ПО при загрузке системы. Кроме того, он очищает следы своей деятельности путем удаления истории браузера и очистка журналов событий Windows, чтобы обойти меры безопасности.

Поведение вредоносного ПО тщательно задокументировано с привязкой к известным методам MITRE ATT&CK, явно демонстрирующим тактику, связанную с первоначальным доступом посредством фишинга, выполнением вредоносных полезных нагрузок и попытками скрыть свое присутствие в зараженных системах, таких как Маскировка под законные системные файлы. Примечательно, что было идентифицировано несколько модулей бэкдора, каждый из которых предназначен для выполнения определенных функций, таких как передача файлов, сбор учетных записей и выполнение команд, что указывает на комплексную инфраструктуру, направленную на поддержание контроля над скомпрометированными системами и извлечение конфиденциальной информации из нацеленных финансовых организаций.

#ParsedReport #CompletenessLow
05-02-2026

Malicious Bing Ads Lead to Widespread Azure Tech Support Scams

https://www.netskope.com/blog/malicious-bing-ads-lead-to-widespread-azure-tech-support-scams

Report completeness: Low

Victims:
Healthcare, Manufacturing, Technology

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1204, T1583.006, T1608.004, T1608.006, T1608.009

IOCs:
Domain: 71

Soft:
Azure Blob, WordPress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
2 февраля 2023 года была обнаружена кампания фишинга, нацеленная на пользователей из 48 организаций США, включая такие секторы, как здравоохранение и технологии, которая использовала вредоносную рекламу в результатах поиска Bing. Эти объявления перенаправляли жертв на мошеннические страницы технической поддержки, размещенные в хранилище больших двоичных объектов Azure, что указывало на структурированную методологию атаки. Вредоносные URL-адреса соответствовали согласованному шаблону, привязанному к доменам Azure, что усложняло их отслеживание.
-----

2 февраля 2023 года, около 16:00 UTC, Netskope Threat Labs зафиксировала всплеск пользователей из 48 организаций в США, которые переходили по мошенническим ссылкам технической поддержки, размещенным в хранилище больших двоичных объектов Azure. Затронутые организации охватывали различные секторы, такие как здравоохранение, производство и технологии, что указывает на широкое воздействие этой кампании за короткий промежуток времени.

Первоначальным направлением атаки мошенников была вредоносная реклама, отображаемая в результатах поиска Bing. Эта реклама появлялась, когда пользователи искали распространенные, безобидные термины, такие как "amazon", что фактически перенаправляло их на поддельные страницы технической поддержки. Этот инцидент подчеркивает опасность вредоносной рекламы и потенциальные риски, связанные с поиском хорошо известных онлайн-сервисов.

В инфраструктуре, используемой для размещения мошеннического контента, в основном использовалось хранилище больших двоичных объектов Azure. Каждый из вредоносных URL-адресов соответствовал определенной схеме, что предполагает стандартизированный подход к развертыванию инфраструктуры атаки. Отмеченная схема была привязана к доменам хранилища больших двоичных объектов Azure, что делало вредоносный контент доступным и трудным для отслеживания на начальном этапе.

Netskope идентифицировал эти мошеннические страницы технической поддержки как целевую страницу поддержки Microsoft для фишинга в рамках своего фреймворка обнаружения. ... ФИШИНГ. После этого обнаружения все домены, связанные с контейнерами хранения больших двоичных объектов Azure, использованными в мошенничестве, были уведомлены Корпорацией Майкрософт, и на дату публикации результатов они больше не предоставляют вредоносный контент. В дальнейшем Netskope Threat Labs намерена отслеживать эту кампанию, чтобы оценить ее текущее воздействие и эволюцию.

#ParsedReport #CompletenessHigh
05-02-2026

New Clickfix variant CrashFix deploying Python Remote Access Trojan

https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/

Report completeness: High

Threats:
Clickfix_technique
Crashfix
Process_hacker_tool
Modelorat
Nltest_tool

Victims:
Web browser users

TTPs:
Tactics: 5
Technics: 0

IOCs:
Path: 1
Hash: 8
Url: 3
Domain: 2
File: 6
IP: 6
Registry: 1

Soft:
Chrome, Dropbox, Microsoft Defender, Microsoft Defender for Endpoint

Algorithms:
zip, sha256

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix представила новый вариант, CrashFix, который использует социальную инженерию для эксплуатации пользователей, ищущих средства блокировки рекламы. Жертвы направляются к поддельному расширению Chrome, выдающему себя за uBlock Origin Lite; после установки расширение приводит к сбою в работе браузеров и пытается манипулировать пользователями, заставляя их выполнять вредоносные команды. Наличие Троянской программы удаленного доступа на Python (RAT) указывает на продвинутый уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.
-----

Кампания ClickFix эволюционировала с появлением нового варианта, известного как CrashFix, который был представлен в январе 2026 года. Эта итерация усиливает существующую тактику, используя механизм социальной инженерии, который использует поиск пользователями средств блокировки рекламы. Жертвы часто сталкиваются с вредоносной рекламой, которая перенаправляет их на поддельное расширение в интернет-магазине Chrome, Маскировку под законный uBlock Origin Lite. Такой подход призван создать видимость законности, тем самым побуждая пользователей устанавливать вредоносное расширение для браузера.

После установки вредоносное расширение предназначено для аварийного завершения работы браузера, что приводит к разочарованию пользователя. Под видом технического сбоя он пытается манипулировать жертвами, заставляя их выполнять вредоносные команды, с ложным обещанием восстановить нормальную функциональность браузера. Использование Троянской программы удаленного доступа на Python (RAT) в рамках этого фреймворка предполагает сложный уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.

Для организаций, использующих Microsoft Defender XDR, существуют специальные средства обнаружения, направленные на выявление этой вредоносной активности. Платформа XDR обеспечивает комплексные стратегии защиты по нескольким направлениям, включая конечные точки, идентификационные данные, электронную почту и приложения, обеспечивая таким образом комплексную защиту от подобных атак. Кроме того, корпорация Майкрософт предоставляет аналитические отчеты об угрозах, которые позволяют клиентам своевременно получать информацию об злоумышленниках, их методологиях и рекомендациях по смягчению последствий и стратегиям реагирования. Эти ресурсы имеют решающее значение для поддержания надежной системы кибербезопасности в условиях развивающихся угроз, таких как CrashFix, вариант кампании ClickFix.

#ParsedReport #CompletenessMedium
06-02-2026

AppleScript Abuse: Unpacking a macOS Phishing Campaign

https://www.darktrace.com/blog/applescript-abuse-unpacking-a-macos-phishing-campaign

Report completeness: Medium

Threats:
Clickfix_technique

Victims:
Macos users

Geo:
Japan

TTPs:
Tactics: 2
Technics: 10

IOCs:
File: 8
Domain: 1
Url: 5
IP: 1
Hash: 3

Soft:
macOS, Node.js, Gatekeeper, Curl, Linux, Unix

Algorithms:
base64

Functions:
getCSReq

Languages:
applescript, javascript, php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя Вредоносная Кампания в macOS использует социальную инженерию и функцию прозрачности, согласия и контроля macOS (TCC). Злоумышленники инициируют кампанию с помощью фишингов электронных писем, содержащих файл AppleScript, замаскированный под документ Microsoft, таким образом манипулируя доверием пользователей для запуска файла. Используя AppleScript в качестве загрузчика, злоумышленник обходит меры безопасности и устанавливает постоянный доступ без использования уязвимостей программного обеспечения, что отражает растущую сложность киберугроз, нацеленных на среды macOS.
-----

Была выявлена недавняя Вредоносная Кампания, нацеленная на пользователей macOS, использующая социальную инженерию и злоупотребление функцией прозрачности, согласия и контроля macOS (TCC). Основной вектор атаки начинается с электронного письма с фишингом, которое побуждает пользователей загрузить файл AppleScript, замаскированный под подлинный документ Microsoft, под названием "Confirmation_Token_Vesting.docx.scpt". Этот метод предназначен для того, чтобы воспользоваться доверием жертвы, побуждая ее запустить файл.

Ядро атаки использует AppleScript в качестве загрузчика, эффективно обходя традиционные меры безопасности путем манипулирования разрешениями TCC. Поступая таким образом, злоумышленник может получить постоянный доступ к скомпрометированной сети без необходимости использовать какие-либо присущие программному обеспечению уязвимости. Этот метод подчеркивает риски, связанные с социальной инженерией, и потенциальную возможность несанкционированного доступа через доверенные пользовательские интерфейсы.

Кампания иллюстрирует растущую изощренность киберугроз, нацеленных на macOS, в которых злоумышленники используют многоуровневые стратегии для манипулирования поведением пользователей, что позволяет им обходить стандартные протоколы безопасности. Использование AppleScript подчеркивает необходимость постоянной бдительности и обучения пользователей для противодействия этим попыткам фишинга и поддержания целостности среды macOS. Кампания вписывается в фреймворк MITRE ATT&CK под названием tactic of Интерпретатор командной строки и сценариев, специально классифицированный как T1059.002 для AppleScript.

#ParsedReport #CompletenessMedium
07-02-2026

DynoWiper: From Russia with Love

https://t0asts.com/dynowiper

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Dynowiper

Victims:
Energy sector, Polish energy companies, Ukrainian companies and infrastructure

Industry:
Energy

Geo:
Polish, Russian, Russia, Ukrainian

TTPs:
Tactics: 4
Technics: 5

IOCs:
Hash: 1
File: 1

Algorithms:
sha256, prng

Win API:
WinMain, GetLogicalDrives, GetDriveTypeW, FindFirstFileW, FindNextFileW, SetFileAttributesW, CreateFileW, GetFileSize, SetFilePointerEx, WriteFile, have more...

Platforms:
x86

Links:
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DynoWiper - вредоносное ПО-очиститель, связанное с российскими государственными злоумышленниками, в частности с группой Sandworm, нацеленной на польские энергетические компании. Это вредоносное ПО имеет простой двоичный дизайн без упаковки, использует алгоритм Mersenne Twister для своего генератора псевдослучайных чисел и систематически перечисляет диски, используя функции Windows API, прежде чем повреждать и удалять критически важные данные. Его операционная механика подчеркивает его цель эффективного разрушения нацеленных инфраструктур в соответствии с предыдущей тактикой Sandworm.
-----

DynoWiper - вредоносное ПО wiper, обнаруженное в декабре 2025 года во время кибератак на польские энергетические компании, которые были атрибутированы с участием злоумышленников, связанных с российским государством. ESET Research и CERT Polska связали эти действия с печально известной группой Sandworm, известной аналогичными операциями против украинской инфраструктуры в предыдущие годы. Дизайн и методы работы вредоносного ПО совпадают с теми, которые наблюдались в прошлых кампаниях Sandworm.

После анализа двоичный файл DynoWiper не использовал упаковку или запутывание, что типично для вредоносного ПО wiper. Процесс обнаружения начался с таких инструментов анализа, как DIE (Detect It Easy), быстро перейдя к более углубленному изучению с помощью IDA, которое выявило механизм работы вредоносного ПО.

Вредоносное ПО инициализирует генератор псевдослучайных чисел (PRNG) с использованием алгоритма Mersenne Twister (MT19937) с фиксированным начальным значением 5489 и размером состояния 624, что указывает на методический подход к обеспечению случайности в его работе. Эта настройка PRNG имеет решающее значение для детерминированного поведения стеклоочистителя.

DynoWiper систематически перечисляет диски, подключенные к хосту-нацелен, используя такие функции, как GetLogicalDrives() и GetDriveTypeW(), чтобы определить, какие диски являются стационарными или съемными. Это гарантирует, что вредоносное ПО во время своего выполнения нацелено только на определенные диски.

После идентификации целевых дисков вредоносное ПО инициирует процесс повреждения данных, серьезно повреждая файлы на этих дисках. После этапа повреждения DynoWiper приступает к удалению данных, фактически делая их невосстановимыми. Эта возможность подчеркивает намерение вредоносного ПО нарушить работу путем удаления критически важных данных из затронутых систем. Сочетание систематического перечисления дисков, повреждения и удаления данных прочно закрепляет за DynoWiper статус изощренной угрозы в области вредоносного ПО wiper, вероятно, предназначенной для достижения стратегического сбоя в работе целевых инфраструктур, связанных с его акторами, связанными с государством.

#ParsedReport #CompletenessLow
07-02-2026

Re-Emerging Telegram Phishing Campaign Targeting User Authorization Prompts

https://www.cyfirma.com/research/re-emerging-telegram-phishing-campaign-targeting-user-authorization-prompts/

Report completeness: Low

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Telegram users

Geo:
Chinese

TTPs:
Tactics: 4
Technics: 6

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на пользователей Telegram, использует процессы аутентификации платформы, используя учетные данные API, контролируемые злоумышленниками, чтобы ввести жертв в заблуждение и заставить их одобрить несанкционированный доступ к своим учетным записям. Этот сложный метод включает сканирование QR-кодов, привязанных к злоумышленникам, что позволяет полностью скомпрометировать сеанс без прямой кражи учетных данных или вредоносного ПО. Текущая кампания отражает хорошо организованного злоумышленника, использующего захваченные учетные записи для дальнейших попыток фишинга, демонстрируя устойчивый и адаптируемый ландшафт угроз.
-----

Кампания по фишингу нацелена на пользователей Telegram, используя его процессы аутентификации. Злоумышленники используют законную инфраструктуру входа в систему и контролируемые учетные данные API, чтобы побудить жертв одобрить запросы на авторизацию. Жертв вводят в заблуждение, заставляя сканировать QR-коды, которые запускают попытки входа в систему, связанные с этими контролируемыми злоумышленниками API. Этот метод позволяет злоумышленникам полностью скомпрометировать учетные записи пользователей без вредоносного ПО или кражи учетных данных. Кампания характеризуется глобальным таргетингом и масштабируемостью, что указывает на хорошо организованного злоумышленника. Предыдущие инциденты с захватом аккаунтов Telegram включали захват сеанса и сбор учетных записей с использованием таких тактик, как вредоносные QR-коды. Злоумышленники используют захваченные учетные записи для распространения дальнейших кампаний фишинга. Эта продолжающаяся деятельность по фишингу демонстрирует адаптивность, поскольку новые зарегистрированные домены имитируют прошлую тактику. Пользователям рекомендуется одобрять запросы на вход в систему, инициированные только ими самими, и быть осторожными с неожиданными запросами на авторизацию. Крайне важно получать доступ к Telegram по официальным каналам и регулярно просматривать активные сеансы. Рекомендуется включить двухэтапную проверку для снижения рисков, связанных со скомпрометированными учетными записями. В целом, пользователям следует сохранять бдительность в отношении развивающихся угроз фишинга.

#ParsedReport #CompletenessMedium
07-02-2026

Novel Technique to Detect Cloud Threat Actor Operations

https://unit42.paloaltonetworks.com/tracking-threat-groups-through-cloud-logging/

Report completeness: Medium

Actors/Campaigns:
0ktapus
Hafnium
Dragonforce

Threats:
Spear-phishing_technique
Smishing_technique
Adrecon_tool
Spring4shell

Victims:
Aviation, Transportation and logistics

Industry:
Healthcare, Retail, Aerospace, Education, Energy, Ngo, Government, Entertainment, Logistic, Transport, Telco

Geo:
Asia, Japan, India, China, Middle east, Australia

TTPs:
Tactics: 10
Technics: 24

Soft:
Active Directory, Microsoft Exchange, Graph API

Links:
https://github.com/sense-of-security/ADRecon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачные системы оповещения с трудом различают обычные действия от вредоносных со стороны злоумышленников, таких как Muddled Libra и Silk Typhoon, которые используют различные методы атак, связанные с облачными оповещениями о безопасности, с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider, использует тактику, включающую многорегиональные операции по перечислению и идентификации, в то время как Silk Typhoon использует уязвимости, такие как Spring4Shell, и занимается обширной эксфильтрацией данных. Анализ подчеркивает необходимость того, чтобы организации выявляли закономерности в этих методах для улучшения обнаружения потенциальных угроз и усиления облачной защиты.
-----

Облачные системы оповещения сталкиваются со значительными трудностями при проведении различия между обычными действиями и вредоносными операциями злоумышленников, в частности Muddled Libra и Silk Typhoon. Эти группы используют различные методы атак, которые были сопоставлены с предупреждениями о безопасности облачных вычислений в различных отраслях в период с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider (UNC3944), известна своими развивающимися целевыми секторами и специфическими вредоносными действиями, которые включают в себя нацеливание на такие отрасли, как авиация, хотя и не отслеживаются явно.

Анализ включал в себя увязку связанных с облаком методов MITRE ATT&CK, используемых этими группами угроз, с предупреждениями безопасности, срабатывающими в облачных средах. Проанализированные методы включают действия по перечислению с использованием Microsoft Graph API, эксфильтрацию служб хранения Microsoft 365, а также различные методы обнаружения и сбора данных. Исследование выявило закономерности, которые могли бы помочь организациям распознавать потенциальные действия по разведке или обнаружению информации, свидетельствующие о готовящихся атаках.

Muddled libra's включают в себя выявление чувствительных ресурсов, выполнение нескольких регионах перечисления, а так же выполнение работ идентичности для поддержания закрепление и добиться повышение привилегий. Например, они продемонстрировали поведение, такое как подозрительные перечисления облачной инфраструктуры и скачивание нескольких объектов из облачного хранилища, действия обозначены конкретные методы митр.

Silk Typhoon также демонстрировал аналогичное вредоносное поведение, такое как использование уязвимостей, таких как Spring4Shell, и участие в значительных действиях по эксфильтрации данных из Облачных сервисов. Их действия часто характеризовались командами, приводящими к первоначальному доступу или сбору данных.

Собранные данные предполагают наличие функции "отпечатка пальца", которая может предоставить организациям схему обнаружения для выявления потенциальных угроз. Увеличение количества предупреждений, соответствующих известным методам Muddled Libra, может свидетельствовать о развитии атак, предоставляя защитникам упреждающую возможность повысить безопасность своей инфраструктуры. Этот анализ подчеркивает важность сопоставления отраслевых тенденций и видов деятельности, предлагая новые возможности для разработки систем раннего предупреждения и совершенствования стратегий облачной защиты от сложных злоумышленников.