#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние фишинг-кампании использовали платформу Firebase от Google, используя бесплатные учетные записи для распространения вредоносных электронных писем, эффективно обходя стандартные фильтры безопасности. Злоумышленники используют эту законную инфраструктуру для размещения фишинг-контента, тем самым злоупотребляя доверием, связанным с сервисами Google. Эта тенденция высвечивает новую тактику в области киберугроза, когда изощренные злоумышленники используют законные платформы для повышения эффективности своих усилий по фишинг-атакам.
-----

Недавние фишинг-кампании использовали платформу Firebase от Google, при этом злоумышленники использовали бесплатные учетные записи для обхода стандартных фильтров безопасности. Регистрируясь в бесплатных учетных записях Firebase, эти злоумышленник получают доступ к надежным облачным функциям, которые позволяют им эффективно распространять фишинг-электронные письма. Эта тактика использует законную инфраструктуру Google, что затрудняет системам безопасности выявление и блокирование вредоносных действий.

В контексте этой кампании ключевым приемом, применяемым злоумышленниками, является использование авторитетных сервисов для придания достоверности их усилиям по фишинг. Размещая вредоносный контент на Firebase, они могут воспользоваться доверием, связанным с сервисами Google, и обойти типичные меры безопасности, которые отфильтровывают менее авторитетные домены.

Этот метод введения в действие бесплатных Облачные сервисы демонстрирует эволюционирующий ландшафт киберугроза, когда злоумышленники все чаще используют законные платформы для злонамеренных целей. В результате это подчеркивает необходимость усиления бдительности и адаптивных мер по кибербезопасность для эффективного распознавания и снижения таких рисков. Эта тенденция указывает на изменение динамики фишинг-атак, когда традиционные меры идентификации могут оказаться неэффективными в сравнении с изощренной тактикой, использующей надежные сервисы. Организациям и частным лицам следует помнить об этой тактике и внедрять надежные системы фильтрации электронной почты наряду с обучением пользователей распознавать попытки фишинг и сообщать о них.

#ParsedReport #CompletenessLow
08-02-2026

Likely fake ransomware operator 0APT causes panic Our analysis

https://www.intel471.com/blog/likely-fake-ransomware-operator-0apt-causes-panic-our-analysis

Report completeness: Low

Actors/Campaigns:
0apt_syndicate

Threats:
0apt_syndicate
Qilin_ransomware
Clop
Shadow_copies_delete_technique

Victims:
Multiple organizations

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник 0APT стал предметом озабоченности в области кибербезопасность из-за его работы по поддельной модели "программа-вымогатель как услуга" и сайта утечки данных, который первоначально включал фиктивные компании, прежде чем нацелиться на реальные организации. Они сеют панику, публикуя сомнительные заявления об утечке данных, побуждая компании активировать процедуры реагирования на инциденты. Организациям настоятельно рекомендуется критически оценивать подлинность доказательств, представленных в таких заявлениях, поскольку не все сообщения о нарушениях являются законными.
-----

Появление злоумышленник 0APT вызвало обеспокоенность в ландшафт угроз, в первую очередь из-за его работы, обозначенной как поддельная программа-вымогатель как услуга (RaaS). Эта группа создала сайт утечки данных (DLS), где первоначально были указаны фиктивные компании, но впоследствии расширила свою деятельность, включив в список несколько подлинных организаций. Этот поворот фактически встревожил эти компании, заставив их активировать свои процедуры реагирования на инциденты без проверки законности претензий.

Основной метод, используемый 0APT для разжигания паники, связан с публикацией предполагаемых утечек данных. Однако подлинность этих утверждений вызывает сомнения. Аналитики рекомендуют организациям проявлять осторожность, прежде чем превращать подобные заявления в более широкие мероприятия по реагированию на инциденты. Крайне важно тщательно оценить доказательства, предоставляемые на сайтах утечек или в любых сообщениях о вымогательстве. Тщательная оценка должна быть сосредоточена на качестве доказательств, представленных в отношении эксфильтрация данных. Эффективными индикаторами реального нарушения были бы уникальные образец файлов, конфиденциальных внутренних документов или других данных, которые, как правило, были бы доступны только в среде организации. И наоборот, если информация кажется расплывчатой, искаженной или, по—видимому, сфабрикованной — во многом как результаты, связанные с 0APT, - организациям рекомендуется относиться к заявлениям скептически.

Подводя итог, можно сказать, что действия, связанные с 0APT злоумышленник, подчеркивают важность тщательной проверки заявлений о нарушениях перед началом действий по реагированию на инциденты. Этот инцидент подчеркивает эволюционирующую тактику, применяемую злоумышленник, при которой не все заявления о программах-вымогателях и утечках данных имеют под собой основания, особенно в случаях, когда оперативная достоверность вызывает сомнения.

#ParsedReport #CompletenessMedium
09-02-2026

Fake 7-Zip downloads are turning home PCs into proxy nodes

https://www.malwarebytes.com/blog/threat-intel/2026/02/fake-7-zip-downloads-are-turning-home-pcs-into-proxy-nodes

Report completeness: Medium

Threats:
Residential_proxy_technique
Malgent
Antidebugging_technique

Victims:
Home users, Consumers

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1090, T1204, T1497, T1543.003, T1562.004, T1583.001

IOCs:
Domain: 15
File: 4
Path: 4
Url: 1
Hash: 3
IP: 2

Soft:
Microsoft Defender, VirtualBox, QEMU, Clawdbot, Moltbot

Algorithms:
camellia, aes, chaskey, xor, base64, rc4, 7zip, sha256

Languages:
golang

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберугроза была связана с троянским установочным файлом, замаскированным под законное программное обеспечение 7-Zip, распространявшееся через поддельный домен. Это вредоносное ПО, обнаруженное как Trojan:Win32/Malgent!MSR преобразует зараженные ПК в узлы residential proxy, манипулируя настройками брандмауэра с помощью команды netsh и используя сеть доменов управление, которые используют Cloudflare и шифрование TLS для обфускации. Тактика уклонения, используемая вредоносное ПО, усложняет обнаружение, иллюстрируя, как злоумышленники используют надежность надежного программного обеспечения для создания устойчивых инфраструктур угроз.
-----

Недавняя киберугроза была связана с распространением троянского установочного файла, Маскировка которого осуществлялась под законное программное обеспечение 7-Zip. Этот вредоносный установщик распространялся через похожий домен, вводя пользователей в заблуждение и заставляя загружать его под предлогом безопасности. Известный пользователь сообщил о возникновении ошибок во время установки, что в конечном итоге привело к обнаружению защитником Microsoft, идентифицировавшим угрозу как Trojan:Win32/Malgent!MSR почти через две недели после установки.

Основная функция вредоносное ПО заключается не просто в компрометации системы, но и в ее монетизации путем преобразования зараженных домашних компьютеров в узлы residential proxy. Эта операция коварна, поскольку она позволяет обойти традиционные границы доверия, используя сторонний контент, такой как вводящие в заблуждение обучающие программы YouTube, которые ссылаются на мошеннический домен для загрузки законного программного обеспечения. После установки вредоносное ПО манипулирует настройками брандмауэра с помощью команды "netsh", чтобы устранить существующие правила дорожного движения и установить новые, обеспечивая таким образом бесперебойную связь для обновлений и эксфильтрация данных.

Кроме того, вредоносное ПО использует сложную инфраструктуру, которая включает в себя пул управление (С2) Домены, придерживаясь соглашения об именовании "герой" и "smshero". В ходе анализа было отмечено, что вредоносное ПО трафика через сеть компании Cloudflare, который укреплен TLS-шифрование, что еще больше усложняет обнаружение. Тактика уклонения, занятых на вредоносное ПО обеспечением различных методов анализа, перевода традиционных методов защиты, менее эффективными.

Для систем, скомпрометированных этими установщиками, рекомендуется принять немедленные меры по исправлению положения. Хотя авторитетное программное обеспечение для обеспечения безопасности, такое как Malwarebytes, способно обнаруживать и удалять эти вредоносные варианты, некоторые пользователи могут предпочесть полную переустановку операционной системы для обеспечения гарантированной безопасности. Исследователи подчеркнули эффективность кампании, подчеркнув роль Имперсонация бренда в обходе доверия пользователей и традиционных фреймворк безопасности.

Таким образом, этот инцидент демонстрирует тревожную тенденцию, когда злоумышленники используют доверие, связанное с хорошо известным программным обеспечением, для внедрения инфраструктуры долгосрочной монетизации в устройства пользователей, создавая постоянную угрозу, которую трудно устранить. Пользователям рекомендуется проявлять бдительность в отношении источников загрузки и использовать проверенные антивирусные решения для выявления и нейтрализации таких рисков.

#ParsedReport #CompletenessMedium
09-02-2026

Malicious ClawHub Skills Use External Websites to Hide in Plain Sight (and bypass security scanning)

https://opensourcemalware.com/blog/malicious-clawhub-skills-hide-in-plain-sight

Report completeness: Medium

Actors/Campaigns:
Thiagoruss0

Threats:
Supply_chain_technique

Victims:
Ai skill registries, Software developers, Open source users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1189, T1195, T1204, T1583.001, T1584.006, T1608

IOCs:
Coin: 1
Domain: 1
Url: 3
IP: 1

Soft:
ClawHub, curl, Telegram, MacOS, OpenClaw, Clawdbot, Discord, Instagram, WeChat

Algorithms:
base64

Platforms:
cross-platform

Links:
https://github.com/openclaw/skills

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClawHub изменила свой метод доставки вредоносное ПО, отказавшись от встраивания вредоносного кода в SKILL.md файлы для использования поддельных внешних веб-сайтов, таких как openclawcli.vercel.app, для распространения вредоносное ПО в обход мер безопасности. Эти сайты маскируются под легальное программное обеспечение, что увеличивает вероятность успешного заражения. В общей сложности 40 вредоносных навыков были привязаны к определенным учетным записям, что еще больше усложняет проблему, поскольку вредоносный контент сохраняется в репозиториях даже после удаления из баз данных.
-----

Злоумышленники теперь используют внешние веб-сайты для распространения вредоносное ПО, переходя от внедрения вредоносного кода в SKILL.md файлы.

Вредоносное программное обеспечение маскируется под законный инструмент под названием "OpenClawCLI"..

Этот метод позволяет обойти традиционные меры безопасности, включая тотальное сканирование на вирусы.

Поддельные веб-сайты, которые напоминают заслуживающие доверия источники, используются для обмана пользователей.

Веб-сайт openclawcli.vercel.app был идентифицирован как мошеннический сайт, утверждающий, что предлагает официальный интерфейс командной строки OpenClaw.

В предыдущих версиях вредоносное ПО использовало полезные данные, закодированные в base64, которые было легко обнаружить.

В общей сложности 37 вредоносных навыков были связаны с учетной записью thiagoruss0, и все они направляли пользователей на один и тот же вредоносный сайт.

Другой аккаунт, stveenli, опубликовал три навыка, ссылающихся на тот же внешний сайт.

Вредоносные навыки остаются в репозитории ClawHub на GitHub, который может быть клонирован ничего не подозревающими пользователями.

Вредоносный домен был удален 9 февраля, но эта угроза указывает на значительные риски для безопасности.

Злоумышленники используют авторитетные внешние хостинговые платформы, чтобы скрыть свои намерения.

Инструменты статического анализа менее эффективны, поскольку вредоносные компоненты размещаются снаружи, а не внутри файлов проекта.

Пользователям рекомендуется не выполнять команды установки из непроверенных источников и проверять официальные репозитории проектов.

Службы безопасности должны блокировать известные IP-адреса и отслеживать наличие новых вариантов вредоносное ПО.

Кампания вызывает обеспокоенность по поводу атак на supply chain, особенно в реестрах навыков искусственного интеллекта.

В отношении навыков ИИ отсутствует система управления согласием, что создает потенциал для злоупотреблений в рамках этих систем.

#ParsedReport #CompletenessHigh
09-02-2026

UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering

https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering/

Report completeness: High

Actors/Campaigns:
Cryptocore (motivation: financially_motivated, information_theft)
Bluenoroff
Tradertraitor (motivation: financially_motivated)

Threats:
Silencelift
Deepbreath
Chromepush
Clickfix_technique
Sugarloader
Bigmacho
Waveshaper
Hypercall
Hiddencall
Spear-phishing_technique

Victims:
Cryptocurrency sector, Decentralized finance, Centralized exchanges, Financial institutions software developers, High technology companies, Venture capital funds, Fintech entity

Industry:
Financial

Geo:
Korea, North korean, North korea, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.004, T1059.004, T1071.001, T1105, T1106, T1204.001, T1518.001, T1555.001, T1555.003, have more...

IOCs:
Domain: 4
Url: 4
File: 6
Path: 1
Hash: 20

Soft:
Telegram, Zoom, macOS, curl, Chrome, Google Chrome, Microsoft Edge, sudo, sysctl, macOS Chrome, have more...

Algorithms:
sha256, md5, rc4, zip

Functions:
Zoom, NSCreateObjectFileImageFromMemory

Win API:
Arc

Languages:
swift, golang, javascript, applescript

Platforms:
intel, apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский злоумышленник UNC1069 усилил свои атаки на криптовалютный сектор, используя передовые технологии и различные семейства вредоносное ПО, включая SILENCELIFT, DEEPBREATH и CHROMEPUSH. Атака началась с социальной инженерии через скомпрометированный аккаунт Telegram, что привело жертву на поддельную встречу Zoom, которая инициировала заражение устройства macOS вредоносное ПО, специально разработанное для обхода встроенных средств защиты. Вредоносное ПО, включая WAVESHAPER и HYPERCALL, обеспечивало скоординированный бэкдор-доступ и эксфильтрация данных, подчеркивая сосредоточенность UNC1069's на рынках криптовалют и DeFi.
-----

Северокорейский злоумышленник UNC1069 недавно активизировал свою вредоносную деятельность в секторе криптовалют, применяя передовые методы для облегчения вторжений, нацеленных на финтех-компанию. Расследование Mandiant этого инцидента выявило использование нескольких семейств вредоносное ПО, в частности SILENCELIFT, DEEPBREATH и CHROMEPUSH, что демонстрирует растущую изощренность этой группы, которая работает как минимум с 2019 года.

Атака началась с помощью схемы социальной инженерии с использованием скомпрометированной учетной записи Telegram, принадлежащей руководителю криптовалютной компании, на которую нацелен злоумышленник. После установления контакта с жертвой UNC1069 отправил ссылку на поддельную встречу Zoom, которая была организована в их собственной инфраструктуре. Эта тактика включала использование ссылки в календаре, которая направляла пользователя на поддельную встречу Zoom, демонстрируя инновационное использование социальной инженерии в сочетании с технологиями.

При выполнении определенных команд, предоставленных во время обманного взаимодействия, жертва непреднамеренно инициировала заражение вредоносное ПО на своем устройстве macOS. В атаке использовалась встроенная в macOS технология XProtect, которая эволюционировала, включив механизмы поведенческого обнаружения. Однако вредоносное ПО, использованное во время этого инцидента, было специально разработано для обхода этих средств защиты.

Ключевыми компонентами вторжения были DEEPBREATH, программа для сбора данных, способная обходить средства контроля прозрачности macOS, и CHROMEPUSH, которая маскируется под расширение браузера для сбора конфиденциальной пользовательской информации из браузеров на базе Chromium. Другое вредоносное ПО, такое как WAVESHAPER и HYPERCALL, использовалось для установления бэкдорного доступа и загрузки дополнительных полезных данных, что указывает на скоординированный жизненный цикл атаки. Например, WAVESHAPER - это бэкдор на C++, который извлекает произвольную полезную нагрузку с помощью аргументов командной строки, в то время как HYPERCALL - это загрузчик на основе Go, который извлекает адреса C&C из зашифрованного файла конфигурации.

Во время вторжения также был внедрен SILENCELIFT, минималистичный бэкдор, предназначенный для передачи информации о хосте на жестко запрограммированный сервер C&C. Все эти компоненты вредоносное ПО, включая ранее установленный SUGARLOADER, демонстрируют финансовую мотивацию UNC1069 и тактический сдвиг в сторону секторов криптовалют и DeFi, по крайней мере, с 2023 года.

#ParsedReport #CompletenessHigh
10-02-2026

AI/LLM-Generated Malware Used to Exploit React2Shell

https://www.darktrace.com/blog/ai-llm-generated-malware-used-to-exploit-react2shell

Report completeness: High

Threats:
React2shell_vuln
Xmrig_miner
Supportxmr
Residential_proxy_technique

Victims:
Docker infrastructure, Internet facing infrastructure

Industry:
Software_development, Telco, Financial

Geo:
India

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1071.001, T1190, T1587.001

IOCs:
Url: 3
File: 5
Coin: 1
IP: 1
Domain: 1
Hash: 2

Soft:
Docker, curl

Crypto:
monero

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты "CloudyPots" свидетельствуют о том, что генерируемое искусственным интеллектом вредоносное ПО нацелено на незащищенных демонов Docker, позволяя злоумышленникам создавать контейнеры через Docker API. Основным инструментом была запутанная полезная нагрузка Python, в которой отсутствовали традиционные механизмы распространения, что предполагало зависимость от внешнего инструмента распространения. Этот инцидент свидетельствует о растущем использовании искусственного интеллекта злоумышленник для оптимизации кибератак, достижения компромиссов на более чем девяноста хостах с минимальной финансовой выгодой.
-----

Недавние наблюдения из сети honeypot от Darktrace, "CloudyPots", подчеркивают использование вредоносное ПО, генерируемого искусственным интеллектом, использующего уязвимые среды Docker, в частности, демон Docker, открытый без аутентификации. Такая конфигурация позволяет злоумышленникам обнаруживать демона и создавать контейнеры через Docker API, устанавливая первоначальный доступ к системе.

Центральным компонентом вторжения была полезная нагрузка Python, которая действовала как механизм выполнения. Полезная нагрузка была заметно искажена, что указывает на преднамеренную попытку замаскировать ее функциональность. Во всем образец вредоносное ПО не было встроенной логики распространения, которая обычно встречается в вредоносное ПО Docker. Это упущение наводит на мысль, что вместо этого злоумышленники использовали отдельный инструмент удаленного распространения.

Хотя финансовая выгода от этой атаки была относительно скромной, кампания подчеркивает, как достижения в области искусственного интеллекта, особенно с помощью больших языковых моделей (LLM), снизили барьеры для совершения киберпреступность. Злоумышленник смог сгенерировать функциональный фреймворк для эксплойтов с помощью единственного сеанса запроса с использованием модели искусственного интеллекта, кульминацией которого стала компрометация более девяноста хостов. Это наводит на мысль о тревожной тенденции, при которой злоумышленник может использовать технологии искусственного интеллекта для расширения своих оперативных возможностей и проведения более эффективных атак.

Интересно, что отсутствие встроенного средства распространения Docker указывает на то, что вредоносное ПО не было разработано для саморепликации среди дополнительных жертв с уже скомпрометированного хоста. Такое поведение отличается от типичных шаблонов вредоносное ПО Docker и подразумевает, что злоумышленник, скорее всего, использовал отдельный скрипт для распространения, потенциально выполняемый с централизованного сервера. Доказательства, подтверждающие эту теорию, включают исходный IP-адрес, который связан с местным провайдером в Индии. Хотя это открывает возможности в отношении методов работы злоумышленника, включая потенциальное использование residential proxy или прямое управление из своего дома, окончательная атрибуция остается неопределенной.

Этот случай иллюстрирует эволюционирующий ландшафт киберугроза, где инструменты искусственного интеллекта играют значительную роль в содействии атакам, влияя как на методологии злоумышленник, так и на природу вредоносное ПО, которое они внедряют.

#ParsedReport #CompletenessHigh
09-02-2026

Detecting Russian Threats to Critical Energy Infrastructure

https://www.truesec.com/hub/blog/detecting-russian-threats-to-critical-energy-infrastructure

Report completeness: High

Actors/Campaigns:
Energeticbear (motivation: cyber_espionage)
Sandworm

Threats:
Dynowiper
Spear-phishing_technique
Credential_harvesting_technique
Mimikatz_tool
Crackmapexec_tool
Psexec_tool
Credential_dumping_technique
Secretsdump_tool
Hydra

Victims:
Electrical grid, Combined heat and power plant, Critical energy infrastructure

Industry:
Military, Critical_infrastructure, Energy, Aerospace, Ics

Geo:
Russian, Ukrainian, Ukraine, Polish, Russia

CVEs:
CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)

CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<1.2.9, 2.0.0)
- fortinet fortios (<5.4.13, <5.6.8, <6.0.5)

CVE-2011-0611 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<10.2.154.27)


TTPs:
Tactics: 12
Technics: 73

IOCs:
Hash: 4
File: 4
Registry: 1

Soft:
Microsoft Exchange, Microsoft Office, Outlook, Flash Player, Dropbox, PsExec, Slack

Algorithms:
prng

Functions:
Windows, Get-Service

Win API:
GetLogicalDrives, FindFirstFileW, DeleteFileW, FindNextFileW, SetFileAttributesW

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
29 декабря 2025 года польская электросеть подверглась разрушительной кибератаке со стороны российского злоумышленник "Ghost Blizzard" (DragonFly), ознаменовавшей их первую атаку на критически важную энергетическую инфраструктуру НАТО. Инцидент был связан с нацелен на точки подключения к электросети и использовал вредоносное ПО wiper под названием DynoWiper, специально разработанное для систем HMI, которое использовало нетипичное поведение для обнаружения злонамеренных намерений. Кроме того, злоумышленник провел разведка сети, используя SMB для перемещения файлов, и извлек данные с помощью метода Invoke-RestMethod в PowerShell.
-----

29 декабря 2025 года польская электросеть подверглась разрушительной кибератаке, атрибутирован с российской злоумышленник, известный как "Ghost Blizzard" или "DragonFly". Этот инцидент отмечен как первая подтвержденная разрушительная атака этой группировки на критически важную энергетическую инфраструктуру в стране НАТО. Нападение включало в себя множество тактических приемов, включая нацелен ные удары по точкам подключения к электросетям и комбинированной теплоэлектростанции, отвечающей за выработку тепловой энергии.

Польская группа реагирования на компьютерные чрезвычайные ситуации (CERT) сыграла жизненно важную роль в установлении причин атаки и впоследствии сотрудничала с фирмой по Кибербезопасность Truesec для анализа вредоносное ПО wiper, внедренного во время инцидента. Этот анализ был направлен на совершенствование механизмов обнаружения и содействие эффективным операциям по выявлению угроз, связанным с этой кампанией.

Вредоносное ПО, идентифицированное как DynoWiper, было специально разработано для систем с человеко-машинным интерфейсом (HMI) и использовало генератор псевдослучайных чисел Mersenne Twister (MT19937) для перезаписи файлов случайными данными. Кроме того, RTU Wiper демонстрировал особое поведение, когда двоичные файлы ELF имели точки входа, заполненные исключительно байтами 0xFF. Этот метод обнаружения, хотя и относительно прост, служит надежным индикатором злонамеренных намерений, учитывая, что такие шаблоны нетипичны для легальных образов прошивка.

Вредоносное ПО wiper перед внедрением злоумышленник провел подготовительные мероприятия, которые включали перемещение и копирование файлов по сети с использованием SMB. Эти действия могут быть отслежены с помощью структурированных запросов поиска угроз и должны оцениваться контекстуально, чтобы определить их намерения.

Эксфильтрация данных из нацелен-ных систем была выполнена с использованием командлета PowerShell `Invoke-RestMethod`, который облегчал загрузку файлов на удаленную конечную точку с помощью HTTP POST-запросов. Расширение понимания тактики, методов и процедур (TTP), используемых злоумышленник DragonFly, связано с расследованием, проведенным польским CERT и другими вспомогательными источниками, что расширяет понимание их оперативных методологий при атаке на критически важную инфраструктуру.