CTT Report Hub
3.21K subscribers
7.88K photos
6 videos
67 files
11.6K links
Threat Intelligence Report Hub
https://cyberthreat.tech
ООО Технологии киберугроз
Contact: @nikolaiav
Download Telegram
#ParsedReport #CompletenessHigh
05-02-2026

New Clickfix variant CrashFix deploying Python Remote Access Trojan

https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/

Report completeness: High

Threats:
Clickfix_technique
Crashfix
Process_hacker_tool
Modelorat
Nltest_tool

Victims:
Web browser users

TTPs:
Tactics: 5
Technics: 0

IOCs:
Path: 1
Hash: 8
Url: 3
Domain: 2
File: 6
IP: 6
Registry: 1

Soft:
Chrome, Dropbox, Microsoft Defender, Microsoft Defender for Endpoint

Algorithms:
zip, sha256

Languages:
python, powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 05-02-2026 New Clickfix variant CrashFix deploying Python Remote Access Trojan https://www.microsoft.com/en-us/security/blog/2026/02/05/clickfix-variant-crashfix-deploying-python-rat-trojan/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix представила новый вариант, CrashFix, который использует социальную инженерию для эксплуатации пользователей, ищущих средства блокировки рекламы. Жертвы направляются к поддельному расширению Chrome, выдающему себя за uBlock Origin Lite; после установки расширение приводит к сбою в работе браузеров и пытается манипулировать пользователями, заставляя их выполнять вредоносные команды. Наличие Троянской программы удаленного доступа на Python (RAT) указывает на продвинутый уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.
-----

Кампания ClickFix эволюционировала с появлением нового варианта, известного как CrashFix, который был представлен в январе 2026 года. Эта итерация усиливает существующую тактику, используя механизм социальной инженерии, который использует поиск пользователями средств блокировки рекламы. Жертвы часто сталкиваются с вредоносной рекламой, которая перенаправляет их на поддельное расширение в интернет-магазине Chrome, Маскировку под законный uBlock Origin Lite. Такой подход призван создать видимость законности, тем самым побуждая пользователей устанавливать вредоносное расширение для браузера.

После установки вредоносное расширение предназначено для аварийного завершения работы браузера, что приводит к разочарованию пользователя. Под видом технического сбоя он пытается манипулировать жертвами, заставляя их выполнять вредоносные команды, с ложным обещанием восстановить нормальную функциональность браузера. Использование Троянской программы удаленного доступа на Python (RAT) в рамках этого фреймворка предполагает сложный уровень угрозы, позволяющий злоумышленникам сохранять контроль над скомпрометированными системами.

Для организаций, использующих Microsoft Defender XDR, существуют специальные средства обнаружения, направленные на выявление этой вредоносной активности. Платформа XDR обеспечивает комплексные стратегии защиты по нескольким направлениям, включая конечные точки, идентификационные данные, электронную почту и приложения, обеспечивая таким образом комплексную защиту от подобных атак. Кроме того, корпорация Майкрософт предоставляет аналитические отчеты об угрозах, которые позволяют клиентам своевременно получать информацию об злоумышленниках, их методологиях и рекомендациях по смягчению последствий и стратегиям реагирования. Эти ресурсы имеют решающее значение для поддержания надежной системы кибербезопасности в условиях развивающихся угроз, таких как CrashFix, вариант кампании ClickFix.
#ParsedReport #CompletenessMedium
06-02-2026

AppleScript Abuse: Unpacking a macOS Phishing Campaign

https://www.darktrace.com/blog/applescript-abuse-unpacking-a-macos-phishing-campaign

Report completeness: Medium

Threats:
Clickfix_technique

Victims:
Macos users

Geo:
Japan

TTPs:
Tactics: 2
Technics: 10

IOCs:
File: 8
Domain: 1
Url: 5
IP: 1
Hash: 3

Soft:
macOS, Node.js, Gatekeeper, Curl, Linux, Unix

Algorithms:
base64

Functions:
getCSReq

Languages:
applescript, javascript, php

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessMedium 06-02-2026 AppleScript Abuse: Unpacking a macOS Phishing Campaign https://www.darktrace.com/blog/applescript-abuse-unpacking-a-macos-phishing-campaign Report completeness: Medium Threats: Clickfix_technique Victims: Macos…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя Вредоносная Кампания в macOS использует социальную инженерию и функцию прозрачности, согласия и контроля macOS (TCC). Злоумышленники инициируют кампанию с помощью фишингов электронных писем, содержащих файл AppleScript, замаскированный под документ Microsoft, таким образом манипулируя доверием пользователей для запуска файла. Используя AppleScript в качестве загрузчика, злоумышленник обходит меры безопасности и устанавливает постоянный доступ без использования уязвимостей программного обеспечения, что отражает растущую сложность киберугроз, нацеленных на среды macOS.
-----

Была выявлена недавняя Вредоносная Кампания, нацеленная на пользователей macOS, использующая социальную инженерию и злоупотребление функцией прозрачности, согласия и контроля macOS (TCC). Основной вектор атаки начинается с электронного письма с фишингом, которое побуждает пользователей загрузить файл AppleScript, замаскированный под подлинный документ Microsoft, под названием "Confirmation_Token_Vesting.docx.scpt". Этот метод предназначен для того, чтобы воспользоваться доверием жертвы, побуждая ее запустить файл.

Ядро атаки использует AppleScript в качестве загрузчика, эффективно обходя традиционные меры безопасности путем манипулирования разрешениями TCC. Поступая таким образом, злоумышленник может получить постоянный доступ к скомпрометированной сети без необходимости использовать какие-либо присущие программному обеспечению уязвимости. Этот метод подчеркивает риски, связанные с социальной инженерией, и потенциальную возможность несанкционированного доступа через доверенные пользовательские интерфейсы.

Кампания иллюстрирует растущую изощренность киберугроз, нацеленных на macOS, в которых злоумышленники используют многоуровневые стратегии для манипулирования поведением пользователей, что позволяет им обходить стандартные протоколы безопасности. Использование AppleScript подчеркивает необходимость постоянной бдительности и обучения пользователей для противодействия этим попыткам фишинга и поддержания целостности среды macOS. Кампания вписывается в фреймворк MITRE ATT&CK под названием tactic of Интерпретатор командной строки и сценариев, специально классифицированный как T1059.002 для AppleScript.
#ParsedReport #CompletenessMedium
07-02-2026

DynoWiper: From Russia with Love

https://t0asts.com/dynowiper

Report completeness: Medium

Actors/Campaigns:
Sandworm

Threats:
Dynowiper

Victims:
Energy sector, Polish energy companies, Ukrainian companies and infrastructure

Industry:
Energy

Geo:
Polish, Russian, Russia, Ukrainian

TTPs:
Tactics: 4
Technics: 5

IOCs:
Hash: 1
File: 1

Algorithms:
sha256, prng

Win API:
WinMain, GetLogicalDrives, GetDriveTypeW, FindFirstFileW, FindNextFileW, SetFileAttributesW, CreateFileW, GetFileSize, SetFilePointerEx, WriteFile, have more...

Platforms:
x86

Links:
https://github.com/horsicq/Detect-It-Easy
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2026 DynoWiper: From Russia with Love https://t0asts.com/dynowiper Report completeness: Medium Actors/Campaigns: Sandworm Threats: Dynowiper Victims: Energy sector, Polish energy companies, Ukrainian companies…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DynoWiper - вредоносное ПО-очиститель, связанное с российскими государственными злоумышленниками, в частности с группой Sandworm, нацеленной на польские энергетические компании. Это вредоносное ПО имеет простой двоичный дизайн без упаковки, использует алгоритм Mersenne Twister для своего генератора псевдослучайных чисел и систематически перечисляет диски, используя функции Windows API, прежде чем повреждать и удалять критически важные данные. Его операционная механика подчеркивает его цель эффективного разрушения нацеленных инфраструктур в соответствии с предыдущей тактикой Sandworm.
-----

DynoWiper - вредоносное ПО wiper, обнаруженное в декабре 2025 года во время кибератак на польские энергетические компании, которые были атрибутированы с участием злоумышленников, связанных с российским государством. ESET Research и CERT Polska связали эти действия с печально известной группой Sandworm, известной аналогичными операциями против украинской инфраструктуры в предыдущие годы. Дизайн и методы работы вредоносного ПО совпадают с теми, которые наблюдались в прошлых кампаниях Sandworm.

После анализа двоичный файл DynoWiper не использовал упаковку или запутывание, что типично для вредоносного ПО wiper. Процесс обнаружения начался с таких инструментов анализа, как DIE (Detect It Easy), быстро перейдя к более углубленному изучению с помощью IDA, которое выявило механизм работы вредоносного ПО.

Вредоносное ПО инициализирует генератор псевдослучайных чисел (PRNG) с использованием алгоритма Mersenne Twister (MT19937) с фиксированным начальным значением 5489 и размером состояния 624, что указывает на методический подход к обеспечению случайности в его работе. Эта настройка PRNG имеет решающее значение для детерминированного поведения стеклоочистителя.

DynoWiper систематически перечисляет диски, подключенные к хосту-нацелен, используя такие функции, как GetLogicalDrives() и GetDriveTypeW(), чтобы определить, какие диски являются стационарными или съемными. Это гарантирует, что вредоносное ПО во время своего выполнения нацелено только на определенные диски.

После идентификации целевых дисков вредоносное ПО инициирует процесс повреждения данных, серьезно повреждая файлы на этих дисках. После этапа повреждения DynoWiper приступает к удалению данных, фактически делая их невосстановимыми. Эта возможность подчеркивает намерение вредоносного ПО нарушить работу путем удаления критически важных данных из затронутых систем. Сочетание систематического перечисления дисков, повреждения и удаления данных прочно закрепляет за DynoWiper статус изощренной угрозы в области вредоносного ПО wiper, вероятно, предназначенной для достижения стратегического сбоя в работе целевых инфраструктур, связанных с его акторами, связанными с государством.
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2026 Re-Emerging Telegram Phishing Campaign Targeting User Authorization Prompts https://www.cyfirma.com/research/re-emerging-telegram-phishing-campaign-targeting-user-authorization-prompts/ Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на пользователей Telegram, использует процессы аутентификации платформы, используя учетные данные API, контролируемые злоумышленниками, чтобы ввести жертв в заблуждение и заставить их одобрить несанкционированный доступ к своим учетным записям. Этот сложный метод включает сканирование QR-кодов, привязанных к злоумышленникам, что позволяет полностью скомпрометировать сеанс без прямой кражи учетных данных или вредоносного ПО. Текущая кампания отражает хорошо организованного злоумышленника, использующего захваченные учетные записи для дальнейших попыток фишинга, демонстрируя устойчивый и адаптируемый ландшафт угроз.
-----

Кампания по фишингу нацелена на пользователей Telegram, используя его процессы аутентификации. Злоумышленники используют законную инфраструктуру входа в систему и контролируемые учетные данные API, чтобы побудить жертв одобрить запросы на авторизацию. Жертв вводят в заблуждение, заставляя сканировать QR-коды, которые запускают попытки входа в систему, связанные с этими контролируемыми злоумышленниками API. Этот метод позволяет злоумышленникам полностью скомпрометировать учетные записи пользователей без вредоносного ПО или кражи учетных данных. Кампания характеризуется глобальным таргетингом и масштабируемостью, что указывает на хорошо организованного злоумышленника. Предыдущие инциденты с захватом аккаунтов Telegram включали захват сеанса и сбор учетных записей с использованием таких тактик, как вредоносные QR-коды. Злоумышленники используют захваченные учетные записи для распространения дальнейших кампаний фишинга. Эта продолжающаяся деятельность по фишингу демонстрирует адаптивность, поскольку новые зарегистрированные домены имитируют прошлую тактику. Пользователям рекомендуется одобрять запросы на вход в систему, инициированные только ими самими, и быть осторожными с неожиданными запросами на авторизацию. Крайне важно получать доступ к Telegram по официальным каналам и регулярно просматривать активные сеансы. Рекомендуется включить двухэтапную проверку для снижения рисков, связанных со скомпрометированными учетными записями. В целом, пользователям следует сохранять бдительность в отношении развивающихся угроз фишинга.
#ParsedReport #CompletenessMedium
07-02-2026

Novel Technique to Detect Cloud Threat Actor Operations

https://unit42.paloaltonetworks.com/tracking-threat-groups-through-cloud-logging/

Report completeness: Medium

Actors/Campaigns:
0ktapus
Hafnium
Dragonforce

Threats:
Spear-phishing_technique
Smishing_technique
Adrecon_tool
Spring4shell

Victims:
Aviation, Transportation and logistics

Industry:
Healthcare, Retail, Aerospace, Education, Energy, Ngo, Government, Entertainment, Logistic, Transport, Telco

Geo:
Asia, Japan, India, China, Middle east, Australia

TTPs:
Tactics: 10
Technics: 24

Soft:
Active Directory, Microsoft Exchange, Graph API

Links:
https://github.com/sense-of-security/ADRecon
CTT Report Hub
#ParsedReport #CompletenessMedium 07-02-2026 Novel Technique to Detect Cloud Threat Actor Operations https://unit42.paloaltonetworks.com/tracking-threat-groups-through-cloud-logging/ Report completeness: Medium Actors/Campaigns: 0ktapus Hafnium Dragonforce…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачные системы оповещения с трудом различают обычные действия от вредоносных со стороны злоумышленников, таких как Muddled Libra и Silk Typhoon, которые используют различные методы атак, связанные с облачными оповещениями о безопасности, с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider, использует тактику, включающую многорегиональные операции по перечислению и идентификации, в то время как Silk Typhoon использует уязвимости, такие как Spring4Shell, и занимается обширной эксфильтрацией данных. Анализ подчеркивает необходимость того, чтобы организации выявляли закономерности в этих методах для улучшения обнаружения потенциальных угроз и усиления облачной защиты.
-----

Облачные системы оповещения сталкиваются со значительными трудностями при проведении различия между обычными действиями и вредоносными операциями злоумышленников, в частности Muddled Libra и Silk Typhoon. Эти группы используют различные методы атак, которые были сопоставлены с предупреждениями о безопасности облачных вычислений в различных отраслях в период с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider (UNC3944), известна своими развивающимися целевыми секторами и специфическими вредоносными действиями, которые включают в себя нацеливание на такие отрасли, как авиация, хотя и не отслеживаются явно.

Анализ включал в себя увязку связанных с облаком методов MITRE ATT&CK, используемых этими группами угроз, с предупреждениями безопасности, срабатывающими в облачных средах. Проанализированные методы включают действия по перечислению с использованием Microsoft Graph API, эксфильтрацию служб хранения Microsoft 365, а также различные методы обнаружения и сбора данных. Исследование выявило закономерности, которые могли бы помочь организациям распознавать потенциальные действия по разведке или обнаружению информации, свидетельствующие о готовящихся атаках.

Muddled libra's включают в себя выявление чувствительных ресурсов, выполнение нескольких регионах перечисления, а так же выполнение работ идентичности для поддержания закрепление и добиться повышение привилегий. Например, они продемонстрировали поведение, такое как подозрительные перечисления облачной инфраструктуры и скачивание нескольких объектов из облачного хранилища, действия обозначены конкретные методы митр.

Silk Typhoon также демонстрировал аналогичное вредоносное поведение, такое как использование уязвимостей, таких как Spring4Shell, и участие в значительных действиях по эксфильтрации данных из Облачных сервисов. Их действия часто характеризовались командами, приводящими к первоначальному доступу или сбору данных.

Собранные данные предполагают наличие функции "отпечатка пальца", которая может предоставить организациям схему обнаружения для выявления потенциальных угроз. Увеличение количества предупреждений, соответствующих известным методам Muddled Libra, может свидетельствовать о развитии атак, предоставляя защитникам упреждающую возможность повысить безопасность своей инфраструктуры. Этот анализ подчеркивает важность сопоставления отраслевых тенденций и видов деятельности, предлагая новые возможности для разработки систем раннего предупреждения и совершенствования стратегий облачной защиты от сложных злоумышленников.
#ParsedReport #CompletenessLow
07-02-2026

Analysis of active exploitation of SolarWinds Web Help Desk

https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/

Report completeness: Low

Threats:
Lolbin_technique
Dll_sideloading_technique
Dcsync_technique
Hijackwebhelpdesk
Passthehash_technique
Dllsearchorder_hijacking_technique

Victims:
Organizations using solarwinds web help desk

CVEs:
CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)

CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)


TTPs:
Tactics: 5
Technics: 0

IOCs:
Command: 1
File: 2

Soft:
Microsoft Defender, QEMU, Microsoft Defender for Endpoint

Win Services:
BITS

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessLow 07-02-2026 Analysis of active exploitation of SolarWinds Web Help Desk https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/ Report completeness: Low Threats: Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ указывает на активное использование систем веб-службы поддержки SolarWinds (WHD), при этом злоумышленники используют либо недавно обнаруженные CVE, такие как CVE-2025-40551 и CVE-2025-40536, либо более старые уязвимости, такие как CVE-2025-26399. Эта многоступенчатая атака допускает перемещение внутри компании, используя критические недостатки, которые делают возможным неавторизованное Удаленное Выполнение Кода. Инциденты произошли в декабре 2025 года, что усложнило идентификацию конкретных уязвимостей из-за дублирующих друг друга способов эксплуатации.
-----

Недавний анализ, проведенный исследовательской группой Microsoft Defender, свидетельствует об активном использовании подключенных к Интернету систем SolarWinds Web Help Desk (WHD). В этом многоступенчатом вторжении участвовали злоумышленники, которые первоначально скомпрометировали WHD, чтобы закрепиться, а затем перешли к атакам на другие критически важные активы внутри организации. Расследованиям еще предстоит определить конкретные уязвимости, которые были использованы, в частности, относятся ли они к более новым уязвимостям, раскрытым в январе 2026 года, таким как CVE-2025-40551 и CVE-2025-40536, или к более старым уязвимостям, таким как CVE-2025-26399. Эти атаки, которые, как сообщалось, произошли в декабре 2025 года, одновременно использовали компьютеры, уязвимые для обоих наборов CVE, что усложняло попытки определить точные точки входа.

Предполагаемые уязвимости обнаруживают серьезные недостатки, которые могут способствовать атакам. Примечательно, что CVE-2025-40551 включает в себя десериализацию критически важных ненадежных данных, в то время как CVE-2025-40536 относится к обходу контроля безопасности — и то, и другое потенциально позволяет не прошедшее проверку подлинности Удаленное Выполнение Кода. Эта возможность позволила бы внешним злоумышленникам выполнять произвольные команды в контексте приложения WHD, что вызвало бы серьезные проблемы с безопасностью у затронутых организаций.

В рамках своих защитных мер Microsoft Defender обеспечивает защиту до и после взлома в рамках этой кампании, что позволяет организациям выявлять незащищенные и уязвимые экземпляры WHD, подверженные риску. Используя возможности MDVM, связанные с вышеупомянутыми CVE, защитники могут отслеживать типичные схемы атак и получать оповещения, направленные на повышение безопасности устройств и систем управления идентификационными данными. Текущие исследования направлены на выявление точных уязвимостей, используемых во время этих атак, и соответствующее усиление защиты.
#ParsedReport #CompletenessMedium
07-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-06

https://www.labs.greynoise.io/grimoire/2026-02-06-weekly-oast-report/

Report completeness: Medium

Threats:
Nuclei_tool
Interactsh_tool
Log4shell_vuln

Victims:
Internet facing services, Enterprise software, Content management systems, Iot and edge devices

Industry:
Iot

CVEs:
CVE-2024-12987 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- draytek vigor300b_firmware (1.5.1.4)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence_server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2023-47246 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (<23.3.36)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon_router_firmware (-)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1190, T1595, T1595.002

IOCs:
IP: 10

Soft:
Apache Log4j, Confluence, Linux, Apache OFBiz, WebLogic, Zyxel, WordPress, Joomla, Drupal

Algorithms:
exhibit

Languages:
java