#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было замечено использование веб-службы поддержки SolarWinds, инициированное злоумышленник, использующий wrapper.exe чтобы запустить исполняемый файл Java, который установил удаленную полезную нагрузку MSI. Злоумышленник использовал Velociraptor для разведка и командования и контроля, установил Cloudflared для туннелирования и выполнил сценарии PowerShell для сбора системной информации. Механизмы закрепление были обнаружены путем создания запланированной задачи с именем TPMProfiler, отражающей сложную тактику поддержания командных привилегий и эксфильтрация данных.
-----

Было замечено активное использование веб-службы поддержки SolarWinds с заметной цепочкой атак, инициированной злоумышленник, использующим wrapper.exe , который является оболочкой службы веб-службы поддержки. Этот процесс впоследствии породил исполняемый файл Java (java.exe ), который привязан к базовому приложению веб-службы поддержки на базе Tomcat. После этого Java-процесс выполнил команду для автоматической установки удаленной полезной нагрузки MSI через cmd.exe .

Чтобы облегчить командование и контроль, злоумышленник использовал Velociraptor, инструмент, обычно предназначенный для защитников для мониторинга конечных точек и сбора артефактов, но здесь перепрофилированный для вредоносных действий. Первая команда от Velociraptor включала проверку хэша существующего файла, что означало усилия по разведка на ранней стадии вторжения. Злоумышленник также установил Cloudflared с GitHub для создания туннелей прямого подключения в целях командования и контроля.

В рамках своей операционной стратегии злоумышленник вскоре после получения доступа выполнил сценарий PowerShell, который собрал обширную системную информацию и передал ее в управляемый злоумышленником экземпляр Elastic Cloud. Это указывает на сложный уровень эксфильтрация данных, направленный на консолидацию разведывательных данных в системе компрометация. Кроме того, команда для реализации механизма отработки отказа в режиме реального времени C2 была выполнена примерно в то же время, что и загрузка кода Visual Studio, что примечательно повышением устойчивости инфраструктуры злоумышленника. Дальнейшая разведка была проведена с использованием команды systeminfo, потенциально в качестве меры избыточности для сбора данных.

Более того, были обнаружены механизмы закрепление в форме создания запланированной задачи, известной как TPMProfiler, обычно ассоциируемой со сценариями эксплуатации и представляющей собой ложную законную административную задачу.

Для смягчения последствий рекомендуется, чтобы организации, использующие SolarWinds Web Help Desk, обновили до версии 2026.1 или более поздней, устранив критические уязвимости, идентифицированные как CVE-2025-26399, CVE-2025-40536 и CVE-2025-40551. Администраторы должны убедиться, что административные интерфейсы WHD не являются общедоступными, в идеале разместив их за VPN или брандмауэром. Для снижения подверженности таким угрозам необходимы комплексные меры безопасности, включая сброс паролей для учетных записей служб и удаление несанкционированных ПО для удаленного доступа и непредвиденных экземпляров служб.

Вся цепочка атак свидетельствует о злонамеренной эксплуатации платформы SolarWinds, использующей обычные инструменты неожиданными способами для сохранения командных привилегий и сбора разведывательных данных, что подчеркивает необходимость постоянной бдительности и упреждающих мер защиты в инфраструктуре, подвергшейся воздействие.

#ParsedReport #CompletenessHigh
17-02-2026

Background

https://www.huntress.com/blog/clickfix-matanbuchus-astarionrat-analysis

Report completeness: High

Actors/Campaigns:
Belialdemon

Threats:
Clickfix_technique
Matanbuchus_maas
Cobalt_strike_tool
Netsupportmanager_rat
Qakbot
Danabot
Rhadamanthys
Astarionrat
Dll_sideloading_technique
Junk_code_technique
Heavens_gate_technique
Nltest_tool

Victims:
Organizations

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1041, T1059.001, T1059.003, T1071.001, T1105, T1140, T1204.002, T1218.011, have more...

IOCs:
File: 10
Path: 8
Url: 3
Domain: 4
IP: 1
Command: 1
Hash: 8

Soft:
PsExec

Algorithms:
lznt1, chacha20, rc4, base64, zip, sha256, xor

Functions:
Junk, NtOpenSection

Win API:
GetCursorPos, IsIconic, GetDesktopWindow, GetACP, GetCPInfo, NtAllocateVirtualMemory, NtMapViewOfSection, VirtualAlloc, GetModuleHandleExW, GetModuleFileNameA, have more...

Languages:
lua, java

Platforms:
x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/Matanbuchus/win\_mal\_Matanbuchus\_loader.yar
have more...
https://github.com/RussianPanda95/Yara-Rules/blob/main/AstarionRAT/win\_mal\_AstarionRAT.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, chart: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года вновь появился метод заражения ClickFix, позволяющий манипулировать пользователями, заставляя их выполнять вредоносные команды, которые в основном используются киберпреступниками и актор национальных государств. Этот метод сочетается с Matanbuchus 3.0, который служит загрузчиком для AstarionRAT, Троянская программа удаленного доступа, способная красть учетные данные и уклоняться от обнаружения путем отключения критически важных библиотек DLL и использования методов запутывания. Атака продемонстрировала быстрое перемещение внутри компании и сложную тактику командования и контроля, подчеркнув эволюцию киберугроза.
-----

В феврале 2026 года Команда Huntress Tactical Response сообщила о возрождении метода заражения ClickFix, использующего социальную инженерию для выполнения вредоносных команд. ClickFix стал основным средством первоначальный доступ для киберпреступников и актор национальных государств. Этот метод обходит обычные меры безопасности, делая пользователей невольными распространителями вредоносное ПО. Появилась комбинация ClickFix и Matanbuchus 3.0, причем Matanbuchus вновь появился в мае 2025 года, используя для развертывания бесшумные установки MSI. Matanbuchus развертывает AstarionRAT, предлагая такие функции, как кража учетных данных и создание прокси-сервера SOCKS5. Коммуникации AstarionRAT's C2 маскируются под доброкачественную телеметрию и используют шифрование RSA для запутывания. Злоумышленники выполнили быстрое перемещение внутри компании к контроллерам домена в течение 40 минут, используя двоичные файлы Zillya Antivirus для DLL Sideloading и PsExec для перемещение внутри компании. Matanbuchus начинается с компонента DLL с именем SystemStatus.dll и включает в себя расшифровку методом грубой силы для извлечения шеллкода с возможностями выполнения команд в памяти и на диске. Он использует высококачественные функции скриншотов и механизм преобразования, чтобы избежать обнаружения. Matanbuchus отключает системные библиотеки DLL для вызовов API в обход EDR-решений. Встроенный интерпретатор Lua 5.4.7 позволяет выполнять сложные команды с расшифрованными скриптами для выполнения шеллкода. AstarionRAT кодирует элементы связи C2 и поддерживает набор команд для управления файлами, обработки процессов и перечисления систем, при этом значительная часть его кодовой базы предназначена для функции прокси-сервера SOCKS5.

#ParsedReport #CompletenessHigh
17-02-2026

LATAM Businesses Hit by XWorm via Fake Financial Receipts: Full Campaign Analysis

https://any.run/cybersecurity-blog/xworm-latam-campaign/

Report completeness: High

Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader

Victims:
Businesses, Finance

Industry:
Financial, Healthcare

Geo:
Brazilian, Brazil, Latam, Latin america

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036.007, T1047, T1053.005, T1055, T1059, T1059.001, T1059.007, T1071.001, have more...

IOCs:
File: 7
Path: 2
Command: 2
Domain: 1
IP: 1
Url: 2
Hash: 1

Soft:
Linux, Android, Task Scheduler, Windows Task Scheduler

Algorithms:
aes, aes-ecb, md5, base64

Win API:
ShowWindow

Languages:
javascript, powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя Вредоносная Кампания, нацеленная на латиноамериканские предприятия, использовала Троянская программа удаленного доступа XWorm (RAT), используя обманные методы, чтобы избежать обнаружения, включая Вредоносный файл, замаскированный под банковскую квитанцию с двойным расширением (.pdf.js ). Методы обфускации кампании используют вредоносный JavaScript-скрипт для загрузки безфайлового загрузчика через PowerShell, создавая закрепление с помощью VB.NET Библиотека DLL, которая планирует задачи для дальнейших этапов заражения. Были выявлены ключевые уязвимости в шифровании AES вредоносное ПО, подчеркивающие сложность угрозы и возможности уклонения.
-----

Была выявлена недавняя Вредоносная Кампания, специально нацеленная на предприятия в Латинской Америке (LATAM), в которой использовалась Троянская программа удаленного доступа XWorm (RAT). Кампания использует сложные механизмы доставки для обхода защиты, специфичной для конкретного региона, и предназначена для проникновения в корпоративную среду, Маскировка под законные финансовые коммуникации. Начальный этап включает в себя доставку Вредоносный файл, который выглядит как банковская квитанция, конкретно названная "Comprovante-Bradesco". В этом файле используется обманчивый метод двойного расширения (.pdf.js ), заставляя пользователей поверить, что это безопасный документ, в то время как на самом деле он функционирует как Dropper.

При запуске дроппер выполняет сильно запутанный JavaScript-скрипт, используя манипуляции с Юникодом, чтобы скрыть вредоносную логику. Исследователи воспроизвели процесс деобфускации для извлечения фактической полезной нагрузки, обнаружив, что он загружает загрузчик без файлов и готовится к последующим этапам заражения. Более того, вредоносное ПО использует такие платформы, как Cloudinary, для улучшения тактики уклонения, гарантируя, что оно может обходить фильтры репутации домена.

На втором этапе удаленная полезная нагрузка использует PowerShell для загрузки дополнительного содержимого, избегая при этом какого-либо закрепление файла на диске, предпочитая операции в памяти. Скрипт PowerShell расшифровывает аргументы, содержащие сведения о конфигурации процесса заражения. Третий этап сосредоточен вокруг специализированного VB.NET Библиотека DLL, которая создает закрепление, но не выполняет напрямую XWorm. Вместо этого он устанавливает запланированную задачу для повторного запуска предыдущего загрузчика PowerShell, указывая модульную стратегию для поддержания заражения.

Окончательный поиск полезной нагрузки включает в себя скрипт, который обращается к URL—адресу для получения XWorm RAT и использует CasPol.exe — законный сетевой инструмент Microsoft - для внедрения, а не запускается как отдельный процесс. Статический анализ выявил слабые места в криптографической реализации вредоносное ПО, в частности, в отношении его шифрования AES.

Эта кампания представляет серьезную угрозу для корпоративных конечных точек из-за использования реалистичных приманок и сложного механизма доставки, сочетающего WMI, PowerShell, размещенный в облаке контент и выполнение без файлов. Сложный подход позволяет злоумышленникам-актор оставаться незамеченными, эффективно устанавливая присутствие в сетях, на которые они нацелен. Для раннего обнаружения крайне важно, чтобы Центры управления безопасностью (SoCs) повысили свою видимость и возможности реагирования за счет использования информационных каналов об угрозах, интерактивных "песочниц" для быстрой сортировки и стратегий упреждающего поиска угроз, учитывающих специфические нюансы региональных киберугроза.

#ParsedReport #CompletenessLow
17-02-2026

From BRICKSTORM to GRIMBOLT: UNC6201 Exploiting a Dell RecoverPoint for Virtual Machines Zero-Day

https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day/

Report completeness: Low

Actors/Campaigns:
Unc6201 (motivation: cyber_espionage)
Quietcrabs
Hafnium

Threats:
Brickstorm
Grimbolt
Slaystyle

Victims:
Information technology, Cloud services, Software as a service, Virtualization platforms

CVEs:
CVE-2026-22769 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1190, T1505.003

IOCs:
File: 4
Hash: 8
IP: 1

Soft:
Apache Tomcat, ESXi, Systemd

Algorithms:
sha256

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серьезная уязвимость zero-day в Dell RecoverPoint for Virtual Machines, CVE-2026-22769, использовалась преступная хакерская группировка UNC6201, связанная с Китаем, с середины 2024 года. Эта группа использует вредоносное ПО, такое как бэкдор GRIMBOLT, разработанный на C# для улучшения скрытности, и перешла от предыдущих угроз, таких как BRICKSTORM. UNC6201 использует сложные методы, включая создание временных портов на виртуальных машинах и использование вредоносных запросов к Apache Tomcat Manager, что указывает на значительный риск для предприятий.
-----

Mandiant и Google Threat Intelligence Group выявили значительную уязвимость zero-day в Dell RecoverPoint для виртуальных машин, отслеживаемую как CVE-2026-22769, которая имеет оценку CVSSv3.0, равную 10,0. Этой уязвимостью пользовалась преступная хакерская группировка UNC6201, предположительно имеющая связи с Китайской Народной Республикой, по крайней мере с середины 2024 года. Эксплуатация позволяет UNC6201 перемещаться в разных средах, поддерживать постоянный доступ и развертывать различное вредоносное ПО, включая недавно идентифицированный GRIMBOLT, наряду с ранее известными угрозами, такими как SLAYSTYLE и BRICKSTORM. Хотя первоначальный доступ к вектору не определен, UNC6201 предназначен для использования с периферийными устройствами, такими как концентраторы VPN.

Важным открытием в ходе расследований стал переход от BRICKSTORM к GRIMBOLT, который наблюдался в сентябре 2025 года. GRIMBOLT - это бэкдор foothold, разработанный на C# с использованием встроенной компиляции с опережением времени (AOT) и упакованный в UPX, предоставляющий возможности удаленной оболочки. Точный мотив замены BRICKSTORM на GRIMBOLT остается неопределенным и может быть либо стратегической эволюцией, либо реакцией на инциденты. Использование встроенной компиляции AOT повышает производительность на устройствах с ограниченными ресурсами и усложняет статический анализ из-за отсутствия метаданных Common Intermediate Language (CIL), что усложняет обнаружение.

Уязвимость (CVE-2026-22769) была обнаружена во время анализа среды жертвы, в которой активные соединения command and control (C2) были подключены к обоим бэкдор. Анализ выявил множество веб-запросов, в частности, с использованием имени пользователя "admin", направленных на Apache Tomcat Manager устройства, что привело к развертыванию вредоносного файла WAR, содержащего веб-оболочку SLAYSTYLE.

Дополнительный метод, использованный злоумышленник, включал создание временных сетевых портов на виртуальных машинах внутри сервера ESXi, что облегчало дальнейший доступ к внутренним сетям жертвы и инфраструктурам SaaS. Более того, судебно-медицинский анализ Mandiant выявил прокси-команды iptables, выполняемые через веб-оболочку с компрометация в SLAYSTYLE, что указывает на сложную тактику уклонения.

Расследования подчеркнули необходимость тщательной проверки веб-журналов, связанных с Tomcat Manager, особенно запросов на развертывание WAR-файлов по подозрительным путям, поскольку это может указывать на компрометация. Потенциально вредоносные загрузки и их артефакты, обнаруженные в журналах приложений, требуют бдительности, особенно в отношении установленных методов закрепление, используемых бэкдорами BRICKSTORM и GRIMBOLT. В конечном счете, полученные результаты указывают на эволюционирующую тактику и возможности преступная хакерская группировка UNC6201, представляющая постоянный риск для предприятий, использующих решения Dell для виртуализации.

#ParsedReport #CompletenessMedium
18-02-2026

The Curious Case of the Triton Malware Fork

https://brennan.day/the-curious-case-of-the-triton-malware-fork/

Report completeness: Medium

Threats:
Triton

Victims:
Software development platforms, Open source developers

Industry:
Critical_infrastructure, Financial

Geo:
America, German, Portuguese

TTPs:
Tactics: 7
Technics: 8

IOCs:
Hash: 1
File: 6
Command: 1
Path: 3
Registry: 3

Soft:
MacOS, OpenClaw, Forgejo, Raspberry Pi

Algorithms:
zip, sha256

Languages:
python, lua, java

Platforms:
x86

Links:
https://github.com/otaviocc/Triton
https://github.com/OP-Future/.github/issues/2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается вредоносный форк приложения для macOS Triton, в котором злоумышленники внедрили вирус Windows в исходную кодовую базу, исключив указание авторства. Это вредоносное ПО использует многоэтапный процесс, извлекая файлы во временный каталог с использованием пароля "заражен" и имитируя законный трафик как часть своей инфраструктуры командования и контроля при профилировании жертв. Несмотря на свои недостатки, атака демонстрирует сложные операции с файловой системой, нацеленные на среды разработки и обходящие сетевые средства защиты для извлечения данных.
-----

В статье рассматривается вредоносный форк приложения macOS под названием Triton, в котором злоумышленник клонировал исходный код исходного проекта, удалил атрибуцию оригинального создателя и внедрил в проект вирус Windows. Получившееся в результате вредоносное ПО, идентифицированное как сбой Вредоносная Кампания, требует от пользователей загрузки и выполнения кода на компьютере с Windows, что маловероятно, учитывая специфику пользовательской базы Triton.

При анализе вредоносное ПО вредоносное ПО использует многоэтапный процесс. Первый этап включает в себя извлечение архива, где используется пароль "infected" для извлечения файлов во временный каталог со случайным именем. Последующее поведение включает значительную сетевую активность, функционирующую как инфраструктура Command & Control (C2), маскирующуюся под законный офисный трафик. Он также направлен на обнаружение внешних IP-адресов для профилирования жертв, включает функции блокчейна и криптовалюты и облегчает эксфильтрация данных через надежную инфраструктуру, избегая базового мониторинга сети.

Операции с файловой системой указывают на изощренность вредоносное ПО; оно ищет среды разработки, такие как Java, Python и .NET, и может искать журналы программного обеспечения безопасности и системные каталоги для повышения привилегий. Репозиторий проекта включает такие темы, как вредоносное ПО и деобфускация, что предполагает попытку казаться законным и вызвать интерес исследователей безопасности.

Несмотря на многочисленные сообщения о вредоносном репозитории на GitHub, учетная запись остается активной, что подчеркивает трудности удаления вредоносного контента с таких платформ. В статье также выражаются опасения по поводу времени отклика GitHub и общего качества обслуживания, объясняя проблемы тем, что Microsoft уделяет особое внимание функциям искусственного интеллекта в ущерб критическим ошибкам в инфраструктуре. Сравнение с альтернативными платформами, такими как Codeberg и автономные решения, свидетельствует о стремлении к созданию более безопасных сред разработки с соблюдением этических норм.

В конечном счете, хотя вредоносный форк выглядит как ошибочная попытка Вредоносная Кампания, он подчеркивает риски, связанные с совместным использованием кода, и демонстрирует потенциал для эксплуатации посредством разветвления кода без надлежащих этических соображений.

#ParsedReport #CompletenessMedium
18-02-2026

Sticky trail: exploring the attacks of the PseudoSticky faction

https://www.f6.ru/blog/pseudo-sticky/

Report completeness: Medium

Actors/Campaigns:
Pseudosticky (motivation: cyber_criminal, cyber_espionage)
Sticky_werewolf
Mimistick

Threats:
Remcos_rat
Darktrack_rat
Defendnot_tool

Victims:
Retail, Construction

Industry:
Military, Government, Retail, Aerospace, Education, Energy, Transport

Geo:
Russian, Ukrainian, Belarus, Russia, Chelyabinsk

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 3
Registry: 1
Path: 1
File: 19
Url: 6
Domain: 3
IP: 1
Hash: 54

Soft:
Telegram, Windows Defender, Viber, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года группа PseudoSticky, связанная с ранее идентифицированным злоумышленник Sticky Werewolf, провела сложные кампании фишинг-рассылки, нацеленные на розничную торговлю и строительный сектор, используя сезонную тематику. К началу 2026 года PseudoSticky адаптировала свои методы атаки после Нового года, указывая на эволюционирующую тактику. Постоянное использование группой устоявшихся инструментов при расширении их целевых показателей свидетельствует о целенаправленных усилиях по повышению их операционного воздействие и использованию новых уязвимостей в различных отраслях.
-----

В ноябре 2025 года эксперты F6 раскрыли скоординированную вредоносную кампанию, атрибутирован с группой, известной как PseudoSticky. Эта операция выявила обширный и изощренный набор действий вредоносное ПО, демонстрирующее четкую связь с ранее идентифицированным актор угроз Sticky Werewolf. Эта связь была очевидна благодаря общей тактике, техникам и процедурам (TTP), а также конкретным инструментам, используемым в их операциях, что предполагает сотрудничество или общую методологию между двумя группировками.

К декабрю 2025 года группа PseudoSticky расширила свою деятельность, в частности, с помощью нацелен-ных фишинг-кампаний, нацеленных на компании в сфере розничной торговли и строительства. Эта стратегия продемонстрировала способность группы адаптировать свою тактику социальной инженерии к конкретным отраслям промышленности, потенциально используя сезонные темы для повышения эффективности, о чем свидетельствует время проведения их операций в рождественский период.

В январе 2026 года аналитики F6 заметили изменение в методах работы группы PseudoSticky. После новогодних праздников группа изменила свою цепочку атак, что указывает на эволюцию их подхода или целей. Хотя конкретные детали, касающиеся этих изменений, не приводятся, адаптация сигнализирует о потенциальном усовершенствовании их тактики, которое может быть направлено на повышение их успешности или расширение охвата их целей.

К февралю 2026 года PseudoSticky продолжила свою кампанию с постоянными TTP и инструментами, хотя и расширила список своих целевых пользователей и сетевую инфраструктуру. Такой рост масштабов предполагает стратегическое решение усилить их воздействие и, возможно, использовать новые уязвимости в различных секторах. Сохранение их прежних методологий указывает на уровень операционной зрелости и приверженность устойчивой вредоносной деятельности.

#ParsedReport #CompletenessMedium
18-02-2026

Dark Web Profile: Sinobi Ransomware

https://socradar.io/blog/dark-web-profile-sinobi-ransomware/

Report completeness: Medium

Actors/Campaigns:
Lynx_ransomware

Threats:
Sinobi
Inc_ransomware
Lynx
Lolbin_technique
Rclone_tool
Shadow_copies_delete_technique

Industry:
Healthcare, Entertainment, Education

Geo:
Australia, United kingdom, Canada

CVEs:
CVE-2024-53704 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.1.1-7058, 7.1.2-7019)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 11
Technics: 19

IOCs:
File: 2
Registry: 1

Soft:
BinDiff, Tor browser

Algorithms:
aes-128-ctr, curve25519

Win API:
CryptGenRandom, DeviceIOControl, SHEmptyRecycleBinA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Считается, что программа-вымогатель Sinobi, появившаяся в середине 2025 года, является преемницей Lynx Ransomware group, использующей для удаленного доступа учетные данные для компрометация и известные уязвимости, такие как CVE-2024-53704 и CVE-2024-40766. Группа использует методы фишинг для получения первоначальный доступ, после чего использует надежные методы шифрования для блокировки файлов, что делает невозможным восстановление без ключей дешифрования. Структура и операции Sinobi предполагают, что она унаследовала инструменты от существующих разновидностей программ-вымогателей, что указывает на преемственность предыдущих атак.
-----

Программа-вымогатель Sinobi - это программа-вымогатель как услуга (RaaS), появившаяся в середине 2025 года и считающаяся ребрендингом или преемницей ранее действовавшей Lynx Ransomware group, которая развилась из семейства INC Ransomware. Название группы обыгрывает термин "Шиноби", отражая темы из различных СМИ, где ниндзя занимают видное место, предполагая культурную связь или стратегию брендинга.

В Sinobi Group, в первую очередь, задачи организации путем проникновения среды через взломанные учетные данные для удаленного доступа. Они наблюдались с использованием векторов, таких как VPN-шлюзы и протокол удаленного рабочего стола (RDP) на счетах. Кроме того, использование известных уязвимостей-это тактика, используемая группой, в частности, уязвимость CVE-2024-53704, который влияет проверки подлинности устройств SonicWall VPN с шифрованием SSL и CVE-2024-40766, связанных с ненадлежащим контролем доступа. Поддерживая их стратегий записи, в группе работают фишинг методов, предусматривающих писем с вредоносными вложениями или ссылками.

После успешного получения доступа программа-вымогатель Sinobi внедряет надежные методы шифрования, которые делают невозможным восстановление данных без получения ключей дешифрования у злоумышленников. Это усиливает важность того, чтобы организации уделяли приоритетное внимание превентивным мерам против таких киберугроза.

Анализ показывает, что Sinobi вредоносное ПО появляется структурно и функционально аналогичен ранее вымогателей вариации, связанные с Inc Ransom и Lynx, указывая, что нынешние операторы, скорее всего, были получены или изменения существующих рекламных инструментов и инфраструктуры от Dark Web источников. Эта операционная модель предполагает, что Sinobi не отдельные сущности, а лишь продолжение существующего кластера оператор ребрендинг для новых кампаний.