#ParsedReport #CompletenessLow
10-02-2026
Storm-2603 Exploits CVE-2026-23760 to Stage Warlock Ransomware
https://reliaquest.com/blog/threat-spotlight-storm-2603-exploits-CVE-2026-23760-to-stage-warlock-ransomware/
Report completeness: Low
Actors/Campaigns:
Storm-2603
Threats:
X2anylock
Lolbin_technique
Blackbasta
Victims:
Email service providers, Organizations using smartermail
Geo:
China
CVEs:
CVE-2026-23760 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)
CVE-2026-24423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1036, T1071.001, T1102, T1105, T1190, T1218.007, T1569.002
IOCs:
File: 3
Domain: 3
IP: 5
Soft:
Velociraptor, Windows Installer, Supabase
Functions:
ConnectToHub
10-02-2026
Storm-2603 Exploits CVE-2026-23760 to Stage Warlock Ransomware
https://reliaquest.com/blog/threat-spotlight-storm-2603-exploits-CVE-2026-23760-to-stage-warlock-ransomware/
Report completeness: Low
Actors/Campaigns:
Storm-2603
Threats:
X2anylock
Lolbin_technique
Blackbasta
Victims:
Email service providers, Organizations using smartermail
Geo:
China
CVEs:
CVE-2026-23760 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)
CVE-2026-24423 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9511)
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1102, T1105, T1190, T1218.007, T1569.002
IOCs:
File: 3
Domain: 3
IP: 5
Soft:
Velociraptor, Windows Installer, Supabase
Functions:
ConnectToHub
ReliaQuest
Storm-2603 Exploits CVE-2026-23760 to Stage Warlock Ransomware
ReliaQuest has identified active exploitation of CVE-2026-23760 in SmarterTools SmarterMail email server software, likely by Storm-2603.
CTT Report Hub
#ParsedReport #CompletenessLow 10-02-2026 Storm-2603 Exploits CVE-2026-23760 to Stage Warlock Ransomware https://reliaquest.com/blog/threat-spotlight-storm-2603-exploits-CVE-2026-23760-to-stage-warlock-ransomware/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Storm-2603 использует уязвимость CVE-2026-23760 в SmarterMail для развертывания Warlock Ransomware, позволяющей им обходить аутентификацию через API сброса пароля. После успешного получения доступа они используют законные процессы для выполнения кода и загрузки Velociraptor для операций управление, устанавливая постоянный Backdoor. Одновременно используется CVE-2026-24423, что предполагает более широкое нацеливание на уязвимые системы со стороны нескольких злоумышленник.
-----
Была идентифицирована преступная хакерская группировка, известная как Storm-2603, использующая уязвимость CVE-2026-23760 для развертывания Warlock ransomware. Эта уязвимость, присутствующая в SmarterMail, позволяет злоумышленникам обходить аутентификацию через уязвимость в API сброса пароля, когда системе не удается должным образом подтвердить старый пароль. Следовательно, злоумышленники могут сбросить пароль администратора без аутентификации. Чтобы уменьшить эту угрозу, организациям рекомендуется перейти на SmarterMail Build 9511 или более позднюю версию и изолировать почтовые серверы, чтобы предотвратить перемещение внутри компании.
Начальная фаза атаки начинается с использования вышеупомянутой уязвимости. Получив доступ к почтовому серверу, злоумышленники используют функцию SmarterMail, которая позволяет подключать тома, чтобы получить контроль над базовым сервером Windows, что позволяет им выполнять произвольный код. Это выполнение облегчается использованием законных функций установщика Windows для загрузки вредоносной полезной нагрузки, помеченной как v4.msi, из Supabase, облачного сервиса, который предназначен для установки Velociraptor — законного инструмента криминалистической экспертизы, который злоумышленники будут использовать для операций управление (C2), смешиваясь с обычными административная деятельность.
Продолжая цепочку кибератак, как только достигается Удаленное Выполнение Кода (RCE), использование Velociraptor создает постоянный бэкдор для дальнейших действий, кульминацией которых, вероятно, станет развертывание Warlock ransomware. Поведение Storm-2603 демонстрирует сложный подход, который использует законные инструменты и административные возможности, чтобы избежать обнаружения. Кроме того, имеются свидетельства одновременных попыток эксплуатации, связанных с CVE-2026-24423, что указывает на то, что несколько злоумышленник могут быть нацелены на аналогичные системы.
Для организаций крайне важно действовать решительно, устраняя как выявленные уязвимости, так и внедряя средства защиты от перемещение внутри компании и коммуникации управление - "на вынос". Примечательно, что скорость, с которой Storm-2603 может использовать эти уязвимости, указывает на ограниченное время реагирования организаций, подчеркивая важность упреждающих мер.
Критически важным для защиты от атак такого типа является способность обнаруживать необычную активность со стороны законных процессов — в частности, отслеживать активность msiexec и несанкционированные подключения на этапе подготовки. Такие превентивные меры могут значительно затруднить или сорвать усилия по внедрению программ-вымогателей до их эскалации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Storm-2603 использует уязвимость CVE-2026-23760 в SmarterMail для развертывания Warlock Ransomware, позволяющей им обходить аутентификацию через API сброса пароля. После успешного получения доступа они используют законные процессы для выполнения кода и загрузки Velociraptor для операций управление, устанавливая постоянный Backdoor. Одновременно используется CVE-2026-24423, что предполагает более широкое нацеливание на уязвимые системы со стороны нескольких злоумышленник.
-----
Была идентифицирована преступная хакерская группировка, известная как Storm-2603, использующая уязвимость CVE-2026-23760 для развертывания Warlock ransomware. Эта уязвимость, присутствующая в SmarterMail, позволяет злоумышленникам обходить аутентификацию через уязвимость в API сброса пароля, когда системе не удается должным образом подтвердить старый пароль. Следовательно, злоумышленники могут сбросить пароль администратора без аутентификации. Чтобы уменьшить эту угрозу, организациям рекомендуется перейти на SmarterMail Build 9511 или более позднюю версию и изолировать почтовые серверы, чтобы предотвратить перемещение внутри компании.
Начальная фаза атаки начинается с использования вышеупомянутой уязвимости. Получив доступ к почтовому серверу, злоумышленники используют функцию SmarterMail, которая позволяет подключать тома, чтобы получить контроль над базовым сервером Windows, что позволяет им выполнять произвольный код. Это выполнение облегчается использованием законных функций установщика Windows для загрузки вредоносной полезной нагрузки, помеченной как v4.msi, из Supabase, облачного сервиса, который предназначен для установки Velociraptor — законного инструмента криминалистической экспертизы, который злоумышленники будут использовать для операций управление (C2), смешиваясь с обычными административная деятельность.
Продолжая цепочку кибератак, как только достигается Удаленное Выполнение Кода (RCE), использование Velociraptor создает постоянный бэкдор для дальнейших действий, кульминацией которых, вероятно, станет развертывание Warlock ransomware. Поведение Storm-2603 демонстрирует сложный подход, который использует законные инструменты и административные возможности, чтобы избежать обнаружения. Кроме того, имеются свидетельства одновременных попыток эксплуатации, связанных с CVE-2026-24423, что указывает на то, что несколько злоумышленник могут быть нацелены на аналогичные системы.
Для организаций крайне важно действовать решительно, устраняя как выявленные уязвимости, так и внедряя средства защиты от перемещение внутри компании и коммуникации управление - "на вынос". Примечательно, что скорость, с которой Storm-2603 может использовать эти уязвимости, указывает на ограниченное время реагирования организаций, подчеркивая важность упреждающих мер.
Критически важным для защиты от атак такого типа является способность обнаруживать необычную активность со стороны законных процессов — в частности, отслеживать активность msiexec и несанкционированные подключения на этапе подготовки. Такие превентивные меры могут значительно затруднить или сорвать усилия по внедрению программ-вымогателей до их эскалации.
#ParsedReport #CompletenessHigh
11-02-2026
A Peek Into Muddled Libras Operational Playbook
https://unit42.paloaltonetworks.com/muddled-libra-ops-playbook/
Report completeness: High
Actors/Campaigns:
0ktapus (motivation: information_theft)
Threats:
Smishing_technique
Chisel_tool
Adrecon_tool
Lolbin_technique
Ad_explorer_tool
Victims:
Business process outsourcing, Managed service providers, Call centers, Organizations
Industry:
Bp_outsourcing
Geo:
American, Korea, Australia, Middle east, Japan, Asia, India
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1078, T1105, T1190, T1566, T1567.002, T1583.003, T1591.002, T1598.001, T1598.003
IOCs:
File: 8
Domain: 9
Hash: 6
IP: 2
Soft:
Active Directory, SysInternals, Hyper-V, MSSQL, Dropbox, PsExec, Outlook, Microsoft Defender, S3 Browser, ESXi, have more...
Algorithms:
zip, sha256
Languages:
powershell
Links:
have more...
11-02-2026
A Peek Into Muddled Libras Operational Playbook
https://unit42.paloaltonetworks.com/muddled-libra-ops-playbook/
Report completeness: High
Actors/Campaigns:
0ktapus (motivation: information_theft)
Threats:
Smishing_technique
Chisel_tool
Adrecon_tool
Lolbin_technique
Ad_explorer_tool
Victims:
Business process outsourcing, Managed service providers, Call centers, Organizations
Industry:
Bp_outsourcing
Geo:
American, Korea, Australia, Middle east, Japan, Asia, India
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1105, T1190, T1566, T1567.002, T1583.003, T1591.002, T1598.001, T1598.003
IOCs:
File: 8
Domain: 9
Hash: 6
IP: 2
Soft:
Active Directory, SysInternals, Hyper-V, MSSQL, Dropbox, PsExec, Outlook, Microsoft Defender, S3 Browser, ESXi, have more...
Algorithms:
zip, sha256
Languages:
powershell
Links:
https://github.com/adrecon/ADReconhttps://github.com/jpillora/chiselhave more...
Unit 42
A Peek Into Muddled Libra’s Operational Playbook
Explore the tools Unit 42 found on a Muddled Libra rogue host. Learn how they target domain controllers and use search engines to aid their attacks.
CTT Report Hub
#ParsedReport #CompletenessHigh 11-02-2026 A Peek Into Muddled Libras Operational Playbook https://unit42.paloaltonetworks.com/muddled-libra-ops-playbook/ Report completeness: High Actors/Campaigns: 0ktapus (motivation: information_theft) Threats: Sm…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года было обнаружено, что преступная хакерская группировка Muddled Libra (также известная как Scattered Spider или UNC3944) использует методы социальной инженерии, такие как smishing и вишинг, для компрометация организаций, включая колл-центры и поставщиков услуг. Получив доступ, они закрепились, создав вредоносную виртуальную машину в сети жертвы и использовали ее для оперативной деятельности, полагаясь на учетную запись локального администратора. Их стратегия атак подчеркивает использование человеческого фактора, а не сложного вредоносное ПО, при этом для эксфильтрация данных используются онлайн-Облачные сервисы.
-----
В сентябре 2025 года расследование, проведенное подразделением 42, раскрыло операции, связанные с преступная хакерская группировка Muddled Libra, также известная как Scattered Spider или UNC3944. Анализ вредоносной виртуальной машины (ВМ), использованной во время недавнего инцидента с безопасностью, позволил получить представление о тактике группы, в частности об их методологии получения и поддержания доступа к организациям, на которые нацелен.
Muddled Libra использует различные методы социальной инженерии, преимущественно smishing и вишинг, для проникновения в организации. Их операции не ограничиваются прямыми целями, но часто распространяются на колл-центры и сторонних поставщиков услуг, таких как фирмы по аутсорсингу бизнес-процессов (BPO) и поставщики управляемых услуг (MSP), что расширяет область их атак и потенциальные цели.
После первоначального взлома группы они довольно быстро закрепились в сети жертвы. Примерно через два часа после того, как был получен первоначальный доступ, Muddled Libra обратилась к порталу vSphere цели, чтобы создать новую виртуальную машину с именем "Новая виртуальная машина". Эта недавно созданная виртуальная машина послужила плацдармом для атаки, причем злоумышленники использовали учетную запись локального администратора для инициирования дальнейших оперативных действий.
Воздействие операций по вторжению Muddled Libra's было значительным и затронуло многочисленные организации по всему миру. Примечательно, что их успех обусловлен не использованием сложного вредоносное ПО или новых уязвимостей; скорее, они используют человеческий фактор, используя устоявшиеся методы социальной инженерии для обхода мер безопасности.
Хотя было идентифицировано, что различные онлайн-сервисы облачного хранения использовались во время атаки для эксфильтрация данных, идентифицированные файлы не были вредоносными по своей природе, но служили индикаторами активности атаки. Атака также включала в себя связь и взаимодействие с многочисленными IP-адресами, связанными с облачными платформами хранения данных, включая Dropbox и другие, которые сыграли определенную роль в перемещении и хранении отфильтрованных данных.
Тактика, продемонстрированная Muddled Libra, подчеркивает острую необходимость в осведомленности и обучении для снижения рисков, связанных с атаками социальной инженерии, подчеркивая, что человеческая ошибка часто остается наиболее уязвимым местом в защите Кибербезопасность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года было обнаружено, что преступная хакерская группировка Muddled Libra (также известная как Scattered Spider или UNC3944) использует методы социальной инженерии, такие как smishing и вишинг, для компрометация организаций, включая колл-центры и поставщиков услуг. Получив доступ, они закрепились, создав вредоносную виртуальную машину в сети жертвы и использовали ее для оперативной деятельности, полагаясь на учетную запись локального администратора. Их стратегия атак подчеркивает использование человеческого фактора, а не сложного вредоносное ПО, при этом для эксфильтрация данных используются онлайн-Облачные сервисы.
-----
В сентябре 2025 года расследование, проведенное подразделением 42, раскрыло операции, связанные с преступная хакерская группировка Muddled Libra, также известная как Scattered Spider или UNC3944. Анализ вредоносной виртуальной машины (ВМ), использованной во время недавнего инцидента с безопасностью, позволил получить представление о тактике группы, в частности об их методологии получения и поддержания доступа к организациям, на которые нацелен.
Muddled Libra использует различные методы социальной инженерии, преимущественно smishing и вишинг, для проникновения в организации. Их операции не ограничиваются прямыми целями, но часто распространяются на колл-центры и сторонних поставщиков услуг, таких как фирмы по аутсорсингу бизнес-процессов (BPO) и поставщики управляемых услуг (MSP), что расширяет область их атак и потенциальные цели.
После первоначального взлома группы они довольно быстро закрепились в сети жертвы. Примерно через два часа после того, как был получен первоначальный доступ, Muddled Libra обратилась к порталу vSphere цели, чтобы создать новую виртуальную машину с именем "Новая виртуальная машина". Эта недавно созданная виртуальная машина послужила плацдармом для атаки, причем злоумышленники использовали учетную запись локального администратора для инициирования дальнейших оперативных действий.
Воздействие операций по вторжению Muddled Libra's было значительным и затронуло многочисленные организации по всему миру. Примечательно, что их успех обусловлен не использованием сложного вредоносное ПО или новых уязвимостей; скорее, они используют человеческий фактор, используя устоявшиеся методы социальной инженерии для обхода мер безопасности.
Хотя было идентифицировано, что различные онлайн-сервисы облачного хранения использовались во время атаки для эксфильтрация данных, идентифицированные файлы не были вредоносными по своей природе, но служили индикаторами активности атаки. Атака также включала в себя связь и взаимодействие с многочисленными IP-адресами, связанными с облачными платформами хранения данных, включая Dropbox и другие, которые сыграли определенную роль в перемещении и хранении отфильтрованных данных.
Тактика, продемонстрированная Muddled Libra, подчеркивает острую необходимость в осведомленности и обучении для снижения рисков, связанных с атаками социальной инженерии, подчеркивая, что человеческая ошибка часто остается наиболее уязвимым местом в защите Кибербезопасность.
#ParsedReport #CompletenessLow
11-02-2026
Emerging Ransomware BQTLock& GREENBLOOD Disrupt Businessesin Minutes
https://any.run/cybersecurity-blog/emerging-ransomware-bqtlock-greenblood/
Report completeness: Low
Threats:
Bqtlock
Greenblood
Uac_bypass_technique
Remcos_rat
Process_injection_technique
Victims:
Businesses
Industry:
Healthcare, Financial
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 2
Soft:
Linux, Android
Platforms:
intel
11-02-2026
Emerging Ransomware BQTLock& GREENBLOOD Disrupt Businessesin Minutes
https://any.run/cybersecurity-blog/emerging-ransomware-bqtlock-greenblood/
Report completeness: Low
Threats:
Bqtlock
Greenblood
Uac_bypass_technique
Remcos_rat
Process_injection_technique
Victims:
Businesses
Industry:
Healthcare, Financial
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 2
Soft:
Linux, Android
Platforms:
intel
ANY.RUN's Cybersecurity Blog
Emerging Ransomware Threats: BQTLock and GREENBLOOD Analysis
Explore how BQTLock and GREENBLOOD ransomware operate, why they threaten businesses, and how ANY.RUN helps detect attacks earlier.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2026 Emerging Ransomware BQTLock& GREENBLOOD Disrupt Businessesin Minutes https://any.run/cybersecurity-blog/emerging-ransomware-bqtlock-greenblood/ Report completeness: Low Threats: Bqtlock Greenblood Uac_bypass_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BQTLock и GREENBLOOD - это две новые разновидности программ-вымогателей, которые используют скрытые методы для быстрого нанесения ущерба бизнесу. BQTLock скрывает свои действия в рамках обычных процессов и фокусируется на повышение привилегий и краже данных, в то время как GREENBLOOD, написанный на Go, отдает приоритет скорости благодаря своим механизмам самоудаления и быстрому шифрованию с использованием ChaCha8. Оба варианта программ-вымогателей предполагают немедленное оперативное воздействие и раннюю скрытность, что усложняет реагирование на инциденты для служб безопасности.
-----
BQTLock и GREENBLOOD - это новые разновидности программ-вымогателей, которые представляют значительную угрозу для бизнеса благодаря своим скрытым методам работы, направленным на быстрое увеличение ущерба. BQTLock работает, скрываясь в рамках обычных системных действий, повышая привилегии без обнаружения и готовясь к масштабной краже данных до того, как может быть инициирован ответ. Его способность встраиваться в доверенные процессы позволяет ему оставаться незамеченным до тех пор, пока не будет нанесен значительный ущерб.
Атака BQTLock была проанализирована с использованием поведенческой аналитики, выявившей динамику ее выполнения в среде ANY.RUN sandbox, что позволило получить существенное представление о ее операционных схемах. Напротив, GREENBLOOD - это более агрессивный вариант программы-вымогателя, написанный на Go, подчеркивающий скорость шифрования файлов и уничтожение следов после выполнения, тем самым усиливая давление на нацелен-ные организации. Эта программа-вымогатель использует быстрый метод шифрования ChaCha8 и предназначена для запуска механизмов самоудаления, что еще больше усложняет усилия по реагированию на инциденты.
Оба варианта программ-вымогателей отдают приоритет ранней скрытности и немедленному оперативному воздействие, в отличие от традиционной тактики программ-вымогателей, которая обычно включает отложенное шифрование или видимые признаки компрометация. Тактика BQTLock's включает в себя закрепление и вторичный акцент на эксфильтрация данных перед шифрованием файлов, в то время как GREENBLOOD сжимает окно ответа, что создает существенные проблемы для служб безопасности — оба варианта созданы для того, чтобы нарушить работу бизнеса в течение нескольких минут после развертывания.
Для борьбы с этими современными программами-вымогателями, операционный центр безопасности (SoC), у команды должны разработать действенные меры обнаружения, оперативно подтвердить вымогателей поведения до распространения шифрования. Стратегия должна включать активную защиту подход способен раннего выявления, включенной в реальном времени поведенческих показателей. В конечном счете, поддержание органов безопасности со свежими интеллект и поведенческие сигналы, имеет решающее значение для эффективной защиты от вымогателей, развивается инфраструктура. Этому может способствовать упрощенная интеграция с информационными каналами об угрозах, которые позволяют оперативно блокировать повторяющиеся атаки и быстро адаптироваться к меняющейся тактике угрожающих актор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BQTLock и GREENBLOOD - это две новые разновидности программ-вымогателей, которые используют скрытые методы для быстрого нанесения ущерба бизнесу. BQTLock скрывает свои действия в рамках обычных процессов и фокусируется на повышение привилегий и краже данных, в то время как GREENBLOOD, написанный на Go, отдает приоритет скорости благодаря своим механизмам самоудаления и быстрому шифрованию с использованием ChaCha8. Оба варианта программ-вымогателей предполагают немедленное оперативное воздействие и раннюю скрытность, что усложняет реагирование на инциденты для служб безопасности.
-----
BQTLock и GREENBLOOD - это новые разновидности программ-вымогателей, которые представляют значительную угрозу для бизнеса благодаря своим скрытым методам работы, направленным на быстрое увеличение ущерба. BQTLock работает, скрываясь в рамках обычных системных действий, повышая привилегии без обнаружения и готовясь к масштабной краже данных до того, как может быть инициирован ответ. Его способность встраиваться в доверенные процессы позволяет ему оставаться незамеченным до тех пор, пока не будет нанесен значительный ущерб.
Атака BQTLock была проанализирована с использованием поведенческой аналитики, выявившей динамику ее выполнения в среде ANY.RUN sandbox, что позволило получить существенное представление о ее операционных схемах. Напротив, GREENBLOOD - это более агрессивный вариант программы-вымогателя, написанный на Go, подчеркивающий скорость шифрования файлов и уничтожение следов после выполнения, тем самым усиливая давление на нацелен-ные организации. Эта программа-вымогатель использует быстрый метод шифрования ChaCha8 и предназначена для запуска механизмов самоудаления, что еще больше усложняет усилия по реагированию на инциденты.
Оба варианта программ-вымогателей отдают приоритет ранней скрытности и немедленному оперативному воздействие, в отличие от традиционной тактики программ-вымогателей, которая обычно включает отложенное шифрование или видимые признаки компрометация. Тактика BQTLock's включает в себя закрепление и вторичный акцент на эксфильтрация данных перед шифрованием файлов, в то время как GREENBLOOD сжимает окно ответа, что создает существенные проблемы для служб безопасности — оба варианта созданы для того, чтобы нарушить работу бизнеса в течение нескольких минут после развертывания.
Для борьбы с этими современными программами-вымогателями, операционный центр безопасности (SoC), у команды должны разработать действенные меры обнаружения, оперативно подтвердить вымогателей поведения до распространения шифрования. Стратегия должна включать активную защиту подход способен раннего выявления, включенной в реальном времени поведенческих показателей. В конечном счете, поддержание органов безопасности со свежими интеллект и поведенческие сигналы, имеет решающее значение для эффективной защиты от вымогателей, развивается инфраструктура. Этому может способствовать упрощенная интеграция с информационными каналами об угрозах, которые позволяют оперативно блокировать повторяющиеся атаки и быстро адаптироваться к меняющейся тактике угрожающих актор.
#ParsedReport #CompletenessMedium
11-02-2026
The game is over: when free comes at too high a price. What we know about RenEngine
https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/
Report completeness: Medium
Threats:
Renengine
Lumma_stealer
Acr_stealer
Hijackloader
Rshell
Penguish
Vidar_stealer
Victims:
Consumers, Gamers, Software pirates
Industry:
Entertainment
Geo:
Turkey, Brazil, Russia, Germany, Spain
ChatGPT TTPs:
T1036, T1055, T1574.002
IOCs:
File: 15
Hash: 4
Url: 22
Soft:
process explorer
Algorithms:
xor
Win API:
ZwCreateSection, ZwMapViewOfSection, ZwResumeThread
Languages:
python
11-02-2026
The game is over: when free comes at too high a price. What we know about RenEngine
https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/
Report completeness: Medium
Threats:
Renengine
Lumma_stealer
Acr_stealer
Hijackloader
Rshell
Penguish
Vidar_stealer
Victims:
Consumers, Gamers, Software pirates
Industry:
Entertainment
Geo:
Turkey, Brazil, Russia, Germany, Spain
ChatGPT TTPs:
do not use without manual checkT1036, T1055, T1574.002
IOCs:
File: 15
Hash: 4
Url: 22
Soft:
process explorer
Algorithms:
xor
Win API:
ZwCreateSection, ZwMapViewOfSection, ZwResumeThread
Languages:
python
Securelist
The game is over: when “free” comes at too high a price. What we know about RenEngine
We disclose new details about campaigns involving RenEngine and HijackLoader malware. Since March 2025, attackers have been distributing the Lumma stealer in a complex chain of infections, and in February 2026, ongoing attacks using ACR Stealer became known.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-02-2026 The game is over: when free comes at too high a price. What we know about RenEngine https://securelist.com/renengine-campaign-with-hijackloader-lumma-and-acr-stealer/118891/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RenEngine - это изощренное вредоносное ПО, замаскированное под игровые читы и пиратское программное обеспечение, впервые распространенное в марте 2025 года через игровой веб-сайт, подвергшийся компрометация. Он использует HijackLoader, который активирует вредоносную полезную нагрузку путем перезаписи dbghelp.dll библиотека в памяти с расшифрованным шелл-кодом из gayal.asp, поддерживаемая cc32290mt.dll . Злоумышленники расширили свои методы распространения, включив поддельные сайты, предлагающие пиратское программное обеспечение, что подчеркивает глобальное воздействие вредоносное ПО и его адаптивность.
-----
RenEngine стал заметной разновидностью вредоносное ПО, распространяемой главным образом под видом игровых читов и пиратского программного обеспечения. Эта стратегия использует в своих интересах энтузиастов игр, заманивая их загружать, казалось бы, безобидное программное обеспечение, за которым скрывается продвинутое и изощренное вредоносное ПО.
Наблюдаемая тактика распространения вредоносное ПО началась в марте 2025 года, когда злоумышленники использовали игровой веб-сайт с компрометация для распространения RenEngine через взломанную игру. Одним из основных компонентов, участвующих в запуске вредоносное ПО, является HijackLoader, который использует dbghelp.dll системная библиотека в качестве начального "контейнера" для инициирования полезной нагрузки. Это достигается путем перезаписи библиотеки dll в памяти расшифрованным шелл-кодом, полученным из файла с именем gayal.asp, с cc32290mt.dll служащий промежуточной библиотекой. HijackLoader примечателен своей модульностью и универсальностью конфигурации, что позволяет эффективно развертывать целый ряд вредоносных полезных программ. Этот загрузчик был первоначально идентифицирован летом 2023 года, с более подробной технической информацией, доступной конкретным заинтересованным сторонам в области Кибербезопасность.
Злоумышленники также расширили свою тактику, выйдя за рамки просто игровых сайтов, создав множество веб-сайтов, нацеленных на распространение RenEngine, замаскированного под различные типы пиратского программного обеспечения. Например, один из таких мошеннических веб-сайтов утверждает, что предлагает активированную версию графического редактора CorelDRAW, что еще больше расширяет возможности атаки и увеличивает шансы взаимодействия пользователей с вредоносное ПО.
С момента своего появления RenEngine и связанные с ним механизмы доставки затронули пользователей во многих странах, подчеркивая глобальный охват и воздействие этой киберугроза. Распространение RenEngine означает изменение ландшафта угроз, где вредоносное ПО все чаще маскируется под законные и привлекательные загрузки, заставляя пользователей сохранять бдительность в отношении своей онлайн-активности и программного обеспечения, которое они выбирают для установки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RenEngine - это изощренное вредоносное ПО, замаскированное под игровые читы и пиратское программное обеспечение, впервые распространенное в марте 2025 года через игровой веб-сайт, подвергшийся компрометация. Он использует HijackLoader, который активирует вредоносную полезную нагрузку путем перезаписи dbghelp.dll библиотека в памяти с расшифрованным шелл-кодом из gayal.asp, поддерживаемая cc32290mt.dll . Злоумышленники расширили свои методы распространения, включив поддельные сайты, предлагающие пиратское программное обеспечение, что подчеркивает глобальное воздействие вредоносное ПО и его адаптивность.
-----
RenEngine стал заметной разновидностью вредоносное ПО, распространяемой главным образом под видом игровых читов и пиратского программного обеспечения. Эта стратегия использует в своих интересах энтузиастов игр, заманивая их загружать, казалось бы, безобидное программное обеспечение, за которым скрывается продвинутое и изощренное вредоносное ПО.
Наблюдаемая тактика распространения вредоносное ПО началась в марте 2025 года, когда злоумышленники использовали игровой веб-сайт с компрометация для распространения RenEngine через взломанную игру. Одним из основных компонентов, участвующих в запуске вредоносное ПО, является HijackLoader, который использует dbghelp.dll системная библиотека в качестве начального "контейнера" для инициирования полезной нагрузки. Это достигается путем перезаписи библиотеки dll в памяти расшифрованным шелл-кодом, полученным из файла с именем gayal.asp, с cc32290mt.dll служащий промежуточной библиотекой. HijackLoader примечателен своей модульностью и универсальностью конфигурации, что позволяет эффективно развертывать целый ряд вредоносных полезных программ. Этот загрузчик был первоначально идентифицирован летом 2023 года, с более подробной технической информацией, доступной конкретным заинтересованным сторонам в области Кибербезопасность.
Злоумышленники также расширили свою тактику, выйдя за рамки просто игровых сайтов, создав множество веб-сайтов, нацеленных на распространение RenEngine, замаскированного под различные типы пиратского программного обеспечения. Например, один из таких мошеннических веб-сайтов утверждает, что предлагает активированную версию графического редактора CorelDRAW, что еще больше расширяет возможности атаки и увеличивает шансы взаимодействия пользователей с вредоносное ПО.
С момента своего появления RenEngine и связанные с ним механизмы доставки затронули пользователей во многих странах, подчеркивая глобальный охват и воздействие этой киберугроза. Распространение RenEngine означает изменение ландшафта угроз, где вредоносное ПО все чаще маскируется под законные и привлекательные загрузки, заставляя пользователей сохранять бдительность в отношении своей онлайн-активности и программного обеспечения, которое они выбирают для установки.
#ParsedReport #CompletenessHigh
11-02-2026
Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker
https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical-dissection-of-their-locker
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Vice_society
Threats:
Gunra
Procmon_tool
Conti
Blackbasta
Qakbot
Rhysida
Akira_ransomware
Qilin_ransomware
Blacksuit_ransomware
Darkrace
Api_obfuscation_technique
Industry:
Healthcare
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 1
Url: 1
Hash: 2
Soft:
Linux, ESXi, PsExec
Algorithms:
sha256, bcrypt, md5, aes-256-ctr, xor, curve25519, rsa-4096, chacha20
Functions:
CreateFile
Win API:
BCryptGenRandom
Languages:
rust
Platforms:
cross-platform, x86, arm
11-02-2026
Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker
https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical-dissection-of-their-locker
Report completeness: High
Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Vice_society
Threats:
Gunra
Procmon_tool
Conti
Blackbasta
Qakbot
Rhysida
Akira_ransomware
Qilin_ransomware
Blacksuit_ransomware
Darkrace
Api_obfuscation_technique
Industry:
Healthcare
TTPs:
Tactics: 5
Technics: 9
IOCs:
File: 1
Url: 1
Hash: 2
Soft:
Linux, ESXi, PsExec
Algorithms:
sha256, bcrypt, md5, aes-256-ctr, xor, curve25519, rsa-4096, chacha20
Functions:
CreateFile
Win API:
BCryptGenRandom
Languages:
rust
Platforms:
cross-platform, x86, arm
Cloudsek
Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker | CloudSEK
CloudSEK researchers infiltrated Gunra’s newly launched RaaS affiliate program, gaining access to its live panel and ransomware locker. Our analysis reveals a highly optimized ChaCha20 + RSA-4096 hybrid encryption engine, multi-threaded execution, surgical…
CTT Report Hub
#ParsedReport #CompletenessHigh 11-02-2026 Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Gunra - это программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года с целью расширения своей деятельности с помощью партнерской программы по подбору персонала, которая началась в январе 2026 года на форуме Dark Web. В то время как конкретные технические детали поведения вредоносное ПО остаются нераскрытыми, RaaS обычно включает шифрование файлов и требования выкупа. Программа позволяет менее технически квалифицированным филиалам использовать инфраструктуру и инструменты Gunra's, что свидетельствует о тенденции в области киберугроза в сторону аутсорсинга атак с использованием программ-вымогателей.
-----
Gunra идентифицирована как программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года, а в январе 2026 года на форуме Dark Web была запущена новая программа по набору партнеров. Это развитие событий предполагает организованные усилия по расширению охвата за счет найма аффилированных лиц, которые могут внедрить его программу-вымогатель в обмен на долю выплат выкупа.
Технические детали, касающиеся возможностей Gunra's вредоносное ПО, по-прежнему имеют решающее значение для понимания его воздействие и операционной модели. Хотя конкретные технические характеристики программы-вымогателя не разглашаются, существующие модели RaaS обычно включают шифрование файлов жертвы и требование выплаты выкупа за восстановление доступа. Партнерская программа подразумевает, что Gunra предоставляет инструменты и поддержку аффилированным лицам, позволяя менее технически квалифицированным актор проводить атаки.
Существование такой программы подчеркивает тенденцию в экосистеме киберпреступников к аутсорсингу развертывания программ-вымогателей для повышения эффективности и прибыли. Филиалы могут использовать инфраструктуру Gunra's, которая может включать в себя методы шифрования, платежные механизмы и оперативные меры безопасности, позволяющие избежать обнаружения.
Таким образом, появление Gunra RaaS указывает на тревожную эволюцию в ландшафте киберугроза, усиливая необходимость постоянной бдительности в отношении атак, связанных с программами-вымогателями, и тактики вербовки, используемой киберпреступниками в Dark Web.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Gunra - это программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года с целью расширения своей деятельности с помощью партнерской программы по подбору персонала, которая началась в январе 2026 года на форуме Dark Web. В то время как конкретные технические детали поведения вредоносное ПО остаются нераскрытыми, RaaS обычно включает шифрование файлов и требования выкупа. Программа позволяет менее технически квалифицированным филиалам использовать инфраструктуру и инструменты Gunra's, что свидетельствует о тенденции в области киберугроза в сторону аутсорсинга атак с использованием программ-вымогателей.
-----
Gunra идентифицирована как программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года, а в январе 2026 года на форуме Dark Web была запущена новая программа по набору партнеров. Это развитие событий предполагает организованные усилия по расширению охвата за счет найма аффилированных лиц, которые могут внедрить его программу-вымогатель в обмен на долю выплат выкупа.
Технические детали, касающиеся возможностей Gunra's вредоносное ПО, по-прежнему имеют решающее значение для понимания его воздействие и операционной модели. Хотя конкретные технические характеристики программы-вымогателя не разглашаются, существующие модели RaaS обычно включают шифрование файлов жертвы и требование выплаты выкупа за восстановление доступа. Партнерская программа подразумевает, что Gunra предоставляет инструменты и поддержку аффилированным лицам, позволяя менее технически квалифицированным актор проводить атаки.
Существование такой программы подчеркивает тенденцию в экосистеме киберпреступников к аутсорсингу развертывания программ-вымогателей для повышения эффективности и прибыли. Филиалы могут использовать инфраструктуру Gunra's, которая может включать в себя методы шифрования, платежные механизмы и оперативные меры безопасности, позволяющие избежать обнаружения.
Таким образом, появление Gunra RaaS указывает на тревожную эволюцию в ландшафте киберугроза, усиливая необходимость постоянной бдительности в отношении атак, связанных с программами-вымогателями, и тактики вербовки, используемой киберпреступниками в Dark Web.
#ParsedReport #CompletenessLow
11-02-2026
New threat actor, UAT-9921, leverages VoidLink framework in campaigns
https://blog.talosintelligence.com/voidlink/
Report completeness: Low
Actors/Campaigns:
Uat-9921
Threats:
Voidlink
Cobalt_strike_tool
Manjusaka_tool
Alchimist_tool
Supershell
Fscan_tool
Sliver_c2_tool
Dll_sideloading_technique
Industry:
Iot, Critical_infrastructure
Geo:
Chinese
Soft:
Linux, MacOS, Docker
Languages:
java, ziglang, golang
11-02-2026
New threat actor, UAT-9921, leverages VoidLink framework in campaigns
https://blog.talosintelligence.com/voidlink/
Report completeness: Low
Actors/Campaigns:
Uat-9921
Threats:
Voidlink
Cobalt_strike_tool
Manjusaka_tool
Alchimist_tool
Supershell
Fscan_tool
Sliver_c2_tool
Dll_sideloading_technique
Industry:
Iot, Critical_infrastructure
Geo:
Chinese
Soft:
Linux, MacOS, Docker
Languages:
java, ziglang, golang
Cisco Talos
New threat actor, UAT-9921, leverages VoidLink framework in campaigns
Cisco Talos recently discovered a new threat actor, UAT-9221, leveraging VoidLink in campaigns. Their activities may go as far back as 2019, even without VoidLink.
CTT Report Hub
#ParsedReport #CompletenessLow 11-02-2026 New threat actor, UAT-9921, leverages VoidLink framework in campaigns https://blog.talosintelligence.com/voidlink/ Report completeness: Low Actors/Campaigns: Uat-9921 Threats: Voidlink Cobalt_strike_tool Manjusaka_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UAT-9921 использует фреймворк VoidLink, который обладает возможностью компиляции по требованию, адаптированной для атак, управляемых искусственным интеллектом, и работает как минимум с 2019 года. VoidLink, предназначенный для разработки пользовательских средств атаки, включает в себя имплантаты Windows и систему контроля доступа на основе ролей для усиления надзора, предлагая методичный и подотчетный подход к кибероперациям. Ожидается, что деятельность актор, связанная с несколькими целями и отмеченная потенциальным влиянием китайского языка, продолжится до января 2026 года, что отражает эволюционирующую тактику в этом пространстве.
-----
Появление злоумышленник UAT-9921 было связано с использованием VoidLink фреймворк, который известен своей функцией компиляции по требованию, поддерживающей атаки, управляемые искусственным интеллектом. Cisco Talos определила, что действия UAT-9921's, возможно, начались еще в 2019 году, до использования ими VoidLink. Фреймворк разработан для облегчения создания специализированных инструментов атаки для операторов, с указанием того, что он включает в себя импланты для Windows, способные загружать различные плагины. Это позиционирует VoidLink как надежную, но гибкую фреймворк для управления имплантатами, который включает в себя механизмы аудита и надзора, что крайне важно для организаций, работающих в регулируемой среде.
UAT-9921, по-видимому, немного знаком с китайским языком, о чем свидетельствует язык, используемый в их методах кодирования и комментариях, что указывает на потенциальное региональное происхождение злоумышленник. Их операции отслеживались в связи с многочисленными целями с сентября, и ожидается, что они продолжатся до января 2026 года. Эта временная шкала не противоречит выводам исследования Checkpoint, поскольку даты разработки VoidLink указывают на прогресс по сравнению с более ранними версиями, усиливая непрерывную эволюцию их тактики и инструментов.
Текущий анализ, проводимый Cisco Talos, все больше фокусируется на фреймворк для быстрого развертывания атак, которые набирают популярность с 2022 года. Среди них такие проекты, как Manjusaka и Alchimist/Insekt, были изучены аналогичным образом, выявив общий дух разработки и черты дизайна, на которые повлияли такие фреймворк, как CobaltStrike и Sliver. Тем не менее, VoidLink отличается своей уникальной однофайловой инфраструктурой и отсутствием встроенного переносчика инфекции, что предполагает подход к планированию, который подчеркивает скрытность и адаптивность.
Архитектура VoidLink's подкреплена функциями, обычно связанными со средами с высокими ставками, в частности системой управления доступом на основе ролей (RBAC), которая разделяет доступ пользователей на три уровня: СуперАдмин, оператор и зритель. Эта функция повышает оперативную безопасность и надзор, обеспечивая контролируемый доступ к конфиденциальным функциям в рамках фреймворк, что резко контрастирует со многими существующими альтернативами, которым не хватает такого детального управления. Эта надежная конструкция обеспечивает потенциал UAT-9921 для проведения сложных киберопераций с учетом юридической и корпоративной подотчетности, что знаменует собой значительное развитие в области оценки киберугроза.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UAT-9921 использует фреймворк VoidLink, который обладает возможностью компиляции по требованию, адаптированной для атак, управляемых искусственным интеллектом, и работает как минимум с 2019 года. VoidLink, предназначенный для разработки пользовательских средств атаки, включает в себя имплантаты Windows и систему контроля доступа на основе ролей для усиления надзора, предлагая методичный и подотчетный подход к кибероперациям. Ожидается, что деятельность актор, связанная с несколькими целями и отмеченная потенциальным влиянием китайского языка, продолжится до января 2026 года, что отражает эволюционирующую тактику в этом пространстве.
-----
Появление злоумышленник UAT-9921 было связано с использованием VoidLink фреймворк, который известен своей функцией компиляции по требованию, поддерживающей атаки, управляемые искусственным интеллектом. Cisco Talos определила, что действия UAT-9921's, возможно, начались еще в 2019 году, до использования ими VoidLink. Фреймворк разработан для облегчения создания специализированных инструментов атаки для операторов, с указанием того, что он включает в себя импланты для Windows, способные загружать различные плагины. Это позиционирует VoidLink как надежную, но гибкую фреймворк для управления имплантатами, который включает в себя механизмы аудита и надзора, что крайне важно для организаций, работающих в регулируемой среде.
UAT-9921, по-видимому, немного знаком с китайским языком, о чем свидетельствует язык, используемый в их методах кодирования и комментариях, что указывает на потенциальное региональное происхождение злоумышленник. Их операции отслеживались в связи с многочисленными целями с сентября, и ожидается, что они продолжатся до января 2026 года. Эта временная шкала не противоречит выводам исследования Checkpoint, поскольку даты разработки VoidLink указывают на прогресс по сравнению с более ранними версиями, усиливая непрерывную эволюцию их тактики и инструментов.
Текущий анализ, проводимый Cisco Talos, все больше фокусируется на фреймворк для быстрого развертывания атак, которые набирают популярность с 2022 года. Среди них такие проекты, как Manjusaka и Alchimist/Insekt, были изучены аналогичным образом, выявив общий дух разработки и черты дизайна, на которые повлияли такие фреймворк, как CobaltStrike и Sliver. Тем не менее, VoidLink отличается своей уникальной однофайловой инфраструктурой и отсутствием встроенного переносчика инфекции, что предполагает подход к планированию, который подчеркивает скрытность и адаптивность.
Архитектура VoidLink's подкреплена функциями, обычно связанными со средами с высокими ставками, в частности системой управления доступом на основе ролей (RBAC), которая разделяет доступ пользователей на три уровня: СуперАдмин, оператор и зритель. Эта функция повышает оперативную безопасность и надзор, обеспечивая контролируемый доступ к конфиденциальным функциям в рамках фреймворк, что резко контрастирует со многими существующими альтернативами, которым не хватает такого детального управления. Эта надежная конструкция обеспечивает потенциал UAT-9921 для проведения сложных киберопераций с учетом юридической и корпоративной подотчетности, что знаменует собой значительное развитие в области оценки киберугроза.
#ParsedReport #CompletenessMedium
11-02-2026
Fake recruiter campaign targets crypto devs
https://www.reversinglabs.com/blog/fake-recruiter-campaign-crypto-devs
Report completeness: Medium
Actors/Campaigns:
Graphalgo
Lazarus
Threats:
Supply_chain_technique
Industry:
Financial
Geo:
North korea, North korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 1
Hash: 195
Soft:
Twitter, VMConnect
Wallets:
metamask
Algorithms:
sha1
Languages:
javascript, python
11-02-2026
Fake recruiter campaign targets crypto devs
https://www.reversinglabs.com/blog/fake-recruiter-campaign-crypto-devs
Report completeness: Medium
Actors/Campaigns:
Graphalgo
Lazarus
Threats:
Supply_chain_technique
Industry:
Financial
Geo:
North korea, North korean
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 1
Hash: 195
Soft:
Twitter, VMConnect
Wallets:
metamask
Algorithms:
sha1
Languages:
javascript, python
ReversingLabs
Fake recruiter campaign targets crypto developers with RAT | ReversingLabs
A new branch of a well-coordinated fake job recruitment campaign is targeting Javascript and Python developers via social channels.