#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DynoWiper - вредоносное ПО-очиститель, связанное с российскими государственными злоумышленниками, в частности с группой Sandworm, нацеленной на польские энергетические компании. Это вредоносное ПО имеет простой двоичный дизайн без упаковки, использует алгоритм Mersenne Twister для своего генератора псевдослучайных чисел и систематически перечисляет диски, используя функции Windows API, прежде чем повреждать и удалять критически важные данные. Его операционная механика подчеркивает его цель эффективного разрушения нацеленных инфраструктур в соответствии с предыдущей тактикой Sandworm.
-----

DynoWiper - вредоносное ПО wiper, обнаруженное в декабре 2025 года во время кибератак на польские энергетические компании, которые были атрибутированы с участием злоумышленников, связанных с российским государством. ESET Research и CERT Polska связали эти действия с печально известной группой Sandworm, известной аналогичными операциями против украинской инфраструктуры в предыдущие годы. Дизайн и методы работы вредоносного ПО совпадают с теми, которые наблюдались в прошлых кампаниях Sandworm.

После анализа двоичный файл DynoWiper не использовал упаковку или запутывание, что типично для вредоносного ПО wiper. Процесс обнаружения начался с таких инструментов анализа, как DIE (Detect It Easy), быстро перейдя к более углубленному изучению с помощью IDA, которое выявило механизм работы вредоносного ПО.

Вредоносное ПО инициализирует генератор псевдослучайных чисел (PRNG) с использованием алгоритма Mersenne Twister (MT19937) с фиксированным начальным значением 5489 и размером состояния 624, что указывает на методический подход к обеспечению случайности в его работе. Эта настройка PRNG имеет решающее значение для детерминированного поведения стеклоочистителя.

DynoWiper систематически перечисляет диски, подключенные к хосту-нацелен, используя такие функции, как GetLogicalDrives() и GetDriveTypeW(), чтобы определить, какие диски являются стационарными или съемными. Это гарантирует, что вредоносное ПО во время своего выполнения нацелено только на определенные диски.

После идентификации целевых дисков вредоносное ПО инициирует процесс повреждения данных, серьезно повреждая файлы на этих дисках. После этапа повреждения DynoWiper приступает к удалению данных, фактически делая их невосстановимыми. Эта возможность подчеркивает намерение вредоносного ПО нарушить работу путем удаления критически важных данных из затронутых систем. Сочетание систематического перечисления дисков, повреждения и удаления данных прочно закрепляет за DynoWiper статус изощренной угрозы в области вредоносного ПО wiper, вероятно, предназначенной для достижения стратегического сбоя в работе целевых инфраструктур, связанных с его акторами, связанными с государством.

#ParsedReport #CompletenessLow
07-02-2026

Re-Emerging Telegram Phishing Campaign Targeting User Authorization Prompts

https://www.cyfirma.com/research/re-emerging-telegram-phishing-campaign-targeting-user-authorization-prompts/

Report completeness: Low

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Telegram users

Geo:
Chinese

TTPs:
Tactics: 4
Technics: 6

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на пользователей Telegram, использует процессы аутентификации платформы, используя учетные данные API, контролируемые злоумышленниками, чтобы ввести жертв в заблуждение и заставить их одобрить несанкционированный доступ к своим учетным записям. Этот сложный метод включает сканирование QR-кодов, привязанных к злоумышленникам, что позволяет полностью скомпрометировать сеанс без прямой кражи учетных данных или вредоносного ПО. Текущая кампания отражает хорошо организованного злоумышленника, использующего захваченные учетные записи для дальнейших попыток фишинга, демонстрируя устойчивый и адаптируемый ландшафт угроз.
-----

Кампания по фишингу нацелена на пользователей Telegram, используя его процессы аутентификации. Злоумышленники используют законную инфраструктуру входа в систему и контролируемые учетные данные API, чтобы побудить жертв одобрить запросы на авторизацию. Жертв вводят в заблуждение, заставляя сканировать QR-коды, которые запускают попытки входа в систему, связанные с этими контролируемыми злоумышленниками API. Этот метод позволяет злоумышленникам полностью скомпрометировать учетные записи пользователей без вредоносного ПО или кражи учетных данных. Кампания характеризуется глобальным таргетингом и масштабируемостью, что указывает на хорошо организованного злоумышленника. Предыдущие инциденты с захватом аккаунтов Telegram включали захват сеанса и сбор учетных записей с использованием таких тактик, как вредоносные QR-коды. Злоумышленники используют захваченные учетные записи для распространения дальнейших кампаний фишинга. Эта продолжающаяся деятельность по фишингу демонстрирует адаптивность, поскольку новые зарегистрированные домены имитируют прошлую тактику. Пользователям рекомендуется одобрять запросы на вход в систему, инициированные только ими самими, и быть осторожными с неожиданными запросами на авторизацию. Крайне важно получать доступ к Telegram по официальным каналам и регулярно просматривать активные сеансы. Рекомендуется включить двухэтапную проверку для снижения рисков, связанных со скомпрометированными учетными записями. В целом, пользователям следует сохранять бдительность в отношении развивающихся угроз фишинга.

#ParsedReport #CompletenessMedium
07-02-2026

Novel Technique to Detect Cloud Threat Actor Operations

https://unit42.paloaltonetworks.com/tracking-threat-groups-through-cloud-logging/

Report completeness: Medium

Actors/Campaigns:
0ktapus
Hafnium
Dragonforce

Threats:
Spear-phishing_technique
Smishing_technique
Adrecon_tool
Spring4shell

Victims:
Aviation, Transportation and logistics

Industry:
Healthcare, Retail, Aerospace, Education, Energy, Ngo, Government, Entertainment, Logistic, Transport, Telco

Geo:
Asia, Japan, India, China, Middle east, Australia

TTPs:
Tactics: 10
Technics: 24

Soft:
Active Directory, Microsoft Exchange, Graph API

Links:
https://github.com/sense-of-security/ADRecon

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачные системы оповещения с трудом различают обычные действия от вредоносных со стороны злоумышленников, таких как Muddled Libra и Silk Typhoon, которые используют различные методы атак, связанные с облачными оповещениями о безопасности, с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider, использует тактику, включающую многорегиональные операции по перечислению и идентификации, в то время как Silk Typhoon использует уязвимости, такие как Spring4Shell, и занимается обширной эксфильтрацией данных. Анализ подчеркивает необходимость того, чтобы организации выявляли закономерности в этих методах для улучшения обнаружения потенциальных угроз и усиления облачной защиты.
-----

Облачные системы оповещения сталкиваются со значительными трудностями при проведении различия между обычными действиями и вредоносными операциями злоумышленников, в частности Muddled Libra и Silk Typhoon. Эти группы используют различные методы атак, которые были сопоставлены с предупреждениями о безопасности облачных вычислений в различных отраслях в период с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider (UNC3944), известна своими развивающимися целевыми секторами и специфическими вредоносными действиями, которые включают в себя нацеливание на такие отрасли, как авиация, хотя и не отслеживаются явно.

Анализ включал в себя увязку связанных с облаком методов MITRE ATT&CK, используемых этими группами угроз, с предупреждениями безопасности, срабатывающими в облачных средах. Проанализированные методы включают действия по перечислению с использованием Microsoft Graph API, эксфильтрацию служб хранения Microsoft 365, а также различные методы обнаружения и сбора данных. Исследование выявило закономерности, которые могли бы помочь организациям распознавать потенциальные действия по разведке или обнаружению информации, свидетельствующие о готовящихся атаках.

Muddled libra's включают в себя выявление чувствительных ресурсов, выполнение нескольких регионах перечисления, а так же выполнение работ идентичности для поддержания закрепление и добиться повышение привилегий. Например, они продемонстрировали поведение, такое как подозрительные перечисления облачной инфраструктуры и скачивание нескольких объектов из облачного хранилища, действия обозначены конкретные методы митр.

Silk Typhoon также демонстрировал аналогичное вредоносное поведение, такое как использование уязвимостей, таких как Spring4Shell, и участие в значительных действиях по эксфильтрации данных из Облачных сервисов. Их действия часто характеризовались командами, приводящими к первоначальному доступу или сбору данных.

Собранные данные предполагают наличие функции "отпечатка пальца", которая может предоставить организациям схему обнаружения для выявления потенциальных угроз. Увеличение количества предупреждений, соответствующих известным методам Muddled Libra, может свидетельствовать о развитии атак, предоставляя защитникам упреждающую возможность повысить безопасность своей инфраструктуры. Этот анализ подчеркивает важность сопоставления отраслевых тенденций и видов деятельности, предлагая новые возможности для разработки систем раннего предупреждения и совершенствования стратегий облачной защиты от сложных злоумышленников.

#ParsedReport #CompletenessLow
07-02-2026

Analysis of active exploitation of SolarWinds Web Help Desk

https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/

Report completeness: Low

Threats:
Lolbin_technique
Dll_sideloading_technique
Dcsync_technique
Hijackwebhelpdesk
Passthehash_technique
Dllsearchorder_hijacking_technique

Victims:
Organizations using solarwinds web help desk

CVEs:
CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)

CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)


TTPs:
Tactics: 5
Technics: 0

IOCs:
Command: 1
File: 2

Soft:
Microsoft Defender, QEMU, Microsoft Defender for Endpoint

Win Services:
BITS

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ указывает на активное использование систем веб-службы поддержки SolarWinds (WHD), при этом злоумышленники используют либо недавно обнаруженные CVE, такие как CVE-2025-40551 и CVE-2025-40536, либо более старые уязвимости, такие как CVE-2025-26399. Эта многоступенчатая атака допускает перемещение внутри компании, используя критические недостатки, которые делают возможным неавторизованное Удаленное Выполнение Кода. Инциденты произошли в декабре 2025 года, что усложнило идентификацию конкретных уязвимостей из-за дублирующих друг друга способов эксплуатации.
-----

Недавний анализ, проведенный исследовательской группой Microsoft Defender, свидетельствует об активном использовании подключенных к Интернету систем SolarWinds Web Help Desk (WHD). В этом многоступенчатом вторжении участвовали злоумышленники, которые первоначально скомпрометировали WHD, чтобы закрепиться, а затем перешли к атакам на другие критически важные активы внутри организации. Расследованиям еще предстоит определить конкретные уязвимости, которые были использованы, в частности, относятся ли они к более новым уязвимостям, раскрытым в январе 2026 года, таким как CVE-2025-40551 и CVE-2025-40536, или к более старым уязвимостям, таким как CVE-2025-26399. Эти атаки, которые, как сообщалось, произошли в декабре 2025 года, одновременно использовали компьютеры, уязвимые для обоих наборов CVE, что усложняло попытки определить точные точки входа.

Предполагаемые уязвимости обнаруживают серьезные недостатки, которые могут способствовать атакам. Примечательно, что CVE-2025-40551 включает в себя десериализацию критически важных ненадежных данных, в то время как CVE-2025-40536 относится к обходу контроля безопасности — и то, и другое потенциально позволяет не прошедшее проверку подлинности Удаленное Выполнение Кода. Эта возможность позволила бы внешним злоумышленникам выполнять произвольные команды в контексте приложения WHD, что вызвало бы серьезные проблемы с безопасностью у затронутых организаций.

В рамках своих защитных мер Microsoft Defender обеспечивает защиту до и после взлома в рамках этой кампании, что позволяет организациям выявлять незащищенные и уязвимые экземпляры WHD, подверженные риску. Используя возможности MDVM, связанные с вышеупомянутыми CVE, защитники могут отслеживать типичные схемы атак и получать оповещения, направленные на повышение безопасности устройств и систем управления идентификационными данными. Текущие исследования направлены на выявление точных уязвимостей, используемых во время этих атак, и соответствующее усиление защиты.

#ParsedReport #CompletenessMedium
07-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-06

https://www.labs.greynoise.io/grimoire/2026-02-06-weekly-oast-report/

Report completeness: Medium

Threats:
Nuclei_tool
Interactsh_tool
Log4shell_vuln

Victims:
Internet facing services, Enterprise software, Content management systems, Iot and edge devices

Industry:
Iot

CVEs:
CVE-2024-12987 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- draytek vigor300b_firmware (1.5.1.4)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence_server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2023-47246 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (<23.3.36)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon_router_firmware (-)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1190, T1595, T1595.002

IOCs:
IP: 10

Soft:
Apache Log4j, Confluence, Linux, Apache OFBiz, WebLogic, Zyxel, WordPress, Joomla, Drupal

Algorithms:
exhibit

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В течение недели, закончившейся 6 февраля 2026 года, GreyNoise Labs сообщила о значительной активности в области разведки: 3979 сеансов HTTP и 245 уникальных IP-адресов были связаны с обратными вызовами для тестирования безопасности приложений (OAST) в 82 кампаниях, преимущественно с использованием сканера Nuclei. Заметный всплеск 6 февраля включал 214 уникальных IP-адресов, ориентированных на конкретные домены OAST, что указывает на потенциальную массовую эксплуатацию. Ключевые кампании были нацелены на такие уязвимости, как Log4j и различные CVE, используя широкий спектр методов сканирования без четкой привязки к конкретным злоумышленникам.
-----

В течение недели, закончившейся 6 февраля 2026 года, GreyNoise Labs выявила значительную активность по разведке уязвимостей, характеризующуюся 3979 HTTP-сессиями, сгенерированными по 245 уникальным IP-адресам. Это действие было связано с обратными вызовами внеполосного тестирования безопасности приложений (OAST) в рамках 82 различных кампаний сканирования. Примечательным аспектом этой разведки было вовлечение инфраструктуры хостинг-провайдера, который использовал различные методы сканирования, в первую очередь идентифицированные с помощью аномальных отпечатков TCP, связанных со сканером Nuclei на 20 отдельных хостах.

6 февраля произошел существенный скачок до 214 уникальных IP-адресов, что значительно больше по сравнению с типичным базовым показателем в 6-12. Этот всплеск был сосредоточен на кампании 01p6c, в которой участвовало 204 уникальных IP-адреса, взаимодействующих с одним доменом OAST. Очевидная концентрация предполагает наличие общего или повторно используемого домена OAST, что, возможно, указывает на массовую эксплуатацию с использованием этой общей инфраструктуры.

Были задокументированы две известные кампании: первая, идентифицированная как lftn9, включала 652 сеанса, полученных с одного IP-адреса, связанного с RouterHosting LLC. Эта кампания была нацелена на широкий спектр уязвимостей, включая хорошо известные проблемы, такие как Log4j и конкретные CVE, используя более 300 различных тегов уязвимостей. Вторая кампания, 7bm4o, зафиксировала в общей сложности 545 сеансов в трех исполнениях, опять же с одного IP-адреса источника, относящегося к netcup GmbH. Эта кампания была специально сосредоточена на уязвимостях, связанных с Log4j и проблемами десериализации в серверных компонентах React.

Дальнейший анализ отпечатков пальцев JA4 выявил наличие MSS 65495, уникального идентификатора для сканера уязвимостей Nuclei. Эта конкретная конфигурация была отмечена в трафике 20 различных IP-адресов через несколько ASN, включая netcup и RouterHosting. Был нацелен широкий спектр уязвимостей, выявив активность по разведке, касающуюся 196 различных классов, которая включала уязвимости десериализации Java и несколько проблем с корпоративным программным обеспечением, включая такие известные продукты, как Atlassian Confluence и различные платформы CMS.

Понимание природы этих действий наводит на мысль об отсутствии значимой привязки к конкретным злоумышленникам, о чем свидетельствует неоднородное распределение кампаний сканирования. Наблюдаемая активность включала независимые операции с минимальным дублированием IP-адресов и разнообразным набором источников инфраструктуры, включающие такие инструменты, как сканер Nuclei, и различные схемы таргетинга для целого ряда уязвимостей. Распределение этих действий по времени не выявило скоординированных временных схем, что еще больше подчеркивает децентрализованный и оппортунистический характер ландшафта угроз в этот период.

#ParsedReport #CompletenessHigh
04-02-2026

Prince of Persia, Part II: Covering Tracks, Striking Back & a Revealing Link to the Iranian Regime Amid the Countrys Internet Blackout

https://www.safebreach.com/blog/prince-of-persia-part-ii/

Report completeness: High

Actors/Campaigns:
Ferocious_kitten
Charming_kitten
N3cro_m4ncer
Apt33

Threats:
Stormkitty_stealer
Foudre
Tonnerre
Phantom_stealer
Stealerium_stealer
Remcos_rat
Confuser_tool
Phemedrone
Hookspoofer
Prynt_stealer
Asyncrat
Snake_keylogger
Maxpinner
Amaqfinder
Deep_freeze
Metasploit_tool
Confuserex_tool

Industry:
Aerospace, Financial, Government, Energy

Geo:
Jordan, France, Germany, Switzerland, Colombia, Canada, Netherlands, Austria, Czechia, Russia, Saudi arabia, Senegal, Nigeria, Iraq, Vietnam, United kingdom, Iranian, Singapore, Iran, Korea, India, Israel, Kosovo, Italy, Indonesia, Ghana

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1071.001, T1071.004, T1071.004, T1102, T1102.001, T1102.002, T1102.003, have more...

IOCs:
File: 60
IP: 12
Domain: 25
Hash: 60
Registry: 1
Url: 8
Path: 1

Soft:
Telegram, FlashFXP, Kitty, Hyper-V, chrome, Discord

Algorithms:
base64, sha1, sha256, rc4, xor, zip, pbkdf2, base32, aes

Functions:
TaskKill, main

Languages:
python, powershell, php

Links:
https://github.com/LimerBoy/StormKitty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая иранским государством террористическая группировка "Prince of Persia" усилила свою киберактивность, особенно после отключения Интернета в Иране в январе 2026 года, установив новые серверы командования и контроля (C2) и домены. В их атаках используется вредоносное ПО Tornado, которое помещает Вредоносный файл в каталог автозагрузки, используя при этом специфические уязвимости Microsoft, используя как ручные, так и основанные на блокчейне методы связи C2. Недавние операции включают в себя эволюционировавшие взаимодействия Telegram для эксфильтрация данных и попытки нацелиться на киберисследователей, подчеркивая их адаптивность и согласованность состояний.
-----

Продолжающееся расследование в отношении спонсируемой иранским государством террористической группировки, известной как "Prince of Persia", выявляет значительные изменения в их деятельности, особенно во время отключения Интернета в Иране с 8 января 2026 года. Со времени публикации предыдущего отчета злоумышленник проявил повышенную активность, создав новую инфраструктуру командования и контроля (C2), включая несколько серверов и доменных имен. 21 декабря 2025 года были сконфигурированы два новых сервера C2, идентифицированных по IP-адресам 45.80.148.249 и 45.80.148.195, наряду с регистрацией новых доменов для обеспечения гибкости работы.

Группа использует архивные эксплойты для облегчения заражения вредоносное ПО. В этих атаках используется разновидность Tornado вредоносное ПО, которое удаляет файл, известный как AudioService.exe в папку автозагрузки, потенциально используя уязвимость Microsoft (CVE-2025-8088 или CVE-2025-6218). Этот сдвиг указывает на адаптацию к изменениям в настройках безопасности макросов в Microsoft Office, расширяющую их методы заражения.

Tornado использует два метода для разрешения работы серверов C2: ручной метод с помощью скрипта, сгенерированного на Python, и активный метод, использующий данные блокчейна. Такой двойной подход обеспечивает гибкость при регистрации доменных имен, не требуя частых обновлений самого вредоносное ПО.

Связь с сервером C2 инициируется после создания домена. Примечательно, что Tornado может извлекать данные через Telegram, в частности, используя Telegram bot API для поиска системной информации. Актор недавно изменил свои операции в Telegram, заменив ранее идентифицированного пользователя, чтобы поддерживать скрытое присутствие в своей командной инфраструктуре.

Тревожная тактика возникла, когда исследователи выявили попытку злоумышленник-злоумышленницы заразить их аналитические системы с помощью Вредоносный файл, замаскированный под файл жертвы. Эта попытка подчеркивает готовность противника принять ответные меры против тех, кто следит за их деятельностью. Кроме того, сопоставляющиеся данные связывают более ранние версии вредоносное ПО (ZZ Stealer), используемого группой, с StormKitty, что свидетельствует о преемственности их операционной фреймворк.

Исследование подчеркивает адаптивность и закрепление Prince of Persia, указывая на четкую связь между их кибер-активностью и иранским режимом, особенно с учетом того, что они возобновили свою деятельность после отключения электроэнергии. Это постоянное наблюдение позволяет проводить прогнозный анализ их будущих действий в киберпространстве, подкрепляя рассказ о систематических спонсируемых государством киберугроза, исходящих из Ирана.

#ParsedReport #CompletenessHigh
04-02-2026

APT28s Stealthy Multi-Stage Campaign Leveraging CVE202621509 and Cloud C2 Infrastructure

https://www.trellix.com/blogs/research/apt28-stealthy-campaign-leveraging-cve-2026-21509-cloud-c2/

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Phantom_net_voxel

Threats:
Spear-phishing_technique
Notdoor
Beardshell_tool
Process_injection_technique
Covenant_c2_tool
Simpleloader
Grunt
Outlook_backdoor
Koofr_tool
Com_hijacking_technique
Smuggling_technique

Victims:
Military, Government, Maritime, Transportation, Logistics, Diplomatic entities

Industry:
Transport, Logistic, Education, Maritime, Government, Military

Geo:
Slovenia, Ukraine, Romania, Bolivia, Syria, Russia, Greece, Russian, Ukrainian, Turkey, Romanian, Poland

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 11
Path: 5
Domain: 4
Hash: 14
IP: 4
Email: 2
Url: 18
Registry: 3
Command: 2

Soft:
Microsoft Office, Outlook, Component Object Model, Microsoft Outlook, ProtonMail

Algorithms:
aes-256-gcm, md5, aes-256, cbc, exhibit, xor, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, спонсируемая российским государством группировка, запустила шпионскую кампанию, использующую уязвимость CVE-2026-21509 для нацеливания на военные и правительственные структуры в Восточной Европе. В течение 24 часов после обнаружения они использовали Целевой фишинг электронных писем с вредоносными документами, чтобы запустить сложную цепочку заражения, включающую загрузчик, бэкдор "NotDoor" и пользовательский C++-имплантат под названием "BeardShell", при этом применяя методы безфайлового выполнения. Использование группой Облачные сервисы для операций управление еще больше усложняет усилия по обнаружению.
-----

APT28, также известная как Fancy Bear, является спонсируемой российским государством террористической группировкой. Группа проводит шпионскую кампанию, нацелен на военные и правительственные организации в Европе. Они использовали уязвимость Microsoft Office CVE-2026-21509 в качестве оружия в течение 24 часов после ее выпуска. В атаке используются вредоносные документы, использующие Целевой фишинг, которые используют эту уязвимость для компрометации организаций ЕС и Украины. В этой кампании используется сложная цепочка заражения, включающая загрузчик, бэкдор Outlook VBA "NotDoor" и пользовательский C++-имплантат с именем "BeardShell". Использование CVE-2026-21509 позволяет злоумышленникам обходить OLE-механизмы безопасности Office, автоматически выполняя эксплойт при открытии документов. Вредоносное ПО использует протокол WebDAV для получения дополнительной полезной нагрузки со вредоносных серверов. В период с 28 по 30 января 2026 года APT28 отправил по меньшей мере 29 фишинг-писем в оборонный и транспортный секторы девяти восточноевропейских стран, часто со взломанных правительственных аккаунтов. Успешная эксплуатация приводит к запуску загрузчика под названием "SimpleLoader", который инициирует дальнейшую доставку полезной нагрузки. Развернут усовершенствованный загрузчик .NET, основанный на бэкдоре Covenant, обеспечивающий безопасное взаимодействие с помощью 2048-битной пары ключей RSA. Вредоносное ПО загружает полезные файлы в зашифрованном формате, используя методы безфайлового выполнения для скрытности. Бэкдор "NotDoor" изменяет настройки безопасности Outlook, отключая защиту макросов и обеспечивая постоянное выполнение. Для облегчения его работы устанавливаются вредоносные скрипты VBA. APT28 использует filen.io в качестве канала управление, маскирующего вредоносный трафик под операции облачного хранилища. Быстрая адаптация группы к использованию новых уязвимостей подчеркивает проблемы, с которыми сталкиваются защитники при защите систем от изощренной тактики кибершпионажа. Отнесение к APT28 основано на технических показателях и моделях нацелен-ных жертв.

#ParsedReport #CompletenessHigh
08-02-2026

LTX Stealer : Analysis of a Node.jsBased Credential Stealer

https://www.cyfirma.com/research/ltx-stealer-analysis-of-a-node-js-based-credential-stealer/

Report completeness: High

Threats:
Ltx_stealer
Credential_harvesting_technique
Credential_stealing_technique

Industry:
Telco

Geo:
Brazil

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 4
IP: 3
Path: 1
Domain: 1
Hash: 2

Soft:
Node.js, Chromium, Microsoft Edge, Google Chrome, Chrome

Algorithms:
exhibit, sha256

Win API:
SeDebugPrivilege

Languages:
python, powershell, javascript

Platforms:
x86

YARA: Found