#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные свидетельствуют о целенаправленной атаке на supply chain ASP.NET разработчики используют четыре вредоносных пакета NuGet, причем NCryptYo служит основным дроппером, который создает локальный прокси-сервер для доступа через черный ход. Это вредоносное ПО использует обфускацию для имитации законных библиотек и использует JIT-компиляцию для необнаруженного выполнения полезных нагрузок, причем только один антивирусный движок отмечает это. Сопутствующие пакеты, такие как DOMOAuth2_ и IRAOAuth2.0, облегчают сбор учетных записей и поддерживают подключения к общей инфраструктуре командования и контроля, ставя под угрозу безопасность приложений и конфиденциальность данных.
-----

Недавнее исследование выявило сложную атаку, направленную на supply chain. ASP.NET разработчикам с помощью четырех вредоносных пакетов NuGet. Замаскированные под легальные библиотеки, эти пакеты облегчают кражу конфиденциальных идентификационных данных и обеспечивают бэкдор-доступ к приложениям. Основной пакет, NCryptYo, действует как дроппер этапа 1, который создает локальный прокси-сервер на localhost:7152. Его методы запутывания имитируют законные криптографические библиотеки, в то время как связанные пакеты, DOMOAuth2_ и IRAOAuth2.0, предназначены для эксфильтрации ASP.NET Идентификационные данные и внедрить постоянные бэкдор с помощью SimpleWriter_, способного записывать файлы и выполнять процессы.

NCryptYo маскируется путем typosquatting законной библиотеки NCrypto, используя нефункциональный общедоступный API, который умело скрывает свою вредоносную природу. Вредоносное ПО использует перехватчики компиляции "Точно в срок" (JIT) для расшифровки Встраиваемая полезная нагрузка во время выполнения, гарантируя, что оно может работать незамеченным с помощью типичных мер безопасности. Примечательно, что только один из 72 антивирусных движков на VirusTotal обнаружил этот дроппер, что подчеркивает проблемы, связанные с распознаванием сильно запутанного .NET вредоносное ПО.

Взаимосвязанность этих пакетов очевидна благодаря общим встроенным токенам аутентификации и согласованным средам сборки, которые демонстрируют координацию их разработки. Например, все три сопутствующих пакета включают в свои метаданные строку, идентичную байту, указывающую на общую инфраструктуру командования и контроля (C&C). Эта архитектура гарантирует, что NCryptYo обрабатывает первоначальное развертывание, в то время как другие пакеты передают конфиденциальную информацию.

DOMOAuth2_ специализируется на сбор учетных записей, отфильтровывая данные, относящиеся к учетным записям пользователей и разрешениям, на сервер C&C злоумышленник. Он вводит двунаправленный канал управления, позволяющий злоумышленникам манипулировать правилами авторизации и получать доступ на уровне администратора в приложениях-жертвах. Между тем, IRAOAuth2.0 предоставляет более ограниченный метод интеграции, но все еще представляет значительный риск из-за своих ошибочных зависимостей. SimpleWriter_, Маскировка под инструмент преобразования PDF, не требует активного подключения C& C для вредоносных действий, поскольку он записывает контролируемые данные на диск и незаметно запускает двоичные файлы.

Угрозы, исходящие от этих вредоносных пакетов, выходят за рамки локальной среды разработчиков; они компрометация развернутых ASP.NET приложения через управляемые системы авторизации, непрерывно удаляющие данные и поддерживающие доступ.

#ParsedReport #CompletenessHigh
23-02-2026

Fake Huorong security site infects users with ValleyRAT

https://www.malwarebytes.com/blog/scams/2026/02/huorong

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Winos
Typosquatting_technique
Dll_sideloading_technique
Catena
Process_injection_technique

Victims:
Huorong users, Security software users, Chinese software users

Industry:
Entertainment

Geo:
China, Chinese

TTPs:
Tactics: 8
Technics: 13

IOCs:
Domain: 8
File: 8
Path: 2
Registry: 2
IP: 1
Hash: 6

Soft:
Huorong, NSIS installer, Cloudflare R2, Windows Defender, VirtualBox, LetsVPN

Algorithms:
zip, sha256

Win API:
SetWindowsHookExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Silver Fox была идентифицирована как актор, стоящий за сложной кампанией по развертыванию Троянская программа удаленного доступа (RAT) под названием ValleyRAT, замаскированной под законное антивирусное программное обеспечение Huorong Security. Вредоносное ПО, использующее typosquatted домен и методы фишинг, доставляется с помощью троянского установщика NSIS, который использует DLL Sideloading и выполняет зашифрованный шелл-код. ValleyRAT может выполнять различные вредоносные действия, такие как Регистрация нажатий клавиш, кража учетных данных и process Injection, обходя методы обнаружения, включая отключение защитника Windows.
-----

Была раскрыта изощренная киберкампания, атрибутирован с Silver Fox APT-группировка, использующая аналог законного антивирусного программного обеспечения Huorong Security для доставки Троянская программа удаленного доступа (RAT), известная как ValleyRAT, построенная на фреймворк Winos4.0. В атаке используется домен с typosquatted, huoronga.com , очень похожий на законный сайт (huorong.cn ), использующий методы фишинг для заманивания пользователей. Сайт облегчает загрузку троянского установщика NSIS, который после запуска предоставляет злоумышленникам широкий контроль над зараженной системой.

После загрузки того, что пользователи считают законным антивирусным программным обеспечением, троянский установщик развертывает различные файлы, включая замаскированный основной загрузчик, WavesSvc64.exe , который маскируется под законный аудиосервис. С помощью DLL sideloading Windows манипулируют для загрузки вредоносных библиотек, в частности DuiLib_u.dll , которая была заменена вредоносной версией, выполняющей зашифрованный шелл-код, содержащийся в соседнем файле box.ini. Этот метод в сочетании с модульной архитектурой, которая содержит возможности вредоносное ПО в динамически загружаемых плагинах, делает ValleyRAT особенно скрытным.

Чтобы обеспечить закрепление и избежать обнаружения, вредоносное ПО использует несколько стратегий. Он предписывает защитнику Windows игнорировать его ключевые компоненты и создает запланированную задачу для повторного запуска вредоносное ПО при загрузке системы. Злоумышленники также разработали механизм обновления своих файлов полезной нагрузки, чтобы избежать обнаружения на основе сигнатур. Ключевые конфигурационные данные, включая адреса командной строки (C2), хранятся в реестре Windows, что облегчает непрерывную связь с злоумышленниками.

Связь C2 для ValleyRAT осуществляется через TCP-порт 443, используя пользовательский двоичный протокол, который имитирует трафик HTTPS, чтобы избежать проверки. Наблюдения показали, что вредоносное ПО пытается устранить конкурирующее программное обеспечение безопасности и может, в частности, отключить функции защитника Windows. После установки вредоносное ПО демонстрирует множество вредоносных возможностей, таких как Регистрация нажатий клавиш, кража учетных данных, process Injection и действия по самоочистке, чтобы свести к минимуму видимость криминалистический анализ.

Атака в значительной степени опирается на тактику социальной инженерии, направленную на то, чтобы побудить пользователей загрузить вредоносное программное обеспечение, используя их стремление к безопасности. Кроме того, появление конструктора ValleyRAT на общедоступных платформах снизило барьеры для входа, что привело к всплеску образец соответствующего вредоносное ПО. Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от группы Silver Fox, и необходимость проявлять бдительность при загрузке программного обеспечения, особенно из подозрительных источников. Поддержание обновленной информации об угрозах и надежных систем мониторинга может снизить потенциальные риски, связанные с этой и аналогичными киберугроза.

#ParsedReport #CompletenessLow
24-02-2026

Punchbowl Phishing Attack Explained: How Digital Invites Are Used to Steal Credentials

https://cofense.com/blog/punchbowl-phishing-attack-explained-how-digital-invites-are-used-to-steal-credentials

Report completeness: Low

Victims:
Users of online services

ChatGPT TTPs:
do not use without manual check
T1056.003, T1110.004, T1556.004, T1566.002, T1566.003, T1583.001, T1588.003

IOCs:
Url: 2
IP: 4

Soft:
Dropbox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была подробно описана атака на фишинг, которая использует цифровые приглашения, чтобы обманом заставить пользователей вводить свои учетные данные на мошенническом сайте, имитирующем надежные бренды, такие как Microsoft и Google. Злоумышленник регистрирует новые домены, контролируя DNS и сертификаты, чтобы избежать обнаружения, что позволяет продолжать операцию фишинг. Успешная компрометация может привести к получению доступа к учетной записи, Подстановка украденных учетных данных и более широким организационным уязвимостям, поскольку учетные записи, подвергшиеся компрометация, могут также участвовать в дополнительных кибератаках.
-----

Центр защиты от фишинг-атак Cofense подробно описал атаку на фишинг, которая использует, казалось бы, безобидные цифровые приглашения для сбора учетные данные пользователей. Эта атака создает у получателей ложное чувство безопасности, побуждая их войти в систему под предлогом получения доступа к деталям события. При попытке входа в систему пользователи перенаправляются на фишинг-сайт, на котором представлены знакомые варианты входа от таких известных брендов, как Microsoft, Yahoo, AOL, Google и Dropbox, создавая обманчивый интерфейс, предназначенный для извлечения нескольких наборов учетные данные.

Стратегия фишинг включает в себя использование тактики регистрации доменов, которая позволяет злоумышленник создавать новые домены с полным контролем над записями DNS, сертификатами и хостингом, тем самым избегая обнаружения традиционными средствами безопасности, которые полагаются на черные списки и оценки репутации. Эти новые недорогие домены позволяют злоумышленникам гибко избегать проверки и поддерживать свою деятельность без снижения отдачи от сайтов, подвергшихся компрометация.

С точки зрения потенциального воздействие, успешный фишинг может привести к прямому доступу к учетной записи, Подстановка украденных учетных данных, кража личных данных и компрометация деловой электронной почты. Злоумышленники могут использовать повторно используемые пароли для повышения привилегий или доступа к конфиденциальной корпоративной электронной почте, что приводит к более широким уязвимостям организации. Учетные записи, подвергшиеся компрометация, могут стать частью ботнет, используемых для проведения дополнительных атак, что еще больше усилит угрозу.

Для борьбы с подобными атаками получателям рекомендуется проверять подлинность приглашений и обращаться к организаторам через подтвержденные контактные данные, когда они сталкиваются с незнакомыми событиями. Признаками фишинг могут быть любые перенаправления на экраны входа в систему после попытки ответить на запрос, что требует тщательного изучения адресной строки и внешнего вида страницы на предмет аномалий. Если учетные данные были введены на вредоносном сайте, следует принять срочные меры, включая сброс пароля и постоянный мониторинг подозрительной активности учетной записи. Также настоятельно рекомендуется включить двухфакторную или Многофакторная аутентификация в качестве превентивной меры для снижения риска компрометация учетной записи.

Эволюционирующий характер тактики фишинг-атак подчеркивает важность экспертного анализа для выявления и нейтрализации этих угроз до их эскалации. Постоянная адаптация стратегий фишинг-атак требует от потенциальных жертв бдительности и упреждающих защитных мер.

#ParsedReport #CompletenessMedium
24-02-2026

SURXRAT: Android RAT Downloads Large LLM Module from Hugging Face to Impact Device Performance

https://cyble.com/blog/surxrat-downloads-large-llm-module-from-hugging-face/

Report completeness: Medium

Threats:
Surxrat
Arsink
Credential_harvesting_technique

Victims:
Android users

Industry:
Entertainment

Geo:
Indonesian

TTPs:
Tactics: 17
Technics: 23

IOCs:
Url: 1
Hash: 233

Soft:
Android, Hugging Face, Telegram, Gmail

Algorithms:
base64

Functions:
Collects, Dail

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/blob/main/SURXRAT/Hashes.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SURXRAT - это сложная Троянская программа для удаленного доступа к Android (RAT), доступная через платформу "вредоносное ПО как услуга" на базе Телеграм, демонстрирующая профессиональный подход к разработке вредоносное ПО. Он использует управление системой Firebase для постоянного доступа и обеспечивает широкие функциональные возможности, такие как эксфильтрация данных и наблюдение. Примечательно, что он имеет языковую модель объемом 23 ГБ для тактики уклонения и включает в себя возможности программ-вымогателей для вымогательства у жертв, используя различные методы MITRE ATT & CK для повышения своей скрытности и операционной эффективности.
-----

SURXRAT - это сложная Троянская программа для удаленного доступа к Android (RAT), доступная через платформу "вредоносное ПО как услуга" на базе Телеграм, предназначенная для киберпреступников, ищущих настраиваемые решения для вредоносное ПО. Он классифицируется как продукт в стиле подписки, что указывает на тенденцию к профессионализации в разработке и распространении вредоносное ПО. Вредоносная инфраструктура использует управление на основе Firebase, что позволяет SURXRAT поддерживать постоянный доступ и выполнять команды на устройствах компрометация.

Функционально SURXRAT демонстрирует обширные возможности, включая наблюдение, эксфильтрация данных и выполнение команд в режиме реального времени. Он собирает конфиденциальные пользовательские данные, такие как SMS-сообщения, журналы вызовов, контакты и информацию о местоположении, что делает возможной кражу учетных данных и финансовое мошенничество. Вредоносное ПО также использует специальные разрешения для усиления своего контроля над зараженными устройствами. Кроме того, считается, что это эволюция семейства ArsinkRAT, поскольку были выявлены схожие структуры кода и функциональные возможности, что предполагает кумулятивный процесс разработки, использующий ранее существовавшие фреймворк.

Особенно тонким аспектом SURXRAT является его условная загрузка модуля language model (LLM) объемом 23 ГБ из внешних источников, таких как Hugging Face. Эта функция может быть предназначена для управления производительностью устройства во время работы определенных игровых приложений или для включения продвинутых методов уклонения. Компонент LLM может служить множеству целей, включая облегчение функций, управляемых искусственным интеллектом, затруднение обнаружения или использование тактик социальной инженерии.

Что касается монетизации, SURXRAT включает в себя блокировку экрана в стиле программы-вымогателя, позволяющую злоумышленникам захватить контроль над устройством жертвы и потенциально потребовать выплаты выкупа. Этот двойной акцент на слежке и вымогательстве предоставляет злоумышленникам различные возможности получения дохода, усиливая угрозу, исходящую от SURXRAT. Гибридный характер SURXRAT подчеркивает тревожную тенденцию, когда мобильные угрозы становятся все более модульными и адаптируемыми, усиливая необходимость в усиленных мерах обнаружения и безопасности в области вредоносное ПО для Android.

В целях наблюдения и оперативной деятельности SURXRAT использует целый ряд методов MITRE ATT&CK. RAT умело избегает распространенных механизмов обнаружения - от установления закрепление с помощью широковещательных приемников до использования служб переднего плана для своих операций. Он может отправлять SMS-сообщения, совершать звонки, осуществлять эксфильтрацию данных по Зашифрованный канал и выполнять сложные действия по сбору данных, которые в совокупности представляют собой всеобъемлющий ландшафт угроз, стирающий границы между традиционными функциями вредоносное ПО и современными операциями киберпреступников. Такая эволюция требует срочного реагирования с точки зрения видимости мобильных угроз и информирования пользователей о потенциальных рисках.

#ParsedReport #CompletenessMedium
24-02-2026

Moonrise RAT: A New Low-Detection Threat with High-Cost Consequences

https://any.run/cybersecurity-blog/moonrise-rat-detected/

Report completeness: Medium

Threats:
Moonrise_rat
Credential_harvesting_technique
Uac_bypass_technique

Victims:
Enterprises, Organizations

Industry:
Healthcare, Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1056, T1057, T1059, T1071, T1082, T1105, T1113, have more...

IOCs:
File: 2
IP: 1
Hash: 6

Soft:
Linux, Android, steam

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise RAT - это Троянская программа для удаленного доступа на базе Go, характеризующаяся низкой частотой обнаружения и значительными вредоносными возможностями. Он быстро устанавливает связь с серверами командования и контроля после выполнения и облегчает такие действия, как кража учетных данных, удаленное выполнение команд, постоянный доступ и мониторинг пользователей, включая доступ к веб-камере и микрофону. Скрытность вредоносное ПО и его универсальные функциональные возможности создают серьезные угрозы, особенно в финансовом и административном секторах, что приводит к сбоям в работе и потенциальной потере данных.
-----

Moonrise RAT - это недавно обнаруженная Троянская программа для удаленного доступа, разработанная с использованием Go, отличающаяся низкой частотой обнаружения и высоким потенциалом повреждения. Он был обнаружен в изолированной среде, но не был распознан VirusTotal и не был связан с какими-либо ранее существовавшими сигнатурами поставщиков, демонстрируя его скрытые возможности. После запуска Moonrise почти сразу инициирует связь со своими серверами командования и контроля (C2), обходя меры раннего обнаружения, которые обычно основаны на статическом анализе.

Этот RAT облегчает целый ряд вредоносных действий, включая кражу учетных данных, удаленное выполнение команд, постоянный доступ и мониторинг пользователей, которые в совокупности позволяют злоумышленнику полностью контролировать зараженную конечную точку. Его возможности распространяются на загрузку и выполнение файлов, которые могут привести к появлению дополнительных вредоносных программ, таких как стиллер данных или Ransomware. Вредоносное ПО может фиксировать активность на экране, получать доступ к веб-камерам и использовать микрофоны для мониторинга конфиденциальных внутренних операций, особенно в финансовых и административных настройках. Как следствие, заражение может привести к значительным сбоям в работе, потере данных и финансовым последствиям.

Операционный фреймворк Moonrise включает в себя ряд шагов, которые определяют вектор его атаки. Во-первых, он устанавливает постоянную связь C2 для поддержания контроля. Он регистрирует сеансы сразу после выполнения, позволяя злоумышленнику немедленно выполнять команды. Кроме того, он обладает функциями, обеспечивающими видимость среды хоста, получение учетных данных и обширный мониторинг взаимодействий пользователей, включая возможность проверки активного Аппаратное обеспечение камеры для целей наблюдения. RAT также обеспечивает повышение привилегий и модификацию конфигурации системы, облегчая оператору долговременную настройку работы.

Раннее обнаружение имеет решающее значение в борьбе с такими угрозами, как восход Луны, требуя от служб безопасности быстрого перехода от первоначальных, неоднозначных сигналов к действенным стратегиям сдерживания. Трехэтапный подход, в котором особое внимание уделяется мониторингу, быстрой сортировке и эффективному выявлению угроз, может значительно увеличить время реагирования и снизить риски, связанные с такими скрытными RAT. Это включает в себя распознавание нерегулярного трафика или новой инфраструктуры, связанной с потенциальными заражениями, быстрое обогащение данных об инцидентах и отслеживание подтвержденных инцидентов для предотвращения повторений.

В конечном счете, ключевой вывод, касающийся Moonrise RAT, заключается в том, что наибольший риск связан не только с самим вредоносным программным обеспечением, но и с тем временем, когда оно может оставаться незамеченным, позволяя злоумышленникам беспрепятственно выполнять вредоносные действия. Разработка эффективных и гибких протоколов мониторинга и реагирования необходима для снижения потенциальной подверженности и воздействие аналогичных угроз в будущем.

#ParsedReport #CompletenessHigh
24-02-2026

STATICPLUGIN

https://sect.iij.ad.jp/blog/2026/02/plugx-executed-via-staticplugin/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Earth_baxia

Threats:
Staticplugin
Plugx_rat
Valleyrat
Dll_sideloading_technique

Victims:
Government agencies, Diplomats

Industry:
Government

Geo:
Chinese, Asian, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1140, T1204.002, T1553.002, T1574.002, T1620

IOCs:
File: 8
IP: 3
Domain: 2
Url: 1
Hash: 8
Registry: 1
Path: 3

Soft:
Twitter

Algorithms:
xor, sha256, rc4

Win API:
NtCreateFile, NtReadFile, RtlRegisterWait, wsprintfA

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года был идентифицирован новый вариант вредоносное ПО PlugX, связанный с APT-группировка UNC6384, нацеленный на правительственные учреждения Юго-Восточной Азии. Вредоносное ПО запускается с помощью законно выглядящего исполняемого файла, Browser_Updater.exe , который загружает вредоносный MSI-файл. Он использует DLL sideloading для вредоносного загрузчика и шифрует данные конфигурации с помощью RC4, демонстрируя достижения в методах обхода, включая использование отозванного сертификата и скрытых доменов C2.
-----

Вредоносное ПО в январе 2026 года был идентифицирован новый вариант PlugX, связанный с APT-группировка UNC6384, которая, как полагают, занимается кибершпионажем, нацеленным в первую очередь на правительственные организации и должностных лиц в Юго-Восточной Азии. Механизм выполнения этого варианта PlugX включает вредоносный исполняемый файл с именем Browser_Updater.exe это маскируется под законное программное обеспечение, обновляющее веб-браузер. При запуске, независимо от взаимодействия с пользователем, он загружает и запускает вредоносный MSI-файл с сервера злоумышленника, что указывает на эволюцию вредоносное ПО STATICPLUGIN, ранее атрибутирован с UNC6384.

Примечательно, что вредоносное ПО подписано с использованием отозванного сертификата китайской компании Shanxi Shengyuan, тот же сертификат, как сообщается, использовался для других вредоносных действий, связанных с вредоносное ПО, таким как ValleyRAT. Инфраструктура, на которой размещаются эти атаки, включает сервер управление (C2), идентифицированный по IP-адресу 45.251.243.210, который ранее использовался для распространения PlugX.

После запуска вариант PlugX устанавливается в системе жертвы путем удаления файлов с законными именами — в частности, с использованием исполняемого файла антивирусного продукта G DATA CyberDefense AG, Avk.exe , чтобы замаскировать вредоносный загрузчик, Avk.dll . Этот метод использует DLL sideloading для загрузки и выполнения полезной нагрузки PlugX, содержащейся в DLL, которая декодируется и выполняется в памяти с помощью механизма шеллкода, использующего кодировку XOR.

При инициализации этот вариант PlugX расшифровывает важные данные конфигурации, такие как адрес сервера C2, найденные в разделе .data, используя шифрование RC4, с ключом, полученным из определенной позиции в строке конфигурации. В отличие от более ранних версий, наблюдавшихся до декабря 2025 года, где при расшифровке обнаруживались данные в виде открытого текста, информация о конфигурации этого нового варианта зашифрована и требует более сложного процесса декодирования.

Кроме того, последующий анализ показал, что инфраструктура C2 может включать в себя несколько доменов, один из которых обнаружен как fruitbrat.com , который скрыт Cloudflare, что делает фактический IP менее идентифицируемым. Однако исторические данные указывают на то, что сервер C2 другого варианта PlugX указывал на IP-адрес 108.165.255.97:443, который показал поведение, аналогичное поведению домена fruitbrat.

Непрерывная эволюция и усовершенствование вредоносное ПО PlugX указывают на то, что APT-группировка, такая как UNC6384, активно расширяет свои возможности по уклонению от обнаружения, что свидетельствует о постоянной угрозе, требующей постоянной бдительности и анализа со стороны специалистов по Кибербезопасность.

#ParsedReport #CompletenessLow
24-02-2026

1Campaign: A New Cloaking Platform Helping Attackers Abuse Google Ads

https://www.varonis.com/blog/1campaign

Report completeness: Low

Threats:
1campaign_tool
Cloaking_technique
Bec_technique
Smishing_technique
Spiderman_tool
Fishxproxy_tool

Victims:
Phishing victims, Crypto users, Advertising platforms, Financial services

Industry:
Financial, Telco

Geo:
Hungary, Canada, Albania, China, Germany, Japan, Netherlands, France

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1204.001, T1562.006, T1566.002, T1583.001, T1583.003, T1590.005, T1591.002, T1592.004, have more...

Soft:
Telegram, Twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
1Campaign - это платформа Cloaking, предназначенная для того, чтобы киберпреступники могли уклоняться от показа рекламы Google, позволяя фишинг-страницам и страницам с крипто-утечкой дольше оставаться активными. Он использует методы cloaking, чтобы показывать исследователям безопасности доброкачественный контент, направляя жертв на вредоносные сайты, включая фильтрацию посетителей в режиме реального времени, оценку мошенничества и нацелен на географическую оптимизацию. Платформа также облегчает проведение как вредоносных, так и доброкачественных рекламных кампаний, усложняя обнаружение и подчеркивая растущую сложность и доступность инструментов, которые позволяют проводить крупномасштабные операции по мошенничеству с рекламой и фишинг-атакам.
-----

1Campaign - это сложная платформа Cloaking, позволяющая киберпреступникам обходить процессы проверки рекламы Google.

Он использует методы Cloaking, показывая исследователям и автоматическим сканерам доброкачественный контент и направляя жертв на вредоносные сайты.

Платформа оснащена информационной панелью с фильтрацией посетителей в режиме реального времени, оценкой мошенничества и географическим таргетингом.

Посетителям присваиваются баллы за мошенничество на основе их профиля, блокирующие сообщения из известных источников, таких как технологические компании и поставщики систем безопасности.

Например, успешность кампании "Blockbyblockchain" составила 0,6%, что свидетельствует об эффективной фильтрации.

1Campaign позволяет настраивать таргетинг на определенные географические местоположения и типы устройств для оптимизации попыток фишинг.

Он может запускать как вредоносные, так и безобидные рекламные кампании Google, позволяя злоумышленникам выдавать себя за законные компании.

Этот инструмент является частью тенденции, делающей сложные инструменты фишинг более доступными для киберпреступников, не требуя от них продвинутых технических навыков.

1Campaign связан с Вредоносная реклама, перенаправляющая трафик на сайты, размещающие фишинг и вредоносное ПО, через законное рекламное пространство.

Платформа усложняет традиционные методы обнаружения фишинг-атак, избегая воздействия мер безопасности на вредоносный контент.

1Campaign иллюстрирует опасную конвергенцию мошенничества с рекламой и фишинг, создающую серьезные проблемы для защитников безопасности.

#ParsedReport #CompletenessMedium
24-02-2026

North Korean Lazarus Group Now Working With Medusa Ransomware

https://www.security.com/threat-intelligence/lazarus-medusa-ransomware

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Spearwing
Andariel (motivation: cyber_espionage)
Play_ransomware

Threats:
Medusa_ransomware
Playcrypt
Comebacker
Blindingcan
Mimikatz_tool
Credential_dumping_technique
Dll_sideloading_technique

Victims:
Healthcare, Non profit, Education, Defense, Technology, Government, Private companies

Industry:
Financial, Military, Government, Healthcare

Geo:
Middle east, North korean, Taiwan, North korea, Korea

ChatGPT TTPs:
do not use without manual check
T1003.001, T1055, T1090, T1486, T1651

IOCs:
Hash: 48
IP: 4
Domain: 8

Soft:
Chrome, Curl

Links:
https://github.com/gentilkiwi/mimikatz
have more...
https://github.com/BernKing/ChromeStealer