#ParsedReport #CompletenessMedium
16-02-2026

The Booking.com Phishing Campaign Targeting Hotels and Customers

https://www.bridewell.com/insights/blogs/detail/the-booking.com-phishing-campaign-targeting-hotels-and-customers

Report completeness: Medium

Actors/Campaigns:
Br-unc-030

Threats:
Credential_harvesting_technique
Typosquatting_technique
Mitm_technique
Evilginx_tool
Clickfix_technique

Victims:
Booking.com partners, Hotel customers, Hospitality sector, Real estate sector

Industry:
Entertainment, Financial, Retail

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1056.003, T1078, T1204.001, T1205, T1497.001, T1566.002, T1583.001

IOCs:
Url: 5
Domain: 276

Soft:
WhatsApp, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная кампания по фишинг-атаке, нацеленная Booking.com использует несколько цепочек заражения, первоначально ориентируясь на партнеров и клиентов отелей с помощью фишинг-рассылок по электронной почте и специализированного набора, предназначенного для кражи учетные данные. Набор включает в себя методы уклонения, использующие общие фреймворк и дактилоскопию пользователей, чтобы свести к минимуму обнаружение при нацеливании на законные домены, связанные с сектором. Как только учетные данные партнеров отеля подвергаются компрометация, злоумышленники извлекают конфиденциальные данные клиентов, применяя новые стратегии, такие как использование "призрачных парных" учетных записей WhatsApp для повышения доверия.
-----

Продолжающаяся кампания по фишинг-атаке, нацеленная Booking.com продемонстрировал сложный подход, использующий многочисленные цепочки заражения, которые в первую очередь нацелены на партнеров и клиентов отелей. Первая цепочка использует электронные письма для фишинг-рассылки, адресованные гостиничным сетям, в то время как на втором этапе используется специально разработанный набор для фишинг-рассылки, предназначенный для получения учетные данные от Booking.com партнеры. Этот сложный набор включает в себя методы обход защиты, которые способствуют низкому уровню обнаружения различными средствами безопасности. Набор для фишинг-атак имитирует партнерский портал входа в систему для Booking.com , использующий распространенные фреймворк, такие как Ajax, для повышения своей эффективности.

Расследование показало, что злоумышленник проводит дактилоскопию пользователей на уровне корневого домена. Этот метод включает в себя изучение источников трафика и фильтрацию подключений из известных IP-подсетей VPN, что помогает злоумышленникам избежать обнаружения. Наборы для фишинг-тестирования потенциально используют множество методов проверки, включая WebGL, проверки Navigator и проверки iFrame, которые обычно ассоциируются с другими подобными операциями фишинг-тестирования, что указывает на тактическое сходство с такими угрозами, как Evilginx.

Целями этой кампании являются не только прямая Имперсонация Booking.com но также в сфере гостиничного бизнеса и недвижимости за счет использования доменов для фишинг-атак, очень похожих на законные сайты. Как только злоумышленник успешно осуществляет компрометация партнеров отеля и получает их учетные данные, они приступают к эксфильтрации данных клиентов. Это включает в себя вход в систему Booking.com платформа для кражи конфиденциальной информации о бронировании, которая может включать имена клиентов и детали бронирования. Этому этапу атаки, по-видимому, способствует использование бизнес-аккаунтов WhatsApp в "призрачной паре", которые используют статус "подтверждено" для повышения достоверности фишинг-приманок.

Эта кампания продолжается, и в отличие от предыдущих случаев, когда ClickFix использовался для первоначальный доступ к системам, текущая методология использует недавно установленные адреса Gmail и регистрации доменов для развертывания набора для фишинг-атак. В целом, это подчеркивает эволюцию тактики, используемой злоумышленник для компрометация целей, избегая при этом традиционных мер безопасности. Методы обнаружения, применяемые для борьбы с этой кампанией, включают правила YARA, специфичные для выявленных наборов для фишинг-атак и соответствующих URL-адресов, а также мониторинг с помощью различных фреймворк киберразведки.

#ParsedReport #CompletenessLow
17-02-2026

ZeroDayRAT: The Nation-State Toolkit Now Available to the Highest (Telegram) Bidder

https://www.codeaintel.com/p/zerodayrat-the-nation-state-toolkit

Report completeness: Low

Threats:
Zerodayrat

Victims:
Mobile users, Banking customers, Cryptocurrency users

Industry:
E-commerce, Financial

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1646

Soft:
Telegram, Android, WhatsApp

Wallets:
metamask

Crypto:
binance

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ZeroDayRAT - это новая мобильная шпионская платформа, распространяемая через Telegram, позволяющая осуществлять обширную слежку и мониторинг целей негосударственными актор. Он работает на нескольких операционных системах, от Android 5 до iOS 16, предлагая универсальную инфраструктуру управление для сбора разведывательных данных в режиме реального времени и постоянного наблюдения. Платформа также содержит инструменты для финансовой эксплуатации, включая похитителя банковских данных и угонщика крипто-кошельков, которые могут обходить двухфакторную аутентификацию, подчеркивая сочетание кибершпионажа и финансовых преступлений.
-----

Появление ZeroDayRAT, новой мобильной шпионской платформы, доступной в Telegram, знаменует собой значительный сдвиг в доступности передовых технологий наблюдения. Изначально разработанный для элитных национальных государственных структур, этот инструментарий позволяет пользователям отслеживать цифровую и физическую жизнь нацеленых лиц в режиме реального времени с помощью автономной панели браузера. Платформа значительно снижает барьер для входа для тех, кто ищет широкие возможности мобильного наблюдения.

ZeroDayRAT может похвастаться значительной совместимостью с различными операционными системами, эффективно функционируя на устройствах под управлением Android от 5 до iOS 16. Такая широкая совместимость является заметным преимуществом, поскольку многие Троянская программа удаленного доступа (RAT) сталкиваются с проблемами при обновлении версий. ZeroDayRAT разработан с учетом долговечности и эффективности для широкого спектра устройств, гарантируя, что его функциональные возможности доступны широкому кругу потенциальных злоумышленников.

Инфраструктура, предоставляемая ZeroDayRAT, позволяет пользователям превращать смартфоны в инструменты постоянного наблюдения, сродни системе мониторинга в режиме 24/7. Панели управление (C2) обеспечивают операторам бесперебойную работу, обеспечивая всесторонний контроль над устройствами компрометация и возможность непрерывного сбора разведывательной информации без перерывов.

Более того, ZeroDayRAT расширяет свои возможности за рамки простого наблюдения; он включает в себя сложные инструменты для финансовой эксплуатации. Инструментарий включает в себя сложную программу для кражи банковских данных и угонщика крипто-кошельков, разработанную для обхода мер двухфакторной аутентификации (2FA), что позволяет злоумышленникам эффективно истощать финансовые ресурсы жертв. Эта двойная функциональность - слежка и Кража денежных средств - подчеркивает растущую конвергенцию кибершпионажа и финансовых преступлений в контексте киберугроза.

#ParsedReport #CompletenessLow
17-02-2026

Mammoth in a cart: account hijacking and bankers in Telegram

https://www.kaspersky.ru/blog/telegram-banker-trojan-mamont-and-mini-app-account-hack/41333/

Report completeness: Low

Threats:
Mamont_spy

Victims:
Telegram users

Industry:
Financial

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1056.003, T1105, T1204.002, T1556.006, T1566.002

Soft:
Telegram, Android

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки на пользователей Телеграм в России характеризуются двумя основными схемами: захват аккаунта путем Имперсонация администраторов каналов, заманивание пользователей в другие чаты и вредоносная загрузка APK-файла, нацеленная на пользователей Android, которым предлагается "исправленная" версия Телеграм. Последние могут распространять вредоносное ПО, подобное троянцу Mamont, что вызывает серьезные проблемы с безопасностью. Пользователям рекомендуется быть осторожными при установке неофициальных приложений и отслеживать активные сеансы на предмет несанкционированного доступа.
-----

В недавних атаках, нацеленных на пользователей Телеграм в России, использовались две заслуживающие внимания схемы, использующие уязвимости внутри платформы. Первая схема включает в себя захват учетной записи, при котором злоумышленники выдают себя за администраторов каналов. Пользователи получают сообщения о том, что администратор потерял доступ к их учетной записи и просит всех перейти в новый чат. Эта тактика особенно эффективна в больших общественных местах, где пользователи могут быть незнакомы друг с другом, тем самым повышая вероятность соблюдения инструкций угонщика.

Недавно вторая схема встал и, прежде всего, влияет на пользователей Android, ограничения телеграм телеграм в России. Злоумышленники продвижению якобы "пропатченную" версию Телеграм, который утверждает, что функция без проблем с производительностью. Жертвы перенаправляются, чтобы скачать файл APK из другого чата, представляя серьезную угрозу безопасности. Эти неофициальные загрузки приложение может установить вредоносное ПО таких как Троянская мамонт, еще большую угрозу учетные записи пользователей.

Меры по Кибербезопасность для пользователей имеют решающее значение. Пользователей предостерегают от установки приложений, отправленных через чаты, даже если они исходят от контактов. Особое внимание уделяется проверке активных сеансов в настройках приложения Телеграм, чтобы определить, получили ли какие-либо несанкционированные устройства доступ к учетной записи. При обнаружении какой-либо подозрительной активности пользователям рекомендуется немедленно выйти из других сеансов.

Для повышения безопасности учетной записи рекомендуется использовать облачный пароль в качестве формы двухфакторной аутентификации. В отличие от традиционных методов, которые полагаются исключительно на телефонные номера, облачный пароль обеспечивает дополнительный уровень защиты, поскольку он предотвратит несанкционированный доступ, даже если злоумышленник владеет номером телефона пользователя.

Кроме того, пользователям рекомендуется связать свою адреса эл. почты в своих телеграм счета. Это особенно важно, поскольку последние изменения вызвали проблемы с получением SMS-сообщения для верификации, что делает восстановление учетной записи сложнее, не связанного электронной почты. Кроме того, используя пароли для аутентификации может защитить от попытки фишинг и утечки данных, гарантируя, что даже если пользователи сталкиваются с фейка, ключ не будет разрешать доступ.

#ParsedReport #CompletenessHigh
17-02-2026

CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign

https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/

Report completeness: High

Actors/Campaigns:
Irgc
Kimsuky

Threats:
Crescentharvest
Dll_sideloading_technique
Credential_harvesting_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Protestors, Dissidents, Journalists, Activists, Researchers, Diaspora communities

Geo:
Iran, Iranians, Iranian, Latvia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Hash: 7
File: 16
Domain: 1
IP: 1
Path: 3

Soft:
Telegram, Firefox, twitter, Chrome, Google Chrome, Windows COM

Algorithms:
zip, sha256, base64, xor

Functions:
GetUser, DllMain, NtCurrentPeb, GetUsers

Win API:
LoadLibraryExA, CoInitializeEx, CoCreateInstance, CoSetProxyBlanket, CreateToolhelp32Snapshot, Thread32First, Thread32Next, OpenThread, SuspendThread, NtBuildNumber, have more...

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 52, filemanager: 2, dump: 4, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CRESCENTHARVEST - это кибершпионаж, нацеленный на иранских протестующих, использующий социальную инженерию Целевой фишинг для получения первоначальный доступ. Вредоносное ПО обладает вредоносными свойствами .Файлы LNK, которые запускают вредоносные скрипты и обеспечивают закрепление в рамках запланированной задачи на основе конкретных сетевых событий, отражая передовые оперативные тактики. Ключевые компоненты включают библиотеки DLL для извлечения ключей шифрования и возможности удаленного доступа, а также надежную инфраструктуру управление, обеспечивающую широкий контроль над системами компрометация.
-----

Кампания CRESCENTHARVEST - это изощренная инициатива по кибершпионажу, направленная, как сообщается, против иранских протестующих и их сторонников, о чем сообщило подразделение Acronis по исследованию угроз (TRU). Кампания характеризуется потенциальной возможностью кражи конфиденциальной информации и поддержания долгосрочного наблюдения за ее жертвами. Оперативная тактика, наблюдаемая в ходе этой кампании, согласуется с предыдущими методами, атрибутирован с иранскими злоумышленник, включая использование социально спланированных Целевой фишинг-атак для установления первоначальный доступ.

Вредоносное ПО , используемое в CRESCENTHARVEST, использует вредоносные программы .Файлы LNK, которые замаскированы под безопасные ярлыки, но выполняют вредоносные скрипты PowerShell или CMD при взаимодействии с пользователем. После заражения вредоносное ПО обеспечивает закрепление, создавая запланированную задачу, которая запускается на основе определенного сетевого события (EventID 10000), а не традиционных условий запуска. Это отклонение отражает углубленное понимание системного поведения, позволяющего закрепиться в среде жертвы.

Систематический анализ выявил две критические библиотеки динамических ссылок (DLL), используемые для выполнения атаки: urtcbased140d_d.dll облегчает извлечение и расшифровку ключей шифрования, привязанных к приложениям Chrome, в то время как версия.dll работает как инструмент удаленного доступа (RAT), способный собирать учетные данные, в том числе из браузеров и Telegram, и выполнять команды в системе компрометация.

Кампания была отмечена своей надежной архитектурой управление (C2), обеспечивающей взаимодействие с сервером, подключенным к домену servicelog-information.com и IP-адрес 185.242.105.230. Эта инфраструктура размещена в Латвии и связана с недорогими хостинг-провайдерами, что предполагает акцент на эксплуатационной устойчивости и запутывании. Синтаксис команд, используемый в сообщениях C2, указывает на сложность, которая позволяет осуществлять разнообразный и обширный контроль над действиями вредоносное ПО.

Виктимология указывает на документы, написанные на фарси, вероятно, предназначенные для иранской аудитории, как на часть полезной нагрузки вредоносное ПО, усиливая акцент кампании на динамике местных протестов. Однако принадлежность этих атак остается неопределенной из-за легкости, с которой различные злоумышленник могут имитировать методы друг друга.

#ParsedReport #CompletenessLow
17-02-2026

Invitation to Trouble: The Rise of Calendar Phishing Attacks

https://cofense.com/blog/invitation-to-trouble-the-rise-of-calendar-phishing-attacks

Report completeness: Low

Victims:
Business employees

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566.002, T1656

IOCs:
Url: 7
IP: 11

Soft:
Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние тенденции свидетельствуют о росте числа календарных фишинг-атак с использованием мошеннических приглашений от Microsoft и Google Calendar, чтобы обманом заставить пользователей предоставить учетные данные для входа в систему. Злоумышленник использует привычные функции календаря, часто создавая fake meeting invites, которые очень похожи на законные сообщения. Этот метод направлен в первую очередь на кражу учетные данные, потенциально приводящую к несанкционированному доступу к конфиденциальным корпоративным ресурсам, и подчеркивает необходимость того, чтобы пользователи критически оценивали информацию о приглашении.
-----

Последние тенденции, выявленные Центром защиты от фишинг-атак Cofense, указывают на увеличение числа календарных фишинг-атак, нацеленных на пользователей с помощью мошеннических приглашений из Microsoft и Google Calendar. Эти атаки используют знакомый интерфейс и функциональность законных приглашений в календарь, чтобы обманом заставить людей предоставить свои учетные данные для входа в систему. Хотя приглашения кажутся заслуживающими доверия, при более тщательном изучении адреса электронной почты отправителя часто обнаруживаются расхождения, указывающие на то, что они не от предполагаемого источника.

Злоумышленник, осуществляющий эти попытки фишинг, использует стандартные методы планирования совещаний, что облегчает ему встраивание в повседневную деятельность сотрудников в корпоративной среде. Этот метод основан на знакомстве получателей с приглашениями из календаря, что часто приводит к упущению в проверке, поскольку пользователи предполагают, что приглашения являются доброкачественными. Как правило, эти злоумышленники используют fake meeting invites, которые имитируют законные корпоративные коммуникации, тем самым повышая вероятность того, что цели непреднамеренно примут участие в схеме фишинг, перейдя по Вредоносная ссылка или приняв приглашение.

Эта развивающаяся тактика фишинг-рассылки подчеркивает необходимость повышения осведомленности и осторожного поведения пользователей, особенно при тщательном изучении деталей приглашений в календаре, прежде чем принимать по ним меры. Целью этих атак в первую очередь является кража учетных данных с последующим риском несанкционированного доступа к конфиденциальным корпоративным ресурсам. По мере того как эти методы становятся все более изощренными, организации должны уделять приоритетное внимание обучению пользователей и внедрять дополнительные меры безопасности для защиты от подобных обманчивых практик.

#ParsedReport #CompletenessHigh
17-02-2026

Poison Mars, or how LuciDoor is knocking on CIS doors

https://ptsecurity.com/research/pt-esc-threat-intelligence/poisonous-mars-or-how-lucidoor-knocks-on-the-doors-of-the-cis/

Report completeness: High

Actors/Campaigns:
Unsolicitedbooker
Webworm
Ta428
Red_delta

Threats:
Lucidoor
Marssnake
Luciload_tool
Marssnakeloader_tool
Spear-phishing_technique
Dll_sideloading_technique
Chinoxy_dropper
Trojan.win32.generic.a

Victims:
Telecommunications

Industry:
Telco

Geo:
Saudi arabia, Taiwan, Asian, China, Chinese, Israel, Russian, Hong kong, Korea, Kyrgyzstan, Tajikistan

TTPs:
Tactics: 8
Technics: 30

IOCs:
File: 17
Path: 4
IP: 3
Hash: 17

Soft:
Windows Task Scheduler, Windows registry, Outlook

Algorithms:
xor, md5, lznt1, sha1, aes-128, rc4, sha256, aes, deflate

Win API:
RtlDecompressBuffer, decompress, WTSQuerySessionInformationW, NetBIOS

Platforms:
x86

Links:
https://github.com/Pizz33/FTPlnk\_phishing
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 и начале 2026 года коллектив UnsolicitedBooker нацелен на телекоммуникационные компании в Кыргызстане и Таджикистане, используя передовую тактику. Они внедрили два бэкдор - LuciDoor и MarsSnake, известные своей закрепление и настраиваемыми конфигурациями. Злоумышленники использовали Целевой фишинг с вредоносными документами, использовали Сетевые устройства для управление и использовали методы DLL side-loading для повышения скрытности, что указывает на стратегическое смещение акцента в сторону телекоммуникационных инфраструктур Центральной Азии.
-----

В конце 2025 и начале 2026 года восточноазиатская хакерская группировка, связанная с коллективом UnsolicitedBooker, начала атаки на телекоммуникационные компании в Кыргызстане и Таджикистане, используя сложные методы, которые подчеркивают их передовые возможности. В этих операциях группа использовала два основных бэкдор-системы: LuciDoor и MarsSnake, оба из которых демонстрируют уникальные характеристики и закрепление в работе.

LuciDoor отличается тем, что настраивает консольный шрифт Lucida для отображения на терминале и демонстрирует исключительную закрепление при подключении к своему серверу управление (C2). Предпринимаются первоначальные попытки подключиться напрямую, но в случае неудачи в качестве последнего средства используется доступ к системным прокси-серверам и активным пользовательским подключениям. Этот многоступенчатый механизм прокси-сервера подчеркивает изощренность тактики проникновения.

MarsSnake был отмечен в более поздних атаках, будучи аналогичным образом адаптируемым, позволяя злоумышленникам изменять его конфигурацию без необходимости перекомпиляции исполняемого файла. Этот бэкдор использует зашифрованный блок, который может быть обновлен с помощью простых изменений XOR. Оперативный фреймворк, по-видимому, тесно связан с предыдущей деятельностью, связанной с группой UnsolicitedBooker, которая также проводила аналогичные фишинг-атаки на активы в Саудовской Аравии.

Тактика злоумышленников включала в себя Целевой фишинг-кампании с использованием замаскированных документов, связанных с телекоммуникациями, отправляемых через сервисы Microsoft Hotmail и Outlook. Примечательно, что эти документы содержали макросы, которые при включении выполняли бы полезную нагрузку скрытно. Изображения, использованные в этих документах, были созданы с использованием китайского инструмента Snipaste, включая конкретные строки, которые указывали на компрометация.

Операционная инфраструктура, используемая злоумышленниками, включала приобретение доменов и серверов для целей C2, что указывает на усилия, обеспеченные достаточными ресурсами. Их способность компрометация устройств MikroTik, превращение их в серверы C2, демонстрирует их манипулирование Сетевые устройства для несанкционированного доступа и контроля.

Вредоносное ПО также использовало методы DLL side-loading, позволяющие им использовать законные файлы для запуска своих вредоносных полезных нагрузок, повышая скрытность их операций. Более того, с помощью своих бэкдор злоумышленники не только выполняли команды и собирали системную информацию, но и умудрялись поддерживать надежную связь с C2, используя как зашифрованные, так и запутанные каналы.

Анализ этой тактики показывает, что группа UnsolicitedBooker переключила внимание на телекоммуникации Центральной Азии, используя передовые методы вредоносное ПО и стратегический фишинг для достижения своих вредоносных целей, сохраняя при этом изощренный подход как к выполнению управление по команде и контролю, так и к эксплуатации жертв.

#ParsedReport #CompletenessLow
17-02-2026

ConsentFix attacks abuse GitHub OAuth tokens to bypass authentication

https://www.threatlocker.com/blog/consentfix-attacks-abuse-github-oauth-tokens-to-bypass-authentication

Report completeness: Low

Threats:
Consentfix_technique
Clickfix_technique
Spear-phishing_technique
Watering_hole_technique
Smishing_technique

Victims:
Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1078, T1098, T1199, T1204, T1528

Links:
https://github.com/praetorian-inc/oauthseeker/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1