#ParsedReport #CompletenessMedium
26-02-2026

Free Games, Costly Consequences

https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader

Report completeness: Medium

Threats:
Hijackloader
Process_injection_technique
Acr_stealer
Dll_sideloading_technique
Riseprostealer
Uac_bypass_technique
Rshell
Process_doppelganging_technique
Antivm_technique
Process_hollowing_technique
Heavens_gate_technique

Victims:
Pirated gaming users, Gaming community

Industry:
Entertainment

Geo:
Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.008, T1055.012, T1189, T1218, T1574.002, T1608.004

IOCs:
File: 25
Url: 1
Path: 2
Hash: 5

Algorithms:
zip, lznt1, xor, crc-32

Functions:
srand, rand

Win API:
decompress, GetComputerNameW

Languages:
javascript, php, python

Links:
https://github.com/struppigel/hedgehog-tools/blob/main/HijackLoader/python3\_hijackloader\_stage2\_decrypter.py
https://github.com/struppigel/hedgehog-tools/tree/main/HijackLoader
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PiviGames перешла от платформы для пиратских игр к каналу распространения вредоносное ПО, в основном используя HijackLoader. Это вредоносное ПО использует сложный метод заражения, включающий Вредоносный файл, замаскированный под игровые настройки, выполняющийся с помощью DLL sideloading и использующий такие методы, как хэширование API и блокирование модулей. Вредоносное ПО демонстрирует расширенные возможности, включая проверку на защиту от виртуальных машин, закрепление и process INJECTION, что усложняет обнаружение и анализ.
-----

PiviGames, печально известная испанская платформа для скачивания пиратских компьютерных игр, превратилась в канал распространения вредоносное ПО, компрометирующий пользователей, которые ищут "бесплатных" развлечений. Первоначальный механизм заражения заключается в том, что невольные пользователи загружают Вредоносный файл, замаскированный под установку игры, что приводит к развертыванию HijackLoader — сложного вредоносное ПО, предназначенного для скрытности и закрепление.

В результате расследования было выявлено, что PiviGames маскирует свои вредоносные действия, используя сервисы Cloudflare, но его основной JavaScript, pgedshop.js , отвечает за перенаправление посетителей на неблаговидные сайты. Одним из примечательных примеров является файл с именем Setup.exe , который действует как чистый игровой лаунчер, но использует DLL sideloading для выполнения вредоносного кода через библиотеку под названием Conduit.Брокер.библиотека dll, принадлежащая к семейству HijackLoader.

Трубопровод.Брокер.сама библиотека dll содержит смесь доброкачественного и вредоносного кода и использует встроенное разрешение API для вызовов функций, что усложняет ее анализ. Вредоносное ПО использует уникальный механизм хэширования API, чтобы скрыть свою истинную природу. Кроме того, он расшифровывает файл (Groumcumgag.ic), который содержит шелл-код для облегчения дальнейшего развертывания полезной нагрузки. Эта полезная нагрузка загружается в законную системную библиотеку, evr.dll , используя технику, известную как топтание модуля.

Второй этап вредоносное ПО фокусируется на расшифровке и обработке конфигурационного файла (Zootkumbak.uhp), который определяет последующие действия. Содержащийся в нем шелл-код содержит фрагментированную конфигурацию, распределенную по 90 фрагментам, и использует шаблон поиска для определения местоположения этих фрагментов. В частности, он поддерживает различные функциональные возможности, включая параметры команд для process injection и настройки конфигурации.

На третьем этапе модуль ti64, который составляет ядро HijackLoader, реализует множество расширенных возможностей, включая проверки на защиту от виртуальной машины (Anti-VM), механизмы закрепление и методы множественного process Injection. Он предоставляет набор инструментов для загрузки полезных данных с помощью методов Внедрение в пустой процесс и Process Doppelgnging — используя безвредный внешний вид законных файлов, таких как MicrosoftEdgeUpdate.exe в качестве прикрытия для злонамеренных действий.

Межпроцессное взаимодействие облегчается с помощью переменных среды в скрытой форме, что позволяет HijackLoader обмениваться важной информацией, не вызывая тревоги. Весь фреймворк обладает высокой сложностью, что затрудняет распаковку из-за разбросанных путей выполнения кода и широкого использования структурированных данных.

Поскольку этот анализ HijackLoader продолжает раскрываться, в нем освещаются сложные методы, которые используют киберпреступники для использования, казалось бы, безобидных сервисов во вредоносных целях, и ожидается, что в следующей статье будет рассмотрена полезная нагрузка ACRStealer.

#ParsedReport #CompletenessLow
26-02-2026

Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities

https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/

Report completeness: Low

Threats:
Moonrise_rat
Cobalt_strike_tool

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.003, T1071.001, T1082, T1115

IOCs:
Hash: 1
File: 5
IP: 1

Soft:
Linux

Algorithms:
base64, sha256

Functions:
Dial, SetReadDeadline, WriteJSON

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise - это недавно идентифицированный RAT, ориентированный на Windows, использующий архитектуру WebSocket для постоянной связи со своим сервером C2 по жестко закодированному IP-адресу. Он оснащен командным протоколом на основе JSON для структурированной обработки команд, позволяющим вести наблюдение в реальном времени с помощью Регистрация нажатий клавиш и мониторинга буфера обмена, а также демонстрирует возможности Манипуляции с данными, связанными с криптовалютой. Кроме того, он распознает зараженный хост для определения приоритетности таргетинга и может загружать файлы для дальнейшего развертывания полезной нагрузки, демонстрируя универсальность и постоянное оперативное взаимодействие своих операторов.
-----

Анализ Moonrise, недавно обнаруженной Троянская программа для удаленного доступа (RAT), нацеленной на системы Windows, раскрывает ее техническую архитектуру и возможности, уделяя особое внимание механизмам постоянного управление (C2), функциям наблюдения в режиме реального времени и потенциальной возможности кражи криптовалюты.

Moonrise структурирован с использованием архитектуры WebSocket для поддержания непрерывного канала связи со своим сервером C2, используя библиотеку WebSocket Gorilla. Он подключается к жестко запрограммированной конечной точке (ws://193.23.199.88:8765) и сохраняет состояние сеанса, предпочитая долговременные соединения временным запросам. Такое поведение обеспечивает эффективную обработку команд, позволяя операторам поддерживать контроль и осуществлять всестороннее наблюдение за системой, а не выполнять простое одноразовое выполнение.

Заслуживает внимания командный протокол трояна, основанный на JSON, с функциональностью для обработки структурированных команд и агрегирования ответов. Этот структурированный подход распространяется на его возможности наблюдения, которые включают в себя Регистрация нажатий клавиш и мониторинг буфера обмена, и направлен на сбор данных в режиме реального времени на зараженных компьютерах. Похоже, что вредоносное ПО обрабатывает команды, связанные с криптовалютой, как следует из определенных полей JSON, которые предполагают возможность захвата адресов кошельков и манипулирования ими — потенциально тревожная функциональность для пользователей криптовалюты.

В рамках своей операционной настройки Moonrise выполняет процесс снятия отпечатков пальцев с зараженного хоста, собирая системные метаданные, такие как версия операционной системы, имя хоста и идентификаторы пользователей, которые могут помочь злоумышленникам определить приоритеты целей на основе системной информации. Это указывает на более широкий дизайн вредоносное ПО, который делает упор на постоянное взаимодействие оператора и непрерывное извлечение данных, а не на статические атаки.

Динамический анализ, выполненный с помощью ANYRUN, выявил возможность загрузки файлов в зараженную систему, что повысило универсальность Moonrise's, поскольку он может развертывать дополнительные скрипты или полезные нагрузки после заражения. Одна из таких полезных нагрузок включала методы обхода сети, предполагающие потенциал для дальнейшего развития или развертывания модульных возможностей.

#ParsedReport #CompletenessHigh
27-02-2026

Github VSCode Contagious Interview

https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Beavertail
Invisibleferret
Ottercookie
Anydesk_tool
Supply_chain_technique
Dead_drop_technique
Tsunami_framework
Etherrat

Victims:
Developers, Open source ecosystem

Industry:
Telco, Financial

Geo:
North korean, Bulgaria, India, America

TTPs:
Tactics: 9
Technics: 31

IOCs:
Email: 1
Url: 111
File: 13
IP: 14
Coin: 5
Path: 2
Hash: 12
Domain: 1

Soft:
VSCode, Visual Studio Code, linux, macOS, onenote, Chrome, Opera, Opera GX, Chromium, Vivaldi, have more...

Wallets:
metamask, rabby, coinbase, exodus_wallet, trezor, electrum, brave_wallet, coin98, math_wallet, solflare, have more...

Crypto:
solana, bitcoin, ethereum, binance

Algorithms:
xor, zip, base64, sha256, hmac

Languages:
javascript, python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кАмпания, атрибутирован с северокорейскими злоумышленник, нацелена на разработчиков через GitHub, используя автоматизацию Visual Studio Code для распространения вредоносных программ, в том числе Beavertail, InvisibleFerret и OtterCookie. Злоумышленники создают поддельные учетные записи для укрепления доверия и распространяют вредоносное ПО, которое выполняет команды через файл `.vscode/task.json`. Вредоносное ПО использует несколько серверов управление, извлекает дополнительные скрипты, собирает конфиденциальные данные и использует передовые методы обфускации, подчеркивая изощренное использование средств разработки с открытым исходным кодом.
-----

Анализ сосредоточен на заметной вредоносная кАмпания, использующей GitHub для доставки вредоносных полезных нагрузок, которые используют возможности автоматизации Visual Studio Code (VSCode). К ключевым выявленным типам вредоносное ПО относятся Beavertail, InvisibleFerret и OtterCookie, которые являются частью продолжающейся кампании Contagious Interview, атрибутирован с северокорейскими злоумышленник, в первую очередь нацеленной на разработчиков.

Злоумышленники использовали тактику обмана, создавая поддельные аккаунты в качестве рекрутеров или разработчиков, связанных с узнаваемыми компаниями. Эти учетные записи использовались для укрепления доверия и облегчения распространения вредоносное ПО, в частности, через репозитории, предназначенные для имитации тестов на кодирование или собеседований. Вредоносные действия начинаются с ввода команд в файл `.vscode/task.json`, который автоматически выполняется при открытии хранилища в VSCode, эффективно загружая и запуская вредоносное ПО. Такое использование функций автоматизации VSCode демонстрирует сложный подход к первоначальный доступ.

Внедрение вредоносное ПО включает в себя взаимодействие с несколькими серверами управление (C&C). Вредоносное ПО Beavertail использует два сервера C&C для загрузки дополнительных компонентов и сбора информации. Его операционная процедура начинается со сценария загрузки, который стратегически извлекает дополнительные сценарии через определенные промежутки времени, при этом поведение связи закодировано для резервного копирования на альтернативные серверы, если это необходимо. Эта инфраструктура позволяет вредоносное ПО собирать конфиденциальную информацию, включая учетные данные браузера и данные криптовалютного кошелька, и отправлять ее обратно злоумышленникам.

InvisibleFerret работает аналогично, но выполняется с помощью скриптов на Python, которые используют передовые методы запутывания, чтобы избежать обнаружения. Сценарии подключаются обратно к определенному серверу C&C для получения команд, обеспечивая непрерывный операционный контроль. Конструкция позволяет выполнять различные действия, такие как удаленное выполнение команд, управление файлами и поддержание закрепление в системе.

Более того, OtterCookie еще больше расширяет функциональность вредоносное ПО, осуществляя управление процессами и подключение к серверу C&C, позволяя командам изменять поведение вредоносное ПО на основе полученных инструкций.

Всеобъемлющий ландшафт угроз, поднятый этой кампанией, подчеркивает необходимость проявлять бдительность в отношении хранилищ программного обеспечения с открытым исходным кодом и интегрированных сред разработки. Конкретные рекомендации включают обеспечение того, чтобы в VSCode была включена функция доверия рабочей области для снижения рисков автоматического выполнения кода, тщательный аудит настроек проекта и повышенный контроль каталога ".vscode" для предотвращения несанкционированного выполнения скрипта.

В конечном счете, эта кампания является примером того, как актор-злоумышленник может использовать генеративный ИИ для написания и маскировки вредоносное ПО, демонстрируя безупречное сочетание социально спроектированной тактики и технических инноваций для повышения эффективности распространения вредоносное ПО в сообществах разработчиков.

#ParsedReport #CompletenessMedium
02-03-2026

Cyber Reflections of the U.S. & Israel-Iran War

https://socradar.io/blog/cyber-reflections-us-israel-iran-war/

Report completeness: Medium

Actors/Campaigns:
Irgc
Apt33
Oilrig (motivation: hacktivism)
Charming_kitten
Remix_kitten
Apt42 (motivation: hacktivism)
Muddywater (motivation: hacktivism)
Tortoiseshell
Cyber_av3ngers
Cyber_avengers
Fox_kitten
Mr_hamza (motivation: hacktivism)
Rippersec
Cyb3rdrag0nzz
Nation_of_saviors
Keymous
Sylhetgang
Dienet (motivation: hacktivism)
Cyb3r_drag0nz
Team_fearles
Anonghost
Cyberav3nger
Cyber_toufan
Handala
Redkitten

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Dns_hijacking_technique
Remexi
Supply_chain_technique
Watering_hole_technique
Inc_ransomware

Victims:
Government, Telecommunications, Finance, Defense contractors, Aerospace, Energy, Industrial firms, Water utilities, Critical infrastructure, Airports, have more...

Industry:
Energy, Ics, Healthcare, Transport, Financial, Aerospace, Petroleum, Maritime, Ngo, Telco, Military, Critical_infrastructure, Education, Logistic, Government

Geo:
Kuwait, Israeli, Tehran, Middle east, Bahrain, Oman, Iranian, Saudi, Jordan, Riyadh, Cyprus, Israel, Iran, Saudi arabia, Abu dhabi, Egypt, Iraq, Qatar

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4

Soft:
Telegram, Twitter, WhatsApp

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chats: 1, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Эпическая ярость", начатая США и Израилем против Ирана в феврале 2026 года, включала масштабные кибератаки, которые серьезно нарушили подключение Ирана к Интернету и компрометация военной связи, в частности, снизив уровень подключения до 4% от нормального уровня. Эта операция включала в себя DDoS-атаки и средства радиоэлектронной борьбы, направленные на ослепление иранских командных структур, в то время как иранские APT-группировка использовали различные методы, такие как spear phishing и wiper-атаки, подчеркивая их сосредоточенность на критически важных секторах. Одновременно хактивистские группы, связанные с иранскими интересами, организовали кампании, включающие DDoS-атаки и утечки данных, что отражает сложный киберпространственный ландшафт на фоне эскалации напряженности.
-----

Операция "Эпическая ярость", начатая 28 февраля 2026 года, была сосредоточена на военных и кибероперациях против Ирана. Масштабные кибератаки были направлены на то, чтобы подорвать возможности командования и контроля Ирана. Иран нанес ответный удар, нанеся нацелен на 27 военных баз США и объектов в Персидском заливе с помощью беспилотных летательных аппаратов и ракет. После атак подключение к Интернету в Иране снизилось до 4% от нормального уровня, что повлияло на критически важную инфраструктуру и новостные агентства. Иранские информационные агентства были взломаны с целью демонстрации антиправительственных настроений. Израильские источники описали кибероперации как крупнейшие в истории, связанные с радиоэлектронной борьбой и DDoS-атаками. Кибератака включала взлом правительственных спутниковых трансляций с целью распространения антирежимных сообщений. Иранские APT-группировка, в частности APT33, APT34, APT35, APT39, APT42 и MuddyWater, занимаются шпионажем и подрывной деятельностью, нацелен на критически важную инфраструктуру и телекоммуникации. Их методы включают в себя скрытый фишинг, атаки с использованием wiper, сбор учетных записей и использование уязвимостей инфраструктуры. Активность хактивистов резко возросла наряду с действиями государства, включая скоординированные DDoS-атаки и утечки данных. Иранские организации заявили о доступе к системам контроля в критически важных объектах инфраструктуры, что указывает на сдвиг в сторону угроз промышленного контроля. Также была выявлена деятельность программ-вымогателей против израильских организаций, связанная с эксфильтрация данных и политическими мотивами. Организациям в регионах, на которые нацелен проект, рекомендуется повысить безопасность путем внедрения Многофакторная аутентификация, исправления уязвимостей и тщательного мониторинга.

#ParsedReport #CompletenessHigh
25-02-2026

OCRFix: Botnet Trojan delivered through ClickFix and EtherHiding

https://www.cyjax.com/resources/blog/ocrfix-botnet-trojan-delivered-through-clickfix-and-etherhiding

Report completeness: High

Actors/Campaigns:
Unc5342

Threats:
Ocrfix_technique
Clickfix_technique
Etherhiding_technique
Typosquatting_technique
Seo_poisoning_technique
Dll_sideloading_technique

Victims:
Individual users, Software users

Industry:
Financial

Geo:
Russian, North korean

TTPs:
Tactics: 7
Technics: 25

IOCs:
File: 11
Domain: 9
Coin: 3
Url: 3
Path: 1
Hash: 5

Soft:
ChatGPT, Windows PowerShell, Instagram, BitLocker, Windows Defender

Crypto:
ethereum

Algorithms:
sha1, zip, xor

Win Services:
WebClient

Languages:
visual_basic, php, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена вредоносная кАмпания под названием OCRFix, включавшая typosquatting, которая имитировала инструмент распознавания Tesseract, чтобы заманить жертв к загрузке многоэтапной полезной нагрузки. В атаке использовались передовые методы, такие как EtherHiding, для сокрытия доменов управление в смарт-контрактах на Ethereum, что позволяло динамически изменять адреса, чтобы избежать обнаружения. Первая полезная нагрузка, Update1.exe , действовал как загрузчик, который извлекал дополнительные исполняемые файлы для закрепление и манипулирования системой, что в конечном итоге привело к развертыванию прослушивателя ботов, CfgHelper.exe , чтобы поддерживать контроль над зараженными устройствами.
-----

CYJAX выявил сложную вредоносная кАмпания, получившую название OCRFix, которая возникла в результате typosquatting- фишинг-атаки, выдававшей себя за инструмент распознавания текста Tesseract. Первоначально считавшаяся атакой с ClickFix, она включала в себя продвинутую тактику, такую как EtherHiding, использующую сложные методы запутывания и обход защиты. В схеме фишинг использовался поддельный домен, очень похожий на домен законного инструмента, с целью ввести пользователей в заблуждение и заставить их загружать вредоносное ПО.

Жертвы столкнулись с фишинг-страницей, которая использовала CAPTCHA для маскировки вредоносного контента. Затем команда PowerShell была скопирована в буфер обмена пользователей без их предупреждения, которая после выполнения инициировала загрузку с URL-адреса компрометация. Это привело к доставке многоэтапной полезной нагрузки вредоносное ПО, начинающейся с исполняемого файла MSI, который каскадировался в три дополнительных исполняемых файла, каждый из которых отвечал за развертывание дополнительных вредоносных элементов.

В атаке использовались смарт-контракты на блокчейнах, таких как Ethereum, для сокрытия доменов управление (C2), называемых EtherHiding. Этот процесс значительно повышает способность злоумышленников поддерживать закрепление и уклоняться от статического обнаружения за счет динамического изменения адресов C2. Вредоносное ПО запрашивало обновления из этих смарт-контрактов для получения URL-адресов C2 на различных этапах.

Первая полезная нагрузка, озаглавленная Update1.exe , служил загрузчиком, который извлекал следующие шаги выполнения вредоносное ПО. Он распаковал zip-файл, содержащий следующий исполняемый файл, setup_helper.exe , который манипулировал запланированными задачами, чтобы обеспечить закрепление, и выполнял сценарии, которые отключали различные средства защиты системы. Изменяя исключения Защитника Windows, на этом этапе создавались пути для последующих вредоносных действий.

Конечная полезная нагрузка, CfgHelper.exe , работающий в качестве прослушивателя ботов в рамках более крупной схемы ботнет. Он регулярно связывался со своим сервером C2 для сбора системной информации и отправки ее обратно. Анализ показал, что злоумышленники стремились управлять и поддерживать в рабочем состоянии сеть устройств, состоящую из компрометация, через структурированную Панель управления, доступную в домене сервера ботов.

Тактика кампании подчеркивает эффективность методов первоначальный доступ, таких как typosquatting и ClickFix, в сочетании с изощренными методами доставки вредоносное ПО и закрепление. Сложный характер этой многоэтапной атаки подчеркивает важность тщательной подготовки по вопросам безопасности и защиты от таких развивающихся киберугроза. Организациям рекомендуется ограничить ненужный доступ к PowerShell и принять упреждающие меры для блокирования известных источников фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

Diesel Vortex: Inside the Russian cybercrime group targeting US & EU freight

https://haveibeensquatted.com/blog/diesel-vortex-inside-the-russian-cybercrime-group-targeting-us-eu-freight

Report completeness: High

Actors/Campaigns:
Diesel_vortex (motivation: financially_motivated)

Threats:
Spear-phishing_technique
Git-dumper_tool
Supply_chain_technique
Cloaking_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Freight and logistics companies, Trucking companies, Supply chain operators, Users of logistics platforms

Industry:
Petroleum, Logistic, Telco

Geo:
American, Moscow, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1071.001, T1102.003, T1111, T1204.001, T1564.003, T1566.002, T1583.001, T1584, have more...

IOCs:
File: 22
Domain: 78
Url: 2
IP: 26
Hash: 38

Soft:
Telegram, curl, Linux, Gmail, Microsoft Office 365, Unix, Photoshop

Algorithms:
hmac, base64

Functions:
postMessage, escapeHtml

Languages:
javascript, php, python

Links:
https://github.com/arthaud/git-dumper

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4