#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачные системы оповещения с трудом различают обычные действия от вредоносных со стороны злоумышленников, таких как Muddled Libra и Silk Typhoon, которые используют различные методы атак, связанные с облачными оповещениями о безопасности, с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider, использует тактику, включающую многорегиональные операции по перечислению и идентификации, в то время как Silk Typhoon использует уязвимости, такие как Spring4Shell, и занимается обширной эксфильтрацией данных. Анализ подчеркивает необходимость того, чтобы организации выявляли закономерности в этих методах для улучшения обнаружения потенциальных угроз и усиления облачной защиты.
-----

Облачные системы оповещения сталкиваются со значительными трудностями при проведении различия между обычными действиями и вредоносными операциями злоумышленников, в частности Muddled Libra и Silk Typhoon. Эти группы используют различные методы атак, которые были сопоставлены с предупреждениями о безопасности облачных вычислений в различных отраслях в период с июня 2024 по июнь 2025 года. Muddled Libra, также известная как Scattered Spider (UNC3944), известна своими развивающимися целевыми секторами и специфическими вредоносными действиями, которые включают в себя нацеливание на такие отрасли, как авиация, хотя и не отслеживаются явно.

Анализ включал в себя увязку связанных с облаком методов MITRE ATT&CK, используемых этими группами угроз, с предупреждениями безопасности, срабатывающими в облачных средах. Проанализированные методы включают действия по перечислению с использованием Microsoft Graph API, эксфильтрацию служб хранения Microsoft 365, а также различные методы обнаружения и сбора данных. Исследование выявило закономерности, которые могли бы помочь организациям распознавать потенциальные действия по разведке или обнаружению информации, свидетельствующие о готовящихся атаках.

Muddled libra's включают в себя выявление чувствительных ресурсов, выполнение нескольких регионах перечисления, а так же выполнение работ идентичности для поддержания закрепление и добиться повышение привилегий. Например, они продемонстрировали поведение, такое как подозрительные перечисления облачной инфраструктуры и скачивание нескольких объектов из облачного хранилища, действия обозначены конкретные методы митр.

Silk Typhoon также демонстрировал аналогичное вредоносное поведение, такое как использование уязвимостей, таких как Spring4Shell, и участие в значительных действиях по эксфильтрации данных из Облачных сервисов. Их действия часто характеризовались командами, приводящими к первоначальному доступу или сбору данных.

Собранные данные предполагают наличие функции "отпечатка пальца", которая может предоставить организациям схему обнаружения для выявления потенциальных угроз. Увеличение количества предупреждений, соответствующих известным методам Muddled Libra, может свидетельствовать о развитии атак, предоставляя защитникам упреждающую возможность повысить безопасность своей инфраструктуры. Этот анализ подчеркивает важность сопоставления отраслевых тенденций и видов деятельности, предлагая новые возможности для разработки систем раннего предупреждения и совершенствования стратегий облачной защиты от сложных злоумышленников.

#ParsedReport #CompletenessLow
07-02-2026

Analysis of active exploitation of SolarWinds Web Help Desk

https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/

Report completeness: Low

Threats:
Lolbin_technique
Dll_sideloading_technique
Dcsync_technique
Hijackwebhelpdesk
Passthehash_technique
Dllsearchorder_hijacking_technique

Victims:
Organizations using solarwinds web help desk

CVEs:
CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)

CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)


TTPs:
Tactics: 5
Technics: 0

IOCs:
Command: 1
File: 2

Soft:
Microsoft Defender, QEMU, Microsoft Defender for Endpoint

Win Services:
BITS

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ указывает на активное использование систем веб-службы поддержки SolarWinds (WHD), при этом злоумышленники используют либо недавно обнаруженные CVE, такие как CVE-2025-40551 и CVE-2025-40536, либо более старые уязвимости, такие как CVE-2025-26399. Эта многоступенчатая атака допускает перемещение внутри компании, используя критические недостатки, которые делают возможным неавторизованное Удаленное Выполнение Кода. Инциденты произошли в декабре 2025 года, что усложнило идентификацию конкретных уязвимостей из-за дублирующих друг друга способов эксплуатации.
-----

Недавний анализ, проведенный исследовательской группой Microsoft Defender, свидетельствует об активном использовании подключенных к Интернету систем SolarWinds Web Help Desk (WHD). В этом многоступенчатом вторжении участвовали злоумышленники, которые первоначально скомпрометировали WHD, чтобы закрепиться, а затем перешли к атакам на другие критически важные активы внутри организации. Расследованиям еще предстоит определить конкретные уязвимости, которые были использованы, в частности, относятся ли они к более новым уязвимостям, раскрытым в январе 2026 года, таким как CVE-2025-40551 и CVE-2025-40536, или к более старым уязвимостям, таким как CVE-2025-26399. Эти атаки, которые, как сообщалось, произошли в декабре 2025 года, одновременно использовали компьютеры, уязвимые для обоих наборов CVE, что усложняло попытки определить точные точки входа.

Предполагаемые уязвимости обнаруживают серьезные недостатки, которые могут способствовать атакам. Примечательно, что CVE-2025-40551 включает в себя десериализацию критически важных ненадежных данных, в то время как CVE-2025-40536 относится к обходу контроля безопасности — и то, и другое потенциально позволяет не прошедшее проверку подлинности Удаленное Выполнение Кода. Эта возможность позволила бы внешним злоумышленникам выполнять произвольные команды в контексте приложения WHD, что вызвало бы серьезные проблемы с безопасностью у затронутых организаций.

В рамках своих защитных мер Microsoft Defender обеспечивает защиту до и после взлома в рамках этой кампании, что позволяет организациям выявлять незащищенные и уязвимые экземпляры WHD, подверженные риску. Используя возможности MDVM, связанные с вышеупомянутыми CVE, защитники могут отслеживать типичные схемы атак и получать оповещения, направленные на повышение безопасности устройств и систем управления идентификационными данными. Текущие исследования направлены на выявление точных уязвимостей, используемых во время этих атак, и соответствующее усиление защиты.

#ParsedReport #CompletenessMedium
07-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-06

https://www.labs.greynoise.io/grimoire/2026-02-06-weekly-oast-report/

Report completeness: Medium

Threats:
Nuclei_tool
Interactsh_tool
Log4shell_vuln

Victims:
Internet facing services, Enterprise software, Content management systems, Iot and edge devices

Industry:
Iot

CVEs:
CVE-2024-12987 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- draytek vigor300b_firmware (1.5.1.4)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence_server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2023-47246 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (<23.3.36)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon_router_firmware (-)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1190, T1595, T1595.002

IOCs:
IP: 10

Soft:
Apache Log4j, Confluence, Linux, Apache OFBiz, WebLogic, Zyxel, WordPress, Joomla, Drupal

Algorithms:
exhibit

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В течение недели, закончившейся 6 февраля 2026 года, GreyNoise Labs сообщила о значительной активности в области разведки: 3979 сеансов HTTP и 245 уникальных IP-адресов были связаны с обратными вызовами для тестирования безопасности приложений (OAST) в 82 кампаниях, преимущественно с использованием сканера Nuclei. Заметный всплеск 6 февраля включал 214 уникальных IP-адресов, ориентированных на конкретные домены OAST, что указывает на потенциальную массовую эксплуатацию. Ключевые кампании были нацелены на такие уязвимости, как Log4j и различные CVE, используя широкий спектр методов сканирования без четкой привязки к конкретным злоумышленникам.
-----

В течение недели, закончившейся 6 февраля 2026 года, GreyNoise Labs выявила значительную активность по разведке уязвимостей, характеризующуюся 3979 HTTP-сессиями, сгенерированными по 245 уникальным IP-адресам. Это действие было связано с обратными вызовами внеполосного тестирования безопасности приложений (OAST) в рамках 82 различных кампаний сканирования. Примечательным аспектом этой разведки было вовлечение инфраструктуры хостинг-провайдера, который использовал различные методы сканирования, в первую очередь идентифицированные с помощью аномальных отпечатков TCP, связанных со сканером Nuclei на 20 отдельных хостах.

6 февраля произошел существенный скачок до 214 уникальных IP-адресов, что значительно больше по сравнению с типичным базовым показателем в 6-12. Этот всплеск был сосредоточен на кампании 01p6c, в которой участвовало 204 уникальных IP-адреса, взаимодействующих с одним доменом OAST. Очевидная концентрация предполагает наличие общего или повторно используемого домена OAST, что, возможно, указывает на массовую эксплуатацию с использованием этой общей инфраструктуры.

Были задокументированы две известные кампании: первая, идентифицированная как lftn9, включала 652 сеанса, полученных с одного IP-адреса, связанного с RouterHosting LLC. Эта кампания была нацелена на широкий спектр уязвимостей, включая хорошо известные проблемы, такие как Log4j и конкретные CVE, используя более 300 различных тегов уязвимостей. Вторая кампания, 7bm4o, зафиксировала в общей сложности 545 сеансов в трех исполнениях, опять же с одного IP-адреса источника, относящегося к netcup GmbH. Эта кампания была специально сосредоточена на уязвимостях, связанных с Log4j и проблемами десериализации в серверных компонентах React.

Дальнейший анализ отпечатков пальцев JA4 выявил наличие MSS 65495, уникального идентификатора для сканера уязвимостей Nuclei. Эта конкретная конфигурация была отмечена в трафике 20 различных IP-адресов через несколько ASN, включая netcup и RouterHosting. Был нацелен широкий спектр уязвимостей, выявив активность по разведке, касающуюся 196 различных классов, которая включала уязвимости десериализации Java и несколько проблем с корпоративным программным обеспечением, включая такие известные продукты, как Atlassian Confluence и различные платформы CMS.

Понимание природы этих действий наводит на мысль об отсутствии значимой привязки к конкретным злоумышленникам, о чем свидетельствует неоднородное распределение кампаний сканирования. Наблюдаемая активность включала независимые операции с минимальным дублированием IP-адресов и разнообразным набором источников инфраструктуры, включающие такие инструменты, как сканер Nuclei, и различные схемы таргетинга для целого ряда уязвимостей. Распределение этих действий по времени не выявило скоординированных временных схем, что еще больше подчеркивает децентрализованный и оппортунистический характер ландшафта угроз в этот период.

#ParsedReport #CompletenessHigh
04-02-2026

Prince of Persia, Part II: Covering Tracks, Striking Back & a Revealing Link to the Iranian Regime Amid the Countrys Internet Blackout

https://www.safebreach.com/blog/prince-of-persia-part-ii/

Report completeness: High

Actors/Campaigns:
Ferocious_kitten
Charming_kitten
N3cro_m4ncer
Apt33

Threats:
Stormkitty_stealer
Foudre
Tonnerre
Phantom_stealer
Stealerium_stealer
Remcos_rat
Confuser_tool
Phemedrone
Hookspoofer
Prynt_stealer
Asyncrat
Snake_keylogger
Maxpinner
Amaqfinder
Deep_freeze
Metasploit_tool
Confuserex_tool

Industry:
Aerospace, Financial, Government, Energy

Geo:
Jordan, France, Germany, Switzerland, Colombia, Canada, Netherlands, Austria, Czechia, Russia, Saudi arabia, Senegal, Nigeria, Iraq, Vietnam, United kingdom, Iranian, Singapore, Iran, Korea, India, Israel, Kosovo, Italy, Indonesia, Ghana

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1071.001, T1071.004, T1071.004, T1102, T1102.001, T1102.002, T1102.003, have more...

IOCs:
File: 60
IP: 12
Domain: 25
Hash: 60
Registry: 1
Url: 8
Path: 1

Soft:
Telegram, FlashFXP, Kitty, Hyper-V, chrome, Discord

Algorithms:
base64, sha1, sha256, rc4, xor, zip, pbkdf2, base32, aes

Functions:
TaskKill, main

Languages:
python, powershell, php

Links:
https://github.com/LimerBoy/StormKitty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая иранским государством террористическая группировка "Prince of Persia" усилила свою киберактивность, особенно после отключения Интернета в Иране в январе 2026 года, установив новые серверы командования и контроля (C2) и домены. В их атаках используется вредоносное ПО Tornado, которое помещает Вредоносный файл в каталог автозагрузки, используя при этом специфические уязвимости Microsoft, используя как ручные, так и основанные на блокчейне методы связи C2. Недавние операции включают в себя эволюционировавшие взаимодействия Telegram для эксфильтрация данных и попытки нацелиться на киберисследователей, подчеркивая их адаптивность и согласованность состояний.
-----

Продолжающееся расследование в отношении спонсируемой иранским государством террористической группировки, известной как "Prince of Persia", выявляет значительные изменения в их деятельности, особенно во время отключения Интернета в Иране с 8 января 2026 года. Со времени публикации предыдущего отчета злоумышленник проявил повышенную активность, создав новую инфраструктуру командования и контроля (C2), включая несколько серверов и доменных имен. 21 декабря 2025 года были сконфигурированы два новых сервера C2, идентифицированных по IP-адресам 45.80.148.249 и 45.80.148.195, наряду с регистрацией новых доменов для обеспечения гибкости работы.

Группа использует архивные эксплойты для облегчения заражения вредоносное ПО. В этих атаках используется разновидность Tornado вредоносное ПО, которое удаляет файл, известный как AudioService.exe в папку автозагрузки, потенциально используя уязвимость Microsoft (CVE-2025-8088 или CVE-2025-6218). Этот сдвиг указывает на адаптацию к изменениям в настройках безопасности макросов в Microsoft Office, расширяющую их методы заражения.

Tornado использует два метода для разрешения работы серверов C2: ручной метод с помощью скрипта, сгенерированного на Python, и активный метод, использующий данные блокчейна. Такой двойной подход обеспечивает гибкость при регистрации доменных имен, не требуя частых обновлений самого вредоносное ПО.

Связь с сервером C2 инициируется после создания домена. Примечательно, что Tornado может извлекать данные через Telegram, в частности, используя Telegram bot API для поиска системной информации. Актор недавно изменил свои операции в Telegram, заменив ранее идентифицированного пользователя, чтобы поддерживать скрытое присутствие в своей командной инфраструктуре.

Тревожная тактика возникла, когда исследователи выявили попытку злоумышленник-злоумышленницы заразить их аналитические системы с помощью Вредоносный файл, замаскированный под файл жертвы. Эта попытка подчеркивает готовность противника принять ответные меры против тех, кто следит за их деятельностью. Кроме того, сопоставляющиеся данные связывают более ранние версии вредоносное ПО (ZZ Stealer), используемого группой, с StormKitty, что свидетельствует о преемственности их операционной фреймворк.

Исследование подчеркивает адаптивность и закрепление Prince of Persia, указывая на четкую связь между их кибер-активностью и иранским режимом, особенно с учетом того, что они возобновили свою деятельность после отключения электроэнергии. Это постоянное наблюдение позволяет проводить прогнозный анализ их будущих действий в киберпространстве, подкрепляя рассказ о систематических спонсируемых государством киберугроза, исходящих из Ирана.

#ParsedReport #CompletenessHigh
04-02-2026

APT28s Stealthy Multi-Stage Campaign Leveraging CVE202621509 and Cloud C2 Infrastructure

https://www.trellix.com/blogs/research/apt28-stealthy-campaign-leveraging-cve-2026-21509-cloud-c2/

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Phantom_net_voxel

Threats:
Spear-phishing_technique
Notdoor
Beardshell_tool
Process_injection_technique
Covenant_c2_tool
Simpleloader
Grunt
Outlook_backdoor
Koofr_tool
Com_hijacking_technique
Smuggling_technique

Victims:
Military, Government, Maritime, Transportation, Logistics, Diplomatic entities

Industry:
Transport, Logistic, Education, Maritime, Government, Military

Geo:
Slovenia, Ukraine, Romania, Bolivia, Syria, Russia, Greece, Russian, Ukrainian, Turkey, Romanian, Poland

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 9
Technics: 18

IOCs:
File: 11
Path: 5
Domain: 4
Hash: 14
IP: 4
Email: 2
Url: 18
Registry: 3
Command: 2

Soft:
Microsoft Office, Outlook, Component Object Model, Microsoft Outlook, ProtonMail

Algorithms:
aes-256-gcm, md5, aes-256, cbc, exhibit, xor, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, спонсируемая российским государством группировка, запустила шпионскую кампанию, использующую уязвимость CVE-2026-21509 для нацеливания на военные и правительственные структуры в Восточной Европе. В течение 24 часов после обнаружения они использовали Целевой фишинг электронных писем с вредоносными документами, чтобы запустить сложную цепочку заражения, включающую загрузчик, бэкдор "NotDoor" и пользовательский C++-имплантат под названием "BeardShell", при этом применяя методы безфайлового выполнения. Использование группой Облачные сервисы для операций управление еще больше усложняет усилия по обнаружению.
-----

APT28, также известная как Fancy Bear, является спонсируемой российским государством террористической группировкой. Группа проводит шпионскую кампанию, нацелен на военные и правительственные организации в Европе. Они использовали уязвимость Microsoft Office CVE-2026-21509 в качестве оружия в течение 24 часов после ее выпуска. В атаке используются вредоносные документы, использующие Целевой фишинг, которые используют эту уязвимость для компрометации организаций ЕС и Украины. В этой кампании используется сложная цепочка заражения, включающая загрузчик, бэкдор Outlook VBA "NotDoor" и пользовательский C++-имплантат с именем "BeardShell". Использование CVE-2026-21509 позволяет злоумышленникам обходить OLE-механизмы безопасности Office, автоматически выполняя эксплойт при открытии документов. Вредоносное ПО использует протокол WebDAV для получения дополнительной полезной нагрузки со вредоносных серверов. В период с 28 по 30 января 2026 года APT28 отправил по меньшей мере 29 фишинг-писем в оборонный и транспортный секторы девяти восточноевропейских стран, часто со взломанных правительственных аккаунтов. Успешная эксплуатация приводит к запуску загрузчика под названием "SimpleLoader", который инициирует дальнейшую доставку полезной нагрузки. Развернут усовершенствованный загрузчик .NET, основанный на бэкдоре Covenant, обеспечивающий безопасное взаимодействие с помощью 2048-битной пары ключей RSA. Вредоносное ПО загружает полезные файлы в зашифрованном формате, используя методы безфайлового выполнения для скрытности. Бэкдор "NotDoor" изменяет настройки безопасности Outlook, отключая защиту макросов и обеспечивая постоянное выполнение. Для облегчения его работы устанавливаются вредоносные скрипты VBA. APT28 использует filen.io в качестве канала управление, маскирующего вредоносный трафик под операции облачного хранилища. Быстрая адаптация группы к использованию новых уязвимостей подчеркивает проблемы, с которыми сталкиваются защитники при защите систем от изощренной тактики кибершпионажа. Отнесение к APT28 основано на технических показателях и моделях нацелен-ных жертв.

#ParsedReport #CompletenessHigh
08-02-2026

LTX Stealer : Analysis of a Node.jsBased Credential Stealer

https://www.cyfirma.com/research/ltx-stealer-analysis-of-a-node-js-based-credential-stealer/

Report completeness: High

Threats:
Ltx_stealer
Credential_harvesting_technique
Credential_stealing_technique

Industry:
Telco

Geo:
Brazil

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 4
IP: 3
Path: 1
Domain: 1
Hash: 2

Soft:
Node.js, Chromium, Microsoft Edge, Google Chrome, Chrome

Algorithms:
exhibit, sha256

Win API:
SeDebugPrivilege

Languages:
python, powershell, javascript

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LTX Stealer - это credential-stealing вредоносное ПО, использующее законные программные фреймворк для обфускации и уклонения от ответственности. Поставляемый с помощью установщика Inno Setup, он встраивает Node.js среда выполнения для выполнения вредоносных скриптов и запрашивает права администратора для деструктивных операций. Распространяемое вредоносное ПО отличается скрытностью, а история его загрузки на платформу с открытым исходным кодом подчеркивает низкий уровень обнаружения антивирусными системами, демонстрируя стратегическую направленность на сокрытие.
-----

LTX Stealer - это изощренное credential-stealing вредоносное ПО, идентифицированное как часть растущей тенденции, когда злоумышленники используют легальные программные фреймворк для сокрытия вредоносной полезной нагрузки и уклонения от обнаружения. Это вредоносное ПО для Windows доставляется через запутанный установщик Inno Setup, что значительно усложняет анализ. Он включает в себя полный Node.js среда выполнения, позволяющая ему запускать вредоносные скрипты в доверенной среде, тем самым маскируя свою деятельность.

Вредоносное ПО упаковано в виде исполняемого файла с именем Negro.exe , который при проверке напрямую ассоциируется с LTX Stealer во встроенных метаданных, что вызывает опасения по поводу его подлинности. При запуске LTX Stealer стремится получить права администратора, что позволяет ему выполнять деструктивные операции в системе и получать доступ к защищенным местоположениям. Это повышение привилегий позволяет вредоносное ПО записывать свою основную полезную нагрузку в каталоги, предназначенные для имитации законных компонентов Microsoft, что еще больше стирает границы между вредоносными и заслуживающими доверия.

Что касается распространения, то самый ранний известный образец LTX Stealer был загружен на платформу с открытым исходным кодом 10 января 2026 года, где его разработчик выделил нулевое обнаружение антивирусом в качестве средства демонстрации его возможностей уклонения. Это предполагает стратегический подход к разработке вредоносное ПО, гарантирующий, что оно может работать, не будучи помеченным решениями безопасности.

Использование методов обфускации, таких как расшифровка во время выполнения и компиляция байт-кода JavaScript, не только усложняет работу по обратному проектированию, но и подчеркивает преднамеренное намерение скрыть вредоносные действия вредоносное ПО. В результате LTX Stealer является примером хорошо структурированной операции, направленной на компрометацию систем с минимальным риском обнаружения.

Для обнаружения было установлено правило YARA, позволяющее идентифицировать признаки компрометации, связанные с инфраструктурой LTX Stealer, включая сигнатуры, относящиеся к исполняемым файлам вредоносное ПО и связанным с ним сетевым доменам. Эта разработка подчеркивает важность непрерывного мониторинга и анализа перед лицом развивающихся киберугроза, которые используют надежные приложения для проведения операций по краже информации.

#ParsedReport #CompletenessLow
07-02-2026

Hackers Exploit Free Firebase Accounts to Launch Phishing Campaigns

https://gbhackers.com/hackers-exploit-free-firebase-accounts/

Report completeness: Low

Victims:
Email users

Industry:
Financial, Retail

ChatGPT TTPs:
do not use without manual check
T1584.001

IOCs:
Email: 3
Domain: 2

Soft:
Twitter, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние фишинг-кампании использовали платформу Firebase от Google, используя бесплатные учетные записи для распространения вредоносных электронных писем, эффективно обходя стандартные фильтры безопасности. Злоумышленники используют эту законную инфраструктуру для размещения фишинг-контента, тем самым злоупотребляя доверием, связанным с сервисами Google. Эта тенденция высвечивает новую тактику в области киберугроза, когда изощренные злоумышленники используют законные платформы для повышения эффективности своих усилий по фишинг-атакам.
-----

Недавние фишинг-кампании использовали платформу Firebase от Google, при этом злоумышленники использовали бесплатные учетные записи для обхода стандартных фильтров безопасности. Регистрируясь в бесплатных учетных записях Firebase, эти злоумышленник получают доступ к надежным облачным функциям, которые позволяют им эффективно распространять фишинг-электронные письма. Эта тактика использует законную инфраструктуру Google, что затрудняет системам безопасности выявление и блокирование вредоносных действий.

В контексте этой кампании ключевым приемом, применяемым злоумышленниками, является использование авторитетных сервисов для придания достоверности их усилиям по фишинг. Размещая вредоносный контент на Firebase, они могут воспользоваться доверием, связанным с сервисами Google, и обойти типичные меры безопасности, которые отфильтровывают менее авторитетные домены.

Этот метод введения в действие бесплатных Облачные сервисы демонстрирует эволюционирующий ландшафт киберугроза, когда злоумышленники все чаще используют законные платформы для злонамеренных целей. В результате это подчеркивает необходимость усиления бдительности и адаптивных мер по кибербезопасность для эффективного распознавания и снижения таких рисков. Эта тенденция указывает на изменение динамики фишинг-атак, когда традиционные меры идентификации могут оказаться неэффективными в сравнении с изощренной тактикой, использующей надежные сервисы. Организациям и частным лицам следует помнить об этой тактике и внедрять надежные системы фильтрации электронной почты наряду с обучением пользователей распознавать попытки фишинг и сообщать о них.

#ParsedReport #CompletenessLow
08-02-2026

Likely fake ransomware operator 0APT causes panic Our analysis

https://www.intel471.com/blog/likely-fake-ransomware-operator-0apt-causes-panic-our-analysis

Report completeness: Low

Actors/Campaigns:
0apt_syndicate

Threats:
0apt_syndicate
Qilin_ransomware
Clop
Shadow_copies_delete_technique

Victims:
Multiple organizations

Languages:
powershell

Platforms:
intel