#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Odyssey Stealer - это вредоносное ПО для macOS, предназначенное для кражи информации и нацеленное на пользователей криптовалют, работающее по модели "Вредоносное ПОкак услуга". Его инфраструктура включает в себя десять идентифицированных серверов C2 по всей Европе и Азии, использующих запутанный AppleScript для первоначального заражения и минимальную Троянская программа удаленного доступа для закрепление. Вредоносное ПО извлекает конфиденциальные данные, включая файлы cookie браузера и учетные данные, используя тактику социальной инженерии, чтобы обманом заставить пользователей раскрыть системные пароли, при этом постоянное выполнение обеспечивается с помощью рандомизированных имен служб.
-----

Odyssey Stealer - это сложное вредоносное ПО для macOS, похищающее информацию, специально разработанное для нацелен на криптовалюты. Работая по модели "Вредоносное ПО как услуга" (MaaS), она позволяет независимым филиалам получать доступ к своей инфраструктуре, проводя вредоносные кампании и делясь доходами с основным контролирующим органом. Это вредоносное ПО было выявлено в ходе расследований нацелен на Вредоносная Кампания macOS, в частности, нацеленная на пользователей криптовалют.

Инфраструктура Odyssey примечательна своей отличительной панелью управления React и согласованными конечными точками API, упрощающими процесс снятия отпечатков пальцев с серверов командования и контроля (C2). Анализ с помощью Censys выявил десять физических хостов, связанных с инфраструктурой Odyssey's C2, с подключением к кластерам ASN в Европе, особенно в Нидерландах и Германии, и одиночные хосты в Сингапуре, Литве и России. Некоторые из этих серверов предоставляются пуленепробиваемыми хостинговыми службами, что предполагает дизайн, обеспечивающий устойчивость к попыткам взлома.

Поток атак Odyssey's состоит из нескольких этапов, начиная с начального дроппера, который использует запутанный AppleScript, завернутый в сценарий оболочки. Этот дроппер не только инициирует атаку, но и устанавливает минимальную Троянская программа для удаленного доступа (RAT), предназначенную для закрепление путем создания LaunchDaemon со случайными именами служб. Каждый экземпляр RAT считывает адрес C2 с диска, повышая его скрытность, поскольку C2 не закодирован жестко, что затрудняет его обнаружение с помощью статического анализа.

Вредоносное ПО в первую очередь нацелено на конфиденциальные данные, извлекая такую информацию, как файлы cookie веб-браузера и учетные данные, особенно с популярных платформ, таких как Firefox и MetaMask. Он использует тактику социальной инженерии, обманом заставляя пользователей предоставлять свои пароли macOS через поддельное системное диалоговое окно, которое позже используется для получения доступа к мастер-паролю Chrome, хранящемуся в системе Связка ключей.

Сохраняясь в зараженной системе, Odyssey использует случайное имя службы, чтобы гарантировать ее запуск при загрузке системы. Вредоносное ПО может выполнять произвольные команды оболочки и загружать свой прокси-сервер socks5 для эксфильтрация. Панель управления Odyssey предоставляет операторам различные функциональные возможности, включая настройки уведомлений и генератор сборок для создания различных полезных нагрузок.

Odyssey не является оригинальным творением; это ребрендинг Poseidon Stealer, который сам по себе является производным от Atomic macOS Stealer (AMOS), демонстрируя таким образом родословную в сообществе киберпреступников. Его разработка связана с пользователем, известным как Rodrigo4, который активен на русскоязычных форумах по киберпреступность.

Защитные стратегии против Odyssey включают мониторинг необычного использования osascript, тщательную проверку LaunchDaemons на наличие странных шаблонов именования и блокирование связанного с ними сетевого трафика. Кроме того, организациям рекомендуется обучать пользователей распознавать подозрительные запросы во время установки приложений и быть осторожными с ними.

#ParsedReport #CompletenessLow
14-02-2026

Threat Actors Exploit Claude Artifacts and Google Ads to Target macOS Users

https://cybersecuritynews.com/threat-actors-exploit-claude-artifacts-and-google-ads/

Report completeness: Low

Threats:
Macc_stealer
Clickfix_technique

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002, T1608.006

IOCs:
Url: 2
Domain: 3

Soft:
Claude, macOS, Twitter, curl

Algorithms:
base64, zip

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кибератака, нацеленная на пользователей macOS, использует рекламу Google для распространения вредоносное ПО, замаскированное под легальное программное обеспечение. Злоумышленник использует "артефакты Claude" для повышения достоверности своих атак, приводя пользователей к вредоносным URL-адресам, на которых размещаются мошеннические приложения. Вредоносное ПО способно выполнять вредоносные действия, такие как эксфильтрация данных и выполнение дополнительных полезных нагрузок, что подчеркивает растущую изощренность этих атак и их зависимость от методов социальной инженерии.
-----

Недавний анализ выявил кибератаку, направленную против пользователей macOS, которая использует рекламу Google для распространения вредоносных программ, замаскированных под легальное программное обеспечение. Эта операция включает в себя использование “артефактов Claude”, которые, вероятно, связаны с определенным инструментом или ресурсом, используемым для манипулирования поведением механизмов доставки вредоносное ПО. Эти артефакты служат средством для того, чтобы злоумышленник мог представить свои атаки в более правдоподобном свете, заставляя ничего не подозревающих пользователей загружать вредоносные версии широко используемых приложений.

Поскольку Google Ads упрощает метод распространения, эти злоумышленники создают кампании, имитирующие законную рекламу, привлекая пользователей к вредоносным URL-адресам. Как только пользователи взаимодействуют с этими объявлениями, они перенаправляются на веб-сайты, на которых размещены эти мошеннические приложения. Было замечено, что вредоносное ПО, распространяемое с помощью такой тактики, выполняет различные вредоносные действия, включая эксфильтрация данных и выполнение дополнительных полезных нагрузок, которые компрометация целостности экосистемы macOS.

Методология атаки не только подчеркивает растущую изощренность злоумышленник, но и подчеркивает зависимость от методов социальной инженерии, направленных на использование доверия к признанным платформам, таким как Google. Поскольку пользователей обманом заставляют загружать вредоносное программное обеспечение, представленное как авторитетные приложения, это вызывает серьезные опасения относительно эффективности существующих средств защиты от таких переносчиков. Использование артефактов Claude в этом контексте предполагает индивидуальный подход злоумышленников, потенциально указывающий на конкретные интересы в нацеливании на среды macOS с целью максимизации их воздействие.

Таким образом, это событие отражает растущую тенденцию в среде угроз, когда злоумышленники используют известные рекламные сервисы для распространения вредоносное ПО, специально нацеливаясь на пользователей macOS, используя стратегии социальной инженерии и потенциально используя передовые инструменты или тактику, связанные с артефактами Claude. Эта развивающаяся угроза требует повышенной осведомленности и усовершенствованных мер безопасности среди пользователей macOS для эффективной борьбы с такими киберугроза.

#ParsedReport #CompletenessMedium
15-02-2026

GreyNoise Labs Weekly OAST (Well-known Out-of-band Interaction Domains) Report Week Ending 2026-02-13

https://www.labs.greynoise.io/grimoire/2026-02-13-weekly-oast-report/

Report completeness: Medium

Threats:
Interactsh_tool
Nuclei_tool
Log4shell_vuln
Typosquatting_technique

Victims:
Enterprise it, Cloud services, Web applications, Ivanti epmm deployments

Industry:
Iot

Geo:
Denmark, Korea, France, Vietnamese, Panama, Vietnam, Netherlands, Estonia, Switzerland, Brazil, Brazilian, Russia

CVEs:
CVE-2026-0770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon_router_firmware (-)

CVE-2024-32113 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache ofbiz (<18.12.13)

CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence_server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2025-4123 [Vulners]
CVSS V3.1: 7.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- grafana (<10.4.18, <11.2.9, <11.3.6, <11.4.4, <11.5.4)

CVE-2025-2777 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sysaid (le23.3.40)

CVE-2025-8085 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- metaphorcreations ditty (<3.1.58)

CVE-2025-34028 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- commvault (<11.38.20)

CVE-2025-8943 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- flowiseai flowise (<3.0.1)

CVE-2021-39152 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- xstream (<1.4.18)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1071.001, T1090.003, T1189, T1190, T1210, T1583.001, T1595.002

IOCs:
IP: 16
Coin: 1
File: 3
Domain: 4

Soft:
Ivanti EPMM, Linux, Ivanti, WireGuard, Apache Log4j, Apache OFBiz, Confluence, WordPress, WebLogic, Adobe ColdFusion, have more...

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с 7 по 13 февраля 2026 года была зафиксирована обширная активность в области киберугроза, включающая 6197 сеансов с 79 уникальных IP-адресов в рамках 73 кампаний OAST, нацеленных на различные уязвимости. Ключевыми игроками были масштабная операция с использованием прокси-сервера Cloudflare и автоматизированная швейцарская IP-кампания с акцентом на использование CVE-2026-1281 (Ivanti Endpoint Manager Mobile) и CVE-2026-0770 с помощью различных методов. Атаки продемонстрировали скоординированные усилия с использованием более 100 методов эксплуатации CVE, что свидетельствует о сложном сканировании и оценке уязвимостей в различных оперативных группах.
-----

В период с 7 по 13 февраля 2026 года GreyNoise задокументировала значительную активность в области киберугроза, включающую 6197 сеансов с 79 уникальных IP-адресов в рамках 73 кампаний тестирования безопасности внеполосной аутентификации (OAST) в Interactsh. Эта деятельность была подкреплена пятью вариантами доменов Interactsh, что указывает на разнообразные и скоординированные усилия с использованием более 100 различных методов использования CVE. Примечательно, что наблюдаемая инфраструктура охватывала конечные точки с прокси-сервером Cloudflare, Oracle Cloud и частные хостинговые решения, базирующиеся во Вьетнаме.

Кампании были разделены на отдельные группы в зависимости от их характеристик. Наиболее заметной была операция сканирования с использованием прокси-сервера Cloudflare под названием ibe4q, ответственная за 3157 случаев с девяти бразильских IP-адресов, что указывает на сосредоточенные усилия по использованию различных уязвимостей. Одновременно с этим кампания bjibe проявила значительную активность, используя все шесть методов введения OAST, что свидетельствует о системном подходе к оценке уязвимости.

Облачные сканеры Oracle были определены как важнейшие игроки в этой области угроз, особенно связанные с попытками эксплуатации, связанными с CVE-2026-1281 (Ivanti Endpoint Manager Mobile) и CVE-2026-0770. Значительная активность сканирования была прослежена до конкретных IP-адресов, по которым ранее регистрировалось большое количество обращений, что свидетельствует о закрепление этих сканеров. Между тем, другая кампания, инициированная швейцарской IP-компанией, продемонстрировала автоматизацию за счет непрерывной работы в течение недели, что еще раз подчеркивает сложную и устойчивую стратегию сканирования.

Дальнейшая эксплуатация была очевидна в кампаниях, связанных с PROSPERO OOO, сосредоточенных исключительно на использовании уязвимости Ivanti, что указывает на методологию нацелен-ной атаки. Кампании проводились одновременно, что позволяло злоумышленникам стратегически использовать доступные уязвимости. Дополнительные кластеры, такие как те, которые связаны с голландским IP-адресом, иллюстрируют аналогичные тенденции организованного сканирования, часто используя общие отпечатки JA3, что предполагает дублирование инструментов или инфраструктуры.

Анализ полезной нагрузки выявил множество методов атаки: попытки Удаленное Выполнение Кода с помощью уязвимостей Log4j и Ivanti, а также сканирование на наличие уязвимостей ввода команд и обхода путей. Набор данных также выявил технические сложности, связанные с проведением этих атак, в частности, благодаря специфическому поведению, зафиксированному при снятии отпечатков пальцев по протоколу TCP, которое дополняло географические распределения, выявленные для различных враждебных IP-адресов.

В конечном счете, этот анализ указывает на наличие нескольких различных в оперативном отношении групп, использующих взаимосвязанную инфраструктуру для нацелен-ной эксплуатации целого ряда известных уязвимостей, причем данные свидетельствуют о сочетании автоматизированных и ручных методов сканирования, применяемых благодаря сложной координации. Текущие угрозы подчеркивают необходимость бдительного управления исправлениями и повышения осведомленности о CVE-2026-1281 и связанных с ними эксплойтах в уязвимых средах.

#ParsedReport #CompletenessMedium
16-02-2026

The Booking.com Phishing Campaign Targeting Hotels and Customers

https://www.bridewell.com/insights/blogs/detail/the-booking.com-phishing-campaign-targeting-hotels-and-customers

Report completeness: Medium

Actors/Campaigns:
Br-unc-030

Threats:
Credential_harvesting_technique
Typosquatting_technique
Mitm_technique
Evilginx_tool
Clickfix_technique

Victims:
Booking.com partners, Hotel customers, Hospitality sector, Real estate sector

Industry:
Entertainment, Financial, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1056.003, T1078, T1204.001, T1205, T1497.001, T1566.002, T1583.001

IOCs:
Url: 5
Domain: 276

Soft:
WhatsApp, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная кампания по фишинг-атаке, нацеленная Booking.com использует несколько цепочек заражения, первоначально ориентируясь на партнеров и клиентов отелей с помощью фишинг-рассылок по электронной почте и специализированного набора, предназначенного для кражи учетные данные. Набор включает в себя методы уклонения, использующие общие фреймворк и дактилоскопию пользователей, чтобы свести к минимуму обнаружение при нацеливании на законные домены, связанные с сектором. Как только учетные данные партнеров отеля подвергаются компрометация, злоумышленники извлекают конфиденциальные данные клиентов, применяя новые стратегии, такие как использование "призрачных парных" учетных записей WhatsApp для повышения доверия.
-----

Продолжающаяся кампания по фишинг-атаке, нацеленная Booking.com продемонстрировал сложный подход, использующий многочисленные цепочки заражения, которые в первую очередь нацелены на партнеров и клиентов отелей. Первая цепочка использует электронные письма для фишинг-рассылки, адресованные гостиничным сетям, в то время как на втором этапе используется специально разработанный набор для фишинг-рассылки, предназначенный для получения учетные данные от Booking.com партнеры. Этот сложный набор включает в себя методы обход защиты, которые способствуют низкому уровню обнаружения различными средствами безопасности. Набор для фишинг-атак имитирует партнерский портал входа в систему для Booking.com , использующий распространенные фреймворк, такие как Ajax, для повышения своей эффективности.

Расследование показало, что злоумышленник проводит дактилоскопию пользователей на уровне корневого домена. Этот метод включает в себя изучение источников трафика и фильтрацию подключений из известных IP-подсетей VPN, что помогает злоумышленникам избежать обнаружения. Наборы для фишинг-тестирования потенциально используют множество методов проверки, включая WebGL, проверки Navigator и проверки iFrame, которые обычно ассоциируются с другими подобными операциями фишинг-тестирования, что указывает на тактическое сходство с такими угрозами, как Evilginx.

Целями этой кампании являются не только прямая Имперсонация Booking.com но также в сфере гостиничного бизнеса и недвижимости за счет использования доменов для фишинг-атак, очень похожих на законные сайты. Как только злоумышленник успешно осуществляет компрометация партнеров отеля и получает их учетные данные, они приступают к эксфильтрации данных клиентов. Это включает в себя вход в систему Booking.com платформа для кражи конфиденциальной информации о бронировании, которая может включать имена клиентов и детали бронирования. Этому этапу атаки, по-видимому, способствует использование бизнес-аккаунтов WhatsApp в "призрачной паре", которые используют статус "подтверждено" для повышения достоверности фишинг-приманок.

Эта кампания продолжается, и в отличие от предыдущих случаев, когда ClickFix использовался для первоначальный доступ к системам, текущая методология использует недавно установленные адреса Gmail и регистрации доменов для развертывания набора для фишинг-атак. В целом, это подчеркивает эволюцию тактики, используемой злоумышленник для компрометация целей, избегая при этом традиционных мер безопасности. Методы обнаружения, применяемые для борьбы с этой кампанией, включают правила YARA, специфичные для выявленных наборов для фишинг-атак и соответствующих URL-адресов, а также мониторинг с помощью различных фреймворк киберразведки.

#ParsedReport #CompletenessLow
17-02-2026

ZeroDayRAT: The Nation-State Toolkit Now Available to the Highest (Telegram) Bidder

https://www.codeaintel.com/p/zerodayrat-the-nation-state-toolkit

Report completeness: Low

Threats:
Zerodayrat

Victims:
Mobile users, Banking customers, Cryptocurrency users

Industry:
E-commerce, Financial

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1646

Soft:
Telegram, Android, WhatsApp

Wallets:
metamask

Crypto:
binance

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ZeroDayRAT - это новая мобильная шпионская платформа, распространяемая через Telegram, позволяющая осуществлять обширную слежку и мониторинг целей негосударственными актор. Он работает на нескольких операционных системах, от Android 5 до iOS 16, предлагая универсальную инфраструктуру управление для сбора разведывательных данных в режиме реального времени и постоянного наблюдения. Платформа также содержит инструменты для финансовой эксплуатации, включая похитителя банковских данных и угонщика крипто-кошельков, которые могут обходить двухфакторную аутентификацию, подчеркивая сочетание кибершпионажа и финансовых преступлений.
-----

Появление ZeroDayRAT, новой мобильной шпионской платформы, доступной в Telegram, знаменует собой значительный сдвиг в доступности передовых технологий наблюдения. Изначально разработанный для элитных национальных государственных структур, этот инструментарий позволяет пользователям отслеживать цифровую и физическую жизнь нацеленых лиц в режиме реального времени с помощью автономной панели браузера. Платформа значительно снижает барьер для входа для тех, кто ищет широкие возможности мобильного наблюдения.

ZeroDayRAT может похвастаться значительной совместимостью с различными операционными системами, эффективно функционируя на устройствах под управлением Android от 5 до iOS 16. Такая широкая совместимость является заметным преимуществом, поскольку многие Троянская программа удаленного доступа (RAT) сталкиваются с проблемами при обновлении версий. ZeroDayRAT разработан с учетом долговечности и эффективности для широкого спектра устройств, гарантируя, что его функциональные возможности доступны широкому кругу потенциальных злоумышленников.

Инфраструктура, предоставляемая ZeroDayRAT, позволяет пользователям превращать смартфоны в инструменты постоянного наблюдения, сродни системе мониторинга в режиме 24/7. Панели управление (C2) обеспечивают операторам бесперебойную работу, обеспечивая всесторонний контроль над устройствами компрометация и возможность непрерывного сбора разведывательной информации без перерывов.

Более того, ZeroDayRAT расширяет свои возможности за рамки простого наблюдения; он включает в себя сложные инструменты для финансовой эксплуатации. Инструментарий включает в себя сложную программу для кражи банковских данных и угонщика крипто-кошельков, разработанную для обхода мер двухфакторной аутентификации (2FA), что позволяет злоумышленникам эффективно истощать финансовые ресурсы жертв. Эта двойная функциональность - слежка и Кража денежных средств - подчеркивает растущую конвергенцию кибершпионажа и финансовых преступлений в контексте киберугроза.

#ParsedReport #CompletenessLow
17-02-2026

Mammoth in a cart: account hijacking and bankers in Telegram

https://www.kaspersky.ru/blog/telegram-banker-trojan-mamont-and-mini-app-account-hack/41333/

Report completeness: Low

Threats:
Mamont_spy

Victims:
Telegram users

Industry:
Financial

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1056.003, T1105, T1204.002, T1556.006, T1566.002

Soft:
Telegram, Android

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки на пользователей Телеграм в России характеризуются двумя основными схемами: захват аккаунта путем Имперсонация администраторов каналов, заманивание пользователей в другие чаты и вредоносная загрузка APK-файла, нацеленная на пользователей Android, которым предлагается "исправленная" версия Телеграм. Последние могут распространять вредоносное ПО, подобное троянцу Mamont, что вызывает серьезные проблемы с безопасностью. Пользователям рекомендуется быть осторожными при установке неофициальных приложений и отслеживать активные сеансы на предмет несанкционированного доступа.
-----

В недавних атаках, нацеленных на пользователей Телеграм в России, использовались две заслуживающие внимания схемы, использующие уязвимости внутри платформы. Первая схема включает в себя захват учетной записи, при котором злоумышленники выдают себя за администраторов каналов. Пользователи получают сообщения о том, что администратор потерял доступ к их учетной записи и просит всех перейти в новый чат. Эта тактика особенно эффективна в больших общественных местах, где пользователи могут быть незнакомы друг с другом, тем самым повышая вероятность соблюдения инструкций угонщика.

Недавно вторая схема встал и, прежде всего, влияет на пользователей Android, ограничения телеграм телеграм в России. Злоумышленники продвижению якобы "пропатченную" версию Телеграм, который утверждает, что функция без проблем с производительностью. Жертвы перенаправляются, чтобы скачать файл APK из другого чата, представляя серьезную угрозу безопасности. Эти неофициальные загрузки приложение может установить вредоносное ПО таких как Троянская мамонт, еще большую угрозу учетные записи пользователей.

Меры по Кибербезопасность для пользователей имеют решающее значение. Пользователей предостерегают от установки приложений, отправленных через чаты, даже если они исходят от контактов. Особое внимание уделяется проверке активных сеансов в настройках приложения Телеграм, чтобы определить, получили ли какие-либо несанкционированные устройства доступ к учетной записи. При обнаружении какой-либо подозрительной активности пользователям рекомендуется немедленно выйти из других сеансов.

Для повышения безопасности учетной записи рекомендуется использовать облачный пароль в качестве формы двухфакторной аутентификации. В отличие от традиционных методов, которые полагаются исключительно на телефонные номера, облачный пароль обеспечивает дополнительный уровень защиты, поскольку он предотвратит несанкционированный доступ, даже если злоумышленник владеет номером телефона пользователя.

Кроме того, пользователям рекомендуется связать свою адреса эл. почты в своих телеграм счета. Это особенно важно, поскольку последние изменения вызвали проблемы с получением SMS-сообщения для верификации, что делает восстановление учетной записи сложнее, не связанного электронной почты. Кроме того, используя пароли для аутентификации может защитить от попытки фишинг и утечки данных, гарантируя, что даже если пользователи сталкиваются с фейка, ключ не будет разрешать доступ.

#ParsedReport #CompletenessHigh
17-02-2026

CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign

https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/

Report completeness: High

Actors/Campaigns:
Irgc
Kimsuky

Threats:
Crescentharvest
Dll_sideloading_technique
Credential_harvesting_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Protestors, Dissidents, Journalists, Activists, Researchers, Diaspora communities

Geo:
Iran, Iranians, Iranian, Latvia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Hash: 7
File: 16
Domain: 1
IP: 1
Path: 3

Soft:
Telegram, Firefox, twitter, Chrome, Google Chrome, Windows COM

Algorithms:
zip, sha256, base64, xor

Functions:
GetUser, DllMain, NtCurrentPeb, GetUsers

Win API:
LoadLibraryExA, CoInitializeEx, CoCreateInstance, CoSetProxyBlanket, CreateToolhelp32Snapshot, Thread32First, Thread32Next, OpenThread, SuspendThread, NtBuildNumber, have more...

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 52, filemanager: 2, dump: 4, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CRESCENTHARVEST - это кибершпионаж, нацеленный на иранских протестующих, использующий социальную инженерию Целевой фишинг для получения первоначальный доступ. Вредоносное ПО обладает вредоносными свойствами .Файлы LNK, которые запускают вредоносные скрипты и обеспечивают закрепление в рамках запланированной задачи на основе конкретных сетевых событий, отражая передовые оперативные тактики. Ключевые компоненты включают библиотеки DLL для извлечения ключей шифрования и возможности удаленного доступа, а также надежную инфраструктуру управление, обеспечивающую широкий контроль над системами компрометация.
-----

Кампания CRESCENTHARVEST - это изощренная инициатива по кибершпионажу, направленная, как сообщается, против иранских протестующих и их сторонников, о чем сообщило подразделение Acronis по исследованию угроз (TRU). Кампания характеризуется потенциальной возможностью кражи конфиденциальной информации и поддержания долгосрочного наблюдения за ее жертвами. Оперативная тактика, наблюдаемая в ходе этой кампании, согласуется с предыдущими методами, атрибутирован с иранскими злоумышленник, включая использование социально спланированных Целевой фишинг-атак для установления первоначальный доступ.

Вредоносное ПО , используемое в CRESCENTHARVEST, использует вредоносные программы .Файлы LNK, которые замаскированы под безопасные ярлыки, но выполняют вредоносные скрипты PowerShell или CMD при взаимодействии с пользователем. После заражения вредоносное ПО обеспечивает закрепление, создавая запланированную задачу, которая запускается на основе определенного сетевого события (EventID 10000), а не традиционных условий запуска. Это отклонение отражает углубленное понимание системного поведения, позволяющего закрепиться в среде жертвы.

Систематический анализ выявил две критические библиотеки динамических ссылок (DLL), используемые для выполнения атаки: urtcbased140d_d.dll облегчает извлечение и расшифровку ключей шифрования, привязанных к приложениям Chrome, в то время как версия.dll работает как инструмент удаленного доступа (RAT), способный собирать учетные данные, в том числе из браузеров и Telegram, и выполнять команды в системе компрометация.

Кампания была отмечена своей надежной архитектурой управление (C2), обеспечивающей взаимодействие с сервером, подключенным к домену servicelog-information.com и IP-адрес 185.242.105.230. Эта инфраструктура размещена в Латвии и связана с недорогими хостинг-провайдерами, что предполагает акцент на эксплуатационной устойчивости и запутывании. Синтаксис команд, используемый в сообщениях C2, указывает на сложность, которая позволяет осуществлять разнообразный и обширный контроль над действиями вредоносное ПО.

Виктимология указывает на документы, написанные на фарси, вероятно, предназначенные для иранской аудитории, как на часть полезной нагрузки вредоносное ПО, усиливая акцент кампании на динамике местных протестов. Однако принадлежность этих атак остается неопределенной из-за легкости, с которой различные злоумышленник могут имитировать методы друг друга.