#ParsedReport #CompletenessLow
12-02-2026

Inside the Ecosystem, Operations: DragonForce

https://medium.com/s2wblog/inside-the-ecosystem-operations-dragonforce-11048db4cbb0

Report completeness: Low

Actors/Campaigns:
Dragonforce
0ktapus

Threats:
Dragonforce_ransomware
Eldorado_ransomware
Ransomhub
Devman
Lockbit
Conti
Ransombay_raas
Qilin_ransomware
Byovd_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1486, T1583.001, T1585.003, T1587.001

Soft:
Linux, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, группа программ-вымогателей, действующая по модели "Программа-вымогатель как услуга" с декабря 2023 года, атаковала 363 компании, причем активность возросла с 2025 года. Их программа-вымогатель основана на утечке исходного кода LockBit 3.0 и Conti, включая версии как для Windows, так и для Linux, которые используют метод BYOVD для завершения процесса с расширенными функциями для систем ESXi. Их передовая инфраструктура поддерживает управление клиентами и генерацию сборок, а изменения в правилах шифрования и метаданных указывают на эволюцию их операционных возможностей.
-----

DragonForce - это группа программ-вымогателей, которая появилась в декабре 2023 года и работает по модели "Программа-вымогатель как услуга" (RaaS). Группа взяла на себя ответственность за атаки на 363 компании в период с декабря 2023 по январь 2026 года, при этом с 2025 года отмечается значительный рост активности. В отличие от типичных операций RaaS, DragonForce отличается тем, что предлагает широкий спектр услуг, которые включают в себя нацеливание на конкурирующие группы и формирование альянсов, тем самым устанавливая более сложную операционную парадигму в экосистеме программ-вымогателей.

Программа-вымогатель группы основана на утечке LockBit 3.0 (также известной как LockBit Black) и исходном коде Conti. По состоянию на начало 2026 года конструктор, основанный на LockBit 3.0, больше не доступен, что указывает на эволюцию их операционных возможностей. DragonForce использует различные форумы Dark Web, такие как BreachForums, RAMP и Exploit, для утечки украденных данных и вербовки аффилированных лиц и пентестеров. Группа продвигает разнообразный набор услуг, включая расширенный анализ данных и звонки о домогательствах, которые призваны отличить ее от других группировок программ-вымогателей.

Детальное изучение партнерской инфраструктуры выявило расширенную панель с возможностями управления клиентами, генерацией сборок и инструментами координации. Программа-вымогатель работает как на платформах Windows, так и на Linux, в частности, нацелена на системы ESXi, NAS и RHEL. Версия для Windows использует метод BYOVD для завершения процесса и поддерживает основные функции шифрования, за исключением структурных изменений в метаданных и макете конфигурации. В отличие от этого, вариант Linux реализует дополнительные функции, такие как обработка завершения работы виртуальной машины для версии ESXi, сохраняя при этом идентичные основные процессы во всех версиях.

Ключевые обновления в конфигурации программы-вымогателя включают добавление поля "encryption_rules" и изменения в структуре метаданных, которые увеличили размер, связанный с зашифрованными файлами. Процедура расшифровки использует алгоритм ChaCha8 и остается неизменной во всех сборках. Стратегический подход DragonForce's продолжает развиваться, предполагая изменение целей, поскольку компания стремится расширить свое операционное присутствие, используя как отношения сотрудничества, так и тактику противостояния конкурирующим группам вымогателей.

#ParsedReport #CompletenessLow
12-02-2026

Carding-as-a-Service: The Underground Market of Stolen Cards

https://www.rapid7.com/blog/post/tr-carding-as-a-service-stolen-credit-cards-fraud

Report completeness: Low

Actors/Campaigns:
Dragonfish

Threats:
Majik_pos
Blackpos
Chrysalis

Victims:
Banking and payments industry, Consumers, Organizations, Merchants

Industry:
E-commerce, Petroleum, Iot, Financial

Geo:
France, Peru, China, Norway, Canada, American, Russian, United kingdom

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.003, T1056.004, T1059.007, T1557, T1566

IOCs:
Domain: 3

Wallets:
zcash

Crypto:
bitcoin, litecoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кардинг-экономика создала структурированный рынок украденной информации о кредитных картах, предлагающий такие услуги, как "CaaS", который включает в себя CVV, fullz и dumps. Злоумышленники все чаще используют фишинг и инструменты PhaaS для получения данных кредитных карт, в то время как варианты вредоносное ПО нацелены на POS-системы, захватывая не только информацию о картах, но и личные данные. Передовые методы взлома, такие как подделка EMV-карт, находятся на подъеме, а специализированные подпольные платформы облегчают эту незаконную деятельность и усложняют ландшафт угроз для организаций.
-----

Кардинговая экономика превратилась в структурированный подпольный рынок краденых данных кредитных карт, несмотря на активные усилия по борьбе с мошенничеством с кредитными картами. Этот незаконный рынок, часто называемый "кардинг как услуга" (CaaS), состоит из различных предложений, включая номера кредитных карт, личную информацию и исходные данные для клонирования карт, известные как "дампы". Эти рынки, работающие аналогично законным онлайн—платформам, облегчают продажу нескольких типов финансовой информации, полученной мошенническим путем, в просторечии называемой "CVV", "fullz" и "dumps", каждая из которых содержит различные уровни детализации о владельце карты.

Фишинг остается распространенным методом получения украденной информации о кредитных картах, при этом доступно все большее число инструментов фишинг как услуга (PhaaS), что упрощает проведение фишинг-кампаний для злоумышленников. Эти платформы обеспечивают инфраструктуру и дизайн, позволяющие преступникам легко заманивать жертв в ловушку, заставляя их раскрывать конфиденциальную личную финансовую информацию. Также эволюционировали инструменты физического взлома, такие как "шимминг", нацеленный на современные карты с чипом EMV. Этот сдвиг свидетельствует о переходе от традиционных методов "скимминга" к использованию более сложных технологий для извлечения данных карт из платежных устройств и банкоматов.

Вредоносное ПО еще больше усложнило ландшафт угроз благодаря разработке вариантов, предназначенных для проникновения в системы и сети торговых точек (POS). Примечательно, что вредоносное ПО-стиллер позволяет собирать не только данные кредитной карты, но и информацию, позволяющую установить личность (PII). Кроме того, криминальные форумы делятся методами веб-эксплуатации, включая образец кода для межсайтового скриптинга (XSS), что позволяет злоумышленникам размещать вредоносные скрипты на платежных страницах для получения конфиденциальной информации непосредственно от пользователей.

На подпольном рынке кардинга есть несколько известных платформ, таких как "Findsome", "UltimateShop" и "Brian's Club", которые занимаются продажей CVV и fullz по различным ценам, основанным на предполагаемом качестве данных. В то время как масштаб мошенничества с магнитными полосами уменьшается из-за развития технологии EMV, локализованные операции, включающие шимминг и захват пин-кода, могут сохраниться, что позволяет предположить, что в будущем кардинг станет менее глобальным, но более специализированным и изощренным.

По мере того как экономика кардинга процветает, ее последствия выходят за рамки финансовых потерь, затрагивая целостность личных данных и приводя к долгосрочным последствиям для жертв. Перед организациями стоит задача внедрить надежные стратегии не только для управления отдельными случаями мошенничества, но и для нарушения общей supply chain этой криминальной экономики. Одних только традиционных мер безопасности недостаточно, и постоянный мониторинг активности в Dark Web и упреждающее реагирование на возникающие угрозы имеют решающее значение для снижения рисков, связанных с кражей кредитных карт, в этой меняющейся среде.

#ParsedReport #CompletenessMedium
12-02-2026

Employee Monitoring and SimpleHelp Software Abused in Ransomware Operations

https://www.huntress.com/blog/employee-monitoring-simplehelp-abused-in-ransomware-operations

Report completeness: Medium

Threats:
Simplehelp_tool
Crazy_ransomware
Anydesk_tool
Teamviewer_tool
Voidcrypt

Victims:
Enterprise environments

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1036.005, T1059, T1059.001, T1071.001, T1078, T1082, T1105, T1133, have more...

IOCs:
File: 5
IP: 5
Domain: 3
Path: 1
Url: 1
Hash: 4

Soft:
Microsoft OneDrive, Windows Defender, Windows registry, Windows service, JWrapper, ChatGPT, Claude

Wallets:
metamask, exodus_wallet, bybit

Crypto:
binance, kucoin

Algorithms:
sha256

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, table: 1, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние наблюдения показывают, что злоумышленник злоупотребляет программным обеспечением для мониторинга сотрудников, в частности Net Monitor for Employees Professional, для атак с использованием программ-вымогателей. Функции этого программного обеспечения, включая удаленное управление рабочим столом и обратные подключения к оболочке, облегчают необнаруженный доступ и выполнение команд, усложняя идентификацию вредоносных действий. В конкретных инцидентах злоумышленники использовали этот инструмент для разведка и доставки вредоносное ПО со ссылками на операции, нацеленные на криптовалютную деятельность, и развертывание Crazy ransomware, что указывает на тревожную тенденцию использования законного программного обеспечения в качестве оружия.
-----

Недавние наблюдения выявили злоупотребление программным обеспечением для мониторинга сотрудников, в частности Net Monitor for Employees Professional, в операциях с программами-вымогателями. Этот коммерческий инструмент, предназначенный для отслеживания производительности труда сотрудников, включает в себя такие функции, как удаленное управление рабочим столом и обратные подключения к оболочке, что позволяет злоумышленник действовать незамеченным в корпоративной среде. Его возможности позволяют злоумышленникам выполнять команды, что усложняет различие между законными административными инструментами и теми, которые используются в злонамеренных целях.

Злоумышленник использовал псевдотерминал, поставляемый в комплекте с этим программным обеспечением, для различных вредоносных действий, включая разведка и рассылку дополнительного вредоносное ПО. Возможность маскировать инструмент мониторинга под законные приложения, такие как Microsoft OneDrive, еще больше помогает интегрировать эти атаки в обычные операции организации. В одном случае атака с использованием этого инструмента завершилась попыткой развертывания Crazy ransomware, где было обнаружено несколько экземпляров вредоносное ПО, что указывает на то, что предыдущие попытки развертывания завершились неудачей. Использование схожих соглашений об именовании и инфраструктуры управление-перехвата (C2) в различных инцидентах позволяет предположить, что эти операции связаны с одним и тем же злоумышленник или группой.

Другой важный случай был связан с присвоением инструмента удаленной поддержки SimpleHelp, используемого злоумышленник, который изначально компрометация учетной записи поставщика SSL VPN. Впоследствии этот актор получил доступ через Протокол удаленного рабочего стола (RDP) к контроллеру домена, что облегчило интерактивный сеанс PowerShell для запуска дополнительных инструментов. Триггеры мониторинга в данном случае были финансово мотивированы и нацелены на деятельность, связанную с криптовалютой, что расширило цель разработки угрозы за пределы Ransomware.

Эти инциденты подчеркивают тревожную тенденцию, когда законное программное обеспечение становится оружием в кибероперациях. Возможности таких инструментов, как Net Monitor for Employees Professional, позволяют злоумышленникам прочно закрепиться в сетях, проявляя при этом минимальные внешние признаки компрометация. Для противодействия таким угрозам организациям рекомендуется внедрять надежные меры безопасности, включая Многофакторная аутентификация в службах удаленного доступа, строгое применение принципа наименьших привилегий и тщательный аудит программного обеспечения сторонних производителей с возможностями удаленного выполнения команд.

Эффективные стратегии защиты требуют сегментации сети, своевременного исправления внешних приложений и строгого мониторинга необычной активности процессов. Эти меры предосторожности направлены на снижение рисков, связанных с компрометация учетные данные, и обеспечивают фреймворк безопасности для борьбы с эволюционирующей тактикой, используемой злоумышленник при использовании, казалось бы, безопасных приложений.

#ParsedReport #CompletenessLow
13-02-2026

Multiple Threat Actors Rapidly Exploit React2Shell: A Case Study of Active Compromise

https://blogs.jpcert.or.jp/en/2026/02/multiple-threat-actors-rapidly-exploit-react2shell-a-case-study-of-active-compromise.html

Report completeness: Low

Actors/Campaigns:
Unc5174 (motivation: financially_motivated)
Unc6603 (motivation: financially_motivated)

Threats:
React2shell_vuln
Xmrig_miner
Hisonic
Snowlight
Crossc2_tool
Cobalt_strike_tool
Gsocket_tool

Victims:
Websites

Geo:
Japan

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.003, T1059, T1105, T1190, T1491.001, T1496

IOCs:
File: 1
IP: 2
Hash: 11

Soft:
Linux

Algorithms:
sha256

Languages:
golang, javascript, java

#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, уязвимость в серверных компонентах React, раскрытая 3 декабря 2025 года, допускает неавторизованное Удаленное Выполнение Кода и была быстро использована злоумышленник. В течение нескольких дней после анонса злоумышленники внедрили различные майнеры монет и бэкдор под названием HISONIC, при этом активность расширилась, включив дополнительные вредоносное ПО, такие как SNOWLIGHT downloader и CrossC2, кульминацией чего стала дефейс веб-сайта, который выявил продолжающуюся эксплуатацию. Быстрое развертывание и разнообразие вредоносное ПО указывают на значительную и, возможно, более глубокую угрозу вторжения.
-----

Уязвимость, обозначенная как CVE-2025-55182, раскрытая 3 декабря 2025 года в серверных компонентах React, позволяет не прошедшее проверку подлинности Удаленное Выполнение Кода и активно использовалась несколькими злоумышленник вскоре после ее обнаружения. JPCERT/CC задокументировал различные инциденты, связанные с этой уязвимостью, с сообщениями об одновременных атаках, произошедших в течение нескольких дней после ее объявления. Эта ситуация подчеркивает скорость, с которой злоумышленники извлекают выгоду из легко эксплуатируемых слабых мест.

Атаки разворачивались в строго сжатые сроки. 5 декабря 2025 года злоумышленники впервые представили майнеры монет, включая такие варианты, как sex.sh и xmrig. На следующий день были установлены дополнительные майнеры монет, а также бэкдор, известный как HISONIC (javax), который был внедрен несколько раз. К 6 декабря вредоносные действия эволюционировали и включали ежечасное выполнение компонента под названием Global Socket (npm-cli) с помощью заданий cron. Более того, установка загрузчика SNOWLIGHT (javas) и CrossC2 (rsyslo) была зафиксирована в один и тот же день, что демонстрирует разнообразие развернутого вредоносное ПО. 7 декабря злоумышленники продолжили свои операции, добавив больше майнеров монет и изменив конфигурации cron для частого запуска замаскированного ядра. Кульминацией этой последовательности стала дефейс веб-сайта, на котором на нескольких языках появилось предупреждающее сообщение о критической уязвимости, что потребовало немедленных усилий по исправлению.

Инцидент был выявлен только пользователем, сообщившим о дефейс веб-сайта, что привело к дальнейшим расследованиям. Широкий спектр вредоносное ПО и компонентов, на которые оказано воздействие, позволяет предположить, что злоумышленники не ограничиваются только видимыми сбоями, но могут также способствовать более глубоким вторжениям, требующим более всесторонней оценки.

#ParsedReport #CompletenessMedium
13-02-2026

Malicious Chrome Extension Steals Meta Business Manager Exports and TOTP 2FA Seeds

https://socket.dev/blog/malicious-chrome-extension-steals-meta-business-manager-exports-and-totp-2fa-seeds

Report completeness: Medium

Actors/Campaigns:
Cl_suite

Threats:
Supply_chain_technique

Victims:
Meta business accounts, Facebook business accounts

TTPs:
Tactics: 3
Technics: 9

IOCs:
Domain: 2
Email: 2
Url: 3
File: 5

Soft:
Chrome, Telegram, Outlook, Google Chrome, Instagram

Functions:
getClientIP

Win API:
sendMessage

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CL Suite, вредоносное расширение для Chrome, созданное CLMasters, специально нацелено на учетные записи Meta Business Manager и Facebook, эффективно обходя двухфакторную аутентификацию (2FA) и извлекая конфиденциальные бизнес-данные. Он крадет исходные данные и коды одноразовых паролей на основе времени (TOTP) без согласия пользователя, создавая значительные риски при компрометация паролей. Кроме того, расширение использует различные методы атак из фреймворк MITRE ATT&CK, такие как Компрометация цепочки поставок и эксфильтрация данных, что подчеркивает сложную угрозу организациям, зависящим от платформ Meta.
-----

Вредоносное расширение Chrome, известное как CL Suite, разработанное группой CLMasters, представляет значительную угрозу, поскольку нацелено на учетные записи Meta Business Manager и Facebook. Это расширение способно нейтрализовать двухфакторную аутентификацию (2FA), одновременно удаляя конфиденциальные бизнес-данные, такие как контактная информация и аналитика. Работа этого расширения позволяет злоумышленник получить доступ к критически важным административным функциям, на которые организации полагаются при управлении своими аккаунтами в Facebook и Instagram, что делает его ценной целью.

Одним из основных свойств расширения CL Suite является его способность красть исходные данные и коды одноразового пароля на основе времени (TOTP). Отправляя эти конфиденциальные фрагменты информации за пределы устройства без согласия пользователя, это фактически подрывает безопасность, которую призван обеспечивать 2FA. Несмотря на то, что расширение напрямую не крадет пароли, как только пароль или канал восстановления взломан другими способами, злоумышленники могут легко завладеть учетными записями, особенно если 2FA не был сброшен с новым секретом.

Вредоносная архитектура расширения включает в себя коммуникационный канал, направленный на серверы командования и контроля (C2), управляемые злоумышленник, включая методы передачи телеметрических данных через Telegram. Структура кода указывает на различные модули, включая один для генерации кодов TOTP и другой, предназначенный для извлечения пользовательских данных из интерфейса Business Manager. Когда расширение используется, оно выполняет такие действия, как очистка объектной модели документа (DOM) для сбора сведений о пользователях, генерация CSV-файлов с этими извлеченными данными и автоматическая передача конфиденциальной информации на внешние серверы.

Что касается методов атаки, расширение использует множество тактик, перечисленных в фреймворк MITRE ATT&CK. К ним относятся Компрометация цепочки поставок с помощью расширений браузера, Выполнение с участием пользователя вредоносного кода с помощью JavaScript и эксфильтрация данных через Веб-сервисы. В целом, расширение CL Suite является примером изощренного поведения вредоносное ПО, сочетающего методы фишинг с эксфильтрация данных, ставя под угрозу критически важные процессы Многофакторная аутентификация. Это представляет собой всеобъемлющий риск для организаций, использующих бизнес-инструменты Meta, что требует повышенной бдительности в отношении подобных браузерных угроз.

#ParsedReport #CompletenessLow
10-02-2026

Breaking Down ZeroDayRAT - New Spyware Targeting Android and iOS

https://iverify.io/blog/breaking-down-zerodayrat---new-spyware-targeting-android-and-ios

Report completeness: Low

Threats:
Zerodayrat
Smishing_technique

Victims:
Individuals, Organizations, Mobile users

Industry:
Financial

Geo:
India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1056, T1115, T1123, T1125, T1430, T1517, T1646

Soft:
Android, Telegram, WhatsApp, Instagram

Wallets:
metamask, coinbase

Crypto:
binance

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4