#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия для компрометация FTP-клиента FileZilla (3.69.5) содержит вредоносную библиотеку DLL, позволяющую красть учетные данные и обмениваться данными с сервером управление. Распространяемая через домен-двойник filezilla-project.live, вредоносное ПО использует перехват DLL Search order, чтобы избежать обнаружения, получить доступ к сохраненным FTP-учетные данные и поддерживать закрепление. Его методы антианализа включают идентификацию виртуальных машин и использование DNS-over-HTTPS, чтобы избежать традиционных мер безопасности, что указывает на характер рисков атак в supply chain.
-----

Появилась компрометация версии FTP-клиента FileZilla с открытым исходным кодом, в частности версии 3.69.5, содержащей вредоносную библиотеку DLL, которая облегчает кражу учетных данных и взаимодействует с сервером управление (C2). Этот вредоносный вариант распространяется через похожий домен filezilla-project.live, на котором размещен подделанный архив. Вредоносное ПО использует перехват DLL search order - поведение Windows, при котором приложения загружают DLL-файлы из своего собственного каталога, прежде чем проверять системный путь. В этом случае, когда пользователи выполняют компрометация FileZilla, загружается вредоносная библиотека DLL, и с этого момента она работает без проблем в рамках того, что кажется обычным сеансом FileZilla, что затрудняет обнаружение ничего не подозревающими пользователями.

Сложное поведение вредоносное ПО включает в себя возможность доступа к сохраненным FTP-учетные данные и инициирование подключений к его серверу C2 без немедленного срабатывания сигнализации. В дополнение к локальному сбор учетных записей, наличие этих учетные данные могут представлять более широкий риск, позволяя злоумышленникам получать доступ к веб-серверам или учетным записям хостинга, связанным со скомпрометированными FTP-учетные данные для компрометация. Кампания является частью тревожной тенденции, когда установки доверенного программного обеспечения подвергаются злоупотреблениям путем внедрения вредоносных компонентов, что ранее было продемонстрировано на примере компрометация других утилит, таких как 7-Zip и Notepad++.

Дальнейший анализ показал, что вредоносная библиотека DLL использует различные методы антианализа, чтобы избежать обнаружения, включая проверки на наличие виртуальных машин и изолированных систем. Он запрашивает версию BIOS, идентифицирует производителя системы и проверяет наличие определенных разделов реестра, связанных со средами виртуализации. Если среда выглядит как изолированная, вредоносное ПО остается бездействующим; однако, если оно обнаруживает реальную пользовательскую систему, оно активируется, разрешая свой домен C2 через DNS-over-HTTPS (DoH). Этот метод позволяет ит-службе обходить традиционный мониторинг DNS и меры безопасности. Примечательно, что он также пытается подключиться к дополнительному серверу C2 через TCP-порт 31415, Нестандартный порт, часто используемый для уклонения от проверки брандмауэром.

Поведенческий анализ выявил дополнительные функциональные возможности вредоносное ПО, указывающие на то, что оно способно осуществлять process Injection и закрепление наряду с основной операцией кражи учетных данных. Пользователям настоятельно рекомендуется сохранять бдительность, загружать программное обеспечение только из официальных источников и проверять хэши файлов. Любое наличие конкретной версии.dll-файл в каталоге FileZilla является сильным показателем компрометация, и системы, демонстрирующие аномальный трафик DNS-over-HTTPS или соединения с известными распознавателями DoH из неавторизованных приложений, должны быть тщательно исследованы. Этот инцидент иллюстрирует риски, связанные с атаками на supply chain программного обеспечения, и подчеркивает важность бдительности при выборе программного обеспечения и методах обеспечения безопасности.

#ParsedReport #CompletenessHigh
03-03-2026

SloppyLemming Deploys BurrowShell and Rust-Based RAT to Target Pakistan and Bangladesh

https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/

Report completeness: High

Actors/Campaigns:
Sloppylemming (motivation: cyber_espionage)
Sidewinder

Threats:
Burrowshell
Clickonce_tool
Dll_sideloading_technique
Havoc
Cobalt_strike_tool
Nekrowire
Typosquatting_technique
Dllsearchorder_hijacking_technique
Spear-phishing_technique
Portscan_tool
Polymorphism_technique
Credential_harvesting_technique

Victims:
Government, Critical infrastructure, Defense organizations, Energy utilities, Telecommunications providers, Nuclear regulatory bodies, Financial institutions

Industry:
Education, Telco, Financial, Critical_infrastructure, Energy, Logistic, Government

Geo:
Bangladesh, Pakistan, Asian, Sri lanka, Pakistani, India, Asia

TTPs:
Tactics: 11
Technics: 18

IOCs:
File: 15
Hash: 20
Url: 3
Path: 7
Domain: 13
Registry: 1

Soft:
Windows Update service, NET Framework, Microsoft Excel

Algorithms:
sha256, base64, rc4

Functions:
SystemFunction033, GetCurrentDirectoryA, SetCurrentDirectoryA

Win API:
CreateFileA, WinHttpConnect, GetUserNameW, BitBlt, GetFileAttributesA, FindFirstFileA, FindNextFileA, ReadFile, WriteFile, RemoveDirectoryA, have more...

Languages:
visual_basic, rust

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/Hopding/pdf-lib
have more...

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 9, dump: 2, schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SloppyLemming, группа кибершпионажа, связанная с Индией, нацелен на правительственные учреждения и критически важную инфраструктуру в Пакистане и Бангладеш, используя две основные цепочки атак. Их методы включают выполнение DLL sideloading с помощью обработанных PDF-документов для развертывания бэкдора под названием BurrowShell, который обеспечивает широкий контроль над системой и маскирует сообщения C2 под трафик Центра обновления Windows. Кроме того, документы Excel с поддержкой макросов служат векторами для кейлоггера на базе Rust с возможностями разведка, что отражает значительную эволюцию их методов атаки и инфраструктуры.
-----

SloppyLemming, связанная с Индией группа кибершпионажа, в течение последнего года проводила масштабные операции, нацеленные на правительственные учреждения и критически важную инфраструктуру в Пакистане и Бангладеш. Анализ, проведенный Arctic Wolf, показывает, что группа выполнила две основные цепочки атак, первая из которых включала PDF-документы, перенаправляющие жертв на манифесты приложений ClickOnce, которые развертывают пакет DLL Sideloading. Этот пакет содержит законную версию Microsoft.ЧИСТЫЙ исполняемый файл, NGenTask.exe , и вредоносный загрузчик, mscorsvc.dll . Загрузчик вызывает пользовательский шелл-код x64, называемый BurrowShell, многофункциональный бэкдор, предоставляющий оператору широкий контроль над зараженной системой, включая манипулирование файлами, Захват экрана, удаленное выполнение оболочки и возможность устанавливать туннели SOCKS-прокси.

BurrowShell маскирует свои коммуникации по каналу управление (C2) под законный трафик Центра обновления Windows, используя шифрование RC4 для защиты своих полезных данных. Второй вектор атаки использует документы Excel с поддержкой макросов для создания кейлоггера на основе Rust, что знаменует собой значительную эволюцию в инструментарии SloppyLemming's, поскольку ранее эта группа использовала только традиционные скомпилированные языки программирования. Этот кейлоггер обладает возможностями разведка, способными сканировать порты и перечислять сети.

Инфраструктура кампании значительно расширилась: с января 2025 по январь 2026 года было зарегистрировано 112 доменов Cloudflare Workers, по сравнению с 13 ранее зарегистрированными доменами. Эти домены были специально разработаны для того, чтобы выдавать себя за пакистанские и бангладешские правительственные организации, демонстрируя оперативную ориентацию на регион. В некоторых из этих доменов были обнаружены уязвимости open directory, позволяющие исследователям анализировать файлы компонентов, привязанные к фреймворк для постэксплуатации Havoc, который группа использовала в прошлых операциях.

Операционная методология SloppyLemming's включает в себя сложные методы, такие как перехват DLL Search order, при котором наряду с вредоносными библиотеками DLL используются законные подписанные исполняемые файлы Microsoft, что позволяет беспрепятственно выполнять вредоносный код, не требуя повышенных привилегий. Используемые двоичные файлы включают NGenTask.exe и другие законные компоненты Microsoft, которые повышают вероятность обхода мер безопасности.

Выбор целей предполагает стратегическую сосредоточенность на секторах, имеющих решающее значение для геополитического ландшафта Южной Азии, включая органы ядерного регулирования, оборонные организации, телекоммуникационные и финансовые учреждения в обеих странах. Это соответствует более широким целям сбора разведывательной информации в условиях региональных стратегических конфликтов.

#ParsedReport #CompletenessHigh
03-03-2026

Fake VCs target crypto talent in a new ClickFix campaign

https://moonlock.com/fake-vcs-target-crypto-talent-clickfix-campaign

Report completeness: High

Actors/Campaigns:
Cryptocore (motivation: financially_motivated)

Threats:
Clickfix_technique
Typosquatting_technique
Credential_harvesting_technique
Junk_code_technique
Sugarloader
Waveshaper
Hypercall
Hiddencall
Silencelift
Deepbreath
Chromepush

Victims:
Cryptocurrency professionals, Web3 professionals, Crypto startups, Software developers, Fintech entity

Industry:
Financial

Geo:
Dprk

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1056.002, T1059.001, T1059.004, T1105, T1204.001, T1566.002

IOCs:
Domain: 16
Url: 2
File: 2
Command: 2
Hash: 3

Soft:
macOS, Zoom, Twitter, curl, Telegram, Linux, m, Zoom Telegram, Zoom macOS

Algorithms:
sha256, base64, zip

Functions:
Zoom

Languages:
python, powershell, swift, javascript

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Moonlock Lab выявило вредоносная кампания, нацеленная на специалистов в области криптовалют и Web3 с помощью социальной инженерии в LinkedIn. Злоумышленник выдает себя за венчурного капиталиста, направляя жертв на поддельные платформы видеоконференцсвязи для доставки вредоносное ПО, используя метод под названием ClickFix, который вводит вредоносные команды с помощью вводящих в заблуждение действий браузера. Кампания работает на macOS и Windows, используя индивидуальные полезные нагрузки для каждой ОС, напоминая тактику, исторически связанную с северокорейскими злоумышленник.
-----

Расследование Moonlock Lab выявило сложную вредоносную кампанию, нацеленную на специалистов в области криптовалют и Web3, управляемую актор, выдающими себя за венчурных капиталистов. Кампания характеризуется использованием передовых методов социальной инженерии, главным образом через LinkedIn, где злоумышленники привлекают потенциальных жертв персонализированными сообщениями, связанными с возможностями трудоустройства в фиктивных фирмах, таких как SolidBit Capital и MegaBit. Впоследствии жертвы перенаправляются на поддельные ссылки для видеоконференций, которые служат каналами для доставки вредоносной полезной нагрузки с использованием метода, известного как ClickFix.

Механизм ClickFix основан на том, чтобы обманом заставить пользователей выполнять вредоносные команды, замаскированные под обычные задачи браузера. В данном случае это выглядит как поддельный процесс ввода капчи, который автоматически вводит команды из буфера обмена. Кампания предназначена для работы как на платформах macOS, так и на Windows, обеспечивая индивидуальную полезную нагрузку, которая использует среду соответствующих систем. Анализ данных WHOIS связал инфраструктуру с Анатолием Бигдашем, что позволяет предположить единую точку происхождения, связанную с предыдущей мошеннической деятельностью, атрибутирован с тем же оператором.

Цепочка атак обычно включает в себя первоначальный охват через LinkedIn с использованием сфабрикованной идентификации, которая льстит целям и быстро переводит диалог в русло планирования звонков, где предоставляются ссылки на поддельные платформы видеоконференцсвязи. Инфраструктура фишинг-атак включает в себя тщательно разработанные домены и веб-сайты, имитирующие законные сервисы, включая детализированные корпоративные фасады и персонал, созданный с помощью искусственного интеллекта, что отражает значительные инвестиции в создание надежных идентификационных данных.

Как только жертвы получают доступ к этим доменам, они получают доступ к методу доставки полезной нагрузки ClickFix. После этапа проверки поддельного браузера вредоносные команды записываются в буфер обмена, специфичный для операционной системы жертвы, с предложением выполнить эти команды в своем терминале. Для пользователей Windows команда PowerShell действует как файловый загрузчик, который извлекает и выполняет удаленные сценарии в памяти. И наоборот, полезная нагрузка macOS включает в себя более сложный многоэтапный процесс, который объединяет легальные инструменты, такие как Homebrew, для облегчения дальнейшего заражения при сохранении видимости нормальности.

Операционные схемы демонстрируют сходство с методологиями, используемыми злоумышленник, связанными с КНДР, со структурными совпадениями и схожими соглашениями об именовании, очевидными при регистрации доменов. Хотя окончательная атрибуция неопределенна, поведенческие показатели сильно совпадают с ранее выявленными финансово мотивированными северокорейскими группами.

#ParsedReport #CompletenessLow
03-03-2026

Infected by GTA 5 Cheats: How an Infostealer Infection Unmasked a North Korean Agent

https://www.infostealers.com/article/infected-by-gta-5-cheats-how-an-infostealer-infection-unmasked-a-north-korean-agent/

Report completeness: Low

Actors/Campaigns:
Funnull

Threats:
Lumma_stealer
Craxsrat

Victims:
Cryptocurrency exchanges, Western companies, Remote work platforms

Industry:
E-commerce

Geo:
North korean, Dprk, Chinese, Indonesian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078, T1090, T1105, T1204.002, T1557, T1566.001, T1583.003, T1583.006, have more...

IOCs:
IP: 1
File: 6

Soft:
Chrome, TikTok, Zoom, ChatGPT, ThinkPHP, Linux, YouTube music, FiveM, Twitter

Wallets:
metamask, tronlink, solflare

Crypto:
binance

Functions:
bind

Languages:
lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование деятельности северокорейского киберпреступника выявило, что они использовали стиллер LummaC2 для сбора корпоративных учетные данные западных компаний. Оператор использовал синтетические идентификационные данные и использовал индонезийский прокси-сервер, участвуя как в местных, так и в технических действиях, одновременно разрабатывая сложную инфраструктуру фишинг. Критический сбой в работе привел к их заражению посредством вредоносной загрузки, что является примером уязвимости спонсируемых государством актор перед распространенной тактикой киберпреступников и важности мониторинга поведения в киберпространстве на предмет потенциальных внутренних угроз.
-----

Расследование деятельности северокорейского кибероператора выявило эволюционирующие методы, используемые спонсируемыми государством актор для проникновения в западные компании. Исследование, в котором использовались данные Hudson Rock о киберпреступность, было сосредоточено на зараженной машине подозреваемого ИТ-сотрудника КНДР, компрометация которой была произведена стиллер LummaC2. Этот инцидент не только привел к захвату корпоративных учетные данные, но и раскрыл ранее недокументированный индонезийский прокси-узел, подчеркнув значительные риски, связанные со сбоями в операционной безопасности.

Оператор, стоящий за прокси-сервером, использовал синтетические идентификаторы для работы на различных платформах, в первую очередь маскируя действия под индонезийским IP-адресом. Их цифровой след иллюстрировал двойную личность, существующую одновременно; они занимались как местными интересами, такими как ролевая игра GTA V, так и техническим поиском на беглом мандаринском языке для разработки фреймворк и репликации обмена криптовалютами. Такое поведение предполагает сотрудничество между оперативниками КНДР и местными сообщниками, что способствует расширению оперативных возможностей киберпреступной сети.

Инструменты, используемые оператором, подчеркивали их расширенные возможности, используя программное обеспечение, такое как OBS Studio для глубоких подделок, и различные среды разработки для создания сложной инфраструктуры мошенничества. Повседневная деятельность этого оператора включала в себя обширный поиск ресурсов для разработки фишинг-сайтов, нацеленных на сбор учетные данные, демонстрирующих масштабы мошеннической операции. Наблюдения из поисковых запросов указывали на организованное преступное предприятие, специализирующееся на краже смарт-контрактов и закупке вредоносное ПО для обхода безопасности, что, по иронии судьбы, привело к их собственному нарушению безопасности с помощью стиллер.

Примечательно, что стиллер стал известен благодаря местному посреднику, который непреднамеренно запустил вредоносную загрузку при поиске игровых читов. Эта оперативная ошибка подчеркивает системную уязвимость, когда спонсируемые государством группы используют подпольные инструменты, аналогичные инструментам обычных киберпреступников, что делает их открытыми для инфекций, которые могут компрометация их усилий. Это подчеркивает, что управление идентификационными данными все чаще становится ключевым фактором сетевой безопасности; актор, использующий передовые методы социальной инженерии, такие как глубокие подделки, может обходить строгие меры безопасности, что приводит к успешным нарушениям.

Этот инцидент служит важным напоминанием о необходимости постоянного мониторинга поведения в киберпространстве и упреждающего обнаружения аномалий, которые могут указывать на компрометация внутренних угроз. Анализ таких операционных ошибок может дать представление о предотвращении будущих нарушений, иллюстрируя, что актор, спонсируемый государством, не застрахован от рисков, связанных с их собственной зависимостью от экосистемы киберпреступников.

#ParsedReport #CompletenessHigh
02-03-2026

Dust Specter APT Targets Government Officials in Iraq

https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq

Report completeness: High

Actors/Campaigns:
Dust_specter
Oilrig

Threats:
Splitdrop
Twintask_tool
Twintalk_tool
Ghostform
Dll_sideloading_technique
Clickfix_technique
Smuggling_technique

Victims:
Government officials, Government sector, Ministry of foreign affairs

Industry:
Government

Geo:
Iraq, Iran

TTPs:
Tactics: 6
Technics: 11

IOCs:
Path: 8
File: 10
Registry: 1
Domain: 7
Url: 2
Hash: 12

Soft:
Windows registry, Unix, Chrome

Algorithms:
base64, hmac-sha1, zip, aes-256, pbkdf2, cbc

Functions:
CreateEvent

Win API:
WaitForSingleObject

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года APT-группировка Iran-nexus "Dust Specter" нацелилась на иракских правительственных чиновников, имитируя Министерство иностранных дел и распространяя вредоносное ПО, включая SPLITDROP и GHOSTFORM. SPLITDROP служит в качестве дроппера, который развертывает TWINTASK для выполнения команд и обмена данными C2, в то время как GHOSTFORM - это RAT, который минимизирует площадь обнаружения. Цепочки атак демонстрируют передовые методы уклонения и зависимость от социальной инженерии, демонстрируя эволюцию в изощренности вредоносное ПО, связанную с иранскими кибероперациями.
-----

В январе 2026 года ThreatLabZ отслеживал деятельность, связанную с предполагаемой связью с Ираном APT-группировка, носящая название "Dust Specter", которая нацелен на правительственных чиновников в Ираке, имитируя Министерство иностранных дел Ирака. В этой операции использовалась правительственная инфраструктура компрометация для распространения вредоносное ПО, включая недавно обнаруженные угрозы, такие как SPLITDROP, TWINTASK, TWINTALK и GHOSTFORM, демонстрирующие совпадение с известной иранской тактикой APT.

У Dust Specter есть две различные цепочки атак. Первая цепочка использует SPLITDROP, дроппер на основе .NET, который извлекает и развертывает TWINTASK и TWINTALK, функционирующие как рабочий модуль и оркестратор управление (C2), соответственно. SPLITDROP инициирует атаку, вводя вводящий в заблуждение запрос пароля, и использует шифрование AES-256 для сокрытия полезной нагрузки. Если требуемые условия выполнены, он расшифровывает и запускает встроенные ресурсы.

TWINTASK работает путем опроса команд из указанного текстового файла, выполнения сценариев PowerShell и регистрации результатов. Он устанавливает закрепление путем внесения изменений в реестр, обеспечивая его выполнение при каждом перезапуске системы. Связь C2 использует уникальные пути URI и использует проверку пользовательским агентом, чтобы избежать обнаружения, отправляя запросы, которые включают токен аутентификации, сгенерированный во время выполнения. Этот токен включает в себя идентификатор и версию бота, что помогает в проверке целостности запросов.

Вторая цепочка атак включает в себя GHOSTFORM, RAT, который объединяет функциональные возможности предыдущей цепочки в один исполняемый файл. Он использует выполнение команд, полученных через его сервер C2, в памяти, что сводит к минимуму занимаемую им площадь. GHOSTFORM использует хитроумные стратегии уклонения, такие как невидимая форма на этапе отложенного выполнения, чтобы избежать немедленного обнаружения. Он генерирует идентификатор бота из .Временная метка NET assembly, отличающаяся от методологии случайной генерации TWINTALK's.

Обе цепочки атак демонстрируют зависимость от методов скрытности, таких как Передача управляющих сигналов в трафике, рандомизированные задержки и кодирование выполнения команд, чтобы избежать обнаружения. Методология Dust Specter's также отражает более широкие тенденции использования генеративного искусственного интеллекта для разработки вредоносное ПО. Уникальные аспекты этой кампании включают в себя использование тактики в стиле ClickFix style, при которой социальная инженерия используется для принуждения жертв к выполнению вредоносных команд, что указывает на модели, установленные более ранними иранскими злоумышленник.

Приписывание этой кампании Dust Specter подтверждается сходством инструментов, направленностью на правительственный сектор Ирака — в частности, Министерство иностранных дел — и устоявшимися оперативными методами, ранее использовавшимися группами, связанными с Ираном. Анализ подчеркивает растущую изощренность операций вредоносное ПО, особенно в том, как злоумышленник сочетает социальную инженерию и техническое мастерство для достижения своих целей.

#ParsedReport #CompletenessLow
03-03-2026

Infiltrate the office through Office

https://habr.com/ru/companies/pt/articles/1004518/

Report completeness: Low

Actors/Campaigns:
Bo_team

Victims:
Russian organizations

Geo:
Russian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1204.002, T1559.001, T1566.001

IOCs:
File: 1
Email: 1
Registry: 4
IP: 1
Hash: 2

Soft:
Microsoft Office

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2023 года BO Team (также известная как Black Owl, Lifting Zmiy и Hoody Hyena) провела целенаправленную атаку на российские компании, используя уязвимость Microsoft Office CVE-2026-21509. Они использовали фишинг-электронные письма с RTF-файлами, которые при открытии обходили меры безопасности, позволяя несанкционированный доступ к системам через объект COM-компрометация, который обращался к удаленному устройству.файл lnk. Тактика группы включала в себя последовательное присвоение имен Вредоносный файл и использование определенных доменных имен, связанных с предыдущими атаками.
-----

В феврале 2023 года российские компании подверглись изощренной атаке хакеров, известных как BO Team. Эта группа, которую также называют Black Owl, Lifting Zmiy и Hoody Hyena, воспользовалась определенной уязвимостью в Microsoft Office для организации своей кампании. Злоумышленники использовали фишинг-электронные письма, содержащие файлы в формате Rich Text (RTF), которые представлялись законной деловой перепиской. Когда получатели открывали эти вложения в приложениях Microsoft Office, они непреднамеренно обходили встроенные в приложение меры безопасности, что приводило к несанкционированному доступу к ИТ-инфраструктуре организаций.

Конкретная уязвимость, использованная при атаке, идентифицирована как CVE-2026-21509. Этот недостаток позволяет злоумышленникам обходить средства защиты Microsoft Office при работе с компонентами связывания объектов и встраивания (OLE). При открытии документа с компрометация уязвимость позволяет создать объект COM-модель компонента (Component Object Model, COM), который обращается к удаленному устройству .файл lnk, который запускает последующие этапы атаки.

Анализ домена Ространснадзор.digital выявил связь с группой BO Team. Запись о начале полномочий (SOA) для этого домена содержала адрес электронной почты (gjegoshcappaniesh@gmail.com ), ранее связанный с более ранними атаками BoTeam. Кроме того, использование повторяющихся характеристик, таких как конкретное наименование Вредоносный файл как "АКТ техосмотра транспортного средства" и аналогичное доменное имя (rostransnnadzor.ru ), предполагает сильную корреляцию с тактикой группы.

Чтобы снизить риски, связанные с этой уязвимостью, организациям настоятельно рекомендуется обновить Microsoft Office до последней исправленной версии. В тех случаях, когда немедленное обновление невозможно, временной мерой может быть блокирование активации уязвимого компонента OLE, идентифицированного как Shell.Explorer.1, с CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B. Это действие имеет решающее значение для защиты от потенциального использования, пока организации работают над комплексным исправлением своих систем.

#ParsedReport #CompletenessHigh
03-03-2026

Keeping our hand on Pulse. Mythic Likho cyberattacks on Russia's C.I.A.

https://ptsecurity.com/research/pt-esc-threat-intelligence/mythic-likho-cyberattacks-on-russian-critical-information-infrastructure/

Report completeness: High

Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
C0met
Cobalt
Silent_werewolf

Threats:
Loki_backdoor
Merlin_tool
Huloader
Reflectpulse
Lockbit
Bloodhound_tool
Xenarmor_tool
Ligolo-ng_tool
Nmap_tool
Mimikatz_tool
Impacket_tool
Socat_tool
Putty_tool
Loki_stealer
Rclone_tool
Spear-phishing_technique
Process_injection_technique
Credential_dumping_technique
Loki_loader
Trojan.win32.networkgeneric.c
Xenallpasswordpro_tool
Qtox_tool
Mythic_c2_tool
Havoc
Chisel_tool
Megatsune

Victims:
Critical information infrastructure, Government organizations, Commercial organizations, Media

Industry:
Retail, Government, Telco, Critical_infrastructure

Geo:
Netherlands, American, Canadian, Russian, German, Russia

TTPs:
Tactics: 14
Technics: 82

IOCs:
Registry: 3
Domain: 19
File: 14
Command: 4
Path: 8
IP: 2
Email: 1
Hash: 35

Soft:
Nessus, PsExec, Windows registry, WireGuard, Active Directory, bitwarden, nginx, Local Security Authority, LastPass, 1Password, have more...

Algorithms:
xor, aes, base64, cbc, sha256, sha1, md5, deflate

Functions:
Get-ADUser, Get-ADDefaultDomainPasswordPolicy, Get-WssPasswordPolicy, Get-Process, Get-SMBShare, Get-Volume, Get-PSDrive

Languages:
powershell

Platforms:
x86, arm, x64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 4, schema: 2, dump: 3