#ParsedReport #CompletenessHigh
10-02-2026

Deep Dive into New XWorm Campaign Utilizing Multiple-Themed Phishing Emails

https://www.fortinet.com/blog/threat-research/deep-dive-into-new-xworm-campaign-utilizing-multiple-themed-phishing-emails

Report completeness: High

Threats:
Xworm_rat
Process_hollowing_technique
Agent_tesla
Remcos_rat
Drakcloud
Deepsea_obfuscator_tool
Hvnc_tool

Victims:
General users, Business users

Industry:
Financial, E-commerce

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1020, T1021, T1027, T1036, T1048.003, T1055.012, T1056.001, T1057, T1059.001, have more...

IOCs:
File: 12
Url: 5
Registry: 1
Domain: 1
Hash: 4

Soft:
NET Framework, Windows registry, Windows Defender

Algorithms:
aes, base64, sha256

Functions:
TaskScheduler-related, Main, RemovePlugins

Win API:
WinHttpConnect, ShellExecuteExW, CreateProcessA, WinHttpOpen, WinHttpOpenRequest, WinHttpSendRequest, WinHttpReceiveResponse, WinHttpQueryDataAvailable, WinHttpReadData, WriteFile, have more...

Win Services:
WebClient

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiGuard Labs сообщила об изощренной кампании по фишинг-атаке, в ходе которой был внедрен новый вариант XWorm RAT, использующий вредоносные вложения Excel в фишинг-письмах, созданных на нескольких языках. Атака использует CVE-2018-0802, обеспечивая Удаленное Выполнение Кода и используя модуль .NET без файлов, чтобы избежать обнаружения. После активации XWorm взаимодействует с сервером C2, используя зашифрованный трафик, и обладает широкими возможностями для управления системой, эксфильтрация данных и выполнение атак, что усложняет усилия по обнаружению.
-----

Недавний анализ, проведенный FortiGuard Labs, выявил сложную кампанию фишинг, которая предоставляет новый вариант XWorm RAT, используя различные методы и методологии для выполнения своей полезной нагрузки. Атака начинается с фишинг-сообщений электронной почты, содержащих вредоносные вложения Excel, разработанные для того, чтобы казаться законными с использованием распространенных бизнес-тем. Эти электронные письма составлены на нескольких языках, чтобы максимально повысить их эффективность в отношении различных целей.

В основе этой атаки является использование уязвимости CVE-2018-0802, известной уязвимости в редакторе Microsoft уравнение, которое позволяет удаленное выполнение кода. Успешная эксплуатация позволяет злоумышленнику запустить вредоносный HTA-файл (HTML-приложение). Этот файл использует языки сценариев, такие как VBScript или JScript, чтобы облегчить целей злоумышленника. После этого, услуги инфекции предполагает выполнение fileless .Объем модуля в процессе powershell.exe . Этот модуль использует Process Hollowing, позволяя вредоносное ПО для загрузки в другом процессе, при этом избегая обнаружения.

Как только полезная нагрузка XWorm активирована, она начинает взаимодействовать с сервером командования и контроля (C2). Вредоносное ПО шифрует свой сетевой трафик с помощью алгоритма AES, гарантируя, что его коммуникации скрыты от средств сетевого мониторинга. XWorm RAT оснащен обширной функциональностью, которая включает в себя возможности управления системой, эксфильтрация данных и выполнение атак. В частности, он может извлекать системную информацию, фиксировать нажатия клавиш, управлять различными устройствами ввода и вывода, запускать файлы и даже выполнять DDoS-атаки и программы-вымогатели.

Более того, XWorm предоставляет широкие возможности управления зараженным хостом, позволяя ему перезапускать, завершать работу или обновлять RAT из скомпрометированной системы. Он также может манипулировать системными ресурсами, такими как реестр Windows, запущенные процессы и Системные службы. RAT поддерживает расширенные функциональные возможности, такие как обратный прокси-сервер, ведение журнала нажатий клавиш и связь между злоумышленником и жертвой, что еще больше усложняет усилия по обнаружению и устранению неполадок.

Таким образом, кампания XWorm иллюстрирует современный ландшафт угроз, в котором многоуровневые стратегии фишинг, использование существующих уязвимостей и сложные функциональные возможности вредоносное ПО объединяются для создания высокоэффективного инструментария для кибератакующих. Эта кампания не только подчеркивает важность тактики социальной инженерии, но и настоятельную необходимость постоянной бдительности в отношении таких развивающихся угроз.

#ParsedReport #CompletenessLow
10-02-2026

Socelars Malware Targets Windows Systems to Steal Sensitive Data

https://gbhackers.com/socelars-malware-targets-windows-systems/

Report completeness: Low

Threats:
Socelar
Icmluautil_tool

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1555.003

IOCs:
File: 1
Domain: 1

Soft:
Twitter, WhatsApp, Chrome, Firefox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Socelars - это троян, крадущий информацию, нацеленный на системы Windows, который фокусируется на скрытом извлечении данных, а не на повреждении файлов. Он использует различные методы несанкционированного доступа для сбора конфиденциальной информации, такой как учетные данные и файлы cookie, через веб-браузеры. Методы скрытого проникновения вредоносное ПО указывают на сложный замысел, направленный на сбор ценных пользовательских данных для дальнейшего использования или незаконной продажи.
-----

Socelars - это троян, крадущий информацию, специально разработанный для атак на операционные системы Windows. В отличие от традиционного вредоносное ПО, которое может стремиться испортить файлы, Socelars действует более скрытно, сосредоточившись в первую очередь на извлечении конфиденциальных данных путем использования доступа через браузер. Он использует различные методы для получения несанкционированного доступа к пользовательским сеансам, позволяя ему получать учетные данные, файлы cookie и другую важную информацию, связанную с онлайн-аккаунтами.

Исследователи отметили, что Socelars использует скрытые методы для проникновения в системы и избежания обнаружения, что свидетельствует об изощренности ее разработки. Это вредоносное ПО использует преимущества широко используемых веб-браузеров, указывая на то, что пользователи, которые занимаются различными онлайн-активностями, могут подвергаться риску без адекватных мер защиты. Основной целью Socelars является сбор ценных пользовательских данных, которые могут быть использованы при последующих атаках или проданы на нелегальных рынках.

#ParsedReport #CompletenessLow
10-02-2026

Storm-2603 Exploits CVE-2026-23760 to Stage Warlock Ransomware

https://reliaquest.com/blog/threat-spotlight-storm-2603-exploits-CVE-2026-23760-to-stage-warlock-ransomware/

Report completeness: Low

Actors/Campaigns:
Storm-2603

Threats:
X2anylock
Lolbin_technique
Blackbasta

Victims:
Email service providers, Organizations using smartermail

Geo:
China

CVEs:
CVE-2026-23760 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)

CVE-2026-24423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1102, T1105, T1190, T1218.007, T1569.002

IOCs:
File: 3
Domain: 3
IP: 5

Soft:
Velociraptor, Windows Installer, Supabase

Functions:
ConnectToHub

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-2603 использует уязвимость CVE-2026-23760 в SmarterMail для развертывания Warlock Ransomware, позволяющей им обходить аутентификацию через API сброса пароля. После успешного получения доступа они используют законные процессы для выполнения кода и загрузки Velociraptor для операций управление, устанавливая постоянный Backdoor. Одновременно используется CVE-2026-24423, что предполагает более широкое нацеливание на уязвимые системы со стороны нескольких злоумышленник.
-----

Была идентифицирована преступная хакерская группировка, известная как Storm-2603, использующая уязвимость CVE-2026-23760 для развертывания Warlock ransomware. Эта уязвимость, присутствующая в SmarterMail, позволяет злоумышленникам обходить аутентификацию через уязвимость в API сброса пароля, когда системе не удается должным образом подтвердить старый пароль. Следовательно, злоумышленники могут сбросить пароль администратора без аутентификации. Чтобы уменьшить эту угрозу, организациям рекомендуется перейти на SmarterMail Build 9511 или более позднюю версию и изолировать почтовые серверы, чтобы предотвратить перемещение внутри компании.

Начальная фаза атаки начинается с использования вышеупомянутой уязвимости. Получив доступ к почтовому серверу, злоумышленники используют функцию SmarterMail, которая позволяет подключать тома, чтобы получить контроль над базовым сервером Windows, что позволяет им выполнять произвольный код. Это выполнение облегчается использованием законных функций установщика Windows для загрузки вредоносной полезной нагрузки, помеченной как v4.msi, из Supabase, облачного сервиса, который предназначен для установки Velociraptor — законного инструмента криминалистической экспертизы, который злоумышленники будут использовать для операций управление (C2), смешиваясь с обычными административная деятельность.

Продолжая цепочку кибератак, как только достигается Удаленное Выполнение Кода (RCE), использование Velociraptor создает постоянный бэкдор для дальнейших действий, кульминацией которых, вероятно, станет развертывание Warlock ransomware. Поведение Storm-2603 демонстрирует сложный подход, который использует законные инструменты и административные возможности, чтобы избежать обнаружения. Кроме того, имеются свидетельства одновременных попыток эксплуатации, связанных с CVE-2026-24423, что указывает на то, что несколько злоумышленник могут быть нацелены на аналогичные системы.

Для организаций крайне важно действовать решительно, устраняя как выявленные уязвимости, так и внедряя средства защиты от перемещение внутри компании и коммуникации управление - "на вынос". Примечательно, что скорость, с которой Storm-2603 может использовать эти уязвимости, указывает на ограниченное время реагирования организаций, подчеркивая важность упреждающих мер.

Критически важным для защиты от атак такого типа является способность обнаруживать необычную активность со стороны законных процессов — в частности, отслеживать активность msiexec и несанкционированные подключения на этапе подготовки. Такие превентивные меры могут значительно затруднить или сорвать усилия по внедрению программ-вымогателей до их эскалации.

#ParsedReport #CompletenessHigh
11-02-2026

A Peek Into Muddled Libras Operational Playbook

https://unit42.paloaltonetworks.com/muddled-libra-ops-playbook/

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: information_theft)

Threats:
Smishing_technique
Chisel_tool
Adrecon_tool
Lolbin_technique
Ad_explorer_tool

Victims:
Business process outsourcing, Managed service providers, Call centers, Organizations

Industry:
Bp_outsourcing

Geo:
American, Korea, Australia, Middle east, Japan, Asia, India

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1190, T1566, T1567.002, T1583.003, T1591.002, T1598.001, T1598.003

IOCs:
File: 8
Domain: 9
Hash: 6
IP: 2

Soft:
Active Directory, SysInternals, Hyper-V, MSSQL, Dropbox, PsExec, Outlook, Microsoft Defender, S3 Browser, ESXi, have more...

Algorithms:
zip, sha256

Languages:
powershell

Links:
https://github.com/adrecon/ADRecon
https://github.com/jpillora/chisel
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года было обнаружено, что преступная хакерская группировка Muddled Libra (также известная как Scattered Spider или UNC3944) использует методы социальной инженерии, такие как smishing и вишинг, для компрометация организаций, включая колл-центры и поставщиков услуг. Получив доступ, они закрепились, создав вредоносную виртуальную машину в сети жертвы и использовали ее для оперативной деятельности, полагаясь на учетную запись локального администратора. Их стратегия атак подчеркивает использование человеческого фактора, а не сложного вредоносное ПО, при этом для эксфильтрация данных используются онлайн-Облачные сервисы.
-----

В сентябре 2025 года расследование, проведенное подразделением 42, раскрыло операции, связанные с преступная хакерская группировка Muddled Libra, также известная как Scattered Spider или UNC3944. Анализ вредоносной виртуальной машины (ВМ), использованной во время недавнего инцидента с безопасностью, позволил получить представление о тактике группы, в частности об их методологии получения и поддержания доступа к организациям, на которые нацелен.

Muddled Libra использует различные методы социальной инженерии, преимущественно smishing и вишинг, для проникновения в организации. Их операции не ограничиваются прямыми целями, но часто распространяются на колл-центры и сторонних поставщиков услуг, таких как фирмы по аутсорсингу бизнес-процессов (BPO) и поставщики управляемых услуг (MSP), что расширяет область их атак и потенциальные цели.

После первоначального взлома группы они довольно быстро закрепились в сети жертвы. Примерно через два часа после того, как был получен первоначальный доступ, Muddled Libra обратилась к порталу vSphere цели, чтобы создать новую виртуальную машину с именем "Новая виртуальная машина". Эта недавно созданная виртуальная машина послужила плацдармом для атаки, причем злоумышленники использовали учетную запись локального администратора для инициирования дальнейших оперативных действий.

Воздействие операций по вторжению Muddled Libra's было значительным и затронуло многочисленные организации по всему миру. Примечательно, что их успех обусловлен не использованием сложного вредоносное ПО или новых уязвимостей; скорее, они используют человеческий фактор, используя устоявшиеся методы социальной инженерии для обхода мер безопасности.

Хотя было идентифицировано, что различные онлайн-сервисы облачного хранения использовались во время атаки для эксфильтрация данных, идентифицированные файлы не были вредоносными по своей природе, но служили индикаторами активности атаки. Атака также включала в себя связь и взаимодействие с многочисленными IP-адресами, связанными с облачными платформами хранения данных, включая Dropbox и другие, которые сыграли определенную роль в перемещении и хранении отфильтрованных данных.

Тактика, продемонстрированная Muddled Libra, подчеркивает острую необходимость в осведомленности и обучении для снижения рисков, связанных с атаками социальной инженерии, подчеркивая, что человеческая ошибка часто остается наиболее уязвимым местом в защите Кибербезопасность.

#ParsedReport #CompletenessLow
11-02-2026

Emerging Ransomware BQTLock& GREENBLOOD Disrupt Businessesin Minutes

https://any.run/cybersecurity-blog/emerging-ransomware-bqtlock-greenblood/

Report completeness: Low

Threats:
Bqtlock
Greenblood
Uac_bypass_technique
Remcos_rat
Process_injection_technique

Victims:
Businesses

Industry:
Healthcare, Financial

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 2

Soft:
Linux, Android

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BQTLock и GREENBLOOD - это две новые разновидности программ-вымогателей, которые используют скрытые методы для быстрого нанесения ущерба бизнесу. BQTLock скрывает свои действия в рамках обычных процессов и фокусируется на повышение привилегий и краже данных, в то время как GREENBLOOD, написанный на Go, отдает приоритет скорости благодаря своим механизмам самоудаления и быстрому шифрованию с использованием ChaCha8. Оба варианта программ-вымогателей предполагают немедленное оперативное воздействие и раннюю скрытность, что усложняет реагирование на инциденты для служб безопасности.
-----

BQTLock и GREENBLOOD - это новые разновидности программ-вымогателей, которые представляют значительную угрозу для бизнеса благодаря своим скрытым методам работы, направленным на быстрое увеличение ущерба. BQTLock работает, скрываясь в рамках обычных системных действий, повышая привилегии без обнаружения и готовясь к масштабной краже данных до того, как может быть инициирован ответ. Его способность встраиваться в доверенные процессы позволяет ему оставаться незамеченным до тех пор, пока не будет нанесен значительный ущерб.

Атака BQTLock была проанализирована с использованием поведенческой аналитики, выявившей динамику ее выполнения в среде ANY.RUN sandbox, что позволило получить существенное представление о ее операционных схемах. Напротив, GREENBLOOD - это более агрессивный вариант программы-вымогателя, написанный на Go, подчеркивающий скорость шифрования файлов и уничтожение следов после выполнения, тем самым усиливая давление на нацелен-ные организации. Эта программа-вымогатель использует быстрый метод шифрования ChaCha8 и предназначена для запуска механизмов самоудаления, что еще больше усложняет усилия по реагированию на инциденты.

Оба варианта программ-вымогателей отдают приоритет ранней скрытности и немедленному оперативному воздействие, в отличие от традиционной тактики программ-вымогателей, которая обычно включает отложенное шифрование или видимые признаки компрометация. Тактика BQTLock's включает в себя закрепление и вторичный акцент на эксфильтрация данных перед шифрованием файлов, в то время как GREENBLOOD сжимает окно ответа, что создает существенные проблемы для служб безопасности — оба варианта созданы для того, чтобы нарушить работу бизнеса в течение нескольких минут после развертывания.

Для борьбы с этими современными программами-вымогателями, операционный центр безопасности (SoC), у команды должны разработать действенные меры обнаружения, оперативно подтвердить вымогателей поведения до распространения шифрования. Стратегия должна включать активную защиту подход способен раннего выявления, включенной в реальном времени поведенческих показателей. В конечном счете, поддержание органов безопасности со свежими интеллект и поведенческие сигналы, имеет решающее значение для эффективной защиты от вымогателей, развивается инфраструктура. Этому может способствовать упрощенная интеграция с информационными каналами об угрозах, которые позволяют оперативно блокировать повторяющиеся атаки и быстро адаптироваться к меняющейся тактике угрожающих актор.

#ParsedReport #CompletenessMedium
11-02-2026

The game is over: when free comes at too high a price. What we know about RenEngine

https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/

Report completeness: Medium

Threats:
Renengine
Lumma_stealer
Acr_stealer
Hijackloader
Rshell
Penguish
Vidar_stealer

Victims:
Consumers, Gamers, Software pirates

Industry:
Entertainment

Geo:
Turkey, Brazil, Russia, Germany, Spain

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1574.002

IOCs:
File: 15
Hash: 4
Url: 22

Soft:
process explorer

Algorithms:
xor

Win API:
ZwCreateSection, ZwMapViewOfSection, ZwResumeThread

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RenEngine - это изощренное вредоносное ПО, замаскированное под игровые читы и пиратское программное обеспечение, впервые распространенное в марте 2025 года через игровой веб-сайт, подвергшийся компрометация. Он использует HijackLoader, который активирует вредоносную полезную нагрузку путем перезаписи dbghelp.dll библиотека в памяти с расшифрованным шелл-кодом из gayal.asp, поддерживаемая cc32290mt.dll . Злоумышленники расширили свои методы распространения, включив поддельные сайты, предлагающие пиратское программное обеспечение, что подчеркивает глобальное воздействие вредоносное ПО и его адаптивность.
-----

RenEngine стал заметной разновидностью вредоносное ПО, распространяемой главным образом под видом игровых читов и пиратского программного обеспечения. Эта стратегия использует в своих интересах энтузиастов игр, заманивая их загружать, казалось бы, безобидное программное обеспечение, за которым скрывается продвинутое и изощренное вредоносное ПО.

Наблюдаемая тактика распространения вредоносное ПО началась в марте 2025 года, когда злоумышленники использовали игровой веб-сайт с компрометация для распространения RenEngine через взломанную игру. Одним из основных компонентов, участвующих в запуске вредоносное ПО, является HijackLoader, который использует dbghelp.dll системная библиотека в качестве начального "контейнера" для инициирования полезной нагрузки. Это достигается путем перезаписи библиотеки dll в памяти расшифрованным шелл-кодом, полученным из файла с именем gayal.asp, с cc32290mt.dll служащий промежуточной библиотекой. HijackLoader примечателен своей модульностью и универсальностью конфигурации, что позволяет эффективно развертывать целый ряд вредоносных полезных программ. Этот загрузчик был первоначально идентифицирован летом 2023 года, с более подробной технической информацией, доступной конкретным заинтересованным сторонам в области Кибербезопасность.

Злоумышленники также расширили свою тактику, выйдя за рамки просто игровых сайтов, создав множество веб-сайтов, нацеленных на распространение RenEngine, замаскированного под различные типы пиратского программного обеспечения. Например, один из таких мошеннических веб-сайтов утверждает, что предлагает активированную версию графического редактора CorelDRAW, что еще больше расширяет возможности атаки и увеличивает шансы взаимодействия пользователей с вредоносное ПО.

С момента своего появления RenEngine и связанные с ним механизмы доставки затронули пользователей во многих странах, подчеркивая глобальный охват и воздействие этой киберугроза. Распространение RenEngine означает изменение ландшафта угроз, где вредоносное ПО все чаще маскируется под законные и привлекательные загрузки, заставляя пользователей сохранять бдительность в отношении своей онлайн-активности и программного обеспечения, которое они выбирают для установки.

#ParsedReport #CompletenessHigh
11-02-2026

Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker

https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical-dissection-of-their-locker

Report completeness: High

Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Vice_society

Threats:
Gunra
Procmon_tool
Conti
Blackbasta
Qakbot
Rhysida
Akira_ransomware
Qilin_ransomware
Blacksuit_ransomware
Darkrace
Api_obfuscation_technique

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 1
Url: 1
Hash: 2

Soft:
Linux, ESXi, PsExec

Algorithms:
sha256, bcrypt, md5, aes-256-ctr, xor, curve25519, rsa-4096, chacha20

Functions:
CreateFile

Win API:
BCryptGenRandom

Languages:
rust

Platforms:
cross-platform, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4