#ParsedReport #CompletenessMedium
27-02-2026

Hook, line, and vault: A technical deep dive into the 1Phish kit

https://securitylabs.datadoghq.com/articles/hook-line-vault-a-deep-dive-into-1phish/

Report completeness: Medium

Threats:
1phish_tool
Credential_harvesting_technique
Typosquatting_technique
Cloaking_technique

Victims:
1password users, Enterprise users

Geo:
Emea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.009, T1102, T1204.001, T1497.001, T1497.003, T1566.002, T1583.001, T1591.002, have more...

IOCs:
Domain: 13
Url: 1
File: 5

Soft:
1Password, Selenium, PhantomJS, chrome, twitter

Algorithms:
base64

Functions:
createElement, getAttribute, getContext, getParameter, getExtension, getElementById

Languages:
javascript

Links:
https://github.com/DataDog/indicators-of-compromise/tree/main/1Phish

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор 1Phish представляет собой передовую эволюцию технологии фишинг, которая нацелен на пользователей 1Password с помощью многоступенчатой стратегии атаки, включающей Многофакторная аутентификация и средства защиты от анализа. Он превратился из базового сборщика учетных данных в сложный фреймворк, способный перехватывать сеансы в режиме реального времени, с такими функциями, как проверка на стороне клиента и интеграция с REST API. Продвинутые тактики уклонения, включая фильтрацию нацелен-ного трафика и обнаружение ботов, предполагают либо выделенного оператора, либо совместную криминальную экосистему, что указывает на значительную угрозу для пользователей password manager.
-----

Набор 1Phish предназначен для пользователей менеджера паролей 1Password и значительно эволюционировал в период с сентября 2025 по февраль 2026 года. Он превратился из простого средства сбора учетных данных в сложный инструмент фишинг-анализа, включающий Многофакторная аутентификация (MFA). В наборе используются электронные письма-приманки на тему срочных взломов, направляющие жертв на домены с typosquatted, напоминающие законные страницы входа с помощью 1Password.

Он включает средства защиты от анализа, проверку на стороне клиента для отправки форм и обнаруживает автоматизированные инструменты, такие как Selenium и Puppeteer. Более поздние версии собирают вторичные факторы аутентификации и коды восстановления, позволяя перехватывать сеанс в режиме реального времени.

Версия 1 была базовой страницей входа в систему, в то время как версия 2 улучшила визуальную точность и валидацию. В версии 3 был внедрен многоступенчатый рабочий процесс для сбора кодов аутентификации, а в версии 4 интегрирован REST API, который нацелен на фишинг для команд, и фреймворк JavaScript для запутывания кода.

Набор использует HideClick для фильтрации трафика, представляя фишинг-контент исключительно целевым пользователям, в то время как аналитикам он показывает безвредный контент. Он включает в себя методы обнаружения ботов и защиты от снятия отпечатков пальцев, что указывает на сложную стратегию атаки. Эволюция набора 1Phish подчеркивает тенденцию к фишинг-угрозам, специально нацеленным на Менеджеры паролей, что отражает стремление к инновациям в области фишинг-анализа и повышенный риск для пользователей.

#ParsedReport #CompletenessLow
26-02-2026

Detecting and responding to Salat stealer with Wazuh

https://wazuh.com/blog/detecting-and-responding-to-salat-stealer-with-wazuh/

Report completeness: Low

Threats:
Salatstealer

Victims:
Windows users, Organizations handling sensitive data

TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 40
Registry: 2
Path: 1
Hash: 4
IP: 1

Soft:
CredSSP, pyinstaller, Telegram, Sysinternals

Algorithms:
sha256

Functions:
message

Languages:
python, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat stealer - это программа для кражи информации на основе Go, использующая модель "Вредоносное ПОкак услуга", которая нацелена на конфиденциальные данные с конечных точек Windows, включая учетные данные браузера и информацию о кошельке криптовалюты. Он использует методы скрытности, такие как проверка виртуальных сред, упаковка UPX для запутывания кода и взаимодействие с интерфейсом сканирования вредоносных программ, чтобы избежать обнаружения. Вредоносное ПО создает временные файлы данных для хранения украденных учетные данные, сохраняется с помощью ключей запуска реестра и отправляет данные на серверы управление по протоколу HTTPS.
-----

Salat stealer - это быстро развивающийся похититель информации на базе Go, распространяемый с помощью модели "Вредоносное ПО как услуга" (MaaS), которая фокусируется на сборе конфиденциальной информации с конечных точек Windows. Вредоносное ПО нацелено на учетные данные браузера, сеансы Телеграм и информацию о криптовалютном кошельке, используя комбинацию методов скрытности и закрепление, чтобы избежать обнаружения.

Его поведение включает в себя выполнение проверок на наличие виртуальных сред, чтобы избежать обнаружения, использование упаковки UPX для скрытия своего кода и взаимодействие с интерфейсом сканирования вредоносных программ (AMSI) для обхода мер безопасности. Вредоносное ПО работает путем создания временных файлов данных в каталоге Windows %Temp%, чтобы обработать собранные учетные данные перед эксфильтрация. Он копирует себя в надежные каталоги, имитируя законные исполняемые файлы, и устанавливает закрепление путем создания ключей запуска реестра в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Когда он захватывает конфиденциальные данные, он отправляет эту информацию на свои серверы управление (C2) по протоколу HTTPS, часто используя резервные домены для поддержания подключения.

Для обнаружения Salat stealer с использованием платформы безопасности Wazuh были использованы специальные методы обнаружения, включая пользовательские правила обнаружения, специально направленные на выявление вредоносного поведения, связанного с вредоносное ПО. Эти правила используют Sysmon для улучшения видимости системных событий. Например, несколько идентификаторов правил нацелены на конкретные действия: идентификатор правила 100601 определяет, когда процесс SmartScreen загружает urlmon.библиотека dll, указывающая на разведка сети; Идентификатор правила 100602 сигнализирует, когда amsi.dll загружается, что указывает на попытку уклонения; Идентификатор правила 100603 идентифицирует выполнение скриптов PowerShell во временных каталогах; Идентификатор правила 100604 отслеживает изменения реестра на предмет возможных манипуляций с учетными данными; Идентификатор правила 100605 обнаруживает исходящие подключения к известным вредоносным IP-адресам, а идентификатор правила 100606 помечает подозрительные DNS-запросы.

Процесс обнаружения Wazuh еще более усиливается благодаря интеграции с VirusTotal, что позволяет платформе автоматически отправлять хэши вновь созданных или измененных файлов в VirusTotal для анализа угроз в режиме реального времени. Эта интеграция позволяет автоматически реагировать на угрозы, например удалять файлы, идентифицированные как вредоносные. Предупреждения, генерируемые Wazuh во время оперативной деятельности, можно просматривать через панель мониторинга, что позволяет специалистам по безопасности своевременно получать информацию о потенциальных угрозах.

Salat stealer представляет значительный риск для организаций и пользователей, и использование возможностей Wazuh в сочетании с VirusTotal предлагает упреждающий подход к выявлению и смягчению этой развивающейся угрозы. Постоянная адаптация стратегий обнаружения и активный мониторинг играют решающую роль в защите от таких изощренных атак вредоносное ПО.

#ParsedReport #CompletenessLow
01-03-2026

Yoroi Wallet Phishing Abuses GoTo Resolve and ScreenConnect for Device Takeover

https://malwr-analysis.com/2026/03/02/yoroi-wallet-phishing-abuses-goto-resolve-and-screenconnect-for-device-takeover/

Report completeness: Low

Threats:
Gotoresolve_tool
Screenconnect_tool
Logmein_tool

Victims:
Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1219, T1566

IOCs:
Url: 3
File: 2
Hash: 4
Domain: 3

Wallets:
yoroi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания, нацеленная на пользователей криптовалют, выдает себя за настольный кошелек Yoroi, предлагая поддельное обновление, которое перенаправляет жертв на загрузку установщика. Вместо кошелька установщик развертывает инструмент удаленного доступа GoTo Resolve, предоставляя злоумышленникам скрытый доступ к компьютерам жертв. В этой кампании также используются легальные платформы, такие как gofile.ввод-вывод для размещения установщика, усложняющий обнаружение и демонстрирующий изощренное злоупотребление инструментами удаленного мониторинга и управления в киберугроза.
-----

Недавно появилась кампания по фишинг-атаке, которая выдает себя за настольный кошелек Yoroi, специально предназначенный для пользователей криптовалют под видом обновления программного обеспечения с улучшенной защитой и поддержкой кошелька Аппаратное обеспечение. В фишинг-письме был использован профессиональный тон и ссылка на хорошо оформленную целевую страницу, что создавало видимость законности, которая могла ввести пользователей в заблуждение.

Основной механизм этой атаки заключается в перенаправлении жертв на загрузку установщика, который вместо предоставления криптовалютного кошелька незаметно устанавливает инструмент удаленного доступа GoTo Resolve в автоматическом режиме. Это позволяет киберпреступникам получить скрытый доступ к компьютеру жертвы, подключив его к предварительно настроенному серверу удаленного доступа, связанному с клиентом злоумышленника GoTo Resolve. Примечательно, что этот вектор атаки не опирается на обычные эксплойты или вредоносное ПО, а вместо этого использует законное программное обеспечение, предназначенное для удаленного управления.

Более того, злоумышленник также использует ConnectWise ScreenConnect, другое законное приложение удаленного доступа, для развертывания своей полезной нагрузки. Во всех наблюдаемых случаях фишинг-кампании побуждают пользователей загружать полезную нагрузку с законного сервиса, такого как gofile.io , повышая сложность обнаружения и блокировки из-за зависимости от надежных платформ. Размещая установщик на авторитетном файлообменном сервисе, злоумышленники стремятся уменьшить подозрения и замаскировать свою деятельность.

Анализ показывает, что общей чертой этих атак является использование инструментов удаленного мониторинга и управления (RMM), интегрированных в фасад законных процессов распространения кошельков. Несмотря на то, что обманный характер этих кампаний кажется изощренным, при ближайшем рассмотрении обнаруживается значительная угроза, поскольку конечным результатом является полный удаленный доступ злоумышленников к устройствам жертв. Эта стратегия подчеркивает сохраняющиеся риски, связанные с Кибербезопасность, особенно в отношении использования законного программного обеспечения в злонамеренных целях, подчеркивая необходимость проявлять бдительность при работе с кажущимися подлинными сообщениями и загрузками в криптовалютном пространстве.

#ParsedReport #CompletenessLow
02-03-2026

Unauthorized AI Agent Execution Code Published to OpenVSX in Aqua Trivy VS Code Extension

https://socket.dev/blog/unauthorized-ai-agent-execution-code-published-to-openvsx-in-aqua-trivy-vs-code-extension

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Developers

Industry:
Government, Financial, Transport

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 7

Soft:
Claude, Slack

Functions:
pl

Languages:
javascript

Links:
https://github.com/aquasecurity/trivy-vscode-extension/security/advisories/GHSA-8mr6-gf9x-j8qg

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с расширением Aqua Trivy VS Code продемонстрировал нацелен-ную атаку на GitHub Actions, в которой вредоносные версии 1.8.12 и 1.8.13 допускали несанкционированное выполнение агентами искусственного интеллекта. В этих версиях использовалась внедренная вредоносная логика, которая облегчала проверку системы и эксфильтрация данных, при этом версия 1.8.12 распространяла конфиденциальную информацию по нескольким каналам, а версия 1.8.13 передавала учетные данные через сеанс GitHub CLI жертвы для создания хранилища. Атака подчеркивает растущую тенденцию использования искусственного интеллекта в supply chains программного обеспечения, поскольку внедренные вредоносные команды ускользали от обнаружения во время стандартных операций.
-----

Инцидент с использованием расширения Aqua Trivy VS Code на OpenVSX свидетельствует о сложной атаке, нацеленной на рабочие процессы GitHub Actions в различных проектах с открытым исходным кодом. Вредоносные версии расширения 1.8.12 и 1.8.13 способствовали несанкционированному запуску агента искусственного интеллекта, используя локальных помощников по программированию искусственного интеллекта, таких как Claude, Codex и GitHub Copilot. Вредоносная логика была внедрена в функцию активации рабочей области, которая выполняла запросы в наиболее разрешенных режимах, чтобы обойти человеческий надзор, что позволяло проводить тщательную проверку системы и сбор информации.

В версии 1.8.12 агенту искусственного интеллекта было поручено обнаружить все каналы связи в системе жертвы и отфильтровать собранные данные по широкому спектру исходящих путей, таких как почтовые клиенты и службы обмена сообщениями, что в конечном итоге создало хаос и рассеяло конфиденциальную информацию, вместо того чтобы извлекать ее контролируемым образом. Версия 1.8.13 усовершенствовала этот подход, указав четкий маршрут эксфильтрация: сбор токенов и учетные данные, запись их в файл и использование аутентифицированного сеанса GitHub CLI жертвы для создания нового репозитория для хранения отчетов. Риск здесь заключается в настройках доступа к хранилищу по умолчанию, которые могут непреднамеренно сделать конфиденциальные данные общедоступными, хотя в данном случае, похоже, такое хранилище в конечном счете создано не было.

Обе версии расширения демонстрировали механизм выполнения, при котором вредоносные команды были встроены в рутинные операции редактора, что затрудняло обнаружение. Команды использовали флаги инструментов искусственного интеллекта для неограниченного выполнения, что приводило к бесшумной работе, которая позволяла избежать обнаружения пользователем, позволяя встроенному коду выполняться независимо от стандартных операционных проверок. Это подчеркивает заметный сдвиг в сторону злоупотреблений supply chain с помощью искусственного интеллекта, поскольку злоумышленники теперь используют существующие инструменты разработки с расширенными возможностями для проведения разведка и потенциальной эксфильтрация конфиденциальных данных.

В связи с инцидентом разработчикам рекомендуется срочно удалить уязвимые версии и проверить историю использования их расширений. Кроме того, проверка активности GitHub на предмет несанкционированного создания репозитория и ротация доступных учетные данные, включая токены GitHub и ключи API, являются важными шагами по смягчению последствий. Этот инцидент подчеркивает необходимость бдительного мониторинга поведения расширений и упреждающего подхода к защите сред разработки от возникающих угроз, создаваемых с помощью искусственного интеллекта.

#ParsedReport #CompletenessHigh
28-02-2026

Archive.org Stego Delivers Remcos and AsyncRAT

https://www.derp.ca/research/archive-org-stego-campaign/

Report completeness: High

Threats:
Steganography_technique
Remcos_rat
Asyncrat
Mirai
Quasar_rat
Confuserex_tool
Uac_bypass_technique
Lolbin_technique
Process_hollowing_technique
Dcrat
Mandark_tool
Runpe_tool
Polymorphism_technique
Process_injection_technique
Snake_keylogger
Njrat

Geo:
Ecuador, Brazilian, Spanish, Colombian, Tibetan, Portuguese, Swedish, Colombia, Sweden

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055.012, T1056.001, T1071.001, T1102, T1105, T1140, have more...

IOCs:
Hash: 10
File: 27
Email: 4
Domain: 4
Url: 6
Path: 3
IP: 2
Command: 2
Registry: 1

Soft:
NET Framework, Gmail, VirtualBox, qemu, Hyper-V, VirtualBox VirtualBox, QEMU QEMU

Algorithms:
aes-cbc, sha256, aes, des, base64, deflate, gzip, 3des, aes-256-cbc, rsa-1024, xor

Win API:
CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, LoadLibraryA, GetProcAddress

Win Services:
WebClient, ebClient.Do

Languages:
php, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года кибер-актор использовал archive.org для доставки вредоносной полезной нагрузки, в частности Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT, для скрытия используется steganography .Библиотеки DLL NET injector в формате JPEG. Полезные файлы, встроенный маркер EOF post-JPEG, эмулируют законные библиотеки DLL, минуя обнаружение. Были выявлены две цепочки атак: одна использует PowerShell для получения изображений для Remcos, в то время как AsyncRAT использует отражающую загрузку сборки для безфайлового развертывания, демонстрируя постоянную инфраструктуру, отслеживаемую до колумбийского IP.
-----

В начале 2026 года киберугроза, связанная с использованием archive.org в качестве платформы доставки вредоносной полезной нагрузки была определена, в частности, развертывание Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT. В этой кампании используются методы steganography для запутывания .Библиотеки DLL NET injector в виде обоев в формате 4K JPEG. Вредоносный код внедряется вслед за маркером JPEG EOF, что делает его незаметным для обычных средств просмотра изображений. Операторы, участвовавшие в этой деятельности, использовали ежедневный цикл перекомпиляции и загрузки этих изображений в несколько учетных записей, связанных с Gmail.

Перекрестная ссылка на данные о распространении URLhaus вредоносное ПО с помощью Tria.ge результаты песочницы дали 54 идентифицированных совпадения, выявив archive.org как значительное совпадение, хотя другие домены каталогизировали несвязанные угрозы, такие как ботнеты Mirai. Каждая извлеченная библиотека DLL маскируется под законную библиотеку Microsoft Windows, что побуждает программное обеспечение безопасности не замечать их вредоносную природу. Анализ размеров полезной нагрузки варьировался от 745 КБ до 1,6 МБ, при этом различные конфигурации обфускатора ConfuserEx использовались для улучшения тактики уклонения.

Были выявлены две различные цепочки атак. Первая цепочка уничтожения сосредоточена на Remcos версии 7.1.0 Pro, где скрипт PowerShell извлекает образ stego, который после обработки загружает и выполняет полезную нагрузку RAT в скрытой среде. Извлеченная конфигурация для Remcos указывает на то, что она взаимодействует с сервером C2 (systemcopilotdrivers.ydns.eu ) регистрировать нажатия клавиш даже в автономном режиме, сохраняя их в скрытой папке, предназначенной для операции RAT.

Напротив, AsyncRAT был реализован с помощью аналогичного механизма, но с такими вариациями, как загрузка отражающей сборки вместо process hollowing, что позволяет осуществлять развертывание без файлов. Обе крысы демонстрируют адаптивное поведение с их интервалами повторного выполнения и конфигурациями, которые включают отключение закрепление установки при поддержании высокого уровня активности с помощью циклических механизмов.

Инфраструктура, поддерживающая эти операции, была прослежена до постоянного IP-адреса в Колумбии, связанного с более чем десятимесячной непрерывной деятельностью, что демонстрирует постоянный и эволюционирующий подход к киберэксплуатации. Крысы использовали различные домены C2 наряду с фреймворк, нацеленный на process hollowing, повышающий их возможности скрытности. Их повсеместное присутствие через Облачные сервисы, такие как archive.org усиливает проблемы, с которыми сталкиваются при обнаружении вредоносное ПО и устранении неполадок, учитывая доверенный статус этого домена и отсутствие сканирования содержимого.

Эта атака подчеркивает сложное использование steganography, изощренные методы внедрения и полезность облачных платформ в операциях киберпреступников, что требует передовых стратегий обнаружения для эффективного противодействия возникающим угрозам.

#ParsedReport #CompletenessLow
02-03-2026

Purchase order attachment isnt a PDF. Its phishing for your password

https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1071.001, T1102.002, T1566.002, T1608.005

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинг-кампания включает в себя вводящее в заблуждение вложение с надписью "Новый PO 500PCS.pdf.hTM ," который маскируется под PDF, но на самом деле содержит HTML-код. Жертвы, открывающие файл, сталкиваются с запросом пароля, который фиксирует конфиденциальную информацию, такую как IP-адрес и геолокация, с помощью скрипта, передающего данные боту Телеграм, управляемому злоумышленником. Этот метод позволяет злоумышленникам собирать учетные данные для входа в систему для дальнейшего использования, что потенциально может привести к захвату учетных записей и продаже компрометация информации.
-----

Недавно была запущена кампания по фишинг-атаке с использованием искусно замаскированного приложения под названием "New PO 500PCS.pdf.hTM ". Файл, который должен был выглядеть как стандартный заказ на покупку в формате PDF, на самом деле содержит HTML-код. Двойное расширение у файла (.pdf.htm ) - хорошо известная тактика в схемах фишинг, когда Вредоносный файл маскируется под законные документы, но может выполнять вредоносные скрипты при открытии в веб-браузере.

При взаимодействии с вложением жертвам отображается запрос пароля, наложенный на размытый фон. Эта фишинг-страница автоматически вводит адрес электронной почты пользователя и в фоновом режиме запускает скрипт, который собирает конфиденциальную информацию, такую как IP-адрес жертвы, геолокация и пользовательский агент браузера. Затем эти данные отправляются непосредственно боту в Телеграм, управляемому злоумышленником. Выбор Телеграм в качестве канала командования и контроля (C2) является стратегическим, поскольку он обеспечивает шифрование, широкое использование и часто остается без контроля со стороны корпоративных мер безопасности.

Хотя замысел мошенничества может показаться бесхитростным, он эффективно собирает учетные данные для входа в систему у жертв. Как только эти учетные данные будут предоставлены, злоумышленник может использовать их для дальнейших вредоносных действий, включая захват учетных записей и продажу информации на незаконных рынках. Потенциальные последствия для жертв включают необходимость сброса паролей и снижения рисков, связанных с компрометация личной информации.

Учитывая характер этой угрозы, пользователям рекомендуется сохранять бдительность при получении подозрительных электронных писем и использовать такие инструменты, как Malwarebytes Scam Guard, для проверки законности потенциально вредоносного контента. Такие упреждающие меры могут помочь предотвратить попадание в число жертв этих фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES

https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/

Report completeness: High

Actors/Campaigns:
Hydra_saiga (motivation: cyber_criminal, cyber_espionage)
Cavalry_werewolf (motivation: cyber_espionage)
Shadowsilk (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)

Threats:
Havoc
Resocks_tool
Meterpreter_tool
Credential_harvesting_technique
Lolbin_technique
Fakelogonscreen_tool
Nltest_tool
Bitsadmin_tool
Chisel_tool
Acunetix_tool
Jlorat
Telemiris
Rsocx_tool
Credential_dumping_technique

Victims:
Government, Critical infrastructure, Energy sector, Healthcare, Legal sector, Water utilities, Hydroelectric power operators, Research institutions, Scada operators, Manufacturing equipment manufacturers, have more...

Industry:
Critical_infrastructure, Petroleum, Education, Energy, Ics, Healthcare, Government, Aerospace

Geo:
Colombia, Greece, Russian, Turkey, India, Singapore, Morocco, Netherlands, Slovakia, Georgia, Kyrgyzstan, Thailand, America, Peru, Bangladesh, Oman, Czechia, Armenia, Azerbaijan, Kazakhstan, Africa, Pakistan, Afghanistan, Asia, Chinese, Indonesia, Brazil, Iran, Uzbekistan, Middle east, Egypt, China, Bulgaria, South africa, Pol, Russia, Turkmenistan, Argentina, Mongolia, Afghan, Tajikistan, Belarus, Asian

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 8
IP: 28
Email: 1
Path: 17
Hash: 6
Url: 22
Domain: 14
Command: 1

Soft:
Telegram, Chrome, curl, PsExec, Microsoft Defender, PyInstaller, Firefox, Opera, Linux, s://www.vmray, have more...

Algorithms:
base64

Languages:
php, powershell, rust, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hydra Saiga, базирующаяся в Казахстане преступная хакерская группировка, спонсируемая государством, действующая с 2021 года, в первую очередь нацелена на государственные структуры и сектора критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Они используют различные методы атак, включая фишинг для первоначальный доступ, и используют операции управление с помощью API-интерфейса Телеграм-бота. Их деятельность после эксплуатации использует методы Living Off the Land, фокусируясь на сбор учетных записей и эксфильтрация данных с использованием как стандартных утилит Windows, так и пользовательских вредоносное ПО.
-----

Hydra Saiga - спонсируемая государством преступная хакерская группировка из Казахстана, действующая с 2021 года. Группа нацелен на государственные органы и важнейшие секторы инфраструктуры в первую очередь в Центральной Азии, Европе и на Ближнем Востоке. Они используют API-интерфейс Телеграм-ботов для операций управление и используют как стандартное, так и пользовательское вредоносное ПО, включая полезные приложения на Python, PowerShell, Golang и Rust. Их методы постэксплуатации включают в себя операции с клавиатурой и использование методов Living Off theLand со стандартными утилитами Windows. Механизмы закрепление включают запланированные задачи и изменения в реестре Windows. Методы получение учетных данных включают в себя дампы Память процесса LSASS и инструмент FakeLogonScreen с открытым исходным кодом. Обратная связь с сервером C2 осуществляется через Телеграм для эксфильтрация команд и данных. Первоначальный доступ достигается с помощью нацелен-ных фишинг-кампаний с вредоносными вложениями, часто замаскированными под документы или архивы RAR. Они проводят разведка с помощью таких инструментов, как Censys и Shodan. Hydra Saiga нацелен на критически важную инфраструктуру, связанную с водным и энергетическим секторами, и попытался внедриться в системы SCADA во многих странах. Криминалистический анализ связывает группу с Казахстаном на основе операционных схем и нацелен на секторы. Они подвергли компрометация по меньшей мере 34 организации в восьми странах, что свидетельствует об их широких оперативных возможностях.