#ParsedReport #CompletenessLow
02-03-2026

Purchase order attachment isnt a PDF. Its phishing for your password

https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1071.001, T1102.002, T1566.002, T1608.005

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинг-кампания включает в себя вводящее в заблуждение вложение с надписью "Новый PO 500PCS.pdf.hTM ," который маскируется под PDF, но на самом деле содержит HTML-код. Жертвы, открывающие файл, сталкиваются с запросом пароля, который фиксирует конфиденциальную информацию, такую как IP-адрес и геолокация, с помощью скрипта, передающего данные боту Телеграм, управляемому злоумышленником. Этот метод позволяет злоумышленникам собирать учетные данные для входа в систему для дальнейшего использования, что потенциально может привести к захвату учетных записей и продаже компрометация информации.
-----

Недавно была запущена кампания по фишинг-атаке с использованием искусно замаскированного приложения под названием "New PO 500PCS.pdf.hTM ". Файл, который должен был выглядеть как стандартный заказ на покупку в формате PDF, на самом деле содержит HTML-код. Двойное расширение у файла (.pdf.htm ) - хорошо известная тактика в схемах фишинг, когда Вредоносный файл маскируется под законные документы, но может выполнять вредоносные скрипты при открытии в веб-браузере.

При взаимодействии с вложением жертвам отображается запрос пароля, наложенный на размытый фон. Эта фишинг-страница автоматически вводит адрес электронной почты пользователя и в фоновом режиме запускает скрипт, который собирает конфиденциальную информацию, такую как IP-адрес жертвы, геолокация и пользовательский агент браузера. Затем эти данные отправляются непосредственно боту в Телеграм, управляемому злоумышленником. Выбор Телеграм в качестве канала командования и контроля (C2) является стратегическим, поскольку он обеспечивает шифрование, широкое использование и часто остается без контроля со стороны корпоративных мер безопасности.

Хотя замысел мошенничества может показаться бесхитростным, он эффективно собирает учетные данные для входа в систему у жертв. Как только эти учетные данные будут предоставлены, злоумышленник может использовать их для дальнейших вредоносных действий, включая захват учетных записей и продажу информации на незаконных рынках. Потенциальные последствия для жертв включают необходимость сброса паролей и снижения рисков, связанных с компрометация личной информации.

Учитывая характер этой угрозы, пользователям рекомендуется сохранять бдительность при получении подозрительных электронных писем и использовать такие инструменты, как Malwarebytes Scam Guard, для проверки законности потенциально вредоносного контента. Такие упреждающие меры могут помочь предотвратить попадание в число жертв этих фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES

https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/

Report completeness: High

Actors/Campaigns:
Hydra_saiga (motivation: cyber_criminal, cyber_espionage)
Cavalry_werewolf (motivation: cyber_espionage)
Shadowsilk (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)

Threats:
Havoc
Resocks_tool
Meterpreter_tool
Credential_harvesting_technique
Lolbin_technique
Fakelogonscreen_tool
Nltest_tool
Bitsadmin_tool
Chisel_tool
Acunetix_tool
Jlorat
Telemiris
Rsocx_tool
Credential_dumping_technique

Victims:
Government, Critical infrastructure, Energy sector, Healthcare, Legal sector, Water utilities, Hydroelectric power operators, Research institutions, Scada operators, Manufacturing equipment manufacturers, have more...

Industry:
Critical_infrastructure, Petroleum, Education, Energy, Ics, Healthcare, Government, Aerospace

Geo:
Colombia, Greece, Russian, Turkey, India, Singapore, Morocco, Netherlands, Slovakia, Georgia, Kyrgyzstan, Thailand, America, Peru, Bangladesh, Oman, Czechia, Armenia, Azerbaijan, Kazakhstan, Africa, Pakistan, Afghanistan, Asia, Chinese, Indonesia, Brazil, Iran, Uzbekistan, Middle east, Egypt, China, Bulgaria, South africa, Pol, Russia, Turkmenistan, Argentina, Mongolia, Afghan, Tajikistan, Belarus, Asian

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 8
IP: 28
Email: 1
Path: 17
Hash: 6
Url: 22
Domain: 14
Command: 1

Soft:
Telegram, Chrome, curl, PsExec, Microsoft Defender, PyInstaller, Firefox, Opera, Linux, s://www.vmray, have more...

Algorithms:
base64

Languages:
php, powershell, rust, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hydra Saiga, базирующаяся в Казахстане преступная хакерская группировка, спонсируемая государством, действующая с 2021 года, в первую очередь нацелена на государственные структуры и сектора критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Они используют различные методы атак, включая фишинг для первоначальный доступ, и используют операции управление с помощью API-интерфейса Телеграм-бота. Их деятельность после эксплуатации использует методы Living Off the Land, фокусируясь на сбор учетных записей и эксфильтрация данных с использованием как стандартных утилит Windows, так и пользовательских вредоносное ПО.
-----

Hydra Saiga - спонсируемая государством преступная хакерская группировка из Казахстана, действующая с 2021 года. Группа нацелен на государственные органы и важнейшие секторы инфраструктуры в первую очередь в Центральной Азии, Европе и на Ближнем Востоке. Они используют API-интерфейс Телеграм-ботов для операций управление и используют как стандартное, так и пользовательское вредоносное ПО, включая полезные приложения на Python, PowerShell, Golang и Rust. Их методы постэксплуатации включают в себя операции с клавиатурой и использование методов Living Off theLand со стандартными утилитами Windows. Механизмы закрепление включают запланированные задачи и изменения в реестре Windows. Методы получение учетных данных включают в себя дампы Память процесса LSASS и инструмент FakeLogonScreen с открытым исходным кодом. Обратная связь с сервером C2 осуществляется через Телеграм для эксфильтрация команд и данных. Первоначальный доступ достигается с помощью нацелен-ных фишинг-кампаний с вредоносными вложениями, часто замаскированными под документы или архивы RAR. Они проводят разведка с помощью таких инструментов, как Censys и Shodan. Hydra Saiga нацелен на критически важную инфраструктуру, связанную с водным и энергетическим секторами, и попытался внедриться в системы SCADA во многих странах. Криминалистический анализ связывает группу с Казахстаном на основе операционных схем и нацелен на секторы. Они подвергли компрометация по меньшей мере 34 организации в восьми странах, что свидетельствует об их широких оперативных возможностях.

#ParsedReport #CompletenessMedium
26-02-2026

Free Games, Costly Consequences

https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader

Report completeness: Medium

Threats:
Hijackloader
Process_injection_technique
Acr_stealer
Dll_sideloading_technique
Riseprostealer
Uac_bypass_technique
Rshell
Process_doppelganging_technique
Antivm_technique
Process_hollowing_technique
Heavens_gate_technique

Victims:
Pirated gaming users, Gaming community

Industry:
Entertainment

Geo:
Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.008, T1055.012, T1189, T1218, T1574.002, T1608.004

IOCs:
File: 25
Url: 1
Path: 2
Hash: 5

Algorithms:
zip, lznt1, xor, crc-32

Functions:
srand, rand

Win API:
decompress, GetComputerNameW

Languages:
javascript, php, python

Links:
https://github.com/struppigel/hedgehog-tools/blob/main/HijackLoader/python3\_hijackloader\_stage2\_decrypter.py
https://github.com/struppigel/hedgehog-tools/tree/main/HijackLoader
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PiviGames перешла от платформы для пиратских игр к каналу распространения вредоносное ПО, в основном используя HijackLoader. Это вредоносное ПО использует сложный метод заражения, включающий Вредоносный файл, замаскированный под игровые настройки, выполняющийся с помощью DLL sideloading и использующий такие методы, как хэширование API и блокирование модулей. Вредоносное ПО демонстрирует расширенные возможности, включая проверку на защиту от виртуальных машин, закрепление и process INJECTION, что усложняет обнаружение и анализ.
-----

PiviGames, печально известная испанская платформа для скачивания пиратских компьютерных игр, превратилась в канал распространения вредоносное ПО, компрометирующий пользователей, которые ищут "бесплатных" развлечений. Первоначальный механизм заражения заключается в том, что невольные пользователи загружают Вредоносный файл, замаскированный под установку игры, что приводит к развертыванию HijackLoader — сложного вредоносное ПО, предназначенного для скрытности и закрепление.

В результате расследования было выявлено, что PiviGames маскирует свои вредоносные действия, используя сервисы Cloudflare, но его основной JavaScript, pgedshop.js , отвечает за перенаправление посетителей на неблаговидные сайты. Одним из примечательных примеров является файл с именем Setup.exe , который действует как чистый игровой лаунчер, но использует DLL sideloading для выполнения вредоносного кода через библиотеку под названием Conduit.Брокер.библиотека dll, принадлежащая к семейству HijackLoader.

Трубопровод.Брокер.сама библиотека dll содержит смесь доброкачественного и вредоносного кода и использует встроенное разрешение API для вызовов функций, что усложняет ее анализ. Вредоносное ПО использует уникальный механизм хэширования API, чтобы скрыть свою истинную природу. Кроме того, он расшифровывает файл (Groumcumgag.ic), который содержит шелл-код для облегчения дальнейшего развертывания полезной нагрузки. Эта полезная нагрузка загружается в законную системную библиотеку, evr.dll , используя технику, известную как топтание модуля.

Второй этап вредоносное ПО фокусируется на расшифровке и обработке конфигурационного файла (Zootkumbak.uhp), который определяет последующие действия. Содержащийся в нем шелл-код содержит фрагментированную конфигурацию, распределенную по 90 фрагментам, и использует шаблон поиска для определения местоположения этих фрагментов. В частности, он поддерживает различные функциональные возможности, включая параметры команд для process injection и настройки конфигурации.

На третьем этапе модуль ti64, который составляет ядро HijackLoader, реализует множество расширенных возможностей, включая проверки на защиту от виртуальной машины (Anti-VM), механизмы закрепление и методы множественного process Injection. Он предоставляет набор инструментов для загрузки полезных данных с помощью методов Внедрение в пустой процесс и Process Doppelgnging — используя безвредный внешний вид законных файлов, таких как MicrosoftEdgeUpdate.exe в качестве прикрытия для злонамеренных действий.

Межпроцессное взаимодействие облегчается с помощью переменных среды в скрытой форме, что позволяет HijackLoader обмениваться важной информацией, не вызывая тревоги. Весь фреймворк обладает высокой сложностью, что затрудняет распаковку из-за разбросанных путей выполнения кода и широкого использования структурированных данных.

Поскольку этот анализ HijackLoader продолжает раскрываться, в нем освещаются сложные методы, которые используют киберпреступники для использования, казалось бы, безобидных сервисов во вредоносных целях, и ожидается, что в следующей статье будет рассмотрена полезная нагрузка ACRStealer.

#ParsedReport #CompletenessLow
26-02-2026

Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities

https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/

Report completeness: Low

Threats:
Moonrise_rat
Cobalt_strike_tool

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.003, T1071.001, T1082, T1115

IOCs:
Hash: 1
File: 5
IP: 1

Soft:
Linux

Algorithms:
base64, sha256

Functions:
Dial, SetReadDeadline, WriteJSON

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise - это недавно идентифицированный RAT, ориентированный на Windows, использующий архитектуру WebSocket для постоянной связи со своим сервером C2 по жестко закодированному IP-адресу. Он оснащен командным протоколом на основе JSON для структурированной обработки команд, позволяющим вести наблюдение в реальном времени с помощью Регистрация нажатий клавиш и мониторинга буфера обмена, а также демонстрирует возможности Манипуляции с данными, связанными с криптовалютой. Кроме того, он распознает зараженный хост для определения приоритетности таргетинга и может загружать файлы для дальнейшего развертывания полезной нагрузки, демонстрируя универсальность и постоянное оперативное взаимодействие своих операторов.
-----

Анализ Moonrise, недавно обнаруженной Троянская программа для удаленного доступа (RAT), нацеленной на системы Windows, раскрывает ее техническую архитектуру и возможности, уделяя особое внимание механизмам постоянного управление (C2), функциям наблюдения в режиме реального времени и потенциальной возможности кражи криптовалюты.

Moonrise структурирован с использованием архитектуры WebSocket для поддержания непрерывного канала связи со своим сервером C2, используя библиотеку WebSocket Gorilla. Он подключается к жестко запрограммированной конечной точке (ws://193.23.199.88:8765) и сохраняет состояние сеанса, предпочитая долговременные соединения временным запросам. Такое поведение обеспечивает эффективную обработку команд, позволяя операторам поддерживать контроль и осуществлять всестороннее наблюдение за системой, а не выполнять простое одноразовое выполнение.

Заслуживает внимания командный протокол трояна, основанный на JSON, с функциональностью для обработки структурированных команд и агрегирования ответов. Этот структурированный подход распространяется на его возможности наблюдения, которые включают в себя Регистрация нажатий клавиш и мониторинг буфера обмена, и направлен на сбор данных в режиме реального времени на зараженных компьютерах. Похоже, что вредоносное ПО обрабатывает команды, связанные с криптовалютой, как следует из определенных полей JSON, которые предполагают возможность захвата адресов кошельков и манипулирования ими — потенциально тревожная функциональность для пользователей криптовалюты.

В рамках своей операционной настройки Moonrise выполняет процесс снятия отпечатков пальцев с зараженного хоста, собирая системные метаданные, такие как версия операционной системы, имя хоста и идентификаторы пользователей, которые могут помочь злоумышленникам определить приоритеты целей на основе системной информации. Это указывает на более широкий дизайн вредоносное ПО, который делает упор на постоянное взаимодействие оператора и непрерывное извлечение данных, а не на статические атаки.

Динамический анализ, выполненный с помощью ANYRUN, выявил возможность загрузки файлов в зараженную систему, что повысило универсальность Moonrise's, поскольку он может развертывать дополнительные скрипты или полезные нагрузки после заражения. Одна из таких полезных нагрузок включала методы обхода сети, предполагающие потенциал для дальнейшего развития или развертывания модульных возможностей.

#ParsedReport #CompletenessHigh
27-02-2026

Github VSCode Contagious Interview

https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Beavertail
Invisibleferret
Ottercookie
Anydesk_tool
Supply_chain_technique
Dead_drop_technique
Tsunami_framework
Etherrat

Victims:
Developers, Open source ecosystem

Industry:
Telco, Financial

Geo:
North korean, Bulgaria, India, America

TTPs:
Tactics: 9
Technics: 31

IOCs:
Email: 1
Url: 111
File: 13
IP: 14
Coin: 5
Path: 2
Hash: 12
Domain: 1

Soft:
VSCode, Visual Studio Code, linux, macOS, onenote, Chrome, Opera, Opera GX, Chromium, Vivaldi, have more...

Wallets:
metamask, rabby, coinbase, exodus_wallet, trezor, electrum, brave_wallet, coin98, math_wallet, solflare, have more...

Crypto:
solana, bitcoin, ethereum, binance

Algorithms:
xor, zip, base64, sha256, hmac

Languages:
javascript, python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кАмпания, атрибутирован с северокорейскими злоумышленник, нацелена на разработчиков через GitHub, используя автоматизацию Visual Studio Code для распространения вредоносных программ, в том числе Beavertail, InvisibleFerret и OtterCookie. Злоумышленники создают поддельные учетные записи для укрепления доверия и распространяют вредоносное ПО, которое выполняет команды через файл `.vscode/task.json`. Вредоносное ПО использует несколько серверов управление, извлекает дополнительные скрипты, собирает конфиденциальные данные и использует передовые методы обфускации, подчеркивая изощренное использование средств разработки с открытым исходным кодом.
-----

Анализ сосредоточен на заметной вредоносная кАмпания, использующей GitHub для доставки вредоносных полезных нагрузок, которые используют возможности автоматизации Visual Studio Code (VSCode). К ключевым выявленным типам вредоносное ПО относятся Beavertail, InvisibleFerret и OtterCookie, которые являются частью продолжающейся кампании Contagious Interview, атрибутирован с северокорейскими злоумышленник, в первую очередь нацеленной на разработчиков.

Злоумышленники использовали тактику обмана, создавая поддельные аккаунты в качестве рекрутеров или разработчиков, связанных с узнаваемыми компаниями. Эти учетные записи использовались для укрепления доверия и облегчения распространения вредоносное ПО, в частности, через репозитории, предназначенные для имитации тестов на кодирование или собеседований. Вредоносные действия начинаются с ввода команд в файл `.vscode/task.json`, который автоматически выполняется при открытии хранилища в VSCode, эффективно загружая и запуская вредоносное ПО. Такое использование функций автоматизации VSCode демонстрирует сложный подход к первоначальный доступ.

Внедрение вредоносное ПО включает в себя взаимодействие с несколькими серверами управление (C&C). Вредоносное ПО Beavertail использует два сервера C&C для загрузки дополнительных компонентов и сбора информации. Его операционная процедура начинается со сценария загрузки, который стратегически извлекает дополнительные сценарии через определенные промежутки времени, при этом поведение связи закодировано для резервного копирования на альтернативные серверы, если это необходимо. Эта инфраструктура позволяет вредоносное ПО собирать конфиденциальную информацию, включая учетные данные браузера и данные криптовалютного кошелька, и отправлять ее обратно злоумышленникам.

InvisibleFerret работает аналогично, но выполняется с помощью скриптов на Python, которые используют передовые методы запутывания, чтобы избежать обнаружения. Сценарии подключаются обратно к определенному серверу C&C для получения команд, обеспечивая непрерывный операционный контроль. Конструкция позволяет выполнять различные действия, такие как удаленное выполнение команд, управление файлами и поддержание закрепление в системе.

Более того, OtterCookie еще больше расширяет функциональность вредоносное ПО, осуществляя управление процессами и подключение к серверу C&C, позволяя командам изменять поведение вредоносное ПО на основе полученных инструкций.

Всеобъемлющий ландшафт угроз, поднятый этой кампанией, подчеркивает необходимость проявлять бдительность в отношении хранилищ программного обеспечения с открытым исходным кодом и интегрированных сред разработки. Конкретные рекомендации включают обеспечение того, чтобы в VSCode была включена функция доверия рабочей области для снижения рисков автоматического выполнения кода, тщательный аудит настроек проекта и повышенный контроль каталога ".vscode" для предотвращения несанкционированного выполнения скрипта.

В конечном счете, эта кампания является примером того, как актор-злоумышленник может использовать генеративный ИИ для написания и маскировки вредоносное ПО, демонстрируя безупречное сочетание социально спроектированной тактики и технических инноваций для повышения эффективности распространения вредоносное ПО в сообществах разработчиков.

#ParsedReport #CompletenessMedium
02-03-2026

Cyber Reflections of the U.S. & Israel-Iran War

https://socradar.io/blog/cyber-reflections-us-israel-iran-war/

Report completeness: Medium

Actors/Campaigns:
Irgc
Apt33
Oilrig (motivation: hacktivism)
Charming_kitten
Remix_kitten
Apt42 (motivation: hacktivism)
Muddywater (motivation: hacktivism)
Tortoiseshell
Cyber_av3ngers
Cyber_avengers
Fox_kitten
Mr_hamza (motivation: hacktivism)
Rippersec
Cyb3rdrag0nzz
Nation_of_saviors
Keymous
Sylhetgang
Dienet (motivation: hacktivism)
Cyb3r_drag0nz
Team_fearles
Anonghost
Cyberav3nger
Cyber_toufan
Handala
Redkitten

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Dns_hijacking_technique
Remexi
Supply_chain_technique
Watering_hole_technique
Inc_ransomware

Victims:
Government, Telecommunications, Finance, Defense contractors, Aerospace, Energy, Industrial firms, Water utilities, Critical infrastructure, Airports, have more...

Industry:
Energy, Ics, Healthcare, Transport, Financial, Aerospace, Petroleum, Maritime, Ngo, Telco, Military, Critical_infrastructure, Education, Logistic, Government

Geo:
Kuwait, Israeli, Tehran, Middle east, Bahrain, Oman, Iranian, Saudi, Jordan, Riyadh, Cyprus, Israel, Iran, Saudi arabia, Abu dhabi, Egypt, Iraq, Qatar

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4

Soft:
Telegram, Twitter, WhatsApp

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chats: 1, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Эпическая ярость", начатая США и Израилем против Ирана в феврале 2026 года, включала масштабные кибератаки, которые серьезно нарушили подключение Ирана к Интернету и компрометация военной связи, в частности, снизив уровень подключения до 4% от нормального уровня. Эта операция включала в себя DDoS-атаки и средства радиоэлектронной борьбы, направленные на ослепление иранских командных структур, в то время как иранские APT-группировка использовали различные методы, такие как spear phishing и wiper-атаки, подчеркивая их сосредоточенность на критически важных секторах. Одновременно хактивистские группы, связанные с иранскими интересами, организовали кампании, включающие DDoS-атаки и утечки данных, что отражает сложный киберпространственный ландшафт на фоне эскалации напряженности.
-----

Операция "Эпическая ярость", начатая 28 февраля 2026 года, была сосредоточена на военных и кибероперациях против Ирана. Масштабные кибератаки были направлены на то, чтобы подорвать возможности командования и контроля Ирана. Иран нанес ответный удар, нанеся нацелен на 27 военных баз США и объектов в Персидском заливе с помощью беспилотных летательных аппаратов и ракет. После атак подключение к Интернету в Иране снизилось до 4% от нормального уровня, что повлияло на критически важную инфраструктуру и новостные агентства. Иранские информационные агентства были взломаны с целью демонстрации антиправительственных настроений. Израильские источники описали кибероперации как крупнейшие в истории, связанные с радиоэлектронной борьбой и DDoS-атаками. Кибератака включала взлом правительственных спутниковых трансляций с целью распространения антирежимных сообщений. Иранские APT-группировка, в частности APT33, APT34, APT35, APT39, APT42 и MuddyWater, занимаются шпионажем и подрывной деятельностью, нацелен на критически важную инфраструктуру и телекоммуникации. Их методы включают в себя скрытый фишинг, атаки с использованием wiper, сбор учетных записей и использование уязвимостей инфраструктуры. Активность хактивистов резко возросла наряду с действиями государства, включая скоординированные DDoS-атаки и утечки данных. Иранские организации заявили о доступе к системам контроля в критически важных объектах инфраструктуры, что указывает на сдвиг в сторону угроз промышленного контроля. Также была выявлена деятельность программ-вымогателей против израильских организаций, связанная с эксфильтрация данных и политическими мотивами. Организациям в регионах, на которые нацелен проект, рекомендуется повысить безопасность путем внедрения Многофакторная аутентификация, исправления уязвимостей и тщательного мониторинга.

#ParsedReport #CompletenessHigh
25-02-2026

OCRFix: Botnet Trojan delivered through ClickFix and EtherHiding

https://www.cyjax.com/resources/blog/ocrfix-botnet-trojan-delivered-through-clickfix-and-etherhiding

Report completeness: High

Actors/Campaigns:
Unc5342

Threats:
Ocrfix_technique
Clickfix_technique
Etherhiding_technique
Typosquatting_technique
Seo_poisoning_technique
Dll_sideloading_technique

Victims:
Individual users, Software users

Industry:
Financial

Geo:
Russian, North korean

TTPs:
Tactics: 7
Technics: 25

IOCs:
File: 11
Domain: 9
Coin: 3
Url: 3
Path: 1
Hash: 5

Soft:
ChatGPT, Windows PowerShell, Instagram, BitLocker, Windows Defender

Crypto:
ethereum

Algorithms:
sha1, zip, xor

Win Services:
WebClient

Languages:
visual_basic, php, powershell