#ParsedReport #CompletenessMedium
16-02-2026
Aeternum Loader: When your C2 lives forever
https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/
Report completeness: Medium
Threats:
Aeternum
Errtraffic
Clickfix_technique
Victims:
General users, Blockchain users
Industry:
Financial
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
T1027, T1036, T1059, T1102, T1105, T1480
IOCs:
Coin: 35
Url: 18
Domain: 20
File: 5
Hash: 2
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
aes-256-gcm, sha256, md5, aes-gcm, base64, pbkdf2, aes
Functions:
updateDomain, getItem, getRandomValues, setItem, encryptPrivateKey, setEncryptionKey, Wallet, getAddress, getNetwork, admin, have more...
Win API:
Polygon
Languages:
solidity, python, javascript
Links:
have more...
16-02-2026
Aeternum Loader: When your C2 lives forever
https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/
Report completeness: Medium
Threats:
Aeternum
Errtraffic
Clickfix_technique
Victims:
General users, Blockchain users
Industry:
Financial
TTPs:
Tactics: 1
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1102, T1105, T1480
IOCs:
Coin: 35
Url: 18
Domain: 20
File: 5
Hash: 2
Wallets:
mainnet
Crypto:
ethereum
Algorithms:
aes-256-gcm, sha256, md5, aes-gcm, base64, pbkdf2, aes
Functions:
updateDomain, getItem, getRandomValues, setItem, encryptPrivateKey, setEncryptionKey, Wallet, getAddress, getNetwork, admin, have more...
Win API:
Polygon
Languages:
solidity, python, javascript
Links:
have more...
https://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/Smart%20Contract%20Log.csvhttps://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/aeternum\_c2\_command\_decrypt.pyCtrl-Alt-Int3l
Aeternum Loader: When your C2 lives forever
An exposed operator panel revealed how Aeternum Loader abuses Polygon smart contracts for C2, allowing us to view all C2 commands ever sent.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-02-2026 Aeternum Loader: When your C2 lives forever https://ctrlaltintel.com/threat%20research/Aeternum-Part-1/ Report completeness: Medium Threats: Aeternum Errtraffic Clickfix_technique Victims: General users, Blockchain…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует механизм командования и контроля через блокчейн Polygon, используя смарт-контракты для выполнения команд вместо традиционных серверов. Он имеет два флага команд, "all" и "hwid", что позволяет выполнять универсальное или специфическое выполнение и включает зашифрованные команды, которые могут быть расшифрованы с помощью адреса контракта. Заметная уязвимость существует в одном идентифицированном смарт-контракте со слабым шифрованием, что потенциально позволяет исследователям обнаруживать вредоносную активность, связанную с загрузчиком Aeternum, с помощью анализа цепочки.
-----
Загрузчик Aeternum - это сложный загрузчик вредоносное ПО, который использует уникальный механизм командования и контроля (C2) через блокчейн Polygon, полагаясь на смарт-контракты вместо традиционных серверов C2. Такой подход устраняет необходимость в централизованной инфраструктуре, контролируемой злоумышленниками, поскольку команды встроены в транзакции блокчейна и, таким образом, прозрачны и неизменяемы. Панель, используемая операторами вредоносное ПО, раскрывает детали смарт-контракта, позволяя тщательно проанализировать его функциональность, структуру команд и уязвимости.
Расшифрованные команды из загрузчика Aeternum раскрывают структуру команд, которая включает в себя два основных флага: "all" и "hwid". Флаг "all" указывает, что команда должна выполняться повсеместно, в то время как флаг "hwid" ограничивает выполнение определенными идентификаторами хоста, полученными из хэша MD5 серийного номера системного диска. Команды также указывают URL-адреса, на которых размещаются дополнительные полезные файлы, и вредоносное ПО может устанавливать закрепление и отправлять периодические проверки ping через HTTP.
Команды C2 зашифрованы AES-GCM, а ключи получены из адреса контракта с помощью алгоритма PBKDF2, который использует как значение salt, так и пароль, установленные для адреса контракта. Это позволяет любому, кто знает адрес контракта, расшифровать все команды, связанные с этим конкретным каналом C2. Важным открытием является то, что смарт-контракт, содержащий команды C2, может быть запрошен напрямую через блокчейн, что обеспечивает исследователям возможность поиска исторических команд и мониторинга в режиме реального времени.
Исследование выявило один смарт-контракт, 0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0, со слабым методом шифрования, который мог раскрывать команды открытого текста. Если будут найдены другие контракты с аналогичным байт-кодом, они также могут быть связаны с загрузчиком Aeternum, что облегчает автоматическое обнаружение вредоносной активности посредством взаимодействия API с такими платформами, как Etherscan.io .
Идентифицированный создатель смарт-контракта, Ленай, продемонстрировал значительную активность, внедрив многочисленные контракты и команды с начала 2026 года, которые также согласуются с такими кампаниями, как ErrTraffic и ClickFix. Многогранная реализация загрузчика Aeternum не только означает усовершенствованную модель угроз, использующую технологию блокчейн для закрепление и запутывания, но и предоставляет исследователям в области Кибербезопасность ощутимую возможность противодействовать ее внедрению посредством мониторинга в сети и анализа связанных смарт-контрактов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует механизм командования и контроля через блокчейн Polygon, используя смарт-контракты для выполнения команд вместо традиционных серверов. Он имеет два флага команд, "all" и "hwid", что позволяет выполнять универсальное или специфическое выполнение и включает зашифрованные команды, которые могут быть расшифрованы с помощью адреса контракта. Заметная уязвимость существует в одном идентифицированном смарт-контракте со слабым шифрованием, что потенциально позволяет исследователям обнаруживать вредоносную активность, связанную с загрузчиком Aeternum, с помощью анализа цепочки.
-----
Загрузчик Aeternum - это сложный загрузчик вредоносное ПО, который использует уникальный механизм командования и контроля (C2) через блокчейн Polygon, полагаясь на смарт-контракты вместо традиционных серверов C2. Такой подход устраняет необходимость в централизованной инфраструктуре, контролируемой злоумышленниками, поскольку команды встроены в транзакции блокчейна и, таким образом, прозрачны и неизменяемы. Панель, используемая операторами вредоносное ПО, раскрывает детали смарт-контракта, позволяя тщательно проанализировать его функциональность, структуру команд и уязвимости.
Расшифрованные команды из загрузчика Aeternum раскрывают структуру команд, которая включает в себя два основных флага: "all" и "hwid". Флаг "all" указывает, что команда должна выполняться повсеместно, в то время как флаг "hwid" ограничивает выполнение определенными идентификаторами хоста, полученными из хэша MD5 серийного номера системного диска. Команды также указывают URL-адреса, на которых размещаются дополнительные полезные файлы, и вредоносное ПО может устанавливать закрепление и отправлять периодические проверки ping через HTTP.
Команды C2 зашифрованы AES-GCM, а ключи получены из адреса контракта с помощью алгоритма PBKDF2, который использует как значение salt, так и пароль, установленные для адреса контракта. Это позволяет любому, кто знает адрес контракта, расшифровать все команды, связанные с этим конкретным каналом C2. Важным открытием является то, что смарт-контракт, содержащий команды C2, может быть запрошен напрямую через блокчейн, что обеспечивает исследователям возможность поиска исторических команд и мониторинга в режиме реального времени.
Исследование выявило один смарт-контракт, 0x4d70C3393C5d9EC325Edf8b3f289cFA9777e64B0, со слабым методом шифрования, который мог раскрывать команды открытого текста. Если будут найдены другие контракты с аналогичным байт-кодом, они также могут быть связаны с загрузчиком Aeternum, что облегчает автоматическое обнаружение вредоносной активности посредством взаимодействия API с такими платформами, как Etherscan.io .
Идентифицированный создатель смарт-контракта, Ленай, продемонстрировал значительную активность, внедрив многочисленные контракты и команды с начала 2026 года, которые также согласуются с такими кампаниями, как ErrTraffic и ClickFix. Многогранная реализация загрузчика Aeternum не только означает усовершенствованную модель угроз, использующую технологию блокчейн для закрепление и запутывания, но и предоставляет исследователям в области Кибербезопасность ощутимую возможность противодействовать ее внедрению посредством мониторинга в сети и анализа связанных смарт-контрактов.
#ParsedReport #CompletenessMedium
16-02-2026
Aeternum Loader: Inside the binary
https://ctrlaltintel.com/threat%20research/Aeternum-Part-2/
Report completeness: Medium
Actors/Campaigns:
Muddywater
Threats:
Aeternum
Motw_bypass_technique
Sandbox_evasion_technique
Hijackloader
Cloudeye
Errtraffic
Latrodectus
Stealthcache
Victims:
Windows users, Non russian users
Industry:
Financial
Geo:
Russia, Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.007, T1027.009, T1036, T1036.005, T1055.012, T1070.004, T1071.001, T1497, T1497.001, have more...
IOCs:
Coin: 1
Path: 3
File: 8
Hash: 1
Url: 3
Domain: 1
Algorithms:
xor, pbkdf2, base64, aes-gcm, sha256, prng, md5, aes, crc-32
Functions:
Loader, getDomain
Win API:
Polygon, GetModuleFileNameA, InternetReadFile, GetSystemFirmwareTable, RegQueryInfoKeyW, GetSystemDefaultLangID, GetUserDefaultLangID, GetLocaleInfoW, GetModuleFileNameW, VirtualAlloc, have more...
Win Services:
bits
Languages:
python, powershell
Platforms:
intel, x64
Links:
have more...
16-02-2026
Aeternum Loader: Inside the binary
https://ctrlaltintel.com/threat%20research/Aeternum-Part-2/
Report completeness: Medium
Actors/Campaigns:
Muddywater
Threats:
Aeternum
Motw_bypass_technique
Sandbox_evasion_technique
Hijackloader
Cloudeye
Errtraffic
Latrodectus
Stealthcache
Victims:
Windows users, Non russian users
Industry:
Financial
Geo:
Russia, Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.007, T1027.009, T1036, T1036.005, T1055.012, T1070.004, T1071.001, T1497, T1497.001, have more...
IOCs:
Coin: 1
Path: 3
File: 8
Hash: 1
Url: 3
Domain: 1
Algorithms:
xor, pbkdf2, base64, aes-gcm, sha256, prng, md5, aes, crc-32
Functions:
Loader, getDomain
Win API:
Polygon, GetModuleFileNameA, InternetReadFile, GetSystemFirmwareTable, RegQueryInfoKeyW, GetSystemDefaultLangID, GetUserDefaultLangID, GetLocaleInfoW, GetModuleFileNameW, VirtualAlloc, have more...
Win Services:
bits
Languages:
python, powershell
Platforms:
intel, x64
Links:
have more...
https://github.com/LloydLabs/delete-self-pochttps://github.com/ctrlaltint3l/intelligence/blob/main/Aeternum%20Loader/PolygonRPC.txtCtrl-Alt-Int3l
Aeternum Loader: Inside the binary
Our attempt at reversing Aeternum Loader to extract contract addresses and reveal functionality.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-02-2026 Aeternum Loader: Inside the binary https://ctrlaltintel.com/threat%20research/Aeternum-Part-2/ Report completeness: Medium Actors/Campaigns: Muddywater Threats: Aeternum Motw_bypass_technique Sandbox_evasion_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Загрузчик Aeternum - это сложное вредоносное ПО, использующее обфускацию XOR для каждой строки и Динамическое разрешение функций Windows API для повышения своей скрытности. Он использует методы защиты от виртуальных машин для обнаружения виртуальных сред, обеспечивая контроль выполнения и закрепление за собой путем копирования в каталог AppData. Команды передаются в инфраструктуру C2, загружая полезные данные и используя отражающую загрузку для их выполнения в памяти, при этом используются передовые методы уклонения, такие как самоудаление с помощью альтернативных потоков данных NTFS.
-----
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует различные методы для повышения своей скрытности и эффективности. Загрузчик использует обфускацию XOR для каждой строки для своих внутренних строк, динамически расшифровывая данные из раздела .data своего двоичного файла во время выполнения. Примечательно, что он использует Динамическое разрешение для функций Windows API, отказываясь от хранения этих импортируемых данных в виде открытого текста в пользу запутывания посредством хеширования API с использованием нескольких алгоритмов. Этот метод значительно усложняет анализ и обратное проектирование.
Для обнаружения виртуализированных сред загрузчик Aeternum включает в себя возможности защиты от виртуальных машин, реализуя множество проверок, включая анализ центрального процессора с использованием инструкции cpuid и тщательный просмотр таблицы прошивка SMBIOS. Например, если он обнаруживает, что характерное битовое поле содержит менее 10 установленных битов, он предполагает, что среда виртуализирована, останавливая выполнение. Загрузчик также использует проверки реестра для идентификации русскоязычных пользователей и не запускается, если языковые настройки системы соответствуют определенным критериям. Это геозонирование, по-видимому, ограничено обнаружением в России, в отличие от других вредоносное ПО, которые часто включают более широкое обнаружение в странах СНГ.
После успешной проверки среды загрузчик Aeternum устанавливает закрепление различными способами, включая копирование самого себя в каталог AppData\Local и использование папки Startup для выполнения при загрузке. Процесс инициализации включает в себя сбор пути к исходному двоичному файлу через API `GetModuleFileNameA()`. Затем команды передаются в инфраструктуру command and control (C2) с использованием жестко закодированного списка доменов Polygon RPC и механизма PRNG для рандомизации интервалов между запросами.
Полезные файлы загружаются порциями с помощью `InternetReadFile()` и различаются по типу файла. Если полезной нагрузкой является библиотека DLL, Aeternum использует методы отражающей загрузки, сохраняя ее в памяти без записи на диск. Для других типов файлов он создает уникальную структуру каталогов во временной папке, удаляет метаданные Mark-Of-The-Web, чтобы избежать обнаружения, и использует подмену идентификатора родительского процесса (PPID), чтобы замаскировать его работу, как если бы она была инициирована explorer.exe .
Кроме того, загрузчик обладает возможностью самоудаления, используя альтернативные потоки данных NTFS (ADS), чтобы скрыть себя после выполнения, что усложняет криминалистический анализ. Команды, извлеченные из C2, зашифрованные с помощью AES и производно связанные с адресом контракта в блокчейне Polygon, могут быть расшифрованы, если адрес известен, что обеспечивает потенциальный способ мониторинга и понимания истории его работы. В целом, загрузчик Aeternum является примером передовых методов уклонения, что делает его серьезной угрозой в экосистеме вредоносное ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Загрузчик Aeternum - это сложное вредоносное ПО, использующее обфускацию XOR для каждой строки и Динамическое разрешение функций Windows API для повышения своей скрытности. Он использует методы защиты от виртуальных машин для обнаружения виртуальных сред, обеспечивая контроль выполнения и закрепление за собой путем копирования в каталог AppData. Команды передаются в инфраструктуру C2, загружая полезные данные и используя отражающую загрузку для их выполнения в памяти, при этом используются передовые методы уклонения, такие как самоудаление с помощью альтернативных потоков данных NTFS.
-----
Загрузчик Aeternum - это сложное вредоносное ПО, которое использует различные методы для повышения своей скрытности и эффективности. Загрузчик использует обфускацию XOR для каждой строки для своих внутренних строк, динамически расшифровывая данные из раздела .data своего двоичного файла во время выполнения. Примечательно, что он использует Динамическое разрешение для функций Windows API, отказываясь от хранения этих импортируемых данных в виде открытого текста в пользу запутывания посредством хеширования API с использованием нескольких алгоритмов. Этот метод значительно усложняет анализ и обратное проектирование.
Для обнаружения виртуализированных сред загрузчик Aeternum включает в себя возможности защиты от виртуальных машин, реализуя множество проверок, включая анализ центрального процессора с использованием инструкции cpuid и тщательный просмотр таблицы прошивка SMBIOS. Например, если он обнаруживает, что характерное битовое поле содержит менее 10 установленных битов, он предполагает, что среда виртуализирована, останавливая выполнение. Загрузчик также использует проверки реестра для идентификации русскоязычных пользователей и не запускается, если языковые настройки системы соответствуют определенным критериям. Это геозонирование, по-видимому, ограничено обнаружением в России, в отличие от других вредоносное ПО, которые часто включают более широкое обнаружение в странах СНГ.
После успешной проверки среды загрузчик Aeternum устанавливает закрепление различными способами, включая копирование самого себя в каталог AppData\Local и использование папки Startup для выполнения при загрузке. Процесс инициализации включает в себя сбор пути к исходному двоичному файлу через API `GetModuleFileNameA()`. Затем команды передаются в инфраструктуру command and control (C2) с использованием жестко закодированного списка доменов Polygon RPC и механизма PRNG для рандомизации интервалов между запросами.
Полезные файлы загружаются порциями с помощью `InternetReadFile()` и различаются по типу файла. Если полезной нагрузкой является библиотека DLL, Aeternum использует методы отражающей загрузки, сохраняя ее в памяти без записи на диск. Для других типов файлов он создает уникальную структуру каталогов во временной папке, удаляет метаданные Mark-Of-The-Web, чтобы избежать обнаружения, и использует подмену идентификатора родительского процесса (PPID), чтобы замаскировать его работу, как если бы она была инициирована explorer.exe .
Кроме того, загрузчик обладает возможностью самоудаления, используя альтернативные потоки данных NTFS (ADS), чтобы скрыть себя после выполнения, что усложняет криминалистический анализ. Команды, извлеченные из C2, зашифрованные с помощью AES и производно связанные с адресом контракта в блокчейне Polygon, могут быть расшифрованы, если адрес известен, что обеспечивает потенциальный способ мониторинга и понимания истории его работы. В целом, загрузчик Aeternum является примером передовых методов уклонения, что делает его серьезной угрозой в экосистеме вредоносное ПО.
#ParsedReport #CompletenessMedium
22-02-2026
Dark Web Profile: Lotus Blossom
https://socradar.io/blog/dark-web-profile-lotus-blossom/
Report completeness: Medium
Actors/Campaigns:
Dragonfish (motivation: sabotage, cyber_espionage, information_theft, financially_motivated)
Raspberry_typhoon
Cloud_hopper
Stone_panda
Winnti
Comment_crew
Threats:
Lolbin_technique
Anubis
Supply_chain_technique
Spear-phishing_technique
Elise
Sagerunex
Hannotog
Chrysalis
Plugx_rat
Watering_hole_technique
Dll_sideloading_technique
Credential_harvesting_technique
Adfind_tool
Mimikatz_tool
Process_injection_technique
Emissary
Victims:
Government, Military, Telecommunications, Manufacturing, Critical infrastructure, Maritime and logistics, Defense contractors, Geospatial imaging companies, Satellite communications providers, Certificate authorities, have more...
Industry:
Logistic, Military, Government, Maritime, Telco, Transport, Critical_infrastructure
Geo:
Djibouti, Thailand, Asia-pacific, French, Hong kong, Korea, Philippines, Philippine, Asia, America, Asian, Vietnamese, Indonesia, China, Myanmar, Vietnam, Chinese, Usa, Taiwan
CVEs:
CVE-2010-2883 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2.5, <9.4)
CVE-2009-4324 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2, <9.3)
- adobe acrobat_reader (<8.2, <9.3)
CVE-2016-1019 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player_desktop_runtime (le21.0.0.197)
CVE-2010-0188 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2.1, <9.3.1)
- adobe acrobat_reader (<8.2.1, <9.3.1)
CVE-2012-0158 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2003, 2007, 2010)
- microsoft office_web_components (2003)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)
CVE-2014-6332 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_8 (-)
- microsoft windows_8.1 (-)
- microsoft windows_rt (-)
- microsoft windows_rt_8.1 (-)
have more...
CVE-2025-15556 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- notepad-plus-plus notepad\+\+ (<8.8.9)
CVE-2014-4114 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_8 (-)
- microsoft windows_8.1 (-)
- microsoft windows_rt (-)
- microsoft windows_rt_8.1 (-)
have more...
TTPs:
Tactics: 8
Technics: 17
IOCs:
File: 2
Soft:
Microsoft Office, PsExec, Active Directory, Flash Player, Windows OLE Automation, Windows OLE, Windows Service
Languages:
powershell
22-02-2026
Dark Web Profile: Lotus Blossom
https://socradar.io/blog/dark-web-profile-lotus-blossom/
Report completeness: Medium
Actors/Campaigns:
Dragonfish (motivation: sabotage, cyber_espionage, information_theft, financially_motivated)
Raspberry_typhoon
Cloud_hopper
Stone_panda
Winnti
Comment_crew
Threats:
Lolbin_technique
Anubis
Supply_chain_technique
Spear-phishing_technique
Elise
Sagerunex
Hannotog
Chrysalis
Plugx_rat
Watering_hole_technique
Dll_sideloading_technique
Credential_harvesting_technique
Adfind_tool
Mimikatz_tool
Process_injection_technique
Emissary
Victims:
Government, Military, Telecommunications, Manufacturing, Critical infrastructure, Maritime and logistics, Defense contractors, Geospatial imaging companies, Satellite communications providers, Certificate authorities, have more...
Industry:
Logistic, Military, Government, Maritime, Telco, Transport, Critical_infrastructure
Geo:
Djibouti, Thailand, Asia-pacific, French, Hong kong, Korea, Philippines, Philippine, Asia, America, Asian, Vietnamese, Indonesia, China, Myanmar, Vietnam, Chinese, Usa, Taiwan
CVEs:
CVE-2010-2883 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2.5, <9.4)
CVE-2009-4324 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2, <9.3)
- adobe acrobat_reader (<8.2, <9.3)
CVE-2016-1019 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player_desktop_runtime (le21.0.0.197)
CVE-2010-0188 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe acrobat (<8.2.1, <9.3.1)
- adobe acrobat_reader (<8.2.1, <9.3.1)
CVE-2012-0158 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2003, 2007, 2010)
- microsoft office_web_components (2003)
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)
CVE-2014-6332 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_8 (-)
- microsoft windows_8.1 (-)
- microsoft windows_rt (-)
- microsoft windows_rt_8.1 (-)
have more...
CVE-2025-15556 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- notepad-plus-plus notepad\+\+ (<8.8.9)
CVE-2014-4114 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_8 (-)
- microsoft windows_8.1 (-)
- microsoft windows_rt (-)
- microsoft windows_rt_8.1 (-)
have more...
TTPs:
Tactics: 8
Technics: 17
IOCs:
File: 2
Soft:
Microsoft Office, PsExec, Active Directory, Flash Player, Windows OLE Automation, Windows OLE, Windows Service
Languages:
powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Lotus Blossom
Lotus Blossom is a long-running cyber espionage Advanced Persistent Threat (APT) group active since at least 2009 and widely attributed to the People’s
CTT Report Hub
#ParsedReport #CompletenessMedium 22-02-2026 Dark Web Profile: Lotus Blossom https://socradar.io/blog/dark-web-profile-lotus-blossom/ Report completeness: Medium Actors/Campaigns: Dragonfish (motivation: sabotage, cyber_espionage, information_theft, f…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lotus Blossom, спонсируемая китайским государством APT-группировка, действующая с 2009 года, специализируется на кибершпионаже против правительства и стратегических секторов, используя пользовательское вредоносное ПО и законные административные инструменты для тайных операций. Они инициируют атаки главным образом с помощью Целевой фишинг и используют различные уязвимости, включая CVE-2012-0158 и CVE-2018-0802, переходя к передовым методам, таким как манипулирование supply Chains программного обеспечения и DLL Sideloading для обеспечения сохраняемости. Их изощренная тактика демонстрирует стратегическое соответствие геополитическим целям, расширяя их глобальный оперативный охват, делая упор на скрытность и долгосрочный доступ.
-----
Lotus Blossom - спонсируемая государством APT-группировка, занимающаяся кибершпионажем по меньшей мере с 2009 года, нацеленная на правительственные органы и стратегические отрасли промышленности в Азиатско-Тихоокеанском регионе и во всем мире. Известные под такими псевдонимами, как Billbug и Spring Dragon, они используют пользовательское вредоносное ПО и законные административные инструменты для скрытого доступа. Их операции часто начинаются с Целевой фишинг-кампании, нацеленной на уязвимости Microsoft Office, такие как CVE-2012-0158. Недавно они манипулировали supply chains программного обеспечения, примером чего может служить инфраструктура обновлений Notepad++ для доставки троянского программного обеспечения.
Lotus Blossom использует стратегию проникновения пациентов, отдавая предпочтение долгосрочному доступу, а не разрушительным методам, и использует методы living-off-the-land, чтобы сочетать вредоносные действия с рутинной деятельностью. Первоначальный доступ обычно получают с помощью фишинг-сообщений электронной почты, за которыми следует перемещение внутри компании с использованием PowerShell и WMI с помощью таких инструментов, как Mimikatz для сбор учетных записей. Их пользовательское вредоносное ПО включает в себя бэкдор Elise, развивающийся в фреймворк, такой как Sagerunex и Chrysalis, который использует DLL sideloading для сохранения.
Таргетинг расширился от правительственных сетей Юго-Восточной Азии до глобальных организаций, отражая стратегические интересы Китая, особенно в области морской логистики и разведки supply chain. Их атаки связаны с геополитическими событиями, особенно в таких критически важных секторах, как военные организации и телекоммуникации, во времена региональной напряженности.
Недавние тактические приемы демонстрируют значительное повышение сложности за счет компрометация на уровне инфраструктуры и сочетания проприетарных бэкдор с законными утилитами, что сокращает количество следов вредоносное ПО, сохраняя при этом возможности наблюдения и эксфильтрация данных. Они используют уязвимости от CVE-2018-0802 до CVE-2025-15556, что указывает на постоянное совершенствование их методов, позволяющих избежать обнаружения и расширить оперативный охват.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lotus Blossom, спонсируемая китайским государством APT-группировка, действующая с 2009 года, специализируется на кибершпионаже против правительства и стратегических секторов, используя пользовательское вредоносное ПО и законные административные инструменты для тайных операций. Они инициируют атаки главным образом с помощью Целевой фишинг и используют различные уязвимости, включая CVE-2012-0158 и CVE-2018-0802, переходя к передовым методам, таким как манипулирование supply Chains программного обеспечения и DLL Sideloading для обеспечения сохраняемости. Их изощренная тактика демонстрирует стратегическое соответствие геополитическим целям, расширяя их глобальный оперативный охват, делая упор на скрытность и долгосрочный доступ.
-----
Lotus Blossom - спонсируемая государством APT-группировка, занимающаяся кибершпионажем по меньшей мере с 2009 года, нацеленная на правительственные органы и стратегические отрасли промышленности в Азиатско-Тихоокеанском регионе и во всем мире. Известные под такими псевдонимами, как Billbug и Spring Dragon, они используют пользовательское вредоносное ПО и законные административные инструменты для скрытого доступа. Их операции часто начинаются с Целевой фишинг-кампании, нацеленной на уязвимости Microsoft Office, такие как CVE-2012-0158. Недавно они манипулировали supply chains программного обеспечения, примером чего может служить инфраструктура обновлений Notepad++ для доставки троянского программного обеспечения.
Lotus Blossom использует стратегию проникновения пациентов, отдавая предпочтение долгосрочному доступу, а не разрушительным методам, и использует методы living-off-the-land, чтобы сочетать вредоносные действия с рутинной деятельностью. Первоначальный доступ обычно получают с помощью фишинг-сообщений электронной почты, за которыми следует перемещение внутри компании с использованием PowerShell и WMI с помощью таких инструментов, как Mimikatz для сбор учетных записей. Их пользовательское вредоносное ПО включает в себя бэкдор Elise, развивающийся в фреймворк, такой как Sagerunex и Chrysalis, который использует DLL sideloading для сохранения.
Таргетинг расширился от правительственных сетей Юго-Восточной Азии до глобальных организаций, отражая стратегические интересы Китая, особенно в области морской логистики и разведки supply chain. Их атаки связаны с геополитическими событиями, особенно в таких критически важных секторах, как военные организации и телекоммуникации, во времена региональной напряженности.
Недавние тактические приемы демонстрируют значительное повышение сложности за счет компрометация на уровне инфраструктуры и сочетания проприетарных бэкдор с законными утилитами, что сокращает количество следов вредоносное ПО, сохраняя при этом возможности наблюдения и эксфильтрация данных. Они используют уязвимости от CVE-2018-0802 до CVE-2025-15556, что указывает на постоянное совершенствование их методов, позволяющих избежать обнаружения и расширить оперативный охват.
#ParsedReport #CompletenessLow
19-02-2026
Increase in Malware Enabled ATM Jackpotting Incidents Across United States
https://www.ic3.gov/CSA/2026/260219.pdf
Report completeness: Low
Threats:
Atm_jackpotting_technique
Ploutus
Teamviewer_tool
Anydesk_tool
Victims:
Financial services, Banks, Atm operators
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1021.001, T1059, T1068, T1078, T1091, T1204, T1547, T1565.001, T1569.002, have more...
IOCs:
File: 15
Hash: 5
Path: 2
Registry: 5
Soft:
Windows security
Algorithms:
md5
19-02-2026
Increase in Malware Enabled ATM Jackpotting Incidents Across United States
https://www.ic3.gov/CSA/2026/260219.pdf
Report completeness: Low
Threats:
Atm_jackpotting_technique
Ploutus
Teamviewer_tool
Anydesk_tool
Victims:
Financial services, Banks, Atm operators
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1021.001, T1059, T1068, T1078, T1091, T1204, T1547, T1565.001, T1569.002, have more...
IOCs:
File: 15
Hash: 5
Path: 2
Registry: 5
Soft:
Windows security
Algorithms:
md5
CTT Report Hub
#ParsedReport #CompletenessLow 19-02-2026 Increase in Malware Enabled ATM Jackpotting Incidents Across United States https://www.ic3.gov/CSA/2026/260219.pdf Report completeness: Low Threats: Atm_jackpotting_technique Ploutus Teamviewer_tool Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В оперативном отчете ФБР подробно описывается рост числа случаев кражи денег в банкоматах в США: более 700 случаев в 2025 году привели к убыткам на сумму более 20 миллионов долларов. Киберпреступники используют вредоносное ПО Ploutus для использования уязвимостей в программном обеспечении eXtensions for Financial Services (XFS) для незаконной выдачи наличных в обход банковской авторизации. Злоумышленники обычно получают физический доступ к банкоматам и внедряют вредоносное ПО различными методами, создавая значительные угрозы для нескольких производителей банкоматов из-за лежащих в их основе уязвимостей ОС Windows.
-----
ФБР сообщает о резком росте числа случаев кражи денег в банкоматах в США: в 2025 году их будет более 700, а убытки превысят 20 миллионов долларов. Джекпот в банкоматах использует программные и физические уязвимости, в основном используя вредоносное ПО Ploutus для манипулирования выдачей наличных без авторизации. Ploutus нацелен на уровень расширений для финансовых служб (XFS), позволяющий злоумышленникам обходить банковскую авторизацию и выдавать наличные непосредственно из банкоматов. Злоумышленники часто получают физический доступ с помощью универсальных ключей и могут удалить жесткий диск банкомата, чтобы заразить его вредоносное ПО с внешнего компьютера. Они также могут заменить жесткий диск на предварительно загруженное устройство. Это вредоносное ПО использует уязвимости в операционной системе Windows, что позволяет ему работать в банкоматах разных производителей. Рекомендуемые меры по смягчению последствий включают нацелен-ный аудит съемных носителей, поддержание проверенного "золотого образа" для банкоматов, внесение устройств в белый список, использование шифрования жесткого диска и настройку банкоматов на отключение при обнаружении определенных признаков компрометация. Для повышения готовности к угрозам также рекомендуется использовать решения для защиты от вредоносных программ и обучать персонал распознаванию сигналов о взломе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В оперативном отчете ФБР подробно описывается рост числа случаев кражи денег в банкоматах в США: более 700 случаев в 2025 году привели к убыткам на сумму более 20 миллионов долларов. Киберпреступники используют вредоносное ПО Ploutus для использования уязвимостей в программном обеспечении eXtensions for Financial Services (XFS) для незаконной выдачи наличных в обход банковской авторизации. Злоумышленники обычно получают физический доступ к банкоматам и внедряют вредоносное ПО различными методами, создавая значительные угрозы для нескольких производителей банкоматов из-за лежащих в их основе уязвимостей ОС Windows.
-----
ФБР сообщает о резком росте числа случаев кражи денег в банкоматах в США: в 2025 году их будет более 700, а убытки превысят 20 миллионов долларов. Джекпот в банкоматах использует программные и физические уязвимости, в основном используя вредоносное ПО Ploutus для манипулирования выдачей наличных без авторизации. Ploutus нацелен на уровень расширений для финансовых служб (XFS), позволяющий злоумышленникам обходить банковскую авторизацию и выдавать наличные непосредственно из банкоматов. Злоумышленники часто получают физический доступ с помощью универсальных ключей и могут удалить жесткий диск банкомата, чтобы заразить его вредоносное ПО с внешнего компьютера. Они также могут заменить жесткий диск на предварительно загруженное устройство. Это вредоносное ПО использует уязвимости в операционной системе Windows, что позволяет ему работать в банкоматах разных производителей. Рекомендуемые меры по смягчению последствий включают нацелен-ный аудит съемных носителей, поддержание проверенного "золотого образа" для банкоматов, внесение устройств в белый список, использование шифрования жесткого диска и настройку банкоматов на отключение при обнаружении определенных признаков компрометация. Для повышения готовности к угрозам также рекомендуется использовать решения для защиты от вредоносных программ и обучать персонал распознаванию сигналов о взломе.
#ParsedReport #CompletenessLow
22-02-2026
OPSEC on a Budget: What BadAudio Reveals About APT24 Securite360
https://securite360.net/opsec-on-a-budget-what-badaudio-reveals-about-apt24
Report completeness: Low
Actors/Campaigns:
Pitty_tiger
Threats:
Badaudio
Plugx_rat
Shadowpad
Victims:
Taiwan, United states
Geo:
Taiwan, China, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1016, T1027, T1033, T1041, T1071.001, T1140, T1573.001
IOCs:
File: 3
Hash: 1
Soft:
WinINet API, WordPress
Algorithms:
xor, aes, aes-256
Win API:
GetUserNameExW, HeapDestroy, VirtualFree, TerminateThread, ExitProcess, InternetCloseHandle, HttpQueryInfoA, InternetReadFile, InternetOpenA, HeapDestroy VirtualFree TerminateThread ExitProcess InternetCloseHandle, have more...
Platforms:
x86, x64
22-02-2026
OPSEC on a Budget: What BadAudio Reveals About APT24 Securite360
https://securite360.net/opsec-on-a-budget-what-badaudio-reveals-about-apt24
Report completeness: Low
Actors/Campaigns:
Pitty_tiger
Threats:
Badaudio
Plugx_rat
Shadowpad
Victims:
Taiwan, United states
Geo:
Taiwan, China, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016, T1027, T1033, T1041, T1071.001, T1140, T1573.001
IOCs:
File: 3
Hash: 1
Soft:
WinINet API, WordPress
Algorithms:
xor, aes, aes-256
Win API:
GetUserNameExW, HeapDestroy, VirtualFree, TerminateThread, ExitProcess, InternetCloseHandle, HttpQueryInfoA, InternetReadFile, InternetOpenA, HeapDestroy VirtualFree TerminateThread ExitProcess InternetCloseHandle, have more...
Platforms:
x86, x64
CTT Report Hub
#ParsedReport #CompletenessLow 22-02-2026 OPSEC on a Budget: What BadAudio Reveals About APT24 Securite360 https://securite360.net/opsec-on-a-budget-what-badaudio-reveals-about-apt24 Report completeness: Low Actors/Campaigns: Pitty_tiger Threats: Badaudio…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT24, злоумышленник, связанный с Китаем, действует по меньшей мере с 2011 года, нацеливаясь на Тайвань и США. Недавнее использование ими загрузчика BadAudio знаменует переход к пользовательскому вредоносное ПО, которое собирает информацию о хостах, такую как имена пользователей и системные имена хостов, для разведка, прежде чем связываться с серверами командования и контроля (C2). BadAudio использует сложные методы обфускации с маскировкой XOR на основе SSE, использует AES-256 для шифрования данных и полагается на WinInet API для передачи данных, хотя его домен C2 недавно вернул ответ NXDOMAIN, что указывает на нестабильность в его операционной инфраструктуре.
-----
APT24, также известный как набор для взлома, связанный с Китаем, действует по меньшей мере с 2011 года, в основном нацеленный на организации на Тайване и, в некоторой степени, в Соединенных Штатах. Недавние анализы, в частности отчет Google Cloud, показали, что APT24's использует уникальный загрузчик, известный как BadAudio, что подчеркивает переход к пользовательскому вредоносное ПО вместо того, чтобы полагаться на более известные семейства, связанные с китайскими актор.
BadAudio предназначен для сбора информации, идентифицирующей хост, такой как текущее имя пользователя Windows и системное имя хоста, используя такие функции API, как GetUserNameExW и GetComputerNameW. Эта информация имеет решающее значение для этапа разведка вредоносное ПО, функционируя как средство сбора данных о зараженной среде перед взаимодействием с серверами командования и контроля (C2).
Технический анализ BadAudio показывает его сложные методы запутывания, в первую очередь за счет использования строк стека, которые используют маскировку XOR на основе SSE. Это вредоносное ПО восстанавливает обфускированные строковые буферы непосредственно в памяти, применяя 128-битные операции XOR для Деобфускация своих строк непосредственно перед их использованием. Кроме того, многие процедуры обфускации используют 16-байтовую маску, совместно используемую для различных строк и коммуникаций C2, что указывает на уровень синхронизации при обработке данных.
Что касается передачи данных, BadAudio использует шифрование AES-256 в режиме CTR для защиты информации, собранной с хоста. Жестко закодированный 256-битный ключ AES, хранящийся в вредоносное ПО в виде констант, используется для шифрования конфиденциальных данных перед их отправкой на сервер C2. Процесс передачи использует WinInet API для создания HTTP-запросов, которые включают пользовательские заголовки для передачи зашифрованных данных.
Однако во время тестирования домен C2, связанный с BadAudio, вернул ответ NXDOMAIN, указывающий на то, что он либо больше не функционирует, либо намеренно отключен. Это указывает на потенциальную нестабильность инфраструктуры, используемой APT24.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT24, злоумышленник, связанный с Китаем, действует по меньшей мере с 2011 года, нацеливаясь на Тайвань и США. Недавнее использование ими загрузчика BadAudio знаменует переход к пользовательскому вредоносное ПО, которое собирает информацию о хостах, такую как имена пользователей и системные имена хостов, для разведка, прежде чем связываться с серверами командования и контроля (C2). BadAudio использует сложные методы обфускации с маскировкой XOR на основе SSE, использует AES-256 для шифрования данных и полагается на WinInet API для передачи данных, хотя его домен C2 недавно вернул ответ NXDOMAIN, что указывает на нестабильность в его операционной инфраструктуре.
-----
APT24, также известный как набор для взлома, связанный с Китаем, действует по меньшей мере с 2011 года, в основном нацеленный на организации на Тайване и, в некоторой степени, в Соединенных Штатах. Недавние анализы, в частности отчет Google Cloud, показали, что APT24's использует уникальный загрузчик, известный как BadAudio, что подчеркивает переход к пользовательскому вредоносное ПО вместо того, чтобы полагаться на более известные семейства, связанные с китайскими актор.
BadAudio предназначен для сбора информации, идентифицирующей хост, такой как текущее имя пользователя Windows и системное имя хоста, используя такие функции API, как GetUserNameExW и GetComputerNameW. Эта информация имеет решающее значение для этапа разведка вредоносное ПО, функционируя как средство сбора данных о зараженной среде перед взаимодействием с серверами командования и контроля (C2).
Технический анализ BadAudio показывает его сложные методы запутывания, в первую очередь за счет использования строк стека, которые используют маскировку XOR на основе SSE. Это вредоносное ПО восстанавливает обфускированные строковые буферы непосредственно в памяти, применяя 128-битные операции XOR для Деобфускация своих строк непосредственно перед их использованием. Кроме того, многие процедуры обфускации используют 16-байтовую маску, совместно используемую для различных строк и коммуникаций C2, что указывает на уровень синхронизации при обработке данных.
Что касается передачи данных, BadAudio использует шифрование AES-256 в режиме CTR для защиты информации, собранной с хоста. Жестко закодированный 256-битный ключ AES, хранящийся в вредоносное ПО в виде констант, используется для шифрования конфиденциальных данных перед их отправкой на сервер C2. Процесс передачи использует WinInet API для создания HTTP-запросов, которые включают пользовательские заголовки для передачи зашифрованных данных.
Однако во время тестирования домен C2, связанный с BadAudio, вернул ответ NXDOMAIN, указывающий на то, что он либо больше не функционирует, либо намеренно отключен. Это указывает на потенциальную нестабильность инфраструктуры, используемой APT24.
#ParsedReport #CompletenessHigh
22-02-2026
Chronology of MuddyWater APT Attacks Targeting the Middle East
https://www.genians.co.kr/blog/threat_intelligence/muddywater-apt
Report completeness: High
Actors/Campaigns:
Muddywater (motivation: financially_motivated, information_theft)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Syncro_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool
Victims:
Telecommunications, Universities, Insurance, Public pension fund, It services providers, Diplomatic organizations, Government agencies
Industry:
Telco, Military, Education, Energy, Government, Healthcare
Geo:
Jordan, Malaysian, Egypt, Israel, France, United kingdom, Iraq, Asia, Israeli, Oman, America, Middle east, Turkmenistan, Asian, Egyptian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1016, T1027, T1027.013, T1033, T1036, T1055, T1059.001, T1059.005, T1071.001, T1078, have more...
IOCs:
File: 17
Domain: 3
Path: 2
IP: 2
Hash: 39
Soft:
Microsoft Office, Microsoft Word, Dropbox, Microsoft OneDrive, Windows Installer, Microsoft Defender
Algorithms:
xor, exhibit, zip, md5
Functions:
Document_Open, dddd, love_me_
Win API:
InitializeSecurityContextW
Languages:
rust, powershell
22-02-2026
Chronology of MuddyWater APT Attacks Targeting the Middle East
https://www.genians.co.kr/blog/threat_intelligence/muddywater-apt
Report completeness: High
Actors/Campaigns:
Muddywater (motivation: financially_motivated, information_theft)
Threats:
Spear-phishing_technique
Dll_sideloading_technique
Syncro_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool
Victims:
Telecommunications, Universities, Insurance, Public pension fund, It services providers, Diplomatic organizations, Government agencies
Industry:
Telco, Military, Education, Energy, Government, Healthcare
Geo:
Jordan, Malaysian, Egypt, Israel, France, United kingdom, Iraq, Asia, Israeli, Oman, America, Middle east, Turkmenistan, Asian, Egyptian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016, T1027, T1027.013, T1033, T1036, T1055, T1059.001, T1059.005, T1071.001, T1078, have more...
IOCs:
File: 17
Domain: 3
Path: 2
IP: 2
Hash: 39
Soft:
Microsoft Office, Microsoft Word, Dropbox, Microsoft OneDrive, Windows Installer, Microsoft Defender
Algorithms:
xor, exhibit, zip, md5
Functions:
Document_Open, dddd, love_me_
Win API:
InitializeSecurityContextW
Languages:
rust, powershell
www.genians.co.kr
중동을 겨냥한 MuddyWater APT 공격 연대기
중동발 사이버 위협은 스피어피싱 이메일을 가장 빈번하게 활용합니다. 오피스 문서 기반 악성파일을 공격 에 활용하며, 다양한 문서 형식이 병행되고 있습니다. 이번 보고서에서는 MuddyWater APT 공격 연대기를 통해 중동 사이버 위협의 공격 전술과 기술적 진화를 살펴봅니다.
CTT Report Hub
#ParsedReport #CompletenessHigh 22-02-2026 Chronology of MuddyWater APT Attacks Targeting the Middle East https://www.genians.co.kr/blog/threat_intelligence/muddywater-apt Report completeness: High Actors/Campaigns: Muddywater (motivation: financially_motivated…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка MuddyWater специализируется на долгосрочных атаках по сбору разведывательной информации на Ближнем Востоке, используя такие методы, как эксплойты RMM и Целевой фишинг на основе макросов. Их операции включают манипулирование пользователями с целью включения макросов во вредоносных документах Word и использование скрытых методов, таких как скрипты PowerShell и вредоносное ПО на основе Rust, для действий после проникновения. Недавние атаки включали в себя нападение на иракского телекоммуникационного оператора, продемонстрировав сложный подход к извлечению конфиденциальной информации в различных секторах.
-----
APT-группировка MuddyWater нацелена на организации на Ближнем Востоке, для которых характерно долгосрочное проникновение и сбор разведывательных данных, а не сиюминутная финансовая выгода. В их атаках преимущественно используются эксплойты удаленного мониторинга и управления (RMM) и методы, основанные на макросах, для первоначального проникновения. Целевой фишинг на основе документов остается распространенной стратегией, использующей методы социальной инженерии, чтобы обманом заставить пользователей включить макросы, которые выполняют вредоносные коды, часто скрытые в кажущихся законными документах Microsoft Word.
Несмотря на улучшения в системе безопасности Microsoft Office, такие как блокировка выполнения макросов по умолчанию, тактика группы заключается в манипулировании доверием пользователей с помощью тщательно подготовленных электронных писем, в которых пользователям предлагается включить макросы самостоятельно. Это особенно эффективно в средах, работающих под управлением старых версий программного обеспечения, где по-прежнему активен автозапуск макросов. В ходе недавних инцидентов они применили дополнительные методы, такие как вредоносные HTML-файлы, которые перенаправляются в облачные сервисы хранения данных, такие как Dropbox или OneDrive, для доставки полезной нагрузки.
На этапе после проникновения MuddyWater использует целый ряд тактических приемов, чтобы сохранить доступ и избежать обнаружения. Они используют скрипты PowerShell для выполнения команд и DLL Sideloading, а также сложные инструменты удаленного администрирования для скрытого управления системами компрометация. Примечательно, что они добились успехов, внедрив вредоносное ПО на основе Rust в свою деятельность, повысив свое техническое мастерство.
В качестве конкретного примера была отмечена атака Целевой фишинг на иракского телекоммуникационного оператора, в ходе которой злоумышленники использовали зараженные макросами документы Word, замаскированные под законные бизнес-файлы, чтобы получить доступ к внутренним системам. Аналогичные методы были применены при атаках на образовательные учреждения и различные отрасли промышленности, включая здравоохранение и финансы, с использованием скоординированных кампаний, направленных на извлечение конфиденциальной информации с течением времени.
Принцип работы MuddyWater's иллюстрирует растущую изощренность кибератак, спонсируемых государством, что требует надежной фреймворк Кибербезопасность, в котором особое внимание уделяется системам обнаружения конечных точек и реагирования (EDR). Эти системы должны обнаруживать не только традиционные индикаторы компрометация, но и аномальные модели поведения, указывающие на постоянный доступ или перемещение внутри компании в сетях. Этот переход к обнаружению, основанному на поведении, имеет решающее значение для выявления и смягчения угроз со стороны таких актор APT, как MuddyWater, на ранней стадии жизненного цикла атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка MuddyWater специализируется на долгосрочных атаках по сбору разведывательной информации на Ближнем Востоке, используя такие методы, как эксплойты RMM и Целевой фишинг на основе макросов. Их операции включают манипулирование пользователями с целью включения макросов во вредоносных документах Word и использование скрытых методов, таких как скрипты PowerShell и вредоносное ПО на основе Rust, для действий после проникновения. Недавние атаки включали в себя нападение на иракского телекоммуникационного оператора, продемонстрировав сложный подход к извлечению конфиденциальной информации в различных секторах.
-----
APT-группировка MuddyWater нацелена на организации на Ближнем Востоке, для которых характерно долгосрочное проникновение и сбор разведывательных данных, а не сиюминутная финансовая выгода. В их атаках преимущественно используются эксплойты удаленного мониторинга и управления (RMM) и методы, основанные на макросах, для первоначального проникновения. Целевой фишинг на основе документов остается распространенной стратегией, использующей методы социальной инженерии, чтобы обманом заставить пользователей включить макросы, которые выполняют вредоносные коды, часто скрытые в кажущихся законными документах Microsoft Word.
Несмотря на улучшения в системе безопасности Microsoft Office, такие как блокировка выполнения макросов по умолчанию, тактика группы заключается в манипулировании доверием пользователей с помощью тщательно подготовленных электронных писем, в которых пользователям предлагается включить макросы самостоятельно. Это особенно эффективно в средах, работающих под управлением старых версий программного обеспечения, где по-прежнему активен автозапуск макросов. В ходе недавних инцидентов они применили дополнительные методы, такие как вредоносные HTML-файлы, которые перенаправляются в облачные сервисы хранения данных, такие как Dropbox или OneDrive, для доставки полезной нагрузки.
На этапе после проникновения MuddyWater использует целый ряд тактических приемов, чтобы сохранить доступ и избежать обнаружения. Они используют скрипты PowerShell для выполнения команд и DLL Sideloading, а также сложные инструменты удаленного администрирования для скрытого управления системами компрометация. Примечательно, что они добились успехов, внедрив вредоносное ПО на основе Rust в свою деятельность, повысив свое техническое мастерство.
В качестве конкретного примера была отмечена атака Целевой фишинг на иракского телекоммуникационного оператора, в ходе которой злоумышленники использовали зараженные макросами документы Word, замаскированные под законные бизнес-файлы, чтобы получить доступ к внутренним системам. Аналогичные методы были применены при атаках на образовательные учреждения и различные отрасли промышленности, включая здравоохранение и финансы, с использованием скоординированных кампаний, направленных на извлечение конфиденциальной информации с течением времени.
Принцип работы MuddyWater's иллюстрирует растущую изощренность кибератак, спонсируемых государством, что требует надежной фреймворк Кибербезопасность, в котором особое внимание уделяется системам обнаружения конечных точек и реагирования (EDR). Эти системы должны обнаруживать не только традиционные индикаторы компрометация, но и аномальные модели поведения, указывающие на постоянный доступ или перемещение внутри компании в сетях. Этот переход к обнаружению, основанному на поведении, имеет решающее значение для выявления и смягчения угроз со стороны таких актор APT, как MuddyWater, на ранней стадии жизненного цикла атаки.