#ParsedReport #CompletenessLow
17-02-2026
Mammoth in a cart: account hijacking and bankers in Telegram
https://www.kaspersky.ru/blog/telegram-banker-trojan-mamont-and-mini-app-account-hack/41333/
Report completeness: Low
Threats:
Mamont_spy
Victims:
Telegram users
Industry:
Financial
Geo:
Russia, Russian
ChatGPT TTPs:
T1056.003, T1105, T1204.002, T1556.006, T1566.002
Soft:
Telegram, Android
Platforms:
apple
17-02-2026
Mammoth in a cart: account hijacking and bankers in Telegram
https://www.kaspersky.ru/blog/telegram-banker-trojan-mamont-and-mini-app-account-hack/41333/
Report completeness: Low
Threats:
Mamont_spy
Victims:
Telegram users
Industry:
Financial
Geo:
Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1056.003, T1105, T1204.002, T1556.006, T1566.002
Soft:
Telegram, Android
Platforms:
apple
Блог Касперского
Троян под видом обхода ограничений Telegram и кража аккаунтов Telegram через приглашения в «новый чат»
«Лаборатория Касперского» предупреждает о новых угрозах пользователям Telegram: злоумышленники распространяют троян-банкер Mamont как «инструмент обхода блокировок Telegram» и угоняют аккаунты через встроенные мини-приложения.
CTT Report Hub
#ParsedReport #CompletenessLow 17-02-2026 Mammoth in a cart: account hijacking and bankers in Telegram https://www.kaspersky.ru/blog/telegram-banker-trojan-mamont-and-mini-app-account-hack/41333/ Report completeness: Low Threats: Mamont_spy Victims: Telegram…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на пользователей Телеграм в России характеризуются двумя основными схемами: захват аккаунта путем Имперсонация администраторов каналов, заманивание пользователей в другие чаты и вредоносная загрузка APK-файла, нацеленная на пользователей Android, которым предлагается "исправленная" версия Телеграм. Последние могут распространять вредоносное ПО, подобное троянцу Mamont, что вызывает серьезные проблемы с безопасностью. Пользователям рекомендуется быть осторожными при установке неофициальных приложений и отслеживать активные сеансы на предмет несанкционированного доступа.
-----
В недавних атаках, нацеленных на пользователей Телеграм в России, использовались две заслуживающие внимания схемы, использующие уязвимости внутри платформы. Первая схема включает в себя захват учетной записи, при котором злоумышленники выдают себя за администраторов каналов. Пользователи получают сообщения о том, что администратор потерял доступ к их учетной записи и просит всех перейти в новый чат. Эта тактика особенно эффективна в больших общественных местах, где пользователи могут быть незнакомы друг с другом, тем самым повышая вероятность соблюдения инструкций угонщика.
Недавно вторая схема встал и, прежде всего, влияет на пользователей Android, ограничения телеграм телеграм в России. Злоумышленники продвижению якобы "пропатченную" версию Телеграм, который утверждает, что функция без проблем с производительностью. Жертвы перенаправляются, чтобы скачать файл APK из другого чата, представляя серьезную угрозу безопасности. Эти неофициальные загрузки приложение может установить вредоносное ПО таких как Троянская мамонт, еще большую угрозу учетные записи пользователей.
Меры по Кибербезопасность для пользователей имеют решающее значение. Пользователей предостерегают от установки приложений, отправленных через чаты, даже если они исходят от контактов. Особое внимание уделяется проверке активных сеансов в настройках приложения Телеграм, чтобы определить, получили ли какие-либо несанкционированные устройства доступ к учетной записи. При обнаружении какой-либо подозрительной активности пользователям рекомендуется немедленно выйти из других сеансов.
Для повышения безопасности учетной записи рекомендуется использовать облачный пароль в качестве формы двухфакторной аутентификации. В отличие от традиционных методов, которые полагаются исключительно на телефонные номера, облачный пароль обеспечивает дополнительный уровень защиты, поскольку он предотвратит несанкционированный доступ, даже если злоумышленник владеет номером телефона пользователя.
Кроме того, пользователям рекомендуется связать свою адреса эл. почты в своих телеграм счета. Это особенно важно, поскольку последние изменения вызвали проблемы с получением SMS-сообщения для верификации, что делает восстановление учетной записи сложнее, не связанного электронной почты. Кроме того, используя пароли для аутентификации может защитить от попытки фишинг и утечки данных, гарантируя, что даже если пользователи сталкиваются с фейка, ключ не будет разрешать доступ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки на пользователей Телеграм в России характеризуются двумя основными схемами: захват аккаунта путем Имперсонация администраторов каналов, заманивание пользователей в другие чаты и вредоносная загрузка APK-файла, нацеленная на пользователей Android, которым предлагается "исправленная" версия Телеграм. Последние могут распространять вредоносное ПО, подобное троянцу Mamont, что вызывает серьезные проблемы с безопасностью. Пользователям рекомендуется быть осторожными при установке неофициальных приложений и отслеживать активные сеансы на предмет несанкционированного доступа.
-----
В недавних атаках, нацеленных на пользователей Телеграм в России, использовались две заслуживающие внимания схемы, использующие уязвимости внутри платформы. Первая схема включает в себя захват учетной записи, при котором злоумышленники выдают себя за администраторов каналов. Пользователи получают сообщения о том, что администратор потерял доступ к их учетной записи и просит всех перейти в новый чат. Эта тактика особенно эффективна в больших общественных местах, где пользователи могут быть незнакомы друг с другом, тем самым повышая вероятность соблюдения инструкций угонщика.
Недавно вторая схема встал и, прежде всего, влияет на пользователей Android, ограничения телеграм телеграм в России. Злоумышленники продвижению якобы "пропатченную" версию Телеграм, который утверждает, что функция без проблем с производительностью. Жертвы перенаправляются, чтобы скачать файл APK из другого чата, представляя серьезную угрозу безопасности. Эти неофициальные загрузки приложение может установить вредоносное ПО таких как Троянская мамонт, еще большую угрозу учетные записи пользователей.
Меры по Кибербезопасность для пользователей имеют решающее значение. Пользователей предостерегают от установки приложений, отправленных через чаты, даже если они исходят от контактов. Особое внимание уделяется проверке активных сеансов в настройках приложения Телеграм, чтобы определить, получили ли какие-либо несанкционированные устройства доступ к учетной записи. При обнаружении какой-либо подозрительной активности пользователям рекомендуется немедленно выйти из других сеансов.
Для повышения безопасности учетной записи рекомендуется использовать облачный пароль в качестве формы двухфакторной аутентификации. В отличие от традиционных методов, которые полагаются исключительно на телефонные номера, облачный пароль обеспечивает дополнительный уровень защиты, поскольку он предотвратит несанкционированный доступ, даже если злоумышленник владеет номером телефона пользователя.
Кроме того, пользователям рекомендуется связать свою адреса эл. почты в своих телеграм счета. Это особенно важно, поскольку последние изменения вызвали проблемы с получением SMS-сообщения для верификации, что делает восстановление учетной записи сложнее, не связанного электронной почты. Кроме того, используя пароли для аутентификации может защитить от попытки фишинг и утечки данных, гарантируя, что даже если пользователи сталкиваются с фейка, ключ не будет разрешать доступ.
#ParsedReport #CompletenessHigh
17-02-2026
CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign
https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/
Report completeness: High
Actors/Campaigns:
Irgc
Kimsuky
Threats:
Crescentharvest
Dll_sideloading_technique
Credential_harvesting_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique
Victims:
Protestors, Dissidents, Journalists, Activists, Researchers, Diaspora communities
Geo:
Iran, Iranians, Iranian, Latvia
TTPs:
Tactics: 6
Technics: 0
IOCs:
Hash: 7
File: 16
Domain: 1
IP: 1
Path: 3
Soft:
Telegram, Firefox, twitter, Chrome, Google Chrome, Windows COM
Algorithms:
zip, sha256, base64, xor
Functions:
GetUser, DllMain, NtCurrentPeb, GetUsers
Win API:
LoadLibraryExA, CoInitializeEx, CoCreateInstance, CoSetProxyBlanket, CreateToolhelp32Snapshot, Thread32First, Thread32Next, OpenThread, SuspendThread, NtBuildNumber, have more...
Languages:
powershell
17-02-2026
CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign
https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/
Report completeness: High
Actors/Campaigns:
Irgc
Kimsuky
Threats:
Crescentharvest
Dll_sideloading_technique
Credential_harvesting_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique
Victims:
Protestors, Dissidents, Journalists, Activists, Researchers, Diaspora communities
Geo:
Iran, Iranians, Iranian, Latvia
TTPs:
Tactics: 6
Technics: 0
IOCs:
Hash: 7
File: 16
Domain: 1
IP: 1
Path: 3
Soft:
Telegram, Firefox, twitter, Chrome, Google Chrome, Windows COM
Algorithms:
zip, sha256, base64, xor
Functions:
GetUser, DllMain, NtCurrentPeb, GetUsers
Win API:
LoadLibraryExA, CoInitializeEx, CoCreateInstance, CoSetProxyBlanket, CreateToolhelp32Snapshot, Thread32First, Thread32Next, OpenThread, SuspendThread, NtBuildNumber, have more...
Languages:
powershell
Acronis
CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign
Acronis' Threat Research Unit (TRU) has uncovered a malware campaign, dubbed CRESCENTHARVEST, potentially targeting supporters of Iran's ongoing protests with the goal of information theft and long-term espionage.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-02-2026 CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/…
#ParsedReport #ExtractedSchema
Classified images:
schema: 4, code: 52, filemanager: 2, dump: 4, windows: 4
Classified images:
schema: 4, code: 52, filemanager: 2, dump: 4, windows: 4
CTT Report Hub
#ParsedReport #CompletenessHigh 17-02-2026 CRESCENTHARVEST: Iranian protestors and dissidents targeted in cyberespionage campaign https://www.acronis.com/en/tru/posts/crescentharvest-iranian-protestors-and-dissidents-targeted-in-cyberespionage-campaign/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания CRESCENTHARVEST - это кибершпионаж, нацеленный на иранских протестующих, использующий социальную инженерию Целевой фишинг для получения первоначальный доступ. Вредоносное ПО обладает вредоносными свойствами .Файлы LNK, которые запускают вредоносные скрипты и обеспечивают закрепление в рамках запланированной задачи на основе конкретных сетевых событий, отражая передовые оперативные тактики. Ключевые компоненты включают библиотеки DLL для извлечения ключей шифрования и возможности удаленного доступа, а также надежную инфраструктуру управление, обеспечивающую широкий контроль над системами компрометация.
-----
Кампания CRESCENTHARVEST - это изощренная инициатива по кибершпионажу, направленная, как сообщается, против иранских протестующих и их сторонников, о чем сообщило подразделение Acronis по исследованию угроз (TRU). Кампания характеризуется потенциальной возможностью кражи конфиденциальной информации и поддержания долгосрочного наблюдения за ее жертвами. Оперативная тактика, наблюдаемая в ходе этой кампании, согласуется с предыдущими методами, атрибутирован с иранскими злоумышленник, включая использование социально спланированных Целевой фишинг-атак для установления первоначальный доступ.
Вредоносное ПО , используемое в CRESCENTHARVEST, использует вредоносные программы .Файлы LNK, которые замаскированы под безопасные ярлыки, но выполняют вредоносные скрипты PowerShell или CMD при взаимодействии с пользователем. После заражения вредоносное ПО обеспечивает закрепление, создавая запланированную задачу, которая запускается на основе определенного сетевого события (EventID 10000), а не традиционных условий запуска. Это отклонение отражает углубленное понимание системного поведения, позволяющего закрепиться в среде жертвы.
Систематический анализ выявил две критические библиотеки динамических ссылок (DLL), используемые для выполнения атаки: urtcbased140d_d.dll облегчает извлечение и расшифровку ключей шифрования, привязанных к приложениям Chrome, в то время как версия.dll работает как инструмент удаленного доступа (RAT), способный собирать учетные данные, в том числе из браузеров и Telegram, и выполнять команды в системе компрометация.
Кампания была отмечена своей надежной архитектурой управление (C2), обеспечивающей взаимодействие с сервером, подключенным к домену servicelog-information.com и IP-адрес 185.242.105.230. Эта инфраструктура размещена в Латвии и связана с недорогими хостинг-провайдерами, что предполагает акцент на эксплуатационной устойчивости и запутывании. Синтаксис команд, используемый в сообщениях C2, указывает на сложность, которая позволяет осуществлять разнообразный и обширный контроль над действиями вредоносное ПО.
Виктимология указывает на документы, написанные на фарси, вероятно, предназначенные для иранской аудитории, как на часть полезной нагрузки вредоносное ПО, усиливая акцент кампании на динамике местных протестов. Однако принадлежность этих атак остается неопределенной из-за легкости, с которой различные злоумышленник могут имитировать методы друг друга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания CRESCENTHARVEST - это кибершпионаж, нацеленный на иранских протестующих, использующий социальную инженерию Целевой фишинг для получения первоначальный доступ. Вредоносное ПО обладает вредоносными свойствами .Файлы LNK, которые запускают вредоносные скрипты и обеспечивают закрепление в рамках запланированной задачи на основе конкретных сетевых событий, отражая передовые оперативные тактики. Ключевые компоненты включают библиотеки DLL для извлечения ключей шифрования и возможности удаленного доступа, а также надежную инфраструктуру управление, обеспечивающую широкий контроль над системами компрометация.
-----
Кампания CRESCENTHARVEST - это изощренная инициатива по кибершпионажу, направленная, как сообщается, против иранских протестующих и их сторонников, о чем сообщило подразделение Acronis по исследованию угроз (TRU). Кампания характеризуется потенциальной возможностью кражи конфиденциальной информации и поддержания долгосрочного наблюдения за ее жертвами. Оперативная тактика, наблюдаемая в ходе этой кампании, согласуется с предыдущими методами, атрибутирован с иранскими злоумышленник, включая использование социально спланированных Целевой фишинг-атак для установления первоначальный доступ.
Вредоносное ПО , используемое в CRESCENTHARVEST, использует вредоносные программы .Файлы LNK, которые замаскированы под безопасные ярлыки, но выполняют вредоносные скрипты PowerShell или CMD при взаимодействии с пользователем. После заражения вредоносное ПО обеспечивает закрепление, создавая запланированную задачу, которая запускается на основе определенного сетевого события (EventID 10000), а не традиционных условий запуска. Это отклонение отражает углубленное понимание системного поведения, позволяющего закрепиться в среде жертвы.
Систематический анализ выявил две критические библиотеки динамических ссылок (DLL), используемые для выполнения атаки: urtcbased140d_d.dll облегчает извлечение и расшифровку ключей шифрования, привязанных к приложениям Chrome, в то время как версия.dll работает как инструмент удаленного доступа (RAT), способный собирать учетные данные, в том числе из браузеров и Telegram, и выполнять команды в системе компрометация.
Кампания была отмечена своей надежной архитектурой управление (C2), обеспечивающей взаимодействие с сервером, подключенным к домену servicelog-information.com и IP-адрес 185.242.105.230. Эта инфраструктура размещена в Латвии и связана с недорогими хостинг-провайдерами, что предполагает акцент на эксплуатационной устойчивости и запутывании. Синтаксис команд, используемый в сообщениях C2, указывает на сложность, которая позволяет осуществлять разнообразный и обширный контроль над действиями вредоносное ПО.
Виктимология указывает на документы, написанные на фарси, вероятно, предназначенные для иранской аудитории, как на часть полезной нагрузки вредоносное ПО, усиливая акцент кампании на динамике местных протестов. Однако принадлежность этих атак остается неопределенной из-за легкости, с которой различные злоумышленник могут имитировать методы друг друга.
#ParsedReport #CompletenessLow
17-02-2026
Invitation to Trouble: The Rise of Calendar Phishing Attacks
https://cofense.com/blog/invitation-to-trouble-the-rise-of-calendar-phishing-attacks
Report completeness: Low
Victims:
Business employees
ChatGPT TTPs:
T1056.003, T1204.001, T1566.002, T1656
IOCs:
Url: 7
IP: 11
Soft:
Outlook
17-02-2026
Invitation to Trouble: The Rise of Calendar Phishing Attacks
https://cofense.com/blog/invitation-to-trouble-the-rise-of-calendar-phishing-attacks
Report completeness: Low
Victims:
Business employees
ChatGPT TTPs:
do not use without manual checkT1056.003, T1204.001, T1566.002, T1656
IOCs:
Url: 7
IP: 11
Soft:
Outlook
Cofense
Invitation to Trouble: The Rise of Calendar Phishing Attacks
Threat actors are increasingly abusing Microsoft and Google Calendar invites to deliver convincing phishing attacks that steal user credentials by mimicking everyday workplace activity. This blog
CTT Report Hub
#ParsedReport #CompletenessLow 17-02-2026 Invitation to Trouble: The Rise of Calendar Phishing Attacks https://cofense.com/blog/invitation-to-trouble-the-rise-of-calendar-phishing-attacks Report completeness: Low Victims: Business employees ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Последние тенденции свидетельствуют о росте числа календарных фишинг-атак с использованием мошеннических приглашений от Microsoft и Google Calendar, чтобы обманом заставить пользователей предоставить учетные данные для входа в систему. Злоумышленник использует привычные функции календаря, часто создавая fake meeting invites, которые очень похожи на законные сообщения. Этот метод направлен в первую очередь на кражу учетные данные, потенциально приводящую к несанкционированному доступу к конфиденциальным корпоративным ресурсам, и подчеркивает необходимость того, чтобы пользователи критически оценивали информацию о приглашении.
-----
Последние тенденции, выявленные Центром защиты от фишинг-атак Cofense, указывают на увеличение числа календарных фишинг-атак, нацеленных на пользователей с помощью мошеннических приглашений из Microsoft и Google Calendar. Эти атаки используют знакомый интерфейс и функциональность законных приглашений в календарь, чтобы обманом заставить людей предоставить свои учетные данные для входа в систему. Хотя приглашения кажутся заслуживающими доверия, при более тщательном изучении адреса электронной почты отправителя часто обнаруживаются расхождения, указывающие на то, что они не от предполагаемого источника.
Злоумышленник, осуществляющий эти попытки фишинг, использует стандартные методы планирования совещаний, что облегчает ему встраивание в повседневную деятельность сотрудников в корпоративной среде. Этот метод основан на знакомстве получателей с приглашениями из календаря, что часто приводит к упущению в проверке, поскольку пользователи предполагают, что приглашения являются доброкачественными. Как правило, эти злоумышленники используют fake meeting invites, которые имитируют законные корпоративные коммуникации, тем самым повышая вероятность того, что цели непреднамеренно примут участие в схеме фишинг, перейдя по Вредоносная ссылка или приняв приглашение.
Эта развивающаяся тактика фишинг-рассылки подчеркивает необходимость повышения осведомленности и осторожного поведения пользователей, особенно при тщательном изучении деталей приглашений в календаре, прежде чем принимать по ним меры. Целью этих атак в первую очередь является кража учетных данных с последующим риском несанкционированного доступа к конфиденциальным корпоративным ресурсам. По мере того как эти методы становятся все более изощренными, организации должны уделять приоритетное внимание обучению пользователей и внедрять дополнительные меры безопасности для защиты от подобных обманчивых практик.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Последние тенденции свидетельствуют о росте числа календарных фишинг-атак с использованием мошеннических приглашений от Microsoft и Google Calendar, чтобы обманом заставить пользователей предоставить учетные данные для входа в систему. Злоумышленник использует привычные функции календаря, часто создавая fake meeting invites, которые очень похожи на законные сообщения. Этот метод направлен в первую очередь на кражу учетные данные, потенциально приводящую к несанкционированному доступу к конфиденциальным корпоративным ресурсам, и подчеркивает необходимость того, чтобы пользователи критически оценивали информацию о приглашении.
-----
Последние тенденции, выявленные Центром защиты от фишинг-атак Cofense, указывают на увеличение числа календарных фишинг-атак, нацеленных на пользователей с помощью мошеннических приглашений из Microsoft и Google Calendar. Эти атаки используют знакомый интерфейс и функциональность законных приглашений в календарь, чтобы обманом заставить людей предоставить свои учетные данные для входа в систему. Хотя приглашения кажутся заслуживающими доверия, при более тщательном изучении адреса электронной почты отправителя часто обнаруживаются расхождения, указывающие на то, что они не от предполагаемого источника.
Злоумышленник, осуществляющий эти попытки фишинг, использует стандартные методы планирования совещаний, что облегчает ему встраивание в повседневную деятельность сотрудников в корпоративной среде. Этот метод основан на знакомстве получателей с приглашениями из календаря, что часто приводит к упущению в проверке, поскольку пользователи предполагают, что приглашения являются доброкачественными. Как правило, эти злоумышленники используют fake meeting invites, которые имитируют законные корпоративные коммуникации, тем самым повышая вероятность того, что цели непреднамеренно примут участие в схеме фишинг, перейдя по Вредоносная ссылка или приняв приглашение.
Эта развивающаяся тактика фишинг-рассылки подчеркивает необходимость повышения осведомленности и осторожного поведения пользователей, особенно при тщательном изучении деталей приглашений в календаре, прежде чем принимать по ним меры. Целью этих атак в первую очередь является кража учетных данных с последующим риском несанкционированного доступа к конфиденциальным корпоративным ресурсам. По мере того как эти методы становятся все более изощренными, организации должны уделять приоритетное внимание обучению пользователей и внедрять дополнительные меры безопасности для защиты от подобных обманчивых практик.
#ParsedReport #CompletenessHigh
17-02-2026
Poison Mars, or how LuciDoor is knocking on CIS doors
https://ptsecurity.com/research/pt-esc-threat-intelligence/poisonous-mars-or-how-lucidoor-knocks-on-the-doors-of-the-cis/
Report completeness: High
Actors/Campaigns:
Unsolicitedbooker
Webworm
Ta428
Red_delta
Threats:
Lucidoor
Marssnake
Luciload_tool
Marssnakeloader_tool
Spear-phishing_technique
Dll_sideloading_technique
Chinoxy_dropper
Trojan.win32.generic.a
Victims:
Telecommunications
Industry:
Telco
Geo:
Saudi arabia, Taiwan, Asian, China, Chinese, Israel, Russian, Hong kong, Korea, Kyrgyzstan, Tajikistan
TTPs:
Tactics: 8
Technics: 30
IOCs:
File: 17
Path: 4
IP: 3
Hash: 17
Soft:
Windows Task Scheduler, Windows registry, Outlook
Algorithms:
xor, md5, lznt1, sha1, aes-128, rc4, sha256, aes, deflate
Win API:
RtlDecompressBuffer, decompress, WTSQuerySessionInformationW, NetBIOS
Platforms:
x86
Links:
have more...
17-02-2026
Poison Mars, or how LuciDoor is knocking on CIS doors
https://ptsecurity.com/research/pt-esc-threat-intelligence/poisonous-mars-or-how-lucidoor-knocks-on-the-doors-of-the-cis/
Report completeness: High
Actors/Campaigns:
Unsolicitedbooker
Webworm
Ta428
Red_delta
Threats:
Lucidoor
Marssnake
Luciload_tool
Marssnakeloader_tool
Spear-phishing_technique
Dll_sideloading_technique
Chinoxy_dropper
Trojan.win32.generic.a
Victims:
Telecommunications
Industry:
Telco
Geo:
Saudi arabia, Taiwan, Asian, China, Chinese, Israel, Russian, Hong kong, Korea, Kyrgyzstan, Tajikistan
TTPs:
Tactics: 8
Technics: 30
IOCs:
File: 17
Path: 4
IP: 3
Hash: 17
Soft:
Windows Task Scheduler, Windows registry, Outlook
Algorithms:
xor, md5, lznt1, sha1, aes-128, rc4, sha256, aes, deflate
Win API:
RtlDecompressBuffer, decompress, WTSQuerySessionInformationW, NetBIOS
Platforms:
x86
Links:
https://github.com/Pizz33/FTPlnk\_phishinghave more...
ptsecurity.com
Ядовитый Марс, или как LuciDoor стучится в двери СНГ | Статьи ESC от Positive Technologies
Ядовитый Марс, или как LuciDoor стучится в двери СНГ — исследование Positive Technologies. Ключевые выводы, данные и рекомендации экспертов в области кибербезопасности.
CTT Report Hub
#ParsedReport #CompletenessHigh 17-02-2026 Poison Mars, or how LuciDoor is knocking on CIS doors https://ptsecurity.com/research/pt-esc-threat-intelligence/poisonous-mars-or-how-lucidoor-knocks-on-the-doors-of-the-cis/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 и начале 2026 года коллектив UnsolicitedBooker нацелен на телекоммуникационные компании в Кыргызстане и Таджикистане, используя передовую тактику. Они внедрили два бэкдор - LuciDoor и MarsSnake, известные своей закрепление и настраиваемыми конфигурациями. Злоумышленники использовали Целевой фишинг с вредоносными документами, использовали Сетевые устройства для управление и использовали методы DLL side-loading для повышения скрытности, что указывает на стратегическое смещение акцента в сторону телекоммуникационных инфраструктур Центральной Азии.
-----
В конце 2025 и начале 2026 года восточноазиатская хакерская группировка, связанная с коллективом UnsolicitedBooker, начала атаки на телекоммуникационные компании в Кыргызстане и Таджикистане, используя сложные методы, которые подчеркивают их передовые возможности. В этих операциях группа использовала два основных бэкдор-системы: LuciDoor и MarsSnake, оба из которых демонстрируют уникальные характеристики и закрепление в работе.
LuciDoor отличается тем, что настраивает консольный шрифт Lucida для отображения на терминале и демонстрирует исключительную закрепление при подключении к своему серверу управление (C2). Предпринимаются первоначальные попытки подключиться напрямую, но в случае неудачи в качестве последнего средства используется доступ к системным прокси-серверам и активным пользовательским подключениям. Этот многоступенчатый механизм прокси-сервера подчеркивает изощренность тактики проникновения.
MarsSnake был отмечен в более поздних атаках, будучи аналогичным образом адаптируемым, позволяя злоумышленникам изменять его конфигурацию без необходимости перекомпиляции исполняемого файла. Этот бэкдор использует зашифрованный блок, который может быть обновлен с помощью простых изменений XOR. Оперативный фреймворк, по-видимому, тесно связан с предыдущей деятельностью, связанной с группой UnsolicitedBooker, которая также проводила аналогичные фишинг-атаки на активы в Саудовской Аравии.
Тактика злоумышленников включала в себя Целевой фишинг-кампании с использованием замаскированных документов, связанных с телекоммуникациями, отправляемых через сервисы Microsoft Hotmail и Outlook. Примечательно, что эти документы содержали макросы, которые при включении выполняли бы полезную нагрузку скрытно. Изображения, использованные в этих документах, были созданы с использованием китайского инструмента Snipaste, включая конкретные строки, которые указывали на компрометация.
Операционная инфраструктура, используемая злоумышленниками, включала приобретение доменов и серверов для целей C2, что указывает на усилия, обеспеченные достаточными ресурсами. Их способность компрометация устройств MikroTik, превращение их в серверы C2, демонстрирует их манипулирование Сетевые устройства для несанкционированного доступа и контроля.
Вредоносное ПО также использовало методы DLL side-loading, позволяющие им использовать законные файлы для запуска своих вредоносных полезных нагрузок, повышая скрытность их операций. Более того, с помощью своих бэкдор злоумышленники не только выполняли команды и собирали системную информацию, но и умудрялись поддерживать надежную связь с C2, используя как зашифрованные, так и запутанные каналы.
Анализ этой тактики показывает, что группа UnsolicitedBooker переключила внимание на телекоммуникации Центральной Азии, используя передовые методы вредоносное ПО и стратегический фишинг для достижения своих вредоносных целей, сохраняя при этом изощренный подход как к выполнению управление по команде и контролю, так и к эксплуатации жертв.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 и начале 2026 года коллектив UnsolicitedBooker нацелен на телекоммуникационные компании в Кыргызстане и Таджикистане, используя передовую тактику. Они внедрили два бэкдор - LuciDoor и MarsSnake, известные своей закрепление и настраиваемыми конфигурациями. Злоумышленники использовали Целевой фишинг с вредоносными документами, использовали Сетевые устройства для управление и использовали методы DLL side-loading для повышения скрытности, что указывает на стратегическое смещение акцента в сторону телекоммуникационных инфраструктур Центральной Азии.
-----
В конце 2025 и начале 2026 года восточноазиатская хакерская группировка, связанная с коллективом UnsolicitedBooker, начала атаки на телекоммуникационные компании в Кыргызстане и Таджикистане, используя сложные методы, которые подчеркивают их передовые возможности. В этих операциях группа использовала два основных бэкдор-системы: LuciDoor и MarsSnake, оба из которых демонстрируют уникальные характеристики и закрепление в работе.
LuciDoor отличается тем, что настраивает консольный шрифт Lucida для отображения на терминале и демонстрирует исключительную закрепление при подключении к своему серверу управление (C2). Предпринимаются первоначальные попытки подключиться напрямую, но в случае неудачи в качестве последнего средства используется доступ к системным прокси-серверам и активным пользовательским подключениям. Этот многоступенчатый механизм прокси-сервера подчеркивает изощренность тактики проникновения.
MarsSnake был отмечен в более поздних атаках, будучи аналогичным образом адаптируемым, позволяя злоумышленникам изменять его конфигурацию без необходимости перекомпиляции исполняемого файла. Этот бэкдор использует зашифрованный блок, который может быть обновлен с помощью простых изменений XOR. Оперативный фреймворк, по-видимому, тесно связан с предыдущей деятельностью, связанной с группой UnsolicitedBooker, которая также проводила аналогичные фишинг-атаки на активы в Саудовской Аравии.
Тактика злоумышленников включала в себя Целевой фишинг-кампании с использованием замаскированных документов, связанных с телекоммуникациями, отправляемых через сервисы Microsoft Hotmail и Outlook. Примечательно, что эти документы содержали макросы, которые при включении выполняли бы полезную нагрузку скрытно. Изображения, использованные в этих документах, были созданы с использованием китайского инструмента Snipaste, включая конкретные строки, которые указывали на компрометация.
Операционная инфраструктура, используемая злоумышленниками, включала приобретение доменов и серверов для целей C2, что указывает на усилия, обеспеченные достаточными ресурсами. Их способность компрометация устройств MikroTik, превращение их в серверы C2, демонстрирует их манипулирование Сетевые устройства для несанкционированного доступа и контроля.
Вредоносное ПО также использовало методы DLL side-loading, позволяющие им использовать законные файлы для запуска своих вредоносных полезных нагрузок, повышая скрытность их операций. Более того, с помощью своих бэкдор злоумышленники не только выполняли команды и собирали системную информацию, но и умудрялись поддерживать надежную связь с C2, используя как зашифрованные, так и запутанные каналы.
Анализ этой тактики показывает, что группа UnsolicitedBooker переключила внимание на телекоммуникации Центральной Азии, используя передовые методы вредоносное ПО и стратегический фишинг для достижения своих вредоносных целей, сохраняя при этом изощренный подход как к выполнению управление по команде и контролю, так и к эксплуатации жертв.
#ParsedReport #CompletenessLow
17-02-2026
ConsentFix attacks abuse GitHub OAuth tokens to bypass authentication
https://www.threatlocker.com/blog/consentfix-attacks-abuse-github-oauth-tokens-to-bypass-authentication
Report completeness: Low
Threats:
Consentfix_technique
Clickfix_technique
Spear-phishing_technique
Watering_hole_technique
Smishing_technique
Victims:
Organizations
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1020, T1078, T1098, T1199, T1204, T1528
Links:
17-02-2026
ConsentFix attacks abuse GitHub OAuth tokens to bypass authentication
https://www.threatlocker.com/blog/consentfix-attacks-abuse-github-oauth-tokens-to-bypass-authentication
Report completeness: Low
Threats:
Consentfix_technique
Clickfix_technique
Spear-phishing_technique
Watering_hole_technique
Smishing_technique
Victims:
Organizations
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1020, T1078, T1098, T1199, T1204, T1528
Links:
https://github.com/praetorian-inc/oauthseeker/Threatlocker
ConsentFix attacks abuse GitHub OAuth tokens to bypass authentication | ThreatLocker Blog
CTT Report Hub
#ParsedReport #CompletenessLow 17-02-2026 ConsentFix attacks abuse GitHub OAuth tokens to bypass authentication https://www.threatlocker.com/blog/consentfix-attacks-abuse-github-oauth-tokens-to-bypass-authentication Report completeness: Low Threats: C…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ConsentFix - это метод атаки, использующий системы токенов OAuth, специально нацеленный на такие платформы, как GitHub, для получения постоянного доступа к учетным записям пользователей без кражи учетные данные. Этот метод использует социальную инженерию, чтобы обманом заставить пользователей предоставить доступ к вредоносным приложениям, что приводит к потенциальным утечкам конфиденциальных ресурсов, таких как данные CRM и API. Атака сопряжена с серьезными рисками, включая эксфильтрация данных и коммерческое мошенничество, что подчеркивает необходимость повышения осведомленности пользователей и мониторинга сторонних интеграций.
-----
ConsentFix - это продвинутый метод, который использует системы токенов OAuth, специально предназначенный для таких платформ, как GitHub. Этот метод позволяет злоумышленникам получать постоянный доступ к учетным записям без необходимости красть учетные данные пользователей или обходить стандартные механизмы аутентификации. По сути, он основан на обмане пользователей с целью предоставления разрешений вредоносным приложениям - тактика, основанная на ранее задокументированных стратегиях социальной инженерии, таких как ClickFix.
Процесс атаки, задействованный в ConsentFix, обычно разворачивается методичным образом, хотя специфика может варьироваться в зависимости от экземпляра. Злоумышленники часто используют тактику социальной инженерии, чтобы убедить пользователей авторизовать доступ, в результате чего злоумышленники получают постоянный доступ к конфиденциальным ресурсам, таким как данные системы управления взаимоотношениями с клиентами (CRM). Последствия таких нарушений могут быть серьезными, в том числе несанкционированный доступ к интерфейсам прикладного программирования (API), потенциальная компрометация взаимосвязанных сред "Программное обеспечение как услуга" (SaaS), эксфильтрация данных, кража интеллектуальной собственности и даже случаи коммерческого мошенничества.
Устранение рисков, связанных с ConsentFix, требует от организаций внедрения надежных методов управления идентификационными данными и мониторинга API. Эффективная защита зависит от развитой телеметрии идентификации и всесторонней видимости взаимодействий с API. Однако проблема заключается в том, чтобы провести различие между законными действиями пользователей и злонамеренным поведением, особенно когда объем аутентичных взаимодействий высок. Кроме того, организациям часто не хватает исторических данных о предоставлении согласия, что затрудняет выявление ненормальных моделей доступа.
ConsentFix представляет собой заметную эволюцию в атаках социальной инженерии, использующих OAuth, подчеркивая необходимость повышения осведомленности пользователей и технических гарантий при управлении сторонними интеграциями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ConsentFix - это метод атаки, использующий системы токенов OAuth, специально нацеленный на такие платформы, как GitHub, для получения постоянного доступа к учетным записям пользователей без кражи учетные данные. Этот метод использует социальную инженерию, чтобы обманом заставить пользователей предоставить доступ к вредоносным приложениям, что приводит к потенциальным утечкам конфиденциальных ресурсов, таких как данные CRM и API. Атака сопряжена с серьезными рисками, включая эксфильтрация данных и коммерческое мошенничество, что подчеркивает необходимость повышения осведомленности пользователей и мониторинга сторонних интеграций.
-----
ConsentFix - это продвинутый метод, который использует системы токенов OAuth, специально предназначенный для таких платформ, как GitHub. Этот метод позволяет злоумышленникам получать постоянный доступ к учетным записям без необходимости красть учетные данные пользователей или обходить стандартные механизмы аутентификации. По сути, он основан на обмане пользователей с целью предоставления разрешений вредоносным приложениям - тактика, основанная на ранее задокументированных стратегиях социальной инженерии, таких как ClickFix.
Процесс атаки, задействованный в ConsentFix, обычно разворачивается методичным образом, хотя специфика может варьироваться в зависимости от экземпляра. Злоумышленники часто используют тактику социальной инженерии, чтобы убедить пользователей авторизовать доступ, в результате чего злоумышленники получают постоянный доступ к конфиденциальным ресурсам, таким как данные системы управления взаимоотношениями с клиентами (CRM). Последствия таких нарушений могут быть серьезными, в том числе несанкционированный доступ к интерфейсам прикладного программирования (API), потенциальная компрометация взаимосвязанных сред "Программное обеспечение как услуга" (SaaS), эксфильтрация данных, кража интеллектуальной собственности и даже случаи коммерческого мошенничества.
Устранение рисков, связанных с ConsentFix, требует от организаций внедрения надежных методов управления идентификационными данными и мониторинга API. Эффективная защита зависит от развитой телеметрии идентификации и всесторонней видимости взаимодействий с API. Однако проблема заключается в том, чтобы провести различие между законными действиями пользователей и злонамеренным поведением, особенно когда объем аутентичных взаимодействий высок. Кроме того, организациям часто не хватает исторических данных о предоставлении согласия, что затрудняет выявление ненормальных моделей доступа.
ConsentFix представляет собой заметную эволюцию в атаках социальной инженерии, использующих OAuth, подчеркивая необходимость повышения осведомленности пользователей и технических гарантий при управлении сторонними интеграциями.
#ParsedReport #CompletenessMedium
16-02-2026
Operation DoppelBrand: Massive Fortune 500 Brand Impersonation Campaign Uncovered
https://socradar.io/blog/operation-doppelbrand-fortune-500-campaign/
Report completeness: Medium
Actors/Campaigns:
Doppelbrand (motivation: financially_motivated)
Threats:
Credential_harvesting_technique
Itarian_tool
Logmein_tool
Anydesk_tool
Screenconnect_tool
Victims:
Fortune 500 companies, Customers, Financial institutions, Technology sector, Healthcare sector, Consumer services sector
Industry:
Healthcare, Financial, Telco, E-commerce
Geo:
Brazilian
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 1
Soft:
Telegram
Crypto:
bitcoin
Languages:
php
Platforms:
apple
16-02-2026
Operation DoppelBrand: Massive Fortune 500 Brand Impersonation Campaign Uncovered
https://socradar.io/blog/operation-doppelbrand-fortune-500-campaign/
Report completeness: Medium
Actors/Campaigns:
Doppelbrand (motivation: financially_motivated)
Threats:
Credential_harvesting_technique
Itarian_tool
Logmein_tool
Anydesk_tool
Screenconnect_tool
Victims:
Fortune 500 companies, Customers, Financial institutions, Technology sector, Healthcare sector, Consumer services sector
Industry:
Healthcare, Financial, Telco, E-commerce
Geo:
Brazilian
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 1
Soft:
Telegram
Crypto:
bitcoin
Languages:
php
Platforms:
apple
SOCRadar® Cyber Intelligence Inc.
Operation DoppelBrand: Massive Fortune 500 Brand Impersonation Campaign Uncovered
Operation DoppelBrand: Weaponizing Fortune 500 Brands for Credential Theft and Remote Access
CTT Report Hub
#ParsedReport #CompletenessMedium 16-02-2026 Operation DoppelBrand: Massive Fortune 500 Brand Impersonation Campaign Uncovered https://socradar.io/blog/operation-doppelbrand-fortune-500-campaign/ Report completeness: Medium Actors/Campaigns: Doppelbrand…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция DoppelBrand - это фишинг-кампания, атрибутирован с финансовой точки зрения злоумышленник GS7, нацеленный на компании из списка Fortune 500 и их клиентов, особенно в финансовом секторе. В операции используются поддельные интерфейсы OneDrive для сбора учетных данных и Telegram для эксфильтрация данных в режиме реального времени и обмена данными. GS7 устанавливает постоянный доступ с помощью инструментов удаленного управления, развернутых с помощью скриптов VBS, что со временем еще больше совершенствует их тактику и инфраструктуру.
-----
Операция DoppelBrand - это сложная фишинг-кампания, выявленная командой SOCRadar по поиску угроз, нацеленная на компании из списка Fortune 500 и их клиентов в течение нескольких лет. Атрибутирован с финансовой точки зрения злоумышленник, известный как GS7, который был активен в течение примерно десяти лет. GS7 постоянно совершенствует свою тактику и инфраструктуру, занимаясь заметным присутствием на подпольных рынках Бразилии, торгуя украденными учетные данные и корпоративной информацией. Актор использует множество Telegram-ботов для эксфильтрация учетные данные и работает на различных торговых площадках Dark Web, предлагая доступ к компрометация учетных записей банков, платежных платформ и других сервисов.
Методы доставки фишинг-сообщений, используемые в этой операции, включают поддельные интерфейсы OneDrive, которые предоставляют различные варианты поставщиков услуг, перенаправляя жертв на специализированные панели фишинг-рассылки. Эта стратегия расширяет круг потенциальных жертв, сохраняя при этом ауру легитимности. Как только жертва подключается к фишинг-сайту, актор собирает важную информацию, такую как имена пользователей, пароли и IP-адреса, часто выполняя поиск по геолокации, чтобы записать дополнительные сведения об интернет-провайдере жертвы. Данные фильтруются в режиме реального времени в группы Telegram с названиями "NfResultz by GS" и "WfResultz by GS", в то время как жертвы перенаправляются обратно на законный веб-сайт, чтобы скрыть попытку фишинг.
Для установления постоянного доступа GS7 использует законные средства удаленного управления (RMM), такие как LogMeIn, AnyDesk и ScreenConnect. Это достигается с помощью скрипта VBS, который проверяет наличие прав администратора, при необходимости усиливает контроль учетных записей пользователей (UAC) и выполняет автоматическую установку программного обеспечения RMM с помощью msiexec.exe . После установки актор удаляет все установочные файлы, чтобы устранить следы их присутствия.
Основной целью операции DoppelBrand были финансовые учреждения, которые привлекательны из-за немедленной стоимости перепродажи украденных банковских учетные данные. Скомпрометированные системы компрометация в этих учреждениях также могут быть перепроданы операторам программ-вымогателей. Помимо финансов, GS7 нацелена на секторы технологий, здравоохранения и потребительских услуг, ориентируясь в первую очередь на Соединенные Штаты и Западную Европу с помощью англоязычных шаблонов для фишинг-атак.
Принадлежность к GS7 была установлена с помощью различных показателей, включая анализ кода панели фишинг-мониторинга, токенов Telegram-бота и конкретных соглашений об именовании доменов. Сопоставление данных о деятельности подпольного рынка, наряду с прямым взаимодействием с актор, подтвердило операционные детали и высветило модель посредничества в доступе, которую они используют. В целом, операция DoppelBrand иллюстрирует значительную эволюцию методов фишинг, объединяющую автоматизированную инфраструктуру и высокоточную Имперсонация бренда с эксфильтрация учетных данных в режиме реального времени и злоупотребление инструментами RMM для поддержания постоянного доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция DoppelBrand - это фишинг-кампания, атрибутирован с финансовой точки зрения злоумышленник GS7, нацеленный на компании из списка Fortune 500 и их клиентов, особенно в финансовом секторе. В операции используются поддельные интерфейсы OneDrive для сбора учетных данных и Telegram для эксфильтрация данных в режиме реального времени и обмена данными. GS7 устанавливает постоянный доступ с помощью инструментов удаленного управления, развернутых с помощью скриптов VBS, что со временем еще больше совершенствует их тактику и инфраструктуру.
-----
Операция DoppelBrand - это сложная фишинг-кампания, выявленная командой SOCRadar по поиску угроз, нацеленная на компании из списка Fortune 500 и их клиентов в течение нескольких лет. Атрибутирован с финансовой точки зрения злоумышленник, известный как GS7, который был активен в течение примерно десяти лет. GS7 постоянно совершенствует свою тактику и инфраструктуру, занимаясь заметным присутствием на подпольных рынках Бразилии, торгуя украденными учетные данные и корпоративной информацией. Актор использует множество Telegram-ботов для эксфильтрация учетные данные и работает на различных торговых площадках Dark Web, предлагая доступ к компрометация учетных записей банков, платежных платформ и других сервисов.
Методы доставки фишинг-сообщений, используемые в этой операции, включают поддельные интерфейсы OneDrive, которые предоставляют различные варианты поставщиков услуг, перенаправляя жертв на специализированные панели фишинг-рассылки. Эта стратегия расширяет круг потенциальных жертв, сохраняя при этом ауру легитимности. Как только жертва подключается к фишинг-сайту, актор собирает важную информацию, такую как имена пользователей, пароли и IP-адреса, часто выполняя поиск по геолокации, чтобы записать дополнительные сведения об интернет-провайдере жертвы. Данные фильтруются в режиме реального времени в группы Telegram с названиями "NfResultz by GS" и "WfResultz by GS", в то время как жертвы перенаправляются обратно на законный веб-сайт, чтобы скрыть попытку фишинг.
Для установления постоянного доступа GS7 использует законные средства удаленного управления (RMM), такие как LogMeIn, AnyDesk и ScreenConnect. Это достигается с помощью скрипта VBS, который проверяет наличие прав администратора, при необходимости усиливает контроль учетных записей пользователей (UAC) и выполняет автоматическую установку программного обеспечения RMM с помощью msiexec.exe . После установки актор удаляет все установочные файлы, чтобы устранить следы их присутствия.
Основной целью операции DoppelBrand были финансовые учреждения, которые привлекательны из-за немедленной стоимости перепродажи украденных банковских учетные данные. Скомпрометированные системы компрометация в этих учреждениях также могут быть перепроданы операторам программ-вымогателей. Помимо финансов, GS7 нацелена на секторы технологий, здравоохранения и потребительских услуг, ориентируясь в первую очередь на Соединенные Штаты и Западную Европу с помощью англоязычных шаблонов для фишинг-атак.
Принадлежность к GS7 была установлена с помощью различных показателей, включая анализ кода панели фишинг-мониторинга, токенов Telegram-бота и конкретных соглашений об именовании доменов. Сопоставление данных о деятельности подпольного рынка, наряду с прямым взаимодействием с актор, подтвердило операционные детали и высветило модель посредничества в доступе, которую они используют. В целом, операция DoppelBrand иллюстрирует значительную эволюцию методов фишинг, объединяющую автоматизированную инфраструктуру и высокоточную Имперсонация бренда с эксфильтрация учетных данных в режиме реального времени и злоупотребление инструментами RMM для поддержания постоянного доступа.