#ParsedReport #CompletenessMedium
12-02-2026

Unpacking the New Matryoshka ClickFix Variant: Typosquatting Campaign Delivers macOS Stealer

https://www.intego.com/mac-security-blog/matryoshka-clickfix-macos-stealer/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Clickfix_technique
Typosquatting_technique
Clipboard_injection_technique

Victims:
Macos users, Cryptocurrency users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1056.002, T1059.004, T1105, T1204.001, T1204.002, T1583.001, T1584.005

IOCs:
Domain: 3
Url: 2
File: 2

Soft:
macOS, curl, url -s, url -X, Ledger Live, Electron

Wallets:
trezor

Algorithms:
base64, zip, gzip, sha256

Functions:
daemon_function

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Matryoshka ClickFix специально нацелена на пользователей macOS с помощью социальной инженерии и typosquatting, что приводит жертв к вредоносным доменам, которые запрашивают вводящие в заблуждение команды в терминале. Атака использует сложную технику обфускации для доставки сценария оболочки, который извлекает и декодирует полезную нагрузку для сбора конфиденциальной информации, особенно с акцентом на криптовалютные кошельки. Примечательно, что он использует сложные методы для манипулирования законными приложениями, повышая свою скрытность и эффективность.
-----

Вариант Matryoshka ClickFix представляет собой эволюцию кампании "ClickFix", которая специально ориентирована на пользователей macOS с помощью сложного подхода социальной инженерии. В этой кампании используется метод, известный как typosquatting, когда пользователи непреднамеренно переходят на вредоносный домен, ошибочно вводя URL-адреса законных сайтов проверки программного обеспечения, таких как "comparisions.org ." Попав на сайт, жертва перенаправляется через Система распределения трафика (TDS) и получает инструкции по выполнению вводящей в заблуждение команды в терминале macOS.

Техническая архитектура этой кампании демонстрирует технику вложенного запутывания, напоминающую русскую матрешку, отсюда и название "Matryoshka". В отличие от более ранних версий ClickFix, в которых использовались более понятные скрипты, в этом варианте используется сложная оболочка, которая скрывает его операционную логику как от сетевых сканеров, так и от статического анализа. Первоначальная команда, выполняемая жертвой, напрямую не загружает типичное приложение macOS; вместо этого она извлекает безобидный на вид сценарий оболочки, содержащий значительную закодированную полезную нагрузку.

Полезная нагрузка работает в два основных этапа. На этапе 0 введенная команда облегчает доступ к буферу обмена, позволяя извлекать закодированную, сжатую полезную нагрузку. На этапе 1 эта полезная нагрузка декодируется и распаковывается в памяти, что делает ее исполняемой только во время выполнения, что добавляет уровень сложности тактике уклонения вредоносное ПО.

После выполнения полезная нагрузка, в основном созданная в AppleScript, предназначена для сбора конфиденциальной информации. По своей сути, он пытается получить учетные данные с помощью автоматизированного процесса, который завершается неудачей, приводящей к циклу фишинг. Этот цикл имитирует диалоговое окно "Системные настройки" macOS, настойчиво запрашивающее у жертвы пароль. Примечательно, что вредоносное ПО явно нацелено на приложения для криптовалютных кошельков, используя две различные стратегии: для Trezor Suite оно принудительно закрывает процесс, удаляет приложение и устанавливает вредоносную замену; для Ledger Live оно использует более скрытный подход, который включает замену компонентов подлинного приложения и их повторную подпись, таким образом обходя защиту. проверка целостности.

Таким образом, кампания Matryoshka ClickFix иллюстрирует усовершенствованный метод обмана пользователей без использования традиционных эксплойтов, фокусируясь на убеждении жертв выполнить первоначальную команду. Вложенный механизм доставки и нацелен на полезную нагрузку AppleScript делают эту угрозу особенно опасной для нацелен на важные объекты, такие как учетные данные браузера и криптовалютные кошельки. Следует принять меры безопасности, чтобы проинформировать пользователей о рисках, связанных с typosquatting и несанкционированным выполнением команд в их системах.

#ParsedReport #CompletenessHigh
11-02-2026

Lotus Blossom (G0030) and the Notepad++ Supply-Chain Espionage Campaign

http://dti.domaintools.com/research/lotus-blossom-and-the-notepad-supply-chain-espionage-campaign

Report completeness: High

Actors/Campaigns:
Dragonfish (motivation: financially_motivated, cyber_espionage)
Stone_panda
Winnti

Threats:
Supply_chain_technique
Chrysalis
Sagerunex
Elise
Spear-phishing_technique
Dll_sideloading_technique
Cobalt_strike_tool
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
Government, Financial institutions, Information technology service providers, Developers, System administrators

Industry:
Retail, Maritime, Military, Telco, Government

Geo:
China, Philippines, Asian, Australia, Taiwan, Hong kong, America, Indonesia, Vietnam, Asia, Chinese, El salvador, Oceania

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 3
IP: 3
File: 4
Url: 9
Hash: 6
Path: 3

Soft:
Outlook, Dropbox, Twitter, WireGuard, NSIS installer, Windows service

Algorithms:
exhibit

#ParsedReport #ExtractedSchema

Classified images:
schema: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания Notepad++ supply-chain spionage, атрибутирован с китайской группой Lotus Blossom (G0030), использовала инфраструктуру распространения обновлений сторонних производителей вместо компрометации кода программного обеспечения, что позволило манипулировать пользовательскими обновлениями. Операция была нацелен на разработчиков и системных администраторов в Юго-Восточной Азии, которые внедрили пользовательский бэкдор под названием Chrysalis для предоставления дополнительной полезной нагрузки при сборе политически чувствительной информации. Это высвечивает уязвимости в экосистемах программного обеспечения, подчеркивая важность мониторинга шаблонов обновлений для защиты от подобных атак в будущем.
-----

Lotus Blossom (G0030) провела шпионскую кампанию supply-chain, нацелен на Notepad++, используя механизм обновления программного обеспечения с конца 2025 по начало 2026 года. Злоумышленники манипулировали сторонней инфраструктурой для получения обновлений, не изменяя код программного обеспечения. Кампания была нацелена на высокоценные технические должности, особенно на разработчиков и системных администраторов. Группа использовала несанкционированный доступ к хостингу обновлений для развертывания нескольких цепочек заражения с различными полезными нагрузками. Пользовательский бэкдор под названием Chrysalis был развернут для доставки дополнительной полезной нагрузки и поддержания скрытности. Теракт был нацелен на конкретных жертв в Юго-Восточной Азии, в частности во Вьетнаме и на Филиппинах, что соответствовало геополитическим интересам Китая. Шпионаж был сосредоточен на сборе разведданных в политической, экономической и военной областях, не занимаясь Кража денежных средств. Операция выявила уязвимости в системе доверия к экосистеме программного обеспечения, особенно в отношении сред разработчиков и администраторов. Бдительность при отслеживании шаблонов обновлений и поведения сети необходима для защиты от подобных атак в будущем.

#ParsedReport #CompletenessLow
09-02-2026

Sleeper Shells: How Attackers Are Planting Dormant Backdoors in Ivanti EPMM

https://defusedcyber.com/ivanti-epmm-sleeper-shells-403jsp

Report completeness: Low

Victims:
Governments, Major institutions, Ivanti epmm users

Industry:
Government

Geo:
America, Netherlands, Usa

CVEs:
CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1083, T1105, T1190, T1505.003, T1620

IOCs:
File: 2
Hash: 1
IP: 17

Soft:
Ivanti EPMM, Ivanti, appstore, Unix

Algorithms:
base64, sha256

Functions:
toString

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние уязвимости в Ivanti Endpoint Manager Mobile (EPMM), идентифицированные как CVE-2026-1281 и CVE-2026-1340, позволяют обходить аутентификацию и Удаленное Выполнение Кода, что приводит к успешным атакам на организации, включая государственные учреждения. Злоумышленники развертывают Java-класс с именем base.Info в качестве загрузчика этапа, который вызывает внешние классы на основе определенных параметров, собирая сведения об окружающей среде с хоста. Использование подчеркивает риск необнаруженных вторжений, требуя внимания к признакам компрометация, которые могут не включать традиционные подписи на основе файлов.
-----

Эксплуатация Ivanti Endpoint Manager Mobile (EPMM) продолжается, и недавно были обнаружены критические уязвимости CVE-2026-1281 и CVE-2026-1340, облегчающие обход аутентификации и Удаленное Выполнение Кода. Эти уязвимости обеспечивают неавторизованный доступ к конечным точкам прикладного уровня, что приводит к успешной компрометация различных крупных организаций, включая государственные структуры. После объявления об уязвимостях быстро началась эксплуатационная деятельность в дикой природе.

Злоумышленники развертывали полезную нагрузку, характеризуемую Java-классом с именем base.Info, который служит в качестве загрузчика этапа, а не традиционной веб-оболочки. Этому загрузчику не хватает интерактивных возможностей, вместо этого он фокусируется на получении и выполнении вторичного Java-класса, размещенного извне. При вызове загрузчик проверяет наличие HTTP-параметра с меткой k0f53cf964d387. Если этот параметр присутствует, он декодирует предоставленное значение и загружает его как класс в память с помощью отражающих вызовов без записи каких-либо файлов на диск. Загрузчик также собирает сведения об окружающей среде из хост-системы, такие как пути к каталогам, сведения об операционной системе и пользовательскую информацию, впоследствии передавая их классу второго этапа для потенциальной ориентации злоумышленником.

Показатели компрометация, связанные с этой деятельностью, имеют решающее значение для оценки безопасности систем, использующих Ivanti EPMM. Доказательства такой эксплуатации должны вызвать ответные действия, поскольку само присутствие этого загрузчика указывает на потенциальную компрометация или попытку ее совершения, даже при отсутствии последующих действий. Проверка журнала может выявить большие параметры Base64, начинающиеся со строки, указывающей байт-код Java, в частности "yv66vg", которая указывает на компонент загрузчика классов.

Были идентифицированы сетевые индикаторы компрометация (IOCs), относящиеся к известным вредоносным IP-адресам, что указывает на целый ряд источников атак. Примечательно, что традиционные антивирусные решения могут неточно улавливать эти специализированные полезные нагрузки, поскольку они работают только в памяти, не создавая артефактов на диске. Этот случай подчеркивает значительный риск неактивных вторжений, когда злоумышленники потенциально размещают бэкдор, оставаясь незаметными, тем самым подчеркивая, что наиболее опасными угрозами часто являются те, которые остаются неактивными до тех пор, пока не будут активированы. Эта реальность требует бдительного подхода к мониторингу и реагированию на инциденты, который охватывает как признаки явных, так и скрытых атак.

#ParsedReport #CompletenessHigh
11-02-2026

Odyssey Stealer: Inside a macOS Crypto-Stealing Operation

https://censys.com/blog/odyssey-stealer-macos-crypto-stealing-operation

Report completeness: High

Actors/Campaigns:
Rodrigo4
Ping3r

Threats:
Odyssey_stealer
Amos_stealer
Yamux_tool
Clickfix_technique
Poseidon_stealer

Victims:
Cryptocurrency users, Macos users

Geo:
Germany, Holland, Singapore, Moscow, Lithuania, Russian, Russia, Netherlands, Austria

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 12
Domain: 3
File: 7
Url: 2
Hash: 13

Soft:
macOS, Ledger Live, Telegram, Chromium, Firefox, Chrome, sudo, curl, Gatekeeper, Vivaldi, have more...

Wallets:
metamask, electrum, trezor, coinbase, tronlink, ronin_wallet, exodus_wallet, bitcoincore, wassabi, ledger_wallet, have more...

Crypto:
monero, binance

Algorithms:
zip, sha256, md5, base64

Functions:
readFileContents, readFileContentsrepeat

Win API:
createDirectory, Arc

Languages:
javascript, applescript

Platforms:
arm, apple

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 2, windows: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Odyssey Stealer - это вредоносное ПО для macOS, предназначенное для кражи информации и нацеленное на пользователей криптовалют, работающее по модели "Вредоносное ПОкак услуга". Его инфраструктура включает в себя десять идентифицированных серверов C2 по всей Европе и Азии, использующих запутанный AppleScript для первоначального заражения и минимальную Троянская программа удаленного доступа для закрепление. Вредоносное ПО извлекает конфиденциальные данные, включая файлы cookie браузера и учетные данные, используя тактику социальной инженерии, чтобы обманом заставить пользователей раскрыть системные пароли, при этом постоянное выполнение обеспечивается с помощью рандомизированных имен служб.
-----

Odyssey Stealer - это сложное вредоносное ПО для macOS, похищающее информацию, специально разработанное для нацелен на криптовалюты. Работая по модели "Вредоносное ПО как услуга" (MaaS), она позволяет независимым филиалам получать доступ к своей инфраструктуре, проводя вредоносные кампании и делясь доходами с основным контролирующим органом. Это вредоносное ПО было выявлено в ходе расследований нацелен на Вредоносная Кампания macOS, в частности, нацеленная на пользователей криптовалют.

Инфраструктура Odyssey примечательна своей отличительной панелью управления React и согласованными конечными точками API, упрощающими процесс снятия отпечатков пальцев с серверов командования и контроля (C2). Анализ с помощью Censys выявил десять физических хостов, связанных с инфраструктурой Odyssey's C2, с подключением к кластерам ASN в Европе, особенно в Нидерландах и Германии, и одиночные хосты в Сингапуре, Литве и России. Некоторые из этих серверов предоставляются пуленепробиваемыми хостинговыми службами, что предполагает дизайн, обеспечивающий устойчивость к попыткам взлома.

Поток атак Odyssey's состоит из нескольких этапов, начиная с начального дроппера, который использует запутанный AppleScript, завернутый в сценарий оболочки. Этот дроппер не только инициирует атаку, но и устанавливает минимальную Троянская программа для удаленного доступа (RAT), предназначенную для закрепление путем создания LaunchDaemon со случайными именами служб. Каждый экземпляр RAT считывает адрес C2 с диска, повышая его скрытность, поскольку C2 не закодирован жестко, что затрудняет его обнаружение с помощью статического анализа.

Вредоносное ПО в первую очередь нацелено на конфиденциальные данные, извлекая такую информацию, как файлы cookie веб-браузера и учетные данные, особенно с популярных платформ, таких как Firefox и MetaMask. Он использует тактику социальной инженерии, обманом заставляя пользователей предоставлять свои пароли macOS через поддельное системное диалоговое окно, которое позже используется для получения доступа к мастер-паролю Chrome, хранящемуся в системе Связка ключей.

Сохраняясь в зараженной системе, Odyssey использует случайное имя службы, чтобы гарантировать ее запуск при загрузке системы. Вредоносное ПО может выполнять произвольные команды оболочки и загружать свой прокси-сервер socks5 для эксфильтрация. Панель управления Odyssey предоставляет операторам различные функциональные возможности, включая настройки уведомлений и генератор сборок для создания различных полезных нагрузок.

Odyssey не является оригинальным творением; это ребрендинг Poseidon Stealer, который сам по себе является производным от Atomic macOS Stealer (AMOS), демонстрируя таким образом родословную в сообществе киберпреступников. Его разработка связана с пользователем, известным как Rodrigo4, который активен на русскоязычных форумах по киберпреступность.

Защитные стратегии против Odyssey включают мониторинг необычного использования osascript, тщательную проверку LaunchDaemons на наличие странных шаблонов именования и блокирование связанного с ними сетевого трафика. Кроме того, организациям рекомендуется обучать пользователей распознавать подозрительные запросы во время установки приложений и быть осторожными с ними.

#ParsedReport #CompletenessLow
14-02-2026

Threat Actors Exploit Claude Artifacts and Google Ads to Target macOS Users

https://cybersecuritynews.com/threat-actors-exploit-claude-artifacts-and-google-ads/

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002, T1608.006

IOCs:
Url: 2
Domain: 3

Soft:
Claude, macOS, Twitter, curl

Algorithms:
base64, zip

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кибератака, нацеленная на пользователей macOS, использует рекламу Google для распространения вредоносное ПО, замаскированное под легальное программное обеспечение. Злоумышленник использует "артефакты Claude" для повышения достоверности своих атак, приводя пользователей к вредоносным URL-адресам, на которых размещаются мошеннические приложения. Вредоносное ПО способно выполнять вредоносные действия, такие как эксфильтрация данных и выполнение дополнительных полезных нагрузок, что подчеркивает растущую изощренность этих атак и их зависимость от методов социальной инженерии.
-----

Недавний анализ выявил кибератаку, направленную против пользователей macOS, которая использует рекламу Google для распространения вредоносных программ, замаскированных под легальное программное обеспечение. Эта операция включает в себя использование “артефактов Claude”, которые, вероятно, связаны с определенным инструментом или ресурсом, используемым для манипулирования поведением механизмов доставки вредоносное ПО. Эти артефакты служат средством для того, чтобы злоумышленник мог представить свои атаки в более правдоподобном свете, заставляя ничего не подозревающих пользователей загружать вредоносные версии широко используемых приложений.

Поскольку Google Ads упрощает метод распространения, эти злоумышленники создают кампании, имитирующие законную рекламу, привлекая пользователей к вредоносным URL-адресам. Как только пользователи взаимодействуют с этими объявлениями, они перенаправляются на веб-сайты, на которых размещены эти мошеннические приложения. Было замечено, что вредоносное ПО, распространяемое с помощью такой тактики, выполняет различные вредоносные действия, включая эксфильтрация данных и выполнение дополнительных полезных нагрузок, которые компрометация целостности экосистемы macOS.

Методология атаки не только подчеркивает растущую изощренность злоумышленник, но и подчеркивает зависимость от методов социальной инженерии, направленных на использование доверия к признанным платформам, таким как Google. Поскольку пользователей обманом заставляют загружать вредоносное программное обеспечение, представленное как авторитетные приложения, это вызывает серьезные опасения относительно эффективности существующих средств защиты от таких переносчиков. Использование артефактов Claude в этом контексте предполагает индивидуальный подход злоумышленников, потенциально указывающий на конкретные интересы в нацеливании на среды macOS с целью максимизации их воздействие.

Таким образом, это событие отражает растущую тенденцию в среде угроз, когда злоумышленники используют известные рекламные сервисы для распространения вредоносное ПО, специально нацеливаясь на пользователей macOS, используя стратегии социальной инженерии и потенциально используя передовые инструменты или тактику, связанные с артефактами Claude. Эта развивающаяся угроза требует повышенной осведомленности и усовершенствованных мер безопасности среди пользователей macOS для эффективной борьбы с такими киберугроза.

#ParsedReport #CompletenessMedium
15-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-13

https://www.labs.greynoise.io/grimoire/2026-02-13-weekly-oast-report/

Report completeness: Medium

Threats:
Interactsh_tool
Nuclei_tool
Log4shell_vuln
Typosquatting_technique

Victims:
Enterprise it, Cloud services, Web applications, Ivanti epmm deployments

Industry:
Iot

Geo:
Denmark, Korea, France, Vietnamese, Panama, Vietnam, Netherlands, Estonia, Switzerland, Brazil, Brazilian, Russia

CVEs:
CVE-2026-0770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon_router_firmware (-)

CVE-2024-32113 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache ofbiz (<18.12.13)

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence_server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2025-4123 [Vulners]
CVSS V3.1: 7.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- grafana (<10.4.18, <11.2.9, <11.3.6, <11.4.4, <11.5.4)

CVE-2025-2777 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (le23.3.40)

CVE-2025-8085 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- metaphorcreations ditty (<3.1.58)

CVE-2025-34028 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- commvault (<11.38.20)

CVE-2025-8943 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- flowiseai flowise (<3.0.1)

CVE-2021-39152 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- xstream (<1.4.18)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1071.001, T1090.003, T1189, T1190, T1210, T1583.001, T1595.002

IOCs:
IP: 16
Coin: 1
File: 3
Domain: 4

Soft:
Ivanti EPMM, Linux, Ivanti, WireGuard, Apache Log4j, Apache OFBiz, Confluence, WordPress, WebLogic, Adobe ColdFusion, have more...

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с 7 по 13 февраля 2026 года была зафиксирована обширная активность в области киберугроза, включающая 6197 сеансов с 79 уникальных IP-адресов в рамках 73 кампаний OAST, нацеленных на различные уязвимости. Ключевыми игроками были масштабная операция с использованием прокси-сервера Cloudflare и автоматизированная швейцарская IP-кампания с акцентом на использование CVE-2026-1281 (Ivanti Endpoint Manager Mobile) и CVE-2026-0770 с помощью различных методов. Атаки продемонстрировали скоординированные усилия с использованием более 100 методов эксплуатации CVE, что свидетельствует о сложном сканировании и оценке уязвимостей в различных оперативных группах.
-----

В период с 7 по 13 февраля 2026 года GreyNoise задокументировала значительную активность в области киберугроза, включающую 6197 сеансов с 79 уникальных IP-адресов в рамках 73 кампаний тестирования безопасности внеполосной аутентификации (OAST) в Interactsh. Эта деятельность была подкреплена пятью вариантами доменов Interactsh, что указывает на разнообразные и скоординированные усилия с использованием более 100 различных методов использования CVE. Примечательно, что наблюдаемая инфраструктура охватывала конечные точки с прокси-сервером Cloudflare, Oracle Cloud и частные хостинговые решения, базирующиеся во Вьетнаме.

Кампании были разделены на отдельные группы в зависимости от их характеристик. Наиболее заметной была операция сканирования с использованием прокси-сервера Cloudflare под названием ibe4q, ответственная за 3157 случаев с девяти бразильских IP-адресов, что указывает на сосредоточенные усилия по использованию различных уязвимостей. Одновременно с этим кампания bjibe проявила значительную активность, используя все шесть методов введения OAST, что свидетельствует о системном подходе к оценке уязвимости.

Облачные сканеры Oracle были определены как важнейшие игроки в этой области угроз, особенно связанные с попытками эксплуатации, связанными с CVE-2026-1281 (Ivanti Endpoint Manager Mobile) и CVE-2026-0770. Значительная активность сканирования была прослежена до конкретных IP-адресов, по которым ранее регистрировалось большое количество обращений, что свидетельствует о закрепление этих сканеров. Между тем, другая кампания, инициированная швейцарской IP-компанией, продемонстрировала автоматизацию за счет непрерывной работы в течение недели, что еще раз подчеркивает сложную и устойчивую стратегию сканирования.

Дальнейшая эксплуатация была очевидна в кампаниях, связанных с PROSPERO OOO, сосредоточенных исключительно на использовании уязвимости Ivanti, что указывает на методологию нацелен-ной атаки. Кампании проводились одновременно, что позволяло злоумышленникам стратегически использовать доступные уязвимости. Дополнительные кластеры, такие как те, которые связаны с голландским IP-адресом, иллюстрируют аналогичные тенденции организованного сканирования, часто используя общие отпечатки JA3, что предполагает дублирование инструментов или инфраструктуры.

Анализ полезной нагрузки выявил множество методов атаки: попытки Удаленное Выполнение Кода с помощью уязвимостей Log4j и Ivanti, а также сканирование на наличие уязвимостей ввода команд и обхода путей. Набор данных также выявил технические сложности, связанные с проведением этих атак, в частности, благодаря специфическому поведению, зафиксированному при снятии отпечатков пальцев по протоколу TCP, которое дополняло географические распределения, выявленные для различных враждебных IP-адресов.

В конечном счете, этот анализ указывает на наличие нескольких различных в оперативном отношении групп, использующих взаимосвязанную инфраструктуру для нацелен-ной эксплуатации целого ряда известных уязвимостей, причем данные свидетельствуют о сочетании автоматизированных и ручных методов сканирования, применяемых благодаря сложной координации. Текущие угрозы подчеркивают необходимость бдительного управления исправлениями и повышения осведомленности о CVE-2026-1281 и связанных с ними эксплойтах в уязвимых средах.

#ParsedReport #CompletenessMedium
16-02-2026

The Booking.com Phishing Campaign Targeting Hotels and Customers

https://www.bridewell.com/insights/blogs/detail/the-booking.com-phishing-campaign-targeting-hotels-and-customers

Report completeness: Medium

Actors/Campaigns:
Br-unc-030

Threats:
Credential_harvesting_technique
Typosquatting_technique
Mitm_technique
Evilginx_tool
Clickfix_technique

Victims:
Booking.com partners, Hotel customers, Hospitality sector, Real estate sector

Industry:
Entertainment, Financial, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1056.003, T1078, T1204.001, T1205, T1497.001, T1566.002, T1583.001

IOCs:
Url: 5
Domain: 276

Soft:
WhatsApp, Gmail