#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
2 февраля 2023 года была обнаружена кампания фишинга, нацеленная на пользователей из 48 организаций США, включая такие секторы, как здравоохранение и технологии, которая использовала вредоносную рекламу в результатах поиска Bing. Эти объявления перенаправляли жертв на мошеннические страницы технической поддержки, размещенные в хранилище больших двоичных объектов Azure, что указывало на структурированную методологию атаки. Вредоносные URL-адреса соответствовали согласованному шаблону, привязанному к доменам Azure, что усложняло их отслеживание.
-----

2 февраля 2023 года, около 16:00 UTC, Netskope Threat Labs зафиксировала всплеск пользователей из 48 организаций в США, которые переходили по мошенническим ссылкам технической поддержки, размещенным в хранилище больших двоичных объектов Azure. Затронутые организации охватывали различные секторы, такие как здравоохранение, производство и технологии, что указывает на широкое воздействие этой кампании за короткий промежуток времени.

Первоначальным направлением атаки мошенников была вредоносная реклама, отображаемая в результатах поиска Bing. Эта реклама появлялась, когда пользователи искали распространенные, безобидные термины, такие как "amazon", что фактически перенаправляло их на поддельные страницы технической поддержки. Этот инцидент подчеркивает опасность вредоносной рекламы и потенциальные риски, связанные с поиском хорошо известных онлайн-сервисов.

В инфраструктуре, используемой для размещения мошеннического контента, в основном использовалось хранилище больших двоичных объектов Azure. Каждый из вредоносных URL-адресов соответствовал определенной схеме, что предполагает стандартизированный подход к развертыванию инфраструктуры атаки. Отмеченная схема была привязана к доменам хранилища больших двоичных объектов Azure, что делало вредоносный контент доступным и трудным для отслеживания на начальном этапе.

Netskope идентифицировал эти мошеннические страницы технической поддержки как целевую страницу поддержки Microsoft для фишинга в рамках своего фреймворка обнаружения. ... ФИШИНГ. После этого обнаружения все домены, связанные с контейнерами хранения больших двоичных объектов Azure, использованными в мошенничестве, были уведомлены Корпорацией Майкрософт, и на дату публикации результатов они больше не предоставляют вредоносный контент. В дальнейшем Netskope Threat Labs намерена отслеживать эту кампанию, чтобы оценить ее текущее воздействие и эволюцию.

#ParsedReport #CompletenessHigh
05-02-2026

New Clickfix variant CrashFix deploying Python Remote Access Trojan

https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/

Report completeness: High

Threats:
Clickfix_technique
Crashfix
Process_hacker_tool
Modelorat
Nltest_tool

Victims:
Web browser users

TTPs:
Tactics: 5
Technics: 0

IOCs:
Path: 1
Hash: 8
Url: 3
Domain: 2
File: 6
IP: 6
Registry: 1

Soft:
Chrome, Dropbox, Microsoft Defender, Microsoft Defender for Endpoint

Algorithms:
zip, sha256

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix представила новый вариант, CrashFix, который использует социальную инженерию для эксплуатации пользователей, ищущих средства блокировки рекламы. Жертвы направляются к поддельному расширению Chrome, выдающему себя за uBlock Origin Lite; после установки расширение приводит к сбою в работе браузеров и пытается манипулировать пользователями, заставляя их выполнять вредоносные команды. Наличие Троянской программы удаленного доступа на Python (RAT) указывает на продвинутый уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.
-----

Кампания ClickFix эволюционировала с появлением нового варианта, известного как CrashFix, который был представлен в январе 2026 года. Эта итерация усиливает существующую тактику, используя механизм социальной инженерии, который использует поиск пользователями средств блокировки рекламы. Жертвы часто сталкиваются с вредоносной рекламой, которая перенаправляет их на поддельное расширение в интернет-магазине Chrome, Маскировку под законный uBlock Origin Lite. Такой подход призван создать видимость законности, тем самым побуждая пользователей устанавливать вредоносное расширение для браузера.

После установки вредоносное расширение предназначено для аварийного завершения работы браузера, что приводит к разочарованию пользователя. Под видом технического сбоя он пытается манипулировать жертвами, заставляя их выполнять вредоносные команды, с ложным обещанием восстановить нормальную функциональность браузера. Использование Троянской программы удаленного доступа на Python (RAT) в рамках этого фреймворка предполагает сложный уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.

Для организаций, использующих Microsoft Defender XDR, существуют специальные средства обнаружения, направленные на выявление этой вредоносной активности. Платформа XDR обеспечивает комплексные стратегии защиты по нескольким направлениям, включая конечные точки, идентификационные данные, электронную почту и приложения, обеспечивая таким образом комплексную защиту от подобных атак. Кроме того, корпорация Майкрософт предоставляет аналитические отчеты об угрозах, которые позволяют клиентам своевременно получать информацию об злоумышленниках, их методологиях и рекомендациях по смягчению последствий и стратегиям реагирования. Эти ресурсы имеют решающее значение для поддержания надежной системы кибербезопасности в условиях развивающихся угроз, таких как CrashFix, вариант кампании ClickFix.

#ParsedReport #CompletenessMedium
06-02-2026

AppleScript Abuse: Unpacking a macOS Phishing Campaign

https://www.darktrace.com/blog/applescript-abuse-unpacking-a-macos-phishing-campaign

Report completeness: Medium

Threats:
Clickfix_technique

Victims:
Macos users

Geo:
Japan

TTPs:
Tactics: 2
Technics: 10

IOCs:
File: 8
Domain: 1
Url: 5
IP: 1
Hash: 3

Soft:
macOS, Node.js, Gatekeeper, Curl, Linux, Unix

Algorithms:
base64

Functions:
getCSReq

Languages:
applescript, javascript, php

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя Вредоносная Кампания в macOS использует социальную инженерию и функцию прозрачности, согласия и контроля macOS (TCC). Злоумышленники инициируют кампанию с помощью фишингов электронных писем, содержащих файл AppleScript, замаскированный под документ Microsoft, таким образом манипулируя доверием пользователей для запуска файла. Используя AppleScript в качестве загрузчика, злоумышленник обходит меры безопасности и устанавливает постоянный доступ без использования уязвимостей программного обеспечения, что отражает растущую сложность киберугроз, нацеленных на среды macOS.
-----

Была выявлена недавняя Вредоносная Кампания, нацеленная на пользователей macOS, использующая социальную инженерию и злоупотребление функцией прозрачности, согласия и контроля macOS (TCC). Основной вектор атаки начинается с электронного письма с фишингом, которое побуждает пользователей загрузить файл AppleScript, замаскированный под подлинный документ Microsoft, под названием "Confirmation_Token_Vesting.docx.scpt". Этот метод предназначен для того, чтобы воспользоваться доверием жертвы, побуждая ее запустить файл.

Ядро атаки использует AppleScript в качестве загрузчика, эффективно обходя традиционные меры безопасности путем манипулирования разрешениями TCC. Поступая таким образом, злоумышленник может получить постоянный доступ к скомпрометированной сети без необходимости использовать какие-либо присущие программному обеспечению уязвимости. Этот метод подчеркивает риски, связанные с социальной инженерией, и потенциальную возможность несанкционированного доступа через доверенные пользовательские интерфейсы.

Кампания иллюстрирует растущую изощренность киберугроз, нацеленных на macOS, в которых злоумышленники используют многоуровневые стратегии для манипулирования поведением пользователей, что позволяет им обходить стандартные протоколы безопасности. Использование AppleScript подчеркивает необходимость постоянной бдительности и обучения пользователей для противодействия этим попыткам фишинга и поддержания целостности среды macOS. Кампания вписывается в фреймворк MITRE ATT&CK под названием tactic of Интерпретатор командной строки и сценариев, специально классифицированный как T1059.002 для AppleScript.

#ParsedReport #CompletenessMedium
07-02-2026

DynoWiper: From Russia with Love

https://t0asts.com/dynowiper

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Dynowiper

Victims:
Energy sector, Polish energy companies, Ukrainian companies and infrastructure

Industry:
Energy

Geo:
Polish, Russian, Russia, Ukrainian

TTPs:
Tactics: 4
Technics: 5

IOCs:
Hash: 1
File: 1

Algorithms:
sha256, prng

Win API:
WinMain, GetLogicalDrives, GetDriveTypeW, FindFirstFileW, FindNextFileW, SetFileAttributesW, CreateFileW, GetFileSize, SetFilePointerEx, WriteFile, have more...

Platforms:
x86

Links:
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DynoWiper - вредоносное ПО-очиститель, связанное с российскими государственными злоумышленниками, в частности с группой Sandworm, нацеленной на польские энергетические компании. Это вредоносное ПО имеет простой двоичный дизайн без упаковки, использует алгоритм Mersenne Twister для своего генератора псевдослучайных чисел и систематически перечисляет диски, используя функции Windows API, прежде чем повреждать и удалять критически важные данные. Его операционная механика подчеркивает его цель эффективного разрушения нацеленных инфраструктур в соответствии с предыдущей тактикой Sandworm.
-----

DynoWiper - вредоносное ПО wiper, обнаруженное в декабре 2025 года во время кибератак на польские энергетические компании, которые были атрибутированы с участием злоумышленников, связанных с российским государством. ESET Research и CERT Polska связали эти действия с печально известной группой Sandworm, известной аналогичными операциями против украинской инфраструктуры в предыдущие годы. Дизайн и методы работы вредоносного ПО совпадают с теми, которые наблюдались в прошлых кампаниях Sandworm.

После анализа двоичный файл DynoWiper не использовал упаковку или запутывание, что типично для вредоносного ПО wiper. Процесс обнаружения начался с таких инструментов анализа, как DIE (Detect It Easy), быстро перейдя к более углубленному изучению с помощью IDA, которое выявило механизм работы вредоносного ПО.

Вредоносное ПО инициализирует генератор псевдослучайных чисел (PRNG) с использованием алгоритма Mersenne Twister (MT19937) с фиксированным начальным значением 5489 и размером состояния 624, что указывает на методический подход к обеспечению случайности в его работе. Эта настройка PRNG имеет решающее значение для детерминированного поведения стеклоочистителя.

DynoWiper систематически перечисляет диски, подключенные к хосту-нацелен, используя такие функции, как GetLogicalDrives() и GetDriveTypeW(), чтобы определить, какие диски являются стационарными или съемными. Это гарантирует, что вредоносное ПО во время своего выполнения нацелено только на определенные диски.

После идентификации целевых дисков вредоносное ПО инициирует процесс повреждения данных, серьезно повреждая файлы на этих дисках. После этапа повреждения DynoWiper приступает к удалению данных, фактически делая их невосстановимыми. Эта возможность подчеркивает намерение вредоносного ПО нарушить работу путем удаления критически важных данных из затронутых систем. Сочетание систематического перечисления дисков, повреждения и удаления данных прочно закрепляет за DynoWiper статус изощренной угрозы в области вредоносного ПО wiper, вероятно, предназначенной для достижения стратегического сбоя в работе целевых инфраструктур, связанных с его акторами, связанными с государством.

#ParsedReport #CompletenessLow
07-02-2026

Re-Emerging Telegram Phishing Campaign Targeting User Authorization Prompts

https://www.cyfirma.com/research/re-emerging-telegram-phishing-campaign-targeting-user-authorization-prompts/

Report completeness: Low

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Telegram users

Geo:
Chinese

TTPs:
Tactics: 4
Technics: 6

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на пользователей Telegram, использует процессы аутентификации платформы, используя учетные данные API, контролируемые злоумышленниками, чтобы ввести жертв в заблуждение и заставить их одобрить несанкционированный доступ к своим учетным записям. Этот сложный метод включает сканирование QR-кодов, привязанных к злоумышленникам, что позволяет полностью скомпрометировать сеанс без прямой кражи учетных данных или вредоносного ПО. Текущая кампания отражает хорошо организованного злоумышленника, использующего захваченные учетные записи для дальнейших попыток фишинга, демонстрируя устойчивый и адаптируемый ландшафт угроз.
-----

Кампания по фишингу нацелена на пользователей Telegram, используя его процессы аутентификации. Злоумышленники используют законную инфраструктуру входа в систему и контролируемые учетные данные API, чтобы побудить жертв одобрить запросы на авторизацию. Жертв вводят в заблуждение, заставляя сканировать QR-коды, которые запускают попытки входа в систему, связанные с этими контролируемыми злоумышленниками API. Этот метод позволяет злоумышленникам полностью скомпрометировать учетные записи пользователей без вредоносного ПО или кражи учетных данных. Кампания характеризуется глобальным таргетингом и масштабируемостью, что указывает на хорошо организованного злоумышленника. Предыдущие инциденты с захватом аккаунтов Telegram включали захват сеанса и сбор учетных записей с использованием таких тактик, как вредоносные QR-коды. Злоумышленники используют захваченные учетные записи для распространения дальнейших кампаний фишинга. Эта продолжающаяся деятельность по фишингу демонстрирует адаптивность, поскольку новые зарегистрированные домены имитируют прошлую тактику. Пользователям рекомендуется одобрять запросы на вход в систему, инициированные только ими самими, и быть осторожными с неожиданными запросами на авторизацию. Крайне важно получать доступ к Telegram по официальным каналам и регулярно просматривать активные сеансы. Рекомендуется включить двухэтапную проверку для снижения рисков, связанных со скомпрометированными учетными записями. В целом, пользователям следует сохранять бдительность в отношении развивающихся угроз фишинга.

#ParsedReport #CompletenessMedium
07-02-2026

Novel Technique to Detect Cloud Threat Actor Operations

https://unit42.paloaltonetworks.com/tracking-threat-groups-through-cloud-logging/

Report completeness: Medium

Actors/Campaigns:
0ktapus
Hafnium
Dragonforce

Threats:
Spear-phishing_technique
Smishing_technique
Adrecon_tool
Spring4shell

Victims:
Aviation, Transportation and logistics

Industry:
Healthcare, Retail, Aerospace, Education, Energy, Ngo, Government, Entertainment, Logistic, Transport, Telco

Geo:
Asia, Japan, India, China, Middle east, Australia

TTPs:
Tactics: 10
Technics: 24

Soft:
Active Directory, Microsoft Exchange, Graph API

Links:
https://github.com/sense-of-security/ADRecon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачные системы оповещения с трудом различают обычные действия от вредоносных со стороны злоумышленников, таких как Muddled Libra и Silk Typhoon, которые используют различные методы атак, связанные с облачными оповещениями о безопасности, с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider, использует тактику, включающую многорегиональные операции по перечислению и идентификации, в то время как Silk Typhoon использует уязвимости, такие как Spring4Shell, и занимается обширной эксфильтрацией данных. Анализ подчеркивает необходимость того, чтобы организации выявляли закономерности в этих методах для улучшения обнаружения потенциальных угроз и усиления облачной защиты.
-----

Облачные системы оповещения сталкиваются со значительными трудностями при проведении различия между обычными действиями и вредоносными операциями злоумышленников, в частности Muddled Libra и Silk Typhoon. Эти группы используют различные методы атак, которые были сопоставлены с предупреждениями о безопасности облачных вычислений в различных отраслях в период с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider (UNC3944), известна своими развивающимися целевыми секторами и специфическими вредоносными действиями, которые включают в себя нацеливание на такие отрасли, как авиация, хотя и не отслеживаются явно.

Анализ включал в себя увязку связанных с облаком методов MITRE ATT&CK, используемых этими группами угроз, с предупреждениями безопасности, срабатывающими в облачных средах. Проанализированные методы включают действия по перечислению с использованием Microsoft Graph API, эксфильтрацию служб хранения Microsoft 365, а также различные методы обнаружения и сбора данных. Исследование выявило закономерности, которые могли бы помочь организациям распознавать потенциальные действия по разведке или обнаружению информации, свидетельствующие о готовящихся атаках.

Muddled libra's включают в себя выявление чувствительных ресурсов, выполнение нескольких регионах перечисления, а так же выполнение работ идентичности для поддержания закрепление и добиться повышение привилегий. Например, они продемонстрировали поведение, такое как подозрительные перечисления облачной инфраструктуры и скачивание нескольких объектов из облачного хранилища, действия обозначены конкретные методы митр.

Silk Typhoon также демонстрировал аналогичное вредоносное поведение, такое как использование уязвимостей, таких как Spring4Shell, и участие в значительных действиях по эксфильтрации данных из Облачных сервисов. Их действия часто характеризовались командами, приводящими к первоначальному доступу или сбору данных.

Собранные данные предполагают наличие функции "отпечатка пальца", которая может предоставить организациям схему обнаружения для выявления потенциальных угроз. Увеличение количества предупреждений, соответствующих известным методам Muddled Libra, может свидетельствовать о развитии атак, предоставляя защитникам упреждающую возможность повысить безопасность своей инфраструктуры. Этот анализ подчеркивает важность сопоставления отраслевых тенденций и видов деятельности, предлагая новые возможности для разработки систем раннего предупреждения и совершенствования стратегий облачной защиты от сложных злоумышленников.

#ParsedReport #CompletenessLow
07-02-2026

Analysis of active exploitation of SolarWinds Web Help Desk

https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/

Report completeness: Low

Threats:
Lolbin_technique
Dll_sideloading_technique
Dcsync_technique
Hijackwebhelpdesk
Passthehash_technique
Dllsearchorder_hijacking_technique

Victims:
Organizations using solarwinds web help desk

CVEs:
CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)

CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)


TTPs:
Tactics: 5
Technics: 0

IOCs:
Command: 1
File: 2

Soft:
Microsoft Defender, QEMU, Microsoft Defender for Endpoint

Win Services:
BITS

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ указывает на активное использование систем веб-службы поддержки SolarWinds (WHD), при этом злоумышленники используют либо недавно обнаруженные CVE, такие как CVE-2025-40551 и CVE-2025-40536, либо более старые уязвимости, такие как CVE-2025-26399. Эта многоступенчатая атака допускает перемещение внутри компании, используя критические недостатки, которые делают возможным неавторизованное Удаленное Выполнение Кода. Инциденты произошли в декабре 2025 года, что усложнило идентификацию конкретных уязвимостей из-за дублирующих друг друга способов эксплуатации.
-----

Недавний анализ, проведенный исследовательской группой Microsoft Defender, свидетельствует об активном использовании подключенных к Интернету систем SolarWinds Web Help Desk (WHD). В этом многоступенчатом вторжении участвовали злоумышленники, которые первоначально скомпрометировали WHD, чтобы закрепиться, а затем перешли к атакам на другие критически важные активы внутри организации. Расследованиям еще предстоит определить конкретные уязвимости, которые были использованы, в частности, относятся ли они к более новым уязвимостям, раскрытым в январе 2026 года, таким как CVE-2025-40551 и CVE-2025-40536, или к более старым уязвимостям, таким как CVE-2025-26399. Эти атаки, которые, как сообщалось, произошли в декабре 2025 года, одновременно использовали компьютеры, уязвимые для обоих наборов CVE, что усложняло попытки определить точные точки входа.

Предполагаемые уязвимости обнаруживают серьезные недостатки, которые могут способствовать атакам. Примечательно, что CVE-2025-40551 включает в себя десериализацию критически важных ненадежных данных, в то время как CVE-2025-40536 относится к обходу контроля безопасности — и то, и другое потенциально позволяет не прошедшее проверку подлинности Удаленное Выполнение Кода. Эта возможность позволила бы внешним злоумышленникам выполнять произвольные команды в контексте приложения WHD, что вызвало бы серьезные проблемы с безопасностью у затронутых организаций.

В рамках своих защитных мер Microsoft Defender обеспечивает защиту до и после взлома в рамках этой кампании, что позволяет организациям выявлять незащищенные и уязвимые экземпляры WHD, подверженные риску. Используя возможности MDVM, связанные с вышеупомянутыми CVE, защитники могут отслеживать типичные схемы атак и получать оповещения, направленные на повышение безопасности устройств и систем управления идентификационными данными. Текущие исследования направлены на выявление точных уязвимостей, используемых во время этих атак, и соответствующее усиление защиты.