#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, спонсируемая российским государством группировка, запустила шпионскую кампанию, использующую уязвимость CVE-2026-21509 для нацеливания на военные и правительственные структуры в Восточной Европе. В течение 24 часов после обнаружения они использовали Целевой фишинг электронных писем с вредоносными документами, чтобы запустить сложную цепочку заражения, включающую загрузчик, бэкдор "NotDoor" и пользовательский C++-имплантат под названием "BeardShell", при этом применяя методы безфайлового выполнения. Использование группой Облачные сервисы для операций управление еще больше усложняет усилия по обнаружению.
-----

APT28, также известная как Fancy Bear, является спонсируемой российским государством террористической группировкой. Группа проводит шпионскую кампанию, нацелен на военные и правительственные организации в Европе. Они использовали уязвимость Microsoft Office CVE-2026-21509 в качестве оружия в течение 24 часов после ее выпуска. В атаке используются вредоносные документы, использующие Целевой фишинг, которые используют эту уязвимость для компрометации организаций ЕС и Украины. В этой кампании используется сложная цепочка заражения, включающая загрузчик, бэкдор Outlook VBA "NotDoor" и пользовательский C++-имплантат с именем "BeardShell". Использование CVE-2026-21509 позволяет злоумышленникам обходить OLE-механизмы безопасности Office, автоматически выполняя эксплойт при открытии документов. Вредоносное ПО использует протокол WebDAV для получения дополнительной полезной нагрузки со вредоносных серверов. В период с 28 по 30 января 2026 года APT28 отправил по меньшей мере 29 фишинг-писем в оборонный и транспортный секторы девяти восточноевропейских стран, часто со взломанных правительственных аккаунтов. Успешная эксплуатация приводит к запуску загрузчика под названием "SimpleLoader", который инициирует дальнейшую доставку полезной нагрузки. Развернут усовершенствованный загрузчик .NET, основанный на бэкдоре Covenant, обеспечивающий безопасное взаимодействие с помощью 2048-битной пары ключей RSA. Вредоносное ПО загружает полезные файлы в зашифрованном формате, используя методы безфайлового выполнения для скрытности. Бэкдор "NotDoor" изменяет настройки безопасности Outlook, отключая защиту макросов и обеспечивая постоянное выполнение. Для облегчения его работы устанавливаются вредоносные скрипты VBA. APT28 использует filen.io в качестве канала управление, маскирующего вредоносный трафик под операции облачного хранилища. Быстрая адаптация группы к использованию новых уязвимостей подчеркивает проблемы, с которыми сталкиваются защитники при защите систем от изощренной тактики кибершпионажа. Отнесение к APT28 основано на технических показателях и моделях нацелен-ных жертв.

#ParsedReport #CompletenessHigh
08-02-2026

LTX Stealer : Analysis of a Node.jsBased Credential Stealer

https://www.cyfirma.com/research/ltx-stealer-analysis-of-a-node-js-based-credential-stealer/

Report completeness: High

Threats:
Ltx_stealer
Credential_harvesting_technique
Credential_stealing_technique

Industry:
Telco

Geo:
Brazil

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 4
IP: 3
Path: 1
Domain: 1
Hash: 2

Soft:
Node.js, Chromium, Microsoft Edge, Google Chrome, Chrome

Algorithms:
exhibit, sha256

Win API:
SeDebugPrivilege

Languages:
python, powershell, javascript

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LTX Stealer - это credential-stealing вредоносное ПО, использующее законные программные фреймворк для обфускации и уклонения от ответственности. Поставляемый с помощью установщика Inno Setup, он встраивает Node.js среда выполнения для выполнения вредоносных скриптов и запрашивает права администратора для деструктивных операций. Распространяемое вредоносное ПО отличается скрытностью, а история его загрузки на платформу с открытым исходным кодом подчеркивает низкий уровень обнаружения антивирусными системами, демонстрируя стратегическую направленность на сокрытие.
-----

LTX Stealer - это изощренное credential-stealing вредоносное ПО, идентифицированное как часть растущей тенденции, когда злоумышленники используют легальные программные фреймворк для сокрытия вредоносной полезной нагрузки и уклонения от обнаружения. Это вредоносное ПО для Windows доставляется через запутанный установщик Inno Setup, что значительно усложняет анализ. Он включает в себя полный Node.js среда выполнения, позволяющая ему запускать вредоносные скрипты в доверенной среде, тем самым маскируя свою деятельность.

Вредоносное ПО упаковано в виде исполняемого файла с именем Negro.exe , который при проверке напрямую ассоциируется с LTX Stealer во встроенных метаданных, что вызывает опасения по поводу его подлинности. При запуске LTX Stealer стремится получить права администратора, что позволяет ему выполнять деструктивные операции в системе и получать доступ к защищенным местоположениям. Это повышение привилегий позволяет вредоносное ПО записывать свою основную полезную нагрузку в каталоги, предназначенные для имитации законных компонентов Microsoft, что еще больше стирает границы между вредоносными и заслуживающими доверия.

Что касается распространения, то самый ранний известный образец LTX Stealer был загружен на платформу с открытым исходным кодом 10 января 2026 года, где его разработчик выделил нулевое обнаружение антивирусом в качестве средства демонстрации его возможностей уклонения. Это предполагает стратегический подход к разработке вредоносное ПО, гарантирующий, что оно может работать, не будучи помеченным решениями безопасности.

Использование методов обфускации, таких как расшифровка во время выполнения и компиляция байт-кода JavaScript, не только усложняет работу по обратному проектированию, но и подчеркивает преднамеренное намерение скрыть вредоносные действия вредоносное ПО. В результате LTX Stealer является примером хорошо структурированной операции, направленной на компрометацию систем с минимальным риском обнаружения.

Для обнаружения было установлено правило YARA, позволяющее идентифицировать признаки компрометации, связанные с инфраструктурой LTX Stealer, включая сигнатуры, относящиеся к исполняемым файлам вредоносное ПО и связанным с ним сетевым доменам. Эта разработка подчеркивает важность непрерывного мониторинга и анализа перед лицом развивающихся киберугроза, которые используют надежные приложения для проведения операций по краже информации.

#ParsedReport #CompletenessLow
07-02-2026

Hackers Exploit Free Firebase Accounts to Launch Phishing Campaigns

https://gbhackers.com/hackers-exploit-free-firebase-accounts/

Report completeness: Low

Victims:
Email users

Industry:
Financial, Retail

ChatGPT TTPs:
do not use without manual check
T1584.001

IOCs:
Email: 3
Domain: 2

Soft:
Twitter, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние фишинг-кампании использовали платформу Firebase от Google, используя бесплатные учетные записи для распространения вредоносных электронных писем, эффективно обходя стандартные фильтры безопасности. Злоумышленники используют эту законную инфраструктуру для размещения фишинг-контента, тем самым злоупотребляя доверием, связанным с сервисами Google. Эта тенденция высвечивает новую тактику в области киберугроза, когда изощренные злоумышленники используют законные платформы для повышения эффективности своих усилий по фишинг-атакам.
-----

Недавние фишинг-кампании использовали платформу Firebase от Google, при этом злоумышленники использовали бесплатные учетные записи для обхода стандартных фильтров безопасности. Регистрируясь в бесплатных учетных записях Firebase, эти злоумышленник получают доступ к надежным облачным функциям, которые позволяют им эффективно распространять фишинг-электронные письма. Эта тактика использует законную инфраструктуру Google, что затрудняет системам безопасности выявление и блокирование вредоносных действий.

В контексте этой кампании ключевым приемом, применяемым злоумышленниками, является использование авторитетных сервисов для придания достоверности их усилиям по фишинг. Размещая вредоносный контент на Firebase, они могут воспользоваться доверием, связанным с сервисами Google, и обойти типичные меры безопасности, которые отфильтровывают менее авторитетные домены.

Этот метод введения в действие бесплатных Облачные сервисы демонстрирует эволюционирующий ландшафт киберугроза, когда злоумышленники все чаще используют законные платформы для злонамеренных целей. В результате это подчеркивает необходимость усиления бдительности и адаптивных мер по кибербезопасность для эффективного распознавания и снижения таких рисков. Эта тенденция указывает на изменение динамики фишинг-атак, когда традиционные меры идентификации могут оказаться неэффективными в сравнении с изощренной тактикой, использующей надежные сервисы. Организациям и частным лицам следует помнить об этой тактике и внедрять надежные системы фильтрации электронной почты наряду с обучением пользователей распознавать попытки фишинг и сообщать о них.

#ParsedReport #CompletenessLow
08-02-2026

Likely fake ransomware operator 0APT causes panic Our analysis

https://www.intel471.com/blog/likely-fake-ransomware-operator-0apt-causes-panic-our-analysis

Report completeness: Low

Actors/Campaigns:
0apt_syndicate

Threats:
0apt_syndicate
Qilin_ransomware
Clop
Shadow_copies_delete_technique

Victims:
Multiple organizations

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник 0APT стал предметом озабоченности в области кибербезопасность из-за его работы по поддельной модели "программа-вымогатель как услуга" и сайта утечки данных, который первоначально включал фиктивные компании, прежде чем нацелиться на реальные организации. Они сеют панику, публикуя сомнительные заявления об утечке данных, побуждая компании активировать процедуры реагирования на инциденты. Организациям настоятельно рекомендуется критически оценивать подлинность доказательств, представленных в таких заявлениях, поскольку не все сообщения о нарушениях являются законными.
-----

Появление злоумышленник 0APT вызвало обеспокоенность в ландшафт угроз, в первую очередь из-за его работы, обозначенной как поддельная программа-вымогатель как услуга (RaaS). Эта группа создала сайт утечки данных (DLS), где первоначально были указаны фиктивные компании, но впоследствии расширила свою деятельность, включив в список несколько подлинных организаций. Этот поворот фактически встревожил эти компании, заставив их активировать свои процедуры реагирования на инциденты без проверки законности претензий.

Основной метод, используемый 0APT для разжигания паники, связан с публикацией предполагаемых утечек данных. Однако подлинность этих утверждений вызывает сомнения. Аналитики рекомендуют организациям проявлять осторожность, прежде чем превращать подобные заявления в более широкие мероприятия по реагированию на инциденты. Крайне важно тщательно оценить доказательства, предоставляемые на сайтах утечек или в любых сообщениях о вымогательстве. Тщательная оценка должна быть сосредоточена на качестве доказательств, представленных в отношении эксфильтрация данных. Эффективными индикаторами реального нарушения были бы уникальные образец файлов, конфиденциальных внутренних документов или других данных, которые, как правило, были бы доступны только в среде организации. И наоборот, если информация кажется расплывчатой, искаженной или, по—видимому, сфабрикованной — во многом как результаты, связанные с 0APT, - организациям рекомендуется относиться к заявлениям скептически.

Подводя итог, можно сказать, что действия, связанные с 0APT злоумышленник, подчеркивают важность тщательной проверки заявлений о нарушениях перед началом действий по реагированию на инциденты. Этот инцидент подчеркивает эволюционирующую тактику, применяемую злоумышленник, при которой не все заявления о программах-вымогателях и утечках данных имеют под собой основания, особенно в случаях, когда оперативная достоверность вызывает сомнения.

#ParsedReport #CompletenessMedium
09-02-2026

Fake 7-Zip downloads are turning home PCs into proxy nodes

https://www.malwarebytes.com/blog/threat-intel/2026/02/fake-7-zip-downloads-are-turning-home-pcs-into-proxy-nodes

Report completeness: Medium

Threats:
Residential_proxy_technique
Malgent
Antidebugging_technique

Victims:
Home users, Consumers

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1090, T1204, T1497, T1543.003, T1562.004, T1583.001

IOCs:
Domain: 15
File: 4
Path: 4
Url: 1
Hash: 3
IP: 2

Soft:
Microsoft Defender, VirtualBox, QEMU, Clawdbot, Moltbot

Algorithms:
camellia, aes, chaskey, xor, base64, rc4, 7zip, sha256

Languages:
golang

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберугроза была связана с троянским установочным файлом, замаскированным под законное программное обеспечение 7-Zip, распространявшееся через поддельный домен. Это вредоносное ПО, обнаруженное как Trojan:Win32/Malgent!MSR преобразует зараженные ПК в узлы residential proxy, манипулируя настройками брандмауэра с помощью команды netsh и используя сеть доменов управление, которые используют Cloudflare и шифрование TLS для обфускации. Тактика уклонения, используемая вредоносное ПО, усложняет обнаружение, иллюстрируя, как злоумышленники используют надежность надежного программного обеспечения для создания устойчивых инфраструктур угроз.
-----

Недавняя киберугроза была связана с распространением троянского установочного файла, Маскировка которого осуществлялась под законное программное обеспечение 7-Zip. Этот вредоносный установщик распространялся через похожий домен, вводя пользователей в заблуждение и заставляя загружать его под предлогом безопасности. Известный пользователь сообщил о возникновении ошибок во время установки, что в конечном итоге привело к обнаружению защитником Microsoft, идентифицировавшим угрозу как Trojan:Win32/Malgent!MSR почти через две недели после установки.

Основная функция вредоносное ПО заключается не просто в компрометации системы, но и в ее монетизации путем преобразования зараженных домашних компьютеров в узлы residential proxy. Эта операция коварна, поскольку она позволяет обойти традиционные границы доверия, используя сторонний контент, такой как вводящие в заблуждение обучающие программы YouTube, которые ссылаются на мошеннический домен для загрузки законного программного обеспечения. После установки вредоносное ПО манипулирует настройками брандмауэра с помощью команды "netsh", чтобы устранить существующие правила дорожного движения и установить новые, обеспечивая таким образом бесперебойную связь для обновлений и эксфильтрация данных.

Кроме того, вредоносное ПО использует сложную инфраструктуру, которая включает в себя пул управление (С2) Домены, придерживаясь соглашения об именовании "герой" и "smshero". В ходе анализа было отмечено, что вредоносное ПО трафика через сеть компании Cloudflare, который укреплен TLS-шифрование, что еще больше усложняет обнаружение. Тактика уклонения, занятых на вредоносное ПО обеспечением различных методов анализа, перевода традиционных методов защиты, менее эффективными.

Для систем, скомпрометированных этими установщиками, рекомендуется принять немедленные меры по исправлению положения. Хотя авторитетное программное обеспечение для обеспечения безопасности, такое как Malwarebytes, способно обнаруживать и удалять эти вредоносные варианты, некоторые пользователи могут предпочесть полную переустановку операционной системы для обеспечения гарантированной безопасности. Исследователи подчеркнули эффективность кампании, подчеркнув роль Имперсонация бренда в обходе доверия пользователей и традиционных фреймворк безопасности.

Таким образом, этот инцидент демонстрирует тревожную тенденцию, когда злоумышленники используют доверие, связанное с хорошо известным программным обеспечением, для внедрения инфраструктуры долгосрочной монетизации в устройства пользователей, создавая постоянную угрозу, которую трудно устранить. Пользователям рекомендуется проявлять бдительность в отношении источников загрузки и использовать проверенные антивирусные решения для выявления и нейтрализации таких рисков.

#ParsedReport #CompletenessMedium
09-02-2026

Malicious ClawHub Skills Use External Websites to Hide in Plain Sight (and bypass security scanning)

https://opensourcemalware.com/blog/malicious-clawhub-skills-hide-in-plain-sight

Report completeness: Medium

Actors/Campaigns:
Thiagoruss0

Threats:
Supply_chain_technique

Victims:
Ai skill registries, Software developers, Open source users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1189, T1195, T1204, T1583.001, T1584.006, T1608

IOCs:
Coin: 1
Domain: 1
Url: 3
IP: 1

Soft:
ClawHub, curl, Telegram, MacOS, OpenClaw, Clawdbot, Discord, Instagram, WeChat

Algorithms:
base64

Platforms:
cross-platform

Links:
https://github.com/openclaw/skills

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClawHub изменила свой метод доставки вредоносное ПО, отказавшись от встраивания вредоносного кода в SKILL.md файлы для использования поддельных внешних веб-сайтов, таких как openclawcli.vercel.app, для распространения вредоносное ПО в обход мер безопасности. Эти сайты маскируются под легальное программное обеспечение, что увеличивает вероятность успешного заражения. В общей сложности 40 вредоносных навыков были привязаны к определенным учетным записям, что еще больше усложняет проблему, поскольку вредоносный контент сохраняется в репозиториях даже после удаления из баз данных.
-----

Злоумышленники теперь используют внешние веб-сайты для распространения вредоносное ПО, переходя от внедрения вредоносного кода в SKILL.md файлы.

Вредоносное программное обеспечение маскируется под законный инструмент под названием "OpenClawCLI"..

Этот метод позволяет обойти традиционные меры безопасности, включая тотальное сканирование на вирусы.

Поддельные веб-сайты, которые напоминают заслуживающие доверия источники, используются для обмана пользователей.

Веб-сайт openclawcli.vercel.app был идентифицирован как мошеннический сайт, утверждающий, что предлагает официальный интерфейс командной строки OpenClaw.

В предыдущих версиях вредоносное ПО использовало полезные данные, закодированные в base64, которые было легко обнаружить.

В общей сложности 37 вредоносных навыков были связаны с учетной записью thiagoruss0, и все они направляли пользователей на один и тот же вредоносный сайт.

Другой аккаунт, stveenli, опубликовал три навыка, ссылающихся на тот же внешний сайт.

Вредоносные навыки остаются в репозитории ClawHub на GitHub, который может быть клонирован ничего не подозревающими пользователями.

Вредоносный домен был удален 9 февраля, но эта угроза указывает на значительные риски для безопасности.

Злоумышленники используют авторитетные внешние хостинговые платформы, чтобы скрыть свои намерения.

Инструменты статического анализа менее эффективны, поскольку вредоносные компоненты размещаются снаружи, а не внутри файлов проекта.

Пользователям рекомендуется не выполнять команды установки из непроверенных источников и проверять официальные репозитории проектов.

Службы безопасности должны блокировать известные IP-адреса и отслеживать наличие новых вариантов вредоносное ПО.

Кампания вызывает обеспокоенность по поводу атак на supply chain, особенно в реестрах навыков искусственного интеллекта.

В отношении навыков ИИ отсутствует система управления согласием, что создает потенциал для злоупотреблений в рамках этих систем.

#ParsedReport #CompletenessHigh
09-02-2026

UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering

https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering/

Report completeness: High

Actors/Campaigns:
Cryptocore (motivation: financially_motivated, information_theft)
Bluenoroff
Tradertraitor (motivation: financially_motivated)

Threats:
Silencelift
Deepbreath
Chromepush
Clickfix_technique
Sugarloader
Bigmacho
Waveshaper
Hypercall
Hiddencall
Spear-phishing_technique

Victims:
Cryptocurrency sector, Decentralized finance, Centralized exchanges, Financial institutions software developers, High technology companies, Venture capital funds, Fintech entity

Industry:
Financial

Geo:
Korea, North korean, North korea, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.004, T1059.004, T1071.001, T1105, T1106, T1204.001, T1518.001, T1555.001, T1555.003, have more...

IOCs:
Domain: 4
Url: 4
File: 6
Path: 1
Hash: 20

Soft:
Telegram, Zoom, macOS, curl, Chrome, Google Chrome, Microsoft Edge, sudo, sysctl, macOS Chrome, have more...

Algorithms:
sha256, md5, rc4, zip

Functions:
Zoom, NSCreateObjectFileImageFromMemory

Win API:
Arc

Languages:
swift, golang, javascript, applescript

Platforms:
intel, apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский злоумышленник UNC1069 усилил свои атаки на криптовалютный сектор, используя передовые технологии и различные семейства вредоносное ПО, включая SILENCELIFT, DEEPBREATH и CHROMEPUSH. Атака началась с социальной инженерии через скомпрометированный аккаунт Telegram, что привело жертву на поддельную встречу Zoom, которая инициировала заражение устройства macOS вредоносное ПО, специально разработанное для обхода встроенных средств защиты. Вредоносное ПО, включая WAVESHAPER и HYPERCALL, обеспечивало скоординированный бэкдор-доступ и эксфильтрация данных, подчеркивая сосредоточенность UNC1069's на рынках криптовалют и DeFi.
-----

Северокорейский злоумышленник UNC1069 недавно активизировал свою вредоносную деятельность в секторе криптовалют, применяя передовые методы для облегчения вторжений, нацеленных на финтех-компанию. Расследование Mandiant этого инцидента выявило использование нескольких семейств вредоносное ПО, в частности SILENCELIFT, DEEPBREATH и CHROMEPUSH, что демонстрирует растущую изощренность этой группы, которая работает как минимум с 2019 года.

Атака началась с помощью схемы социальной инженерии с использованием скомпрометированной учетной записи Telegram, принадлежащей руководителю криптовалютной компании, на которую нацелен злоумышленник. После установления контакта с жертвой UNC1069 отправил ссылку на поддельную встречу Zoom, которая была организована в их собственной инфраструктуре. Эта тактика включала использование ссылки в календаре, которая направляла пользователя на поддельную встречу Zoom, демонстрируя инновационное использование социальной инженерии в сочетании с технологиями.

При выполнении определенных команд, предоставленных во время обманного взаимодействия, жертва непреднамеренно инициировала заражение вредоносное ПО на своем устройстве macOS. В атаке использовалась встроенная в macOS технология XProtect, которая эволюционировала, включив механизмы поведенческого обнаружения. Однако вредоносное ПО, использованное во время этого инцидента, было специально разработано для обхода этих средств защиты.

Ключевыми компонентами вторжения были DEEPBREATH, программа для сбора данных, способная обходить средства контроля прозрачности macOS, и CHROMEPUSH, которая маскируется под расширение браузера для сбора конфиденциальной пользовательской информации из браузеров на базе Chromium. Другое вредоносное ПО, такое как WAVESHAPER и HYPERCALL, использовалось для установления бэкдорного доступа и загрузки дополнительных полезных данных, что указывает на скоординированный жизненный цикл атаки. Например, WAVESHAPER - это бэкдор на C++, который извлекает произвольную полезную нагрузку с помощью аргументов командной строки, в то время как HYPERCALL - это загрузчик на основе Go, который извлекает адреса C&C из зашифрованного файла конфигурации.

Во время вторжения также был внедрен SILENCELIFT, минималистичный бэкдор, предназначенный для передачи информации о хосте на жестко запрограммированный сервер C&C. Все эти компоненты вредоносное ПО, включая ранее установленный SUGARLOADER, демонстрируют финансовую мотивацию UNC1069 и тактический сдвиг в сторону секторов криптовалют и DeFi, по крайней мере, с 2023 года.