#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Схема GTFire фишинг-атаки использует надежные Облачные сервисы, в первую очередь Google Firebase, для проведения крупномасштабного сбор учетных записей с помощью обманчивых страниц фишинг-атак, имитирующих законные URL-адреса. Используя Google Translate для маскировки конечных пунктов назначения и динамической загрузки шаблонов входа в систему, специфичных для конкретного бренда, злоумышленники повышают эффективность своих усилий, одновременно усложняя обнаружение. Процесс атаки заключается в том, что жертвам предлагается дважды ввести свои учетные данные, что позволяет получать информацию с помощью HTTP-запросов GET, демонстрируя сложный подход к фишинг.
-----

Схема GTFire фишинг-атак иллюстрирует эволюцию фишинг-атак, использующих надежные Облачные сервисы и популярные платформы для облегчения крупномасштабного сбор учетных записей. Эта кампания преимущественно использует Google Firebase для размещения фишинг-страниц под видом законных URL-адресов, эффективно обходя меры безопасности, основанные на репутации URL-адресов. Использование Google Translate в качестве посредника еще больше скрывает истинную природу этих ссылок, затрудняя как автоматизированным методам обнаружения, так и пользователям идентификацию вредоносного контента.

GTFire работает путем создания широкого спектра поддоменов через Firebase, что позволяет злоумышленникам быстро менять инфраструктуру и минимизировать затраты, а также гарантирует, что страницы для фишинг-атак имитируют брендинг нацелен на организации. Методология фишинг включает динамическую загрузку шаблонов входа в систему, специфичных для конкретного бренда, которые кажутся жертвам заслуживающими доверия, тем самым повышая вероятность предоставления учетных данных, не вызывая подозрений. Более того, злоумышленники используют многоуровневую схему перенаправления с использованием URL-адресов Google Translate (translate.goog), которая усложняет анализ, скрывая конечный пункт назначения на странице, размещенной на Firebase, до конца процесса.

Рабочий процесс сбор учетных записей особенно прост и включает в себя запрос жертвам дважды ввести свои учетные данные, одновременно извлекая информацию с помощью HTTP-запросов GET. Первоначальный ввод сопровождается сообщением "неверный пароль", побуждающим жертву повторно ввести свои данные, что позволяет злоумышленникам зафиксировать обе попытки. Собранные учетные данные, наряду с метаданными о жертве (такими как местоположение и язык браузера), отправляются на серверы управление (C2), использующие инфраструктуру веб-сервера LiteSpeed, что предполагает организованный подход к хранению учетные данные и потенциальному использованию.

Эта кампания затронула более тысячи организаций в более чем ста странах, демонстрируя широкий охват подобной тактики фишинг. Простота развертывания готовых фишинг-скриптов и оперативная эффективность, достигаемая за счет использования платформ, пользующихся широким доверием, позволяют GTFire работать незамеченным в течение длительного времени.

Чтобы противодействовать этим изощренным тактикам, организациям рекомендуется внедрять многофакторную аутентификацию (MFA), устойчивую к атакам на фишинг, постоянно отслеживать случаи Имперсонация бренда на облачных платформах и обучать сотрудников распознаванию схем фишинг, основанных на Google. Случай с GTFire подчеркивает необходимость переоценки моделей доверия и усовершенствованных стратегий обнаружения неправомерного использования законных сервисов в киберугроза.

#ParsedReport #CompletenessLow
25-02-2026

Active exploitation of Cisco Catalyst SD-WAN by UAT-8616

https://blog.talosintelligence.com/uat-8616-sd-wan/

Report completeness: Low

Actors/Campaigns:
Uat-8616

Victims:
Critical infrastructure, High value organizations, Network edge device users, Cisco catalyst sd wan users

Industry:
Critical_infrastructure

CVEs:
CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-20775 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.6.3, <20.7.2, 20.8)
- cisco sd-wan_vbond_orchestrator (<20.6.3, <20.7.2, 20.8)
- cisco sd-wan_vsmart_controller (<20.6.3, <20.7.2, 20.8)


ChatGPT TTPs:
do not use without manual check
T1021.004, T1068, T1070.003, T1070.004, T1078, T1098, T1098.004, T1136, T1190, T1550.004, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающаяся эксплуатация CVE-2026-20127 представляет значительную угрозу для контроллеров SD-WAN Cisco Catalyst, позволяя злоумышленникам, не прошедшим проверку подлинности, идентифицированным как UAT-8616, обходить аутентификацию и получать административные привилегии. Этот изощренный злоумышленник воспользовался связанными уязвимостями, включая CVE-2022-20775, с помощью таких методов, как понижение версии программного обеспечения для получения корневого доступа. Ключевыми показателями компрометация являются неавторизованные учетные записи пользователей, аномальные SSH-ключи и подозрительные события пиринга контрольного соединения, что подчеркивает важность тщательного мониторинга потенциальных атак.
-----

Активно отслеживается использование CVE-2026-20127, что указывает на значительную угрозу Кибербезопасность, направленную против контроллеров SD-WAN Cisco Catalyst, ранее известных как vSmart. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, обходить аутентификацию и получать административные привилегии, отправляя специально созданные запросы в уязвимую систему. Успешная эксплуатация предоставляет злоумышленникам доступ в качестве пользователя с высокими привилегиями, не являющегося root, что может привести к дальнейшим вредоносным действиям.

Злоумышленник, идентифицированный как UAT-8616, оцененный как сложная организация, предположительно использовал эту уязвимость в течение длительного периода, и расследования предполагают, что их деятельность насчитывает не менее трех лет. Злоумышленники, по-видимому, используют методы повышения своих привилегий путем понижения версии программного обеспечения, что исторически позволяло им использовать CVE-2022-20775, тем самым получая root-доступ перед возвратом к предыдущей версии программного обеспечения.

Особое внимание уделяется выявлению событий пиринга управляющего соединения в журналах систем Cisco Catalyst SD-WAN, поскольку они могут указывать на попытки использования вышеупомянутой уязвимости. Любое пиринговое событие должно быть проверено вручную, чтобы определить его легитимность, особенно в отношении типов vManage. Злоумышленники-актор часто устанавливают несанкционированные одноранговые соединения, которые могут напоминать обычный трафик, но могут инициироваться с незнакомых IP-адресов или возникать в подозрительное время, несовместимое со стандартным операционным поведением. Таким образом, тщательный процесс проверки имеет решающее значение для проведения различия между обычной сетевой активностью и потенциальными показателями компрометация.

Ключевые этапы проверки криминалистический анализ включают проверку временных меток на соответствие запланированному техническому обслуживанию, подтверждение IP-адресов с помощью организационных описей и анализ ролей одноранговых устройств для обеспечения соответствия ожидаемым конфигурациям. Сопоставление аномальных событий или нераспознанных связей может выявить закономерности, указывающие на разведка или постоянные попытки доступа.

Дополнительные высокоточные индикаторы успешной компрометация с помощью UAT-8616 включают создание неавторизованных учетных записей пользователей и манипулирование ими, необъяснимые SSH-ключи и усеченные журналы, которые указывают на попытки запутывания. Случаи корневого доступа, зафиксированные во время интерактивных сеансов, и наличие истории вредоносных команд в неожиданных местах должны вызывать тревогу. Индикаторы понижения версии в сочетании с перезагрузками системы также могут указывать на попытки эксплуатации, равно как и на наличие эксплойтов обхода пути, связанных с CVE-2022-20775.

Подводя итог, продолжающееся использование уязвимостей в инфраструктуре SD-WAN Cisco с помощью UAT-8616 подчеркивает необходимость тщательного мониторинга и принятия мер упреждающего реагирования в рамках критически важной сетевой инфраструктуры.

#ParsedReport #CompletenessMedium
26-02-2026

New Dohdoor malware campaign targets education and health care

https://blog.talosintelligence.com/new-dohdoor-malware-campaign/

Report completeness: Medium

Actors/Campaigns:
Uat-10027
Lazarus
Kimsuky

Threats:
Dohdoor
Lolbin_technique
Cobalt_strike_tool
Dll_sideloading_technique
Api_obfuscation_technique
Process_hollowing_technique
Lazarloader
Mauicrypt

Victims:
Education, Health care, United states

Industry:
Healthcare, Education

Geo:
North korean, North korea

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.012, T1059.001, T1059.003, T1071.004, T1090.003, T1112, T1204.002, T1562.001, have more...

IOCs:
File: 7
Path: 4

Soft:
curl

Functions:
Windows

Win API:
NtProtectVirtualMemory, ReadProcessMemory

Languages:
powershell

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2026/02/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злонамеренная кампания, атрибутирован с злоумышленник "UAT-10027", предоставляющий бэкдор "Dohdoor", в первую очередь нацелен на секторы образования и здравоохранения США с помощью методов фишинг. В многоэтапной атаке используется скрипт PowerShell, который загружает вредоносную библиотеку DLL, которая взаимодействует с сервером управление по протоколу DNS через HTTPS для повышения скрытности. Dohdoor использует тактику уклонения, такую как process hollowing и отключение системных вызовов, чтобы избежать обнаружения, при этом insights намекает на общие черты с вредоносное ПО, связанным с северокорейскими актор, в частности с группой Lazarus.
-----

Cisco Talos идентифицировала вредоносную кампанию, атрибутирован с злоумышленник, отслеживаемый как "UAT-10027", который предоставляет новый бэкдор под названием "Dohdoor", по крайней мере, с декабря 2025 года. Эта атака в первую очередь нацелена на секторы образования и здравоохранения в Соединенных Штатах и использует многоэтапную цепочку атак. Первоначальный доступ, скорее всего, осуществляется с помощью методов фишинг, когда скрипт PowerShell загружает пакетный файл Windows, который запускает вредоносную библиотеку DLL, замаскированную под законный файл. Эта библиотека DLL организует связь с сервером управление (C2), используя DNS-over-HTTPS (DoH), что повышает ее скрытность за счет сокрытия трафика C2 в рамках законных HTTPS-коммуникаций и инфраструктур облачных сервисов, в частности Cloudflare.

В цепочке атак dropper пакетного скрипта Windows создает скрытую папку для загрузки вредоносной библиотеки DLL, облегчая ее выполнение при проведении анти-криминалистических мероприятий, включая очистку истории команд и Данные из буфера обмена. Сам Dohdoor выступает в качестве загрузчика для дальнейших полезных нагрузок, используя такие методы, как API obfuscation и зашифрованные сообщения C2, чтобы избежать обнаружения системой безопасности. Метод DLL sideloading имеет решающее значение в этом процессе, позволяя запускать вредоносный код в рамках законных процессов Windows, используя такие методы, как process hollowing, когда вредоносное ПО внедряется в законный исполняемый файл и запускается в приостановленном состоянии.

Dohdoor реализует различные тактики уклонения для обхода систем обнаружения конечных точек и реагирования на них, в частности, отключает системные вызовы, чтобы избежать обнаружения продуктами безопасности. Он достигает этого за счет динамической оценки и восстановления шаблонов системных вызовов, что позволяет ему скрывать свои действия от решений мониторинга. Примечательно, что вредоносное ПО осуществляет разрешение домена через DoH, который отправляет зашифрованные запросы на сервер C2, таким образом обходя традиционные стратегии обнаружения на основе DNS.

Хотя конкретные полезные нагрузки, используемые Dohdoor, не были выявлены в ходе расследования, были отмечены связи с Cobalt Strike из-за общих хэшей JA3S и атрибутов, связанных с сервером Cobalt Strike по умолчанию. Исследователи отмечают сходство с низкой степенью достоверности между методологиями UAT-10027's и известной тактикой, используемой северокорейскими актор, в частности группой Lazarus, ссылаясь на общие методы разработки и эксплуатации вредоносное ПО, такие как использование пользовательских методов дешифрования и сосредоточение внимания на конкретных секторах. Несмотря на сходство, нацеленность на секторы образования и здравоохранения знаменует собой небольшое отклонение от типичной деятельности Lazarus, которая благоприятствует криптовалютам и оборонной промышленности. Однако такое соотношение указывает на оперативную тенденцию среди северокорейских APT в отношении использования этих секторов для киберопераций.

#ParsedReport #CompletenessMedium
26-02-2026

Unmasking Agent Tesla: A Deep Dive into a Multi-Stage Campaign

https://www.fortinet.com/blog/threat-research/unmasking-agent-tesla-deep-dive-into-multi-stage-campaign

Report completeness: Medium

Threats:
Agent_tesla
Process_hollowing_technique
Credential_harvesting_technique
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Domain: 2
Path: 2
Hash: 4
Url: 1

Soft:
VirtualBox, Hyper-V

Algorithms:
aes, base64, aes-cbc, sha256

Languages:
jscript, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Agent Tesla использует сложную многоэтапную стратегию атаки, начиная с фишинг-писем, содержащих RAR-файл с запутанным JSE-файлом. После выполнения JSE загружает зашифрованный скрипт PowerShell, который выполняется в памяти, используя process hollowing в обычной утилите Windows, Aspnet_compiler.exe , чтобы избежать обнаружения. Вредоносное ПО проводит антианалитические проверки, чтобы предотвратить обнаружение, и фокусируется на краже данных, отправляя конфиденциальную информацию через SMTP на свой сервер C2.
-----

Agent Tesla представляет собой постоянную и изощренную киберугроза, которая эффективно использует многоэтапную цепочку атак, преимущественно инициируемую с помощью фишинг. Кампания начинается с фишинг-письма на деловую тематику, содержащего сжатый RAR-файл (PO0172.rar ), в котором находится запутанный файл JSE (PO0172.jse). Этот начальный дроппер обходит основные меры безопасности электронной почты, направленные на идентификацию исполняемых файлов, таких как форматы .exe или .bat, что позволяет начать заражение.

Как только файл JSE выполняется, он подключается к файлообменной службе для загрузки дополнительного зашифрованного скрипта PowerShell. Этот скрипт использует шифрование AES-CBC с дополнением PKCS7 и использует пользовательскую функцию дешифрования для выполнения полезной нагрузки непосредственно в памяти, избегая любых артефактов на диске, которые могли бы насторожить системы безопасности. Этот прием подчеркивает, что злоумышленник делает упор на сохранение скрытности во время атаки.

Затем вредоносное ПО переходит в свою самую скрытую фазу с помощью процесса, называемого "process hollowing". Ориентируясь на законный системный процесс, Aspnet_compiler.exe , вредоносное ПО запускает его в приостановленном состоянии, опустошает его память и внедряет вредоносный код, замаскированный под этот доверенный процесс. Этот метод усложняет усилия по обнаружению, поскольку вредоносное ПО запускается под видом обычной утилиты Windows.

Еще больше расширяя свои возможности уклонения, Agent Tesla проводит несколько проверок антианализа после загрузки своего кода. Это включает в себя проверку системы на наличие программного обеспечения для виртуализации, такого как VMware и VirtualBox, а также выявление конкретных библиотек DLL, связанных с программным обеспечением безопасности. Если эти проверки выявят эмулируемую среду или изолированную среду, вредоносное ПО может прекратить работу, чтобы предотвратить обнаружение и анализ его действий в системе управление (C2).

После установки в системе Agent Tesla выполняет свою основную функцию: кражу данных. Он извлекает ряд конфиденциальной информации, включая файлы cookie браузера и контакты, и упаковывает эти данные для эксфильтрация. Украденная информация отправляется непосредственно на сервер C2 злоумышленника по протоколу SMTP, что отражает крупномасштабную операцию с признаками множественных неудачных попыток доставки с сервера, что свидетельствует о продолжающихся попытках передачи данных.

Общая структура Agent Tesla иллюстрирует хорошо организованную вредоносная кАмпания, которая сочетает традиционный фишинг с передовыми методами, позволяющими оставаться скрытыми и эффективными. Его адаптивность и доступ к модели "Вредоносное ПО как услуга" позволяют даже менее опытным злоумышленник использовать его возможности, что свидетельствует о сохраняющемся риске в сфере киберугроза.

#ParsedReport #CompletenessHigh
26-02-2026

PlugX Meeting Invitation via MSBuild and GDATA

https://lab52.io/blog/plugx-meeting-invitation-via-msbuild-and-gdata/

Report completeness: High

Actors/Campaigns:
Red_delta
Shell_crew
Winnti
Stone_panda
Apt29
Oilrig
Dragonfish

Threats:
Plugx_rat
Supply_chain_technique
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Envyscout
Wineloader
Grapeloader
Tonedeaf
Credential_stealing_technique
Emissary

Victims:
Government institutions, Diplomatic entities, Defense organizations, Technology companies, Energy providers, Ngos, Political parties, Government entities

Industry:
Government, Ngo, Energy

Geo:
America, Asia, Russia, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
File: 6
Url: 2
Domain: 1
Hash: 8
Path: 1
Registry: 1

Algorithms:
xor, sha256, base64, rc4

Win API:
GetModuleFileNameW, VirtualAlloc, VirtualFree, CreateEventW, SetEvent, NtCreateFile, NtQueryInformationFile, NtClose, ReadFile, NtTerminateProcess, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PlugX, Троянская программа для удаленного доступа (RAT), связанная с злоумышленник, связанными с Китаем, такими как Mustang Panda и APT41, в основном используется для шпионажа против правительства и технологического сектора. Недавняя тактика включает кампании Целевой фишинг, которые доставляют вредоносные вложения по электронной почте, замаскированные под приглашения на собрания, используя DLL side-loading для выполнения полезной нагрузки и используя доверенные приложения. В работе вредоносное ПО использует закрепление реестра, связь по протоколу HTTPS и методы обфускации, такие как кодирование XOR, что подчеркивает его адаптивность и скрытность.
-----

PlugX, Троянская программа удаленного доступа (RAT), связанная с различными злоумышленник, связанными с Китаем, включая Mustang Panda и APT41, была активна с момента ее первого обнаружения в 2008 году. Это вредоносное ПО в основном используется для шпионажа, нацеленного на правительственные учреждения, дипломатические миссии, оборонные организации, технологические фирмы и НПО на нескольких континентах. Его закрепление атрибутирован с его оперативной универсальностью, особенно в кампаниях кибершпионажа.

Внедрение PlugX обычно включает в себя тактику Целевой фишинг, когда злоумышленники отправляют электронные письма, содержащие вредоносные вложения, или документы, содержащие макросы. Примечательным методом является использование DLL side-loading, при котором доверенные приложения используются для загрузки вредоносных файлов библиотеки динамических ссылок (DLL), что позволяет вредоносное ПО обходить меры безопасности. В недавнем случае, проанализированном LAB52, PlugX был доставлен через фишинг-электронное письмо под названием "Приглашение на встречу", что привело к выполнению вредоносной полезной нагрузки через исполняемый файл антивируса G DATA.

В этом инциденте цепочка заражения началась с фишинг-рассылки по электронной почте, которая содержала ссылки, предлагающие жертвам загрузить ZIP-файл. ZIP-файл содержал файл сценария (Invitation_Letter_No.02_2026.csproj) и исполняемый файл (Invitation_Letter_No.02_2026.exe ) предназначен для выполнения скрипта с использованием MSBuild.exe , идентифицированный как бинарный файл Living-off-the-Land (LOLBIN). Этот метод скрывал вредоносный характер операций, используя законный программный компонент. После выполнения процесс загрузки извлек вариант PlugX, Avk.dll , который был переименован, а затем загружен через DLL side-loading в исполняемый файл G DATA.

Вредоносное ПО поддерживает присутствие в зараженных системах посредством закрепление в реестре, автоматически запуская исполняемый файл G DATA. Кроме того, полезная нагрузка включает в себя поддельный PDF-файл, встроенный в раздел наложения, что типично для PlugX, который стремится скрыть свои вредоносные операции под слоями правдоподобного контента.

Связь с управляющим сервером осуществляется по протоколу HTTPS, что указывает на стремление сохранить конфиденциальность. Методология включения файлов-приманок и использования таких методов, как кодирование XOR для скрытия имен файлов, демонстрирует эволюционирующую сложность операций с PlugX, сохраняя при этом ее основополагающее мастерство. Такое сочетание социальной инженерии, технического исполнения и модульной конструкции подчеркивает его эффективность в обеспечении скрытного проникновения.

Использование тематических приглашений для фишинг-кампаний, аналогичных тем, которые наблюдаются в операциях APT, отражает более широкую тенденцию, когда злоумышленник использует доверие и формальность в социальных взаимодействиях для облегчения распространения вредоносное ПО. Предыдущие кампании аналогичным образом использовали мероприятия и конференции для распространения различных вредоносных программ, иллюстрируя постоянную адаптивность и закрепление тактики APT в кибероперациях.

#ParsedReport #CompletenessMedium
26-02-2026

Steaelite RAT Enables Double Extortion Attacks from a Single Panel

https://www.blackfog.com/steaelite-rat-double-extortion-from-single-panel/

Report completeness: Medium

Threats:
Steaelite
Hvnc_tool
Uac_bypass_technique
Credential_harvesting_technique
Redline_stealer
Lumma_stealer
Vidar_stealer

Victims:
Organizations, Corporate endpoints, Mobile devices employees use for authentication and messaging, West harlem group assistance

Industry:
Financial

Geo:
San francisco, Ireland, London, United kingdom

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T0858, T1005, T1021.001, T1021.004, T1027, T1057, T1059, T1059.003, T1059.005, T1091, have more...

IOCs:
Hash: 1

Soft:
Embarcadero, Android, Windows Defender, ClawdBot, OpenClaw

Algorithms:
sha256

Win API:
messagebox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Steaelite - это новая Троянская программа для удаленного доступа (RAT), обнаруженная в конце 2025 года, нацеленная на Windows 10 и 11 с веб-Панель управления, которая позволяет упростить выполнение атак с двойное вымогательство. Он сочетает в себе возможности кражи учетных данных и программ-вымогателей, автоматизируя сбор данных при первоначальном подключении жертвы, и предлагает такие функции, как Регистрация нажатий клавиш и мониторинг буфера обмена, потенциально распространяясь на мобильные устройства с предстоящим модулем Android. Такая конвергенция кражи данных и программ-вымогателей создает значительные риски для средств защиты от Кибербезопасность.
-----

Steaelite - это недавно появившаяся Троянская программа для удаленного доступа (RAT), которая получила распространение на подпольных хакерскаих платформах с момента своего создания в ноябре 2025 года. Разработанный для сред Windows, в частности Windows 10 и 11, Steaelite предлагает веб-Панель управления, позволяющую киберпреступникам выполнять различные вредоносные действия с помощью единого интерфейса, тем самым облегчая оптимизированные атаки с двойное вымогательство.

По своей сути Steaelite сочетает в себе множество функций, традиционно присущих отдельным инструментам, в частности, возможности кражи учетных данных и программ-вымогателей. Такая унификация повышает его привлекательность для злоумышленник, позволяя им проводить эксфильтрация данных и развертывание программ-вымогателей одновременно. Инструмент включает в себя широкий спектр модулей, которые позволяют осуществлять контроль и управление зараженными системами в режиме реального времени. Операторы могут отслеживать компьютеры жертв, управлять файлами, вести наблюдение в режиме реального времени с помощью экранов и веб-камер, выполнять произвольные команды и управлять процессами, среди прочих действий.

Одним из примечательных аспектов Steaelite является его функция автоматического сбор учетных записей, которая запускается при первоначальном подключении к компьютеру жертвы. Эта немедленная кража данных происходит независимо от того, подключается ли оператор к Панель управления, что означает, что конфиденциальная информация может быть компрометация до того, как будет отдана какая-либо явная команда. Интерфейс управления также предлагает дополнительные функции, такие как Регистрация нажатий клавиш, мониторинг буфера обмена (включая клипер для перехвата и изменения адресов криптовалютных кошельков) и возможность отображения пользовательских окон сообщений на экранах жертв для облегчения атак социальной инженерии.

Предстоящий выпуск модуля программы-вымогателя для Android предполагает, что Steaelite стремится расширить свой операционный охват на мобильные устройства, потенциально позволяя тем же операторам использовать корпоративные конечные точки, а также персональные устройства, используемые для процессов аутентификации. Это событие подчеркивает эволюционирующий ландшафт угроз, в котором различия между кражей данных и программами-вымогателями становятся все более размытыми, создавая проблемы для защиты от Кибербезопасность.

Для служб безопасности появление Steaelite подразумевает необходимость переоценки существующих защитных мер. Способность одного инструмента управлять как эксфильтрация данных, так и программами-вымогателями подчеркивает риски, связанные с несанкционированной передачей данных. Такие решения, как технология защиты от эксфильтрация данных BlackFog (ADX), обеспечивают механизмы защиты от таких конвергентных угроз, блокируя несанкционированные исходящие сообщения в режиме реального времени, что крайне важно для предотвращения двойной угрозы кражи данных с последующим шифрованием программ-вымогателей.

#ParsedReport #CompletenessLow
26-02-2026

Abusing .arpa: The TLD That Isnt Supposed to Host Anything

https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/

Report completeness: Low

Victims:
Government agencies, Universities, Telecommunication companies, Media organizations, Retailers, Food and beverage companies, General consumers

Industry:
Government, Foodtech, Transport, Telco, Energy, Retail, Education

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1204.001, T1566.002, T1568.002, T1583.001, T1583.002, T1583.004, T1608.006

IOCs:
Domain: 1041

Soft:
TikTok

Win Services:
bits

Platforms:
intel

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая тактика фишинг-атак использует домен верхнего уровня .arpa наряду с IPv6 для обхода обычных средств контроля безопасности. Злоумышленник использует функцию в определенных системах управления DNS для создания записей DNS, перенаправляющих на вредоносные IP-адреса в .arpa, злоупотребляя ею для размещения фишинг-сайтов. Они также используют такие стратегии, как перехват записей CNAME и встраивание опасных ссылок в фишинг-письма, что усложняет обнаружение и подчеркивает проблемы Кибербезопасность, основанные на анализе репутации домена.
-----

Недавно выявленный метод фишинг-атак использует домен верхнего уровня .arpa для обхода средств контроля безопасности, предназначенных для блокировки вредоносного контента. Злоумышленник злоупотребляет доменом .arpa, который предназначен для обратного поиска по DNS, для размещения фишинг-сайтов, добавляя записи DNS, указывающие на IP-адреса. Они выдают себя за крупные бренды и используют приманивающие изображения в электронных письмах, содержащих ссылки на вредоносные веб-сайты. Ссылки на фишинг закодированы в обратной строке DNS, чтобы скрыть потенциально подозрительные доменные имена.

Злоумышленники получают адресное пространство IPv6, что позволяет контролировать соответствующие поддомены .arpa и создавать записи адресов (A) вместо стандартных записей указателей (PTR). Они используют неправильные настройки DNS у таких авторитетных провайдеров, как Hurricane Electric и Cloudflare. Дополнительные стратегии включают перехват незарегистрированных записей CNAME и слежку за поддоменами, чтобы избежать обнаружения, при этом некоторые перехваченные записи остаются в рабочем состоянии с 2020 года.

Фишинг-письма предлагают пользователям заманчивые предложения, что приводит к Система распределения трафика, которая анализирует их подключение перед перенаправлением на вредоносные целевые страницы. Этот вектор атаки использует доверенный характер доменов .arpa, усложняя стратегии защиты, основанные на репутации домена и анализе. С использованием этого метода наблюдалась значительная активность в области фишинг-атак, что указывает на эволюцию тактики киберпреступников.