#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил три цепочки закрепление, использующие AutoIt, нацеленные на канадские банки через Remcos RAT. Эти цепочки, EcoOptimize, WealthWise и UrbanEco, устанавливают запланированные задачи для обеспечения устойчивости к вредоносное ПО, при этом Remcos делает снимки экрана банковского портала с использованием определенных ключевых слов, используя шифрование и взаимный протокол TLS для командной и контрольной аутентификации. Каждая цепочка работает с различными двоичными файлами и конфигурациями для повышения избыточности и скрытности операций, что создает значительную угрозу финансовым системам.
-----

Недавний анализ детализирует работу трех цепочек закрепление, использующих AutoIt, в первую очередь ориентированных на канадские банки с помощью инструмента удаленного доступа Remcos (RAT). Каждая цепочка имитирует законные бизнес-приложения и устанавливается в ненавязчивый каталог в пределах пути %LocalAppData%, настраивая запланированные задачи, которые гарантируют, что вредоносное ПО возобновляется через короткие промежутки времени, потенциально каждые пять минут. Примечательно, что две сети поставляют Remcos версии 7.0.1 Pro, настроенную для получения скриншотов банковских порталов каждые пять секунд, в то время как третья поставляет PureHVNC.

Выявленные цепочки закрепление включают EcoOptimize, WealthWise и UrbanEco. В каждом из них используются различные запланированные задачи с безобидными дескрипторами, чтобы избежать обнаружения, такие как “Отмена” и “Задействовано” для EcoOptimize и “QuantifyPro” для WealthWise, которые настойчиво пытаются запустить процесс вредоносное ПО, о чем свидетельствует обнаружение скрипта WealthWise более 3500 раз в течение двух дней на зараженном компьютере. машина.

С точки зрения функциональности, полезная нагрузка Remcos использует законные двоичные файлы Windows для выполнения своих команд. Цепочка EcoOptimize получает доступ к TapiUnattend.exe , в то время как сеть PureHVNC UrbanEco взаимодействует с RegAsm.exe двоичный код. Используемая версия Remcos использует механизм шифрования, использующий RC4, со встроенным ключом, позволяющим красть конфиденциальные данные, когда в заголовках окон появляются определенные ключевые слова, связанные с банковской деятельностью.

Инфраструктура командования и контроля (C2) диверсифицирована по нескольким доменам и поставщикам для обеспечения устойчивости к попыткам взлома, используя общий IP-адрес, на котором также размещаются другие RAT, что указывает на комплексную операционную инфраструктуру. Кроме того, вредоносное ПО использует взаимный протокол TLS со встроенными самозаверяющими сертификатами ECC, что позволяет ему легко проходить аутентификацию на сервере C2.

Конфигурации демонстрируют четкую ориентацию на канадские банковские системы, примером чего может служить список из 62 ключевых слов, нацелен на создание скриншотов, с особым акцентом на названия конкретных банковских порталов. В анализе отмечается, что, хотя конфигурация WealthWise сокращает количество ключевых слов с 62 до 50, она сохраняет ключевые нацелен, такие как EasyWeb из TD Bank, что указывает на изменение тактики, направленное на сужение нацелен на активное мошенничество.

Наконец, сеть UrbanEco указала на отдельную операцию по доставке PureHVNC, повторно использующую аналогичные конфигурации C2. Эта независимая цепочка служит для повышения операционной избыточности, гарантируя, что даже если один способ доставки нейтрализован, другие продолжают функционировать.

#ParsedReport #CompletenessLow
24-02-2026

One Thousand and One Nights: C77L Affiliate Program

https://www.f6.ru/blog/c77l-ransomware

Report completeness: Low

Threats:
C77l_ransomware
Voidcrypt
Ouroboros
Lockbit
Proxima
Blackcat
Shadow_copies_delete_technique
Phobos
Loki_locker
Sauron
Hardbit
Enmity
Mimikatz_tool
Iobit_tool
Process_hacker_tool
Neshta
Wapomi
Wevtutil_tool
Dharma
Makop

Victims:
Small and medium businesses, Trade sector, Manufacturing sector, Services sector, State organizations

Geo:
Russia, Russian, Belarusian, Middle east

ChatGPT TTPs:
do not use without manual check
T1003.001, T1018, T1027, T1036, T1036.004, T1046, T1053.005, T1057, T1059.003, T1070.001, have more...

IOCs:
File: 8
Command: 2
Path: 3
Registry: 2

Soft:
openssl, Discord, SoftPerfect Network Scanner, Microsoft Visual Studio, MySQL, PostgreSQL, Windows Defender, bcdedit, Telegram, VKontakte, have more...

Algorithms:
aes, aes-256, rsa-2048, fnv-1a, curve25519, cbc

Win Services:
WinDefend, wuauserv

Links:
https://github.com/f6-dfir/Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель C77L как услуга (RaaS), нацеленная на малый и средний бизнес в России и Беларуси, в основном использует методы шифрования данных для получения быстрой финансовой выгоды. Его инструментарий автоматизирует такие задачи, как отключение восстановления системы и управление настройками антивируса, и использует сложный механизм шифрования с изменяющимся идентификатором в разных версиях. Первоначальный доступ часто получают с помощью методов кражи паролей, при этом вредоносное ПО использует такие утилиты, как Mimikatz, и после выполнения передает результаты через Discord webhooks.
-----

Партнерская программа C77L, запущенная примерно в марте 2025 года, стала заметной угрозой "программы-вымогатели как услуга" (RaaS), нацеленной в первую очередь на малый и средний бизнес в России и Беларуси. Аналитики сообщают по меньшей мере о 40 атаках с использованием этой программы, которые первоначально были основаны на закрытии предыдущей программы Phobos. Филиалы C77L фокусируются в первую очередь на шифровании данных, а не на эксфильтрация, стремясь к быстрой финансовой выгоде за счет внедрения программ-вымогателей. Программа-вымогатель C77L специально нацелена на системы Windows, позволяя злоумышленникам с низкой квалификацией эффективно выполнять эти операции.

Отличительной особенностью C77L toolkit является использование файла a.bat, который автоматизирует различные задачи в процессе атаки. Это включает в себя отключение функций восстановления системы, очистку shadow copies, остановку критически важных Системные службы и управление настройками антивируса для повышения шансов на успешную атаку. Сама программа-вымогатель использует открытый мастер-ключ для шифрования сгенерированного сеансового ключа AES и оперирует идентификатором, который меняется в зависимости от используемой версии вредоносное ПО.

Программа-вымогатель C77L, в основном закодированная на C++ и замаскированная для защиты, запускается как консольное приложение, состоящее как из 32-разрядной, так и из 64-разрядной версий. Используя библиотеку OpenSSL для криптографии, он использует многопоточное шифрование, оптимизируя производительность во время атак. Механизм шифрования эволюционировал в различных версиях с интеграцией различных методов асимметричного шифрования и соглашений об именовании файлов, тем самым увеличивая сложность инструментов дешифрования. Недавние обновления C77L привели к рандомизации именования файлов, следуя тенденции, которая усложняет идентификацию в разных семействах программ-вымогателей.

Векторы атак часто включают использование методов кражи паролей с помощью таких утилит, как Mimikatz и NirSoft, чтобы получить первоначальный доступ к сети, как правило, во внепиковые часы. Проникнув внутрь, злоумышленники могут быстро повысить привилегии и внедрить программу-вымогателя на критически важные ресурсы, уделяя особое внимание базам данных и системам резервного копирования, чтобы максимизировать потенциальный ущерб.

Каждая атака C77L завершается ручным запуском программы-вымогателя, часто в сочетании со старыми, доброкачественными файловыми вирусами для облегчения проникновения. После запуска вредоносное ПО отправляет захваченные данные и результаты шифрования через веб-каналы Discord, что указывает на предпочтение знакомых средств коммуникации для повышения операционной эффективности.

#ParsedReport #CompletenessMedium
25-02-2026

Python Loader Evolution: Five Encryption Generations

https://www.derp.ca/python-loader-evolution/

Report completeness: Medium

Actors/Campaigns:
Serpentine_cloud

Threats:
Violet_rat
Purelogs
Purecryptor
Remcos_rat
Donut
Amsi_bypass_technique
Process_injection_technique
Mof_obfuscation_technique
Junk_code_technique
Apc_injection_technique
Dcrat
Purehvnc_tool
Asyncrat
Venomrat
Polymorphism_technique
Bloat_technique
Xworm_rat
Hvnc_tool

Victims:
Multiple sectors, General users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.004, T1055.012, T1059.003, T1059.006, T1106, T1140, T1204.002, T1562.001, have more...

IOCs:
File: 17
Hash: 24

Soft:
trycloudflare

Algorithms:
md5, zip, double-xor, aes, rc4, aes-256-cbc, chaskey, cbc, base64, xor, 3des, gzip, aes-256

Functions:
print, exit, shellcode_func, execute_shellcode, Get-CimInstance, Get-Process

Win API:
WriteProcessMemory, VirtualAlloc, VirtualProtect, AmsiInitialize, AmsiScanBuffer, AmsiScanString

Win Services:
bits

Languages:
autoit, python

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания SERPENTINE#CLOUD демонстрирует сложный метод выполнения и доставки Троянская программа удаленного доступа (RAT), использующая nine RAT семейства в различных цепочках атак в течение 176 дней. Ключевые методы включают использование пакетных файлов для извлечения полезной нагрузки через туннели Cloudflare, расширенное шифрование, такое как AES-256-CBC, и методы внедрения, использующие процессы Windows, такие как explorer.exe для скрытного исполнения. Кроме того, в ходе кампании использовались сложные стратегии запутывания и меры по борьбе с криминалистический анализ, чтобы усилить закрепление и избежать обнаружения.
-----

Анализ кампании SERPENTINE#CLOUD выявляет сложный и эволюционирующий подход к выполнению и доставке Троянская программа удаленного доступа (RAT). В кампании использовались семейства Nine RAT в шести цепочках атак, используя пакетный файл для извлечения ZIP-файла из временного туннеля Cloudflare. Этот ZIP-файл включал среду выполнения на Python и сценарии загрузки, которые расшифровывали шелл-код для начальной загрузки среды выполнения на общем языке .NET (CLR) для выполнения полезных нагрузок. Кампания продемонстрировала пять различных волн эволюции загрузчиков за период в 176 дней.

В первой волне использовались две архитектуры загрузчика, использующие такие методы шифрования, как double XOR и RC4. Загрузчики выполняли шелл-код непосредственно из процесса на Python, используя при этом методы внедрения, включающие как блокнот, так и операции, связанные с созданием приостановленных процессов. Последующие волны интегрировали шифрование AES-256-CBC и передовые методы внедрения, повышая скрытность и эффективность за счет использования процессов Windows, таких как explorer.exe для early bird APC injection, которая произошла до того, как процесс выполнил свою первую инструкцию.

Значительный переход произошел в волнах 4 и 5 с внедрением обфускатора Крамера, который компилировал загрузчики в байт-код Python. Эта волна продемонстрировала возврат к более простому шифрованию RC4, но объединила его с расширенными параметрами запутывания, в результате чего размеры файлов были значительно больше по сравнению с предыдущими волнами — некоторые загрузчики Bloated превышали 20 МБ. Они также продемонстрировали более высокую сложность своих архитектур, демонстрируя детализированные настройки этапов с уникальными механизмами извлечения и исполнения.

Кампания эффективно использовала фреймворк Donut для перехода от выполнения шеллкода на Python к полезным нагрузкам .NET, включив передовые методы исправления интерфейса сканирования вредоносных программ Microsoft (AMSI), чтобы избежать обнаружения во время выполнения. Кроме того, для выборочного завершения процессов, связанных с выполнением вредоносных программ на Python, были использованы методы анти-криминалистический анализ, что повысило закрепление RAT с помощью автоматизированных сценариев, предназначенных для поддержания активности сеансов.

На протяжении всех этапов кампании поведенческие показатели включали аномальное появление explorer.exe от python.exe , конкретные методологии внедрения, которые нацелен на существующие процессы, и сложные методы управления ключами, которые обеспечивают уникальные ключи для каждого развертывания, тем самым усложняя усилия по обнаружению. В конечном счете, кампания продемонстрировала адаптивную и устойчивую методологию доставки RAT, постоянно развивающуюся для улучшения маскировки и операционной эффективности, с использованием нескольких уровней запутывания и тактики антианализа, чтобы минимизировать влияние и избежать обнаружения системой безопасности.

#ParsedReport #CompletenessHigh
25-02-2026

PureLogs: Reverse Engineering a .NET RAT From the PureCoder Ecosystem

https://www.derp.ca/plog-rat-analysis/

Report completeness: High

Actors/Campaigns:
Purecoder

Threats:
Purelogs
Purehvnc_tool
Confuserex_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat
Remcos_rat
Process_injection_technique
Sandbox_evasion_technique

Victims:
Cryptocurrency users, Telegram users, Email users

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1041, T1047, T1053.005, T1055, T1056, T1056.006, T1057, have more...

IOCs:
File: 18
IP: 2
Path: 1
Command: 3
Hash: 3

Soft:
NET Framework, Xen, TryCloudflare, Chromium, Chrome, Vivaldi, Opera, CocCoc, Amigo, Torch, have more...

Wallets:
metamask, coinbase, exodus_wallet, keplr, tronlink, xdefi, math_wallet, bitkeep_wallet, electrum, atomicwallet, have more...

Crypto:
binance, ethereum

Algorithms:
sha256, aes-256-cbc, aes, xor, base64, md5, gzip

Functions:
GetWindowText, SetWindowsHookEx

Win API:
Decompress, VirtualAlloc, WriteProcessMemory, VirtualProtect, varint, OpenProcess, CloseHandle, GetForegroundWindow, SetThreadExecutionState, SetProcessDPIAware, have more...

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ образец PureLogs из экосистемы PureCoder вредоносное ПО как услуга показывает, что оно работает как Троянская программа удаленного доступа на основе плагинов (RAT), использующая многоступенчатый загрузчик, который использует загрузку сборки .NET. Не имея встроенных атакующих возможностей, он извлекает и запускает плагины с сервера управления, обеспечивая скрытность за счет предотвращения обнаружения статических сигнатур. Его коммуникация включает в себя минималистичное рукопожатие и передачу данных в зашифрованном виде AES, что свидетельствует о переходе к модульному дизайну вредоносное ПО для улучшенного уклонения.
-----

В центре анализа - образец PureLogs, идентифицированный как компонент экосистемы PureCoder вредоносное ПО как услуга (MaaS). Первоначально обнаруженный с нулевыми показателями и позже помеченный VirusTotal как Trojan.tedy/msil, PureLogs - это сборка .NET, в основном функционирующая как Троянская программа удаленного доступа на основе плагинов (RAT). Его архитектура демонстрирует многоступенчатый механизм загрузки, при котором внешний шифровальщик расшифровывает и распаковывает перед загрузкой библиотеки DLL через сборку .NET.Метод Load().

В RAT отсутствуют встроенные атакующие возможности, такие как Регистрация нажатий клавиш, Захват экрана или сбор учетных записей. Вместо этого он извлекает плагины со своего сервера command and control (C2) во время выполнения, выполняя их с помощью отражения, что гарантирует, что он остается скрытым и необнаружимым во время первоначального анализа. Структура библиотеки DLL запрещает обнаружение статических сигнатур, поскольку она не содержит какого-либо заранее определенного вредоносного содержимого.

Чтобы запутать свое поведение, PureLogs проводит различные проверки антианализа при запуске, включая обнаружение виртуализации с помощью проверок на соответствие известным средам изолированной среды, снятие отпечатков пальцев BIOS и оценку порогового разрешения экрана. Его связь с сервером C2 использует минималистичный метод рукопожатия и использует протокол сообщений protobuf для передачи команд и получения плагинов, инкапсулированных в сообщения.

Параметры конфигурации указывают, что RAT подключается к определенному хосту C2 (ydspwie.duckdns.org ) и порт (9045) со встроенным ключом шифрования AES для обеспечения безопасности связи. При подключении он отправляет на сервер полный системный профиль. Более того, он может выполнять предопределенные команды сразу после первого подключения C2, демонстрируя присущие ему возможности, выходящие за рамки пассивного ожидания.

Важным вариантом вредоносное ПО является сборка Oct05, которая служит более монолитной RAT, содержащей все функции в одном DLL-файле. В этой версии реализованы такие функциональные возможности, как кража криптовалюты, нацеленная на несколько популярных расширений и приложений для браузерных кошельков, зависимости от PowerShell для закрепление и отсутствие методов Обход песочницы.

PureLogs подчеркивает переход в разработке вредоносное ПО, переход от монолитных сборок, содержащих обширные функции, позволяющие обнаруживать на основе статических сигнатур, к модульному, более незаметному подходу, при котором все функциональные возможности извлекаются и выполняются в памяти. Такая эволюция позволяет злоумышленник минимизировать показатели поверхностного уровня, усложняя усилия по обнаружению и максимально повышая их оперативную безопасность. Всеобъемлющая кампания, отслеживаемая как SERPENTINE#CLOUD, иллюстрирует сложное использование общей инфраструктуры в различных инструментах PureCoder.

#ParsedReport #CompletenessMedium
26-02-2026

New Head Mare newsletter: the phantom contract

https://securelist.ru/head-mare-new-campaign/114892/

Report completeness: Medium

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Phantomheart
Phantomcore
Phantomdl
Com_hijacking_technique

Victims:
Public sector, Logistics sector, Financial sector, Industrial sector, Russian organizations

Industry:
Logistic

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036.007, T1053.005, T1059.001, T1071.001, T1090.003, T1105, T1140, T1204.001, T1204.002, have more...

IOCs:
File: 8
Hash: 28
IP: 2
Path: 2
Url: 13
Domain: 4

Algorithms:
zip, xor, md5, base64

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года хактивистская группа Head Mare запустила фишинг-кампанию, используя PhantomDL-вариант Backdoor. PhantomCore от "PhantomCore.CC" ("Черный ход"). Злоумышленники отправляли электронные письма с зашифрованными архивами, содержащими файлы ярлыков .lnk, которые при открытии запускали скрипт PowerShell для загрузки бэкдора, замаскированного под txt-файл. Бэкдор, использующий COM Hijacking PSFactoryBuffer для сохранения, использует POST-запросы в формате JSON для связи со своим сервером C2, позволяя выполнять такие команды, как загрузка дополнительного вредоносное ПО и создание сетевого туннеля для дальнейшей эксплуатации.
-----

В феврале 2026 года хактивистская группа Head Mare инициировала широкомасштабную фишинг-кампанию с использованием нового варианта бэкдора PhantomCore, называемого PhantomDL. Цели получали электронные письма, созданные так, чтобы они выглядели как сообщение от законной исследовательской организации, содержащие зашифрованные архивы. Примечательно, что текущий год служит паролем к этим архивам, которые включают в себя несколько файлов быстрого доступа (.lnk). При открытии эти ярлыки позволяют автоматически загружать и устанавливать Backdoor.

Каждый ярлык работает аналогично, отличаясь только спецификой ссылок, ведущих к соответствующим бэкдор и документам. Механизм вредоносной доставки использует скрипт PowerShell, который загружает файл с именем USOCachedData.txt , которая, несмотря на расширение .txt, является исполняемой библиотекой последней версии PhantomCore. Этот Вредоносный файл защищен в системе и настроен на автоматический запуск. Для закрепление используется метод PSFactoryBuffer COM Hijacking, который изменяет путь реестра к системной библиотеке, позволяя запускать Вредоносный файл, когда законные приложения пытаются получить доступ к соответствующим COM-объектам.

Бэкдор PhantomCore, написанный на C++, использует побайтовое шифрование XOR для своих строк, обеспечивая связь со своим сервером command and control (C2) посредством POST-запросов в формате JSON. Бэкдор сначала регистрирует зараженную систему, передавая закодированные данные, а затем отправляет только идентификатор бота для последующих команд. Он выполняет последовательность команд, включающих загрузку архива, содержащего TemplateMaintenanceHost.exe вредоносное ПО, которое используется для создания сетевого туннеля.

Команды, выполняемые бэкдором, включают загрузку вредоносное ПО через PowerShell и извлечение его в каталог AppData. Кроме того, он планирует задачу для обеспечения последовательного выполнения, в конечном счете запуская cmd.exe процессы для установления соединения с удаленным хостом с использованием ssh.exe инструмент, эффективно действующий как прокси-сервер SOCKS5. Это позволяет злоумышленникам направлять трафик через систему компрометация для взаимодействия с другими устройствами в сети. Кампания успешно нацелен на несколько сотен пользователей из российских организаций, в частности, оказав воздействие на различные структуры государственного сектора и компании в логистическом, финансовом и промышленном секторах.

#ParsedReport #CompletenessHigh
26-02-2026

Chronology of MuddyWater APT Attacks Targeting the Middle East

https://www.genians.co.kr/en/blog/threat_intelligence/muddywater-apt

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: information_theft, cyber_espionage, financially_motivated)

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Syncro_tool
Atera_tool
Screenconnect_tool
Simplehelp_tool
N-able_tool
Splashtop_tool
Anydesk_tool
Teamviewer_tool

Victims:
Telecommunications providers, Universities, Government agencies, Foreign ministries, Embassies, International organizations, Insurance industry, Pension fund management, It services providers, Energy sector, have more...

Industry:
Education, Military, Government, Energy, Telco

Geo:
Jordan, Oman, Americas, Malaysia, Iraq, Malaysian, Asia, Middle east, Iran, United kingdom, Turkmenistan, Egypt, Africa, France, America, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1033, T1036, T1059.001, T1059.005, T1071.001, T1082, T1106, have more...

IOCs:
File: 17
Domain: 3
Path: 1
IP: 2
Hash: 39

Soft:
Microsoft Office, Microsoft Word, Dropbox, Microsoft OneDrive, Windows Installer, Microsoft Defender

Algorithms:
md5, xor, zip

Functions:
Document_Open, dddd, love_me_

Win API:
InitializeSecurityContextW

Languages:
rust, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, code: 1, table: 1, dump: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater APT, преступная хакерская группировка с Ближнего Востока, специализируется на долгосрочном проникновении и сборе разведданных, главным образом, путем Целевой фишинг с использованием макросов VBA в документах, в обход последних мер макробезопасности. Они используют инструменты удаленного мониторинга и управления для первоначальный доступ, сочетая вредоносную активность с законными операциями, и перешли к использованию HTML-файлов, которые направляют пользователей к вредоносное ПО, размещенному в Облачные сервисы. Их изощренная тактика включает в себя разведка и использование вредоносное ПО на основе Rust, что указывает на эволюционирующий ландшафт угроз, нацеленных на различные секторы, особенно на правительство и телекоммуникации.
-----

MuddyWater APT - хакерская группировка с Ближнего Востока, специализирующаяся на долгосрочном проникновении и сборе разведданных. Группа использует Целевой фишинг-атаки с использованием вредоносных документов, содержащих макросы VBA в Microsoft Word. Они используют социальную инженерию, чтобы убедить пользователей включить макросы, особенно в средах с устаревшим программным обеспечением. Вредоносные документы часто маскируются под законные деловые сообщения, чтобы побудить пользователей выполнять макросы, которые запускают дальнейшее вредоносное ПО с помощью встроенных команд PowerShell или бэкдор. MuddyWater также использует инструменты удаленного мониторинга и управления (RMM), такие как Syncro и Atera, для первоначальный доступ, маскируя вредоносные действия под обычные административные задачи. Современные методы включают использование вредоносных HTML-файлов, которые побуждают пользователей загружать вредоносное ПО из законных облачных сервисов хранения данных. Группа нацелена на несколько организаций в пределах одного сектора, что указывает на стратегический подход к компрометация сети. Их бэкдор взаимодействует с серверами командования и контроля (C2) для извлечения системной информации и развертывания дополнительных полезных нагрузок. Интеграция вредоносное ПО на основе Rust демонстрирует прогресс в изощренности их кампаний. Эффективная стратегия обнаружения конечных точек и реагирования на них (EDR) имеет решающее значение для обороны, поскольку традиционная защита периметра неадекватна их тактике. EDR улучшает видимость поведения конечных точек, обнаруживая ненормальные действия с использованием законных инструментов и отслеживая подозрительные сетевые подключения.

#ParsedReport #CompletenessHigh
25-02-2026

Exposing the Undercurrent: Disrupting the GRIDTIDE Global Cyber Espionage Campaign

https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign/

Report completeness: High

Actors/Campaigns:
Unc2814 (motivation: cyber_espionage)
Ghostemperor

Threats:
Gridtide
Lolbin_technique

Victims:
Telecommunications, Government organizations

Industry:
Telco, Government

Geo:
Asia, China, Africa, Americas

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 7
File: 4
IP: 26
Domain: 192
Url: 7

Soft:
SoftEther, Curl, Sudo, firefox, systemd

Algorithms:
cbc, sha256, base64, aes-128, gzip

Functions:
Sheets

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания кибершпионажа UNC2814, связанная с Китаем и действующая с 2017 года, использует сложные методы для нацеливания на телекоммуникационные и правительственные организации по всему миру. Примечательно, что он использует бэкдор под названием GRIDTIDE, который использует Google Sheets API для операций управление, маскируя вредоносный трафик под законные вызовы API, что усложняет обнаружение. Вредоносное ПО позволяет выполнять произвольные команды оболочки и сохраняется путем создания зашифрованных конфигураций и использования механизма опроса операций, что иллюстрирует риск, создаваемый такими злоумышленник.
-----

UNC2814 - это кампания кибершпионажа, связанная с Китаем, действующая с 2017 года. Недавно группа внедрила бэкдор под названием GRIDTIDE для операций управление с использованием функциональности Google Sheets API. Этот метод маскирует вредоносный трафик под законные вызовы API, чтобы избежать обнаружения. Подтвержденные вторжения затронули 53 жертвы в 42 странах, с возможными нападениями еще в 20. Вектор первоначальный доступ остается неподтвержденным, но исторические методы включают в себя компрометация веб-серверов и пограничных систем. Исследования выявили двоичный файл, который повышал привилегии и устанавливал закрепление за GRIDTIDE. Вредоносное ПО выполняет команды для сохранения доступа после завершения сеансов и обменивается данными через механизм опроса в определенных ячейках Google Sheet. GRIDTIDE может выполнять произвольные команды оболочки и загружать файлы, используя Google Sheets в качестве канала C2, скрывая свои операции. Данные конфигурации, включая данные учетной записи службы, зашифрованы и защищены локально. Вредоносное ПО очищает свой Google Sheet, удаляя предыдущие записи, чтобы сохранить конфиденциальность. Сбой в работе UNC2814 повлек за собой прекращение работы облачной инфраструктуры и публикацию индикаторов компрометация (IOCs). Несмотря на эту неудачу, ожидается, что группа адаптируется и продолжит свою деятельность. Кампания нацелена на телекоммуникации и конфиденциальные данные с целью шпионажа против диссидентов и активистов.