#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ScarCruft, северокорейская APT-группировка, эволюционировала свой метод распространения ROKRAT вредоносное ПО от атак на основе LNK до использования OLE-объектов HWP. Вредоносное ПО теперь встроено в документы HWP, что позволяет ему запускаться через DLL side-loading или выступать в качестве загрузчика для получения дополнительной полезной нагрузки. Общие технические атрибуты включают разрешение API на основе ROR13 и ключ XOR 0x29, что указывает на преемственность подхода ScarCruft's, одновременно повышая риски, связанные с фишинг-файлами HWP.
-----

ScarCruft, поддерживаемая Северной Кореей APT-группировка, недавно адаптировала свои методы распространения ROKRAT вредоносное ПО, перейдя от традиционной цепочки атак на основе LNK к использованию структуры Dropper/Loader на основе HWP OLE. ROKRAT, который находится в обращении с момента своего обнаружения в 2017 году, представляет собой тип вредоносное ПО, которое ScarCruft внедряет для достижения своих вредоносных целей.

Новые методы распространения ROKRAT выявляют случаи, когда вредоносное ПО внедряется в качестве OLE-объекта в документы HWP. Это знаменует собой значительный сдвиг по сравнению с предыдущим подходом, который обычно включал созданные LNK BAT-скрипты, приводящие к выполнению шеллкода. Примечательно, что в первом случае вредоносное ПО, именуемое mpr.dll , был выполнен с помощью DLL side-loading в законное приложение, что иллюстрирует сложный подход к выполнению. Последующее раскрытие информации подтвердило, что этот метод выполнения был последовательным при распространении вредоносное ПО, как было задокументировано в дополнительных случаях.

В другом задокументированном случае вредоносное ПО служило загрузчиком, извлекая и выполняя другой уровень полезной нагрузки из URL-адресов, которые были жестко закодированы в файлах HWP. Хотя метод выполнения в третьем случае относится к версии.dll-файл не был окончательно идентифицирован, предполагается, что он также был включен в качестве OLE-объекта во вредоносный документ HWP, что еще больше усиливает зависимость группы от этого формата для распространения вредоносное ПО.

Общие технические характеристики, общие для всех этих случаев, включают использование разрешения API на основе ROR13 и ключа 0x29 XOR для целей расшифровки, которые согласуются с атрибутами, наблюдавшимися в предыдущих атаках ScarCruft. Это включает в себя общие алгоритмы хэширования API и строки токенов для таких сервисов, как pCloud и Yandex. Эти сходства позволяют предположить, что изменения в структуре атаки ROKRAT's основаны на существующих фреймворк, которые ScarCruft использовал в предыдущих кампаниях.

Учитывая эти достижения в распространении вредоносное ПО через документы HWP, существует повышенный риск, связанный с открытием таких файлов, особенно тех, которые получены с помощью попыток фишинг. Организациям рекомендуется проявлять крайнюю осторожность и применять строгие меры по обнаружению угроз и смягчению их последствий при работе с документами HWP для защиты от меняющейся тактики, используемой ScarCruft в своей деятельности по кибершпионажу.

#ParsedReport #CompletenessMedium
10-02-2026

Phorpiex Phishing Campaign Delivers GLOBAL GROUP Ransomware

https://www.forcepoint.com/blog/x-labs/phorpiex-global-group-ransomware-lnk-phishing

Report completeness: Medium

Threats:
Phorpiex
Global-group-raas
Lolbin_technique
Mamona
Shadow_copies_delete_technique

Victims:
Multiple sectors

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1070.004, T1105, T1204, T1204.002, T1486, T1566.001

IOCs:
File: 8
Path: 2
IP: 2
Url: 2
Hash: 2

Soft:
Windows service, Task Scheduler, Active Directory

Algorithms:
chacha20-poly1305, poly1305

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phorpiex phishing campaign использовала тактику обмана электронной почты для распространения программ-вымогателей GLOBAL GROUP, используя такие темы, как "Ваш документ" и узнаваемые значки Windows, чтобы обмануть пользователей. Программа-вымогатель действует уникальным образом, выполняя все действия локально без подключения к серверу управление, что усложняет обнаружение и анализ. Он использует методы запутывания, включая самоудаление и таймер команды ping, чтобы препятствовать судебно-медицинским расследованиям, используя при этом распространенные типы файлов для первоначальный доступ.
-----

Недавняя масштабная Phorpiex phishing campaign эффективно использовала тактику мошенничества с электронной почтой для распространения программы-Ransomware. от GLOBAL GROUP. В фишинг-письмах часто указывается тема письма "Ваш документ" - знакомая тактика, которая получила распространение в крупномасштабных кампаниях на протяжении 2024 и 2025 годов. Путем включения узнаваемых значков из законных ресурсов Windows, таких как shell32.dll Таким образом, фишинг-вложения можно легко принять за заслуживающие доверия файлы, что уменьшает колебания пользователя и повышает вероятность взаимодействия.

При открытии фишинг-письма пользователю предоставляется вложение с двойным расширением, оформленное так, чтобы оно выглядело как стандартный документ. Этот первоначальный обман обеспечивает плавный ход выполнения в направлении заражения. Что отличает программу-вымогателя GLOBAL GROUP от других, так это ее методология работы, в частности, режим "отключения звука". В отличие от традиционных программ-вымогателей, GLOBAL GROUP не взаимодействует с сервером управление (C2); все действия выполняются локально на скомпрометированном устройстве. Программа-вымогатель генерирует свой ключ шифрования в хост-системе, что сводит на нет необходимость в эксфильтрация данных и обеспечивает выполнение даже в автономном режиме или в среде с воздушным доступом. Эта характеристика значительно повышает способность вредоносное ПО уклоняться от обнаружения, особенно в системах, которые полагаются на мониторинг сетевого трафика на предмет аномального поведения.

Кроме того, программа-вымогатель использует методы запутывания, предназначенные для усложнения криминалистического анализа. Примечательно, что он использует команду ping в качестве таймера перед самоудалением с диска, что еще больше затрудняет расследование после заражения. Кампания подчеркивает непреходящую эффективность давно зарекомендовавших себя семейств вредоносное ПО, таких как Phorpiex When Coupled, в сочетании с простыми, но эффективными стратегиями фишинг. Пользуясь привычными типами файлов, например, ярлыков Windows, злоумышленники могут получить первоначальный доступ с минимальным сопротивлением, что облегчает развертывание значительных нагрузок как Global Group ransomware. Такой подход усиливает необходимость в надежной электронной почте и веб-аналитике для упреждающего блокирования таких попыток фишинг и вредоносной полезной нагрузки.

#ParsedReport #CompletenessLow
10-02-2026

SolarWinds Web Help Desk Exploitation - February2026

https://www.elastic.co/security-labs/solarwinds-whd-exploitation

Report completeness: Low

Threats:
Credential_dumping_technique
Dcsync_technique
Lolbin_technique
Cloudflared_tool

Victims:
Solarwinds web help desk users

CVEs:
CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)

CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)


TTPs:
Tactics: 6
Technics: 5

IOCs:
File: 12
Url: 2
Command: 1

Soft:
Velociraptor, Microsoft Defender, QEMU, Active Directory, Windows Defender, Microsoft Windows Defender, Windows scheduled task

Languages:
powershell, java

Platforms:
x86

Links:
have more...
https://github.com/elastic/detection-rules/blob/main/rules/windows/initial\_access\_potential\_webhelpdesk\_exploit.toml
https://github.com/elastic/detection-rules/blob/main/rules/windows/defense\_evasion\_msiexec\_remote\_payload.toml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
6 февраля 2026, злоумышленники эксплуатировали Ардуино справки веб-сервера столом, положив начало многоэтапные вторжения через Credential dumping и RDP туннели для постоянного доступа. Они использовали авианосца, таких как CVE-2025-26399 для удаленное выполнение кода и занятых "Living-off-the-land" приемы, используя законные инструменты, такие как велоцираптор за выполнение кода и файлов для промежуточного хранения во время использования Windows, запланированных задач на закрепление. Получение учетных данных был нацелен, в частности, с акцентом на базе домена активного каталога (ЗТБ.ДИТ).
-----

6 февраля 2026 года корпорация Майкрософт сообщила о значительном использовании серверов SolarWinds Web Help Desk (WHD), что способствовало многоэтапным вторжениям с использованием программного обеспечения для удаленного мониторинга и управления (RMM). Злоумышленники использовали несколько методов, в том числе credential Dumping и создание туннелей Протокол удаленного рабочего стола (RDP) для поддержания постоянного доступа. Использование потенциально связано с тремя раскрытыми CVE: CVE-2025-26399, уязвимостью для Удаленное Выполнение Кода, не прошедшей проверку подлинности; CVE-2025-40536, которая включает в себя обход контроля безопасности; и CVE-2025-40551, в центре которой находится десериализация ненадежных данных. Несмотря на отчет, на дату публикации в Elastic Security Labs не наблюдалось никаких связанных с этим событий телеметрии.

Первоначальная компрометация с помощью WHD позволила злоумышленник создать интерактивную среду shell. Наблюдения указывают на сильную зависимость от методов "living-off-the-land" (LotL), использующих законные системные утилиты и существующие RMS для облегчения вредоносной деятельности. Как только они настроили RMM agent, злоумышленники приступили к разведка и обнаружению в сети. Были выполнены конкретные команды, нацеленные на Active Directory, что указывает на попытки дальнейшего зондирования сети.

Для уклонения злоумышленники использовали Velociraptor, инструмент судебной экспертизы с открытым исходным кодом, который они использовали не по назначению как для выполнения кода, так и для подготовки файлов. Этот законный инструмент был автоматически установлен с помощью удаленной команды MSI. Чтобы обеспечить закрепление в среде, злоумышленник установил запланированную задачу Windows, что обеспечило им постоянный доступ к системам компрометация.

Важным аспектом этих атак было получение учетных данных, поскольку преступная хакерская группировка осуществляла credential dumping из базы данных домена Active Directory (ntds.dit). Elastic Security внедрила различные средства обнаружения для устранения такого поведения, повышая наглядность этих тактик.

#ParsedReport #CompletenessHigh
10-02-2026

Deep Dive into New XWorm Campaign Utilizing Multiple-Themed Phishing Emails

https://www.fortinet.com/blog/threat-research/deep-dive-into-new-xworm-campaign-utilizing-multiple-themed-phishing-emails

Report completeness: High

Threats:
Xworm_rat
Process_hollowing_technique
Agent_tesla
Remcos_rat
Drakcloud
Deepsea_obfuscator_tool
Hvnc_tool

Victims:
General users, Business users

Industry:
Financial, E-commerce

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1020, T1021, T1027, T1036, T1048.003, T1055.012, T1056.001, T1057, T1059.001, have more...

IOCs:
File: 12
Url: 5
Registry: 1
Domain: 1
Hash: 4

Soft:
NET Framework, Windows registry, Windows Defender

Algorithms:
aes, base64, sha256

Functions:
TaskScheduler-related, Main, RemovePlugins

Win API:
WinHttpConnect, ShellExecuteExW, CreateProcessA, WinHttpOpen, WinHttpOpenRequest, WinHttpSendRequest, WinHttpReceiveResponse, WinHttpQueryDataAvailable, WinHttpReadData, WriteFile, have more...

Win Services:
WebClient

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiGuard Labs сообщила об изощренной кампании по фишинг-атаке, в ходе которой был внедрен новый вариант XWorm RAT, использующий вредоносные вложения Excel в фишинг-письмах, созданных на нескольких языках. Атака использует CVE-2018-0802, обеспечивая Удаленное Выполнение Кода и используя модуль .NET без файлов, чтобы избежать обнаружения. После активации XWorm взаимодействует с сервером C2, используя зашифрованный трафик, и обладает широкими возможностями для управления системой, эксфильтрация данных и выполнение атак, что усложняет усилия по обнаружению.
-----

Недавний анализ, проведенный FortiGuard Labs, выявил сложную кампанию фишинг, которая предоставляет новый вариант XWorm RAT, используя различные методы и методологии для выполнения своей полезной нагрузки. Атака начинается с фишинг-сообщений электронной почты, содержащих вредоносные вложения Excel, разработанные для того, чтобы казаться законными с использованием распространенных бизнес-тем. Эти электронные письма составлены на нескольких языках, чтобы максимально повысить их эффективность в отношении различных целей.

В основе этой атаки является использование уязвимости CVE-2018-0802, известной уязвимости в редакторе Microsoft уравнение, которое позволяет удаленное выполнение кода. Успешная эксплуатация позволяет злоумышленнику запустить вредоносный HTA-файл (HTML-приложение). Этот файл использует языки сценариев, такие как VBScript или JScript, чтобы облегчить целей злоумышленника. После этого, услуги инфекции предполагает выполнение fileless .Объем модуля в процессе powershell.exe . Этот модуль использует Process Hollowing, позволяя вредоносное ПО для загрузки в другом процессе, при этом избегая обнаружения.

Как только полезная нагрузка XWorm активирована, она начинает взаимодействовать с сервером командования и контроля (C2). Вредоносное ПО шифрует свой сетевой трафик с помощью алгоритма AES, гарантируя, что его коммуникации скрыты от средств сетевого мониторинга. XWorm RAT оснащен обширной функциональностью, которая включает в себя возможности управления системой, эксфильтрация данных и выполнение атак. В частности, он может извлекать системную информацию, фиксировать нажатия клавиш, управлять различными устройствами ввода и вывода, запускать файлы и даже выполнять DDoS-атаки и программы-вымогатели.

Более того, XWorm предоставляет широкие возможности управления зараженным хостом, позволяя ему перезапускать, завершать работу или обновлять RAT из скомпрометированной системы. Он также может манипулировать системными ресурсами, такими как реестр Windows, запущенные процессы и Системные службы. RAT поддерживает расширенные функциональные возможности, такие как обратный прокси-сервер, ведение журнала нажатий клавиш и связь между злоумышленником и жертвой, что еще больше усложняет усилия по обнаружению и устранению неполадок.

Таким образом, кампания XWorm иллюстрирует современный ландшафт угроз, в котором многоуровневые стратегии фишинг, использование существующих уязвимостей и сложные функциональные возможности вредоносное ПО объединяются для создания высокоэффективного инструментария для кибератакующих. Эта кампания не только подчеркивает важность тактики социальной инженерии, но и настоятельную необходимость постоянной бдительности в отношении таких развивающихся угроз.

#ParsedReport #CompletenessLow
10-02-2026

Socelars Malware Targets Windows Systems to Steal Sensitive Data

https://gbhackers.com/socelars-malware-targets-windows-systems/

Report completeness: Low

Threats:
Socelar
Icmluautil_tool

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1555.003

IOCs:
File: 1
Domain: 1

Soft:
Twitter, WhatsApp, Chrome, Firefox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Socelars - это троян, крадущий информацию, нацеленный на системы Windows, который фокусируется на скрытом извлечении данных, а не на повреждении файлов. Он использует различные методы несанкционированного доступа для сбора конфиденциальной информации, такой как учетные данные и файлы cookie, через веб-браузеры. Методы скрытого проникновения вредоносное ПО указывают на сложный замысел, направленный на сбор ценных пользовательских данных для дальнейшего использования или незаконной продажи.
-----

Socelars - это троян, крадущий информацию, специально разработанный для атак на операционные системы Windows. В отличие от традиционного вредоносное ПО, которое может стремиться испортить файлы, Socelars действует более скрытно, сосредоточившись в первую очередь на извлечении конфиденциальных данных путем использования доступа через браузер. Он использует различные методы для получения несанкционированного доступа к пользовательским сеансам, позволяя ему получать учетные данные, файлы cookie и другую важную информацию, связанную с онлайн-аккаунтами.

Исследователи отметили, что Socelars использует скрытые методы для проникновения в системы и избежания обнаружения, что свидетельствует об изощренности ее разработки. Это вредоносное ПО использует преимущества широко используемых веб-браузеров, указывая на то, что пользователи, которые занимаются различными онлайн-активностями, могут подвергаться риску без адекватных мер защиты. Основной целью Socelars является сбор ценных пользовательских данных, которые могут быть использованы при последующих атаках или проданы на нелегальных рынках.

#ParsedReport #CompletenessLow
10-02-2026

Storm-2603 Exploits CVE-2026-23760 to Stage Warlock Ransomware

https://reliaquest.com/blog/threat-spotlight-storm-2603-exploits-CVE-2026-23760-to-stage-warlock-ransomware/

Report completeness: Low

Actors/Campaigns:
Storm-2603

Threats:
X2anylock
Lolbin_technique
Blackbasta

Victims:
Email service providers, Organizations using smartermail

Geo:
China

CVEs:
CVE-2026-23760 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)

CVE-2026-24423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1102, T1105, T1190, T1218.007, T1569.002

IOCs:
File: 3
Domain: 3
IP: 5

Soft:
Velociraptor, Windows Installer, Supabase

Functions:
ConnectToHub

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-2603 использует уязвимость CVE-2026-23760 в SmarterMail для развертывания Warlock Ransomware, позволяющей им обходить аутентификацию через API сброса пароля. После успешного получения доступа они используют законные процессы для выполнения кода и загрузки Velociraptor для операций управление, устанавливая постоянный Backdoor. Одновременно используется CVE-2026-24423, что предполагает более широкое нацеливание на уязвимые системы со стороны нескольких злоумышленник.
-----

Была идентифицирована преступная хакерская группировка, известная как Storm-2603, использующая уязвимость CVE-2026-23760 для развертывания Warlock ransomware. Эта уязвимость, присутствующая в SmarterMail, позволяет злоумышленникам обходить аутентификацию через уязвимость в API сброса пароля, когда системе не удается должным образом подтвердить старый пароль. Следовательно, злоумышленники могут сбросить пароль администратора без аутентификации. Чтобы уменьшить эту угрозу, организациям рекомендуется перейти на SmarterMail Build 9511 или более позднюю версию и изолировать почтовые серверы, чтобы предотвратить перемещение внутри компании.

Начальная фаза атаки начинается с использования вышеупомянутой уязвимости. Получив доступ к почтовому серверу, злоумышленники используют функцию SmarterMail, которая позволяет подключать тома, чтобы получить контроль над базовым сервером Windows, что позволяет им выполнять произвольный код. Это выполнение облегчается использованием законных функций установщика Windows для загрузки вредоносной полезной нагрузки, помеченной как v4.msi, из Supabase, облачного сервиса, который предназначен для установки Velociraptor — законного инструмента криминалистической экспертизы, который злоумышленники будут использовать для операций управление (C2), смешиваясь с обычными административная деятельность.

Продолжая цепочку кибератак, как только достигается Удаленное Выполнение Кода (RCE), использование Velociraptor создает постоянный бэкдор для дальнейших действий, кульминацией которых, вероятно, станет развертывание Warlock ransomware. Поведение Storm-2603 демонстрирует сложный подход, который использует законные инструменты и административные возможности, чтобы избежать обнаружения. Кроме того, имеются свидетельства одновременных попыток эксплуатации, связанных с CVE-2026-24423, что указывает на то, что несколько злоумышленник могут быть нацелены на аналогичные системы.

Для организаций крайне важно действовать решительно, устраняя как выявленные уязвимости, так и внедряя средства защиты от перемещение внутри компании и коммуникации управление - "на вынос". Примечательно, что скорость, с которой Storm-2603 может использовать эти уязвимости, указывает на ограниченное время реагирования организаций, подчеркивая важность упреждающих мер.

Критически важным для защиты от атак такого типа является способность обнаруживать необычную активность со стороны законных процессов — в частности, отслеживать активность msiexec и несанкционированные подключения на этапе подготовки. Такие превентивные меры могут значительно затруднить или сорвать усилия по внедрению программ-вымогателей до их эскалации.

#ParsedReport #CompletenessHigh
11-02-2026

A Peek Into Muddled Libras Operational Playbook

https://unit42.paloaltonetworks.com/muddled-libra-ops-playbook/

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: information_theft)

Threats:
Smishing_technique
Chisel_tool
Adrecon_tool
Lolbin_technique
Ad_explorer_tool

Victims:
Business process outsourcing, Managed service providers, Call centers, Organizations

Industry:
Bp_outsourcing

Geo:
American, Korea, Australia, Middle east, Japan, Asia, India

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1190, T1566, T1567.002, T1583.003, T1591.002, T1598.001, T1598.003

IOCs:
File: 8
Domain: 9
Hash: 6
IP: 2

Soft:
Active Directory, SysInternals, Hyper-V, MSSQL, Dropbox, PsExec, Outlook, Microsoft Defender, S3 Browser, ESXi, have more...

Algorithms:
zip, sha256

Languages:
powershell

Links:
https://github.com/adrecon/ADRecon
https://github.com/jpillora/chisel
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года было обнаружено, что преступная хакерская группировка Muddled Libra (также известная как Scattered Spider или UNC3944) использует методы социальной инженерии, такие как smishing и вишинг, для компрометация организаций, включая колл-центры и поставщиков услуг. Получив доступ, они закрепились, создав вредоносную виртуальную машину в сети жертвы и использовали ее для оперативной деятельности, полагаясь на учетную запись локального администратора. Их стратегия атак подчеркивает использование человеческого фактора, а не сложного вредоносное ПО, при этом для эксфильтрация данных используются онлайн-Облачные сервисы.
-----

В сентябре 2025 года расследование, проведенное подразделением 42, раскрыло операции, связанные с преступная хакерская группировка Muddled Libra, также известная как Scattered Spider или UNC3944. Анализ вредоносной виртуальной машины (ВМ), использованной во время недавнего инцидента с безопасностью, позволил получить представление о тактике группы, в частности об их методологии получения и поддержания доступа к организациям, на которые нацелен.

Muddled Libra использует различные методы социальной инженерии, преимущественно smishing и вишинг, для проникновения в организации. Их операции не ограничиваются прямыми целями, но часто распространяются на колл-центры и сторонних поставщиков услуг, таких как фирмы по аутсорсингу бизнес-процессов (BPO) и поставщики управляемых услуг (MSP), что расширяет область их атак и потенциальные цели.

После первоначального взлома группы они довольно быстро закрепились в сети жертвы. Примерно через два часа после того, как был получен первоначальный доступ, Muddled Libra обратилась к порталу vSphere цели, чтобы создать новую виртуальную машину с именем "Новая виртуальная машина". Эта недавно созданная виртуальная машина послужила плацдармом для атаки, причем злоумышленники использовали учетную запись локального администратора для инициирования дальнейших оперативных действий.

Воздействие операций по вторжению Muddled Libra's было значительным и затронуло многочисленные организации по всему миру. Примечательно, что их успех обусловлен не использованием сложного вредоносное ПО или новых уязвимостей; скорее, они используют человеческий фактор, используя устоявшиеся методы социальной инженерии для обхода мер безопасности.

Хотя было идентифицировано, что различные онлайн-сервисы облачного хранения использовались во время атаки для эксфильтрация данных, идентифицированные файлы не были вредоносными по своей природе, но служили индикаторами активности атаки. Атака также включала в себя связь и взаимодействие с многочисленными IP-адресами, связанными с облачными платформами хранения данных, включая Dropbox и другие, которые сыграли определенную роль в перемещении и хранении отфильтрованных данных.

Тактика, продемонстрированная Muddled Libra, подчеркивает острую необходимость в осведомленности и обучении для снижения рисков, связанных с атаками социальной инженерии, подчеркивая, что человеческая ошибка часто остается наиболее уязвимым местом в защите Кибербезопасность.

#ParsedReport #CompletenessLow
11-02-2026

Emerging Ransomware BQTLock& GREENBLOOD Disrupt Businessesin Minutes

https://any.run/cybersecurity-blog/emerging-ransomware-bqtlock-greenblood/

Report completeness: Low

Threats:
Bqtlock
Greenblood
Uac_bypass_technique
Remcos_rat
Process_injection_technique

Victims:
Businesses

Industry:
Healthcare, Financial

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 2

Soft:
Linux, Android

Platforms:
intel