#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "graphalgo" нацелена на разработчиков криптовалют через поддельную организацию veltrix-capital и использует мошенническую стратегию подбора персонала. Злоумышленники создают кажущиеся безобидными репозитории GitHub для рабочих задач, которые скрывают вредоносные зависимости от npm и PyPI, что приводит к развертыванию модульного троянца удаленного доступа (RAT), который облегчает удаленные команды и доставку полезной нагрузки. Тактика предполагает, что актор, спонсируемый государством, напоминает методы, используемые северокорейской группой Lazarus, использующей доверенную среду для проникновения.
-----

Недавняя хакерская кАмпания, получившая название "graphalgo", в первую очередь нацелена на разработчиков криптовалют, использующих мошенническую стратегию подбора персонала. Центральное место в операции занимает фиктивная организация под названием "veltrix-capital", которая действует под видом законной компании, работающей в сфере блокчейна и криптоторговли. Домен для этого объекта, www.veltrixcap.org , был создан незадолго до атаки в апреле 2025 года. Кроме того, была создана организация GitHub, которая способствовала появлению легитимности путем создания различных репозиториев, предназначенных для заданий на собеседовании при приеме на работу.

Эти репозитории, в которых представлены проекты на Python и JavaScript, такие как test-url-мониторинг и test-devops-мониторинг, изначально не демонстрируют какого-либо вредоносного поведения. Вместо этого вредоносные возможности кампании встроены в зависимости, полученные из репозиториев пакетов с открытым исходным кодом, таких как npm и PyPI. Эта серверная стратегия позволяет злоумышленник использовать установленные платформы для скрытного размещения своих вредоносных полезных данных, повышая эффективность их работы, поскольку одни и те же полезные данные могут быть развернуты на нескольких фронтах атаки.

Конечная цель этой кампании заключается в развертывании троянца удаленного доступа (RAT), который действует как загрузчик конечных полезных данных. После установки этот RAT может выполнять ряд команд с сервера управления, включая манипулирование файлами, управление процессами и удаленное выполнение произвольных команд. Модульный и многоуровневый дизайн этого вредоносное ПО в сочетании с изощренностью злоумышленник, стоящего за кампанией, предполагает участие спонсируемой государством группы.

Методология и сложность, наблюдаемые в этой кампании, напоминают тактику, применяемую северокорейскими актор, занимающимися сложная целенаправленная угроза, в частности группой Lazarus. Исторические ссылки указывают на то, что эти актор занимались аналогичными вредоносными действиями, используя общедоступные репозитории, используя доверие, установленное законными именами пакетов, для облегчения проникновения вредоносное ПО. Кампания graphalgo отражает сохраняющуюся тенденцию к тому, что высокоорганизованные, спонсируемые государством актор используют сложную сеть маскировки и обмана для эффективного проведения своих киберопераций.

#ParsedReport #CompletenessLow
11-02-2026

Mispadu Phishing Malware Baseline: Delivery Chains, Capabilities, and Common Campaigns

https://cofense.com/blog/mispadu-phishing-malware-baseline

Report completeness: Low

Actors/Campaigns:
Ta2725
Malteiro

Threats:
Mispadu
Grandoreiro
Delphiloader
Jsdropper

Victims:
Banking customers

Industry:
Financial

Geo:
Argentina, Portugal, Latin american, Portuguese, Spain, Mexico, Italy, Spanish, Latin america, Colombia, Brazil

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1059.005, T1059.007, T1105, T1113, T1115, T1189, T1204, have more...

IOCs:
File: 1

Soft:
Outlook

Crypto:
bitcoin

Algorithms:
md5

Languages:
javascript, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mispadu - банковский троян, действующий с 2019 года, поражающий в первую очередь Латинскую Америку, с возможностями самораспространения, которые позволяют ему распространяться через контакты Outlook зараженных хостов. Вредоносное ПО эволюционировало, включив в себя регистрацию нажатий клавиш, кражу учетных данных и нацеливание на адреса биткоин-кошельков. В настоящее время кампании Mispadu используют HTA-файлы, доставляемые с помощью JavaScript и VBS, с электронными письмами преимущественно на испанском языке, в то время как их выполнение с помощью скомпилированного сценария AutoIt усложняет усилия по обнаружению.
-----

Mispadu - это банковский троян, который активен с 2019 года и стал заметным среди латиноамериканских киберугроза, особенно в испаноязычных странах, таких как Мексика, Аргентина и Бразилия. Первоначально возникший из незначительных операций, он превратился в основного банковского трояна, замеченного Cofense в регионе. Mispadu обладает возможностями самораспространения, что позволяет зараженным хостам распространять дополнительные электронные письма кампании среди контактов Outlook, не требуя от злоумышленников дополнительного таргетинга. В то время как в предыдущих кампаниях компании использовалась подмена бренда, чтобы имитировать такие известные организации, как BBVA Bancomer и Федеральная комиссия по электричеству, в последних кампаниях заметно снизилась сложность и Имперсонация бренда.

Первоначально ESET сообщала, что ранние версии Mispadu's отличались упрощенным функционалом и часто использовали вредоносную рекламу для распространения. В то время его функции включали в себя кражу базовых учетные данные, извлечение информации с помощью внешних утилит и плохо выполненные всплывающие интерфейсы. Однако со временем его возможности расширились и включили в себя такие функции, как снятие скриншотов, регистрация нажатий клавиш, кража сохраненных учетные данные из браузеров и изменение содержимого буфера обмена, в частности, нацеливание на адреса биткойн-кошельков.

С точки зрения текущей тактики работы, кампании Mispadu преимущественно используют HTA (HTML-приложение) для доставки, обычно загружаемый по цепочке, которая включает файлы JavaScript и VBS. Несмотря на то, что механизм его доставки эволюционировал, с 2025 года он стабилизировался в определенном варианте, с динамическими URL-адресами, часто встраиваемыми во вложения PDF. Электронные письма, способствующие этим атакам, преимущественно написаны на испанском языке, что соответствует географическому таргетингу трояна — примерно 81% кампаний направлены на испаноязычных пользователей.

С поведенческой точки зрения текущая версия Mispadu развертывается в виде скомпилированного сценария автоматической загрузки, который выполняется с помощью законного интерпретатора, что затрудняет обнаружение для организаций, занимающихся безопасностью. Вредоносное ПО внедряет вредоносный код в законный процесс attrib.exe и загружает различные законные библиотеки DLL для поддержания закрепление и функциональности. Разделы конфигурации Mispadu помечены строкой "l4riss4", и структура этих разделов отражает то, как они были изначально расположены до того, как были заполнены вредоносными данными. В целом, события в Mispadu подчеркивают его растущую изощренность и постоянную угрозу в банковском секторе, подчеркивая продолжающуюся эволюцию тактики вредоносное ПО в нацелен на финансовые операции.

#ParsedReport #CompletenessMedium
11-02-2026

Cato CTRL Threat Research: Foxveil New Malware Loader Abusing Cloudflare, Discord, and Netlify as Staging Infrastructure

https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Foxveil
Apc_injection_technique
Donut
Meterpreter_tool
Cobalt_strike_tool

Victims:
Enterprises

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Path: 1
Hash: 34
Domain: 10

Soft:
Discord, Windows service, Microsoft Defender

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Foxveil - это сложный загрузчик вредоносное ПО, идентифицированный Cato CTRL, активно использующий тактику обфускации с августа 2025 года. Он поставляется в двух вариантах; версия 1 использует APC injection в svchost.exe , в то время как версия 2 самостоятельно вводит шеллкод, обеспечивая закрепление как за счет регистрации в Служба Windows, так и за счет размещения файла в каталоге SysWOW64. Кроме того, Foxveil использует мутацию строк во время выполнения, чтобы избежать обнаружения, наряду с загрузкой полезных данных из надежных Облачные сервисы и Discord, что усложняет традиционные меры безопасности и указывает на его роль в качестве этапа для дальнейшего использования.
-----

Cato CTRL идентифицировал новый загрузчик вредоносное ПО под названием "Foxveil", который был активен с августа 2025 года. Анализ выявил два различных варианта, v1 и v2, оба предназначены для создания начальной точки опоры в системах-нацелен на, одновременно усложняя усилия по обнаружению. Foxveil извлекает последующие полезные данные из Облачные сервисы, пользующиеся широким доверием, такие как Cloudflare Pages и Netlify, а также из вложений Discord, тем самым скрывая свою деятельность в рамках законного веб-трафика.

Вредоносная Кампания использует метод, при котором она загружает вредоносные исполняемые файлы или DLL-библиотеки в систему жертвы. После выполнения Foxveil использует различные методы для выполнения кода и закрепление в зависимости от варианта. Foxveil v1 использует метод ранней разработки, применяя внедрение Асинхронный вызов процедур (APC) во вновь созданный процесс, Маскировка под svchost.exe . В отличие от этого, Foxveil v2 использует самостоятельное внедрение загруженного шелл-кода в тот же процесс. Оба варианта поддерживают закрепление; Foxveil v1 регистрируется как Служба Windows с именем AarSvc и удаляет полезные нагрузки следующего этапа в каталоге SysWOW64.

Важным аспектом Foxveil является его метод антианализа, характеризующийся мутацией строк во время выполнения, которая изменяет ключевые строки, связанные с вредоносными действиями, чтобы избежать обнаружения. Этот метод служит для усложнения статического анализа и реверс-инжиниринга вредоносное ПО. Было замечено, что Foxveil загружает дополнительные исполняемые файлы из доменов, контролируемых злоумышленник, что указывает на то, что он функционирует как промежуточный загрузчик для более сложного фреймворк после эксплуатации.

Операционная эффективность Foxveil в значительной степени зависит от ее способности вписываться в надежную инфраструктуру и маскировать свою деятельность в рамках обычного корпоративного трафика, что снижает эффективность традиционных решений безопасности и списков блокировок. Учитывая эту сложность, превентивные меры, подобные тем, которые реализованы платформой Cato SASE, имеют решающее значение, поскольку они могут перехватывать Foxveil до того, как он выполнит поэтапную полезную нагрузку, эффективно останавливая цепочку атак на ранних этапах процесса.

#ParsedReport #CompletenessMedium
11-02-2026

APT Profile Fancy Bear

https://www.cyfirma.com/research/apt-profile-fancy-bear-3/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage, financially_motivated)

Threats:
Computrace_tool
Dealerschoice_tool
Sedkit_tool
Mimikatz_tool
Xagent
Steelhook
Headlace
Sedreco
Oceanmap
Oldbait
Procdump_tool
Downdelph
Advstoreshell
Gooseegg_tool
Xtunnel
Cannon
Usbstealer
Foozer
Vpnfilter
Koadic_tool
Coreshell
Komplex
Slimagent_tool
Sedup_loader
Zebrocy
Beardshell_tool
Pocodown
Masepie_tool
Nimcy
Lojax
Spear-phishing_technique
Credential_harvesting_technique
Pkexec_tool
Timestomp_technique
Passthehash_technique
Eviltwin_technique
Aitm_technique
Password_spray_technique
Credential_dumping_technique

Victims:
Government organizations, Defense aligned organizations, Election processes

Industry:
Government, Energy, Logistic, Critical_infrastructure

Geo:
France, Georgia, Ukraine, Syria, Moldova, India, Romania, Russian, Brazil, Australia, Malaysia, Afghanistan, Vietnam, South africa, Cambodia, Pakistan, Kazakhstan, Mexico, Germany, Indonesia, Thailand, Turkey, Russia

CVEs:
CVE-2020-0688 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)

CVE-2015-2545 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 14
Technics: 83

Soft:
Microsoft Office, Linux, Microsoft Exchange, Component Object Model

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fancy Bear, злоумышленник, спонсируемый российским государством, со временем адаптировал свои методы, недавно использовав уязвимость Microsoft Office (CVE-2026-21509) с оценкой CVSS 7,8 для атак на правительственные и оборонные структуры в Восточной Европе. Их методы включают кражу учетных данных, фишинг и использование общедоступных приложений, наряду с изощренными тактиками уклонения, такими как сокрытие артефактов и руткит. Они используют Зашифрованный канал для командования и контроля и реализуют сложные стратегии эксфильтрация данных для поддержания оперативной безопасности и эффективного сбора разведывательной информации.
-----

Fancy Bear, спонсируемый российским государством злоумышленник, действует по меньшей мере с 2007 года, тесно сотрудничая с российскими разведывательными службами. Группа известна своим участием в значительных кибероперациях, особенно тех, которые направлены на влияние на политические результаты посредством вмешательства в выборы в различных странах. Их тактика эволюционировала, демонстрируя стратегический переход от сильной зависимости от вредоносное ПО к использованию легких, но эффективных методов, таких как кража учетных данных, фишинг и использование недавно обнаруженных уязвимостей.

Недавно Fancy Bear воспользовался уязвимостью Microsoft Office (CVE-2026-21509, оценка CVSS: 7.8), чтобы атаковать правительственные и оборонные организации в Восточной Европе и Европейском союзе. Внедрив логику эксплойта в специально созданные документы Office, они добились скрытного выполнения кода и сумели обойти обычные меры безопасности. Этот метод не только облегчил первоначальный доступ, но и позволил группе сохранить устойчивый плацдарм для сбора разведывательной информации в долгосрочной перспективе, продемонстрировав их способность быстро адаптироваться к возникающим уязвимостям.

Анализ методов, тактик и процедур (TTP) Fancy Bear's выявляет комплексный подход, согласованный с фреймворк MITRE ATT&CK. Они занимаются разведка с целью сбора информации об организациях-жертвах, часто применяя тактику spear phishing. Их методы первоначальный доступ включают в себя использование общедоступных приложений, Существующие учетные записи и использование тактики Теневая (drive-by) компрометация. Оказавшись внутри, они могут повысить привилегии путем Манипуляции с учетной записью и токенами, реализуя механизмы закрепление, такие как ключи запуска реестра, сценарии входа в систему и COM hijacking.

Что касается обход защиты, Fancy Bear использует множество методов, включая сокрытие артефактов, Маскировка законных ресурсов и использование руткит. Они также внедряют стратегии получение учетных данных, такие как Регистрация нажатий клавиш, прослушивание сетевого трафика и Получение дампа учетных данных операционной системы, что еще больше усиливает их способность проникать в целевые системы незамеченными. Их тактика перемещение внутри компании использует Службы удаленного доступа, позволяя им перемещаться по сетям, в то время как методы сбора демонстрируют расширенные возможности обработки данных, включая архивирование данных и их подготовку к эксфильтрация.

Более того, на этапах командования и контроля Fancy Bear использует Зашифрованный канал и Протокол прикладного уровня, что указывает на сложный подход к поддержанию связи с инфраструктурами компрометация. Их стратегии эксфильтрация используют альтернативные протоколы, гарантирующие, что украденные данные будут аккуратно переданы без обнаружения.

#ParsedReport #CompletenessMedium
12-02-2026

GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use

https://cloud.google.com/blog/topics/threat-intelligence/distillation-experimentation-integration-ai-adversarial-use/

Report completeness: Medium

Actors/Campaigns:
Unc6418
Apt42 (motivation: government_sponsored)
Unc2970 (motivation: government_sponsored)
Apt31
Unc795
Winnti
Cryptochameleon (motivation: financially_motivated)

Threats:
Honestcue
Xanthorox_tool
Spear-phishing_technique
Coinbait_tool
Promptflux
Credential_harvesting_technique
Clickfix_technique
Amos_stealer

Victims:
Financial services, Cryptocurrency, Various popular online services, General users of generative ai services, Defense sector

Industry:
E-commerce

Geo:
China, Ukraine, Iranian, Dprk, Pakistan, Korea, Iran, North korean, Saudi arabia, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1102, T1105, T1204, T1566, T1583, T1587, T1588, T1591, have more...

IOCs:
File: 7

Soft:
Discord, Supabase, macOS, ChatGPT, DeepSeek

Functions:
HONESTCUE

Win API:
GetTempFileName

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года Google Threat Intelligence Group выявила растущее использование искусственного интеллекта хакерская группировка для улучшения своих стратегий атак, сосредоточив внимание на атаках по извлечению моделей, нацеленных на организации, предоставляющие услуги искусственного интеллекта. Ключевые угрозы включали использование расширенных возможностей анализа данных моделей искусственного интеллекта, таких как Gemini, усиление фишинг-атак и операций управление с помощью специально разработанного контента. Кроме того, новое вредоносное ПО, такое как HONESTCUE, использовало API Gemini, отражая тенденцию к более сложным атакам, управляемым искусственным интеллектом, которые бросают вызов традиционным методам обнаружения.
-----

Во второй половине 2025 года Google Threat Intelligence Group (GTIG) сообщила о заметном росте внедрения Искусственный интеллект (ИИ) хакерская группировка для оптимизации жизненного цикла своих атак, особенно в разведка, социальная инженерия и разработка вредоносное ПО. Ключевым направлением этой тенденции является извлечение моделей или "дистилляционные атаки", которые создают значительные риски для интеллектуальной собственности организаций, особенно тех, которые предоставляют модели искусственного интеллекта в качестве услуги. Эти атаки связаны с использованием законного доступа к API для клонирования возможностей модели искусственного интеллекта, что привлекает внимание к необходимости усовершенствованных методов мониторинга.

Одной из важных целей для противников были продвинутые функции логического мышления Gemini. Злоумышленники попытались манипулировать моделью, чтобы раскрыть все ее внутренние процессы рассуждения, что указывает на возобновление внимания к приобретению проприетарной логики. По мере того как организации интегрируют большие языковые модели (LLM) в свою деятельность, потенциал атак на извлечение растет, что требует бдительности в отношении новых моделей использования API, которые могут сигнализировать о попытках извлечения.

GTIG наблюдала устойчивую тенденцию к тому, что спонсируемые государством актор используют Gemini для расширения своей деятельности. Это включает в себя использование искусственного интеллекта на различных этапах жизненного цикла атаки, от разведка и создания фишинг-приманки до улучшения разработки систем управление. Злоумышленник способен генерировать высокоспециализированный и культурно значимый контент для фишинг-рассылки с помощью LLMS, что подрывает традиционные показатели попыток фишинг-рассылки, затрудняя их обнаружение. Такая изощренность позволяет быстро определять цели и разрабатывать более эффективную стратегию атаки, которая позволяет быстро переходить от разведка к оперативным этапам.

В отчете освещаются конкретные случаи, такие как использование искусственного интеллекта для создания сложных фишинг-наборов, таких как COINBAIT, предназначенных для выдачи себя за законные криптовалютные биржи для сбор учетных записей. Кроме того, был отмечен новый вариант вредоносное ПО под названием HONESTCUE, который использовал API Gemini для улучшения генерации функциональности, что указывает на тенденцию к созданию более сложных вредоносных инструментов с поддержкой искусственного интеллекта, предназначенных для обхода традиционных методов обнаружения.

Более того, в отчете обсуждается появление угроз, связанных с подпольным рынком, где наблюдается растущий интерес к использованию искусственного интеллекта в злонамеренных целях. Это включает в себя использование общественного доверия к сервисам генеративного искусственного интеллекта для атак социальной инженерии, таких как известные кампании "ClickFix", когда злоумышленники побуждали пользователей выполнять команды, содержащие вредоносное ПО.

#ParsedReport #CompletenessHigh
12-02-2026

BADIIS to the Bone: New Insights to a Global SEO Poisoning Campaign

https://www.elastic.co/security-labs/badiis-to-the-bone-new-insights-to-global-seo-poisoning-campaign

Report completeness: High

Actors/Campaigns:
Uat-8099
Ref4033

Threats:
Seo_poisoning_technique
Badiis
Vmprotect_tool
Procmon_tool

Victims:
Governments, Corporate organizations, Educational institutions, Iis servers, Windows web servers, Multinational organization in southeast asia

Industry:
E-commerce, Entertainment, Government, Telco, Healthcare

Geo:
Apac, Vietnam, Vietnamese, Bangladesh, India, Australia, Japan, Chinese, Brazil, Korea, Asia, Lithuania, China, Pakistan, Asian, Nepal

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 13
Path: 7
Url: 22
Domain: 81
Hash: 82
IP: 5

Soft:
Windows service, NET Framework, Android

Algorithms:
sha256, aes-128

Win API:
CopyFileA, SeImpersonatePrivilege

Languages:
javascript, php

Platforms:
apple, x64

YARA: Found

Links:
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/initial\_access\_suspicious\_microsoft\_iis\_worker\_descendant.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/privilege\_escalation\_privilege\_escalation\_via\_seimpersonateprivilege.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/privilege\_escalation\_potential\_privilege\_escalation\_via\_token\_impersonation.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1, windows: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Elastic Security Labs обнаружила значительное вторжение со стороны преступная хакерская группировка REF4033, которая нацелен на серверы Windows IIS с использованием вредоносного ПО BADIIS. Эта атака подвергла компрометация более 1800 серверов по всему миру, используя неизвестный начальный вектор для быстрого получения контроля, за которым последовала разведка с помощью веб-оболочки. BADIIS работает как вредоносный модуль, который внедряет SEO-контент на основе определенных HTTP-заголовков, способствуя монетизации за счет продвижения незаконного контента, сохраняя при этом скрытность на протяжении всей своей деятельности.
-----

В ноябре 2025 года Elastic Security Labs выявила значительное вторжение, затронувшее многонациональную организацию в Юго-Восточной Азии, отслеживая деятельность, связанную с преступная хакерская группировка, известная как REF4033. Эта группа причастна к крупномасштабной кампании по SEO poisoning с использованием вредоносной программы BADIIS, которая специально нацелена на серверы Windows Internet Information Services (IIS). В результате анализа была выявлена компрометация более 1800 серверов Windows по всему миру, затронувшая различные секторы, включая государственные учреждения, корпорации и образовательные учреждения во многих странах, включая Австралию, Китай и Индию.

Последовательность вторжений началась с неизвестного вектора атаки, который позволил злоумышленник-злоумышленнице установить контроль над сервером Windows IIS в течение 17 минут. Злоумышленник инициировал разведка с помощью веб-оболочки, запущенной в рамках рабочего процесса IIS (w3wp.exe ), что привело к развертыванию BADIIS вредоносное ПО с помощью серии промежуточных файлов. Основной исполняемый файл, CbsMsgApi.exe , содержит элементы, указывающие на происхождение атаки, включая упрощенные строки на китайском языке. Этот исполняемый файл отвечает за установку последующих вредоносных модулей, включая критический компонент CbsMsgApi.dll , который изменяет конфигурации IIS для размещения вредоносное ПО BADIIS.

BADIIS работает как вредоносный модуль IIS с функциональностью, предназначенной для внедрения или перенаправления вредоносного SEO-контента на основе определенных заголовков HTTP-запросов, таких как User-Agent или Refererer. Этот метод обфускации позволяет вредоносное ПО оставаться незамеченным во время обычной работы, эффективно монетизируя инфраструктуры компрометация за счет продвижения азартных игр и другого незаконного контента.

Технические детали кампании соответствуют тактике, задокументированной в MITRE ATT&CK фреймворк, что указывает на системный подход к использованию уязвимых серверов в более широких вредоносных целях. Идентифицированные хэши SHA-256 подтверждают наличие различных компонентов вредоносное ПО и их соответствующую роль в жизненном цикле атаки. Более того, исследования инфраструктуры домена выявили подключения к нескольким серверам конфигурации и контента, используемым кампанией BADIIS, что иллюстрирует многоуровневый и постоянный подход к кибероперациям.