#ParsedReport #CompletenessHigh
26-02-2026

PlugX Meeting Invitation via MSBuild and GDATA

https://lab52.io/blog/plugx-meeting-invitation-via-msbuild-and-gdata/

Report completeness: High

Actors/Campaigns:
Red_delta
Shell_crew
Winnti
Stone_panda
Apt29
Oilrig
Dragonfish

Threats:
Plugx_rat
Supply_chain_technique
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Envyscout
Wineloader
Grapeloader
Tonedeaf
Credential_stealing_technique
Emissary

Victims:
Government institutions, Diplomatic entities, Defense organizations, Technology companies, Energy providers, Ngos, Political parties, Government entities

Industry:
Government, Ngo, Energy

Geo:
America, Asia, Russia, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
File: 6
Url: 2
Domain: 1
Hash: 8
Path: 1
Registry: 1

Algorithms:
xor, sha256, base64, rc4

Win API:
GetModuleFileNameW, VirtualAlloc, VirtualFree, CreateEventW, SetEvent, NtCreateFile, NtQueryInformationFile, NtClose, ReadFile, NtTerminateProcess, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PlugX, Троянская программа для удаленного доступа (RAT), связанная с злоумышленник, связанными с Китаем, такими как Mustang Panda и APT41, в основном используется для шпионажа против правительства и технологического сектора. Недавняя тактика включает кампании Целевой фишинг, которые доставляют вредоносные вложения по электронной почте, замаскированные под приглашения на собрания, используя DLL side-loading для выполнения полезной нагрузки и используя доверенные приложения. В работе вредоносное ПО использует закрепление реестра, связь по протоколу HTTPS и методы обфускации, такие как кодирование XOR, что подчеркивает его адаптивность и скрытность.
-----

PlugX, Троянская программа удаленного доступа (RAT), связанная с различными злоумышленник, связанными с Китаем, включая Mustang Panda и APT41, была активна с момента ее первого обнаружения в 2008 году. Это вредоносное ПО в основном используется для шпионажа, нацеленного на правительственные учреждения, дипломатические миссии, оборонные организации, технологические фирмы и НПО на нескольких континентах. Его закрепление атрибутирован с его оперативной универсальностью, особенно в кампаниях кибершпионажа.

Внедрение PlugX обычно включает в себя тактику Целевой фишинг, когда злоумышленники отправляют электронные письма, содержащие вредоносные вложения, или документы, содержащие макросы. Примечательным методом является использование DLL side-loading, при котором доверенные приложения используются для загрузки вредоносных файлов библиотеки динамических ссылок (DLL), что позволяет вредоносное ПО обходить меры безопасности. В недавнем случае, проанализированном LAB52, PlugX был доставлен через фишинг-электронное письмо под названием "Приглашение на встречу", что привело к выполнению вредоносной полезной нагрузки через исполняемый файл антивируса G DATA.

В этом инциденте цепочка заражения началась с фишинг-рассылки по электронной почте, которая содержала ссылки, предлагающие жертвам загрузить ZIP-файл. ZIP-файл содержал файл сценария (Invitation_Letter_No.02_2026.csproj) и исполняемый файл (Invitation_Letter_No.02_2026.exe ) предназначен для выполнения скрипта с использованием MSBuild.exe , идентифицированный как бинарный файл Living-off-the-Land (LOLBIN). Этот метод скрывал вредоносный характер операций, используя законный программный компонент. После выполнения процесс загрузки извлек вариант PlugX, Avk.dll , который был переименован, а затем загружен через DLL side-loading в исполняемый файл G DATA.

Вредоносное ПО поддерживает присутствие в зараженных системах посредством закрепление в реестре, автоматически запуская исполняемый файл G DATA. Кроме того, полезная нагрузка включает в себя поддельный PDF-файл, встроенный в раздел наложения, что типично для PlugX, который стремится скрыть свои вредоносные операции под слоями правдоподобного контента.

Связь с управляющим сервером осуществляется по протоколу HTTPS, что указывает на стремление сохранить конфиденциальность. Методология включения файлов-приманок и использования таких методов, как кодирование XOR для скрытия имен файлов, демонстрирует эволюционирующую сложность операций с PlugX, сохраняя при этом ее основополагающее мастерство. Такое сочетание социальной инженерии, технического исполнения и модульной конструкции подчеркивает его эффективность в обеспечении скрытного проникновения.

Использование тематических приглашений для фишинг-кампаний, аналогичных тем, которые наблюдаются в операциях APT, отражает более широкую тенденцию, когда злоумышленник использует доверие и формальность в социальных взаимодействиях для облегчения распространения вредоносное ПО. Предыдущие кампании аналогичным образом использовали мероприятия и конференции для распространения различных вредоносных программ, иллюстрируя постоянную адаптивность и закрепление тактики APT в кибероперациях.

#ParsedReport #CompletenessMedium
26-02-2026

Steaelite RAT Enables Double Extortion Attacks from a Single Panel

https://www.blackfog.com/steaelite-rat-double-extortion-from-single-panel/

Report completeness: Medium

Threats:
Steaelite
Hvnc_tool
Uac_bypass_technique
Credential_harvesting_technique
Redline_stealer
Lumma_stealer
Vidar_stealer

Victims:
Organizations, Corporate endpoints, Mobile devices employees use for authentication and messaging, West harlem group assistance

Industry:
Financial

Geo:
San francisco, Ireland, London, United kingdom

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T0858, T1005, T1021.001, T1021.004, T1027, T1057, T1059, T1059.003, T1059.005, T1091, have more...

IOCs:
Hash: 1

Soft:
Embarcadero, Android, Windows Defender, ClawdBot, OpenClaw

Algorithms:
sha256

Win API:
messagebox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Steaelite - это новая Троянская программа для удаленного доступа (RAT), обнаруженная в конце 2025 года, нацеленная на Windows 10 и 11 с веб-Панель управления, которая позволяет упростить выполнение атак с двойное вымогательство. Он сочетает в себе возможности кражи учетных данных и программ-вымогателей, автоматизируя сбор данных при первоначальном подключении жертвы, и предлагает такие функции, как Регистрация нажатий клавиш и мониторинг буфера обмена, потенциально распространяясь на мобильные устройства с предстоящим модулем Android. Такая конвергенция кражи данных и программ-вымогателей создает значительные риски для средств защиты от Кибербезопасность.
-----

Steaelite - это недавно появившаяся Троянская программа для удаленного доступа (RAT), которая получила распространение на подпольных хакерскаих платформах с момента своего создания в ноябре 2025 года. Разработанный для сред Windows, в частности Windows 10 и 11, Steaelite предлагает веб-Панель управления, позволяющую киберпреступникам выполнять различные вредоносные действия с помощью единого интерфейса, тем самым облегчая оптимизированные атаки с двойное вымогательство.

По своей сути Steaelite сочетает в себе множество функций, традиционно присущих отдельным инструментам, в частности, возможности кражи учетных данных и программ-вымогателей. Такая унификация повышает его привлекательность для злоумышленник, позволяя им проводить эксфильтрация данных и развертывание программ-вымогателей одновременно. Инструмент включает в себя широкий спектр модулей, которые позволяют осуществлять контроль и управление зараженными системами в режиме реального времени. Операторы могут отслеживать компьютеры жертв, управлять файлами, вести наблюдение в режиме реального времени с помощью экранов и веб-камер, выполнять произвольные команды и управлять процессами, среди прочих действий.

Одним из примечательных аспектов Steaelite является его функция автоматического сбор учетных записей, которая запускается при первоначальном подключении к компьютеру жертвы. Эта немедленная кража данных происходит независимо от того, подключается ли оператор к Панель управления, что означает, что конфиденциальная информация может быть компрометация до того, как будет отдана какая-либо явная команда. Интерфейс управления также предлагает дополнительные функции, такие как Регистрация нажатий клавиш, мониторинг буфера обмена (включая клипер для перехвата и изменения адресов криптовалютных кошельков) и возможность отображения пользовательских окон сообщений на экранах жертв для облегчения атак социальной инженерии.

Предстоящий выпуск модуля программы-вымогателя для Android предполагает, что Steaelite стремится расширить свой операционный охват на мобильные устройства, потенциально позволяя тем же операторам использовать корпоративные конечные точки, а также персональные устройства, используемые для процессов аутентификации. Это событие подчеркивает эволюционирующий ландшафт угроз, в котором различия между кражей данных и программами-вымогателями становятся все более размытыми, создавая проблемы для защиты от Кибербезопасность.

Для служб безопасности появление Steaelite подразумевает необходимость переоценки существующих защитных мер. Способность одного инструмента управлять как эксфильтрация данных, так и программами-вымогателями подчеркивает риски, связанные с несанкционированной передачей данных. Такие решения, как технология защиты от эксфильтрация данных BlackFog (ADX), обеспечивают механизмы защиты от таких конвергентных угроз, блокируя несанкционированные исходящие сообщения в режиме реального времени, что крайне важно для предотвращения двойной угрозы кражи данных с последующим шифрованием программ-вымогателей.

#ParsedReport #CompletenessLow
26-02-2026

Abusing .arpa: The TLD That Isnt Supposed to Host Anything

https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/

Report completeness: Low

Victims:
Government agencies, Universities, Telecommunication companies, Media organizations, Retailers, Food and beverage companies, General consumers

Industry:
Government, Foodtech, Transport, Telco, Energy, Retail, Education

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1204.001, T1566.002, T1568.002, T1583.001, T1583.002, T1583.004, T1608.006

IOCs:
Domain: 1041

Soft:
TikTok

Win Services:
bits

Platforms:
intel

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая тактика фишинг-атак использует домен верхнего уровня .arpa наряду с IPv6 для обхода обычных средств контроля безопасности. Злоумышленник использует функцию в определенных системах управления DNS для создания записей DNS, перенаправляющих на вредоносные IP-адреса в .arpa, злоупотребляя ею для размещения фишинг-сайтов. Они также используют такие стратегии, как перехват записей CNAME и встраивание опасных ссылок в фишинг-письма, что усложняет обнаружение и подчеркивает проблемы Кибербезопасность, основанные на анализе репутации домена.
-----

Недавно выявленный метод фишинг-атак использует домен верхнего уровня .arpa для обхода средств контроля безопасности, предназначенных для блокировки вредоносного контента. Злоумышленник злоупотребляет доменом .arpa, который предназначен для обратного поиска по DNS, для размещения фишинг-сайтов, добавляя записи DNS, указывающие на IP-адреса. Они выдают себя за крупные бренды и используют приманивающие изображения в электронных письмах, содержащих ссылки на вредоносные веб-сайты. Ссылки на фишинг закодированы в обратной строке DNS, чтобы скрыть потенциально подозрительные доменные имена.

Злоумышленники получают адресное пространство IPv6, что позволяет контролировать соответствующие поддомены .arpa и создавать записи адресов (A) вместо стандартных записей указателей (PTR). Они используют неправильные настройки DNS у таких авторитетных провайдеров, как Hurricane Electric и Cloudflare. Дополнительные стратегии включают перехват незарегистрированных записей CNAME и слежку за поддоменами, чтобы избежать обнаружения, при этом некоторые перехваченные записи остаются в рабочем состоянии с 2020 года.

Фишинг-письма предлагают пользователям заманчивые предложения, что приводит к Система распределения трафика, которая анализирует их подключение перед перенаправлением на вредоносные целевые страницы. Этот вектор атаки использует доверенный характер доменов .arpa, усложняя стратегии защиты, основанные на репутации домена и анализе. С использованием этого метода наблюдалась значительная активность в области фишинг-атак, что указывает на эволюцию тактики киберпреступников.

#ParsedReport #CompletenessMedium
26-02-2026

Malicious Go crypto Module Steals Passwords and Deploys Rekoobe Backdoor

https://socket.dev/blog/malicious-go-crypto-module-steals-passwords-and-deploys-rekoobe-backdoor

Report completeness: Medium

Actors/Campaigns:
Xinfeisoft
Apt31 (motivation: cyber_espionage)

Threats:
Rekoobe_rootkit
Tinyshell
Supply_chain_technique
Dead_drop_technique

Victims:
Software supply chain, Go ecosystem users, Linux systems, Cloud virtual machines, Continuous integration runners, Administrator hosts

TTPs:
Tactics: 2
Technics: 12

IOCs:
Url: 11
Domain: 4
File: 12
Hash: 2
IP: 2

Soft:
Linux, Outlook, curl, ubuntu, sudo, sudo curl, Unix

Algorithms:
sha256, bcrypt, chacha20

Functions:
ReadPassword, String

Links:
https://socket.dev/go/package/github.com/xinfeisoft/crypto?section=files&version=v0.15.0&path=ssh%2Fterminal%2Fterminal.go
https://socket.dev/go/package/github.com/xinfeisoft/crypto
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль Go, замаскированный под законный golang.org/x/crypto библиотека, предназначенная для систем Linux путем встраивания бэкдора в функцию ReadPassword. Этот многоступенчатый дроппер добавляет SSH-ключ к файлу authorized_keys и загружает дополнительные полезные файлы, такие как бэкдор Rekoobe Linux, связанный со шпионской деятельностью APT31's. Он захватывает конфиденциальные учетные данные пользователя и извлекает их во время выполнения команд с использованием гибкой сетевой инфраструктуры, используя уязвимости в supply chain программного обеспечения.
-----

Недавно выявленная угроза связана с вредоносным модулем Go, github.com/xinfeisoft/crypto , который маскируется под законный golang.org/x/crypto библиотека. Этот вредоносный модуль нацелен на системы Linux, в частности, ставя под угрозу безопасность с помощью встроенного бэкдора в функции ReadPassword в ssh/terminal/terminal.go. Учитывая, что библиотека x/crypto является основополагающей криптографической библиотекой, пользующейся широким доверием в экосистеме Go, такая Имперсонация делает вредоносный модуль мощной угрозой, поскольку он может легко вписываться в графики зависимостей, используемые различными приложениями.

Вредоносный модуль работает как многоступенчатый Linux-дроппер. При вызове он добавляет SSH-ключ к файлу authorized_keys пользователя ubuntu по умолчанию, изменяет iptables, чтобы разрешить весь трафик, и загружает дополнительные полезные файлы, замаскированные под медиафайлы .mp5, с сайта, контролируемого злоумышленник. Наш анализ выявил одну такую полезную нагрузку, названную 555.mp5, как бэкдор Rekoobe Linux, который обычно связывают атрибутирован с шпионской деятельностью APT31.

После выполнения встроенной функции ReadPassword модуль извлекает промежуточный файл со страницы, размещенной на GitHub, который он использует для определения следующей вредоносной конечной точки в цепочке выполнения. Примечательно, что цепочка выполнения включает в себя несколько сетевых переходов, которые приводят к развертыванию дополнительных полезных нагрузок, усиливая возможности модуля для гибких операций командования и контроля. Он фиксирует конфиденциальные интерактивные учетные данные, которые пользователи могут вводить во время типичных операций, позволяя злоумышленник извлекать их с помощью HTTP POST-запроса на внешний сервер, а также получать команды обратно.

Успех этой атаки зависит от тактики маскировки, которую использует злоумышленник, использующий доверие к оригинальной библиотеке Go. Такой подход не только подчеркивает опасность уязвимостей, связанных с supply chain программного обеспечения, но и открывает дискуссию о необходимости тщательного изучения сторонних модулей в рабочих процессах разработки программного обеспечения. В настоящее время пакет остается в списке общедоступных репозиториев, хотя команда Go security предприняла шаги по его блокировке после того, как стало известно о его вредоносном характере.

Этот инцидент согласуется с несколькими тактическими приемами, описанными в MITRE ATT&CK фреймворк, выделяя такие методы, как Компрометация цепочки поставок, Перехват вводимых данных и манипулирование авторизованным ключом SSH для сохранения доступа. Кроме того, инфраструктура указывает на дизайн, адаптированный для конкретных сценариев нацелен, включая потенциальные облачные среды, обычно использующие учетную запись ubuntu. Такой нацелен подход предполагает углубленное понимание операционной среды, создающей значительные риски для организаций в конкретных секторах.

#ParsedReport #CompletenessLow
26-02-2026

Fake Zoom and Google Meet scams install Teramind: A technical deep dive

https://www.malwarebytes.com/blog/threat-intel/2026/02/fake-zoom-and-google-meet-scams-install-teramind-a-technical-deep-dive

Report completeness: Low

Victims:
Zoom users, Google meet users

ChatGPT TTPs:
do not use without manual check
T1036.003, T1204.002, T1566.002

IOCs:
Domain: 2
Hash: 2
Path: 2
File: 2

Soft:
Zoom, Windows installer, Microsoft Store, Ubuntu, LiteSpeed, Windows Performance Monitor

Algorithms:
md5, sha256

Functions:
ReadPropertiesFromMsiName

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена продолжающаяся киберкампания, которая использует поддельные сервисы Zoom и Google Meet для распространения программного обеспечения для мониторинга Teramind под злонамеренным предлогом. Кампания начинается с фишинг-подхода, использующего копии законных сервисов, чтобы обманом заставить пользователей загрузить установщик. Оба варианта используют различные веб-инфраструктуры, но имеют общий вредоносный двоичный файл, который извлекает идентификаторы для конфигураций командования и контроля, используя запутывание и прокси-серверы SOCKS5, чтобы избежать обнаружения и поддерживать постоянный мониторинг.
-----

Недавний анализ выявил продолжающуюся киберкампанию с использованием поддельных сервисов Zoom и Google Meet для распространения законного программного обеспечения для мониторинга Teramind в вредоносном контексте. Первоначально замеченная в инциденте, произошедшем в феврале 2026 года, кампания началась с изощренной техники фишинг, которая использовала точную копию зала ожидания Zoom, чтобы побудить пользователей загрузить установщик Teramind без их согласия. Несмотря на то, что Teramind отрицает какую-либо связь с этими действиями, несанкционированное использование их программного обеспечения в целях слежки представляет значительную угрозу.

С тех пор кампания расширилась и теперь включает версию, имитирующую Google Meet, которая представляет собой мошенническую страницу Microsoft Store, помеченную как "Google Meet для встреч". Механизм установки использует серверную часть PHP для доставки MSI-файла непосредственно из инфраструктуры злоумышленника. Примечательно, что оба варианта мошенничества используют один и тот же базовый двоичный файл, но изменяют имя файла, чтобы оно соответствовало разным брендам. Этот двоичный файл идентифицируется с помощью общего хэша MD5, указывающего на одно вредоносное приложение, которое просто перемаркировано для разных доменов.

Технический анализ выявил различия в инфраструктуре между вариантами Zoom и Google Meet. Версия Zoom была размещена на веб-сервере Apache, в то время как в варианте Google Meet использовался сервер LiteSpeed, что предполагает стратегическую избыточность инфраструктуры во избежание обнаружения. В обоих вариантах использовалась комбинация поддельных регистраций доменов и вводящего в заблуждение дизайна сайтов, чтобы эффективно имитировать законные платформы.

Важно отметить, что развертывание установщика раскрывает его способность динамически извлекать идентификатор из имени файла для настройки параметров управления (C2), тем самым указывая на сложный механизм масштабируемости атаки. Вредоносное ПО проверяет наличие существующих установок Teramind и проверяет его параметры, выполняя тест подключения к предопределенному адресу сервера C2. Это подключение происходит почти сразу после установки, что указывает на постоянную угрозу мониторинга.

Кроме того, установленное программное обеспечение использует методы запутывания, используя имена, напоминающие законные Служба Windows, что увеличивает шансы избежать обнаружения средствами безопасности. Связь C2 также может использовать прокси-серверы SOCKS5, которые облегчают туннелирование данных, скрывая при этом природу трафика.

#ParsedReport #CompletenessHigh
26-02-2026

[Op Report\] Velvet Tempest linked to ClickFix campaigns for Termite Ransomware, HoK Activity Observed

https://blog.deception.pro/blog/clickfix-hok-velvet-tempest-termite

Report completeness: High

Actors/Campaigns:
Alpha_spider (motivation: financially_motivated)

Threats:
Clickfix_technique
Termite
Donutloader
Nightshade
Credential_harvesting_technique
Lolbin_technique
Dead_drop_technique
Credential_dumping_technique
Nltest_tool
Bitsadmin_tool

Victims:
Non profit organizations

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1036, T1057, T1059, T1059.001, T1059.003, T1087.002, T1105, T1105, T1140, T1204.002, have more...

IOCs:
File: 6
IP: 10
Domain: 19
Url: 10
Path: 4
Hash: 34
Command: 7

Soft:
Active Directory, Chrome, curl, Steam, Chromium, Windows PowerShell, Windows Installer

Algorithms:
sha256

Functions:
Remove-Item

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник Velvet Tempest осуществил многоэтапное вторжение, используя Вредоносная реклама с поддельной капчей, что привело к запуску пользователями запутанных команд, что облегчило выполнение команд и проверку подключения. Операция включала в себя использование PowerShell для загрузки и запуска вредоносных компонентов, установление закрепление с помощью сценариев Python и проведение разведка Active Directory, при этом сбор учетных записей выполнялся с помощью сценариев браузера. Ключевые показатели включали использование определенных доменов и инструментов, в то время как доставка вредоносное ПО основывалась на таких методах, как двоичные файлы living-off-the-land, что указывает на наличие угрозы, предшествующей вымогательству, без немедленного шифрования.
-----

Операция, подробно описанная в этом отчете, описывает значительное многоэтапное вторжение, связанное с Velvet Tempest, известным злоумышленник, связанным с программой-вымогателем Termite. Все началось с кампании по Вредоносная реклама с использованием поддельной капчи в стиле ClickFix style, которая побуждала пользователей вставлять запутанную команду в диалоговое окно запуска Windows. Это действие вызвало выполнение вложенных команд с использованием cmd.exe и использовал finger.exe утилита для проверки исходящего подключения по TCP-порту 79, в конечном счете извлекающая запутанный файл, замаскированный под PDF, из инфраструктуры злоумышленника.

Затем актор применил несколько приемов, чтобы усилить атаку. Он использовал PowerShell для загрузки и выполнения компонентов из вредоносных доменов, запускал динамические полезные нагрузки .NET через csc.exe из временных пользовательских папок и настройте закрепление путем развертывания компонентов на основе Python в C:\ProgramData каталог. Последующие действия включали в себя разведка Active Directory на предмет доверия домену и списков пользователей, а также сбор учетных записей из браузеров с использованием сценариев PowerShell, полученных с идентифицированного сервера управление.

При доставке вредоносное ПО использовало устоявшиеся методы, такие как двоичные файлы "living-off-the-land" (LOLBins) и постоянный трафик управление, который смешивался с обычной активностью браузера. Несмотря на то, что в течение периода наблюдения шифрование с помощью программ-вымогателей не происходило, общая картина указывает на подготовку, соответствующую поведению программ-вымогателей, типичному для операций Velvet Tempest. В частности, кампания продемонстрировала акцент на управляемом пользователем выполнении команд, а не на традиционных методах, таких как макросы или вложения.

Показатели компрометация включали использование таких доменов, как vrstudio.студия жизни и игр.жизнь на этапах поиска в PowerShell, наряду с заметным использованием таких инструментов, как DonutLoader и CastleRAT. Вредоносное ПО использовало сложные методы, чтобы избежать обнаружения, включая компиляцию кода на хост-компьютере и продвинутые методы извлечения учетных данных.

Рекомендации по защите подчеркивают важность отслеживания необычных шаблонов выполнения, связанных с пользовательским вводом, особенно отмечая выполнение PowerShell через диалоговое окно запуска Windows. Обнаружение также должно быть сосредоточено на использовании необычных сетевых утилит, таких как finger.exe , шаблоны команд PowerShell (IEX + DownloadData) и необычное поведение из csc.exe и pythonw.exe , поскольку это указывает на сложная целенаправленная угроза, использующая поэтапные методы доставки и исполнения. Кроме того, особое внимание уделяется усилению безопасности с помощью упреждающих мер, таких как DNS-фильтрация подозрительных доменов и политики контроля приложений для ограничения использования LOLBins. В целом, кампания является примером передовой и изощренной стратегии выполнения, требующей бдительности и многоуровневого подхода к обеспечению безопасности для защиты от подобных угроз.

#ParsedReport #CompletenessHigh
26-02-2026

APT37 Adds New Capabilities for Air-Gapped Networks

https://www.zscaler.com/blogs/security-research/apt37-adds-new-capabilities-air-gapped-networks

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Restleaf
Snakedropper
Thumbsbd
Virustask
Footwine
Bluelight
Chinotto
Process_injection_technique
Timestomp_technique

Victims:
Government related entities, Individuals interested in north korean media narratives, Air gapped systems users

Industry:
Government

Geo:
Dprk, North korean

TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 10
Coin: 1
Path: 4
Registry: 2
Url: 3
Domain: 3
Hash: 7
IP: 1

Soft:
Android, Windows registry, Microsoft OneDrive, DropBox

Algorithms:
sha256, xor, zip

Functions:
rand

Languages:
powershell, ruby