#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RenEngine - это изощренное вредоносное ПО, замаскированное под игровые читы и пиратское программное обеспечение, впервые распространенное в марте 2025 года через игровой веб-сайт, подвергшийся компрометация. Он использует HijackLoader, который активирует вредоносную полезную нагрузку путем перезаписи dbghelp.dll библиотека в памяти с расшифрованным шелл-кодом из gayal.asp, поддерживаемая cc32290mt.dll . Злоумышленники расширили свои методы распространения, включив поддельные сайты, предлагающие пиратское программное обеспечение, что подчеркивает глобальное воздействие вредоносное ПО и его адаптивность.
-----

RenEngine стал заметной разновидностью вредоносное ПО, распространяемой главным образом под видом игровых читов и пиратского программного обеспечения. Эта стратегия использует в своих интересах энтузиастов игр, заманивая их загружать, казалось бы, безобидное программное обеспечение, за которым скрывается продвинутое и изощренное вредоносное ПО.

Наблюдаемая тактика распространения вредоносное ПО началась в марте 2025 года, когда злоумышленники использовали игровой веб-сайт с компрометация для распространения RenEngine через взломанную игру. Одним из основных компонентов, участвующих в запуске вредоносное ПО, является HijackLoader, который использует dbghelp.dll системная библиотека в качестве начального "контейнера" для инициирования полезной нагрузки. Это достигается путем перезаписи библиотеки dll в памяти расшифрованным шелл-кодом, полученным из файла с именем gayal.asp, с cc32290mt.dll служащий промежуточной библиотекой. HijackLoader примечателен своей модульностью и универсальностью конфигурации, что позволяет эффективно развертывать целый ряд вредоносных полезных программ. Этот загрузчик был первоначально идентифицирован летом 2023 года, с более подробной технической информацией, доступной конкретным заинтересованным сторонам в области Кибербезопасность.

Злоумышленники также расширили свою тактику, выйдя за рамки просто игровых сайтов, создав множество веб-сайтов, нацеленных на распространение RenEngine, замаскированного под различные типы пиратского программного обеспечения. Например, один из таких мошеннических веб-сайтов утверждает, что предлагает активированную версию графического редактора CorelDRAW, что еще больше расширяет возможности атаки и увеличивает шансы взаимодействия пользователей с вредоносное ПО.

С момента своего появления RenEngine и связанные с ним механизмы доставки затронули пользователей во многих странах, подчеркивая глобальный охват и воздействие этой киберугроза. Распространение RenEngine означает изменение ландшафта угроз, где вредоносное ПО все чаще маскируется под законные и привлекательные загрузки, заставляя пользователей сохранять бдительность в отношении своей онлайн-активности и программного обеспечения, которое они выбирают для установки.

#ParsedReport #CompletenessHigh
11-02-2026

Inside Gunra RaaS: From Affiliate Recruitment on the Dark Web to Full Technical Dissection of their Locker

https://www.cloudsek.com/blog/inside-gunra-raas-from-affiliate-recruitment-on-the-dark-web-to-full-technical-dissection-of-their-locker

Report completeness: High

Actors/Campaigns:
Carbanak (motivation: financially_motivated)
Vice_society

Threats:
Gunra
Procmon_tool
Conti
Blackbasta
Qakbot
Rhysida
Akira_ransomware
Qilin_ransomware
Blacksuit_ransomware
Darkrace
Api_obfuscation_technique

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 1
Url: 1
Hash: 2

Soft:
Linux, ESXi, PsExec

Algorithms:
sha256, bcrypt, md5, aes-256-ctr, xor, curve25519, rsa-4096, chacha20

Functions:
CreateFile

Win API:
BCryptGenRandom

Languages:
rust

Platforms:
cross-platform, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gunra - это программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года с целью расширения своей деятельности с помощью партнерской программы по подбору персонала, которая началась в январе 2026 года на форуме Dark Web. В то время как конкретные технические детали поведения вредоносное ПО остаются нераскрытыми, RaaS обычно включает шифрование файлов и требования выкупа. Программа позволяет менее технически квалифицированным филиалам использовать инфраструктуру и инструменты Gunra's, что свидетельствует о тенденции в области киберугроза в сторону аутсорсинга атак с использованием программ-вымогателей.
-----

Gunra идентифицирована как программа-вымогатель как услуга (RaaS), появившаяся в мае 2025 года, а в январе 2026 года на форуме Dark Web была запущена новая программа по набору партнеров. Это развитие событий предполагает организованные усилия по расширению охвата за счет найма аффилированных лиц, которые могут внедрить его программу-вымогатель в обмен на долю выплат выкупа.

Технические детали, касающиеся возможностей Gunra's вредоносное ПО, по-прежнему имеют решающее значение для понимания его воздействие и операционной модели. Хотя конкретные технические характеристики программы-вымогателя не разглашаются, существующие модели RaaS обычно включают шифрование файлов жертвы и требование выплаты выкупа за восстановление доступа. Партнерская программа подразумевает, что Gunra предоставляет инструменты и поддержку аффилированным лицам, позволяя менее технически квалифицированным актор проводить атаки.

Существование такой программы подчеркивает тенденцию в экосистеме киберпреступников к аутсорсингу развертывания программ-вымогателей для повышения эффективности и прибыли. Филиалы могут использовать инфраструктуру Gunra's, которая может включать в себя методы шифрования, платежные механизмы и оперативные меры безопасности, позволяющие избежать обнаружения.

Таким образом, появление Gunra RaaS указывает на тревожную эволюцию в ландшафте киберугроза, усиливая необходимость постоянной бдительности в отношении атак, связанных с программами-вымогателями, и тактики вербовки, используемой киберпреступниками в Dark Web.

#ParsedReport #CompletenessLow
11-02-2026

New threat actor, UAT-9921, leverages VoidLink framework in campaigns

https://blog.talosintelligence.com/voidlink/

Report completeness: Low

Actors/Campaigns:
Uat-9921

Threats:
Voidlink
Cobalt_strike_tool
Manjusaka_tool
Alchimist_tool
Supershell
Fscan_tool
Sliver_c2_tool
Dll_sideloading_technique

Industry:
Iot, Critical_infrastructure

Geo:
Chinese

Soft:
Linux, MacOS, Docker

Languages:
java, ziglang, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник UAT-9921 использует фреймворк VoidLink, который обладает возможностью компиляции по требованию, адаптированной для атак, управляемых искусственным интеллектом, и работает как минимум с 2019 года. VoidLink, предназначенный для разработки пользовательских средств атаки, включает в себя имплантаты Windows и систему контроля доступа на основе ролей для усиления надзора, предлагая методичный и подотчетный подход к кибероперациям. Ожидается, что деятельность актор, связанная с несколькими целями и отмеченная потенциальным влиянием китайского языка, продолжится до января 2026 года, что отражает эволюционирующую тактику в этом пространстве.
-----

Появление злоумышленник UAT-9921 было связано с использованием VoidLink фреймворк, который известен своей функцией компиляции по требованию, поддерживающей атаки, управляемые искусственным интеллектом. Cisco Talos определила, что действия UAT-9921's, возможно, начались еще в 2019 году, до использования ими VoidLink. Фреймворк разработан для облегчения создания специализированных инструментов атаки для операторов, с указанием того, что он включает в себя импланты для Windows, способные загружать различные плагины. Это позиционирует VoidLink как надежную, но гибкую фреймворк для управления имплантатами, который включает в себя механизмы аудита и надзора, что крайне важно для организаций, работающих в регулируемой среде.

UAT-9921, по-видимому, немного знаком с китайским языком, о чем свидетельствует язык, используемый в их методах кодирования и комментариях, что указывает на потенциальное региональное происхождение злоумышленник. Их операции отслеживались в связи с многочисленными целями с сентября, и ожидается, что они продолжатся до января 2026 года. Эта временная шкала не противоречит выводам исследования Checkpoint, поскольку даты разработки VoidLink указывают на прогресс по сравнению с более ранними версиями, усиливая непрерывную эволюцию их тактики и инструментов.

Текущий анализ, проводимый Cisco Talos, все больше фокусируется на фреймворк для быстрого развертывания атак, которые набирают популярность с 2022 года. Среди них такие проекты, как Manjusaka и Alchimist/Insekt, были изучены аналогичным образом, выявив общий дух разработки и черты дизайна, на которые повлияли такие фреймворк, как CobaltStrike и Sliver. Тем не менее, VoidLink отличается своей уникальной однофайловой инфраструктурой и отсутствием встроенного переносчика инфекции, что предполагает подход к планированию, который подчеркивает скрытность и адаптивность.

Архитектура VoidLink's подкреплена функциями, обычно связанными со средами с высокими ставками, в частности системой управления доступом на основе ролей (RBAC), которая разделяет доступ пользователей на три уровня: СуперАдмин, оператор и зритель. Эта функция повышает оперативную безопасность и надзор, обеспечивая контролируемый доступ к конфиденциальным функциям в рамках фреймворк, что резко контрастирует со многими существующими альтернативами, которым не хватает такого детального управления. Эта надежная конструкция обеспечивает потенциал UAT-9921 для проведения сложных киберопераций с учетом юридической и корпоративной подотчетности, что знаменует собой значительное развитие в области оценки киберугроза.

#ParsedReport #CompletenessMedium
11-02-2026

Fake recruiter campaign targets crypto devs

https://www.reversinglabs.com/blog/fake-recruiter-campaign-crypto-devs

Report completeness: Medium

Actors/Campaigns:
Graphalgo
Lazarus

Threats:
Supply_chain_technique

Industry:
Financial

Geo:
North korea, North korean

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 4
File: 1
Hash: 195

Soft:
Twitter, VMConnect

Wallets:
metamask

Algorithms:
sha1

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "graphalgo" нацелена на разработчиков криптовалют через поддельную организацию veltrix-capital и использует мошенническую стратегию подбора персонала. Злоумышленники создают кажущиеся безобидными репозитории GitHub для рабочих задач, которые скрывают вредоносные зависимости от npm и PyPI, что приводит к развертыванию модульного троянца удаленного доступа (RAT), который облегчает удаленные команды и доставку полезной нагрузки. Тактика предполагает, что актор, спонсируемый государством, напоминает методы, используемые северокорейской группой Lazarus, использующей доверенную среду для проникновения.
-----

Недавняя хакерская кАмпания, получившая название "graphalgo", в первую очередь нацелена на разработчиков криптовалют, использующих мошенническую стратегию подбора персонала. Центральное место в операции занимает фиктивная организация под названием "veltrix-capital", которая действует под видом законной компании, работающей в сфере блокчейна и криптоторговли. Домен для этого объекта, www.veltrixcap.org , был создан незадолго до атаки в апреле 2025 года. Кроме того, была создана организация GitHub, которая способствовала появлению легитимности путем создания различных репозиториев, предназначенных для заданий на собеседовании при приеме на работу.

Эти репозитории, в которых представлены проекты на Python и JavaScript, такие как test-url-мониторинг и test-devops-мониторинг, изначально не демонстрируют какого-либо вредоносного поведения. Вместо этого вредоносные возможности кампании встроены в зависимости, полученные из репозиториев пакетов с открытым исходным кодом, таких как npm и PyPI. Эта серверная стратегия позволяет злоумышленник использовать установленные платформы для скрытного размещения своих вредоносных полезных данных, повышая эффективность их работы, поскольку одни и те же полезные данные могут быть развернуты на нескольких фронтах атаки.

Конечная цель этой кампании заключается в развертывании троянца удаленного доступа (RAT), который действует как загрузчик конечных полезных данных. После установки этот RAT может выполнять ряд команд с сервера управления, включая манипулирование файлами, управление процессами и удаленное выполнение произвольных команд. Модульный и многоуровневый дизайн этого вредоносное ПО в сочетании с изощренностью злоумышленник, стоящего за кампанией, предполагает участие спонсируемой государством группы.

Методология и сложность, наблюдаемые в этой кампании, напоминают тактику, применяемую северокорейскими актор, занимающимися сложная целенаправленная угроза, в частности группой Lazarus. Исторические ссылки указывают на то, что эти актор занимались аналогичными вредоносными действиями, используя общедоступные репозитории, используя доверие, установленное законными именами пакетов, для облегчения проникновения вредоносное ПО. Кампания graphalgo отражает сохраняющуюся тенденцию к тому, что высокоорганизованные, спонсируемые государством актор используют сложную сеть маскировки и обмана для эффективного проведения своих киберопераций.

#ParsedReport #CompletenessLow
11-02-2026

Mispadu Phishing Malware Baseline: Delivery Chains, Capabilities, and Common Campaigns

https://cofense.com/blog/mispadu-phishing-malware-baseline

Report completeness: Low

Actors/Campaigns:
Ta2725
Malteiro

Threats:
Mispadu
Grandoreiro
Delphiloader
Jsdropper

Victims:
Banking customers

Industry:
Financial

Geo:
Argentina, Portugal, Latin american, Portuguese, Spain, Mexico, Italy, Spanish, Latin america, Colombia, Brazil

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1059.005, T1059.007, T1105, T1113, T1115, T1189, T1204, have more...

IOCs:
File: 1

Soft:
Outlook

Crypto:
bitcoin

Algorithms:
md5

Languages:
javascript, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mispadu - банковский троян, действующий с 2019 года, поражающий в первую очередь Латинскую Америку, с возможностями самораспространения, которые позволяют ему распространяться через контакты Outlook зараженных хостов. Вредоносное ПО эволюционировало, включив в себя регистрацию нажатий клавиш, кражу учетных данных и нацеливание на адреса биткоин-кошельков. В настоящее время кампании Mispadu используют HTA-файлы, доставляемые с помощью JavaScript и VBS, с электронными письмами преимущественно на испанском языке, в то время как их выполнение с помощью скомпилированного сценария AutoIt усложняет усилия по обнаружению.
-----

Mispadu - это банковский троян, который активен с 2019 года и стал заметным среди латиноамериканских киберугроза, особенно в испаноязычных странах, таких как Мексика, Аргентина и Бразилия. Первоначально возникший из незначительных операций, он превратился в основного банковского трояна, замеченного Cofense в регионе. Mispadu обладает возможностями самораспространения, что позволяет зараженным хостам распространять дополнительные электронные письма кампании среди контактов Outlook, не требуя от злоумышленников дополнительного таргетинга. В то время как в предыдущих кампаниях компании использовалась подмена бренда, чтобы имитировать такие известные организации, как BBVA Bancomer и Федеральная комиссия по электричеству, в последних кампаниях заметно снизилась сложность и Имперсонация бренда.

Первоначально ESET сообщала, что ранние версии Mispadu's отличались упрощенным функционалом и часто использовали вредоносную рекламу для распространения. В то время его функции включали в себя кражу базовых учетные данные, извлечение информации с помощью внешних утилит и плохо выполненные всплывающие интерфейсы. Однако со временем его возможности расширились и включили в себя такие функции, как снятие скриншотов, регистрация нажатий клавиш, кража сохраненных учетные данные из браузеров и изменение содержимого буфера обмена, в частности, нацеливание на адреса биткойн-кошельков.

С точки зрения текущей тактики работы, кампании Mispadu преимущественно используют HTA (HTML-приложение) для доставки, обычно загружаемый по цепочке, которая включает файлы JavaScript и VBS. Несмотря на то, что механизм его доставки эволюционировал, с 2025 года он стабилизировался в определенном варианте, с динамическими URL-адресами, часто встраиваемыми во вложения PDF. Электронные письма, способствующие этим атакам, преимущественно написаны на испанском языке, что соответствует географическому таргетингу трояна — примерно 81% кампаний направлены на испаноязычных пользователей.

С поведенческой точки зрения текущая версия Mispadu развертывается в виде скомпилированного сценария автоматической загрузки, который выполняется с помощью законного интерпретатора, что затрудняет обнаружение для организаций, занимающихся безопасностью. Вредоносное ПО внедряет вредоносный код в законный процесс attrib.exe и загружает различные законные библиотеки DLL для поддержания закрепление и функциональности. Разделы конфигурации Mispadu помечены строкой "l4riss4", и структура этих разделов отражает то, как они были изначально расположены до того, как были заполнены вредоносными данными. В целом, события в Mispadu подчеркивают его растущую изощренность и постоянную угрозу в банковском секторе, подчеркивая продолжающуюся эволюцию тактики вредоносное ПО в нацелен на финансовые операции.

#ParsedReport #CompletenessMedium
11-02-2026

Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure

https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Foxveil
Apc_injection_technique
Donut
Meterpreter_tool
Cobalt_strike_tool

Victims:
Enterprises

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Path: 1
Hash: 34
Domain: 10

Soft:
Discord, Windows service, Microsoft Defender

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Foxveil - это сложный загрузчик вредоносное ПО, идентифицированный Cato CTRL, активно использующий тактику обфускации с августа 2025 года. Он поставляется в двух вариантах; версия 1 использует APC injection в svchost.exe , в то время как версия 2 самостоятельно вводит шеллкод, обеспечивая закрепление как за счет регистрации в Служба Windows, так и за счет размещения файла в каталоге SysWOW64. Кроме того, Foxveil использует мутацию строк во время выполнения, чтобы избежать обнаружения, наряду с загрузкой полезных данных из надежных Облачные сервисы и Discord, что усложняет традиционные меры безопасности и указывает на его роль в качестве этапа для дальнейшего использования.
-----

Cato CTRL идентифицировал новый загрузчик вредоносное ПО под названием "Foxveil", который был активен с августа 2025 года. Анализ выявил два различных варианта, v1 и v2, оба предназначены для создания начальной точки опоры в системах-нацелен на, одновременно усложняя усилия по обнаружению. Foxveil извлекает последующие полезные данные из Облачные сервисы, пользующиеся широким доверием, такие как Cloudflare Pages и Netlify, а также из вложений Discord, тем самым скрывая свою деятельность в рамках законного веб-трафика.

Вредоносная Кампания использует метод, при котором она загружает вредоносные исполняемые файлы или DLL-библиотеки в систему жертвы. После выполнения Foxveil использует различные методы для выполнения кода и закрепление в зависимости от варианта. Foxveil v1 использует метод ранней разработки, применяя внедрение Асинхронный вызов процедур (APC) во вновь созданный процесс, Маскировка под svchost.exe . В отличие от этого, Foxveil v2 использует самостоятельное внедрение загруженного шелл-кода в тот же процесс. Оба варианта поддерживают закрепление; Foxveil v1 регистрируется как Служба Windows с именем AarSvc и удаляет полезные нагрузки следующего этапа в каталоге SysWOW64.

Важным аспектом Foxveil является его метод антианализа, характеризующийся мутацией строк во время выполнения, которая изменяет ключевые строки, связанные с вредоносными действиями, чтобы избежать обнаружения. Этот метод служит для усложнения статического анализа и реверс-инжиниринга вредоносное ПО. Было замечено, что Foxveil загружает дополнительные исполняемые файлы из доменов, контролируемых злоумышленник, что указывает на то, что он функционирует как промежуточный загрузчик для более сложного фреймворк после эксплуатации.

Операционная эффективность Foxveil в значительной степени зависит от ее способности вписываться в надежную инфраструктуру и маскировать свою деятельность в рамках обычного корпоративного трафика, что снижает эффективность традиционных решений безопасности и списков блокировок. Учитывая эту сложность, превентивные меры, подобные тем, которые реализованы платформой Cato SASE, имеют решающее значение, поскольку они могут перехватывать Foxveil до того, как он выполнит поэтапную полезную нагрузку, эффективно останавливая цепочку атак на ранних этапах процесса.

#ParsedReport #CompletenessMedium
11-02-2026

APT Profile Fancy Bear

https://www.cyfirma.com/research/apt-profile-fancy-bear-3/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage, financially_motivated)

Threats:
Computrace_tool
Dealerschoice_tool
Sedkit_tool
Mimikatz_tool
Xagent
Steelhook
Headlace
Sedreco
Oceanmap
Oldbait
Procdump_tool
Downdelph
Advstoreshell
Gooseegg_tool
Xtunnel
Cannon
Usbstealer
Foozer
Vpnfilter
Koadic_tool
Coreshell
Komplex
Slimagent_tool
Sedup_loader
Zebrocy
Beardshell_tool
Pocodown
Masepie_tool
Nimcy
Lojax
Spear-phishing_technique
Credential_harvesting_technique
Pkexec_tool
Timestomp_technique
Passthehash_technique
Eviltwin_technique
Aitm_technique
Password_spray_technique
Credential_dumping_technique

Victims:
Government organizations, Defense aligned organizations, Election processes

Industry:
Government, Energy, Logistic, Critical_infrastructure

Geo:
France, Georgia, Ukraine, Syria, Moldova, India, Romania, Russian, Brazil, Australia, Malaysia, Afghanistan, Vietnam, South africa, Cambodia, Pakistan, Kazakhstan, Mexico, Germany, Indonesia, Thailand, Turkey, Russia

CVEs:
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)

CVE-2015-2545 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 14
Technics: 83

Soft:
Microsoft Office, Linux, Microsoft Exchange, Component Object Model

#ParsedReport #ExtractedSchema

Classified images:
schema: 1