#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Head Mare, связанная с проукраинской деятельностью, активизировала кибератаки против российских организаций, используя особую инфраструктуру и тактику. Центральным элементом их инструментария является бэкдор PhantomHeart PowerShell, позволяющий осуществлять удаленный доступ и туннелирование по SSH, а также однозначно идентифицировать системы компрометация для постоянной связи с их сервером C2. Они также переработали PhantomProxyLite в сценарий PowerShell и разработали новые утилиты для автоматизации задач после эксплуатации, что отражает их стратегическую эволюцию в кибероперациях.
-----

Группа Head Mare значительно активизировала вредоносную деятельность, направленную против российских организаций, особенно заметную в конце 2025 и начале 2026 года. Этот всплеск киберугроза характеризуется специфическим использованием инфраструктуры, тактикой атак и отличительными особенностями кода, которые связывают эти действия с проукраинской позицией группировки.

Ключевым элементом инструментария, используемого Head Mare, является бэкдор PhantomHeart PowerShell, который устанавливает канал удаленного доступа через HTTP-связь с сервером управления (C2). Этот бэкдор также может развертывать SSH-туннель по запросу оператора. Во время своей инициализации PhantomHeart создает идентификатор жертвы (ClientID) на основе MAC-адреса проводного сетевого адаптера системы компрометация. Этот идентификатор облегчает постоянную связь с сервером C2 и гарантирует, что конфигурация бэкдора остается специфичной для нацелен-ного хоста, повышая скрытность и закрепление вредоносное ПО.

Более того, группа обновила ранее известный инструмент PhantomProxyLite, который теперь переработан в сценарий PowerShell. Этот редизайн указывает на изменение их операционной фреймворк при сохранении основных функциональных возможностей, которые помогают в их кибероперациях.

В дополнение к инструментам на базе PowerShell группа Head Mare также расширила свой набор инструментов для постэксплуатации. Анализ выявил разработку новых утилит и скриптов, направленных на автоматизацию рутинных действий на уровне хоста. К ним относятся задачи, связанные с укреплением системы, управлением привилегиями и организацией доступа к сети, которые являются неотъемлемой частью поддержания контроля над системами компрометация и расширения их операционного охвата в нацелен-ных сетях. Эволюция и диверсификация инструментов, используемых группой Head Mare, подчеркивают стратегическую направленность на повышение их способности проводить и поддерживать кибероперации против своих противников.

#ParsedReport #CompletenessMedium
11-02-2026

ScreenConnect Under Attack: SmartScreen Evasion and RMM Abuse

https://www.forcepoint.com/blog/x-labs/screenconnect-attack

Report completeness: Medium

Threats:
Screenconnect_tool
Motw_bypass_technique

Victims:
Enterprises, It teams, Organizations using remote access tools

Industry:
Logistic, Healthcare, Government

Geo:
United kingdom, Ireland, Canada, Iran

ChatGPT TTPs:
do not use without manual check
T1059.001, T1112, T1204.002, T1218.007, T1219, T1553.005, T1566.001

IOCs:
Domain: 2
File: 2
Hash: 5
Url: 1

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки, использующие уязвимости в ConnectWise ScreenConnect, позволяют злоумышленник получить первоначальный доступ к сети и внедрить вредоносное ПО, бэкдор или Ransomware. Используя поддельное электронное письмо для доставки вредоносного файла .cmd, злоумышленники повышают привилегии и отключают Windows SmartScreen, чтобы установить законное программное обеспечение ScreenConnect, используемое в качестве Троянская программа удаленного доступа (RAT) для постоянного доступа. Цепочка атак включает команды PowerShell с msiexec, которые извлекают и устанавливают компоненты, подчеркивая риск использования доверенного программного обеспечения в качестве оружия.
-----

Недавние атаки, нацеленные на ConnectWise ScreenConnect, популярный инструмент безопасного удаленного доступа, используют известные уязвимости в незащищенных системах, позволяя злоумышленникам получить первоначальный доступ к сетям. Воспользовавшись этими слабостями, злоумышленники часто внедряют вредоносное ПО, бэкдор или программы-вымогатели. Примечательно, что ScreenConnect все чаще используется в качестве законного инструмента для удаленного доступа, одновременно служащего прикрытием для вредоносных действий.

Цепочка атак включает в себя поддельное электронное письмо, которое доставляет вредоносный cmd-файл. Этот файл выполняется автоматически, повышает привилегии пользователя и отключает Windows SmartScreen, чтобы избежать обнаружения. Кроме того, он удаляет тег Mark-of-the-Web, который обычно сигнализирует о предупреждениях безопасности, позволяя установить законное программное обеспечение ScreenConnect. После развертывания злоумышленники используют этот инструмент как Троянская программа удаленного доступа (RAT) для поддержания постоянного доступа к управление через системы компрометация.

Анализ показывает, что в атаке используются команды PowerShell, вызывающие msiexec, который извлекает и устанавливает различные компоненты ScreenConnect, включая исполняемые файлы, библиотеки динамической компоновки (DLL) и файлы конфигурации. С помощью ScreenConnect.ClientService.exe двоичный файл запускается в фоновом режиме, обеспечивая удаленный доступ, которым злоумышленник может воспользоваться со злым умыслом.

Кампания иллюстрирует насущную проблему киберзащитников: потенциальную возможность использования злоумышленниками надежного, но уязвимого программного обеспечения в качестве оружия. В этом случае подписанная версия клиента ScreenConnect, несмотря на наличие явно отозванного сертификата, была автоматически развернута после компрометация. Это демонстрирует, как отключение функций безопасности, таких как SmartScreen и удаление тегов аутентификации, может эффективно обходить меры безопасности, основанные на репутации, подчеркивая необходимость бдительности при мониторинге и смягчении угроз, связанных с законными программными средствами, которые незаконно присваиваются злоумышленниками.

#ParsedReport #CompletenessHigh
12-02-2026

LockBit strikes with new 5.0 version, targeting Windows, Linux and ESXI systems

https://www.acronis.com/en/tru/posts/lockbit-strikes-with-new-50-version-targeting-windows-linux-and-esxi-systems/

Report completeness: High

Actors/Campaigns:
Lockbit

Threats:
Lockbit
Smokeloader
Process_hollowing_technique
Stealbit
Blackmatter
Blackcat

Industry:
Critical_infrastructure, Healthcare, Government

Geo:
Russian, American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1622

IOCs:
File: 1
Domain: 2
Hash: 6
IP: 2
Url: 26

Soft:
Linux, ESXI, twitter, Event Tracing for Windows

Algorithms:
curve25519, xchacha20, exhibit, chacha20

Functions:
fork, SetInformationByHandle

Win API:
NtClose, GetSystemDirectoryW, GetSystemInfo, EvtClearLog

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 4, schema: 2, windows: 8, dump: 18, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit ransomware версии 5.0, выпущенная в сентябре 2025 года, эффективно нацелена на системы Windows, Linux и ESXi, используя модель "программа-вымогатель как услуга" с тактикой двойного вымогательства, шифрования и эксфильтрации файлов. Его архитектура включает в себя сложные методы защиты от отладки, использует XChaCha20 и Curve25519 для шифрования и может стирать свободное место на диске, препятствуя восстановлению. Подключения к общедоступному IP-адресу, связанному с бэкдором SmokeLoader, указывают на скоординированную стратегию доставки, подчеркивая его статус угрозы высокого уровня.
-----

Недавний выпуск LockBit ransomware версии 5.0 знаменует собой значительное расширение возможностей угроз, поскольку он нацелен на системы Windows, Linux и ESXi. Запущенная в сентябре 2025 года, эта программа-вымогатель является примером модели "программа-вымогатель как услуга", использующей стратегию двойного вымогательства, которая не только шифрует файлы, но и отфильтровывает их, чтобы увеличить влияние на жертв. Примечательно, что эта версия утверждает, что работает во всех вариантах Proxmox, платформы виртуализации с открытым исходным кодом, расширяя возможности для атак в корпоративных средах.

Эволюция LockBit's началась в 2019 году как ABCD group и превратилась в выдающегося игрока на рынке программ-вымогателей как сервиса с постоянными обновлениями, расширяющими его функциональность. Анализ версии 5.0 выявил формат файла PE64, характеризующийся замаскированной меткой времени компиляции и схемой сжатия в разделе .rdata, хотя точный упаковщик остается неизвестным. В предыдущих версиях использовался модифицированный упаковщик UPX, что предполагало преемственность в тактике сокрытия.

Процесс выполнения LockBit 5.0 объединяет сложные методы защиты от отладки, в частности, за счет неправильного использования функции NtClose, которая может препятствовать анализу и выполнению при запуске в отладчике. Программа-вымогатель использует надежный механизм шифрования, используя XChaCha20 для симметричного шифрования и Curve25519 для асимметричного шифрования. Операционная система оптимизирована для использования системных ресурсов, регулируя количество параллельных потоков шифрования в соответствии с количеством процессоров. Он систематически идентифицирует файлы для шифрования, добавляя случайно сгенерированное расширение к каждому зашифрованному файлу и размещая уведомление о выкупе во всех нацелен-ных каталогах.

Кроме того, LockBit 5.0 содержит функциональность для очистки свободного места на диске — тактика, реализованная с помощью опции командной строки, которая записывает нулевые байты в указанный tmp-файл до тех пор, пока не будет исчерпано доступное пространство. Эта разрушительная способность еще больше усложняет потенциальные усилия по восстановлению пострадавших.

Неотъемлемым аспектом инфраструктуры этой версии является подключение к общедоступному IP-адресу, ранее связанному с бэкдором SmokeLoader, что указывает на связь с более широкими способами доставки вредоносное ПО. Этот адрес облегчал подключение по протоколу RDP, но стал неактивным вскоре после его раскрытия, что указывает на гибкую оперативную стратегию злоумышленник.

LockBit 5.0 позиционирует себя как высокоуровневую угрозу для всех своих нацелен-ных платформ, сохраняя критическое сходство в архитектуре и поведении, но отличаясь главным образом тем, как он справляется со скрытностью благодаря пользовательской упаковке в варианте Windows. Унифицированный фреймворк логики выполнения, конфигурация, управляемая командной строкой, и согласованное содержание уведомлений о выкупе предполагают скоординированный подход к разработке возможностей программы-вымогателя. Таким образом, организации должны сохранять бдительность и внедрять надежные меры обнаружения, поскольку эта программа-вымогатель обнаруживается продуктами безопасности как "SFS:Ransomware:LockBit:I".

#ParsedReport #CompletenessLow
15-02-2026

Top Nation-State Cyber Threats Targeting the United States

https://socradar.io/blog/nation-state-cyber-threats-target-united-states/

Report completeness: Low

Actors/Campaigns:
Ghostemperor
Apt5
Fancy_bear (motivation: cyber_espionage)
Sandworm (motivation: hacktivism)
Unc5792 (motivation: hacktivism)
Kimsuky
Tortoiseshell
Unc6446

Threats:
Spear-phishing_technique
Password_spray_technique
Credential_harvesting_technique
Qshing_technique
Supply_chain_technique

Victims:
Logistics, Technology, Defense, Government, Non governmental organizations, Think tanks, Academia, Aerospace

Industry:
Logistic, Aerospace, Education, Telco, Government, Military, Ngo, E-commerce

Geo:
Russian, Iran, North korean, North koreans, Russia, Middle east, China, North korea

ChatGPT TTPs:
do not use without manual check
T1078, T1098, T1110.003, T1114, T1199, T1204.002, T1566.001, T1566.002, T1566.004, T1585, have more...

Soft:
Microsoft Exchange

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберугроза со стороны национальных государств против США становится все более изощренной, при этом широко распространены кража учетные данные и использование данных в Dark Web. Китайские злоумышленник, такие как Salt Typhoon, ищут долгосрочный доступ для сбора разведывательных данных, в то время как APT5 использует социальную инженерию, нацеленную на оборонные сектора. Российские группы, такие как APT28, проводят кампании password Spraying и Целевой фишинг, а северокорейская Kimsuky использует Целевой фишинг с помощью вредоносных QR-кодов. Иранские актор, включая UNC1549 и UNC6446, используют темы вербовки для сбора учетные данные и развертывания вредоносное ПО.
-----

Киберугроза национальных государств, нацеленная на Соединенные Штаты, стала более изощренной, причем значительная часть рисков связана с кражей учетных данных и эксплуатацией данных на рынке Dark Web. Текущие угрозы характеризуются постоянным доступом и сбором разведывательной информации, особенно со стороны китайских и российских злоумышленник. Операции, связанные с Китаем, отдают приоритет долгосрочному доступу к конфиденциальным коммуникациям и правительственной инфраструктуре, при этом такие группы, как Salt Typhoon, фокусируются на скрытном сборе данных, а не на немедленной краже.

APT5 - еще одна группа, уделяющая особое внимание социальной инженерии для нацеливания на отдельных лиц в оборонных секторах, используя контекстуально релевантный обман. В кампаниях, связанных с Россией, стратегии предполагают перемещение внутри компании через Доверительные отношения, особенно с использованием военной логистики и технологических секторов. Сообщалось, что подразделение 26165 ГРУ, также известное как APT28, применяет тактику, включающую password Spraying и точечный фишинг, специально предназначенный для западных логистических компаний.

Северная Корея представляет двойной риск из-за шпионажа и операций, приносящих доход, в частности, с использованием тактики социальной инженерии. Северокорейская группа Kimsuky применила методы Целевой фишинг с использованием вредоносных QR-кодов, направленных на организации, связанные с США. Кроме того, северокорейские оперативники проникли в американские компании с помощью поддельных процессов найма, расширив свой охват для сбора разведывательных данных и финансовых операций.

Иранские злоумышленник часто используют социальную инженерию, особенно в контексте найма на работу, для получения несанкционированного доступа к учетные данные. Группа UNC1549 была идентифицирована с помощью поддельных порталов вакансий, связанных с аэрокосмическим и оборонным секторами, для сбора учетные данные. Другая группа, UNC6446, внедрила вредоносное ПО с помощью приложений, посвященных подбору персонала, нацеленных на персонал как в США, так и на Ближнем Востоке.

#ParsedReport #CompletenessLow
12-02-2026

Attackers Weaponize Signed RMM Tools via Zoom, Meet, & Teams Lures

https://www.netskope.com/blog/attackers-weaponize-signed-rmm-tools-via-zoom-meet-teams-lures

Report completeness: Low

Actors/Campaigns:
Conference_invites

Threats:
Typosquatting_technique
Centrastage_tool
Logmein_tool
Screenconnect_tool

Victims:
Corporate users

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1219, T1553.002, T1566.002, T1583.001, T1656

IOCs:
Domain: 3
File: 2
Url: 12

Soft:
Zoom, Microsoft Teams

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/ConferenceInvites/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Netskope Threat Labs сообщила о фишинг-кампаниях, использующих инструменты видеоконференцсвязи путем рассылки fake meeting invites, которые побуждают пользователей загружать вредоносное обновление программного обеспечения, замаскированное под законного агента RMM. В этих атаках используются знакомые приложения для повышения доверия, часто с использованием хорошо известных инструментов RMM, таких как LogMeIn и Datto, которые при запуске предоставляют злоумышленникам административный доступ для дальнейших вредоносных действий, включая кражу данных и внедрение программ-вымогателей. Срочность присоединения к собраниям играет решающую роль в снижении бдительности пользователей.
-----

Лаборатория угроз Netskope выявила серию фишинг-кампаний, которые используют инструменты видеоконференцсвязи, такие как Zoom, Microsoft Teams и Google Meet, для распространения вредоносное ПО. Злоумышленники создают срочность, рассылая fake meeting invites, которые предлагают пользователям загрузить предполагаемое обновление программного обеспечения, необходимое для участия в звонке. Эти фишинг-страницы тщательно разработаны таким образом, чтобы максимально походить на законные интерфейсы входа в систему, повышая доверие к ним и обманом заставляя корпоративных пользователей соблюдать требования.

В этих кампаниях пользователи, пытающиеся присоединиться к собранию, сталкиваются с запросом, указывающим на то, что их приложение устарело или несовместимо. Чтобы продолжить, им предлагается загрузить предоставленное обновление, которое на самом деле является вредоносной полезной нагрузкой, замаскированной под агент удаленного мониторинга и управления с цифровой подписью (RMM). Злоумышленники в основном используют хорошо известные инструменты RMM, такие как LogMeIn, Datto и ScreenConnect. Этим агентам отдают предпочтение, поскольку они пользуются доверием и часто предварительно утверждаются в корпоративной среде, позволяя злоумышленникам обходить механизмы безопасности, которые полагаются на обнаружение сигнатур для идентификации вредоносного программного обеспечения.

Полезная нагрузка обычно поставляется в виде исполняемого файла с цифровой подписью или установщика MSI с именами файлов, подобранными так, чтобы они напоминали приложения, с которыми знакомы жертвы, такие как “GoogleMeeet.exe ” или “ZoomWorkspaceinstallersetup.msi”. После запуска эти инструменты RMM предоставляют злоумышленникам административный доступ к системам жертв, обеспечивая постоянный контроль и облегчая дальнейшие вредоносные действия, которые могут включать кражу данных или внедрение Ransomware.

Эта тактика фишинг основана на высокой частоте виртуальных встреч и соответствующей срочности участия. Маскируя вредоносные действия под необходимое обслуживание программного обеспечения, злоумышленники эффективно манипулируют пользователями, заставляя их обходить критические меры безопасности, создавая тем самым значительную угрозу устойчивости организации к Кибербезопасность.

#ParsedReport #CompletenessMedium
13-02-2026

Operation MacroMaze: new APT28 campaign using basic tooling and legit infrastructure

https://lab52.io/blog/operation-macromaze-new-apt28-campaign-using-basic-tooling-and-legit-infrastructure/

Report completeness: Medium

Actors/Campaigns:
Macromaze
Fancy_bear

Threats:
Spear-phishing_technique

Victims:
Government sector, Western europe region, Central europe region

Geo:
Spain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1030, T1036, T1053.005, T1059.003, T1059.005, T1070.004, T1102, T1105, T1204, have more...

IOCs:
Domain: 1
File: 2
Path: 5
Hash: 7
Url: 10

Soft:
Microsoft Word, Windows Scheduled Task, Microsoft Edge

Algorithms:
base64, sha256, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция MacroMaze, атрибутирован с APT28 (Fancy Bear), нацелена на Западную и Центральную Европу, используя базовые инструменты и документы, содержащие макросы, в качестве "капельниц" для получения доступа к компьютерам жертв. Атака использует скрипты для выполнения эксфильтрация, создавая динамические запланированные задачи Windows, которые выполняют полезную нагрузку с заданными интервалами, сохраняя при этом скрытность с помощью различных методов выполнения в Microsoft Edge. Эксфильтрация происходит с помощью автоматической отправки HTML-формы на удаленный webhook, что обеспечивает минимальное количество обнаруживаемых артефактов и усложняет усилия по обнаружению.
-----

Операция MacroMaze - это кампания, атрибутирован с APT28 (Fancy Bear), активно нацеленная на организации в Западной и Центральной Европе с конца сентября 2025 года по январь 2026 года. Эта операция опирается на базовые инструменты и законную инфраструктуру для выполнения атак и эксфильтрация данных. В кампании используются документы, содержащие различные варианты макросов, предназначенные для использования в качестве механизмов-капельниц для закрепления на машинах-жертвах.

Идентифицированные варианты макросов включают серию документов, которые помещают несколько файлов в каталог %USERPROFILE% — эти файлы состоят из файлов сценариев (VBS, BAT, CMD) и HTML-файлов (HTM, XHTML), используемых в процессе эксфильтрация. Методы атаки начинаются с создания документа-приманки, причем ранние варианты фокусируются на правительственной тематике и используют такие тактики, как изменение невидимости текста и представление поддельных сообщений об ошибках в Microsoft Word, чтобы обманом заставить жертв ознакомиться с вредоносным документом.

Выполнение обеспечивает закрепление за счет динамической генерации запланированных задач Windows. Сценарий, используя компонент CMD, записывает XML-определение на диск для создания задачи и передает аргументы выполнения в VBScript, расположенный в профиле пользователя. Эти задачи предназначены для выполнения полезной нагрузки с запланированными интервалами, при этом наблюдаются различия в частоте выполнения различных версий макроса — от каждых 20 минут до 61 минуты.

Пакетные файлы, связанные с операцией, демонстрируют согласованную схему многоэтапного выполнения. Первоначально они очищают все временные файлы перед отображением полезной нагрузки HTML в кодировке Base64 в Microsoft Edge, которая впоследствии перенаправляется на сайт webhook для загрузки необходимых фрагментов. Эти загруженные компоненты преобразуются в CMD-файл, который затем выполняется, объединяя выходные данные с HTML-шаблонами, содержащими информацию о эксфильтрация. В конечном счете, все отслеживаемые артефакты удаляются после выполнения.

Два примечательных варианта пакетных файлов демонстрируют различные методы поддержания скрытности. Первый вариант работает в безголовом режиме Microsoft Edge, чтобы свести к минимуму видимость пользователя, в то время как второй вариант использует конфигурацию без головы, которая открывает свернутое окно за пределами экрана, используя методы завершения процесса для сохранения контроля над средой при управлении подключениями к конечным точкам, в том числе с недействительными сертификатами.

Эксфильтрация осуществляется с помощью автоматически отправляемой HTML-формы, которая отправляет запрос POST на удаленный веб-узел. Этот метод использует стандартные функции HTML для ненавязчивой передачи данных, гарантируя, что собранные выходные данные команд будут отфильтрованы без ведома пользователя и оставят минимальные обнаруживаемые артефакты. В целом, несмотря на то, что методы, используемые в операции MacroMaze, относительно просты, их сочетание и исполнение создают эффективные оперативные компромиссы, которые усложняют усилия специалистов по Кибербезопасность по обнаружению и атрибуции.

#ParsedReport #CompletenessMedium
14-02-2026

Cloudflare Pages "Continue Read" Redirect Kit Abused for Phishing, Adware, and Malware Delivery

https://malwr-analysis.com/2026/02/15/cloudflare-pages-continue-read-redirect-kit-abused-for-phishing-adware-and-malware-delivery/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Seo_poisoning_technique

Victims:
General internet users

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1189, T1204.001, T1566

IOCs:
Domain: 2
File: 1
Hash: 1
Url: 1

Soft:
Opera

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4