#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние тенденции указывают на рост в рекламных нападения на сектор образования, с такими группами как Qilin, Inc Ransom, и CL0P на передовой. Qilin осуществил 16 обстрелов, используя программы-вымогатели как услуги с ржавчиной на основе вредоносное ПО влияющие на различных средах. INC Ransom использует тактику двойного вымогательства с помощью психологических манипуляций, в то время как CL0P использует уязвимости zero-day (CVE-2024-50623, CVE-2024-55956) в решениях Cleo, повышая уровень своей угрозы.
-----

Последние тенденции свидетельствуют о значительном росте числа атак программ-вымогателей, нацеленных на сектор образования, при этом воздействие оказывается на различные учреждения, в том числе на одно в Австралии и школьный округ в Северной Каролине. Эти группы программ-вымогателей используют различные методы для получения первоначальный доступ, в первую очередь используя слабые средства проверки подлинности, незащищенные уязвимости, стратегии социальной инженерии и скомпрометированные учетные данные, полученные в результате предыдущих заражений стиллер.

Три известные группы программ-вымогателей выделяются тем, что нацелены на образовательные учреждения. Наиболее активной была признана Qilin group, ответственная за 16 нападений, что составляет 20% от общей активности. Эта группа, появившаяся в середине 2022 года, действует как программа-вымогатель как услуга (RaaS), фокусируясь на ценных целях и используя настраиваемые программы-вымогатели на основе Rust, которые могут воздействовать на среды Windows, Linux и VMware ESXi.

Другая группа, INC Ransom, появилась в июле 2023 года и была известна своей тактикой двойного вымогательства. Они позиционируют себя как "служба повышения безопасности", используя методы психологических манипуляций, чтобы убедить жертв в том, что выплата выкупа повысит их репутацию и уровень безопасности. INC Ransom не только шифрует конфиденциальные данные, но и предварительно их отфильтровывает и поддерживает сайт утечки, чтобы еще больше угрожать жертвам.

CL0P ransomware group также проявляла активность, особенно в начале 2025 года, где она продемонстрировала значительное оперативное мастерство, опубликовав 413 публичных сообщений о жертвах только за первый квартал. Эта группа была особенно эффективна благодаря использованию двух уязвимостей zero-day в решениях для передачи управляемых файлов Cleo, в частности CVE-2024-50623 и CVE-2024-55956. Используя эти уязвимости, CL0P укрепила свои позиции в качестве ведущего злоумышленник в этой области.

#ParsedReport #CompletenessLow
10-02-2026

Investigation on the EmEditor Supply Chain attack

https://www.stormshield.com/news/investigation-on-the-emeditor-supply-chain-attack/

Report completeness: Low

Threats:
Supply_chain_technique
Watering_hole_technique

Victims:
Emeditor users

ChatGPT TTPs:
do not use without manual check
T1071.001, T1195

IOCs:
Domain: 11
IP: 5
Url: 3

Soft:
nginx

Algorithms:
gzip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака EmEditor supply chain, характеризуемая как атака watering hole, использует веб-сайты, посещаемые пользователями EmEditor, для доставки вредоносных полезных данных. Анализ с использованием разрешения Passive DNS выявил сервер командования и управления по адресу cachingdrive.com и обнаружил дополнительный подозрительный домен, hxxp://nc7d8p7u8j3n4hgm.com, что указывает на потенциальное расширение инфраструктуры атаки. Это подчеркивает опасность атак supply chain и их зависимость от надежных программных экосистем.
-----

Расследование атаки на supply chain EmEditor, освещенное в отчете Trend Micro, связано с редким типом киберугроза, известной как атака watering hole, которая конкретно нацелена на пользователей программного обеспечения EmEditor. Эта тактика обычно включает в себя компрометацию веб-сайтов, посещаемых предполагаемыми жертвами, для предоставления вредоносного контента или полезной нагрузки.

На этапе анализа были использованы методы разрешения Passive DNS для отслеживания дополнительных IP-адресов, связанных с атакой. Первоначальная проверка не выявила никаких дополнительных URL-адресов, непосредственно связанных с сервером командования и контроля (C2), идентифицированным Trend Micro, который был cachingdrive.com , в частности, URL-путь "/gate/init". Однако расследование привело к обнаружению другого домена с путем "/gate/start/", связанного с подозрительным URL: hxxp://nc7d8p7u8j3n4hgm.com/gate/start/efeb550a. Это говорит о потенциальном расширении инфраструктуры атаки или альтернативных точках входа.

Полученные результаты подчеркивают сложность и эволюционирующий характер атак на supply chain, особенно тех, которые используют менее традиционные методы, такие как тактика watering hole. Такие угрозы могут создавать значительный риск для пользователей, поскольку они часто используют надежные программные экосистемы. Общие результаты этого расследования подчеркивают острую необходимость в бдительности и проактивных механизмах защиты от сложных киберугроза, которые используют знакомую пользовательскую среду для проникновения в системы.

#ParsedReport #CompletenessMedium
10-02-2026

Tech impersonators: ClickFix and MacOS infostealers

https://securitylabs.datadoghq.com/articles/tech-impersonators-clickfix-and-macos-infostealers/

Report completeness: Medium

Threats:
Clickfix_technique
Macc_stealer
Typosquatting_technique
Amos_stealer

Victims:
Technology users, Software developers, Enterprise users

Geo:
Russian, Emea

TTPs:
Tactics: 6
Technics: 11

IOCs:
Url: 7
Domain: 14
File: 3
Hash: 2
Email: 5

Soft:
MacOS, android, linux, curl, Mac OS, Chromium, KeePass, Dashlane, Ledger Live, Chrome, have more...

Wallets:
electrum, coinomi, wassabi, trezor, exodus_wallet, atomicwallet, ledger_wallet

Algorithms:
base64, sha256, zip

Functions:
getItem, getFileName, setItem, writeText, Filegrabber, ChromiumWallets

Languages:
applescript, javascript, php, powershell

Platforms:
apple, intel, arm

Links:
https://github.com/DataDog
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Datadog сообщил о кампании с использованием поддельных репозиториев GitHub для распространения эволюционирующих стиллер, в первую очередь ориентированных на опытных пользователей технологий с помощью техники первоначальный доступ ClickFix и социальной инженерии. Недавно идентифицированный SHub Stealer версии 2.0 улучшает закрепление и удаленный доступ, используя расширенные методы сбора учетных данных и таргетинг на основе региона с помощью языковых проверок. Эта кампания знаменует собой отход от типичного typosquatting, демонстрируя возросшую изощренность поведения вредоносное ПО и постоянную связь с инфраструктурами Управление.
-----

Datadog выявил продолжающуюся кампанию, использующую поддельные репозитории GitHub для выдачи себя за законное программное обеспечение, в первую очередь ориентированную на пользователей известных технологических компаний с помощью метода первоначальный доступ ClickFix. Злоумышленник использует тактику социальной инженерии, чтобы убедить жертв загрузить стиллер информации, которые постоянно развиваются, и есть признаки того, что они расширяют свои возможности и на платформы Windows. Меры защиты от анализа интегрированы в вредоносное ПО, чтобы избежать обнаружения, препятствовать исследованиям в области безопасности и отслеживать результаты заражения на протяжении всей кампании.

Появилась новая версия стиллер для macOS под названием "SHub Stealer v2.0", демонстрирующая расширенные функциональные возможности, включая закрепление и возможности удаленного доступа. Эта кампания отличается от традиционной тактики typosquatting пакетов, наблюдаемой в таких экосистемах, как npm; вместо использования ошибок разработчиков она нацелена непосредственно на постоянных пользователей.

Недавний мониторинг выявил несколько вредоносных репозиториев на GitHub, выдающих себя за законные приложения, в том числе одно, имитирующее "настольное приложение Datadog". Пользователи, получающие доступ к этим репозиториям, перенаправляются на страницы социальной инженерии, предназначенные для выполнения вредоносного кода.

Цепочка атак ClickFix начинается с перенаправления, управляемого JavaScript, что приводит пользователей macOS на страницу, которая пытается выполнить вредоносные команды. Целевые страницы используют дополнительный JavaScript для отслеживания эффективности кампании, собирая телеметрию при взаимодействии с пользователем. Более ранние варианты кампаний включали в себя пошаговый сценарий оболочки для macOS, в то время как более новые варианты включают проверку ввода на русском языке, что, вероятно, указывает на исключения таргетинга на основе региона.

Оригинальный стиллер MacSync быстро эволюционировал в своих итерациях, переименовываясь и становясь все более изощренным в методах сбора данных. SHub отличается от MacSync более продвинутыми стратегиями сбора учетных данных и эксфильтрация данных. Например, SHub использует улучшенные рабочие процессы аннулирования для захвата паролей и расширяет свои возможности для сбора данных с различных настольных кошельков, расширяя свой охват не только артефактами разработчиков.

SHub демонстрирует знакомство с инструментами командной строки macOS, повышая надежность и оперативную скрытность. В отличие от многих предыдущих стиллер-инфостилеров, SHub устанавливает закрепление и поддерживает канал с помощью своей инфраструктуры Управление (C2), что позволяет осуществлять непрерывный мониторинг и контроль, а не разовые кражи данных. Такое развитие поведения вредоносное ПО означает эволюцию тактики, используемой злоумышленник, что указывает на растущую изощренность и более стратегический подход к операциям по сокрытию информации.

#ParsedReport #CompletenessMedium
10-02-2026

The Ransomware Franchise Wars: How Falling Payments Are Spawning a New Generation of Cybercrime Cartels

https://flare.io/learn/resources/blog/33197

Report completeness: Medium

Actors/Campaigns:
Dragonforce
Gentlemen_ransomware
Shadowsyndicate

Threats:
Blackbasta
Lockbit
Dragonforce_ransomware
Hvnc_tool
Edrkillshifter_tool
Edr-killer
Uac_bypass_technique
Ntkiller_tool
Byovd_technique

Industry:
Financial, E-commerce

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1562.001, T1583.003, T1584.003

Soft:
ESXi, Telegram, MySQL, Linux, Windows Defender

Crypto:
bitcoin, monero

Algorithms:
curve25519, xchacha20

Languages:
golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ситуация с вымогателями меняется по мере того, как рушатся такие устоявшиеся группировки, как Black Basta и LockBit, что приводит к появлению новых организаций, таких как DragonForce, которая использует стратегический брендинг и набор персонала для формирования более организованной киберпреступной сети. Эта фрагментация диверсифицировала рынок киберпреступность, сделав новый акцент на методах уклонения, позволяющих обойти системы обнаружения конечных точек и реагирования на них. Кроме того, постоянные инфраструктуры двойного назначения, такие как ShadowSyndicate, подчеркивают адаптивность этих операций, усложняя оборонительные стратегии по мере увеличения разнообразия тактик и операционных циклов.
-----

Развивающийся ландшафт программ-вымогателей отмечен значительным крахом ключевых игроков, таких как Black Basta и LockBit, которые проложили путь для растущих картелей киберпреступность, в частности, представленных новой группой под названием DragonForce. Black Basta, например, столкнулась с серьезной неудачей из-за утечки внутренних коммуникаций, что привело к ее фрагментации. Эта суматоха в высшем эшелоне программ-вымогателей как услуг (RaaS) подтолкнула преступный мир к переходу к более структурированной модели картеля, о чем свидетельствует стратегический брендинг DragonForce и тактика подбора персонала, направленные на создание более сплоченной, но безжалостной сети киберпреступников.

Появление DragonForce свидетельствует о более широкой тенденции, когда рынок киберпреступность становится все более сегментированным, и операторы, начиная от высококвалифицированных разработчиков программ-вымогателей и заканчивая филиалами-любителями, стекаются, чтобы заполнить пустоту, образовавшуюся в результате распада устоявшихся групп. Такая диверсификация усиливает конкуренцию, вызывая потребность в инновациях не только при внедрении программ-вымогателей, но, в частности, в методах уклонения, предназначенных для обхода систем обнаружения конечных точек и реагирования (EDR). Эволюция параллельного рынка, ориентированного на уклонение от EDR, представляет собой явное расширение возможностей злоумышленник, эффективно увеличивая общий риск.

Еще больше усложняет экосистему программ-вымогателей существование постоянной инфраструктуры двойного назначения, которая может использоваться различными группами независимо от фирменного стиля. Примечательно, что операция ShadowSyndicate, которая действует с середины 2022 года, является примером этой тенденции. Используя сеть серверов, идентифицируемых по общим отпечаткам SSH, его инфраструктура поддерживает многочисленные операции с программами-вымогателями, что подчеркивает отказоустойчивость и адаптивность преступных организаций перед лицом давления правоохранительных органов.

Для борцов за Кибербезопасность эти события требуют изменения стратегии. Полагаться на разведданные, собранные несколькими доминирующими группами программ-вымогателей, становится устаревшим. Фрагментированная среда приводит к более широкому спектру тактик, методов и процедур (TTP) в сочетании с более быстрыми операционными циклами и непредсказуемыми схемами нацеливания. Потребность в динамическом отслеживании угроз и адаптивных защитных мерах никогда еще не была так важна для противодействия этой быстрой эволюции ландшафта угроз со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
10-02-2026

ClawdBot Skills Just Ganked Your Crypto

https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto

Report completeness: Low

Threats:
Clickfix_technique
Nova_stealer
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency platforms, Genai skills users

Geo:
Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059.004, T1105, T1195, T1204.002, T1552, T1553.001, T1555, T1566

IOCs:
IP: 1
File: 5
Hash: 6

Soft:
ClawdBot, Claude, Moltbot, ClawHub, macOS, Telegram, Twitter, curl, Gatekeeper, Chrome, Firefox, have more...

Wallets:
bybit, metamask

Crypto:
solana

Algorithms:
base64, zip, md5, sha256

Platforms:
apple, intel, arm

Links:
https://github.com/openclaw/skills/tree/main/skills/aslaep123/polymarket-traiding-bot
https://github.com/openclaw/skills/tree/main/skills/jordanprater/polymarketcli
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания, использующая навыки ClawdBot, была нацелен на пользователей Claude Code и Moltbot с помощью вредоносное ПО для кражи информации, замаскированного под инструменты для торговли криптовалютами, что оказало воздействие как на системы macOS, так и на Windows. Эти вредоносные навыки, использующие тактику социальной инженерии, были связаны с более чем 7000 загрузками и используют инфраструктуру управление с IP 91.92.242.30. Версия macOS изменяет системные настройки для выполнения загрузок, избегая при этом таких мер безопасности, как Apple Gatekeeper, выявляя значительные уязвимости в протоколах безопасности платформы.
-----

Была выявлена недавняя кампания с использованием навыков ClawdBot, нацеленная на пользователей Claude Code и Moltbot для распространения вредоносное ПО, похищающего информацию. В конце января - начале февраля 2026 года были выпущены два набора вредоносных навыков: первоначальная группа из 28 и последующая более крупная партия из 386 навыков. Эти навыки маскируются под инструменты автоматизации торговли криптовалютами, используя тактику социальной инженерии, чтобы убедить пользователей выполнять вредоносные команды в своих системах, в первую очередь нацеленные как на macOS, так и на Windows среды. Вредоносное ПО специально нацелено на кражу конфиденциальной информации, включая API-ключи обмена криптовалютами, Закрытые ключи кошелька, учетные данные SSH и пароли браузера.

Вредоносные программы используют одну и ту же инфраструктуру управление, в частности IP-адрес 91.92.242.30. Расследование ClawHub, где были опубликованы эти навыки, выявило отсутствие эффективных мер безопасности, позволяющих загружать вредоносное ПО в незашифрованном виде в SKILL.md файлы. Этот недосмотр вызывает серьезные опасения по поводу протоколов безопасности в рамках этой экосистемы, поскольку распространение вредоносное ПО в значительной степени осталось неконтролируемым.

Среди вовлеченных вредоносных актор следует отметить пользователя hightower6eu, который был связан примерно с 7000 загрузками, что указывает на то, что эти навыки эффективно проникли в базу пользователей. Примечательно, что эти навыки остаются в сети, несмотря на попытки связаться с администраторами ClawHub по поводу их удаления.

С технической точки зрения, наиболее распространенный вариант вредоносное ПО для macOS сопровождает пользователей по цепочке атак, которая включает изменение настроек временного каталога, загрузку двоичных файлов с сервера управление с помощью команды "curl", удаление атрибутов карантина с помощью "xattr -c", чтобы обойти Apple Gatekeeper, и изменение прав доступа к файлам для выполнения загруженных двоичных файлов. Примечательно, что вредоносное ПО идентифицировано как версия 2 из признанного семейства macOS stealer, содержащая определенные идентификаторы сборки, которые могут связать его с другими Вредоносная Кампания.

Дальнейшее изучение механизма заражения включает в себя проверку на наличие признаков компрометации в пользовательском История команд bash на предмет любых выполненных вредоносных команд. Текущие результаты выявляют вызывающую беспокойство уязвимость supply chain в формирующейся экосистеме Claude Code и навыков Moltbot, демонстрируя, как злоумышленник может использовать доверие пользователей в злонамеренных целях. Это подчеркивает настоятельную необходимость улучшения мер безопасности на этих платформах для снижения подобных рисков в будущем.

#ParsedReport #CompletenessMedium
10-02-2026

VoidLink: Dissecting an AI-Generated C2 Implant

https://www.ontinue.com/resource/voidlink-dissecting-an-ai-generated-c2-implant/

Report completeness: Medium

Threats:
Voidlink
Cobalt_strike_tool
Credential_harvesting_technique

Victims:
Cloud service providers, Enterprise environments

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036, T1041, T1105, T1496, T1518.001, T1552.001, T1580, T1602.002, have more...

IOCs:
File: 4
Domain: 1
IP: 1
Hash: 1

Soft:
Linux, Docker

Algorithms:
sha256, sha1, aes-256-gcm, exhibit

Platforms:
intel

Links:
have more...
https://github.com/Ontinue-Runway/threat-intel-iocs/blob/main/Public/VoidLink/AI-Pattern-Matching-seperator.md
https://github.com/Ontinue-Runway/threat-intel-iocs/blob/main/Public/VoidLink/AI-Pattern-Matching.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink - это усовершенствованный фреймворк управление для Linux, используемый для постоянного доступа и эксфильтрация данных в облачных и корпоративных средах. Его имплант, исполняемый файл ELF64 для x86-64, облегчает кражу учетных данных и использует интеллектуальное профилирование среды для оптимизации своих операций на различных платформах, таких как Docker и Kubernetes. Кроме того, он интегрирует функциональные возможности руткит на уровне ядра и использует шифрование AES-256-GCM для безопасной связи, что значительно повышает его возможности скрытности и уклонения.
-----

VoidLink представляет собой сложную команду управление (С2) фреймворк, предназначенный для долговременного доступа и утечки эксфильтрация в облачных и корпоративных средах. Он генерирует двоичные файлы имплантат называют "агента", который облегчает кражи учетных данных и обеспечивает полную скрытность и механизмам эксплуатации. Анализ показывает, что voidlink's имплантат был, вероятно, создан с использованием большого язык модели (магистр) агент кодирования, очевидно, благодаря своей структурированной маркировки, обширное ведение журнала отладки, и документация остатки в скомпилированный двоичный файл, предполагающая минимальное вмешательство человека в его развитии.

Имплантат работает как исполняемый файл Linux ELF64, адаптированный для архитектуры x86-64, и идентифицируется по определенным криптографическим хэш-значениям (SHA1 и SHA256). Его модульная архитектура позволяет различным компонентам функционировать независимо, адаптируясь к целевой среде через фреймворк общего реестра. Такая модульность не только повышает его универсальность, но и оптимизирует его эксплуатационные возможности в соответствии с конкретными условиями развертывания.

Ключевой особенностью VoidLink является интеллектуальное определение среды, которое проводит тщательное профилирование хоста для оценки контекста выполнения, прежде чем активировать его функциональные возможности. Он отлично работает в мультиоблачных средах, активно ориентируясь на учетные данные и собирая их из различных источников у всех основных облачных провайдеров. Возможности имплантата распространяются также на контейнерные среды, выполняя обнаружение во время выполнения на таких платформах, как Docker, Podman и Kubernetes. Это включает в себя использование специальных плагинов escape для нарушения границ контейнера и выполнения атак с повышение привилегий.

Кроме того, VoidLink включает в себя расширенные функциональные возможности руткит на уровне ядра, используя различные методы скрытности, основанные на обнаруженной версии ядра, что делает его особенно эффективным для обхода традиционных мер безопасности и криминалистического обнаружения. Кроме того, его связь управление защищена с помощью шифрования AES-256-GCM, гарантируя, что обмен данными между имплантатом и его операторами остается конфиденциальным.

Таким образом, VoidLink представляет собой комплексную и адаптивную угрозу, которая сочетает в себе возможности постоянного вторжения, эффективное перемещение внутри компании в облачных средах и надежные механизмы сокрытия своих операций от средств обнаружения, что в конечном итоге облегчает обширный сбор учетных записей и эксфильтрация данных.

#ParsedReport #CompletenessLow
10-02-2026

Report Title: Scarcrufts ROKRAT Malware: Recent Changes

https://s2w.inc/en/resource/detail/1011

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dll_sideloading_technique
Steganography_technique

Victims:
Government sector, Defense sector, Diplomatic sector

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1204.002, T1566.001, T1574.002

IOCs:
File: 3

Soft:
ShellRunas, Dropbox

Algorithms:
ror13, xor, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4