#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
29 декабря 2025 года польская электросеть подверглась разрушительной кибератаке со стороны российского злоумышленник "Ghost Blizzard" (DragonFly), ознаменовавшей их первую атаку на критически важную энергетическую инфраструктуру НАТО. Инцидент был связан с нацелен на точки подключения к электросети и использовал вредоносное ПО wiper под названием DynoWiper, специально разработанное для систем HMI, которое использовало нетипичное поведение для обнаружения злонамеренных намерений. Кроме того, злоумышленник провел разведка сети, используя SMB для перемещения файлов, и извлек данные с помощью метода Invoke-RestMethod в PowerShell.
-----

29 декабря 2025 года польская электросеть подверглась разрушительной кибератаке, атрибутирован с российской злоумышленник, известный как "Ghost Blizzard" или "DragonFly". Этот инцидент отмечен как первая подтвержденная разрушительная атака этой группировки на критически важную энергетическую инфраструктуру в стране НАТО. Нападение включало в себя множество тактических приемов, включая нацелен ные удары по точкам подключения к электросетям и комбинированной теплоэлектростанции, отвечающей за выработку тепловой энергии.

Польская группа реагирования на компьютерные чрезвычайные ситуации (CERT) сыграла жизненно важную роль в установлении причин атаки и впоследствии сотрудничала с фирмой по Кибербезопасность Truesec для анализа вредоносное ПО wiper, внедренного во время инцидента. Этот анализ был направлен на совершенствование механизмов обнаружения и содействие эффективным операциям по выявлению угроз, связанным с этой кампанией.

Вредоносное ПО, идентифицированное как DynoWiper, было специально разработано для систем с человеко-машинным интерфейсом (HMI) и использовало генератор псевдослучайных чисел Mersenne Twister (MT19937) для перезаписи файлов случайными данными. Кроме того, RTU Wiper демонстрировал особое поведение, когда двоичные файлы ELF имели точки входа, заполненные исключительно байтами 0xFF. Этот метод обнаружения, хотя и относительно прост, служит надежным индикатором злонамеренных намерений, учитывая, что такие шаблоны нетипичны для легальных образов прошивка.

Вредоносное ПО wiper перед внедрением злоумышленник провел подготовительные мероприятия, которые включали перемещение и копирование файлов по сети с использованием SMB. Эти действия могут быть отслежены с помощью структурированных запросов поиска угроз и должны оцениваться контекстуально, чтобы определить их намерения.

Эксфильтрация данных из нацелен-ных систем была выполнена с использованием командлета PowerShell `Invoke-RestMethod`, который облегчал загрузку файлов на удаленную конечную точку с помощью HTTP POST-запросов. Расширение понимания тактики, методов и процедур (TTP), используемых злоумышленник DragonFly, связано с расследованием, проведенным польским CERT и другими вспомогательными источниками, что расширяет понимание их оперативных методологий при атаке на критически важную инфраструктуру.

#ParsedReport #CompletenessLow
09-02-2026

Technical Analysis of GuLoader Obfuscation Techniques

https://www.zscaler.com/blogs/security-research/technical-analysis-guloader-obfuscation-techniques

Report completeness: Low

Threats:
Cloudeye
Polymorphism_technique
Trap_flag_technique

Victims:
Multiple sectors

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1106, T1140, T1622

IOCs:
Hash: 6

Algorithms:
xor

Functions:
GuLoader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GuLoader, также известный как CloudEye, представляет собой загрузчик вредоносное ПО, который использует передовые методы обфускации для доставки Троянская программа удаленного доступа и стиллер информации, избегая обнаружения с помощью авторитетных Облачные сервисы. Он использует динамическое построение констант с polymorphic кодом, перенаправление на основе исключений и манипулирует нарушениями доступа для управления потоком выполнения. Было обнаружено, что в последних версиях используется строковое шифрование на основе стека и динамическое хэширование для дальнейшего усложнения обнаружения и защиты доменов управление.
-----

GuLoader, также известный как CloudEye, представляет собой сложный загрузчик вредоносное ПО, который активен с декабря 2019 года. GuLoader, разработанный в первую очередь для доставки Троянская программа удаленного доступа (RAT) и стиллер информации, скрывает свои операции с помощью передовых методов обфускации. Злоумышленник обычно размещает вредоносное ПО на авторитетных платформах, таких как Google Drive и OneDrive, чтобы избежать обнаружения с помощью механизмов безопасности, основанных на репутации.

Технический анализ показывает, что GuLoader использует различные методы запутывания, затрудняющие анализ. Ключевым методом является динамическое построение констант, при котором вредоносное ПО использует polymorphic код для создания констант во время выполнения. Это достигается путем выполнения операций сборки — таких как mov, xor, add и sub — для построения этих значений без их жесткого кодирования непосредственно в двоичном коде.

GuLoader также использует перенаправление кода на основе исключений, заменяя традиционные инструкции перехода исключениями процессора, что усложняет анализ потока. В своих предыдущих версиях вредоносное ПО запускало программную точку останова, используя инструкцию `int 3`. В более поздних версиях применен одноэтапный метод исключения, который манипулирует регистром EFLAGS. Устанавливая Trap Flag, GuLoader организует исключение, которое перехватывается пользовательским обработчиком, позволяя ему соответствующим образом перенаправить поток выполнения.

Также манипулируются исключения нарушения доступа, когда GuLoader намеренно пытается получить доступ к несанкционированным адресам памяти. Это запускает нарушения доступа, которые перехватываются пользовательским обработчиком исключений, позволяя вредоносное ПО управлять указателем инструкции.

Для своей работы GuLoader использует методы динамического хэширования, используя алгоритм DJB2 для запутывания функций API и имен процессов. Примечательно, что версии, выпущенные после 2022 года, интегрируют операцию XOR с жестко закодированными константами для дальнейшего усложнения обнаружения, часто требуя сравнения с предварительно вычисленными значениями хэша.

Чтобы скрыть критически важную информацию, такую как домены управление, GuLoader шифрует строки с помощью простого алгоритма XOR. Хотя шифрование является базовым, polymorphic природа кода усложняет процесс расшифровки. Начиная с 2022 года было замечено, что GuLoader статически хранит зашифрованные строки в своем шелл-коде вместе с соответствующими ключами дешифрования. К 2023 году были внедрены более сложные методы шифрования строк на основе стека, которые используют динамические операции для дешифрования.

Вредоносное ПО загружает дополнительные полезные файлы с зашифрованными URL-адресами, указывающими на общие файлы в законных Облачные сервисы. Для решения проблем, связанных с запутыванием GuLoader's, усилия по анализу были поддержаны сценариями IDA, разработанными ThreatLabZ, которые помогают устранить запутывание и упростить анализ кода.

#ParsedReport #CompletenessLow
10-02-2026

GRITREP: 0APT and the Victims Who Werent

https://www.guidepointsecurity.com/blog/gritrep-0apt-and-the-victims-who-werent/

Report completeness: Low

Actors/Campaigns:
0apt_syndicate
Mogilevich (motivation: cyber_criminal)
Ransomedvc (motivation: financially_motivated)
Funksec

Threats:
0apt_syndicate

Victims:
Large multinational organizations

Industry:
Education

Soft:
Twitter

Algorithms:
zip

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
0APT - предполагаемая группа программ-вымогателей, которая утверждает, что затронула более 200 жертв вскоре после своего запуска, хотя исследования показывают, что эти заявления могут быть сфабрикованы с использованием реальных и вымышленных названий компаний без доказательств фактических нарушений. Группа, по-видимому, в первую очередь сосредоточена на вымогательстве, а не на подлинной деятельности программ-вымогателей, что указывает на потенциальные риски сотрудничества с другими киберпреступниками. Операции 0APT's отражают предыдущие мошенничества, что вызывает опасения по поводу его будущей эволюции как угрозы.
-----

0APT появилась как предполагаемая группа программ-вымогателей, которая действует через сайт утечки данных, утверждая, что оказала воздействие на более чем 200 жертв в течение недели после своего запуска в январе 2026 года. Однако исследование исследовательской и разведывательной группы GuidePoint (GRIT) указывает на то, что эти заявления, скорее всего, представляют собой смесь сфабрикованных названий компаний и узнаваемых организаций, которые на самом деле не были нарушены. Исследовательская группа не обнаружила никаких свидетельств реальных вторжений или сообщений от 0APT, что позволяет предположить, что сайт функционирует в основном как инструмент вымогательства, потенциально нацеленный на неосведомленных жертв или стремящийся повторно вымогать у предыдущих жертв из различных киберпреступных групп. Сайт с утечкой данных ненадолго отключился вскоре после своего запуска из-за проверки безопасности, но вновь появился с более ограниченным списком предполагаемых крупных многонациональных организаций в качестве жертв.

Мошеннические действия 0APT отражают предыдущие мошенничества, наблюдавшиеся в сфере киберпреступность, такие как те, которые были совершены группой “Могилевич”, которая также вводила в заблуждение других киберпреступников с целью получения финансовой выгоды. Хотя 0APT перешла от требования финансовых гарантий для аффилированных лиц к приему бесплатных заявок, намерение, по-видимому, совпадает с более ранними схемами, направленными на обман частных лиц. Сохраняется риск того, что 0APT может использовать партнерские отношения с другими актор-злоумышленниками или превратиться в более существенную угрозу в будущем.

Хотя операции 0APT кажутся в значительной степени обманчивыми, организациям, названным группой, рекомендуется рассмотреть возможность принятия упреждающих мер. Это включает в себя активацию служб реагирования на инциденты и проведение внутренних расследований, особенно в отсутствие типичных признаков компрометации, таких как записки с требованием выкупа или зашифрованные файлы. В конечном счете, в разоблачениях подчеркивается, что, хотя на сегодняшний день не было подтверждено никакой прямой угрозы со стороны 0APT, необходима бдительность, поскольку ситуация может развиваться.

#ParsedReport #CompletenessMedium
09-02-2026

Old-School IRC, New Victims: Inside the Newly Discovered SSHStalker Linux Botnet

https://flare.io/learn/resources/blog/old-school-irc-new-victims-inside-the-newly-discovered-sshstalker-linux-botnet

Report completeness: Medium

Threats:
Sshstalker
Tsunami_framework
Keiten
Nmap_tool
Logcleaner_tool
Outlaw_botnet
Phoenixminer
Prochider
Ircbot

Victims:
Cloud hosting providers, Linux servers, Oracle cloud infrastructure

Industry:
Financial

Geo:
German, Apac, Asia, Romanian, Chinese, French, Russian

CVEs:
CVE-2010-3437 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<2.6.36)

CVE-2009-2908 [Vulners]
CVSS V3.1: 4.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (2.6.31)

CVE-2009-3547 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (le2.6.31.14, 2.6.32)

CVE-2009-2698 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<2.6.19)

CVE-2010-1173 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (le2.6.33.3, 2.6.0, 2.6.1, 2.6.2, 2.6.3)

CVE-2009-2692 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<2.4.37.5, <2.6.30.5)

CVE-2009-2267 [Vulners]
CVSS V3.1: 6.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware ace (2.5.0, 2.5.1, 2.5.2)
- vmware esx (2.5.5, 3.0.3, 3.5, 4.0)
- vmware esxi (3.5, 4.0)
- vmware fusion (2.0, 2.0.1, 2.0.2, 2.0.3, 2.0.4)
- vmware player (2.5, 2.5.1, 2.5.2)
have more...
CVE-2010-3849 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<2.6.36.2)

CVE-2010-2959 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<2.6.27.53, <2.6.32.21, <2.6.34.6, <2.6.35.4)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1046, T1053.003, T1059, T1059.004, T1068, T1070.002, T1078, have more...

IOCs:
IP: 8
Coin: 2
Hash: 23

Soft:
Linux, Ubuntu

Crypto:
ethereum

Algorithms:
md5, zip

Languages:
perl, python, golang

Platforms:
cross-platform, x64, x86, arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет SSHStalker использует традиционные механизмы IRC и включает автоматизированное сканирование SSH, похожее на "nmap", что облегчает широко распространенные компрометации SSH благодаря устойчивой инфраструктуре управление. Он развертывает два варианта ботов на основе C, ориентированных на различные архитектуры, поддерживает закрепление с помощью заданий cron с минутным интервалом и использует возможности руткит наряду с устаревшими эксплойтами Linux. Ботнет также связан с майнингом криптовалют, уже скомпрометировав около 7000 целей SSH, особенно в облачных средах.
-----

В SSHStalker ботнет представляет собой возрождение традиционных Интернете чат (IRC) механизмов, с помощью нескольких вариантов бот и использование старых методов эксплуатации ОС Linux. Этот ботнет использует инфраструктуру управление (C2), которая подчеркивает избыточность и экономическую эффективность, облегчая массовые компрометации SSH. Оперативные методики состоит из автоматизированное производство, которое интегрирует СШ сканирование механизмы, которые напоминают возможности "nmap", в конечном счете соединяясь взломанных систем IRC-каналов для выполнения команды.

После успешного вторжения SSHStalker развертывает два варианта бота на базе C, которые отличаются минимально и ориентированы на ряд архитектур Аппаратное обеспечение, включая ARM и x86. Эти боты облегчают связь с назначенными IRC-серверами для получения команд. Фреймворк закрепление ботнет основан на заданиях cron, которые выполняются каждую минуту, что позволяет ему быстро возобновляться даже после попыток его отключения. Базовый набор инструментов включает в себя как возможности руткит, так и функции очистки журналов, направленные на поддержание скрытности и заметание следов, при этом используется коллекция устаревших эксплойтов ядра Linux примерно 2009-2010 годов, которые остаются эффективными против устаревших систем.

Архитектура ботнет примечательна своим сходством с существующими операциями ботнет, связанными с Румынией — дизайн, логика выполнения и стратегии привлечения IRC повторяют те, что были замечены в прошлых кампаниях, — но в ней отсутствует четкая привязка к какому-либо конкретному злоумышленник. Анализ вторжений показывает, что деятельность злоумышленник сосредоточена на использовании уязвимостей в устаревших дистрибутивах Linux, обогащенных различными инструментами, предназначенными для повышение привилегий и непрерывного доступа.

Экосистема SSHStalker также распространяется на незаконную деятельность по добыче криптовалют, что предполагает наличие финансового стимула для ее внедрения. В ходе операций сканирования уже было обнаружено около 7000 скомпрометированных целей SSH, в основном в облачных инфраструктурах. Кроме того, инструменты, направленные на сбор конфиденциальной информации из неправильно сконфигурированных веб-приложений, повышают масштаб и эффективность их работы.

Что касается обнаружения и смягчения последствий, то для сетевых защитников крайне важно сохранять бдительность. Предлагаемые стратегии включают мониторинг необычных запусков инструментов компиляции, оповещение о быстром выполнении недавно скомпилированных двоичных файлов, тщательное изучение действий cron и наблюдение за шаблонами TCP-соединений, которые демонстрируют необычную закрепление. Регулярные проверки изменений учетных записей пользователей, особенно в отношении привилегированных пользователей и SSH-ключей, наряду с мониторингом нетипичных обращений к файлам системных журналов, могут усилить защиту от потенциальных вторжений, связанных с этим меняющимся ландшафтом угроз.

#ParsedReport #CompletenessLow
10-02-2026

Romania s Oil Pipeline Operator Hacked: How an Infostealer Infection Paved the Way for Qilin s Ransomware Attack

https://www.infostealers.com/article/romanias-oil-pipeline-operator-hacked-how-an-infostealer-infection-paved-the-way-for-qilins-ransomware-attack/

Report completeness: Low

Threats:
Qilin_ransomware

Victims:
Oil and gas sector, Critical energy infrastructure, Conpet

Industry:
Petroleum, Energy

Geo:
Romanian, Romania

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1210, T1555

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года Conpet подверглась кибератаке, атрибутирован с группой программ-вымогателей Qilin, после предыдущего заражения стиллер, которое произошло 11 января 2026 года. Qilin украл около 1 ТБ конфиденциальных данных и использовал скомпрометированный сервер служб обновления Windows Server (WSUS) для развертывания программ-вымогателей, замаскированных под законные обновления. Атаке способствовал несанкционированный доступ к конфиденциальной рабочей учетной записи с незащищенного персонального устройства, что подчеркивает критическую роль человеческого фактора в взломе.
-----

В феврале 2026 года румынский национальный оператор нефтепроводов Conpet подвергся серьезной кибератаке, атрибутирован с группой программ-вымогателей Qilin. Этот инцидент подчеркивает растущую тенденцию к атакам с использованием программ-вымогателей, использующих предыдущие заражения вредоносное ПО стиллер. Qilin утверждал, что украл около 1 ТБ конфиденциальных данных, включая финансовые записи и внутренние документы Conpet.

Атака была прослежена до заражения стиллер, выявленного 11 января 2026 года с помощью платформы Cavalier от Hudson Rock, которая проиндексировала скомпрометированные данные на следующий день. Это раннее обнаружение обеспечило важнейшее представление об угрозах, окружающих инцидент. Текущие тенденции показывают, что группы вымогателей, такие как Qilin, как правило, используют простые методы проникновения, а не полагаются на сложные эксплойты zero-day. Журналы "стиллер" предоставили злоумышленникам информацию, необходимую для успешного захвата домена, что облегчило более поздние этапы атаки программ-вымогателей.

Важным моментом на пути атаки был несанкционированный доступ к серверу служб обновления Windows Server (WSUS), который пользуется доверием среди всех других сетевых компьютеров в среде Windows. Получение контроля над сервером WSUS позволило злоумышленникам развернуть полезную нагрузку программы-вымогателя, замаскированную под законные обновления, эффективно заразив все серверы и рабочие станции в Conpet одновременно.

Нарушение подчеркивает человеческий фактор, поскольку злоумышленник скомпрометировал высокочувствительную рабочую учетную запись с незащищенного персонального устройства, используемого сотрудником. Этот недосмотр преодолел пропасть между киберпреступниками и критически важной инфраструктурой, позволив аспектам вредоносное ПО стиллер-"инфостилер" развиться в полноценную атаку с использованием программ-вымогателей.

#ParsedReport #CompletenessHigh
10-02-2026

APT28s Stealthy Multi-Stage Campaign Leveraging CVE202621509 and Cloud C2 Infrastructure

https://strikeready.com/blog/apt28s-campaign-leveraging-cve%E2%80%912026%E2%80%9121509-and-cloud-c2-infrastructure/

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Notdoor
Beardshell_tool
Process_injection_technique
Covenant_c2_tool
Smuggling_technique
Simpleloader
Grunt
Outlook_backdoor
Koofr_tool
Com_hijacking_technique

Victims:
Government, Military, Defense ministries, Transportation, Logistics, Diplomatic entities, Maritime

Industry:
Education, Military, Logistic, Transport, Maritime, Government

Geo:
Ukraine, Russia, Russian, Greece, Romanian, Slovenia, Ukrainian, Bolivia, Syria, Romania, Turkey, Poland

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 9
Technics: 18

IOCs:
Domain: 5
File: 9
Path: 5
Email: 5
Hash: 14
IP: 4
Url: 18
Registry: 3
Command: 2

Soft:
Microsoft Office, Outlook, Component Object Model, Microsoft Outlook, ProtonMail

Algorithms:
md5, xor, aes-256, sha256, exhibit, aes-256-gcm, cbc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, также известная как Fancy Bear, запустила шпионскую кампанию против европейского военного и транспортного секторов, используя уязвимость CVE-2026-21509 в Microsoft Office вскоре после ее раскрытия. Атака использует многоэтапную цепочку заражения, включающую загрузчик, который подключается к серверу управление через filen.io , облегчающий выполнение бэкдора под названием NotDoor и C++-имплантата BeardShell. Эксплуатация начинается с Целевой фишинг-рассылки электронных писем, которые вызывают автоматическое выполнение вредоносной полезной нагрузки через встроенные OLE-объекты, компрометируя различные правительственные учетные записи.
-----

APT28, также известная как Fancy Bear, является спонсируемой российским государством группировкой, нацеленной на европейские военные и правительственные структуры, особенно в морском и транспортном секторах.

Группа использовала уязвимость Microsoft Office CVE-2026-21509 в течение 24 часов после ее публичного объявления.

Цепочка заражения включает загрузчик, бэкдор под названием NotDoor и пользовательский C++-имплантат под названием BeardShell, использующий filen.io для управление.

Злоумышленники используют электронные письма, содержащие Целевой фишинг, содержащие документы, содержащие оружие, которые используют уязвимость CVE-2026-21509 для автоматического выполнения полезной нагрузки без взаимодействия с пользователем.

Эта уязвимость позволяет обойти ограничения OLE-безопасности Office и автоматически запускать встроенные OLE-объекты, которые извлекают полезную нагрузку из среды, контролируемой злоумышленником.

Кампания включала целенаправленный 72-часовой фишинг, направленный в первую очередь на министерства обороны и транспортные организации, с использованием скомпрометированных правительственных аккаунтов.

После эксплуатации загрузчик .NET, модифицированный на основе бэкдора Covenant, устанавливает криптографическое подтверждение связи с инфраструктурой C2, используя 2048-битную пару ключей RSA для безопасной связи.

Загрузчик загружает зашифрованный сеансовый ключ обратно в указанную подпапку, что приводит к обмену запросами и ответами для подтверждения сеанса перед получением дополнительной полезной нагрузки.

Полезные нагрузки включают сборку Covenant Grunt, которая обеспечивает работу без файлов посредством вызова отражающего метода.

Некоторые целевые объекты получают NotDoor, который изменяет параметры реестра Outlook, отключая макросохранительные элементы управления, и внедряет вредоносные скрипты VBA для закрепление при перезапуске приложения.

APT28's использует законные платформы, такие как filen.io for C2 служит для смешивания вредоносных действий с обычным пользовательским трафиком, усложняя усилия по обнаружению.

Операции группы демонстрируют адаптивность, используя различные Облачные сервисы для ролей C2, подчеркивая необходимость того, чтобы службы безопасности сохраняли бдительность в отношении актор, связанных с государством.

Работа APT28's отражает сложную эволюцию тактики, включая фишинг, выполнение в памяти и уклонение по надежным каналам связи.

#ParsedReport #CompletenessMedium
10-02-2026

LevelBlue SpiderLabs: Breaking Down the Ransomware Groups Targeting the Education Sector

https://www.levelblue.com/blogs/levelblue-blog/levelblue-spiderlabs-breaking-down-the-ransomware-groups-targeting-the-education-sector

Report completeness: Medium

Actors/Campaigns:
Qilin
Inc_ransomware (motivation: financially_motivated)
Cl0p

Threats:
Inc_ransomware
Qilin_ransomware
Clop
Supply_chain_technique
Citrix_bleed_vuln
Log4shell_vuln

Victims:
Education sector, Financial services

Industry:
Healthcare, Education

Geo:
Brazil, Canada, Australian

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler_gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2024-50623 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cleo harmony (<5.8.0.21)
- cleo lexicom (<5.8.0.21)
- cleo vltrader (<5.8.0.21)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient_enterprise_management_server (<7.0.11, <7.2.3)

CVE-2023-0669 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortra goanywhere_managed_file_transfer (<7.1.2)

CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- papercut papercut_mf (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut_ng (<20.1.7, <21.2.11, <22.0.9)

CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_cloud (<14.0.5.45, <14.1.6.97, <15.0.2.39)
- progress moveit_transfer (<2021.0.7, <2021.1.5, <2022.0.5, <2022.1.6, <2023.0.2)

CVE-2021-22986 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (<12.1.5.3, <13.1.3.6, <14.1.4, <15.1.2.1, <16.0.1.1)
- f5 big-ip_advanced_firewall_manager (<12.1.5.3, <13.1.3.6, <14.1.4, <15.1.2.1, <16.0.1.1)
- f5 big-ip_advanced_web_application_firewall (<12.1.5.3, <13.1.3.6, <14.1.4, <15.1.2.1, <16.0.1.1)
- f5 big-ip_analytics (<12.1.5.3, <13.1.3.6, <14.1.4, <15.1.2.1, <16.0.1.1)
- f5 big-ip_application_acceleration_manager (<12.1.5.3, <13.1.3.6, <14.1.4, <15.1.2.1, <16.0.1.1)
have more...
CVE-2024-55956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cleo harmony (<5.8.0.24)
- cleo lexicom (<5.8.0.24)
- cleo vltrader (<5.8.0.24)


TTPs:
Tactics: 2
Technics: 5

Soft:
Linux, ESXi, Citrix NetScaler ADC, PaperCut, GoAnywhere, BIG-IP, Remote Desktop Services, MOVEit

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние тенденции указывают на рост в рекламных нападения на сектор образования, с такими группами как Qilin, Inc Ransom, и CL0P на передовой. Qilin осуществил 16 обстрелов, используя программы-вымогатели как услуги с ржавчиной на основе вредоносное ПО влияющие на различных средах. INC Ransom использует тактику двойного вымогательства с помощью психологических манипуляций, в то время как CL0P использует уязвимости zero-day (CVE-2024-50623, CVE-2024-55956) в решениях Cleo, повышая уровень своей угрозы.
-----

Последние тенденции свидетельствуют о значительном росте числа атак программ-вымогателей, нацеленных на сектор образования, при этом воздействие оказывается на различные учреждения, в том числе на одно в Австралии и школьный округ в Северной Каролине. Эти группы программ-вымогателей используют различные методы для получения первоначальный доступ, в первую очередь используя слабые средства проверки подлинности, незащищенные уязвимости, стратегии социальной инженерии и скомпрометированные учетные данные, полученные в результате предыдущих заражений стиллер.

Три известные группы программ-вымогателей выделяются тем, что нацелены на образовательные учреждения. Наиболее активной была признана Qilin group, ответственная за 16 нападений, что составляет 20% от общей активности. Эта группа, появившаяся в середине 2022 года, действует как программа-вымогатель как услуга (RaaS), фокусируясь на ценных целях и используя настраиваемые программы-вымогатели на основе Rust, которые могут воздействовать на среды Windows, Linux и VMware ESXi.

Другая группа, INC Ransom, появилась в июле 2023 года и была известна своей тактикой двойного вымогательства. Они позиционируют себя как "служба повышения безопасности", используя методы психологических манипуляций, чтобы убедить жертв в том, что выплата выкупа повысит их репутацию и уровень безопасности. INC Ransom не только шифрует конфиденциальные данные, но и предварительно их отфильтровывает и поддерживает сайт утечки, чтобы еще больше угрожать жертвам.

CL0P ransomware group также проявляла активность, особенно в начале 2025 года, где она продемонстрировала значительное оперативное мастерство, опубликовав 413 публичных сообщений о жертвах только за первый квартал. Эта группа была особенно эффективна благодаря использованию двух уязвимостей zero-day в решениях для передачи управляемых файлов Cleo, в частности CVE-2024-50623 и CVE-2024-55956. Используя эти уязвимости, CL0P укрепила свои позиции в качестве ведущего злоумышленник в этой области.