#ParsedReport #CompletenessHigh
28-02-2026
Archive.org Stego Delivers Remcos and AsyncRAT
https://www.derp.ca/research/archive-org-stego-campaign/
Report completeness: High
Threats:
Steganography_technique
Remcos_rat
Asyncrat
Mirai
Quasar_rat
Confuserex_tool
Uac_bypass_technique
Lolbin_technique
Process_hollowing_technique
Dcrat
Mandark_tool
Runpe_tool
Polymorphism_technique
Process_injection_technique
Snake_keylogger
Njrat
Geo:
Ecuador, Brazilian, Spanish, Colombian, Tibetan, Portuguese, Swedish, Colombia, Sweden
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1041, T1053.005, T1055.012, T1056.001, T1071.001, T1102, T1105, T1140, have more...
IOCs:
Hash: 10
File: 27
Email: 4
Domain: 4
Url: 6
Path: 3
IP: 2
Command: 2
Registry: 1
Soft:
NET Framework, Gmail, VirtualBox, qemu, Hyper-V, VirtualBox VirtualBox, QEMU QEMU
Algorithms:
aes-cbc, sha256, aes, des, base64, deflate, gzip, 3des, aes-256-cbc, rsa-1024, xor
Win API:
CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, LoadLibraryA, GetProcAddress
Win Services:
WebClient, ebClient.Do
Languages:
php, powershell
Platforms:
x86
28-02-2026
Archive.org Stego Delivers Remcos and AsyncRAT
https://www.derp.ca/research/archive-org-stego-campaign/
Report completeness: High
Threats:
Steganography_technique
Remcos_rat
Asyncrat
Mirai
Quasar_rat
Confuserex_tool
Uac_bypass_technique
Lolbin_technique
Process_hollowing_technique
Dcrat
Mandark_tool
Runpe_tool
Polymorphism_technique
Process_injection_technique
Snake_keylogger
Njrat
Geo:
Ecuador, Brazilian, Spanish, Colombian, Tibetan, Portuguese, Swedish, Colombia, Sweden
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1041, T1053.005, T1055.012, T1056.001, T1071.001, T1102, T1105, T1140, have more...
IOCs:
Hash: 10
File: 27
Email: 4
Domain: 4
Url: 6
Path: 3
IP: 2
Command: 2
Registry: 1
Soft:
NET Framework, Gmail, VirtualBox, qemu, Hyper-V, VirtualBox VirtualBox, QEMU QEMU
Algorithms:
aes-cbc, sha256, aes, des, base64, deflate, gzip, 3des, aes-256-cbc, rsa-1024, xor
Win API:
CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, LoadLibraryA, GetProcAddress
Win Services:
WebClient, ebClient.Do
Languages:
php, powershell
Platforms:
x86
www.derp.ca
Archive.org Stego Delivers Remcos and AsyncRAT
An operator hides .NET injector DLLs in 4K wallpaper JPEGs on archive.org, rotating daily across four accounts to deliver Remcos and AsyncRAT.
CTT Report Hub
#ParsedReport #CompletenessHigh 28-02-2026 Archive.org Stego Delivers Remcos and AsyncRAT https://www.derp.ca/research/archive-org-stego-campaign/ Report completeness: High Threats: Steganography_technique Remcos_rat Asyncrat Mirai Quasar_rat Confuserex_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2026 года кибер-актор использовал archive.org для доставки вредоносной полезной нагрузки, в частности Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT, для скрытия используется steganography .Библиотеки DLL NET injector в формате JPEG. Полезные файлы, встроенный маркер EOF post-JPEG, эмулируют законные библиотеки DLL, минуя обнаружение. Были выявлены две цепочки атак: одна использует PowerShell для получения изображений для Remcos, в то время как AsyncRAT использует отражающую загрузку сборки для безфайлового развертывания, демонстрируя постоянную инфраструктуру, отслеживаемую до колумбийского IP.
-----
В начале 2026 года киберугроза, связанная с использованием archive.org в качестве платформы доставки вредоносной полезной нагрузки была определена, в частности, развертывание Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT. В этой кампании используются методы steganography для запутывания .Библиотеки DLL NET injector в виде обоев в формате 4K JPEG. Вредоносный код внедряется вслед за маркером JPEG EOF, что делает его незаметным для обычных средств просмотра изображений. Операторы, участвовавшие в этой деятельности, использовали ежедневный цикл перекомпиляции и загрузки этих изображений в несколько учетных записей, связанных с Gmail.
Перекрестная ссылка на данные о распространении URLhaus вредоносное ПО с помощью Tria.ge результаты песочницы дали 54 идентифицированных совпадения, выявив archive.org как значительное совпадение, хотя другие домены каталогизировали несвязанные угрозы, такие как ботнеты Mirai. Каждая извлеченная библиотека DLL маскируется под законную библиотеку Microsoft Windows, что побуждает программное обеспечение безопасности не замечать их вредоносную природу. Анализ размеров полезной нагрузки варьировался от 745 КБ до 1,6 МБ, при этом различные конфигурации обфускатора ConfuserEx использовались для улучшения тактики уклонения.
Были выявлены две различные цепочки атак. Первая цепочка уничтожения сосредоточена на Remcos версии 7.1.0 Pro, где скрипт PowerShell извлекает образ stego, который после обработки загружает и выполняет полезную нагрузку RAT в скрытой среде. Извлеченная конфигурация для Remcos указывает на то, что она взаимодействует с сервером C2 (systemcopilotdrivers.ydns.eu ) регистрировать нажатия клавиш даже в автономном режиме, сохраняя их в скрытой папке, предназначенной для операции RAT.
Напротив, AsyncRAT был реализован с помощью аналогичного механизма, но с такими вариациями, как загрузка отражающей сборки вместо process hollowing, что позволяет осуществлять развертывание без файлов. Обе крысы демонстрируют адаптивное поведение с их интервалами повторного выполнения и конфигурациями, которые включают отключение закрепление установки при поддержании высокого уровня активности с помощью циклических механизмов.
Инфраструктура, поддерживающая эти операции, была прослежена до постоянного IP-адреса в Колумбии, связанного с более чем десятимесячной непрерывной деятельностью, что демонстрирует постоянный и эволюционирующий подход к киберэксплуатации. Крысы использовали различные домены C2 наряду с фреймворк, нацеленный на process hollowing, повышающий их возможности скрытности. Их повсеместное присутствие через Облачные сервисы, такие как archive.org усиливает проблемы, с которыми сталкиваются при обнаружении вредоносное ПО и устранении неполадок, учитывая доверенный статус этого домена и отсутствие сканирования содержимого.
Эта атака подчеркивает сложное использование steganography, изощренные методы внедрения и полезность облачных платформ в операциях киберпреступников, что требует передовых стратегий обнаружения для эффективного противодействия возникающим угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2026 года кибер-актор использовал archive.org для доставки вредоносной полезной нагрузки, в частности Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT, для скрытия используется steganography .Библиотеки DLL NET injector в формате JPEG. Полезные файлы, встроенный маркер EOF post-JPEG, эмулируют законные библиотеки DLL, минуя обнаружение. Были выявлены две цепочки атак: одна использует PowerShell для получения изображений для Remcos, в то время как AsyncRAT использует отражающую загрузку сборки для безфайлового развертывания, демонстрируя постоянную инфраструктуру, отслеживаемую до колумбийского IP.
-----
В начале 2026 года киберугроза, связанная с использованием archive.org в качестве платформы доставки вредоносной полезной нагрузки была определена, в частности, развертывание Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT. В этой кампании используются методы steganography для запутывания .Библиотеки DLL NET injector в виде обоев в формате 4K JPEG. Вредоносный код внедряется вслед за маркером JPEG EOF, что делает его незаметным для обычных средств просмотра изображений. Операторы, участвовавшие в этой деятельности, использовали ежедневный цикл перекомпиляции и загрузки этих изображений в несколько учетных записей, связанных с Gmail.
Перекрестная ссылка на данные о распространении URLhaus вредоносное ПО с помощью Tria.ge результаты песочницы дали 54 идентифицированных совпадения, выявив archive.org как значительное совпадение, хотя другие домены каталогизировали несвязанные угрозы, такие как ботнеты Mirai. Каждая извлеченная библиотека DLL маскируется под законную библиотеку Microsoft Windows, что побуждает программное обеспечение безопасности не замечать их вредоносную природу. Анализ размеров полезной нагрузки варьировался от 745 КБ до 1,6 МБ, при этом различные конфигурации обфускатора ConfuserEx использовались для улучшения тактики уклонения.
Были выявлены две различные цепочки атак. Первая цепочка уничтожения сосредоточена на Remcos версии 7.1.0 Pro, где скрипт PowerShell извлекает образ stego, который после обработки загружает и выполняет полезную нагрузку RAT в скрытой среде. Извлеченная конфигурация для Remcos указывает на то, что она взаимодействует с сервером C2 (systemcopilotdrivers.ydns.eu ) регистрировать нажатия клавиш даже в автономном режиме, сохраняя их в скрытой папке, предназначенной для операции RAT.
Напротив, AsyncRAT был реализован с помощью аналогичного механизма, но с такими вариациями, как загрузка отражающей сборки вместо process hollowing, что позволяет осуществлять развертывание без файлов. Обе крысы демонстрируют адаптивное поведение с их интервалами повторного выполнения и конфигурациями, которые включают отключение закрепление установки при поддержании высокого уровня активности с помощью циклических механизмов.
Инфраструктура, поддерживающая эти операции, была прослежена до постоянного IP-адреса в Колумбии, связанного с более чем десятимесячной непрерывной деятельностью, что демонстрирует постоянный и эволюционирующий подход к киберэксплуатации. Крысы использовали различные домены C2 наряду с фреймворк, нацеленный на process hollowing, повышающий их возможности скрытности. Их повсеместное присутствие через Облачные сервисы, такие как archive.org усиливает проблемы, с которыми сталкиваются при обнаружении вредоносное ПО и устранении неполадок, учитывая доверенный статус этого домена и отсутствие сканирования содержимого.
Эта атака подчеркивает сложное использование steganography, изощренные методы внедрения и полезность облачных платформ в операциях киберпреступников, что требует передовых стратегий обнаружения для эффективного противодействия возникающим угрозам.
#ParsedReport #CompletenessLow
02-03-2026
Purchase order attachment isnt a PDF. Its phishing for your password
https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password
Report completeness: Low
Threats:
Credential_harvesting_technique
ChatGPT TTPs:
T1056.003, T1059.007, T1071.001, T1102.002, T1566.002, T1608.005
IOCs:
File: 1
Soft:
Telegram
02-03-2026
Purchase order attachment isnt a PDF. Its phishing for your password
https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password
Report completeness: Low
Threats:
Credential_harvesting_technique
ChatGPT TTPs:
do not use without manual checkT1056.003, T1059.007, T1071.001, T1102.002, T1566.002, T1608.005
IOCs:
File: 1
Soft:
Telegram
Malwarebytes
Purchase order attachment isn’t a PDF. It’s phishing for your password
A fake purchase order attachment turned out to be a phishing page designed to harvest your login details.
CTT Report Hub
#ParsedReport #CompletenessLow 02-03-2026 Purchase order attachment isnt a PDF. Its phishing for your password https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя фишинг-кампания включает в себя вводящее в заблуждение вложение с надписью "Новый PO 500PCS.pdf.hTM ," который маскируется под PDF, но на самом деле содержит HTML-код. Жертвы, открывающие файл, сталкиваются с запросом пароля, который фиксирует конфиденциальную информацию, такую как IP-адрес и геолокация, с помощью скрипта, передающего данные боту Телеграм, управляемому злоумышленником. Этот метод позволяет злоумышленникам собирать учетные данные для входа в систему для дальнейшего использования, что потенциально может привести к захвату учетных записей и продаже компрометация информации.
-----
Недавно была запущена кампания по фишинг-атаке с использованием искусно замаскированного приложения под названием "New PO 500PCS.pdf.hTM ". Файл, который должен был выглядеть как стандартный заказ на покупку в формате PDF, на самом деле содержит HTML-код. Двойное расширение у файла (.pdf.htm ) - хорошо известная тактика в схемах фишинг, когда Вредоносный файл маскируется под законные документы, но может выполнять вредоносные скрипты при открытии в веб-браузере.
При взаимодействии с вложением жертвам отображается запрос пароля, наложенный на размытый фон. Эта фишинг-страница автоматически вводит адрес электронной почты пользователя и в фоновом режиме запускает скрипт, который собирает конфиденциальную информацию, такую как IP-адрес жертвы, геолокация и пользовательский агент браузера. Затем эти данные отправляются непосредственно боту в Телеграм, управляемому злоумышленником. Выбор Телеграм в качестве канала командования и контроля (C2) является стратегическим, поскольку он обеспечивает шифрование, широкое использование и часто остается без контроля со стороны корпоративных мер безопасности.
Хотя замысел мошенничества может показаться бесхитростным, он эффективно собирает учетные данные для входа в систему у жертв. Как только эти учетные данные будут предоставлены, злоумышленник может использовать их для дальнейших вредоносных действий, включая захват учетных записей и продажу информации на незаконных рынках. Потенциальные последствия для жертв включают необходимость сброса паролей и снижения рисков, связанных с компрометация личной информации.
Учитывая характер этой угрозы, пользователям рекомендуется сохранять бдительность при получении подозрительных электронных писем и использовать такие инструменты, как Malwarebytes Scam Guard, для проверки законности потенциально вредоносного контента. Такие упреждающие меры могут помочь предотвратить попадание в число жертв этих фишинг-атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя фишинг-кампания включает в себя вводящее в заблуждение вложение с надписью "Новый PO 500PCS.pdf.hTM ," который маскируется под PDF, но на самом деле содержит HTML-код. Жертвы, открывающие файл, сталкиваются с запросом пароля, который фиксирует конфиденциальную информацию, такую как IP-адрес и геолокация, с помощью скрипта, передающего данные боту Телеграм, управляемому злоумышленником. Этот метод позволяет злоумышленникам собирать учетные данные для входа в систему для дальнейшего использования, что потенциально может привести к захвату учетных записей и продаже компрометация информации.
-----
Недавно была запущена кампания по фишинг-атаке с использованием искусно замаскированного приложения под названием "New PO 500PCS.pdf.hTM ". Файл, который должен был выглядеть как стандартный заказ на покупку в формате PDF, на самом деле содержит HTML-код. Двойное расширение у файла (.pdf.htm ) - хорошо известная тактика в схемах фишинг, когда Вредоносный файл маскируется под законные документы, но может выполнять вредоносные скрипты при открытии в веб-браузере.
При взаимодействии с вложением жертвам отображается запрос пароля, наложенный на размытый фон. Эта фишинг-страница автоматически вводит адрес электронной почты пользователя и в фоновом режиме запускает скрипт, который собирает конфиденциальную информацию, такую как IP-адрес жертвы, геолокация и пользовательский агент браузера. Затем эти данные отправляются непосредственно боту в Телеграм, управляемому злоумышленником. Выбор Телеграм в качестве канала командования и контроля (C2) является стратегическим, поскольку он обеспечивает шифрование, широкое использование и часто остается без контроля со стороны корпоративных мер безопасности.
Хотя замысел мошенничества может показаться бесхитростным, он эффективно собирает учетные данные для входа в систему у жертв. Как только эти учетные данные будут предоставлены, злоумышленник может использовать их для дальнейших вредоносных действий, включая захват учетных записей и продажу информации на незаконных рынках. Потенциальные последствия для жертв включают необходимость сброса паролей и снижения рисков, связанных с компрометация личной информации.
Учитывая характер этой угрозы, пользователям рекомендуется сохранять бдительность при получении подозрительных электронных писем и использовать такие инструменты, как Malwarebytes Scam Guard, для проверки законности потенциально вредоносного контента. Такие упреждающие меры могут помочь предотвратить попадание в число жертв этих фишинг-атак.
#ParsedReport #CompletenessHigh
24-02-2026
HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES
https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/
Report completeness: High
Actors/Campaigns:
Hydra_saiga (motivation: cyber_criminal, cyber_espionage)
Cavalry_werewolf (motivation: cyber_espionage)
Shadowsilk (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)
Threats:
Havoc
Resocks_tool
Meterpreter_tool
Credential_harvesting_technique
Lolbin_technique
Fakelogonscreen_tool
Nltest_tool
Bitsadmin_tool
Chisel_tool
Acunetix_tool
Jlorat
Telemiris
Rsocx_tool
Credential_dumping_technique
Victims:
Government, Critical infrastructure, Energy sector, Healthcare, Legal sector, Water utilities, Hydroelectric power operators, Research institutions, Scada operators, Manufacturing equipment manufacturers, have more...
Industry:
Critical_infrastructure, Petroleum, Education, Energy, Ics, Healthcare, Government, Aerospace
Geo:
Colombia, Greece, Russian, Turkey, India, Singapore, Morocco, Netherlands, Slovakia, Georgia, Kyrgyzstan, Thailand, America, Peru, Bangladesh, Oman, Czechia, Armenia, Azerbaijan, Kazakhstan, Africa, Pakistan, Afghanistan, Asia, Chinese, Indonesia, Brazil, Iran, Uzbekistan, Middle east, Egypt, China, Bulgaria, South africa, Pol, Russia, Turkmenistan, Argentina, Mongolia, Afghan, Tajikistan, Belarus, Asian
TTPs:
Tactics: 11
Technics: 26
IOCs:
File: 8
IP: 28
Email: 1
Path: 17
Hash: 6
Url: 22
Domain: 14
Command: 1
Soft:
Telegram, Chrome, curl, PsExec, Microsoft Defender, PyInstaller, Firefox, Opera, Linux, s://www.vmray, have more...
Algorithms:
base64
Languages:
php, powershell, rust, golang, python
24-02-2026
HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES
https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/
Report completeness: High
Actors/Campaigns:
Hydra_saiga (motivation: cyber_criminal, cyber_espionage)
Cavalry_werewolf (motivation: cyber_espionage)
Shadowsilk (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)
Threats:
Havoc
Resocks_tool
Meterpreter_tool
Credential_harvesting_technique
Lolbin_technique
Fakelogonscreen_tool
Nltest_tool
Bitsadmin_tool
Chisel_tool
Acunetix_tool
Jlorat
Telemiris
Rsocx_tool
Credential_dumping_technique
Victims:
Government, Critical infrastructure, Energy sector, Healthcare, Legal sector, Water utilities, Hydroelectric power operators, Research institutions, Scada operators, Manufacturing equipment manufacturers, have more...
Industry:
Critical_infrastructure, Petroleum, Education, Energy, Ics, Healthcare, Government, Aerospace
Geo:
Colombia, Greece, Russian, Turkey, India, Singapore, Morocco, Netherlands, Slovakia, Georgia, Kyrgyzstan, Thailand, America, Peru, Bangladesh, Oman, Czechia, Armenia, Azerbaijan, Kazakhstan, Africa, Pakistan, Afghanistan, Asia, Chinese, Indonesia, Brazil, Iran, Uzbekistan, Middle east, Egypt, China, Bulgaria, South africa, Pol, Russia, Turkmenistan, Argentina, Mongolia, Afghan, Tajikistan, Belarus, Asian
TTPs:
Tactics: 11
Technics: 26
IOCs:
File: 8
IP: 28
Email: 1
Path: 17
Hash: 6
Url: 22
Domain: 14
Command: 1
Soft:
Telegram, Chrome, curl, PsExec, Microsoft Defender, PyInstaller, Firefox, Opera, Linux, s://www.vmray, have more...
Algorithms:
base64
Languages:
php, powershell, rust, golang, python
VMRay
Hydra Saiga: Covert Espionage and Infiltration of Critical Utilities
Analysis of Hydra and Saiga malware targeting critical utilities with stealthy espionage techniques.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-02-2026 HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/ Report completeness: High Actors/Campaigns: Hydra_saiga…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Hydra Saiga, базирующаяся в Казахстане преступная хакерская группировка, спонсируемая государством, действующая с 2021 года, в первую очередь нацелена на государственные структуры и сектора критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Они используют различные методы атак, включая фишинг для первоначальный доступ, и используют операции управление с помощью API-интерфейса Телеграм-бота. Их деятельность после эксплуатации использует методы Living Off the Land, фокусируясь на сбор учетных записей и эксфильтрация данных с использованием как стандартных утилит Windows, так и пользовательских вредоносное ПО.
-----
Hydra Saiga - спонсируемая государством преступная хакерская группировка из Казахстана, действующая с 2021 года. Группа нацелен на государственные органы и важнейшие секторы инфраструктуры в первую очередь в Центральной Азии, Европе и на Ближнем Востоке. Они используют API-интерфейс Телеграм-ботов для операций управление и используют как стандартное, так и пользовательское вредоносное ПО, включая полезные приложения на Python, PowerShell, Golang и Rust. Их методы постэксплуатации включают в себя операции с клавиатурой и использование методов Living Off theLand со стандартными утилитами Windows. Механизмы закрепление включают запланированные задачи и изменения в реестре Windows. Методы получение учетных данных включают в себя дампы Память процесса LSASS и инструмент FakeLogonScreen с открытым исходным кодом. Обратная связь с сервером C2 осуществляется через Телеграм для эксфильтрация команд и данных. Первоначальный доступ достигается с помощью нацелен-ных фишинг-кампаний с вредоносными вложениями, часто замаскированными под документы или архивы RAR. Они проводят разведка с помощью таких инструментов, как Censys и Shodan. Hydra Saiga нацелен на критически важную инфраструктуру, связанную с водным и энергетическим секторами, и попытался внедриться в системы SCADA во многих странах. Криминалистический анализ связывает группу с Казахстаном на основе операционных схем и нацелен на секторы. Они подвергли компрометация по меньшей мере 34 организации в восьми странах, что свидетельствует об их широких оперативных возможностях.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Hydra Saiga, базирующаяся в Казахстане преступная хакерская группировка, спонсируемая государством, действующая с 2021 года, в первую очередь нацелена на государственные структуры и сектора критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Они используют различные методы атак, включая фишинг для первоначальный доступ, и используют операции управление с помощью API-интерфейса Телеграм-бота. Их деятельность после эксплуатации использует методы Living Off the Land, фокусируясь на сбор учетных записей и эксфильтрация данных с использованием как стандартных утилит Windows, так и пользовательских вредоносное ПО.
-----
Hydra Saiga - спонсируемая государством преступная хакерская группировка из Казахстана, действующая с 2021 года. Группа нацелен на государственные органы и важнейшие секторы инфраструктуры в первую очередь в Центральной Азии, Европе и на Ближнем Востоке. Они используют API-интерфейс Телеграм-ботов для операций управление и используют как стандартное, так и пользовательское вредоносное ПО, включая полезные приложения на Python, PowerShell, Golang и Rust. Их методы постэксплуатации включают в себя операции с клавиатурой и использование методов Living Off theLand со стандартными утилитами Windows. Механизмы закрепление включают запланированные задачи и изменения в реестре Windows. Методы получение учетных данных включают в себя дампы Память процесса LSASS и инструмент FakeLogonScreen с открытым исходным кодом. Обратная связь с сервером C2 осуществляется через Телеграм для эксфильтрация команд и данных. Первоначальный доступ достигается с помощью нацелен-ных фишинг-кампаний с вредоносными вложениями, часто замаскированными под документы или архивы RAR. Они проводят разведка с помощью таких инструментов, как Censys и Shodan. Hydra Saiga нацелен на критически важную инфраструктуру, связанную с водным и энергетическим секторами, и попытался внедриться в системы SCADA во многих странах. Криминалистический анализ связывает группу с Казахстаном на основе операционных схем и нацелен на секторы. Они подвергли компрометация по меньшей мере 34 организации в восьми странах, что свидетельствует об их широких оперативных возможностях.
#ParsedReport #CompletenessMedium
26-02-2026
Free Games, Costly Consequences
https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader
Report completeness: Medium
Threats:
Hijackloader
Process_injection_technique
Acr_stealer
Dll_sideloading_technique
Riseprostealer
Uac_bypass_technique
Rshell
Process_doppelganging_technique
Antivm_technique
Process_hollowing_technique
Heavens_gate_technique
Victims:
Pirated gaming users, Gaming community
Industry:
Entertainment
Geo:
Spanish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1055, T1055.008, T1055.012, T1189, T1218, T1574.002, T1608.004
IOCs:
File: 25
Url: 1
Path: 2
Hash: 5
Algorithms:
zip, lznt1, xor, crc-32
Functions:
srand, rand
Win API:
decompress, GetComputerNameW
Languages:
javascript, php, python
Links:
have more...
26-02-2026
Free Games, Costly Consequences
https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader
Report completeness: Medium
Threats:
Hijackloader
Process_injection_technique
Acr_stealer
Dll_sideloading_technique
Riseprostealer
Uac_bypass_technique
Rshell
Process_doppelganging_technique
Antivm_technique
Process_hollowing_technique
Heavens_gate_technique
Victims:
Pirated gaming users, Gaming community
Industry:
Entertainment
Geo:
Spanish
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1055, T1055.008, T1055.012, T1189, T1218, T1574.002, T1608.004
IOCs:
File: 25
Url: 1
Path: 2
Hash: 5
Algorithms:
zip, lznt1, xor, crc-32
Functions:
srand, rand
Win API:
decompress, GetComputerNameW
Languages:
javascript, php, python
Links:
https://github.com/struppigel/hedgehog-tools/blob/main/HijackLoader/python3\_hijackloader\_stage2\_decrypter.pyhttps://github.com/struppigel/hedgehog-tools/tree/main/HijackLoaderhave more...
Gdatasoftware
Free Games, Costly Consequences, and Loads of Malware
The Spanish games platform PiviGames is being abused as a malware distribution hub. This was discovered after someone looked for help on Reddit.
CTT Report Hub
#ParsedReport #CompletenessMedium 26-02-2026 Free Games, Costly Consequences https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader Report completeness: Medium Threats: Hijackloader Process_injection_technique Acr_stealer Dll_side…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PiviGames перешла от платформы для пиратских игр к каналу распространения вредоносное ПО, в основном используя HijackLoader. Это вредоносное ПО использует сложный метод заражения, включающий Вредоносный файл, замаскированный под игровые настройки, выполняющийся с помощью DLL sideloading и использующий такие методы, как хэширование API и блокирование модулей. Вредоносное ПО демонстрирует расширенные возможности, включая проверку на защиту от виртуальных машин, закрепление и process INJECTION, что усложняет обнаружение и анализ.
-----
PiviGames, печально известная испанская платформа для скачивания пиратских компьютерных игр, превратилась в канал распространения вредоносное ПО, компрометирующий пользователей, которые ищут "бесплатных" развлечений. Первоначальный механизм заражения заключается в том, что невольные пользователи загружают Вредоносный файл, замаскированный под установку игры, что приводит к развертыванию HijackLoader — сложного вредоносное ПО, предназначенного для скрытности и закрепление.
В результате расследования было выявлено, что PiviGames маскирует свои вредоносные действия, используя сервисы Cloudflare, но его основной JavaScript, pgedshop.js , отвечает за перенаправление посетителей на неблаговидные сайты. Одним из примечательных примеров является файл с именем Setup.exe , который действует как чистый игровой лаунчер, но использует DLL sideloading для выполнения вредоносного кода через библиотеку под названием Conduit.Брокер.библиотека dll, принадлежащая к семейству HijackLoader.
Трубопровод.Брокер.сама библиотека dll содержит смесь доброкачественного и вредоносного кода и использует встроенное разрешение API для вызовов функций, что усложняет ее анализ. Вредоносное ПО использует уникальный механизм хэширования API, чтобы скрыть свою истинную природу. Кроме того, он расшифровывает файл (Groumcumgag.ic), который содержит шелл-код для облегчения дальнейшего развертывания полезной нагрузки. Эта полезная нагрузка загружается в законную системную библиотеку, evr.dll , используя технику, известную как топтание модуля.
Второй этап вредоносное ПО фокусируется на расшифровке и обработке конфигурационного файла (Zootkumbak.uhp), который определяет последующие действия. Содержащийся в нем шелл-код содержит фрагментированную конфигурацию, распределенную по 90 фрагментам, и использует шаблон поиска для определения местоположения этих фрагментов. В частности, он поддерживает различные функциональные возможности, включая параметры команд для process injection и настройки конфигурации.
На третьем этапе модуль ti64, который составляет ядро HijackLoader, реализует множество расширенных возможностей, включая проверки на защиту от виртуальной машины (Anti-VM), механизмы закрепление и методы множественного process Injection. Он предоставляет набор инструментов для загрузки полезных данных с помощью методов Внедрение в пустой процесс и Process Doppelgnging — используя безвредный внешний вид законных файлов, таких как MicrosoftEdgeUpdate.exe в качестве прикрытия для злонамеренных действий.
Межпроцессное взаимодействие облегчается с помощью переменных среды в скрытой форме, что позволяет HijackLoader обмениваться важной информацией, не вызывая тревоги. Весь фреймворк обладает высокой сложностью, что затрудняет распаковку из-за разбросанных путей выполнения кода и широкого использования структурированных данных.
Поскольку этот анализ HijackLoader продолжает раскрываться, в нем освещаются сложные методы, которые используют киберпреступники для использования, казалось бы, безобидных сервисов во вредоносных целях, и ожидается, что в следующей статье будет рассмотрена полезная нагрузка ACRStealer.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PiviGames перешла от платформы для пиратских игр к каналу распространения вредоносное ПО, в основном используя HijackLoader. Это вредоносное ПО использует сложный метод заражения, включающий Вредоносный файл, замаскированный под игровые настройки, выполняющийся с помощью DLL sideloading и использующий такие методы, как хэширование API и блокирование модулей. Вредоносное ПО демонстрирует расширенные возможности, включая проверку на защиту от виртуальных машин, закрепление и process INJECTION, что усложняет обнаружение и анализ.
-----
PiviGames, печально известная испанская платформа для скачивания пиратских компьютерных игр, превратилась в канал распространения вредоносное ПО, компрометирующий пользователей, которые ищут "бесплатных" развлечений. Первоначальный механизм заражения заключается в том, что невольные пользователи загружают Вредоносный файл, замаскированный под установку игры, что приводит к развертыванию HijackLoader — сложного вредоносное ПО, предназначенного для скрытности и закрепление.
В результате расследования было выявлено, что PiviGames маскирует свои вредоносные действия, используя сервисы Cloudflare, но его основной JavaScript, pgedshop.js , отвечает за перенаправление посетителей на неблаговидные сайты. Одним из примечательных примеров является файл с именем Setup.exe , который действует как чистый игровой лаунчер, но использует DLL sideloading для выполнения вредоносного кода через библиотеку под названием Conduit.Брокер.библиотека dll, принадлежащая к семейству HijackLoader.
Трубопровод.Брокер.сама библиотека dll содержит смесь доброкачественного и вредоносного кода и использует встроенное разрешение API для вызовов функций, что усложняет ее анализ. Вредоносное ПО использует уникальный механизм хэширования API, чтобы скрыть свою истинную природу. Кроме того, он расшифровывает файл (Groumcumgag.ic), который содержит шелл-код для облегчения дальнейшего развертывания полезной нагрузки. Эта полезная нагрузка загружается в законную системную библиотеку, evr.dll , используя технику, известную как топтание модуля.
Второй этап вредоносное ПО фокусируется на расшифровке и обработке конфигурационного файла (Zootkumbak.uhp), который определяет последующие действия. Содержащийся в нем шелл-код содержит фрагментированную конфигурацию, распределенную по 90 фрагментам, и использует шаблон поиска для определения местоположения этих фрагментов. В частности, он поддерживает различные функциональные возможности, включая параметры команд для process injection и настройки конфигурации.
На третьем этапе модуль ti64, который составляет ядро HijackLoader, реализует множество расширенных возможностей, включая проверки на защиту от виртуальной машины (Anti-VM), механизмы закрепление и методы множественного process Injection. Он предоставляет набор инструментов для загрузки полезных данных с помощью методов Внедрение в пустой процесс и Process Doppelgnging — используя безвредный внешний вид законных файлов, таких как MicrosoftEdgeUpdate.exe в качестве прикрытия для злонамеренных действий.
Межпроцессное взаимодействие облегчается с помощью переменных среды в скрытой форме, что позволяет HijackLoader обмениваться важной информацией, не вызывая тревоги. Весь фреймворк обладает высокой сложностью, что затрудняет распаковку из-за разбросанных путей выполнения кода и широкого использования структурированных данных.
Поскольку этот анализ HijackLoader продолжает раскрываться, в нем освещаются сложные методы, которые используют киберпреступники для использования, казалось бы, безобидных сервисов во вредоносных целях, и ожидается, что в следующей статье будет рассмотрена полезная нагрузка ACRStealer.
#ParsedReport #CompletenessLow
26-02-2026
Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities
https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/
Report completeness: Low
Threats:
Moonrise_rat
Cobalt_strike_tool
Victims:
Windows users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1041, T1056.001, T1059.003, T1071.001, T1082, T1115
IOCs:
Hash: 1
File: 5
IP: 1
Soft:
Linux
Algorithms:
base64, sha256
Functions:
Dial, SetReadDeadline, WriteJSON
Languages:
golang
26-02-2026
Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities
https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/
Report completeness: Low
Threats:
Moonrise_rat
Cobalt_strike_tool
Victims:
Windows users
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1041, T1056.001, T1059.003, T1071.001, T1082, T1115
IOCs:
Hash: 1
File: 5
IP: 1
Soft:
Linux
Algorithms:
base64, sha256
Functions:
Dial, SetReadDeadline, WriteJSON
Languages:
golang
Evalian®
Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities
Technical analysis of the Moonrise remote access trojan, including WebSocket C2 architecture, JSON command schema, surveillance features and crypto theft risk.
CTT Report Hub
#ParsedReport #CompletenessLow 26-02-2026 Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/ Report completeness: Low Threats: Moonrise_rat Cobalt_strike_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Moonrise - это недавно идентифицированный RAT, ориентированный на Windows, использующий архитектуру WebSocket для постоянной связи со своим сервером C2 по жестко закодированному IP-адресу. Он оснащен командным протоколом на основе JSON для структурированной обработки команд, позволяющим вести наблюдение в реальном времени с помощью Регистрация нажатий клавиш и мониторинга буфера обмена, а также демонстрирует возможности Манипуляции с данными, связанными с криптовалютой. Кроме того, он распознает зараженный хост для определения приоритетности таргетинга и может загружать файлы для дальнейшего развертывания полезной нагрузки, демонстрируя универсальность и постоянное оперативное взаимодействие своих операторов.
-----
Анализ Moonrise, недавно обнаруженной Троянская программа для удаленного доступа (RAT), нацеленной на системы Windows, раскрывает ее техническую архитектуру и возможности, уделяя особое внимание механизмам постоянного управление (C2), функциям наблюдения в режиме реального времени и потенциальной возможности кражи криптовалюты.
Moonrise структурирован с использованием архитектуры WebSocket для поддержания непрерывного канала связи со своим сервером C2, используя библиотеку WebSocket Gorilla. Он подключается к жестко запрограммированной конечной точке (ws://193.23.199.88:8765) и сохраняет состояние сеанса, предпочитая долговременные соединения временным запросам. Такое поведение обеспечивает эффективную обработку команд, позволяя операторам поддерживать контроль и осуществлять всестороннее наблюдение за системой, а не выполнять простое одноразовое выполнение.
Заслуживает внимания командный протокол трояна, основанный на JSON, с функциональностью для обработки структурированных команд и агрегирования ответов. Этот структурированный подход распространяется на его возможности наблюдения, которые включают в себя Регистрация нажатий клавиш и мониторинг буфера обмена, и направлен на сбор данных в режиме реального времени на зараженных компьютерах. Похоже, что вредоносное ПО обрабатывает команды, связанные с криптовалютой, как следует из определенных полей JSON, которые предполагают возможность захвата адресов кошельков и манипулирования ими — потенциально тревожная функциональность для пользователей криптовалюты.
В рамках своей операционной настройки Moonrise выполняет процесс снятия отпечатков пальцев с зараженного хоста, собирая системные метаданные, такие как версия операционной системы, имя хоста и идентификаторы пользователей, которые могут помочь злоумышленникам определить приоритеты целей на основе системной информации. Это указывает на более широкий дизайн вредоносное ПО, который делает упор на постоянное взаимодействие оператора и непрерывное извлечение данных, а не на статические атаки.
Динамический анализ, выполненный с помощью ANYRUN, выявил возможность загрузки файлов в зараженную систему, что повысило универсальность Moonrise's, поскольку он может развертывать дополнительные скрипты или полезные нагрузки после заражения. Одна из таких полезных нагрузок включала методы обхода сети, предполагающие потенциал для дальнейшего развития или развертывания модульных возможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Moonrise - это недавно идентифицированный RAT, ориентированный на Windows, использующий архитектуру WebSocket для постоянной связи со своим сервером C2 по жестко закодированному IP-адресу. Он оснащен командным протоколом на основе JSON для структурированной обработки команд, позволяющим вести наблюдение в реальном времени с помощью Регистрация нажатий клавиш и мониторинга буфера обмена, а также демонстрирует возможности Манипуляции с данными, связанными с криптовалютой. Кроме того, он распознает зараженный хост для определения приоритетности таргетинга и может загружать файлы для дальнейшего развертывания полезной нагрузки, демонстрируя универсальность и постоянное оперативное взаимодействие своих операторов.
-----
Анализ Moonrise, недавно обнаруженной Троянская программа для удаленного доступа (RAT), нацеленной на системы Windows, раскрывает ее техническую архитектуру и возможности, уделяя особое внимание механизмам постоянного управление (C2), функциям наблюдения в режиме реального времени и потенциальной возможности кражи криптовалюты.
Moonrise структурирован с использованием архитектуры WebSocket для поддержания непрерывного канала связи со своим сервером C2, используя библиотеку WebSocket Gorilla. Он подключается к жестко запрограммированной конечной точке (ws://193.23.199.88:8765) и сохраняет состояние сеанса, предпочитая долговременные соединения временным запросам. Такое поведение обеспечивает эффективную обработку команд, позволяя операторам поддерживать контроль и осуществлять всестороннее наблюдение за системой, а не выполнять простое одноразовое выполнение.
Заслуживает внимания командный протокол трояна, основанный на JSON, с функциональностью для обработки структурированных команд и агрегирования ответов. Этот структурированный подход распространяется на его возможности наблюдения, которые включают в себя Регистрация нажатий клавиш и мониторинг буфера обмена, и направлен на сбор данных в режиме реального времени на зараженных компьютерах. Похоже, что вредоносное ПО обрабатывает команды, связанные с криптовалютой, как следует из определенных полей JSON, которые предполагают возможность захвата адресов кошельков и манипулирования ими — потенциально тревожная функциональность для пользователей криптовалюты.
В рамках своей операционной настройки Moonrise выполняет процесс снятия отпечатков пальцев с зараженного хоста, собирая системные метаданные, такие как версия операционной системы, имя хоста и идентификаторы пользователей, которые могут помочь злоумышленникам определить приоритеты целей на основе системной информации. Это указывает на более широкий дизайн вредоносное ПО, который делает упор на постоянное взаимодействие оператора и непрерывное извлечение данных, а не на статические атаки.
Динамический анализ, выполненный с помощью ANYRUN, выявил возможность загрузки файлов в зараженную систему, что повысило универсальность Moonrise's, поскольку он может развертывать дополнительные скрипты или полезные нагрузки после заражения. Одна из таких полезных нагрузок включала методы обхода сети, предполагающие потенциал для дальнейшего развития или развертывания модульных возможностей.
#ParsedReport #CompletenessHigh
27-02-2026
Github VSCode Contagious Interview
https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github
Report completeness: High
Actors/Campaigns:
Contagious_interview
Threats:
Beavertail
Invisibleferret
Ottercookie
Anydesk_tool
Supply_chain_technique
Dead_drop_technique
Tsunami_framework
Etherrat
Victims:
Developers, Open source ecosystem
Industry:
Telco, Financial
Geo:
North korean, Bulgaria, India, America
TTPs:
Tactics: 9
Technics: 31
IOCs:
Email: 1
Url: 111
File: 13
IP: 14
Coin: 5
Path: 2
Hash: 12
Domain: 1
Soft:
VSCode, Visual Studio Code, linux, macOS, onenote, Chrome, Opera, Opera GX, Chromium, Vivaldi, have more...
Wallets:
metamask, rabby, coinbase, exodus_wallet, trezor, electrum, brave_wallet, coin98, math_wallet, solflare, have more...
Crypto:
solana, bitcoin, ethereum, binance
Algorithms:
xor, zip, base64, sha256, hmac
Languages:
javascript, python
Platforms:
x86
27-02-2026
Github VSCode Contagious Interview
https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github
Report completeness: High
Actors/Campaigns:
Contagious_interview
Threats:
Beavertail
Invisibleferret
Ottercookie
Anydesk_tool
Supply_chain_technique
Dead_drop_technique
Tsunami_framework
Etherrat
Victims:
Developers, Open source ecosystem
Industry:
Telco, Financial
Geo:
North korean, Bulgaria, India, America
TTPs:
Tactics: 9
Technics: 31
IOCs:
Email: 1
Url: 111
File: 13
IP: 14
Coin: 5
Path: 2
Hash: 12
Domain: 1
Soft:
VSCode, Visual Studio Code, linux, macOS, onenote, Chrome, Opera, Opera GX, Chromium, Vivaldi, have more...
Wallets:
metamask, rabby, coinbase, exodus_wallet, trezor, electrum, brave_wallet, coin98, math_wallet, solflare, have more...
Crypto:
solana, bitcoin, ethereum, binance
Algorithms:
xor, zip, base64, sha256, hmac
Languages:
javascript, python
Platforms:
x86
www.enki.co.kr
Github를 통해 유포된 VSCode 악용 Contagious Interview 캠페인 | 엔키화이트햇
Contagious Interview Campaign Abusing VSCode Distributed on Github
CTT Report Hub
#ParsedReport #CompletenessHigh 27-02-2026 Github VSCode Contagious Interview https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github Report completeness: High Actors/Campaigns: Contagious_interview …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кАмпания, атрибутирован с северокорейскими злоумышленник, нацелена на разработчиков через GitHub, используя автоматизацию Visual Studio Code для распространения вредоносных программ, в том числе Beavertail, InvisibleFerret и OtterCookie. Злоумышленники создают поддельные учетные записи для укрепления доверия и распространяют вредоносное ПО, которое выполняет команды через файл `.vscode/task.json`. Вредоносное ПО использует несколько серверов управление, извлекает дополнительные скрипты, собирает конфиденциальные данные и использует передовые методы обфускации, подчеркивая изощренное использование средств разработки с открытым исходным кодом.
-----
Анализ сосредоточен на заметной вредоносная кАмпания, использующей GitHub для доставки вредоносных полезных нагрузок, которые используют возможности автоматизации Visual Studio Code (VSCode). К ключевым выявленным типам вредоносное ПО относятся Beavertail, InvisibleFerret и OtterCookie, которые являются частью продолжающейся кампании Contagious Interview, атрибутирован с северокорейскими злоумышленник, в первую очередь нацеленной на разработчиков.
Злоумышленники использовали тактику обмана, создавая поддельные аккаунты в качестве рекрутеров или разработчиков, связанных с узнаваемыми компаниями. Эти учетные записи использовались для укрепления доверия и облегчения распространения вредоносное ПО, в частности, через репозитории, предназначенные для имитации тестов на кодирование или собеседований. Вредоносные действия начинаются с ввода команд в файл `.vscode/task.json`, который автоматически выполняется при открытии хранилища в VSCode, эффективно загружая и запуская вредоносное ПО. Такое использование функций автоматизации VSCode демонстрирует сложный подход к первоначальный доступ.
Внедрение вредоносное ПО включает в себя взаимодействие с несколькими серверами управление (C&C). Вредоносное ПО Beavertail использует два сервера C&C для загрузки дополнительных компонентов и сбора информации. Его операционная процедура начинается со сценария загрузки, который стратегически извлекает дополнительные сценарии через определенные промежутки времени, при этом поведение связи закодировано для резервного копирования на альтернативные серверы, если это необходимо. Эта инфраструктура позволяет вредоносное ПО собирать конфиденциальную информацию, включая учетные данные браузера и данные криптовалютного кошелька, и отправлять ее обратно злоумышленникам.
InvisibleFerret работает аналогично, но выполняется с помощью скриптов на Python, которые используют передовые методы запутывания, чтобы избежать обнаружения. Сценарии подключаются обратно к определенному серверу C&C для получения команд, обеспечивая непрерывный операционный контроль. Конструкция позволяет выполнять различные действия, такие как удаленное выполнение команд, управление файлами и поддержание закрепление в системе.
Более того, OtterCookie еще больше расширяет функциональность вредоносное ПО, осуществляя управление процессами и подключение к серверу C&C, позволяя командам изменять поведение вредоносное ПО на основе полученных инструкций.
Всеобъемлющий ландшафт угроз, поднятый этой кампанией, подчеркивает необходимость проявлять бдительность в отношении хранилищ программного обеспечения с открытым исходным кодом и интегрированных сред разработки. Конкретные рекомендации включают обеспечение того, чтобы в VSCode была включена функция доверия рабочей области для снижения рисков автоматического выполнения кода, тщательный аудит настроек проекта и повышенный контроль каталога ".vscode" для предотвращения несанкционированного выполнения скрипта.
В конечном счете, эта кампания является примером того, как актор-злоумышленник может использовать генеративный ИИ для написания и маскировки вредоносное ПО, демонстрируя безупречное сочетание социально спроектированной тактики и технических инноваций для повышения эффективности распространения вредоносное ПО в сообществах разработчиков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кАмпания, атрибутирован с северокорейскими злоумышленник, нацелена на разработчиков через GitHub, используя автоматизацию Visual Studio Code для распространения вредоносных программ, в том числе Beavertail, InvisibleFerret и OtterCookie. Злоумышленники создают поддельные учетные записи для укрепления доверия и распространяют вредоносное ПО, которое выполняет команды через файл `.vscode/task.json`. Вредоносное ПО использует несколько серверов управление, извлекает дополнительные скрипты, собирает конфиденциальные данные и использует передовые методы обфускации, подчеркивая изощренное использование средств разработки с открытым исходным кодом.
-----
Анализ сосредоточен на заметной вредоносная кАмпания, использующей GitHub для доставки вредоносных полезных нагрузок, которые используют возможности автоматизации Visual Studio Code (VSCode). К ключевым выявленным типам вредоносное ПО относятся Beavertail, InvisibleFerret и OtterCookie, которые являются частью продолжающейся кампании Contagious Interview, атрибутирован с северокорейскими злоумышленник, в первую очередь нацеленной на разработчиков.
Злоумышленники использовали тактику обмана, создавая поддельные аккаунты в качестве рекрутеров или разработчиков, связанных с узнаваемыми компаниями. Эти учетные записи использовались для укрепления доверия и облегчения распространения вредоносное ПО, в частности, через репозитории, предназначенные для имитации тестов на кодирование или собеседований. Вредоносные действия начинаются с ввода команд в файл `.vscode/task.json`, который автоматически выполняется при открытии хранилища в VSCode, эффективно загружая и запуская вредоносное ПО. Такое использование функций автоматизации VSCode демонстрирует сложный подход к первоначальный доступ.
Внедрение вредоносное ПО включает в себя взаимодействие с несколькими серверами управление (C&C). Вредоносное ПО Beavertail использует два сервера C&C для загрузки дополнительных компонентов и сбора информации. Его операционная процедура начинается со сценария загрузки, который стратегически извлекает дополнительные сценарии через определенные промежутки времени, при этом поведение связи закодировано для резервного копирования на альтернативные серверы, если это необходимо. Эта инфраструктура позволяет вредоносное ПО собирать конфиденциальную информацию, включая учетные данные браузера и данные криптовалютного кошелька, и отправлять ее обратно злоумышленникам.
InvisibleFerret работает аналогично, но выполняется с помощью скриптов на Python, которые используют передовые методы запутывания, чтобы избежать обнаружения. Сценарии подключаются обратно к определенному серверу C&C для получения команд, обеспечивая непрерывный операционный контроль. Конструкция позволяет выполнять различные действия, такие как удаленное выполнение команд, управление файлами и поддержание закрепление в системе.
Более того, OtterCookie еще больше расширяет функциональность вредоносное ПО, осуществляя управление процессами и подключение к серверу C&C, позволяя командам изменять поведение вредоносное ПО на основе полученных инструкций.
Всеобъемлющий ландшафт угроз, поднятый этой кампанией, подчеркивает необходимость проявлять бдительность в отношении хранилищ программного обеспечения с открытым исходным кодом и интегрированных сред разработки. Конкретные рекомендации включают обеспечение того, чтобы в VSCode была включена функция доверия рабочей области для снижения рисков автоматического выполнения кода, тщательный аудит настроек проекта и повышенный контроль каталога ".vscode" для предотвращения несанкционированного выполнения скрипта.
В конечном счете, эта кампания является примером того, как актор-злоумышленник может использовать генеративный ИИ для написания и маскировки вредоносное ПО, демонстрируя безупречное сочетание социально спроектированной тактики и технических инноваций для повышения эффективности распространения вредоносное ПО в сообществах разработчиков.
#ParsedReport #CompletenessMedium
02-03-2026
Cyber Reflections of the U.S. & Israel-Iran War
https://socradar.io/blog/cyber-reflections-us-israel-iran-war/
Report completeness: Medium
Actors/Campaigns:
Irgc
Apt33
Oilrig (motivation: hacktivism)
Charming_kitten
Remix_kitten
Apt42 (motivation: hacktivism)
Muddywater (motivation: hacktivism)
Tortoiseshell
Cyber_av3ngers
Cyber_avengers
Fox_kitten
Mr_hamza (motivation: hacktivism)
Rippersec
Cyb3rdrag0nzz
Nation_of_saviors
Keymous
Sylhetgang
Dienet (motivation: hacktivism)
Cyb3r_drag0nz
Team_fearles
Anonghost
Cyberav3nger
Cyber_toufan
Handala
Redkitten
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Dns_hijacking_technique
Remexi
Supply_chain_technique
Watering_hole_technique
Inc_ransomware
Victims:
Government, Telecommunications, Finance, Defense contractors, Aerospace, Energy, Industrial firms, Water utilities, Critical infrastructure, Airports, have more...
Industry:
Energy, Ics, Healthcare, Transport, Financial, Aerospace, Petroleum, Maritime, Ngo, Telco, Military, Critical_infrastructure, Education, Logistic, Government
Geo:
Kuwait, Israeli, Tehran, Middle east, Bahrain, Oman, Iranian, Saudi, Jordan, Riyadh, Cyprus, Israel, Iran, Saudi arabia, Abu dhabi, Egypt, Iraq, Qatar
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 4
Soft:
Telegram, Twitter, WhatsApp
Languages:
powershell
02-03-2026
Cyber Reflections of the U.S. & Israel-Iran War
https://socradar.io/blog/cyber-reflections-us-israel-iran-war/
Report completeness: Medium
Actors/Campaigns:
Irgc
Apt33
Oilrig (motivation: hacktivism)
Charming_kitten
Remix_kitten
Apt42 (motivation: hacktivism)
Muddywater (motivation: hacktivism)
Tortoiseshell
Cyber_av3ngers
Cyber_avengers
Fox_kitten
Mr_hamza (motivation: hacktivism)
Rippersec
Cyb3rdrag0nzz
Nation_of_saviors
Keymous
Sylhetgang
Dienet (motivation: hacktivism)
Cyb3r_drag0nz
Team_fearles
Anonghost
Cyberav3nger
Cyber_toufan
Handala
Redkitten
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Dns_hijacking_technique
Remexi
Supply_chain_technique
Watering_hole_technique
Inc_ransomware
Victims:
Government, Telecommunications, Finance, Defense contractors, Aerospace, Energy, Industrial firms, Water utilities, Critical infrastructure, Airports, have more...
Industry:
Energy, Ics, Healthcare, Transport, Financial, Aerospace, Petroleum, Maritime, Ngo, Telco, Military, Critical_infrastructure, Education, Logistic, Government
Geo:
Kuwait, Israeli, Tehran, Middle east, Bahrain, Oman, Iranian, Saudi, Jordan, Riyadh, Cyprus, Israel, Iran, Saudi arabia, Abu dhabi, Egypt, Iraq, Qatar
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 4
Soft:
Telegram, Twitter, WhatsApp
Languages:
powershell
SOCRadar® Cyber Intelligence Inc.
Cyber Reflections of the U.S. & Israel-Iran War
On February 28, 2026, the United States and Israel launched Operation Epic Fury, a coordinated strike campaign targeting Iran’s military command, missile