#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fancy Bear, злоумышленник, спонсируемый российским государством, со временем адаптировал свои методы, недавно использовав уязвимость Microsoft Office (CVE-2026-21509) с оценкой CVSS 7,8 для атак на правительственные и оборонные структуры в Восточной Европе. Их методы включают кражу учетных данных, фишинг и использование общедоступных приложений, наряду с изощренными тактиками уклонения, такими как сокрытие артефактов и руткит. Они используют Зашифрованный канал для командования и контроля и реализуют сложные стратегии эксфильтрация данных для поддержания оперативной безопасности и эффективного сбора разведывательной информации.
-----

Fancy Bear, спонсируемый российским государством злоумышленник, действует по меньшей мере с 2007 года, тесно сотрудничая с российскими разведывательными службами. Группа известна своим участием в значительных кибероперациях, особенно тех, которые направлены на влияние на политические результаты посредством вмешательства в выборы в различных странах. Их тактика эволюционировала, демонстрируя стратегический переход от сильной зависимости от вредоносное ПО к использованию легких, но эффективных методов, таких как кража учетных данных, фишинг и использование недавно обнаруженных уязвимостей.

Недавно Fancy Bear воспользовался уязвимостью Microsoft Office (CVE-2026-21509, оценка CVSS: 7.8), чтобы атаковать правительственные и оборонные организации в Восточной Европе и Европейском союзе. Внедрив логику эксплойта в специально созданные документы Office, они добились скрытного выполнения кода и сумели обойти обычные меры безопасности. Этот метод не только облегчил первоначальный доступ, но и позволил группе сохранить устойчивый плацдарм для сбора разведывательной информации в долгосрочной перспективе, продемонстрировав их способность быстро адаптироваться к возникающим уязвимостям.

Анализ методов, тактик и процедур (TTP) Fancy Bear's выявляет комплексный подход, согласованный с фреймворк MITRE ATT&CK. Они занимаются разведка с целью сбора информации об организациях-жертвах, часто применяя тактику spear phishing. Их методы первоначальный доступ включают в себя использование общедоступных приложений, Существующие учетные записи и использование тактики Теневая (drive-by) компрометация. Оказавшись внутри, они могут повысить привилегии путем Манипуляции с учетной записью и токенами, реализуя механизмы закрепление, такие как ключи запуска реестра, сценарии входа в систему и COM hijacking.

Что касается обход защиты, Fancy Bear использует множество методов, включая сокрытие артефактов, Маскировка законных ресурсов и использование руткит. Они также внедряют стратегии получение учетных данных, такие как Регистрация нажатий клавиш, прослушивание сетевого трафика и Получение дампа учетных данных операционной системы, что еще больше усиливает их способность проникать в целевые системы незамеченными. Их тактика перемещение внутри компании использует Службы удаленного доступа, позволяя им перемещаться по сетям, в то время как методы сбора демонстрируют расширенные возможности обработки данных, включая архивирование данных и их подготовку к эксфильтрация.

Более того, на этапах командования и контроля Fancy Bear использует Зашифрованный канал и Протокол прикладного уровня, что указывает на сложный подход к поддержанию связи с инфраструктурами компрометация. Их стратегии эксфильтрация используют альтернативные протоколы, гарантирующие, что украденные данные будут аккуратно переданы без обнаружения.

#ParsedReport #CompletenessMedium
12-02-2026

GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use

https://cloud.google.com/blog/topics/threat-intelligence/distillation-experimentation-integration-ai-adversarial-use/

Report completeness: Medium

Actors/Campaigns:
Unc6418
Apt42 (motivation: government_sponsored)
Unc2970 (motivation: government_sponsored)
Apt31
Unc795
Winnti
Cryptochameleon (motivation: financially_motivated)

Threats:
Honestcue
Xanthorox_tool
Spear-phishing_technique
Coinbait_tool
Promptflux
Credential_harvesting_technique
Clickfix_technique
Amos_stealer

Victims:
Financial services, Cryptocurrency, Various popular online services, General users of generative ai services, Defense sector

Industry:
E-commerce

Geo:
China, Ukraine, Iranian, Dprk, Pakistan, Korea, Iran, North korean, Saudi arabia, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1102, T1105, T1204, T1566, T1583, T1587, T1588, T1591, have more...

IOCs:
File: 7

Soft:
Discord, Supabase, macOS, ChatGPT, DeepSeek

Functions:
HONESTCUE

Win API:
GetTempFileName

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года Google Threat Intelligence Group выявила растущее использование искусственного интеллекта хакерская группировка для улучшения своих стратегий атак, сосредоточив внимание на атаках по извлечению моделей, нацеленных на организации, предоставляющие услуги искусственного интеллекта. Ключевые угрозы включали использование расширенных возможностей анализа данных моделей искусственного интеллекта, таких как Gemini, усиление фишинг-атак и операций управление с помощью специально разработанного контента. Кроме того, новое вредоносное ПО, такое как HONESTCUE, использовало API Gemini, отражая тенденцию к более сложным атакам, управляемым искусственным интеллектом, которые бросают вызов традиционным методам обнаружения.
-----

Во второй половине 2025 года Google Threat Intelligence Group (GTIG) сообщила о заметном росте внедрения Искусственный интеллект (ИИ) хакерская группировка для оптимизации жизненного цикла своих атак, особенно в разведка, социальная инженерия и разработка вредоносное ПО. Ключевым направлением этой тенденции является извлечение моделей или "дистилляционные атаки", которые создают значительные риски для интеллектуальной собственности организаций, особенно тех, которые предоставляют модели искусственного интеллекта в качестве услуги. Эти атаки связаны с использованием законного доступа к API для клонирования возможностей модели искусственного интеллекта, что привлекает внимание к необходимости усовершенствованных методов мониторинга.

Одной из важных целей для противников были продвинутые функции логического мышления Gemini. Злоумышленники попытались манипулировать моделью, чтобы раскрыть все ее внутренние процессы рассуждения, что указывает на возобновление внимания к приобретению проприетарной логики. По мере того как организации интегрируют большие языковые модели (LLM) в свою деятельность, потенциал атак на извлечение растет, что требует бдительности в отношении новых моделей использования API, которые могут сигнализировать о попытках извлечения.

GTIG наблюдала устойчивую тенденцию к тому, что спонсируемые государством актор используют Gemini для расширения своей деятельности. Это включает в себя использование искусственного интеллекта на различных этапах жизненного цикла атаки, от разведка и создания фишинг-приманки до улучшения разработки систем управление. Злоумышленник способен генерировать высокоспециализированный и культурно значимый контент для фишинг-рассылки с помощью LLMS, что подрывает традиционные показатели попыток фишинг-рассылки, затрудняя их обнаружение. Такая изощренность позволяет быстро определять цели и разрабатывать более эффективную стратегию атаки, которая позволяет быстро переходить от разведка к оперативным этапам.

В отчете освещаются конкретные случаи, такие как использование искусственного интеллекта для создания сложных фишинг-наборов, таких как COINBAIT, предназначенных для выдачи себя за законные криптовалютные биржи для сбор учетных записей. Кроме того, был отмечен новый вариант вредоносное ПО под названием HONESTCUE, который использовал API Gemini для улучшения генерации функциональности, что указывает на тенденцию к созданию более сложных вредоносных инструментов с поддержкой искусственного интеллекта, предназначенных для обхода традиционных методов обнаружения.

Более того, в отчете обсуждается появление угроз, связанных с подпольным рынком, где наблюдается растущий интерес к использованию искусственного интеллекта в злонамеренных целях. Это включает в себя использование общественного доверия к сервисам генеративного искусственного интеллекта для атак социальной инженерии, таких как известные кампании "ClickFix", когда злоумышленники побуждали пользователей выполнять команды, содержащие вредоносное ПО.

#ParsedReport #CompletenessHigh
12-02-2026

BADIIS to the Bone: New Insights to a Global SEO Poisoning Campaign

https://www.elastic.co/security-labs/badiis-to-the-bone-new-insights-to-global-seo-poisoning-campaign

Report completeness: High

Actors/Campaigns:
Uat-8099
Ref4033

Threats:
Seo_poisoning_technique
Badiis
Vmprotect_tool
Procmon_tool

Victims:
Governments, Corporate organizations, Educational institutions, Iis servers, Windows web servers, Multinational organization in southeast asia

Industry:
E-commerce, Entertainment, Government, Telco, Healthcare

Geo:
Apac, Vietnam, Vietnamese, Bangladesh, India, Australia, Japan, Chinese, Brazil, Korea, Asia, Lithuania, China, Pakistan, Asian, Nepal

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 13
Path: 7
Url: 22
Domain: 81
Hash: 82
IP: 5

Soft:
Windows service, NET Framework, Android

Algorithms:
sha256, aes-128

Win API:
CopyFileA, SeImpersonatePrivilege

Languages:
javascript, php

Platforms:
apple, x64

YARA: Found

Links:
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/initial\_access\_suspicious\_microsoft\_iis\_worker\_descendant.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/privilege\_escalation\_privilege\_escalation\_via\_seimpersonateprivilege.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/privilege\_escalation\_potential\_privilege\_escalation\_via\_token\_impersonation.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, table: 1, windows: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Elastic Security Labs обнаружила значительное вторжение со стороны преступная хакерская группировка REF4033, которая нацелен на серверы Windows IIS с использованием вредоносного ПО BADIIS. Эта атака подвергла компрометация более 1800 серверов по всему миру, используя неизвестный начальный вектор для быстрого получения контроля, за которым последовала разведка с помощью веб-оболочки. BADIIS работает как вредоносный модуль, который внедряет SEO-контент на основе определенных HTTP-заголовков, способствуя монетизации за счет продвижения незаконного контента, сохраняя при этом скрытность на протяжении всей своей деятельности.
-----

В ноябре 2025 года Elastic Security Labs выявила значительное вторжение, затронувшее многонациональную организацию в Юго-Восточной Азии, отслеживая деятельность, связанную с преступная хакерская группировка, известная как REF4033. Эта группа причастна к крупномасштабной кампании по SEO poisoning с использованием вредоносной программы BADIIS, которая специально нацелена на серверы Windows Internet Information Services (IIS). В результате анализа была выявлена компрометация более 1800 серверов Windows по всему миру, затронувшая различные секторы, включая государственные учреждения, корпорации и образовательные учреждения во многих странах, включая Австралию, Китай и Индию.

Последовательность вторжений началась с неизвестного вектора атаки, который позволил злоумышленник-злоумышленнице установить контроль над сервером Windows IIS в течение 17 минут. Злоумышленник инициировал разведка с помощью веб-оболочки, запущенной в рамках рабочего процесса IIS (w3wp.exe ), что привело к развертыванию BADIIS вредоносное ПО с помощью серии промежуточных файлов. Основной исполняемый файл, CbsMsgApi.exe , содержит элементы, указывающие на происхождение атаки, включая упрощенные строки на китайском языке. Этот исполняемый файл отвечает за установку последующих вредоносных модулей, включая критический компонент CbsMsgApi.dll , который изменяет конфигурации IIS для размещения вредоносное ПО BADIIS.

BADIIS работает как вредоносный модуль IIS с функциональностью, предназначенной для внедрения или перенаправления вредоносного SEO-контента на основе определенных заголовков HTTP-запросов, таких как User-Agent или Refererer. Этот метод обфускации позволяет вредоносное ПО оставаться незамеченным во время обычной работы, эффективно монетизируя инфраструктуры компрометация за счет продвижения азартных игр и другого незаконного контента.

Технические детали кампании соответствуют тактике, задокументированной в MITRE ATT&CK фреймворк, что указывает на системный подход к использованию уязвимых серверов в более широких вредоносных целях. Идентифицированные хэши SHA-256 подтверждают наличие различных компонентов вредоносное ПО и их соответствующую роль в жизненном цикле атаки. Более того, исследования инфраструктуры домена выявили подключения к нескольким серверам конфигурации и контента, используемым кампанией BADIIS, что иллюстрирует многоуровневый и постоянный подход к кибероперациям.

#ParsedReport #CompletenessMedium
12-02-2026

Dark Web Profile: The Gentlemen Ransomware

https://socradar.io/blog/dark-web-profile-the-gentlemen-ransomware/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)

Threats:
Gentlemen_ransomware
Byovd_technique

Victims:
Medium to large organizations

Industry:
Education, Financial, Healthcare

Geo:
Indonesia, France, Colombia, Brazil, Vietnam, Thailand, United kingdom

TTPs:
Tactics: 10
Technics: 32

IOCs:
File: 4

Soft:
Linux, ESXi, Active Directory, PsExec

Algorithms:
curve25519, xchacha20

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Gentlemen Ransomware является вымогателей-как-услуга (Раас) группа возникающие в середине 2025, ориентированных на средних и крупных организаций. Они используют изощренные методы на повышение привилегий и перемещение внутри компании, позволяя им получить доступ и эффективное использование комплексных корпоративных систем. Текущие кампании в начале 2026 указать их адаптивный характер и намерения эксплуатировать уязвимости в системе безопасности.
-----

Gentlemen Ransomware - это появляющаяся преступная хакерская группировка, которая впервые получила известность благодаря активным кампаниям, отмеченным в августе 2025 года, хотя первые сигналы о разработке относятся к июлю 2025 года. Это программное обеспечение-вымогатель работает как программа-вымогатель как услуга (RaaS), привлекая партнеров с помощью структурированной партнерской модели, которая была объявлена в сообщении на форуме Dark Web в сентябре 2025 года. Группа нацелена на средние и крупные организации со сложной корпоративной средой, привлекая широкий круг жертв.

The Gentlemen вымогателей использует эффективный цепная реакция характеризуется адаптивный инструментарий и достаточный доступ к корпоративным системам. Конкретные методы, используемые в их операции включают в себя методы, направленные на повышение привилегий и перемещение внутри компании в сетях, что позволит им максимально эффективно воздействие удара. Усилия по смягчению последствий в отношении The Gentlemen подчеркивают важность предотвращения злоупотребления привилегиями и сосредоточения внимания на механизмах обнаружения на ранней стадии. Этот подход предпочтительнее традиционных методов, основанных на сигнатурах, которые могут быть не столь эффективны против этой адаптивной угрозы.

Недавние сообщения указывают на то, что группа активно добавляла жертв в начале 2026 года. Информация, полученная из источников мониторинга программ-вымогателей, подчеркивает постоянный и эволюционирующий характер их кампаний. Организациям рекомендуется усилить свою защиту для противодействия конкретным угрозам, исходящим от этой группы программ-вымогателей, поскольку она демонстрирует явные возможности и намерение использовать слабые места в корпоративной безопасности.

#ParsedReport #CompletenessLow
12-02-2026

Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary\]

https://isc.sans.edu/diary/32708

Report completeness: Low

Threats:
Ssh_worm

Victims:
Linux systems

Industry:
Telco, Iot

Geo:
Germany, Deutschland

TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 1

Soft:
Linux, sshpass, Raspberry Pi, Twitter

Platforms:
raspbian

Links:
https://github.com/bruneaug/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещается угроза, исходящая от самораспространяющегося SSH worm, который использует слабые SSH-пароли с помощью атак Подстановка украденных учетных данных. Это вредоносное ПО использует криптографически подписанный механизм управления для быстрого распространения среди систем Linux, подвергшихся компрометация, подчеркивая сохраняющуюся уязвимость, связанную со слабыми учетные данные. Его сложная работа усложняет обнаружение, позволяя ему быстро заражать дополнительные хосты, что подчеркивает необходимость применения надежных паролей в Кибербезопасность.
-----

В статье обсуждается сохраняющаяся угроза, исходящая от операторов ботнет, которые используют слабые SSH-пароли, которые по-прежнему являются серьезной уязвимостью в Интернете. Основное внимание уделяется самораспространяющемуся SSH worm, который использует криптографически подписанный механизм управления (C2), позволяющий ему эффективно распространять и выполнять команды в системах компрометация.

Этот червь использует атаки Подстановка украденных учетных данных, которые позволяют злоумышленникам получать несанкционированный доступ к системам Linux, используя слабые или часто используемые SSH-пароли. Как только устройство подвергнуто компрометация, червь может инициировать массовое заражение, потенциально компрометация дополнительных хостов в течение нескольких секунд. Быстрое распространение такого вредоносное ПО подчеркивает важность надежного управления учетными данными и применения политики надежных паролей для защиты от подобных типов автоматических атак.

В статье подчеркивается, что, несмотря на достижения в области обеспечения безопасности, слабые учетные данные остаются критической зоной атаки для киберугроза. Криптографическая подпись червем сообщений C2 повышает уровень сложности, возможно, затрудняя решениям по обеспечению безопасности обнаружение и смягчение его активности. Поддержание бдительности в отношении этого типа вредоносное ПО требует сочетания надежных паролей и постоянного мониторинга сетевого трафика для выявления необычного поведения, указывающего на попытки эксплуатации или активность ботнет-сети.

#ParsedReport #CompletenessMedium
12-02-2026

Emulating the Elusive Cephalus Ransomware

https://www.attackiq.com/2026/02/05/emulating-cephalus-ransomware/

Report completeness: Medium

Threats:
Cephalus
Dll_sideloading_technique
Process_injection_technique
Shadow_copies_delete_technique

TTPs:
Tactics: 2
Technics: 13

IOCs:
Hash: 1
Path: 1
Registry: 1
File: 2

Soft:
Windows Defender, Microsoft Defender

Algorithms:
sha256, rsa-1024, aes, aes-256

Functions:
Set-MpPreference

Win API:
VirtualAlloc, VirtualProtect, GetSystemInfo, RtlGetVersion, GetComputerNameExW, GetUserNameW, GetEnvironmentStrings, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cephalus ransomware использует process Injection с использованием API-интерфейсов VirtualAlloc и VirtualProtect для первоначального развертывания, обеспечивая выполнение вредоносного кода в рамках законных процессов. Он выполняет разведка путем сбора системной информации с помощью различных вызовов API и отключает защитник Windows, чтобы избежать обнаружения. Программа-вымогатель использует AES-256 для шифрования файлов, управляя ключами с помощью RSA-1024, и может удалять Shadow Copies томов, чтобы препятствовать восстановлению данных, используя такие методы, как DLL Side-Loading, чтобы повысить свой риск.
-----

Эмуляция Cephalus ransomware направлена на ознакомление организаций с направлениями ее атак и повышение уровня их безопасности. Развертывание программы-вымогателя начинается с process Injection с помощью API VirtualAlloc и VirtualProtect, что позволяет ей запускать вредоносный код в рамках законных процессов. Чтобы поддерживать закрепление, Cephalus создает запланированные задачи, гарантирующие их выполнение после перезагрузки системы.

На этапе обнаружения Cephalus проводит тщательную разведка, собирая системные и пользовательские данные с помощью API, таких как GetSystemInfo и RtlGetVersion. Он также собирает переменные среды с помощью GetEnvironmentStrings и перечисляет запущенные процессы с помощью семейства API CreateToolhelp32Snapshot, что помогает отобразить среду компрометация для дальнейшей эксплуатации.

Чтобы избежать обнаружения, Cephalus отключает защиту защитника Windows с помощью PowerShell и изменений в реестре, а также обновляет списки исключений, чтобы обеспечить себе безопасное рабочее пространство. Вредоносное ПО является ключевой частью стратегии обход защиты.

Фаза "Воздействие" начинается с удаления Shadow Copies тома с помощью vssadmin.exe , что помогает предотвратить восстановление данных жертвы. Cephalus извлекает информацию об адаптере и диске с помощью API GetAdaptersInfo и DeviceIoControl. Затем он обходит файловую систему и готовится к шифрованию с помощью вызовов FindFirstFileW и FindNextFileW. В процессе шифрования применяется AES-256 в режиме CTR для шифрования файлов при безопасном управлении ключами шифрования с помощью RSA-1024.

Дополнительным отмеченным методом является DLL Side-Loading (T1574.002), который позволяет программе-вымогателю использовать законные приложения для загрузки своей вредоносной библиотеки динамических ссылок (DLL), тем самым создавая дополнительные риски. Эмуляция cephalus Ransomware служит для того, чтобы оценить и укрепить защитные силы безопасности, об обязании службы безопасности в целях повышения их возможностей по реагированию на этом изощренная угроза. На основе непрерывного контроля и оценки организации могут усовершенствовать свои меры безопасности и повысить их общую эффективность против таких киберугроз.

#ParsedReport #CompletenessHigh
12-02-2026

Nation-State Actors Exploit Notepad++ Supply Chain

https://unit42.paloaltonetworks.com/notepad-infrastructure-compromise/

Report completeness: High

Actors/Campaigns:
Dragonfish
Volt_typhoon
Ghostemperor

Threats:
Cobalt_strike_tool
Dll_sideloading_technique
Supply_chain_technique
Chrysalis
Microsoft_warbird_tool
Lolbin_technique
Aitm_technique

Victims:
Notepad++ users, Cloud hosting industry

Industry:
Energy, Government, Critical_infrastructure, Software_development, Telco

Geo:
America, Australia, India, Middle east, Japan, Asia, Korea

TTPs:

IOCs:
File: 21
IP: 5
Url: 9
Hash: 13
Domain: 4

Soft:
NSIS installer

Win API:
EnumWindowStationsW

Languages:
php, lua

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4