#ParsedReport #CompletenessHigh
27-02-2026
From Access to Encryption: Uncovering Qilin's Attack Lifecycle
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_8_takahiro_takeda_en.pdf
Report completeness: High
Actors/Campaigns:
Spacebears
Scattered_lapsus_hunters (motivation: financially_motivated)
0ktapus
Shinyhunters
Threats:
Qilin_ransomware
Lynx
Safepay
Inc_ransomware
Clop
Ransomhub
Nightspire
Rhysida
Ransomhouse
Kawalocker
Gunra
Devman
Cicada_ransomware
Hunters_international
Fog_ransomware
Deadbolt
D4rk4rmy
Dharma
Cephalus
Cactus_ransomware
Eldorado_ransomware
Royal_ransomware
Blacknevas
Kerberoasting_technique
Mimikatz_tool
Nltest_tool
Shadow_copies_delete_technique
Netscan_tool
Credential_dumping_technique
Pingcastle_tool
Mimik_tool
Chromepass_tool
Netpass_tool
Passview_tool
Teamviewer_tool
Lsadump_tool
Screenconnect_tool
Hrsword_tool
Dark-kill_tool
Truesightkiller_tool
Edr-killer
Powertool_tool
Cobalt_strike_tool
Systembc
Sandbox_evasion_technique
Psexec_tool
Sharpdecryptpwd_tool
Victims:
Manufacturing, Professional scientific and technical services, Wholesale trade, Health care and social assistance, Construction, Finance and insurance, Retail trade, Real estate and rental and leasing, Public administration, Educational services, have more...
Industry:
Financial, Education, Transport, Semiconductor_industry, Retail, Entertainment, Healthcare, Chemical, E-commerce, Foodtech
Geo:
Japan
TTPs:
Tactics: 10
Technics: 2
IOCs:
File: 29
Command: 22
Registry: 7
Coin: 1
Path: 7
IP: 1
Soft:
Telegram, SoftPerfect Network Scanner, Active Directory, AzureAD, PostgreSQL, WinSCP, Navicat, Foxmail, RDCMan, chrome, have more...
Wallets:
onekey
Algorithms:
zip, aes-ctr, base64, rc4
Functions:
Get-WinEvent, Get-Unique, Write-Host, Get-Datacenter, Get-Cluster, Set-Cluster, Get-VMHost
Win API:
ZwTerminateProcess, CryptAcquireContextA, CryptGenRandom, VirtualAlloc, VirtualProtect, CreateThreadpoolWait, SetThreadpoolWait, WaitForSingleObject, CreateEventA
Languages:
swift, powershell
Platforms:
amd64, x64, x86
YARA: Found
SIGMA: Found
27-02-2026
From Access to Encryption: Uncovering Qilin's Attack Lifecycle
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_8_takahiro_takeda_en.pdf
Report completeness: High
Actors/Campaigns:
Spacebears
Scattered_lapsus_hunters (motivation: financially_motivated)
0ktapus
Shinyhunters
Threats:
Qilin_ransomware
Lynx
Safepay
Inc_ransomware
Clop
Ransomhub
Nightspire
Rhysida
Ransomhouse
Kawalocker
Gunra
Devman
Cicada_ransomware
Hunters_international
Fog_ransomware
Deadbolt
D4rk4rmy
Dharma
Cephalus
Cactus_ransomware
Eldorado_ransomware
Royal_ransomware
Blacknevas
Kerberoasting_technique
Mimikatz_tool
Nltest_tool
Shadow_copies_delete_technique
Netscan_tool
Credential_dumping_technique
Pingcastle_tool
Mimik_tool
Chromepass_tool
Netpass_tool
Passview_tool
Teamviewer_tool
Lsadump_tool
Screenconnect_tool
Hrsword_tool
Dark-kill_tool
Truesightkiller_tool
Edr-killer
Powertool_tool
Cobalt_strike_tool
Systembc
Sandbox_evasion_technique
Psexec_tool
Sharpdecryptpwd_tool
Victims:
Manufacturing, Professional scientific and technical services, Wholesale trade, Health care and social assistance, Construction, Finance and insurance, Retail trade, Real estate and rental and leasing, Public administration, Educational services, have more...
Industry:
Financial, Education, Transport, Semiconductor_industry, Retail, Entertainment, Healthcare, Chemical, E-commerce, Foodtech
Geo:
Japan
TTPs:
Tactics: 10
Technics: 2
IOCs:
File: 29
Command: 22
Registry: 7
Coin: 1
Path: 7
IP: 1
Soft:
Telegram, SoftPerfect Network Scanner, Active Directory, AzureAD, PostgreSQL, WinSCP, Navicat, Foxmail, RDCMan, chrome, have more...
Wallets:
onekey
Algorithms:
zip, aes-ctr, base64, rc4
Functions:
Get-WinEvent, Get-Unique, Write-Host, Get-Datacenter, Get-Cluster, Set-Cluster, Get-VMHost
Win API:
ZwTerminateProcess, CryptAcquireContextA, CryptGenRandom, VirtualAlloc, VirtualProtect, CreateThreadpoolWait, SetThreadpoolWait, WaitForSingleObject, CreateEventA
Languages:
swift, powershell
Platforms:
amd64, x64, x86
YARA: Found
SIGMA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 27-02-2026 From Access to Encryption: Uncovering Qilin's Attack Lifecycle https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_8_takahiro_takeda_en.pdf Report completeness: High Actors/Campaigns: Spacebears Scattered_lapsus_hunters…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей Qilin повысила изощренность своих атак, особенно в Японии, применяя тактику, включающую использование учетные данные VPN для компрометация для первоначальный доступ, что позволяет проводить разведка и перемещение внутри компании путем сброса credential Dumping и повышение привилегий. Методы Xploit включают вредоносные команды, изменения реестра и отключение механизмов восстановления, таких как журналы событий Windows. Их деятельность включает в себя обширную эксфильтрация данных и потенциальное сотрудничество с финансово мотивированными бандами, что свидетельствует о меняющемся ландшафте угроз для будущих операций.
-----
Группа вымогателей Qilin была связана с 22 случаями вымогательства, что составляет 16,4% инцидентов в Японии. Первоначальный доступ часто достигается с помощью компрометация учетные данные VPN с форумов Dark Web. Qilin actors получают административный доступ, позволяющий проводить разведка, включая RDP-соединения и использование таких инструментов, как Mimikatz и PowerShell. Методы разведка включают в себя такие команды, как "nltest", "пользователь сети" и "учетные записи сети" для выявления важных целей. Они выполняют credential dumping с помощью Active Directory и повышают привилегии с помощью аутентификации NTLM. Qilin модифицирует брандмауэры для удаленного доступа и использует инструменты удаленного управления.
Вредоносное ПО удаляет журналы событий Windows и моментальные снимки службы Shadow Copy томов, чтобы препятствовать восстановлению. Он использует специальные конфигурации для шифрования файлов, использует обход символических ссылок и занесение определенных процессов в черный список. Эксфильтрация данных нацелена на финансовые данные, личную информацию и служебные документы. Сообщается, что Qilin сотрудничает с финансово мотивированными группами, такими как Scattered Spider и Lapsus$. Эффективная защита включает в себя агрессивные конфигурации EDR, оперативное реагирование на инциденты и строгие ограничения безопасности. Улучшенное ведение журнала и мониторинг имеют решающее значение для криминалистический анализ и выявления нарушений. Среднее время выполнения Qilin's после первоначальной компрометация составляет приблизительно 6,1 дня, при этом ожидается, что их операции будут развиваться и автоматизируют процессы, если не будут приняты контрмеры.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей Qilin повысила изощренность своих атак, особенно в Японии, применяя тактику, включающую использование учетные данные VPN для компрометация для первоначальный доступ, что позволяет проводить разведка и перемещение внутри компании путем сброса credential Dumping и повышение привилегий. Методы Xploit включают вредоносные команды, изменения реестра и отключение механизмов восстановления, таких как журналы событий Windows. Их деятельность включает в себя обширную эксфильтрация данных и потенциальное сотрудничество с финансово мотивированными бандами, что свидетельствует о меняющемся ландшафте угроз для будущих операций.
-----
Группа вымогателей Qilin была связана с 22 случаями вымогательства, что составляет 16,4% инцидентов в Японии. Первоначальный доступ часто достигается с помощью компрометация учетные данные VPN с форумов Dark Web. Qilin actors получают административный доступ, позволяющий проводить разведка, включая RDP-соединения и использование таких инструментов, как Mimikatz и PowerShell. Методы разведка включают в себя такие команды, как "nltest", "пользователь сети" и "учетные записи сети" для выявления важных целей. Они выполняют credential dumping с помощью Active Directory и повышают привилегии с помощью аутентификации NTLM. Qilin модифицирует брандмауэры для удаленного доступа и использует инструменты удаленного управления.
Вредоносное ПО удаляет журналы событий Windows и моментальные снимки службы Shadow Copy томов, чтобы препятствовать восстановлению. Он использует специальные конфигурации для шифрования файлов, использует обход символических ссылок и занесение определенных процессов в черный список. Эксфильтрация данных нацелена на финансовые данные, личную информацию и служебные документы. Сообщается, что Qilin сотрудничает с финансово мотивированными группами, такими как Scattered Spider и Lapsus$. Эффективная защита включает в себя агрессивные конфигурации EDR, оперативное реагирование на инциденты и строгие ограничения безопасности. Улучшенное ведение журнала и мониторинг имеют решающее значение для криминалистический анализ и выявления нарушений. Среднее время выполнения Qilin's после первоначальной компрометация составляет приблизительно 6,1 дня, при этом ожидается, что их операции будут развиваться и автоматизируют процессы, если не будут приняты контрмеры.
#ParsedReport #CompletenessLow
01-03-2026
The Ghost in the Resolver: Abusing Windows nslookup for Clickfix Payloads
https://medium.com/@Mr.AnyThink/the-ghost-in-the-resolver-abusing-windows-nslookup-for-clickfix-payloads-d8e78c8468b3?source=rss-b61b59bd2c7c------2
Report completeness: Low
Threats:
Clickfix_technique
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1041, T1059.001, T1071.004, T1105, T1204, T1562.001
IOCs:
Command: 1
File: 1
Soft:
Ubuntu, sudo, Linux, Windows Event Viewer, Windows DNS
Languages:
powershell
01-03-2026
The Ghost in the Resolver: Abusing Windows nslookup for Clickfix Payloads
https://medium.com/@Mr.AnyThink/the-ghost-in-the-resolver-abusing-windows-nslookup-for-clickfix-payloads-d8e78c8468b3?source=rss-b61b59bd2c7c------2
Report completeness: Low
Threats:
Clickfix_technique
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1041, T1059.001, T1071.004, T1105, T1204, T1562.001
IOCs:
Command: 1
File: 1
Soft:
Ubuntu, sudo, Linux, Windows Event Viewer, Windows DNS
Languages:
powershell
Medium
The Ghost in the Resolver: Abusing Windows nslookup for Clickfix Payloads
Introduction
CTT Report Hub
#ParsedReport #CompletenessLow 01-03-2026 The Ghost in the Resolver: Abusing Windows nslookup for Clickfix Payloads https://medium.com/@Mr.AnyThink/the-ghost-in-the-resolver-abusing-windows-nslookup-for-clickfix-payloads-d8e78c8468b3?source=rss-b61b59bd2c7c…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Метод атаки "Clickfix" использует утилиту Windows nslookup и записи DNS для скрытой доставки полезной нагрузки вредоносное ПО, в частности команд PowerShell, замаскированных в записях CNAME и A. Манипулируя DNS-запросами, злоумышленники обходят традиционные средства контроля безопасности, используя социальную инженерию, чтобы обманом заставить пользователей выполнять вредоносные инструкции. Смоделированная среда выявила пробелы в регистрации Sysmon, поскольку nslookup может не генерировать ожидаемые журналы событий DNS, что усложняет криминалистический анализ.
-----
Появляющийся метод атаки "Clickfix" использует утилиту Windows nslookup для скрытой доставки полезной нагрузки вредоносное ПО путем манипулирования записями DNS, в частности записями CNAME и A. Злоумышленники используют систему доменных имен (DNS), протокол, который часто игнорируется брандмауэрами, для преобразования стандартных запросов в векторы для доставки команд. Вместо простого преобразования имен хостов в IP-адреса ответы DNS могут передавать сложные полезные данные PowerShell, замаскированные в тексте ответа, эффективно обходя традиционные средства контроля безопасности.
В смоделированной среде AWS этот метод был протестирован с использованием Scapy для наблюдения за переходом от простых запросов к записи A к более сложным записям CNAME, которые максимально увеличивают потенциал обнаружения в журналах криминалистический анализ, в частности, Sysmon Event ID 22. Стратегия переосмысливает социальную инженерию, переходя от типичных вложений электронной почты к интерактивному "ремонту", имитирующему ошибки браузера. Этот метод побуждает пользователей следовать инструкциям по "исправлению" вредоносных программ, используя надежные системные двоичные файлы.
Моделирование включало в себя создание поддельного DNS-сервер, способного доставлять эти вредоносные полезные данные. Было необходимо скорректировать конфигурации DNS, особенно на компьютерах с Windows, где поведение по умолчанию может усложнить тестирование. Например, использование порта 5353 часто помогало обходить конфликты в Linux, но Windows требовала более прямого подхода с использованием порта 53 для эффективного манипулирования записями. Важнейшим нововведением здесь является запись CNAME, которая позволяет беспрепятственно передавать строки, содержащие команды PowerShell.
Во время выполнения DNS-запрос, направленный на этот вредоносный сервер, привел к доставке полезной нагрузки в целевую систему. Моделирование выявило потенциальные артефакты криминалистический анализ, возникающие в результате такой активности, при этом Sysmon регистрировал DNS-запросы, раскрывающие команды PowerShell. Однако был отмечен пробел в обнаружении; поскольку nslookup не всегда использует API DNS-клиента Windows, используемый Sysmon, он может не запускать ожидаемые журналы событий DNS, вместо этого отображаясь в различных событиях создания процесса.
В конечном счете, механизм Clickfix является примером значительного технического использования надежных системных инструментов благодаря продуманной технологии, сочетающей социальную инженерию с глубоким пониманием функциональных возможностей DNS, что создает проблемы как для механизмов обнаружения, так и для предотвращения в области Кибербезопасность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Метод атаки "Clickfix" использует утилиту Windows nslookup и записи DNS для скрытой доставки полезной нагрузки вредоносное ПО, в частности команд PowerShell, замаскированных в записях CNAME и A. Манипулируя DNS-запросами, злоумышленники обходят традиционные средства контроля безопасности, используя социальную инженерию, чтобы обманом заставить пользователей выполнять вредоносные инструкции. Смоделированная среда выявила пробелы в регистрации Sysmon, поскольку nslookup может не генерировать ожидаемые журналы событий DNS, что усложняет криминалистический анализ.
-----
Появляющийся метод атаки "Clickfix" использует утилиту Windows nslookup для скрытой доставки полезной нагрузки вредоносное ПО путем манипулирования записями DNS, в частности записями CNAME и A. Злоумышленники используют систему доменных имен (DNS), протокол, который часто игнорируется брандмауэрами, для преобразования стандартных запросов в векторы для доставки команд. Вместо простого преобразования имен хостов в IP-адреса ответы DNS могут передавать сложные полезные данные PowerShell, замаскированные в тексте ответа, эффективно обходя традиционные средства контроля безопасности.
В смоделированной среде AWS этот метод был протестирован с использованием Scapy для наблюдения за переходом от простых запросов к записи A к более сложным записям CNAME, которые максимально увеличивают потенциал обнаружения в журналах криминалистический анализ, в частности, Sysmon Event ID 22. Стратегия переосмысливает социальную инженерию, переходя от типичных вложений электронной почты к интерактивному "ремонту", имитирующему ошибки браузера. Этот метод побуждает пользователей следовать инструкциям по "исправлению" вредоносных программ, используя надежные системные двоичные файлы.
Моделирование включало в себя создание поддельного DNS-сервер, способного доставлять эти вредоносные полезные данные. Было необходимо скорректировать конфигурации DNS, особенно на компьютерах с Windows, где поведение по умолчанию может усложнить тестирование. Например, использование порта 5353 часто помогало обходить конфликты в Linux, но Windows требовала более прямого подхода с использованием порта 53 для эффективного манипулирования записями. Важнейшим нововведением здесь является запись CNAME, которая позволяет беспрепятственно передавать строки, содержащие команды PowerShell.
Во время выполнения DNS-запрос, направленный на этот вредоносный сервер, привел к доставке полезной нагрузки в целевую систему. Моделирование выявило потенциальные артефакты криминалистический анализ, возникающие в результате такой активности, при этом Sysmon регистрировал DNS-запросы, раскрывающие команды PowerShell. Однако был отмечен пробел в обнаружении; поскольку nslookup не всегда использует API DNS-клиента Windows, используемый Sysmon, он может не запускать ожидаемые журналы событий DNS, вместо этого отображаясь в различных событиях создания процесса.
В конечном счете, механизм Clickfix является примером значительного технического использования надежных системных инструментов благодаря продуманной технологии, сочетающей социальную инженерию с глубоким пониманием функциональных возможностей DNS, что создает проблемы как для механизмов обнаружения, так и для предотвращения в области Кибербезопасность.
#ParsedReport #CompletenessLow
27-02-2026
A deep-dive into RapperBot C2 operation and DDoS attacks
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_5_hideyuki-furukawa_en.pdf
Report completeness: Low
Actors/Campaigns:
Ddos-for-hire
Threats:
Rapperbot
Mirai
Udpflood_technique
Synflood_technique
Ackflood_technique
Tcpflood_technique
Tcpstomp_technique
Httpflood_technique
Victims:
Twitter inc, Gaming servers, Internet service providers, Social networking services
Industry:
Entertainment, Government, Iot
Geo:
Taiwan, Brazil, Pacific, Ireland, Turkey, Chinese, Russia, Japan, China, Hong kong, Netherlands, Germany
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1021.001, T1021.004, T1046, T1071, T1071.001, T1090, T1105, T1110, T1190, T1498, have more...
IOCs:
IP: 3
File: 16
Soft:
Twitter
Crypto:
monero
Algorithms:
xor, chacha20, sha256
Languages:
python
Platforms:
arm
27-02-2026
A deep-dive into RapperBot C2 operation and DDoS attacks
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_5_hideyuki-furukawa_en.pdf
Report completeness: Low
Actors/Campaigns:
Ddos-for-hire
Threats:
Rapperbot
Mirai
Udpflood_technique
Synflood_technique
Ackflood_technique
Tcpflood_technique
Tcpstomp_technique
Httpflood_technique
Victims:
Twitter inc, Gaming servers, Internet service providers, Social networking services
Industry:
Entertainment, Government, Iot
Geo:
Taiwan, Brazil, Pacific, Ireland, Turkey, Chinese, Russia, Japan, China, Hong kong, Netherlands, Germany
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.001, T1021.004, T1046, T1071, T1071.001, T1090, T1105, T1110, T1190, T1498, have more...
IOCs:
IP: 3
File: 16
Soft:
Crypto:
monero
Algorithms:
xor, chacha20, sha256
Languages:
python
Platforms:
arm
CTT Report Hub
#ParsedReport #CompletenessLow 27-02-2026 A deep-dive into RapperBot C2 operation and DDoS attacks https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_5_hideyuki-furukawa_en.pdf Report completeness: Low Actors/Campaigns: Ddos-for-hire Threats: Rapperbot…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RapperBot, вариант ботнет Mirai, был вовлечен в масштабные DDoS-атаки с использованием компрометация IoT-устройств на базе Linux, в частности видеорегистраторов, и, по прогнозам, к 2025 году число зараженных устройств вырастет примерно до 60 000. Ботнет использует различные методы распространения, такие как сканирование по SSH и Telnet, и выполняет несколько типов DDoS-атак, включая TCP, UDP и наводнения на прикладном уровне. После ареста его оператора Итана Дж. Фольца его операции по управление были прекращены, что означало потенциальный конец его деятельности на фоне существенной угрозы, которую он представлял во всем мире.
-----
RapperBot, один из вариантов ботнет Mirai, был вовлечен в серию распределенных атак типа "отказ в обслуживании" (DDoS) с использованием сети, состоящей в основном из компрометация IoT-устройств на базе Linux, в частности видеорегистраторов. Ботнет использует несколько методов распространения, включая сканирование по SSH, сканирование по Telnet, сканирование по HTTP и подход, обозначенный как "без сканирования". Прогноз по зараженным устройствам указывает на значительный рост, оцениваемый примерно в 60 000 устройств к 2025 году. Предполагаемый оператор, Итан Дж. Фольц, был арестован 6 августа 2025 года, что привело к захвату его серверов управление (C2).
Анализ показывает корреляцию между временем выполнения команд RapperBot и наблюдаемыми перебоями в обслуживании, особенно оказывающими воздействие на крупные организации, такие как Twitter Inc. Эта корреляция подчеркивает настоятельную необходимость анализа работы таких крупномасштабных ботнет-сетей для лучшей осведомленности об угрозах. Детальное изучение командной инфраструктуры RapperBot's C2 позволяет выявить различные операционные команды, такие как использование устройства и инициирование атаки.
Ключевые функциональные возможности RapperBot включают механизмы идентификации устройств, управления выполнением команд и проведения DDoS-атак по целому ряду протоколов. Возможности атак включают UDP floods, SYN floods, TCP floods и атаки прикладного уровня, такие как HTTP floods. Ботнет использует такую тактику, как отправка поддельных пакетов с поддельными IP-адресами источника и сбор информации об устройстве жертвы, которая передается обратно на серверы C2.
Ландшафт DDoS-атак, представленный RapperBot, обширен: в отчетах указывается, что с апреля по начало августа 2025 года было совершено более 370 000 атак, нацеленных на широкий круг жертв в нескольких странах, включая Китай, Японию и Соединенные Штаты. Структура команд для DDoS-атаки детализирует различные параметры полезной нагрузки и векторы атак, оптимизированные для скорости и эффективности, демонстрируя как интегрированные, так и новые возможности с течением времени.
Поразительной эксплуатационной характеристикой является то, что ботнет меняет свои серверы C2, если в течение определенного периода времени не поступают команды, что повышает его устойчивость к обнаружению и нарушению работы. Последняя зарегистрированная активность указывает на то, что связь с ботнет C2 прекратилась вскоре после ареста Фольца, что, возможно, ознаменовало окончание операций RapperBot's. Этот инцидент высвечивает текущие проблемы в борьбе с угрозами DDoS, исходящими от сложных инфраструктур ботнет, которые используют большие сети устройств компрометация.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RapperBot, вариант ботнет Mirai, был вовлечен в масштабные DDoS-атаки с использованием компрометация IoT-устройств на базе Linux, в частности видеорегистраторов, и, по прогнозам, к 2025 году число зараженных устройств вырастет примерно до 60 000. Ботнет использует различные методы распространения, такие как сканирование по SSH и Telnet, и выполняет несколько типов DDoS-атак, включая TCP, UDP и наводнения на прикладном уровне. После ареста его оператора Итана Дж. Фольца его операции по управление были прекращены, что означало потенциальный конец его деятельности на фоне существенной угрозы, которую он представлял во всем мире.
-----
RapperBot, один из вариантов ботнет Mirai, был вовлечен в серию распределенных атак типа "отказ в обслуживании" (DDoS) с использованием сети, состоящей в основном из компрометация IoT-устройств на базе Linux, в частности видеорегистраторов. Ботнет использует несколько методов распространения, включая сканирование по SSH, сканирование по Telnet, сканирование по HTTP и подход, обозначенный как "без сканирования". Прогноз по зараженным устройствам указывает на значительный рост, оцениваемый примерно в 60 000 устройств к 2025 году. Предполагаемый оператор, Итан Дж. Фольц, был арестован 6 августа 2025 года, что привело к захвату его серверов управление (C2).
Анализ показывает корреляцию между временем выполнения команд RapperBot и наблюдаемыми перебоями в обслуживании, особенно оказывающими воздействие на крупные организации, такие как Twitter Inc. Эта корреляция подчеркивает настоятельную необходимость анализа работы таких крупномасштабных ботнет-сетей для лучшей осведомленности об угрозах. Детальное изучение командной инфраструктуры RapperBot's C2 позволяет выявить различные операционные команды, такие как использование устройства и инициирование атаки.
Ключевые функциональные возможности RapperBot включают механизмы идентификации устройств, управления выполнением команд и проведения DDoS-атак по целому ряду протоколов. Возможности атак включают UDP floods, SYN floods, TCP floods и атаки прикладного уровня, такие как HTTP floods. Ботнет использует такую тактику, как отправка поддельных пакетов с поддельными IP-адресами источника и сбор информации об устройстве жертвы, которая передается обратно на серверы C2.
Ландшафт DDoS-атак, представленный RapperBot, обширен: в отчетах указывается, что с апреля по начало августа 2025 года было совершено более 370 000 атак, нацеленных на широкий круг жертв в нескольких странах, включая Китай, Японию и Соединенные Штаты. Структура команд для DDoS-атаки детализирует различные параметры полезной нагрузки и векторы атак, оптимизированные для скорости и эффективности, демонстрируя как интегрированные, так и новые возможности с течением времени.
Поразительной эксплуатационной характеристикой является то, что ботнет меняет свои серверы C2, если в течение определенного периода времени не поступают команды, что повышает его устойчивость к обнаружению и нарушению работы. Последняя зарегистрированная активность указывает на то, что связь с ботнет C2 прекратилась вскоре после ареста Фольца, что, возможно, ознаменовало окончание операций RapperBot's. Этот инцидент высвечивает текущие проблемы в борьбе с угрозами DDoS, исходящими от сложных инфраструктур ботнет, которые используют большие сети устройств компрометация.
#ParsedReport #CompletenessHigh
27-02-2026
Unmasking the CoGUI Phishing Kit, the Major Chinese Phishing-as-a-Service Targeting Japan
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_2_%20shadow_liu-lime_chen-albert_song_en.pdf
Report completeness: High
Threats:
Cogui
Fishingmaster_tool
Cloaking_technique
Lighthouse_tool
Haozi_tool
Pheonix
Panda_shop_tool
Lucid_tool
Victims:
Financial services, Securities firms, Japanese organizations
Industry:
Aerospace, Petroleum, Financial
Geo:
Italia, Niger, China, Tokyo, America, American, New york, Chinese, Mali, Japan, Japanese, Asia
ChatGPT TTPs:
T1027, T1036, T1102, T1204.001, T1566, T1583.001, T1583.003, T1584.005, T1585.001, T1587.001, have more...
IOCs:
Domain: 3
File: 23
IP: 6
Hash: 2
Soft:
Telegram, curl, Ubuntu, Ubuntu Sudo, sudo, Android
Wallets:
coinbase
Algorithms:
aes-128-cbc, des, aes, base64
Functions:
createOrGetUserInfo, getState, Zr, 4, m4, up, w3, f299, f365, f307, have more...
Languages:
javascript
Platforms:
apple
27-02-2026
Unmasking the CoGUI Phishing Kit, the Major Chinese Phishing-as-a-Service Targeting Japan
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_2_%20shadow_liu-lime_chen-albert_song_en.pdf
Report completeness: High
Threats:
Cogui
Fishingmaster_tool
Cloaking_technique
Lighthouse_tool
Haozi_tool
Pheonix
Panda_shop_tool
Lucid_tool
Victims:
Financial services, Securities firms, Japanese organizations
Industry:
Aerospace, Petroleum, Financial
Geo:
Italia, Niger, China, Tokyo, America, American, New york, Chinese, Mali, Japan, Japanese, Asia
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1102, T1204.001, T1566, T1583.001, T1583.003, T1584.005, T1585.001, T1587.001, have more...
IOCs:
Domain: 3
File: 23
IP: 6
Hash: 2
Soft:
Telegram, curl, Ubuntu, Ubuntu Sudo, sudo, Android
Wallets:
coinbase
Algorithms:
aes-128-cbc, des, aes, base64
Functions:
createOrGetUserInfo, getState, Zr, 4, m4, up, w3, f299, f365, f307, have more...
Languages:
javascript
Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessHigh 27-02-2026 Unmasking the CoGUI Phishing Kit, the Major Chinese Phishing-as-a-Service Targeting Japan https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_2_%20shadow_liu-lime_chen-albert_song_en.pdf Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор для фишинг-атак CoGUI стал заметной угрозой в Японии, используя модель "Фишинг как услуга" для проведения масштабных кампаний фишинг-рассылки с использованием сложной инфраструктуры, доступной для филиалов с низкой квалификацией. Он отличается упрощенным развертыванием через Docker и использует кастомные JavaScript-логики, чтобы избежать обнаружения. Несмотря на юридические проблемы и закрытие своих первоначальных платформ, адаптированные сообществом приложения, такие как "Shadow Garden", продолжают увековечивать угрозы фишинг, поддерживая эффективную тактику и адаптируясь к мерам по борьбе с фишинг.
-----
Набор для фишинг-анализа CoGUI недавно стал важным злоумышленник в экосистеме фишинг-анализа, особенно нацеленный на Японию. Первоначально выявленный в мае 2025 года, CoGUI участвовал в масштабных кампаниях по фишинг-рассылке миллионов сообщений, адресованных японским пользователям. Этот набор является примером модели "фишинг как услуга" (PhaaS), которая предоставляет филиалам с низкой квалификацией доступ к сложной инфраструктуре фишинг-мониторинга, снижая барьеры для проникновения киберпреступников.
Набор CoGUI и связанные с ним кампании включают в себя такие функции, как простые HTML-шаблоны с созданием контента из одного файла CSS и JavaScript с использованием Vue.js . Оперативная настройка этих фишинг-сайтов предполагает развертывание в один клик на основе Docker, что позволяет быстро и масштабируемо осуществлять фишинг-атаки. Каждый набор для фишинг-атак включает в себя отдельные файлы JavaScript, защищающие логику от обнаружения даже в тех случаях, когда автоматические сканеры могут не получить доступ к живым страницам.
Кроме того, административные панели, связанные с PhaaS-сервисом FishingMaster, были активны с середины 2024 года, достигнув пика в начале 2025 года, когда во время кампаний фишинг одновременно работало около 500 панелей. Изначально FishingMaster активно продвигался в сетях Телеграм, утверждая, что он предоставляет наборы для фишинг-атак для более чем 40 японских сервисов. Однако после судебных исков и публичного разоблачения, включая судебный иск Google в ноябре 2025 года против Lighthouse PhaaS, сервер лицензий и каналы связи FishingMaster были внезапно отключены.
Несмотря на закрытие, полезность наборов FishingMaster продолжалась благодаря тиражированию сообществом, а пиратская версия под названием "Shadow Garden" стала доступна в подпольных кругах. Устойчивость этих наборов указывает на то, что они по-прежнему считаются эффективными, подчеркивая потенциал сохраняющихся угроз фишинг, несмотря на неудачи их первоначальных разработчиков.
Оперативная тактика этих актор-фишинг-агентов свидетельствует о глубоком понимании ландшафта их целей. Они стратегически минимизируют риски, избегая дорогостоящих объектов, таких как компании, занимающиеся ценными бумагами, сохраняя при этом акцент на областях с низким уровнем риска. Постоянная корректировка шаблонов для фишинг-атак в ответ на изменения в области борьбы с фишинг-атаками отражает высокий уровень ситуационной осведомленности этих злоумышленник. Некоторые наборы для фишинг-атак даже используют механизмы cloaking, чтобы скрыть свои истинные намерения, что еще больше усложняет усилия по обнаружению.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор для фишинг-атак CoGUI стал заметной угрозой в Японии, используя модель "Фишинг как услуга" для проведения масштабных кампаний фишинг-рассылки с использованием сложной инфраструктуры, доступной для филиалов с низкой квалификацией. Он отличается упрощенным развертыванием через Docker и использует кастомные JavaScript-логики, чтобы избежать обнаружения. Несмотря на юридические проблемы и закрытие своих первоначальных платформ, адаптированные сообществом приложения, такие как "Shadow Garden", продолжают увековечивать угрозы фишинг, поддерживая эффективную тактику и адаптируясь к мерам по борьбе с фишинг.
-----
Набор для фишинг-анализа CoGUI недавно стал важным злоумышленник в экосистеме фишинг-анализа, особенно нацеленный на Японию. Первоначально выявленный в мае 2025 года, CoGUI участвовал в масштабных кампаниях по фишинг-рассылке миллионов сообщений, адресованных японским пользователям. Этот набор является примером модели "фишинг как услуга" (PhaaS), которая предоставляет филиалам с низкой квалификацией доступ к сложной инфраструктуре фишинг-мониторинга, снижая барьеры для проникновения киберпреступников.
Набор CoGUI и связанные с ним кампании включают в себя такие функции, как простые HTML-шаблоны с созданием контента из одного файла CSS и JavaScript с использованием Vue.js . Оперативная настройка этих фишинг-сайтов предполагает развертывание в один клик на основе Docker, что позволяет быстро и масштабируемо осуществлять фишинг-атаки. Каждый набор для фишинг-атак включает в себя отдельные файлы JavaScript, защищающие логику от обнаружения даже в тех случаях, когда автоматические сканеры могут не получить доступ к живым страницам.
Кроме того, административные панели, связанные с PhaaS-сервисом FishingMaster, были активны с середины 2024 года, достигнув пика в начале 2025 года, когда во время кампаний фишинг одновременно работало около 500 панелей. Изначально FishingMaster активно продвигался в сетях Телеграм, утверждая, что он предоставляет наборы для фишинг-атак для более чем 40 японских сервисов. Однако после судебных исков и публичного разоблачения, включая судебный иск Google в ноябре 2025 года против Lighthouse PhaaS, сервер лицензий и каналы связи FishingMaster были внезапно отключены.
Несмотря на закрытие, полезность наборов FishingMaster продолжалась благодаря тиражированию сообществом, а пиратская версия под названием "Shadow Garden" стала доступна в подпольных кругах. Устойчивость этих наборов указывает на то, что они по-прежнему считаются эффективными, подчеркивая потенциал сохраняющихся угроз фишинг, несмотря на неудачи их первоначальных разработчиков.
Оперативная тактика этих актор-фишинг-агентов свидетельствует о глубоком понимании ландшафта их целей. Они стратегически минимизируют риски, избегая дорогостоящих объектов, таких как компании, занимающиеся ценными бумагами, сохраняя при этом акцент на областях с низким уровнем риска. Постоянная корректировка шаблонов для фишинг-атак в ответ на изменения в области борьбы с фишинг-атаками отражает высокий уровень ситуационной осведомленности этих злоумышленник. Некоторые наборы для фишинг-атак даже используют механизмы cloaking, чтобы скрыть свои истинные намерения, что еще больше усложняет усилия по обнаружению.
#ParsedReport #CompletenessMedium
23-02-2026
Malicious OpenClaw Skills Used to Distribute Atomic macOS Stealer
https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html
Report completeness: Medium
Actors/Campaigns:
Clawhavoc
Threats:
Amos_stealer
Supply_chain_technique
Clickfix_technique
Victims:
Apple users, Macos users, Ai agent platforms users
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1041, T1056.002, T1059, T1082, T1083, T1105, T1199, T1204, have more...
IOCs:
File: 3
Url: 3
Domain: 1
Soft:
OpenClaw, macOS, ClawHub, KeePass, Telegram, Claude, curl, Discord, Ledger Live
Wallets:
trezor, metamask, tron, exodus_wallet, coin98, mytonwallet, guarda_wallet, martian_wallet, cyano, jaxx, have more...
Crypto:
ethereum, solana
Algorithms:
zip, base64, xor
Platforms:
apple, intel
23-02-2026
Malicious OpenClaw Skills Used to Distribute Atomic macOS Stealer
https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html
Report completeness: Medium
Actors/Campaigns:
Clawhavoc
Threats:
Amos_stealer
Supply_chain_technique
Clickfix_technique
Victims:
Apple users, Macos users, Ai agent platforms users
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1041, T1056.002, T1059, T1082, T1083, T1105, T1199, T1204, have more...
IOCs:
File: 3
Url: 3
Domain: 1
Soft:
OpenClaw, macOS, ClawHub, KeePass, Telegram, Claude, curl, Discord, Ledger Live
Wallets:
trezor, metamask, tron, exodus_wallet, coin98, mytonwallet, guarda_wallet, martian_wallet, cyano, jaxx, have more...
Crypto:
ethereum, solana
Algorithms:
zip, base64, xor
Platforms:
apple, intel
Trend Micro
Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer
Malicious OpenClaw skills trick AI agents and users into installing a new AMOS variant that steals extensive data at scale.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-02-2026 Malicious OpenClaw Skills Used to Distribute Atomic macOS Stealer https://www.trendmicro.com/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Atomic macOS Stealer (AMOS) развивает свои методы распространения, внедряя вредоносное ПО в платформы, управляемые искусственным интеллектом, такие как OpenClaw, используя обманчивые SKILL.md файлы, чтобы обманом заставить пользователей установить их. Этот вариант нацелен на устройства Apple, удаляя конфиденциальные данные, такие как учетные данные и пользовательские документы, избегая при этом файлов .env, чтобы избежать обнаружения. AMOS функционирует как вредоносное ПО как услуга (MaaS) и использует методы, которые используют supply Chains, что еще больше усложняет обнаружение за счет стратегического манипулирования как поведением пользователей, так и базовыми архитектурами.
-----
Atomic macOS Stealer (AMOS) усовершенствовал свои методы распространения, используя рабочие процессы искусственного интеллекта и вводящие в заблуждение SKILL.md файлы загружаются на такие платформы, как ClawHub и SkillsMP. Это вредоносное ПО обманом заставляет пользователей устанавливать его, Маскировка под законные приложения и запрос на ввод пароля. Вариант AMOS использует supply Chains, внедряя вредоносное ПО в доброкачественные навыки OpenClaw, и фокусируется на извлечении конфиденциальных данных, таких как Связка ключей Apple и KeePass, пользовательских документов и сообщений из приложений, таких как Телеграм. Он работает как вредоносное ПО как услуга (MaaS), используя универсальный двоичный формат, совместимый как с кремниевыми архитектурами Intel, так и Apple. После установки AMOS собирает имена пользователей, пароли и системную информацию, отправляя данные на сервер управление (C&C). Вредоносное ПО позволяет избежать эксфильтрации env-файлов, которые обычно содержат API-ключи. Первоначальный доступ основан на введении пользователей в заблуждение, что позволяет избежать обнаружения такими инструментами, как VirusTotal. AMOS использует специальные методы подписи кода и может быть помечен сложными возможностями обнаружения искусственного интеллекта во время установки. Операторы также могут устанавливать бэкдорные версии криптовалютных кошельков, что указывает на акцент на нарушениях финансовой безопасности. Меняющийся ландшафт распространения вредоносное ПО усложняет усилия по обнаружению и реагированию, подчеркивая необходимость в проактивных стратегиях мониторинга и защиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Atomic macOS Stealer (AMOS) развивает свои методы распространения, внедряя вредоносное ПО в платформы, управляемые искусственным интеллектом, такие как OpenClaw, используя обманчивые SKILL.md файлы, чтобы обманом заставить пользователей установить их. Этот вариант нацелен на устройства Apple, удаляя конфиденциальные данные, такие как учетные данные и пользовательские документы, избегая при этом файлов .env, чтобы избежать обнаружения. AMOS функционирует как вредоносное ПО как услуга (MaaS) и использует методы, которые используют supply Chains, что еще больше усложняет обнаружение за счет стратегического манипулирования как поведением пользователей, так и базовыми архитектурами.
-----
Atomic macOS Stealer (AMOS) усовершенствовал свои методы распространения, используя рабочие процессы искусственного интеллекта и вводящие в заблуждение SKILL.md файлы загружаются на такие платформы, как ClawHub и SkillsMP. Это вредоносное ПО обманом заставляет пользователей устанавливать его, Маскировка под законные приложения и запрос на ввод пароля. Вариант AMOS использует supply Chains, внедряя вредоносное ПО в доброкачественные навыки OpenClaw, и фокусируется на извлечении конфиденциальных данных, таких как Связка ключей Apple и KeePass, пользовательских документов и сообщений из приложений, таких как Телеграм. Он работает как вредоносное ПО как услуга (MaaS), используя универсальный двоичный формат, совместимый как с кремниевыми архитектурами Intel, так и Apple. После установки AMOS собирает имена пользователей, пароли и системную информацию, отправляя данные на сервер управление (C&C). Вредоносное ПО позволяет избежать эксфильтрации env-файлов, которые обычно содержат API-ключи. Первоначальный доступ основан на введении пользователей в заблуждение, что позволяет избежать обнаружения такими инструментами, как VirusTotal. AMOS использует специальные методы подписи кода и может быть помечен сложными возможностями обнаружения искусственного интеллекта во время установки. Операторы также могут устанавливать бэкдорные версии криптовалютных кошельков, что указывает на акцент на нарушениях финансовой безопасности. Меняющийся ландшафт распространения вредоносное ПО усложняет усилия по обнаружению и реагированию, подчеркивая необходимость в проактивных стратегиях мониторинга и защиты.
#ParsedReport #CompletenessHigh
27-02-2026
APT36 : Multi-Vector Execution Malware Campaign Targeting Indian Government Entities
https://www.cyfirma.com/research/apt36-multi-vector-execution-malware-campaign-targeting-indian-government-entities/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage, information_theft, financially_motivated)
Threats:
Junk_code_technique
Motw_bypass_technique
Spear-phishing_technique
Lolbin_technique
Victims:
Indian government entities, Defense organizations, Strategic individuals
Industry:
Government
Geo:
Indian, Pakistan
TTPs:
Tactics: 9
Technics: 29
IOCs:
File: 6
Path: 1
Hash: 7
IP: 1
Domain: 1
Soft:
Microsoft PowerPoint, Windows security, Microsoft Office
Algorithms:
sha256, exhibit, md5, zip
Functions:
Auto_Open, lauoksrimv
Languages:
visual_basic, powershell
YARA: Found
27-02-2026
APT36 : Multi-Vector Execution Malware Campaign Targeting Indian Government Entities
https://www.cyfirma.com/research/apt36-multi-vector-execution-malware-campaign-targeting-indian-government-entities/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage, information_theft, financially_motivated)
Threats:
Junk_code_technique
Motw_bypass_technique
Spear-phishing_technique
Lolbin_technique
Victims:
Indian government entities, Defense organizations, Strategic individuals
Industry:
Government
Geo:
Indian, Pakistan
TTPs:
Tactics: 9
Technics: 29
IOCs:
File: 6
Path: 1
Hash: 7
IP: 1
Domain: 1
Soft:
Microsoft PowerPoint, Windows security, Microsoft Office
Algorithms:
sha256, exhibit, md5, zip
Functions:
Auto_Open, lauoksrimv
Languages:
visual_basic, powershell
YARA: Found
CYFIRMA
APT36 : Multi-Vector Execution Malware Campaign Targeting Indian Government Entities - CYFIRMA
EXECUTIVE SUMMARY CYFIRMA has identified a targeted malware campaign attributed to the Pakistan-aligned threat actor Transparent Tribe (also known as...
CTT Report Hub
#ParsedReport #CompletenessHigh 27-02-2026 APT36 : Multi-Vector Execution Malware Campaign Targeting Indian Government Entities https://www.cyfirma.com/research/apt36-multi-vector-execution-malware-campaign-targeting-indian-government-entities/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кАмпания, связанная с пакистанским Transparent Tribe (APT36), нацелена на индийские правительственные учреждения с помощью социальной инженерии, в частности, с использованием вредоносных ZIP-файлов, замаскированных под экзаменационные документы. После выполнения эти файлы развертывают ряд вредоносных компонентов, запуская скрытые скрипты, которые устанавливают Троянская программа удаленного доступа (RAT) с возможностями обмена данными C2, эксфильтрация данных и закрепление системы. Скрытные и вводящие в заблуждение методы вредоносное ПО подчеркивают его намерение собирать разведывательные данные, а не нарушать работу.
-----
Проанализированная вредоносная кАмпания, атрибутирован с Пакистанской стороны злоумышленник Transparent Tribe (APT36), нацелена конкретно на государственные структуры Индии с помощью сложной многовекторной стратегии исполнения. Вектор первоначальный доступ включает в себя социальную инженерию, которая использует тактику манипулирования путем отправки вредоносного ZIP-архива, замаскированного под документы, связанные с экспертизой. Этот ZIP-файл содержит обманчивые файлы ярлыков Windows (.lnk) и надстройку PowerPoint с поддержкой макросов (.ppam). Выполнение ярлыка запускает пакетный сценарий, который создает и развертывает серию вредоносных компонентов, одновременно предоставляя пользователю фальсифицированный документ для поддержания видимости законной деятельности.
Последовательность выполнения команды запускает скрытый пакетный скрипт, который копирует и переименовывает Вредоносный файл в скрытых каталогах, позволяя вредоносное ПО работать незамеченным. Развертывание полезной нагрузки является методичным, при этом используются законные системные утилиты для сокрытия вредоносных действий от механизмов обнаружения безопасности. Встроенный макрос в надстройке PowerPoint создан для автоматического выполнения, что позволяет реконструировать конечную полезную нагрузку вредоносное ПО в зависимости от операционной системы жертвы. После развертывания вредоносное ПО запускает фоновые операции, предназначенные для установления функций удаленного доступа, характерных для Троянская программа удаленного доступа (RAT).
Вредоносное ПО выполняет несколько важных действий, включая установление прямой связи по протоколу TCP управление (C2) с жестко закодированными IP-адресами, используя резервный механизм домена, чтобы избежать обнаружения. Он демонстрирует возможности анти-криминалистический анализ, вставляя Junk code, чтобы скрыть свои операции, и изменяя параметры системного реестра для закрепление, сохраняя свое присутствие при перезагрузке системы. Вредоносное ПО также может делать снимки экрана, перемещаться по файловым системам для эксфильтрация данных и выполнять команды, отправляемые с сервера C2.
Такое поведение и возможности отражают стратегическую цель сбора разведывательных данных, а не срыва операций, и они демонстрируют характеристики сложная целенаправленная угроза с акцентом на скрытность, обман и оперативную эффективность. Кампания подчеркивает важность совершенствования стратегий обнаружения и реагирования во взаимосвязанных сетях, поскольку потенциальная возможность длительных необнаруженных нарушений представляет значительную угрозу для конфиденциальной информации и институциональной безопасности. Отслеживание активности и эволюции APT36, наряду с повышением осведомленности пользователей и уровня безопасности, являются важными мерами по снижению постоянных рисков, создаваемых такими злоумышленник, связанными с государством.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кАмпания, связанная с пакистанским Transparent Tribe (APT36), нацелена на индийские правительственные учреждения с помощью социальной инженерии, в частности, с использованием вредоносных ZIP-файлов, замаскированных под экзаменационные документы. После выполнения эти файлы развертывают ряд вредоносных компонентов, запуская скрытые скрипты, которые устанавливают Троянская программа удаленного доступа (RAT) с возможностями обмена данными C2, эксфильтрация данных и закрепление системы. Скрытные и вводящие в заблуждение методы вредоносное ПО подчеркивают его намерение собирать разведывательные данные, а не нарушать работу.
-----
Проанализированная вредоносная кАмпания, атрибутирован с Пакистанской стороны злоумышленник Transparent Tribe (APT36), нацелена конкретно на государственные структуры Индии с помощью сложной многовекторной стратегии исполнения. Вектор первоначальный доступ включает в себя социальную инженерию, которая использует тактику манипулирования путем отправки вредоносного ZIP-архива, замаскированного под документы, связанные с экспертизой. Этот ZIP-файл содержит обманчивые файлы ярлыков Windows (.lnk) и надстройку PowerPoint с поддержкой макросов (.ppam). Выполнение ярлыка запускает пакетный сценарий, который создает и развертывает серию вредоносных компонентов, одновременно предоставляя пользователю фальсифицированный документ для поддержания видимости законной деятельности.
Последовательность выполнения команды запускает скрытый пакетный скрипт, который копирует и переименовывает Вредоносный файл в скрытых каталогах, позволяя вредоносное ПО работать незамеченным. Развертывание полезной нагрузки является методичным, при этом используются законные системные утилиты для сокрытия вредоносных действий от механизмов обнаружения безопасности. Встроенный макрос в надстройке PowerPoint создан для автоматического выполнения, что позволяет реконструировать конечную полезную нагрузку вредоносное ПО в зависимости от операционной системы жертвы. После развертывания вредоносное ПО запускает фоновые операции, предназначенные для установления функций удаленного доступа, характерных для Троянская программа удаленного доступа (RAT).
Вредоносное ПО выполняет несколько важных действий, включая установление прямой связи по протоколу TCP управление (C2) с жестко закодированными IP-адресами, используя резервный механизм домена, чтобы избежать обнаружения. Он демонстрирует возможности анти-криминалистический анализ, вставляя Junk code, чтобы скрыть свои операции, и изменяя параметры системного реестра для закрепление, сохраняя свое присутствие при перезагрузке системы. Вредоносное ПО также может делать снимки экрана, перемещаться по файловым системам для эксфильтрация данных и выполнять команды, отправляемые с сервера C2.
Такое поведение и возможности отражают стратегическую цель сбора разведывательных данных, а не срыва операций, и они демонстрируют характеристики сложная целенаправленная угроза с акцентом на скрытность, обман и оперативную эффективность. Кампания подчеркивает важность совершенствования стратегий обнаружения и реагирования во взаимосвязанных сетях, поскольку потенциальная возможность длительных необнаруженных нарушений представляет значительную угрозу для конфиденциальной информации и институциональной безопасности. Отслеживание активности и эволюции APT36, наряду с повышением осведомленности пользователей и уровня безопасности, являются важными мерами по снижению постоянных рисков, создаваемых такими злоумышленник, связанными с государством.
#ParsedReport #CompletenessMedium
27-02-2026
Hook, line, and vault: A technical deep dive into the 1Phish kit
https://securitylabs.datadoghq.com/articles/hook-line-vault-a-deep-dive-into-1phish/
Report completeness: Medium
Threats:
1phish_tool
Credential_harvesting_technique
Typosquatting_technique
Cloaking_technique
Victims:
1password users, Enterprise users
Geo:
Emea
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1056.009, T1102, T1204.001, T1497.001, T1497.003, T1566.002, T1583.001, T1591.002, have more...
IOCs:
Domain: 13
Url: 1
File: 5
Soft:
1Password, Selenium, PhantomJS, chrome, twitter
Algorithms:
base64
Functions:
createElement, getAttribute, getContext, getParameter, getExtension, getElementById
Languages:
javascript
Links:
27-02-2026
Hook, line, and vault: A technical deep dive into the 1Phish kit
https://securitylabs.datadoghq.com/articles/hook-line-vault-a-deep-dive-into-1phish/
Report completeness: Medium
Threats:
1phish_tool
Credential_harvesting_technique
Typosquatting_technique
Cloaking_technique
Victims:
1password users, Enterprise users
Geo:
Emea
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1056.009, T1102, T1204.001, T1497.001, T1497.003, T1566.002, T1583.001, T1591.002, have more...
IOCs:
Domain: 13
Url: 1
File: 5
Soft:
1Password, Selenium, PhantomJS, chrome, twitter
Algorithms:
base64
Functions:
createElement, getAttribute, getContext, getParameter, getExtension, getElementById
Languages:
javascript
Links:
https://github.com/DataDog/indicators-of-compromise/tree/main/1PhishDatadoghq
Hook, line, and vault: A technical deep dive into the 1Phish kit
We analyze the evolution of the 1Phish phishing kit from a basic credential harvester into an MFA-aware, multi-stage phishing kit targeting 1Password users.