#ParsedReport #ExtractedSchema

Classified images:
code: 3, windows: 1, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, уязвимость в серверных компонентах React, раскрытая 3 декабря 2025 года, допускает неавторизованное Удаленное Выполнение Кода и была быстро использована злоумышленник. В течение нескольких дней после анонса злоумышленники внедрили различные майнеры монет и бэкдор под названием HISONIC, при этом активность расширилась, включив дополнительные вредоносное ПО, такие как SNOWLIGHT downloader и CrossC2, кульминацией чего стала дефейс веб-сайта, который выявил продолжающуюся эксплуатацию. Быстрое развертывание и разнообразие вредоносное ПО указывают на значительную и, возможно, более глубокую угрозу вторжения.
-----

Уязвимость, обозначенная как CVE-2025-55182, раскрытая 3 декабря 2025 года в серверных компонентах React, позволяет не прошедшее проверку подлинности Удаленное Выполнение Кода и активно использовалась несколькими злоумышленник вскоре после ее обнаружения. JPCERT/CC задокументировал различные инциденты, связанные с этой уязвимостью, с сообщениями об одновременных атаках, произошедших в течение нескольких дней после ее объявления. Эта ситуация подчеркивает скорость, с которой злоумышленники извлекают выгоду из легко эксплуатируемых слабых мест.

Атаки разворачивались в строго сжатые сроки. 5 декабря 2025 года злоумышленники впервые представили майнеры монет, включая такие варианты, как sex.sh и xmrig. На следующий день были установлены дополнительные майнеры монет, а также бэкдор, известный как HISONIC (javax), который был внедрен несколько раз. К 6 декабря вредоносные действия эволюционировали и включали ежечасное выполнение компонента под названием Global Socket (npm-cli) с помощью заданий cron. Более того, установка загрузчика SNOWLIGHT (javas) и CrossC2 (rsyslo) была зафиксирована в один и тот же день, что демонстрирует разнообразие развернутого вредоносное ПО. 7 декабря злоумышленники продолжили свои операции, добавив больше майнеров монет и изменив конфигурации cron для частого запуска замаскированного ядра. Кульминацией этой последовательности стала дефейс веб-сайта, на котором на нескольких языках появилось предупреждающее сообщение о критической уязвимости, что потребовало немедленных усилий по исправлению.

Инцидент был выявлен только пользователем, сообщившим о дефейс веб-сайта, что привело к дальнейшим расследованиям. Широкий спектр вредоносное ПО и компонентов, на которые оказано воздействие, позволяет предположить, что злоумышленники не ограничиваются только видимыми сбоями, но могут также способствовать более глубоким вторжениям, требующим более всесторонней оценки.

#ParsedReport #CompletenessMedium
13-02-2026

Malicious Chrome Extension Steals Meta Business Manager Exports and TOTP 2FA Seeds

https://socket.dev/blog/malicious-chrome-extension-steals-meta-business-manager-exports-and-totp-2fa-seeds

Report completeness: Medium

Actors/Campaigns:
Cl_suite

Threats:
Supply_chain_technique

Victims:
Meta business accounts, Facebook business accounts

TTPs:
Tactics: 3
Technics: 9

IOCs:
Domain: 2
Email: 2
Url: 3
File: 5

Soft:
Chrome, Telegram, Outlook, Google Chrome, Instagram

Functions:
getClientIP

Win API:
sendMessage

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CL Suite, вредоносное расширение для Chrome, созданное CLMasters, специально нацелено на учетные записи Meta Business Manager и Facebook, эффективно обходя двухфакторную аутентификацию (2FA) и извлекая конфиденциальные бизнес-данные. Он крадет исходные данные и коды одноразовых паролей на основе времени (TOTP) без согласия пользователя, создавая значительные риски при компрометация паролей. Кроме того, расширение использует различные методы атак из фреймворк MITRE ATT&CK, такие как Компрометация цепочки поставок и эксфильтрация данных, что подчеркивает сложную угрозу организациям, зависящим от платформ Meta.
-----

Вредоносное расширение Chrome, известное как CL Suite, разработанное группой CLMasters, представляет значительную угрозу, поскольку нацелено на учетные записи Meta Business Manager и Facebook. Это расширение способно нейтрализовать двухфакторную аутентификацию (2FA), одновременно удаляя конфиденциальные бизнес-данные, такие как контактная информация и аналитика. Работа этого расширения позволяет злоумышленник получить доступ к критически важным административным функциям, на которые организации полагаются при управлении своими аккаунтами в Facebook и Instagram, что делает его ценной целью.

Одним из основных свойств расширения CL Suite является его способность красть исходные данные и коды одноразового пароля на основе времени (TOTP). Отправляя эти конфиденциальные фрагменты информации за пределы устройства без согласия пользователя, это фактически подрывает безопасность, которую призван обеспечивать 2FA. Несмотря на то, что расширение напрямую не крадет пароли, как только пароль или канал восстановления взломан другими способами, злоумышленники могут легко завладеть учетными записями, особенно если 2FA не был сброшен с новым секретом.

Вредоносная архитектура расширения включает в себя коммуникационный канал, направленный на серверы командования и контроля (C2), управляемые злоумышленник, включая методы передачи телеметрических данных через Telegram. Структура кода указывает на различные модули, включая один для генерации кодов TOTP и другой, предназначенный для извлечения пользовательских данных из интерфейса Business Manager. Когда расширение используется, оно выполняет такие действия, как очистка объектной модели документа (DOM) для сбора сведений о пользователях, генерация CSV-файлов с этими извлеченными данными и автоматическая передача конфиденциальной информации на внешние серверы.

Что касается методов атаки, расширение использует множество тактик, перечисленных в фреймворк MITRE ATT&CK. К ним относятся Компрометация цепочки поставок с помощью расширений браузера, Выполнение с участием пользователя вредоносного кода с помощью JavaScript и эксфильтрация данных через Веб-сервисы. В целом, расширение CL Suite является примером изощренного поведения вредоносное ПО, сочетающего методы фишинг с эксфильтрация данных, ставя под угрозу критически важные процессы Многофакторная аутентификация. Это представляет собой всеобъемлющий риск для организаций, использующих бизнес-инструменты Meta, что требует повышенной бдительности в отношении подобных браузерных угроз.

#ParsedReport #CompletenessLow
10-02-2026

Breaking Down ZeroDayRAT - New Spyware Targeting Android and iOS

https://iverify.io/blog/breaking-down-zerodayrat---new-spyware-targeting-android-and-ios

Report completeness: Low

Threats:
Zerodayrat
Smishing_technique

Victims:
Individuals, Organizations, Mobile users

Industry:
Financial

Geo:
India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1056, T1115, T1123, T1125, T1430, T1517, T1646

Soft:
Android, Telegram, WhatsApp, Instagram

Wallets:
metamask, coinbase

Crypto:
binance

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ZeroDayRAT - недавно обнаруженная мобильная шпионская программа, нацеленная на устройства Android и iOS, доступная для покупки в Telegram. Это облегчает обширный мониторинг за счет получения уведомлений из таких приложений, как WhatsApp и Instagram, без взаимодействия с пользователем, а также позволяет вести наблюдение в реальном времени благодаря доступу к камерам и микрофонам в режиме реального времени наряду с отслеживанием по GPS. Примечательно, что это создает финансовые риски, поскольку сканирует приложения для криптовалютных кошельков и использует ввод адресов из буфера обмена для облегчения кражи.
-----

ZeroDayRAT - это недавно идентифицированное мобильное шпионское ПО, предназначенное как для устройств Android, так и для iOS, которое привлекло внимание благодаря своей доступности для покупки в Telegram со 2 февраля. Шпионское программное обеспечение продается по выделенным каналам продаж и поддержки клиентов, что отражает структурированный подход его разработчиков к удовлетворению потребностей покупателей, которым требуются комплексные возможности наблюдения.

Шпионское ПО позволяет осуществлять тщательный мониторинг устройств и профилирование пользователей. Оно перехватывает уведомления из различных приложений, включая WhatsApp, Instagram и Telegram, а также системные события, тем самым предоставляя злоумышленникам пассивную возможность наблюдать за действиями пользователя без необходимости взаимодействия с какими-либо приложениями. Эта возможность подчеркивает потенциальную возможность вторжения в личную жизнь, поскольку злоумышленники могут получить представление о личных коммуникациях и социальных взаимодействиях.

Помимо пассивного сбора данных, ZeroDayRAT также обладает возможностями видео-наблюдения. Это позволяет в режиме реального времени доступ к передней и задней камер, позволяет для записи экрана и запись звука с микрофона устройства. В сочетании с GPS слежения, эта функция позволяет злоумышленникам не только наблюдать, но и локализовать свои цели в любой момент, усиливая степень угрозы шпионского.

Финансовые угрозы и угрозы, связанные с криптовалютой, также являются важными компонентами ZeroDayRAT. Шпионское ПО включает в себя функцию, которая сканирует популярные приложения для кошельков, такие как MetaMask, Trust Wallet, Binance и Coinbase, регистрируя идентификаторы кошельков и балансы, чтобы облегчить потенциальную кражу. Более того, он использует внедрение адресов буфера обмена, заменяя адреса кошельков адресами злоумышленника, тем самым перенаправляя исходящие транзакции без ведома пользователя.

ZeroDayRAT представляет собой полный мобильный компрометация инструментарий, который сочетает в себе функциональность, которые традиционно ассоциируются с изысканным поддержке государства, вредоносное ПО в коммерчески доступного продукта. Кросс-платформенная поддержка и постоянное развитие подчеркнуть возрастающую угрозу пейзаж как индивидуальным пользователям, так и организациям, это важно для повышения осведомленности и возражения против таких новейших киберугроз.

#ParsedReport #CompletenessLow
13-02-2026

Fake shops target Winter Olympics 2026 fans

https://www.malwarebytes.com/blog/scams/2026/02/fake-shops-target-winter-olympics-2026-fans

Report completeness: Low

Victims:
Olympics fans, Consumers

Industry:
Transport

Geo:
Italy, Ireland, Czech, China, Italian

ChatGPT TTPs:
do not use without manual check
T1204, T1498, T1566, T1566.002, T1583.001

IOCs:
Domain: 18

Soft:
Outlook

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Поддельные интернет-магазины, ориентированные на болельщиков зимних Олимпийских игр 2026 года, превратились в серьезную киберугроза, эксплуатируя спрос на такие товары, как плюшевая игрушка Tina. Киберпреступники используют мошеннические веб-сайты, которые захватывают платежную карту и личную информацию пользователей во время оформления заказа, что приводит к попыткам фишинг-атак и потенциальному распространению вредоносное ПО с помощью поддельных подтверждений. Эта закономерность отражает прошлые олимпийские события, указывая на прогнозируемый рост числа мошенничеств, включая фишинг и фиктивные продажи, по мере нарастания ажиотажа в связи с играми.
-----

Сообщалось о появлении поддельных интернет-магазинов, ориентированных на болельщиков зимних Олимпийских игр 2026 года, как о серьезной киберугроза. Следуя растущему спросу на официальные товары, в частности на популярную плюшевую игрушку Tina, киберпреступники создали мошеннические веб-сайты, предназначенные для эксплуатации потребителей. Пользователи из разных стран, включая Ирландию, Чехию, Соединенные Штаты, Италию и Китай, были привлечены к этим сайтам, что указывает на скоординированную глобальную аферу.

Оперативная тактика этих поддельных олимпийских магазинов предполагает кражу конфиденциальной информации. Когда пользователи вводят данные своей платежной карты во время оформления заказа, мошенники собирают эти данные наряду с личной информацией, такой как имена, адреса и номера телефонов. Впоследствии жертвы могут получать электронные письма, содержащие фишинг, которые часто используются для дальнейшего манипулирования ими и обмана. Кроме того, эти мошеннические операции могут распространять вредоносное ПО через поддельные подтверждения заказов или вводящие в заблуждение ссылки для отслеживания. В конечном счете, эти сайты не только берут деньги с потребителей, но и не доставляют никаких товаров.

Тенденция киберпреступников извлекать выгоду из ажиотажа вокруг Олимпийских игр не нова. Исторические свидетельства показывают, что подобные схемы широко применялись во время предыдущих Олимпийских мероприятий, включая заметный рост продаж поддельных билетов во время Игр 2008 года в Пекине. Аналитики уже наблюдали всплески фишинг-атак на олимпийскую тематику и распределенных атак типа "Отказ в обслуживании" (DDoS) в преддверии предстоящих Игр 2024 года в Париже. Эта закономерность говорит о том, что во время зимних Олимпийских игр, скорее всего, произойдет всплеск аналогичных мошеннических действий, включая поддельные магазины, продажу поддельных билетов и фишинг-кампании через Социальные сети.

Поскольку ажиотаж вокруг зимних Олимпийских игр в Милане растет, болельщикам крайне важно сохранять бдительность в отношении новых видов мошенничества. Осознание и распознавание подобных мошеннических схем имеет важное значение, поскольку они могут стать более распространенными в преддверии мероприятия.

#ParsedReport #CompletenessHigh
13-02-2026

Into the heart of it: taking apart the new Head Mare toolkit

https://securelist.ru/head-mare-phantomheart-and-phantomproxylite/114753/

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Phantomheart
Lolbin_technique
Phantomproxylite_tool
Lite_manager_tool
Netscan_tool
Microsocks_tool
Ransom.win32.*
Mimikatz_tool
Advanced-port-scanner_tool
Lockbit

Victims:
Russian organizations

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1082, T1090, T1105

IOCs:
Domain: 19
Path: 4
Registry: 1
File: 8
Url: 1
IP: 13
Command: 3
Hash: 25

Soft:
TrueConf, OpenSSH, task scheduler, Windows registry

Algorithms:
aes-128-cbc

Functions:
Create-SSHServiceTask, TaskName

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Head Mare, связанная с проукраинской деятельностью, активизировала кибератаки против российских организаций, используя особую инфраструктуру и тактику. Центральным элементом их инструментария является бэкдор PhantomHeart PowerShell, позволяющий осуществлять удаленный доступ и туннелирование по SSH, а также однозначно идентифицировать системы компрометация для постоянной связи с их сервером C2. Они также переработали PhantomProxyLite в сценарий PowerShell и разработали новые утилиты для автоматизации задач после эксплуатации, что отражает их стратегическую эволюцию в кибероперациях.
-----

Группа Head Mare значительно активизировала вредоносную деятельность, направленную против российских организаций, особенно заметную в конце 2025 и начале 2026 года. Этот всплеск киберугроза характеризуется специфическим использованием инфраструктуры, тактикой атак и отличительными особенностями кода, которые связывают эти действия с проукраинской позицией группировки.

Ключевым элементом инструментария, используемого Head Mare, является бэкдор PhantomHeart PowerShell, который устанавливает канал удаленного доступа через HTTP-связь с сервером управления (C2). Этот бэкдор также может развертывать SSH-туннель по запросу оператора. Во время своей инициализации PhantomHeart создает идентификатор жертвы (ClientID) на основе MAC-адреса проводного сетевого адаптера системы компрометация. Этот идентификатор облегчает постоянную связь с сервером C2 и гарантирует, что конфигурация бэкдора остается специфичной для нацелен-ного хоста, повышая скрытность и закрепление вредоносное ПО.

Более того, группа обновила ранее известный инструмент PhantomProxyLite, который теперь переработан в сценарий PowerShell. Этот редизайн указывает на изменение их операционной фреймворк при сохранении основных функциональных возможностей, которые помогают в их кибероперациях.

В дополнение к инструментам на базе PowerShell группа Head Mare также расширила свой набор инструментов для постэксплуатации. Анализ выявил разработку новых утилит и скриптов, направленных на автоматизацию рутинных действий на уровне хоста. К ним относятся задачи, связанные с укреплением системы, управлением привилегиями и организацией доступа к сети, которые являются неотъемлемой частью поддержания контроля над системами компрометация и расширения их операционного охвата в нацелен-ных сетях. Эволюция и диверсификация инструментов, используемых группой Head Mare, подчеркивают стратегическую направленность на повышение их способности проводить и поддерживать кибероперации против своих противников.

#ParsedReport #CompletenessMedium
11-02-2026

ScreenConnect Under Attack: SmartScreen Evasion and RMM Abuse

https://www.forcepoint.com/blog/x-labs/screenconnect-attack

Report completeness: Medium

Threats:
Screenconnect_tool
Motw_bypass_technique

Victims:
Enterprises, It teams, Organizations using remote access tools

Industry:
Logistic, Healthcare, Government

Geo:
United kingdom, Ireland, Canada, Iran

ChatGPT TTPs:
do not use without manual check
T1059.001, T1112, T1204.002, T1218.007, T1219, T1553.005, T1566.001

IOCs:
Domain: 2
File: 2
Hash: 5
Url: 1

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки, использующие уязвимости в ConnectWise ScreenConnect, позволяют злоумышленник получить первоначальный доступ к сети и внедрить вредоносное ПО, бэкдор или Ransomware. Используя поддельное электронное письмо для доставки вредоносного файла .cmd, злоумышленники повышают привилегии и отключают Windows SmartScreen, чтобы установить законное программное обеспечение ScreenConnect, используемое в качестве Троянская программа удаленного доступа (RAT) для постоянного доступа. Цепочка атак включает команды PowerShell с msiexec, которые извлекают и устанавливают компоненты, подчеркивая риск использования доверенного программного обеспечения в качестве оружия.
-----

Недавние атаки, нацеленные на ConnectWise ScreenConnect, популярный инструмент безопасного удаленного доступа, используют известные уязвимости в незащищенных системах, позволяя злоумышленникам получить первоначальный доступ к сетям. Воспользовавшись этими слабостями, злоумышленники часто внедряют вредоносное ПО, бэкдор или программы-вымогатели. Примечательно, что ScreenConnect все чаще используется в качестве законного инструмента для удаленного доступа, одновременно служащего прикрытием для вредоносных действий.

Цепочка атак включает в себя поддельное электронное письмо, которое доставляет вредоносный cmd-файл. Этот файл выполняется автоматически, повышает привилегии пользователя и отключает Windows SmartScreen, чтобы избежать обнаружения. Кроме того, он удаляет тег Mark-of-the-Web, который обычно сигнализирует о предупреждениях безопасности, позволяя установить законное программное обеспечение ScreenConnect. После развертывания злоумышленники используют этот инструмент как Троянская программа удаленного доступа (RAT) для поддержания постоянного доступа к управление через системы компрометация.

Анализ показывает, что в атаке используются команды PowerShell, вызывающие msiexec, который извлекает и устанавливает различные компоненты ScreenConnect, включая исполняемые файлы, библиотеки динамической компоновки (DLL) и файлы конфигурации. С помощью ScreenConnect.ClientService.exe двоичный файл запускается в фоновом режиме, обеспечивая удаленный доступ, которым злоумышленник может воспользоваться со злым умыслом.

Кампания иллюстрирует насущную проблему киберзащитников: потенциальную возможность использования злоумышленниками надежного, но уязвимого программного обеспечения в качестве оружия. В этом случае подписанная версия клиента ScreenConnect, несмотря на наличие явно отозванного сертификата, была автоматически развернута после компрометация. Это демонстрирует, как отключение функций безопасности, таких как SmartScreen и удаление тегов аутентификации, может эффективно обходить меры безопасности, основанные на репутации, подчеркивая необходимость бдительности при мониторинге и смягчении угроз, связанных с законными программными средствами, которые незаконно присваиваются злоумышленниками.

#ParsedReport #CompletenessHigh
12-02-2026

LockBit strikes with new 5.0 version, targeting Windows, Linux and ESXI systems

https://www.acronis.com/en/tru/posts/lockbit-strikes-with-new-50-version-targeting-windows-linux-and-esxi-systems/

Report completeness: High

Actors/Campaigns:
Lockbit

Threats:
Lockbit
Smokeloader
Process_hollowing_technique
Stealbit
Blackmatter
Blackcat

Industry:
Critical_infrastructure, Healthcare, Government

Geo:
Russian, American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1622

IOCs:
File: 1
Domain: 2
Hash: 6
IP: 2
Url: 26

Soft:
Linux, ESXI, twitter, Event Tracing for Windows

Algorithms:
curve25519, xchacha20, exhibit, chacha20

Functions:
fork, SetInformationByHandle

Win API:
NtClose, GetSystemDirectoryW, GetSystemInfo, EvtClearLog

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 4, schema: 2, windows: 8, dump: 18, code: 6