#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Silver Fox была идентифицирована как актор, стоящий за сложной кампанией по развертыванию Троянская программа удаленного доступа (RAT) под названием ValleyRAT, замаскированной под законное антивирусное программное обеспечение Huorong Security. Вредоносное ПО, использующее typosquatted домен и методы фишинг, доставляется с помощью троянского установщика NSIS, который использует DLL Sideloading и выполняет зашифрованный шелл-код. ValleyRAT может выполнять различные вредоносные действия, такие как Регистрация нажатий клавиш, кража учетных данных и process Injection, обходя методы обнаружения, включая отключение защитника Windows.
-----

Была раскрыта изощренная киберкампания, атрибутирован с Silver Fox APT-группировка, использующая аналог законного антивирусного программного обеспечения Huorong Security для доставки Троянская программа удаленного доступа (RAT), известная как ValleyRAT, построенная на фреймворк Winos4.0. В атаке используется домен с typosquatted, huoronga.com , очень похожий на законный сайт (huorong.cn ), использующий методы фишинг для заманивания пользователей. Сайт облегчает загрузку троянского установщика NSIS, который после запуска предоставляет злоумышленникам широкий контроль над зараженной системой.

После загрузки того, что пользователи считают законным антивирусным программным обеспечением, троянский установщик развертывает различные файлы, включая замаскированный основной загрузчик, WavesSvc64.exe , который маскируется под законный аудиосервис. С помощью DLL sideloading Windows манипулируют для загрузки вредоносных библиотек, в частности DuiLib_u.dll , которая была заменена вредоносной версией, выполняющей зашифрованный шелл-код, содержащийся в соседнем файле box.ini. Этот метод в сочетании с модульной архитектурой, которая содержит возможности вредоносное ПО в динамически загружаемых плагинах, делает ValleyRAT особенно скрытным.

Чтобы обеспечить закрепление и избежать обнаружения, вредоносное ПО использует несколько стратегий. Он предписывает защитнику Windows игнорировать его ключевые компоненты и создает запланированную задачу для повторного запуска вредоносное ПО при загрузке системы. Злоумышленники также разработали механизм обновления своих файлов полезной нагрузки, чтобы избежать обнаружения на основе сигнатур. Ключевые конфигурационные данные, включая адреса командной строки (C2), хранятся в реестре Windows, что облегчает непрерывную связь с злоумышленниками.

Связь C2 для ValleyRAT осуществляется через TCP-порт 443, используя пользовательский двоичный протокол, который имитирует трафик HTTPS, чтобы избежать проверки. Наблюдения показали, что вредоносное ПО пытается устранить конкурирующее программное обеспечение безопасности и может, в частности, отключить функции защитника Windows. После установки вредоносное ПО демонстрирует множество вредоносных возможностей, таких как Регистрация нажатий клавиш, кража учетных данных, process Injection и действия по самоочистке, чтобы свести к минимуму видимость криминалистический анализ.

Атака в значительной степени опирается на тактику социальной инженерии, направленную на то, чтобы побудить пользователей загрузить вредоносное программное обеспечение, используя их стремление к безопасности. Кроме того, появление конструктора ValleyRAT на общедоступных платформах снизило барьеры для входа, что привело к всплеску образец соответствующего вредоносное ПО. Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от группы Silver Fox, и необходимость проявлять бдительность при загрузке программного обеспечения, особенно из подозрительных источников. Поддержание обновленной информации об угрозах и надежных систем мониторинга может снизить потенциальные риски, связанные с этой и аналогичными киберугроза.

#ParsedReport #CompletenessLow
24-02-2026

Punchbowl Phishing Attack Explained: How Digital Invites Are Used to Steal Credentials

https://cofense.com/blog/punchbowl-phishing-attack-explained-how-digital-invites-are-used-to-steal-credentials

Report completeness: Low

Victims:
Users of online services

ChatGPT TTPs:
do not use without manual check
T1056.003, T1110.004, T1556.004, T1566.002, T1566.003, T1583.001, T1588.003

IOCs:
Url: 2
IP: 4

Soft:
Dropbox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была подробно описана атака на фишинг, которая использует цифровые приглашения, чтобы обманом заставить пользователей вводить свои учетные данные на мошенническом сайте, имитирующем надежные бренды, такие как Microsoft и Google. Злоумышленник регистрирует новые домены, контролируя DNS и сертификаты, чтобы избежать обнаружения, что позволяет продолжать операцию фишинг. Успешная компрометация может привести к получению доступа к учетной записи, Подстановка украденных учетных данных и более широким организационным уязвимостям, поскольку учетные записи, подвергшиеся компрометация, могут также участвовать в дополнительных кибератаках.
-----

Центр защиты от фишинг-атак Cofense подробно описал атаку на фишинг, которая использует, казалось бы, безобидные цифровые приглашения для сбора учетные данные пользователей. Эта атака создает у получателей ложное чувство безопасности, побуждая их войти в систему под предлогом получения доступа к деталям события. При попытке входа в систему пользователи перенаправляются на фишинг-сайт, на котором представлены знакомые варианты входа от таких известных брендов, как Microsoft, Yahoo, AOL, Google и Dropbox, создавая обманчивый интерфейс, предназначенный для извлечения нескольких наборов учетные данные.

Стратегия фишинг включает в себя использование тактики регистрации доменов, которая позволяет злоумышленник создавать новые домены с полным контролем над записями DNS, сертификатами и хостингом, тем самым избегая обнаружения традиционными средствами безопасности, которые полагаются на черные списки и оценки репутации. Эти новые недорогие домены позволяют злоумышленникам гибко избегать проверки и поддерживать свою деятельность без снижения отдачи от сайтов, подвергшихся компрометация.

С точки зрения потенциального воздействие, успешный фишинг может привести к прямому доступу к учетной записи, Подстановка украденных учетных данных, кража личных данных и компрометация деловой электронной почты. Злоумышленники могут использовать повторно используемые пароли для повышения привилегий или доступа к конфиденциальной корпоративной электронной почте, что приводит к более широким уязвимостям организации. Учетные записи, подвергшиеся компрометация, могут стать частью ботнет, используемых для проведения дополнительных атак, что еще больше усилит угрозу.

Для борьбы с подобными атаками получателям рекомендуется проверять подлинность приглашений и обращаться к организаторам через подтвержденные контактные данные, когда они сталкиваются с незнакомыми событиями. Признаками фишинг могут быть любые перенаправления на экраны входа в систему после попытки ответить на запрос, что требует тщательного изучения адресной строки и внешнего вида страницы на предмет аномалий. Если учетные данные были введены на вредоносном сайте, следует принять срочные меры, включая сброс пароля и постоянный мониторинг подозрительной активности учетной записи. Также настоятельно рекомендуется включить двухфакторную или Многофакторная аутентификация в качестве превентивной меры для снижения риска компрометация учетной записи.

Эволюционирующий характер тактики фишинг-атак подчеркивает важность экспертного анализа для выявления и нейтрализации этих угроз до их эскалации. Постоянная адаптация стратегий фишинг-атак требует от потенциальных жертв бдительности и упреждающих защитных мер.

#ParsedReport #CompletenessMedium
24-02-2026

SURXRAT: Android RAT Downloads Large LLM Module from Hugging Face to Impact Device Performance

https://cyble.com/blog/surxrat-downloads-large-llm-module-from-hugging-face/

Report completeness: Medium

Threats:
Surxrat
Arsink
Credential_harvesting_technique

Victims:
Android users

Industry:
Entertainment

Geo:
Indonesian

TTPs:
Tactics: 17
Technics: 23

IOCs:
Url: 1
Hash: 233

Soft:
Android, Hugging Face, Telegram, Gmail

Algorithms:
base64

Functions:
Collects, Dail

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/blob/main/SURXRAT/Hashes.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SURXRAT - это сложная Троянская программа для удаленного доступа к Android (RAT), доступная через платформу "вредоносное ПО как услуга" на базе Телеграм, демонстрирующая профессиональный подход к разработке вредоносное ПО. Он использует управление системой Firebase для постоянного доступа и обеспечивает широкие функциональные возможности, такие как эксфильтрация данных и наблюдение. Примечательно, что он имеет языковую модель объемом 23 ГБ для тактики уклонения и включает в себя возможности программ-вымогателей для вымогательства у жертв, используя различные методы MITRE ATT & CK для повышения своей скрытности и операционной эффективности.
-----

SURXRAT - это сложная Троянская программа для удаленного доступа к Android (RAT), доступная через платформу "вредоносное ПО как услуга" на базе Телеграм, предназначенная для киберпреступников, ищущих настраиваемые решения для вредоносное ПО. Он классифицируется как продукт в стиле подписки, что указывает на тенденцию к профессионализации в разработке и распространении вредоносное ПО. Вредоносная инфраструктура использует управление на основе Firebase, что позволяет SURXRAT поддерживать постоянный доступ и выполнять команды на устройствах компрометация.

Функционально SURXRAT демонстрирует обширные возможности, включая наблюдение, эксфильтрация данных и выполнение команд в режиме реального времени. Он собирает конфиденциальные пользовательские данные, такие как SMS-сообщения, журналы вызовов, контакты и информацию о местоположении, что делает возможной кражу учетных данных и финансовое мошенничество. Вредоносное ПО также использует специальные разрешения для усиления своего контроля над зараженными устройствами. Кроме того, считается, что это эволюция семейства ArsinkRAT, поскольку были выявлены схожие структуры кода и функциональные возможности, что предполагает кумулятивный процесс разработки, использующий ранее существовавшие фреймворк.

Особенно тонким аспектом SURXRAT является его условная загрузка модуля language model (LLM) объемом 23 ГБ из внешних источников, таких как Hugging Face. Эта функция может быть предназначена для управления производительностью устройства во время работы определенных игровых приложений или для включения продвинутых методов уклонения. Компонент LLM может служить множеству целей, включая облегчение функций, управляемых искусственным интеллектом, затруднение обнаружения или использование тактик социальной инженерии.

Что касается монетизации, SURXRAT включает в себя блокировку экрана в стиле программы-вымогателя, позволяющую злоумышленникам захватить контроль над устройством жертвы и потенциально потребовать выплаты выкупа. Этот двойной акцент на слежке и вымогательстве предоставляет злоумышленникам различные возможности получения дохода, усиливая угрозу, исходящую от SURXRAT. Гибридный характер SURXRAT подчеркивает тревожную тенденцию, когда мобильные угрозы становятся все более модульными и адаптируемыми, усиливая необходимость в усиленных мерах обнаружения и безопасности в области вредоносное ПО для Android.

В целях наблюдения и оперативной деятельности SURXRAT использует целый ряд методов MITRE ATT&CK. RAT умело избегает распространенных механизмов обнаружения - от установления закрепление с помощью широковещательных приемников до использования служб переднего плана для своих операций. Он может отправлять SMS-сообщения, совершать звонки, осуществлять эксфильтрацию данных по Зашифрованный канал и выполнять сложные действия по сбору данных, которые в совокупности представляют собой всеобъемлющий ландшафт угроз, стирающий границы между традиционными функциями вредоносное ПО и современными операциями киберпреступников. Такая эволюция требует срочного реагирования с точки зрения видимости мобильных угроз и информирования пользователей о потенциальных рисках.

#ParsedReport #CompletenessMedium
24-02-2026

Moonrise RAT: A New Low-Detection Threat with High-Cost Consequences

https://any.run/cybersecurity-blog/moonrise-rat-detected/

Report completeness: Medium

Threats:
Moonrise_rat
Credential_harvesting_technique
Uac_bypass_technique

Victims:
Enterprises, Organizations

Industry:
Healthcare, Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1056, T1057, T1059, T1071, T1082, T1105, T1113, have more...

IOCs:
File: 2
IP: 1
Hash: 6

Soft:
Linux, Android, steam

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise RAT - это Троянская программа для удаленного доступа на базе Go, характеризующаяся низкой частотой обнаружения и значительными вредоносными возможностями. Он быстро устанавливает связь с серверами командования и контроля после выполнения и облегчает такие действия, как кража учетных данных, удаленное выполнение команд, постоянный доступ и мониторинг пользователей, включая доступ к веб-камере и микрофону. Скрытность вредоносное ПО и его универсальные функциональные возможности создают серьезные угрозы, особенно в финансовом и административном секторах, что приводит к сбоям в работе и потенциальной потере данных.
-----

Moonrise RAT - это недавно обнаруженная Троянская программа для удаленного доступа, разработанная с использованием Go, отличающаяся низкой частотой обнаружения и высоким потенциалом повреждения. Он был обнаружен в изолированной среде, но не был распознан VirusTotal и не был связан с какими-либо ранее существовавшими сигнатурами поставщиков, демонстрируя его скрытые возможности. После запуска Moonrise почти сразу инициирует связь со своими серверами командования и контроля (C2), обходя меры раннего обнаружения, которые обычно основаны на статическом анализе.

Этот RAT облегчает целый ряд вредоносных действий, включая кражу учетных данных, удаленное выполнение команд, постоянный доступ и мониторинг пользователей, которые в совокупности позволяют злоумышленнику полностью контролировать зараженную конечную точку. Его возможности распространяются на загрузку и выполнение файлов, которые могут привести к появлению дополнительных вредоносных программ, таких как стиллер данных или Ransomware. Вредоносное ПО может фиксировать активность на экране, получать доступ к веб-камерам и использовать микрофоны для мониторинга конфиденциальных внутренних операций, особенно в финансовых и административных настройках. Как следствие, заражение может привести к значительным сбоям в работе, потере данных и финансовым последствиям.

Операционный фреймворк Moonrise включает в себя ряд шагов, которые определяют вектор его атаки. Во-первых, он устанавливает постоянную связь C2 для поддержания контроля. Он регистрирует сеансы сразу после выполнения, позволяя злоумышленнику немедленно выполнять команды. Кроме того, он обладает функциями, обеспечивающими видимость среды хоста, получение учетных данных и обширный мониторинг взаимодействий пользователей, включая возможность проверки активного Аппаратное обеспечение камеры для целей наблюдения. RAT также обеспечивает повышение привилегий и модификацию конфигурации системы, облегчая оператору долговременную настройку работы.

Раннее обнаружение имеет решающее значение в борьбе с такими угрозами, как восход Луны, требуя от служб безопасности быстрого перехода от первоначальных, неоднозначных сигналов к действенным стратегиям сдерживания. Трехэтапный подход, в котором особое внимание уделяется мониторингу, быстрой сортировке и эффективному выявлению угроз, может значительно увеличить время реагирования и снизить риски, связанные с такими скрытными RAT. Это включает в себя распознавание нерегулярного трафика или новой инфраструктуры, связанной с потенциальными заражениями, быстрое обогащение данных об инцидентах и отслеживание подтвержденных инцидентов для предотвращения повторений.

В конечном счете, ключевой вывод, касающийся Moonrise RAT, заключается в том, что наибольший риск связан не только с самим вредоносным программным обеспечением, но и с тем временем, когда оно может оставаться незамеченным, позволяя злоумышленникам беспрепятственно выполнять вредоносные действия. Разработка эффективных и гибких протоколов мониторинга и реагирования необходима для снижения потенциальной подверженности и воздействие аналогичных угроз в будущем.

#ParsedReport #CompletenessHigh
24-02-2026

STATICPLUGIN

https://sect.iij.ad.jp/blog/2026/02/plugx-executed-via-staticplugin/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Earth_baxia

Threats:
Staticplugin
Plugx_rat
Valleyrat
Dll_sideloading_technique

Victims:
Government agencies, Diplomats

Industry:
Government

Geo:
Chinese, Asian, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1140, T1204.002, T1553.002, T1574.002, T1620

IOCs:
File: 8
IP: 3
Domain: 2
Url: 1
Hash: 8
Registry: 1
Path: 3

Soft:
Twitter

Algorithms:
xor, sha256, rc4

Win API:
NtCreateFile, NtReadFile, RtlRegisterWait, wsprintfA

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года был идентифицирован новый вариант вредоносное ПО PlugX, связанный с APT-группировка UNC6384, нацеленный на правительственные учреждения Юго-Восточной Азии. Вредоносное ПО запускается с помощью законно выглядящего исполняемого файла, Browser_Updater.exe , который загружает вредоносный MSI-файл. Он использует DLL sideloading для вредоносного загрузчика и шифрует данные конфигурации с помощью RC4, демонстрируя достижения в методах обхода, включая использование отозванного сертификата и скрытых доменов C2.
-----

Вредоносное ПО в январе 2026 года был идентифицирован новый вариант PlugX, связанный с APT-группировка UNC6384, которая, как полагают, занимается кибершпионажем, нацеленным в первую очередь на правительственные организации и должностных лиц в Юго-Восточной Азии. Механизм выполнения этого варианта PlugX включает вредоносный исполняемый файл с именем Browser_Updater.exe это маскируется под законное программное обеспечение, обновляющее веб-браузер. При запуске, независимо от взаимодействия с пользователем, он загружает и запускает вредоносный MSI-файл с сервера злоумышленника, что указывает на эволюцию вредоносное ПО STATICPLUGIN, ранее атрибутирован с UNC6384.

Примечательно, что вредоносное ПО подписано с использованием отозванного сертификата китайской компании Shanxi Shengyuan, тот же сертификат, как сообщается, использовался для других вредоносных действий, связанных с вредоносное ПО, таким как ValleyRAT. Инфраструктура, на которой размещаются эти атаки, включает сервер управление (C2), идентифицированный по IP-адресу 45.251.243.210, который ранее использовался для распространения PlugX.

После запуска вариант PlugX устанавливается в системе жертвы путем удаления файлов с законными именами — в частности, с использованием исполняемого файла антивирусного продукта G DATA CyberDefense AG, Avk.exe , чтобы замаскировать вредоносный загрузчик, Avk.dll . Этот метод использует DLL sideloading для загрузки и выполнения полезной нагрузки PlugX, содержащейся в DLL, которая декодируется и выполняется в памяти с помощью механизма шеллкода, использующего кодировку XOR.

При инициализации этот вариант PlugX расшифровывает важные данные конфигурации, такие как адрес сервера C2, найденные в разделе .data, используя шифрование RC4, с ключом, полученным из определенной позиции в строке конфигурации. В отличие от более ранних версий, наблюдавшихся до декабря 2025 года, где при расшифровке обнаруживались данные в виде открытого текста, информация о конфигурации этого нового варианта зашифрована и требует более сложного процесса декодирования.

Кроме того, последующий анализ показал, что инфраструктура C2 может включать в себя несколько доменов, один из которых обнаружен как fruitbrat.com , который скрыт Cloudflare, что делает фактический IP менее идентифицируемым. Однако исторические данные указывают на то, что сервер C2 другого варианта PlugX указывал на IP-адрес 108.165.255.97:443, который показал поведение, аналогичное поведению домена fruitbrat.

Непрерывная эволюция и усовершенствование вредоносное ПО PlugX указывают на то, что APT-группировка, такая как UNC6384, активно расширяет свои возможности по уклонению от обнаружения, что свидетельствует о постоянной угрозе, требующей постоянной бдительности и анализа со стороны специалистов по Кибербезопасность.

#ParsedReport #CompletenessLow
24-02-2026

1Campaign: A New Cloaking Platform Helping Attackers Abuse Google Ads

https://www.varonis.com/blog/1campaign

Report completeness: Low

Threats:
1campaign_tool
Cloaking_technique
Bec_technique
Smishing_technique
Spiderman_tool
Fishxproxy_tool

Victims:
Phishing victims, Crypto users, Advertising platforms, Financial services

Industry:
Financial, Telco

Geo:
Hungary, Canada, Albania, China, Germany, Japan, Netherlands, France

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1204.001, T1562.006, T1566.002, T1583.001, T1583.003, T1590.005, T1591.002, T1592.004, have more...

Soft:
Telegram, Twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
1Campaign - это платформа Cloaking, предназначенная для того, чтобы киберпреступники могли уклоняться от показа рекламы Google, позволяя фишинг-страницам и страницам с крипто-утечкой дольше оставаться активными. Он использует методы cloaking, чтобы показывать исследователям безопасности доброкачественный контент, направляя жертв на вредоносные сайты, включая фильтрацию посетителей в режиме реального времени, оценку мошенничества и нацелен на географическую оптимизацию. Платформа также облегчает проведение как вредоносных, так и доброкачественных рекламных кампаний, усложняя обнаружение и подчеркивая растущую сложность и доступность инструментов, которые позволяют проводить крупномасштабные операции по мошенничеству с рекламой и фишинг-атакам.
-----

1Campaign - это сложная платформа Cloaking, позволяющая киберпреступникам обходить процессы проверки рекламы Google.

Он использует методы Cloaking, показывая исследователям и автоматическим сканерам доброкачественный контент и направляя жертв на вредоносные сайты.

Платформа оснащена информационной панелью с фильтрацией посетителей в режиме реального времени, оценкой мошенничества и географическим таргетингом.

Посетителям присваиваются баллы за мошенничество на основе их профиля, блокирующие сообщения из известных источников, таких как технологические компании и поставщики систем безопасности.

Например, успешность кампании "Blockbyblockchain" составила 0,6%, что свидетельствует об эффективной фильтрации.

1Campaign позволяет настраивать таргетинг на определенные географические местоположения и типы устройств для оптимизации попыток фишинг.

Он может запускать как вредоносные, так и безобидные рекламные кампании Google, позволяя злоумышленникам выдавать себя за законные компании.

Этот инструмент является частью тенденции, делающей сложные инструменты фишинг более доступными для киберпреступников, не требуя от них продвинутых технических навыков.

1Campaign связан с Вредоносная реклама, перенаправляющая трафик на сайты, размещающие фишинг и вредоносное ПО, через законное рекламное пространство.

Платформа усложняет традиционные методы обнаружения фишинг-атак, избегая воздействия мер безопасности на вредоносный контент.

1Campaign иллюстрирует опасную конвергенцию мошенничества с рекламой и фишинг, создающую серьезные проблемы для защитников безопасности.

#ParsedReport #CompletenessMedium
24-02-2026

North Korean Lazarus Group Now Working With Medusa Ransomware

https://www.security.com/threat-intelligence/lazarus-medusa-ransomware

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Spearwing
Andariel (motivation: cyber_espionage)
Play_ransomware

Threats:
Medusa_ransomware
Playcrypt
Comebacker
Blindingcan
Mimikatz_tool
Credential_dumping_technique
Dll_sideloading_technique

Victims:
Healthcare, Non profit, Education, Defense, Technology, Government, Private companies

Industry:
Financial, Military, Government, Healthcare

Geo:
Middle east, North korean, Taiwan, North korea, Korea

ChatGPT TTPs:
do not use without manual check
T1003.001, T1055, T1090, T1486, T1651

IOCs:
Hash: 48
IP: 4
Domain: 8

Soft:
Chrome, Curl

Links:
https://github.com/gentilkiwi/mimikatz
have more...
https://github.com/BernKing/ChromeStealer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемые государством северокорейские актор, связанные с группой Lazarus, в частности подгруппа Stonefly, начали использовать Medusa ransomware для атак на сектор здравоохранения США, используя модель "программа-вымогатель как услуга" с момента ее запуска в 2023 году. Medusa была причастна к более чем 366 задокументированным атакам, целями которых были медицинские учреждения и некоммерческие организации, а средние требования о выкупе составляли около 260 000 долларов. Группа использует ряд сложных инструментов, таких как Comebacker, Blindingcan и Mimikatz, что отражает приверженность киберпреступность и финансовую эксплуатацию в сфере здравоохранения.
-----

Спонсируемые государством северокорейские злоумышленник, в первую очередь связанные с группой Lazarus, недавно начали использовать Medusa ransomware в своих продолжающихся операциях по вымогательству против сектора здравоохранения США. Исторически эта группа была связана с различными семействами программ-вымогателей, включая Maui и Play, но данные, полученные от Symantec и Carbon Black Threat Hunter Team, указывают на то, что они перешли к использованию Medusa, которая с момента своего запуска в 2023 году преступная хакерская группировка Spearwing использует программу-вымогатель как услугу. Medusa's operation позволяет аффилированным злоумышленникам внедрять программу-вымогатель в обмен на сокращение выплат выкупа, при этом уже задокументировано более 366 заявлений об атаках.

Medusa Ransomware была причастна к атакам по меньшей мере на четыре медицинские и некоммерческие организации по всей территории США с ноября 2025 года, при этом, по сообщениям, требования о выкупе в среднем составляли около 260 000 долларов. Конкретные цели включают некоммерческую организацию по охране психического здоровья и образовательное учреждение для детей, страдающих аутизмом. Степень причастности Северной Кореи к этим конкретным атакам остается неясной, поскольку они могут также включать действия других филиалов Medusa group.

Подгруппа Lazarus, известная как Stonefly, также известная как Andariel, исторически занималась шпионажем против особо ценных объектов, но примерно последние пять лет занималась программами-вымогателями. Несмотря на предыдущие обвинения, в которых подчеркивалась их деятельность с использованием программ-вымогателей, особенно против больниц США, они продолжали проводить дальнейшие атаки вплоть до конца 2024 года, осуществляя вторжения, которые не привели к развертыванию программ-вымогателей, но были финансово мотивированы.

В своих текущих кампаниях группа Lazarus использует множество сложных инструментов. К ним относятся Comebacker, пользовательский бэкдор и загрузчик; Blindingcan, Троянская программа для удаленного доступа; ChromeStealer, который нацелен на данные браузера Chrome; Curl, инструмент командной строки с открытым исходным кодом для передачи данных; Infohook, для кражи информации; и Mimikatz для credential dumping. Несмотря на то, что продолжающиеся атаки Medusa демонстрируют тактику, методы и процедуры (TTP), аналогичные прошлым операциям Stonefly, разнообразный набор инструментов усложняет атрибуцию из-за общего использования вредоносное ПО и методов различными группировками Lazarus.

Приверженность северокорейских актор к киберпреступность, особенно их готовность нацелиться на сектор здравоохранения, означает постоянный сдвиг в сторону использования потенциальных уязвимостей для получения финансовой выгоды. В отличие от многих киберпреступных группировок, которые могут избегать нападений на медицинские учреждения из-за проблем с репутацией, группу Lazarus, похоже, не останавливают такие этические соображения, подтверждающие их агрессивную позицию в области кибермогательства и эксплуатации.

#ParsedReport #CompletenessMedium
24-02-2026

The Package

https://www.veracode.com/blog/malicious-npm-package-hiding-in-plain-pixels/

Report completeness: Medium

Threats:
Typosquatting_technique
Process_hollowing_technique
Uac_bypass_technique
Fodhelper_technique
Amsi_bypass_technique
Runpe_tool
Nop_sled_technique
Steganography_technique
Quasar_rat
Supply_chain_technique

Victims:
Software supply chain, Npm developers

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1055.012, T1057, T1059.001, T1059.003, T1071.001, T1105, T1112, have more...

IOCs:
File: 16
Registry: 2
Command: 3
Path: 2
Url: 1

Soft:
NET Framework, slack

Algorithms:
sha256, base64, 3des, aes-256-ecb, aes, gzip

Functions:
Get-CimInstance, GetTask, GetFolder

Win API:
GetProcAddress, VirtualProtect, AmsiScanBuffer, GetThreadContext, SetThreadContext, ompress → in, decompress, AddVectoredExceptionHandler

Win Services:
WebClient, avastsvc

Languages:
powershell, swift