#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил изощренную аферу с крипто-компенсациями, которая использует схему авансовых платежей, обманом заставляя жертв платить авансовые платежи, обещая поддельные выплаты в биткоинах. Злоумышленники адаптируют свою тактику, изменяя свой подход, чтобы охватить более широкую аудиторию, сохраняя при этом основные механизмы обмана, наряду с использованием опросов и потоков платежей для повышения легитимности. Это демонстрирует продуманную стратегию киберпреступников, направленную на использование растущего интереса к криптовалюте, что делает мошенничество более правдоподобным для потенциальных жертв.
-----

Недавний анализ выявил мошенничество с крипто-компенсациями, которое вращается вокруг мошеннической схемы, разработанной для заманивания жертв с помощью поддельного описания выплат в биткоинах. Этот тип мошенничества классифицируется как мошенничество с авансовым платежом, когда злоумышленники обещают потенциальным жертвам финансовую отдачу, соблазняя их оплатить авансовые платежи под предлогом получения вознаграждения в криптовалюте.

Изощренность этой аферы заключается в ее адаптивности; одна и та же лежащая в основе мошенническая структура может проявляться в различных формах путем изменения первоначального подхода. Было замечено, что злоумышленники используют различные точки входа или презентации, сохраняя при этом основную механику мошенничества, что указывает на продуманную стратегию охвата и обмана более широкой аудитории. Такое повторное использование тактики говорит о том, что киберпреступники постоянно совершенствуют свои методы, чтобы увлечь потенциальных жертв, гарантируя, что они смогут эффективно использовать растущий интерес к криптовалюте.

В этом сценарии участие в опросах и платежных потоках добавляет еще один уровень обмана, поскольку потенциальным целям это может показаться более законным. Маскировка мошенничества под различные обличья и форматы позволяет злоумышленникам использовать психологические элементы, которые делают мошенничество более правдоподобным. В результате жертвы могут поверить, что они участвуют в законном процессе выплаты, а не становятся жертвами мошенничества.

#ParsedReport #CompletenessHigh
20-02-2026

Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf

Report completeness: High

Actors/Campaigns:
Earth_kurma
Toddycat
Lancefly
Tunnelsnake
Sharppanda

Threats:
Nbtscan_tool
Ladon_tool
Frpc_tool
Kmlog_tool
Krnrat
Moriya
Mmload
Dunloader
Tesdat
Dmloader
Downbegin
Wmihacker_tool
Odriz_tool
Simpoboxspy_tool
Simpowebexspy
Downtown
Cobalt_strike_tool
Vikturi
Victorydll

Victims:
Southeast asia

Industry:
Government, Telco

Geo:
Indonesia, Philippines, Asia, Thailand, Malaysia, Vietnam

TTPs:
Tactics: 6
Technics: 0

IOCs:
Command: 10
Path: 13
File: 34
IP: 11
Email: 1
Hash: 33
Domain: 1

Soft:
Dropbox, Windows Filter Manager, Windows Security, Microsoft Word, Microsoft Excel

Algorithms:
zip, xor, sha256

Win API:
NetBIOS, NtCreateThreadEx, ObRegisterCallbacks, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, SwitchToFiber, WaitForMultipleObjects

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Earth Kurma - это APT-группировка, нацеленная на Юго-Восточную Азию с конца 2020 года, специализирующаяся на эксфильтрация данных с использованием передовых методов уклонения. Группа использует различные инструменты для перемещение внутри компании, такие как NBTSCAN и WMIHACKER, а также множество руткит, бэкдор и загрузчиков, в частности KRNRAT и DOWNBEGIN, для операций командования и контроля. Их тактика вредоносное ПО включает в себя использование законных сервисов для связи C& C и эксфильтрация данных, сохраняя скрытность и адаптивность в своих стратегиях атак.
-----

Earth Kurma - это сложная APT-группировка, которая действует с ноября 2020 года, в основном нацеленная на Юго-Восточную Азию. Группа уделяет особое внимание эксфильтрация данных, используя передовые методы уклонения и закрепление. Их деятельность показала слабые связи с другими известными APT-группировка, такими как ToddyCat и Lancefly, что еще раз указывает на их уникальную методологию.

Этот APT использует различные инструменты для перемещение внутри компании, включая NBTSCAN для сканирования NetBIOS, LADON для проникновения в интрасеть и WMIHACKER для облегчения перемещение внутри компании. Что касается механизмов закрепление, Earth Kurma использует множество руткит, бэкдор и загрузчиков. Среди их ключевых инструментов - KRNRAT, комплексный бэкдор, использующий несколько проектов с открытым исходным кодом. Его агент пользовательского режима вводится в "svchost.exe - и работает в режиме резидентной памяти. Аналогичным образом, они используют MORIYA, перехватчик трафика, который скрывает вредоносную полезную нагрузку в TCP-трафике, специально нацеливаясь на пакеты на основе их начальных байтов для внедрения.

Арсенал Earth Kurma's включает в себя многоэтапные руткит с отражающей загрузкой, способные к бэкдор-операциям, и агенты, работающие в памяти, которые используют законные сервисы, такие как Cisco Webex и DFSR, для обмена данными между командами и контролем, а также для развертывания вредоносное ПО. Они разработали множество пользовательских загрузчиков и бэкдор-программ, таких как DOWNBEGIN, который работает через rundll32.exe , предлагающий многочисленные командные возможности для управления файлами и связи C&C. Этот вариант особенно примечателен своей функцией создания нескольких конференц-залов Cisco Webex для облегчения связи с системами компрометация.

Группа также использует SIMPOBOXSPY, простой инструмент для загрузки файлов в такие сервисы, как Dropbox, что подчеркивает их зависимость от законных платформ для эксфильтрации данных. Разнообразие их инструментов, включая возможности отражающей загрузки и конкретные команды, используемые для операций с файлами, свидетельствует о хорошо продуманной стратегии атаки, которая фокусируется как на скрытности, так и на эффективности. Сложные методологии Earth Kurma's иллюстрируют непрерывную эволюцию киберугроза, подчеркивая необходимость постоянной бдительности и адаптации мер безопасности.

#ParsedReport #CompletenessHigh
20-02-2026

The Betrayed Update: Beyond the Signpost

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_1_yamamoto_en.pdf

Report completeness: High

Actors/Campaigns:
Pirate_panda

Threats:
Spear-phishing_technique
Eviltwin_technique
Supply_chain_technique
Mitm_technique
Dns_hijacking_technique
Xiangoop
Entryshell
Cobalt_strike_tool

Victims:
Software supply chain, Dictionary application users, Home router users, Public wifi users

Geo:
Japan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1195, T1199, T1204.002, T1553.002, T1554

IOCs:
File: 4
Url: 2
IP: 4
Hash: 1

Soft:
VSCode, youdao

Algorithms:
md5

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tropic Trooper, злоумышленник, нацеленный в первую очередь на пользователей в Японии, использует передовые методы, включая DNS hijacking и заражение законных приложений во время обновлений. Группа распространяет бэкдор на базе Golang, заменяя официальные файлы конфигурации и перенаправляя обновления приложений на вредоносный сервер. Этот сложный подход не только компрометация конкретных приложений, но и перехват конфигураций DNS, что позволяет осуществлять более широкий перехват сетевого трафика и его дальнейшее использование.
-----

Анализ Tropic Trooper, злоумышленник, также известный как Pirate Panda и APT23, выявляет сложные методы атак, нацеленные в первую очередь на пользователей в Японии и прилегающих районах. Деятельность группы демонстрирует эволюцию методов распространения вредоносное ПО, в частности, DNS hijacking и коварное использование законных приложений в качестве прикрытия для вредоносных действий.

Примечательный наблюдаемый метод включает заражение законных приложений, в частности приложения-словаря, во время процесса обновления. Это заражение происходит после, казалось бы, обычного обновления приложения, которое маскирует вредоносную активность под видом законного поведения программного обеспечения. Бэкдор, разработанный в Golang, был вставлен в назначенный каталог обновлений приложения, подчеркивая сложный метод доставки, который использует легальную программную инфраструктуру в неблаговидных целях.

Процесс обновления приложения, подвергшегося компрометация, включал замену официального файла конфигурации на поддельную версию. Эта поддельная конфигурация перенаправляла приложение на вредоносный сервер обновлений, тем самым облегчая загрузку Backdoor. Расследование выявило незначительный промежуток времени между созданием папки для обновлений и добавлением вредоносное ПО, что свидетельствует о высокой степени скоординированности установки на этапе обновления.

Более того, злоумышленники использовали подозрительный IP-адрес, настроенный как кэшированный DNS-сервер домашнего маршрутизатора. Этот маневр иллюстрировал классический DNS hijacking, когда многократный поиск в DNS приводил к одному и тому же IP-адресу с компрометация, что оказывало воздействие на различные приложения, выходящее за рамки первоначальной цели. Имеющиеся данные свидетельствуют о том, что установленное вредоносное ПО может перенаправлять трафик и способствовать дальнейшему распространению атаки путем перехвата законного сетевого трафика, что затрудняет обнаружение для пользователей.

Последствия этих выводов распространяются на неуправляемые сети, такие как общедоступный Wi-Fi, где зависимость от настроек DNS, распределенных маршрутизатором, создает уязвимости. Рекомендации включают использование внутренних настроек DNS, когда это возможно, с использованием защищенных протоколов, таких как DNS через TLS или DNS через HTTPS, для предотвращения перехвата.

Задокументированный случай свидетельствует о более широкой стратегии, используемой Tropic Trooper для использования законного поведения пользователей и инфраструктуры, иллюстрируя закрепление и адаптивность злоумышленника в поддержании скрытого контроля над компрометация систем. Эта постоянная потребность в бдительности подчеркивает важность защиты механизмов обновления и конфигураций DNS для снижения рисков, связанных со сложными методами доставки вредоносное ПО.

#ParsedReport #CompletenessMedium
16-02-2026

Aeternum Loader: When your C2 lives forever

https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/

Report completeness: Medium

Threats:
Aeternum
Errtraffic
Clickfix_technique

Victims:
General users, Blockchain users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1102, T1105, T1480

IOCs:
Coin: 35
Url: 18
Domain: 20
File: 5
Hash: 2

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
aes-256-gcm, sha256, md5, aes-gcm, base64, pbkdf2, aes

Functions:
updateDomain, getItem, getRandomValues, setItem, encryptPrivateKey, setEncryptionKey, Wallet, getAddress, getNetwork, admin, have more...

Win API:
Polygon

Languages:
solidity, python, javascript

Links:
have more...
https://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/Smart%20Contract%20Log.csv
https://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/aeternum\_c2\_command\_decrypt.py

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 4, schema: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует механизм командования и контроля через блокчейн Polygon, используя смарт-контракты для выполнения команд вместо традиционных серверов. Он имеет два флага команд, "all" и "hwid", что позволяет выполнять универсальное или специфическое выполнение и включает зашифрованные команды, которые могут быть расшифрованы с помощью адреса контракта. Заметная уязвимость существует в одном идентифицированном смарт-контракте со слабым шифрованием, что потенциально позволяет исследователям обнаруживать вредоносную активность, связанную с загрузчиком Aeternum, с помощью анализа цепочки.
-----

Загрузчик Aeternum - это сложный загрузчик вредоносное ПО, который использует уникальный механизм командования и контроля (C2) через блокчейн Polygon, полагаясь на смарт-контракты вместо традиционных серверов C2. Такой подход устраняет необходимость в централизованной инфраструктуре, контролируемой злоумышленниками, поскольку команды встроены в транзакции блокчейна и, таким образом, прозрачны и неизменяемы. Панель, используемая операторами вредоносное ПО, раскрывает детали смарт-контракта, позволяя тщательно проанализировать его функциональность, структуру команд и уязвимости.

Расшифрованные команды из загрузчика Aeternum раскрывают структуру команд, которая включает в себя два основных флага: "all" и "hwid". Флаг "all" указывает, что команда должна выполняться повсеместно, в то время как флаг "hwid" ограничивает выполнение определенными идентификаторами хоста, полученными из хэша MD5 серийного номера системного диска. Команды также указывают URL-адреса, на которых размещаются дополнительные полезные файлы, и вредоносное ПО может устанавливать закрепление и отправлять периодические проверки ping через HTTP.

Команды C2 зашифрованы AES-GCM, а ключи получены из адреса контракта с помощью алгоритма PBKDF2, который использует как значение salt, так и пароль, установленные для адреса контракта. Это позволяет любому, кто знает адрес контракта, расшифровать все команды, связанные с этим конкретным каналом C2. Важным открытием является то, что смарт-контракт, содержащий команды C2, может быть запрошен напрямую через блокчейн, что обеспечивает исследователям возможность поиска исторических команд и мониторинга в режиме реального времени.

Исследование выявило один смарт-контракт, 0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0, со слабым методом шифрования, который мог раскрывать команды открытого текста. Если будут найдены другие контракты с аналогичным байт-кодом, они также могут быть связаны с загрузчиком Aeternum, что облегчает автоматическое обнаружение вредоносной активности посредством взаимодействия API с такими платформами, как Etherscan.io .

Идентифицированный создатель смарт-контракта, Ленай, продемонстрировал значительную активность, внедрив многочисленные контракты и команды с начала 2026 года, которые также согласуются с такими кампаниями, как ErrTraffic и ClickFix. Многогранная реализация загрузчика Aeternum не только означает усовершенствованную модель угроз, использующую технологию блокчейн для закрепление и запутывания, но и предоставляет исследователям в области Кибербезопасность ощутимую возможность противодействовать ее внедрению посредством мониторинга в сети и анализа связанных смарт-контрактов.

#ParsedReport #CompletenessMedium
16-02-2026

Aeternum Loader: Inside the binary

https://ctrlaltintel.com/threat%20research/Aeternum-Part-2/

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Aeternum
Motw_bypass_technique
Sandbox_evasion_technique
Hijackloader
Cloudeye
Errtraffic
Latrodectus
Stealthcache

Victims:
Windows users, Non russian users

Industry:
Financial

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1027.009, T1036, T1036.005, T1055.012, T1070.004, T1071.001, T1497, T1497.001, have more...

IOCs:
Coin: 1
Path: 3
File: 8
Hash: 1
Url: 3
Domain: 1

Algorithms:
xor, pbkdf2, base64, aes-gcm, sha256, prng, md5, aes, crc-32

Functions:
Loader, getDomain

Win API:
Polygon, GetModuleFileNameA, InternetReadFile, GetSystemFirmwareTable, RegQueryInfoKeyW, GetSystemDefaultLangID, GetUserDefaultLangID, GetLocaleInfoW, GetModuleFileNameW, VirtualAlloc, have more...

Win Services:
bits

Languages:
python, powershell

Platforms:
intel, x64

Links:
have more...
https://github.com/LloydLabs/delete-self-poc
https://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/PolygonRPC.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик Aeternum - это сложное вредоносное ПО, использующее обфускацию XOR для каждой строки и Динамическое разрешение функций Windows API для повышения своей скрытности. Он использует методы защиты от виртуальных машин для обнаружения виртуальных сред, обеспечивая контроль выполнения и закрепление за собой путем копирования в каталог AppData. Команды передаются в инфраструктуру C2, загружая полезные данные и используя отражающую загрузку для их выполнения в памяти, при этом используются передовые методы уклонения, такие как самоудаление с помощью альтернативных потоков данных NTFS.
-----

Загрузчик Aeternum - это сложное вредоносное ПО, которое использует различные методы для повышения своей скрытности и эффективности. Загрузчик использует обфускацию XOR для каждой строки для своих внутренних строк, динамически расшифровывая данные из раздела .data своего двоичного файла во время выполнения. Примечательно, что он использует Динамическое разрешение для функций Windows API, отказываясь от хранения этих импортируемых данных в виде открытого текста в пользу запутывания посредством хеширования API с использованием нескольких алгоритмов. Этот метод значительно усложняет анализ и обратное проектирование.

Для обнаружения виртуализированных сред загрузчик Aeternum включает в себя возможности защиты от виртуальных машин, реализуя множество проверок, включая анализ центрального процессора с использованием инструкции cpuid и тщательный просмотр таблицы прошивка SMBIOS. Например, если он обнаруживает, что характерное битовое поле содержит менее 10 установленных битов, он предполагает, что среда виртуализирована, останавливая выполнение. Загрузчик также использует проверки реестра для идентификации русскоязычных пользователей и не запускается, если языковые настройки системы соответствуют определенным критериям. Это геозонирование, по-видимому, ограничено обнаружением в России, в отличие от других вредоносное ПО, которые часто включают более широкое обнаружение в странах СНГ.

После успешной проверки среды загрузчик Aeternum устанавливает закрепление различными способами, включая копирование самого себя в каталог AppData\Local и использование папки Startup для выполнения при загрузке. Процесс инициализации включает в себя сбор пути к исходному двоичному файлу через API `GetModuleFileNameA()`. Затем команды передаются в инфраструктуру command and control (C2) с использованием жестко закодированного списка доменов Polygon RPC и механизма PRNG для рандомизации интервалов между запросами.

Полезные файлы загружаются порциями с помощью `InternetReadFile()` и различаются по типу файла. Если полезной нагрузкой является библиотека DLL, Aeternum использует методы отражающей загрузки, сохраняя ее в памяти без записи на диск. Для других типов файлов он создает уникальную структуру каталогов во временной папке, удаляет метаданные Mark-Of-The-Web, чтобы избежать обнаружения, и использует подмену идентификатора родительского процесса (PPID), чтобы замаскировать его работу, как если бы она была инициирована explorer.exe .

Кроме того, загрузчик обладает возможностью самоудаления, используя альтернативные потоки данных NTFS (ADS), чтобы скрыть себя после выполнения, что усложняет криминалистический анализ. Команды, извлеченные из C2, зашифрованные с помощью AES и производно связанные с адресом контракта в блокчейне Polygon, могут быть расшифрованы, если адрес известен, что обеспечивает потенциальный способ мониторинга и понимания истории его работы. В целом, загрузчик Aeternum является примером передовых методов уклонения, что делает его серьезной угрозой в экосистеме вредоносное ПО.

#ParsedReport #CompletenessMedium
22-02-2026

Dark Web Profile: Lotus Blossom

https://socradar.io/blog/dark-web-profile-lotus-blossom/

Report completeness: Medium

Actors/Campaigns:
Dragonfish (motivation: sabotage, cyber_espionage, information_theft, financially_motivated)
Raspberry_typhoon
Cloud_hopper
Stone_panda
Winnti
Comment_crew

Threats:
Lolbin_technique
Anubis
Supply_chain_technique
Spear-phishing_technique
Elise
Sagerunex
Hannotog
Chrysalis
Plugx_rat
Watering_hole_technique
Dll_sideloading_technique
Credential_harvesting_technique
Adfind_tool
Mimikatz_tool
Process_injection_technique
Emissary

Victims:
Government, Military, Telecommunications, Manufacturing, Critical infrastructure, Maritime and logistics, Defense contractors, Geospatial imaging companies, Satellite communications providers, Certificate authorities, have more...

Industry:
Logistic, Military, Government, Maritime, Telco, Transport, Critical_infrastructure

Geo:
Djibouti, Thailand, Asia-pacific, French, Hong kong, Korea, Philippines, Philippine, Asia, America, Asian, Vietnamese, Indonesia, China, Myanmar, Vietnam, Chinese, Usa, Taiwan

CVEs:
CVE-2010-2883 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2.5, <9.4)

CVE-2009-4324 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2, <9.3)
- adobe acrobat_reader (<8.2, <9.3)

CVE-2016-1019 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player_desktop_runtime (le21.0.0.197)

CVE-2010-0188 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2.1, <9.3.1)
- adobe acrobat_reader (<8.2.1, <9.3.1)

CVE-2012-0158 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2003, 2007, 2010)
- microsoft office_web_components (2003)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)

CVE-2014-6332 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_8 (-)
- microsoft windows_8.1 (-)
- microsoft windows_rt (-)
- microsoft windows_rt_8.1 (-)
have more...
CVE-2025-15556 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- notepad-plus-plus notepad\+\+ (<8.8.9)

CVE-2014-4114 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_8 (-)
- microsoft windows_8.1 (-)
- microsoft windows_rt (-)
- microsoft windows_rt_8.1 (-)
have more...

TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 2

Soft:
Microsoft Office, PsExec, Active Directory, Flash Player, Windows OLE Automation, Windows OLE, Windows Service

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lotus Blossom, спонсируемая китайским государством APT-группировка, действующая с 2009 года, специализируется на кибершпионаже против правительства и стратегических секторов, используя пользовательское вредоносное ПО и законные административные инструменты для тайных операций. Они инициируют атаки главным образом с помощью Целевой фишинг и используют различные уязвимости, включая CVE-2012-0158 и CVE-2018-0802, переходя к передовым методам, таким как манипулирование supply Chains программного обеспечения и DLL Sideloading для обеспечения сохраняемости. Их изощренная тактика демонстрирует стратегическое соответствие геополитическим целям, расширяя их глобальный оперативный охват, делая упор на скрытность и долгосрочный доступ.
-----

Lotus Blossom - спонсируемая государством APT-группировка, занимающаяся кибершпионажем по меньшей мере с 2009 года, нацеленная на правительственные органы и стратегические отрасли промышленности в Азиатско-Тихоокеанском регионе и во всем мире. Известные под такими псевдонимами, как Billbug и Spring Dragon, они используют пользовательское вредоносное ПО и законные административные инструменты для скрытого доступа. Их операции часто начинаются с Целевой фишинг-кампании, нацеленной на уязвимости Microsoft Office, такие как CVE-2012-0158. Недавно они манипулировали supply chains программного обеспечения, примером чего может служить инфраструктура обновлений Notepad++ для доставки троянского программного обеспечения.

Lotus Blossom использует стратегию проникновения пациентов, отдавая предпочтение долгосрочному доступу, а не разрушительным методам, и использует методы living-off-the-land, чтобы сочетать вредоносные действия с рутинной деятельностью. Первоначальный доступ обычно получают с помощью фишинг-сообщений электронной почты, за которыми следует перемещение внутри компании с использованием PowerShell и WMI с помощью таких инструментов, как Mimikatz для сбор учетных записей. Их пользовательское вредоносное ПО включает в себя бэкдор Elise, развивающийся в фреймворк, такой как Sagerunex и Chrysalis, который использует DLL sideloading для сохранения.

Таргетинг расширился от правительственных сетей Юго-Восточной Азии до глобальных организаций, отражая стратегические интересы Китая, особенно в области морской логистики и разведки supply chain. Их атаки связаны с геополитическими событиями, особенно в таких критически важных секторах, как военные организации и телекоммуникации, во времена региональной напряженности.

Недавние тактические приемы демонстрируют значительное повышение сложности за счет компрометация на уровне инфраструктуры и сочетания проприетарных бэкдор с законными утилитами, что сокращает количество следов вредоносное ПО, сохраняя при этом возможности наблюдения и эксфильтрация данных. Они используют уязвимости от CVE-2018-0802 до CVE-2025-15556, что указывает на постоянное совершенствование их методов, позволяющих избежать обнаружения и расширить оперативный охват.

#ParsedReport #CompletenessLow
19-02-2026

Increase in Malware Enabled ATM Jackpotting Incidents Across United States

https://www.ic3.gov/CSA/2026/260219.pdf

Report completeness: Low

Threats:
Atm_jackpotting_technique
Ploutus
Teamviewer_tool
Anydesk_tool

Victims:
Financial services, Banks, Atm operators

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1059, T1068, T1078, T1091, T1204, T1547, T1565.001, T1569.002, have more...

IOCs:
File: 15
Hash: 5
Path: 2
Registry: 5

Soft:
Windows security

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В оперативном отчете ФБР подробно описывается рост числа случаев кражи денег в банкоматах в США: более 700 случаев в 2025 году привели к убыткам на сумму более 20 миллионов долларов. Киберпреступники используют вредоносное ПО Ploutus для использования уязвимостей в программном обеспечении eXtensions for Financial Services (XFS) для незаконной выдачи наличных в обход банковской авторизации. Злоумышленники обычно получают физический доступ к банкоматам и внедряют вредоносное ПО различными методами, создавая значительные угрозы для нескольких производителей банкоматов из-за лежащих в их основе уязвимостей ОС Windows.
-----

ФБР сообщает о резком росте числа случаев кражи денег в банкоматах в США: в 2025 году их будет более 700, а убытки превысят 20 миллионов долларов. Джекпот в банкоматах использует программные и физические уязвимости, в основном используя вредоносное ПО Ploutus для манипулирования выдачей наличных без авторизации. Ploutus нацелен на уровень расширений для финансовых служб (XFS), позволяющий злоумышленникам обходить банковскую авторизацию и выдавать наличные непосредственно из банкоматов. Злоумышленники часто получают физический доступ с помощью универсальных ключей и могут удалить жесткий диск банкомата, чтобы заразить его вредоносное ПО с внешнего компьютера. Они также могут заменить жесткий диск на предварительно загруженное устройство. Это вредоносное ПО использует уязвимости в операционной системе Windows, что позволяет ему работать в банкоматах разных производителей. Рекомендуемые меры по смягчению последствий включают нацелен-ный аудит съемных носителей, поддержание проверенного "золотого образа" для банкоматов, внесение устройств в белый список, использование шифрования жесткого диска и настройку банкоматов на отключение при обнаружении определенных признаков компрометация. Для повышения готовности к угрозам также рекомендуется использовать решения для защиты от вредоносных программ и обучать персонал распознаванию сигналов о взломе.