CTT Report Hub
#ParsedReport #CompletenessLow 03-03-2026 Infected by GTA 5 Cheats: How an Infostealer Infection Unmasked a North Korean Agent https://www.infostealers.com/article/infected-by-gta-5-cheats-how-an-infostealer-infection-unmasked-a-north-korean-agent/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование деятельности северокорейского киберпреступника выявило, что они использовали стиллер LummaC2 для сбора корпоративных учетные данные западных компаний. Оператор использовал синтетические идентификационные данные и использовал индонезийский прокси-сервер, участвуя как в местных, так и в технических действиях, одновременно разрабатывая сложную инфраструктуру фишинг. Критический сбой в работе привел к их заражению посредством вредоносной загрузки, что является примером уязвимости спонсируемых государством актор перед распространенной тактикой киберпреступников и важности мониторинга поведения в киберпространстве на предмет потенциальных внутренних угроз.
-----
Расследование деятельности северокорейского кибероператора выявило эволюционирующие методы, используемые спонсируемыми государством актор для проникновения в западные компании. Исследование, в котором использовались данные Hudson Rock о киберпреступность, было сосредоточено на зараженной машине подозреваемого ИТ-сотрудника КНДР, компрометация которой была произведена стиллер LummaC2. Этот инцидент не только привел к захвату корпоративных учетные данные, но и раскрыл ранее недокументированный индонезийский прокси-узел, подчеркнув значительные риски, связанные со сбоями в операционной безопасности.
Оператор, стоящий за прокси-сервером, использовал синтетические идентификаторы для работы на различных платформах, в первую очередь маскируя действия под индонезийским IP-адресом. Их цифровой след иллюстрировал двойную личность, существующую одновременно; они занимались как местными интересами, такими как ролевая игра GTA V, так и техническим поиском на беглом мандаринском языке для разработки фреймворк и репликации обмена криптовалютами. Такое поведение предполагает сотрудничество между оперативниками КНДР и местными сообщниками, что способствует расширению оперативных возможностей киберпреступной сети.
Инструменты, используемые оператором, подчеркивали их расширенные возможности, используя программное обеспечение, такое как OBS Studio для глубоких подделок, и различные среды разработки для создания сложной инфраструктуры мошенничества. Повседневная деятельность этого оператора включала в себя обширный поиск ресурсов для разработки фишинг-сайтов, нацеленных на сбор учетные данные, демонстрирующих масштабы мошеннической операции. Наблюдения из поисковых запросов указывали на организованное преступное предприятие, специализирующееся на краже смарт-контрактов и закупке вредоносное ПО для обхода безопасности, что, по иронии судьбы, привело к их собственному нарушению безопасности с помощью стиллер.
Примечательно, что стиллер стал известен благодаря местному посреднику, который непреднамеренно запустил вредоносную загрузку при поиске игровых читов. Эта оперативная ошибка подчеркивает системную уязвимость, когда спонсируемые государством группы используют подпольные инструменты, аналогичные инструментам обычных киберпреступников, что делает их открытыми для инфекций, которые могут компрометация их усилий. Это подчеркивает, что управление идентификационными данными все чаще становится ключевым фактором сетевой безопасности; актор, использующий передовые методы социальной инженерии, такие как глубокие подделки, может обходить строгие меры безопасности, что приводит к успешным нарушениям.
Этот инцидент служит важным напоминанием о необходимости постоянного мониторинга поведения в киберпространстве и упреждающего обнаружения аномалий, которые могут указывать на компрометация внутренних угроз. Анализ таких операционных ошибок может дать представление о предотвращении будущих нарушений, иллюстрируя, что актор, спонсируемый государством, не застрахован от рисков, связанных с их собственной зависимостью от экосистемы киберпреступников.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование деятельности северокорейского киберпреступника выявило, что они использовали стиллер LummaC2 для сбора корпоративных учетные данные западных компаний. Оператор использовал синтетические идентификационные данные и использовал индонезийский прокси-сервер, участвуя как в местных, так и в технических действиях, одновременно разрабатывая сложную инфраструктуру фишинг. Критический сбой в работе привел к их заражению посредством вредоносной загрузки, что является примером уязвимости спонсируемых государством актор перед распространенной тактикой киберпреступников и важности мониторинга поведения в киберпространстве на предмет потенциальных внутренних угроз.
-----
Расследование деятельности северокорейского кибероператора выявило эволюционирующие методы, используемые спонсируемыми государством актор для проникновения в западные компании. Исследование, в котором использовались данные Hudson Rock о киберпреступность, было сосредоточено на зараженной машине подозреваемого ИТ-сотрудника КНДР, компрометация которой была произведена стиллер LummaC2. Этот инцидент не только привел к захвату корпоративных учетные данные, но и раскрыл ранее недокументированный индонезийский прокси-узел, подчеркнув значительные риски, связанные со сбоями в операционной безопасности.
Оператор, стоящий за прокси-сервером, использовал синтетические идентификаторы для работы на различных платформах, в первую очередь маскируя действия под индонезийским IP-адресом. Их цифровой след иллюстрировал двойную личность, существующую одновременно; они занимались как местными интересами, такими как ролевая игра GTA V, так и техническим поиском на беглом мандаринском языке для разработки фреймворк и репликации обмена криптовалютами. Такое поведение предполагает сотрудничество между оперативниками КНДР и местными сообщниками, что способствует расширению оперативных возможностей киберпреступной сети.
Инструменты, используемые оператором, подчеркивали их расширенные возможности, используя программное обеспечение, такое как OBS Studio для глубоких подделок, и различные среды разработки для создания сложной инфраструктуры мошенничества. Повседневная деятельность этого оператора включала в себя обширный поиск ресурсов для разработки фишинг-сайтов, нацеленных на сбор учетные данные, демонстрирующих масштабы мошеннической операции. Наблюдения из поисковых запросов указывали на организованное преступное предприятие, специализирующееся на краже смарт-контрактов и закупке вредоносное ПО для обхода безопасности, что, по иронии судьбы, привело к их собственному нарушению безопасности с помощью стиллер.
Примечательно, что стиллер стал известен благодаря местному посреднику, который непреднамеренно запустил вредоносную загрузку при поиске игровых читов. Эта оперативная ошибка подчеркивает системную уязвимость, когда спонсируемые государством группы используют подпольные инструменты, аналогичные инструментам обычных киберпреступников, что делает их открытыми для инфекций, которые могут компрометация их усилий. Это подчеркивает, что управление идентификационными данными все чаще становится ключевым фактором сетевой безопасности; актор, использующий передовые методы социальной инженерии, такие как глубокие подделки, может обходить строгие меры безопасности, что приводит к успешным нарушениям.
Этот инцидент служит важным напоминанием о необходимости постоянного мониторинга поведения в киберпространстве и упреждающего обнаружения аномалий, которые могут указывать на компрометация внутренних угроз. Анализ таких операционных ошибок может дать представление о предотвращении будущих нарушений, иллюстрируя, что актор, спонсируемый государством, не застрахован от рисков, связанных с их собственной зависимостью от экосистемы киберпреступников.
#ParsedReport #CompletenessHigh
02-03-2026
Dust Specter APT Targets Government Officials in Iraq
https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
Report completeness: High
Actors/Campaigns:
Dust_specter
Oilrig
Threats:
Splitdrop
Twintask_tool
Twintalk_tool
Ghostform
Dll_sideloading_technique
Clickfix_technique
Smuggling_technique
Victims:
Government officials, Government sector, Ministry of foreign affairs
Industry:
Government
Geo:
Iraq, Iran
TTPs:
Tactics: 6
Technics: 11
IOCs:
Path: 8
File: 10
Registry: 1
Domain: 7
Url: 2
Hash: 12
Soft:
Windows registry, Unix, Chrome
Algorithms:
base64, hmac-sha1, zip, aes-256, pbkdf2, cbc
Functions:
CreateEvent
Win API:
WaitForSingleObject
Languages:
powershell
Platforms:
x64
02-03-2026
Dust Specter APT Targets Government Officials in Iraq
https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
Report completeness: High
Actors/Campaigns:
Dust_specter
Oilrig
Threats:
Splitdrop
Twintask_tool
Twintalk_tool
Ghostform
Dll_sideloading_technique
Clickfix_technique
Smuggling_technique
Victims:
Government officials, Government sector, Ministry of foreign affairs
Industry:
Government
Geo:
Iraq, Iran
TTPs:
Tactics: 6
Technics: 11
IOCs:
Path: 8
File: 10
Registry: 1
Domain: 7
Url: 2
Hash: 12
Soft:
Windows registry, Unix, Chrome
Algorithms:
base64, hmac-sha1, zip, aes-256, pbkdf2, cbc
Functions:
CreateEvent
Win API:
WaitForSingleObject
Languages:
powershell
Platforms:
x64
Zscaler
Dust Specter APT Targets Gov’t Officials in Iraq | ThreatLabz
Dust Specter, a suspected Iran-nexus APT threat actor, targets officials in Iraq with newly discovered malware: SPLITDROP, TWINTASK, TWINTALK & GHOSTFORM.
CTT Report Hub
#ParsedReport #CompletenessHigh 02-03-2026 Dust Specter APT Targets Government Officials in Iraq https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq Report completeness: High Actors/Campaigns: Dust_specter…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В январе 2026 года APT-группировка Iran-nexus "Dust Specter" нацелилась на иракских правительственных чиновников, имитируя Министерство иностранных дел и распространяя вредоносное ПО, включая SPLITDROP и GHOSTFORM. SPLITDROP служит в качестве дроппера, который развертывает TWINTASK для выполнения команд и обмена данными C2, в то время как GHOSTFORM - это RAT, который минимизирует площадь обнаружения. Цепочки атак демонстрируют передовые методы уклонения и зависимость от социальной инженерии, демонстрируя эволюцию в изощренности вредоносное ПО, связанную с иранскими кибероперациями.
-----
В январе 2026 года ThreatLabZ отслеживал деятельность, связанную с предполагаемой связью с Ираном APT-группировка, носящая название "Dust Specter", которая нацелен на правительственных чиновников в Ираке, имитируя Министерство иностранных дел Ирака. В этой операции использовалась правительственная инфраструктура компрометация для распространения вредоносное ПО, включая недавно обнаруженные угрозы, такие как SPLITDROP, TWINTASK, TWINTALK и GHOSTFORM, демонстрирующие совпадение с известной иранской тактикой APT.
У Dust Specter есть две различные цепочки атак. Первая цепочка использует SPLITDROP, дроппер на основе .NET, который извлекает и развертывает TWINTASK и TWINTALK, функционирующие как рабочий модуль и оркестратор управление (C2), соответственно. SPLITDROP инициирует атаку, вводя вводящий в заблуждение запрос пароля, и использует шифрование AES-256 для сокрытия полезной нагрузки. Если требуемые условия выполнены, он расшифровывает и запускает встроенные ресурсы.
TWINTASK работает путем опроса команд из указанного текстового файла, выполнения сценариев PowerShell и регистрации результатов. Он устанавливает закрепление путем внесения изменений в реестр, обеспечивая его выполнение при каждом перезапуске системы. Связь C2 использует уникальные пути URI и использует проверку пользовательским агентом, чтобы избежать обнаружения, отправляя запросы, которые включают токен аутентификации, сгенерированный во время выполнения. Этот токен включает в себя идентификатор и версию бота, что помогает в проверке целостности запросов.
Вторая цепочка атак включает в себя GHOSTFORM, RAT, который объединяет функциональные возможности предыдущей цепочки в один исполняемый файл. Он использует выполнение команд, полученных через его сервер C2, в памяти, что сводит к минимуму занимаемую им площадь. GHOSTFORM использует хитроумные стратегии уклонения, такие как невидимая форма на этапе отложенного выполнения, чтобы избежать немедленного обнаружения. Он генерирует идентификатор бота из .Временная метка NET assembly, отличающаяся от методологии случайной генерации TWINTALK's.
Обе цепочки атак демонстрируют зависимость от методов скрытности, таких как Передача управляющих сигналов в трафике, рандомизированные задержки и кодирование выполнения команд, чтобы избежать обнаружения. Методология Dust Specter's также отражает более широкие тенденции использования генеративного искусственного интеллекта для разработки вредоносное ПО. Уникальные аспекты этой кампании включают в себя использование тактики в стиле ClickFix style, при которой социальная инженерия используется для принуждения жертв к выполнению вредоносных команд, что указывает на модели, установленные более ранними иранскими злоумышленник.
Приписывание этой кампании Dust Specter подтверждается сходством инструментов, направленностью на правительственный сектор Ирака — в частности, Министерство иностранных дел — и устоявшимися оперативными методами, ранее использовавшимися группами, связанными с Ираном. Анализ подчеркивает растущую изощренность операций вредоносное ПО, особенно в том, как злоумышленник сочетает социальную инженерию и техническое мастерство для достижения своих целей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В январе 2026 года APT-группировка Iran-nexus "Dust Specter" нацелилась на иракских правительственных чиновников, имитируя Министерство иностранных дел и распространяя вредоносное ПО, включая SPLITDROP и GHOSTFORM. SPLITDROP служит в качестве дроппера, который развертывает TWINTASK для выполнения команд и обмена данными C2, в то время как GHOSTFORM - это RAT, который минимизирует площадь обнаружения. Цепочки атак демонстрируют передовые методы уклонения и зависимость от социальной инженерии, демонстрируя эволюцию в изощренности вредоносное ПО, связанную с иранскими кибероперациями.
-----
В январе 2026 года ThreatLabZ отслеживал деятельность, связанную с предполагаемой связью с Ираном APT-группировка, носящая название "Dust Specter", которая нацелен на правительственных чиновников в Ираке, имитируя Министерство иностранных дел Ирака. В этой операции использовалась правительственная инфраструктура компрометация для распространения вредоносное ПО, включая недавно обнаруженные угрозы, такие как SPLITDROP, TWINTASK, TWINTALK и GHOSTFORM, демонстрирующие совпадение с известной иранской тактикой APT.
У Dust Specter есть две различные цепочки атак. Первая цепочка использует SPLITDROP, дроппер на основе .NET, который извлекает и развертывает TWINTASK и TWINTALK, функционирующие как рабочий модуль и оркестратор управление (C2), соответственно. SPLITDROP инициирует атаку, вводя вводящий в заблуждение запрос пароля, и использует шифрование AES-256 для сокрытия полезной нагрузки. Если требуемые условия выполнены, он расшифровывает и запускает встроенные ресурсы.
TWINTASK работает путем опроса команд из указанного текстового файла, выполнения сценариев PowerShell и регистрации результатов. Он устанавливает закрепление путем внесения изменений в реестр, обеспечивая его выполнение при каждом перезапуске системы. Связь C2 использует уникальные пути URI и использует проверку пользовательским агентом, чтобы избежать обнаружения, отправляя запросы, которые включают токен аутентификации, сгенерированный во время выполнения. Этот токен включает в себя идентификатор и версию бота, что помогает в проверке целостности запросов.
Вторая цепочка атак включает в себя GHOSTFORM, RAT, который объединяет функциональные возможности предыдущей цепочки в один исполняемый файл. Он использует выполнение команд, полученных через его сервер C2, в памяти, что сводит к минимуму занимаемую им площадь. GHOSTFORM использует хитроумные стратегии уклонения, такие как невидимая форма на этапе отложенного выполнения, чтобы избежать немедленного обнаружения. Он генерирует идентификатор бота из .Временная метка NET assembly, отличающаяся от методологии случайной генерации TWINTALK's.
Обе цепочки атак демонстрируют зависимость от методов скрытности, таких как Передача управляющих сигналов в трафике, рандомизированные задержки и кодирование выполнения команд, чтобы избежать обнаружения. Методология Dust Specter's также отражает более широкие тенденции использования генеративного искусственного интеллекта для разработки вредоносное ПО. Уникальные аспекты этой кампании включают в себя использование тактики в стиле ClickFix style, при которой социальная инженерия используется для принуждения жертв к выполнению вредоносных команд, что указывает на модели, установленные более ранними иранскими злоумышленник.
Приписывание этой кампании Dust Specter подтверждается сходством инструментов, направленностью на правительственный сектор Ирака — в частности, Министерство иностранных дел — и устоявшимися оперативными методами, ранее использовавшимися группами, связанными с Ираном. Анализ подчеркивает растущую изощренность операций вредоносное ПО, особенно в том, как злоумышленник сочетает социальную инженерию и техническое мастерство для достижения своих целей.
#ParsedReport #CompletenessLow
03-03-2026
Infiltrate the office through Office
https://habr.com/ru/companies/pt/articles/1004518/
Report completeness: Low
Actors/Campaigns:
Bo_team
Victims:
Russian organizations
Geo:
Russian
CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
ChatGPT TTPs:
T1105, T1203, T1204.002, T1559.001, T1566.001
IOCs:
File: 1
Email: 1
Registry: 4
IP: 1
Hash: 2
Soft:
Microsoft Office
Win Services:
WebClient
03-03-2026
Infiltrate the office through Office
https://habr.com/ru/companies/pt/articles/1004518/
Report completeness: Low
Actors/Campaigns:
Bo_team
Victims:
Russian organizations
Geo:
Russian
CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
ChatGPT TTPs:
do not use without manual checkT1105, T1203, T1204.002, T1559.001, T1566.001
IOCs:
File: 1
Email: 1
Registry: 4
IP: 1
Hash: 2
Soft:
Microsoft Office
Win Services:
WebClient
Хабр
Проникнуть в офис через Office
В феврале российские компании столкнулись с целевой атакой хакеров из группировки BO Team (также известной как Black Owl, Lifting Zmiy и Hoody Hyena). Злоумышленники использовали уязвимость в системах...
CTT Report Hub
#ParsedReport #CompletenessLow 03-03-2026 Infiltrate the office through Office https://habr.com/ru/companies/pt/articles/1004518/ Report completeness: Low Actors/Campaigns: Bo_team Victims: Russian organizations Geo: Russian CVEs: CVE-2026-21509 [Vulners]…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В феврале 2023 года BO Team (также известная как Black Owl, Lifting Zmiy и Hoody Hyena) провела целенаправленную атаку на российские компании, используя уязвимость Microsoft Office CVE-2026-21509. Они использовали фишинг-электронные письма с RTF-файлами, которые при открытии обходили меры безопасности, позволяя несанкционированный доступ к системам через объект COM-компрометация, который обращался к удаленному устройству.файл lnk. Тактика группы включала в себя последовательное присвоение имен Вредоносный файл и использование определенных доменных имен, связанных с предыдущими атаками.
-----
В феврале 2023 года российские компании подверглись изощренной атаке хакеров, известных как BO Team. Эта группа, которую также называют Black Owl, Lifting Zmiy и Hoody Hyena, воспользовалась определенной уязвимостью в Microsoft Office для организации своей кампании. Злоумышленники использовали фишинг-электронные письма, содержащие файлы в формате Rich Text (RTF), которые представлялись законной деловой перепиской. Когда получатели открывали эти вложения в приложениях Microsoft Office, они непреднамеренно обходили встроенные в приложение меры безопасности, что приводило к несанкционированному доступу к ИТ-инфраструктуре организаций.
Конкретная уязвимость, использованная при атаке, идентифицирована как CVE-2026-21509. Этот недостаток позволяет злоумышленникам обходить средства защиты Microsoft Office при работе с компонентами связывания объектов и встраивания (OLE). При открытии документа с компрометация уязвимость позволяет создать объект COM-модель компонента (Component Object Model, COM), который обращается к удаленному устройству .файл lnk, который запускает последующие этапы атаки.
Анализ домена Ространснадзор.digital выявил связь с группой BO Team. Запись о начале полномочий (SOA) для этого домена содержала адрес электронной почты (gjegoshcappaniesh@gmail.com ), ранее связанный с более ранними атаками BoTeam. Кроме того, использование повторяющихся характеристик, таких как конкретное наименование Вредоносный файл как "АКТ техосмотра транспортного средства" и аналогичное доменное имя (rostransnnadzor.ru ), предполагает сильную корреляцию с тактикой группы.
Чтобы снизить риски, связанные с этой уязвимостью, организациям настоятельно рекомендуется обновить Microsoft Office до последней исправленной версии. В тех случаях, когда немедленное обновление невозможно, временной мерой может быть блокирование активации уязвимого компонента OLE, идентифицированного как Shell.Explorer.1, с CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B. Это действие имеет решающее значение для защиты от потенциального использования, пока организации работают над комплексным исправлением своих систем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В феврале 2023 года BO Team (также известная как Black Owl, Lifting Zmiy и Hoody Hyena) провела целенаправленную атаку на российские компании, используя уязвимость Microsoft Office CVE-2026-21509. Они использовали фишинг-электронные письма с RTF-файлами, которые при открытии обходили меры безопасности, позволяя несанкционированный доступ к системам через объект COM-компрометация, который обращался к удаленному устройству.файл lnk. Тактика группы включала в себя последовательное присвоение имен Вредоносный файл и использование определенных доменных имен, связанных с предыдущими атаками.
-----
В феврале 2023 года российские компании подверглись изощренной атаке хакеров, известных как BO Team. Эта группа, которую также называют Black Owl, Lifting Zmiy и Hoody Hyena, воспользовалась определенной уязвимостью в Microsoft Office для организации своей кампании. Злоумышленники использовали фишинг-электронные письма, содержащие файлы в формате Rich Text (RTF), которые представлялись законной деловой перепиской. Когда получатели открывали эти вложения в приложениях Microsoft Office, они непреднамеренно обходили встроенные в приложение меры безопасности, что приводило к несанкционированному доступу к ИТ-инфраструктуре организаций.
Конкретная уязвимость, использованная при атаке, идентифицирована как CVE-2026-21509. Этот недостаток позволяет злоумышленникам обходить средства защиты Microsoft Office при работе с компонентами связывания объектов и встраивания (OLE). При открытии документа с компрометация уязвимость позволяет создать объект COM-модель компонента (Component Object Model, COM), который обращается к удаленному устройству .файл lnk, который запускает последующие этапы атаки.
Анализ домена Ространснадзор.digital выявил связь с группой BO Team. Запись о начале полномочий (SOA) для этого домена содержала адрес электронной почты (gjegoshcappaniesh@gmail.com ), ранее связанный с более ранними атаками BoTeam. Кроме того, использование повторяющихся характеристик, таких как конкретное наименование Вредоносный файл как "АКТ техосмотра транспортного средства" и аналогичное доменное имя (rostransnnadzor.ru ), предполагает сильную корреляцию с тактикой группы.
Чтобы снизить риски, связанные с этой уязвимостью, организациям настоятельно рекомендуется обновить Microsoft Office до последней исправленной версии. В тех случаях, когда немедленное обновление невозможно, временной мерой может быть блокирование активации уязвимого компонента OLE, идентифицированного как Shell.Explorer.1, с CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B. Это действие имеет решающее значение для защиты от потенциального использования, пока организации работают над комплексным исправлением своих систем.
#ParsedReport #CompletenessHigh
03-03-2026
Keeping our hand on Pulse. Mythic Likho cyberattacks on Russia's C.I.A.
https://ptsecurity.com/research/pt-esc-threat-intelligence/mythic-likho-cyberattacks-on-russian-critical-information-infrastructure/
Report completeness: High
Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
C0met
Cobalt
Silent_werewolf
Threats:
Loki_backdoor
Merlin_tool
Huloader
Reflectpulse
Lockbit
Bloodhound_tool
Xenarmor_tool
Ligolo-ng_tool
Nmap_tool
Mimikatz_tool
Impacket_tool
Socat_tool
Putty_tool
Loki_stealer
Rclone_tool
Spear-phishing_technique
Process_injection_technique
Credential_dumping_technique
Loki_loader
Trojan.win32.networkgeneric.c
Xenallpasswordpro_tool
Qtox_tool
Mythic_c2_tool
Havoc
Chisel_tool
Megatsune
Victims:
Critical information infrastructure, Government organizations, Commercial organizations, Media
Industry:
Retail, Government, Telco, Critical_infrastructure
Geo:
Netherlands, American, Canadian, Russian, German, Russia
TTPs:
Tactics: 14
Technics: 82
IOCs:
Registry: 3
Domain: 19
File: 14
Command: 4
Path: 8
IP: 2
Email: 1
Hash: 35
Soft:
Nessus, PsExec, Windows registry, WireGuard, Active Directory, bitwarden, nginx, Local Security Authority, LastPass, 1Password, have more...
Algorithms:
xor, aes, base64, cbc, sha256, sha1, md5, deflate
Functions:
Get-ADUser, Get-ADDefaultDomainPasswordPolicy, Get-WssPasswordPolicy, Get-Process, Get-SMBShare, Get-Volume, Get-PSDrive
Languages:
powershell
Platforms:
x86, arm, x64
YARA: Found
03-03-2026
Keeping our hand on Pulse. Mythic Likho cyberattacks on Russia's C.I.A.
https://ptsecurity.com/research/pt-esc-threat-intelligence/mythic-likho-cyberattacks-on-russian-critical-information-infrastructure/
Report completeness: High
Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
C0met
Cobalt
Silent_werewolf
Threats:
Loki_backdoor
Merlin_tool
Huloader
Reflectpulse
Lockbit
Bloodhound_tool
Xenarmor_tool
Ligolo-ng_tool
Nmap_tool
Mimikatz_tool
Impacket_tool
Socat_tool
Putty_tool
Loki_stealer
Rclone_tool
Spear-phishing_technique
Process_injection_technique
Credential_dumping_technique
Loki_loader
Trojan.win32.networkgeneric.c
Xenallpasswordpro_tool
Qtox_tool
Mythic_c2_tool
Havoc
Chisel_tool
Megatsune
Victims:
Critical information infrastructure, Government organizations, Commercial organizations, Media
Industry:
Retail, Government, Telco, Critical_infrastructure
Geo:
Netherlands, American, Canadian, Russian, German, Russia
TTPs:
Tactics: 14
Technics: 82
IOCs:
Registry: 3
Domain: 19
File: 14
Command: 4
Path: 8
IP: 2
Email: 1
Hash: 35
Soft:
Nessus, PsExec, Windows registry, WireGuard, Active Directory, bitwarden, nginx, Local Security Authority, LastPass, 1Password, have more...
Algorithms:
xor, aes, base64, cbc, sha256, sha1, md5, deflate
Functions:
Get-ADUser, Get-ADDefaultDomainPasswordPolicy, Get-WssPasswordPolicy, Get-Process, Get-SMBShare, Get-Volume, Get-PSDrive
Languages:
powershell
Platforms:
x86, arm, x64
YARA: Found
ptsecurity.com
Держим руку на Pulse. Кибератаки группировки Mythic Likho на КИИ России
Первые кибератаки группировки Mythic Likho на российские организации с использованием бэкдора Loki были обнаружены в сентябре 2024 года. В феврале 2025 года тщательному исследованию подвергся загрузчик Merlin, в ноябре была описана новая версия бэкдора Loki.
CTT Report Hub
#ParsedReport #CompletenessHigh 03-03-2026 Keeping our hand on Pulse. Mythic Likho cyberattacks on Russia's C.I.A. https://ptsecurity.com/research/pt-esc-threat-intelligence/mythic-likho-cyberattacks-on-russian-critical-information-infrastructure/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Mythic Likho нацелена на критическую инфраструктуру России с сентября 2024 года, используя сложное вредоносное ПО, такое как Loki Backdoor и загрузчик Merlin, и применяя обширную разведка и социальную инженерию для фишинг-кампаний. Они создают законно выглядящие коммуникации и используют Облачные сервисы для размещения вредоносных операций, внедряя вредоносное ПО с помощью файлов ISO и RAR. Как только доступ получен, они обеспечивают закрепление, собирают учетные данные с помощью таких инструментов, как Mimikatz, и используют передовые методы для запутывания своих операций, что приводит к эксфильтрация данных и потенциальному разрушению системы.
-----
Группа Mythic Likho проводит изощренные кибератаки на критически важную инфраструктуру России с сентября 2024 года, используя различные инструменты вредоносное ПО, включая Loki backdoor и загрузчик Merlin. Ключевые методологии включают обширную разведка целей, в ходе которой группа собирает подробную информацию об организационной структуре жертв, связанных с ними организациях, Адреса эл. почты и бизнес-ролях. Эта информация помогает в разработке убедительных кампаний по фишинг-атакам, направленных на проникновение в целевые сети.
Mythic Likho использует тактику социальной инженерии, имитируя законные организации, чтобы создавать надежные Адреса эл. почты, используемые для фишинг. Группа регистрирует домены в российских Облачные сервисы и часто развертывает виртуальные серверы для облегчения своей работы, используя такие платформы, как Cloudflare, для сокрытия своих вредоносных IP-адресов. Доставка вредоносное ПО часто осуществляется с помощью вредоносных файлов ISO и RAR, содержащих загруженную полезную нагрузку, замаскированную под законные документы, которые тщательно обрабатываются, чтобы казаться заслуживающими доверия потенциальным жертвам.
Получив доступ к целевой сети, Mythic Likho обеспечивает закрепление, изменяя реестр Windows для автоматического запуска Loki backdoor во время запуска системы. Этот бэкдор обеспечивает непрерывный удаленный доступ и способен выполнять команды, загружать дополнительную полезную нагрузку и извлекать данные через защищенные SFTP-соединения. Они используют другие инструменты, такие как Mimikatz и XenArmor, для сбор учетных записей, извлечения ценной пользовательской информации и дальнейшего использования этих интеллектуальных данных для перемещение внутри компании внутри сети.
Атаки продемонстрировали замечательную эволюцию, поскольку группа постоянно совершенствует свое вредоносное ПО, чтобы запутать операции и избежать обнаружения. Примечательно, что они используют такие методы, как Динамическое разрешение вызовов API и жесткое шифрование данных, чтобы усложнить анализ с помощью своих инструментов. Вредоносное ПО, такое как HuLoader, ReflectPulse и Loki Backdoor, является неотъемлемой частью их инструментария, что позволяет осуществлять значительный контроль и сбои в работе систем компрометация.
Кульминацией стратегии Mythic Likho's является эксфильтрация данных и потенциальное уничтожение данных или систем, что представляет серьезную угрозу для отраслей, имеющих важное значение для российской инфраструктуры. Продвигаясь вперед, правозащитникам настоятельно рекомендуется проводить тщательную подготовку по Кибербезопасность и использовать современные технологии защиты, чтобы смягчить воздействие таких изощренных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Mythic Likho нацелена на критическую инфраструктуру России с сентября 2024 года, используя сложное вредоносное ПО, такое как Loki Backdoor и загрузчик Merlin, и применяя обширную разведка и социальную инженерию для фишинг-кампаний. Они создают законно выглядящие коммуникации и используют Облачные сервисы для размещения вредоносных операций, внедряя вредоносное ПО с помощью файлов ISO и RAR. Как только доступ получен, они обеспечивают закрепление, собирают учетные данные с помощью таких инструментов, как Mimikatz, и используют передовые методы для запутывания своих операций, что приводит к эксфильтрация данных и потенциальному разрушению системы.
-----
Группа Mythic Likho проводит изощренные кибератаки на критически важную инфраструктуру России с сентября 2024 года, используя различные инструменты вредоносное ПО, включая Loki backdoor и загрузчик Merlin. Ключевые методологии включают обширную разведка целей, в ходе которой группа собирает подробную информацию об организационной структуре жертв, связанных с ними организациях, Адреса эл. почты и бизнес-ролях. Эта информация помогает в разработке убедительных кампаний по фишинг-атакам, направленных на проникновение в целевые сети.
Mythic Likho использует тактику социальной инженерии, имитируя законные организации, чтобы создавать надежные Адреса эл. почты, используемые для фишинг. Группа регистрирует домены в российских Облачные сервисы и часто развертывает виртуальные серверы для облегчения своей работы, используя такие платформы, как Cloudflare, для сокрытия своих вредоносных IP-адресов. Доставка вредоносное ПО часто осуществляется с помощью вредоносных файлов ISO и RAR, содержащих загруженную полезную нагрузку, замаскированную под законные документы, которые тщательно обрабатываются, чтобы казаться заслуживающими доверия потенциальным жертвам.
Получив доступ к целевой сети, Mythic Likho обеспечивает закрепление, изменяя реестр Windows для автоматического запуска Loki backdoor во время запуска системы. Этот бэкдор обеспечивает непрерывный удаленный доступ и способен выполнять команды, загружать дополнительную полезную нагрузку и извлекать данные через защищенные SFTP-соединения. Они используют другие инструменты, такие как Mimikatz и XenArmor, для сбор учетных записей, извлечения ценной пользовательской информации и дальнейшего использования этих интеллектуальных данных для перемещение внутри компании внутри сети.
Атаки продемонстрировали замечательную эволюцию, поскольку группа постоянно совершенствует свое вредоносное ПО, чтобы запутать операции и избежать обнаружения. Примечательно, что они используют такие методы, как Динамическое разрешение вызовов API и жесткое шифрование данных, чтобы усложнить анализ с помощью своих инструментов. Вредоносное ПО, такое как HuLoader, ReflectPulse и Loki Backdoor, является неотъемлемой частью их инструментария, что позволяет осуществлять значительный контроль и сбои в работе систем компрометация.
Кульминацией стратегии Mythic Likho's является эксфильтрация данных и потенциальное уничтожение данных или систем, что представляет серьезную угрозу для отраслей, имеющих важное значение для российской инфраструктуры. Продвигаясь вперед, правозащитникам настоятельно рекомендуется проводить тщательную подготовку по Кибербезопасность и использовать современные технологии защиты, чтобы смягчить воздействие таких изощренных угроз.
#ParsedReport #CompletenessHigh
03-03-2026
Investigating Suspected DPRK-Linked Crypto Intrusions
https://ctrlaltintel.com/threat%20research/DPRK-Crypto-Heist/
Report completeness: High
Actors/Campaigns:
Tradertraitor
Lazarus
Threats:
Supply_chain_technique
Vshell
React2shell_vuln
Credential_harvesting_technique
Xmrig_miner
Simplehelp_tool
Tradertraitor_downloader
Etherrat
Victims:
Cryptocurrency organizations, Crypto exchanges, Staking platforms, Exchange software providers, Crypto supply chain
Industry:
Financial
Geo:
Chinese, Korea, Dprk, Korean
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
TTPs:
Tactics: 8
Technics: 20
IOCs:
File: 10
IP: 1
Domain: 1
Soft:
Docker, curl, FlyVPN, PostgreSQL
Wallets:
bybit
Algorithms:
md5
Languages:
java, python, javascript
03-03-2026
Investigating Suspected DPRK-Linked Crypto Intrusions
https://ctrlaltintel.com/threat%20research/DPRK-Crypto-Heist/
Report completeness: High
Actors/Campaigns:
Tradertraitor
Lazarus
Threats:
Supply_chain_technique
Vshell
React2shell_vuln
Credential_harvesting_technique
Xmrig_miner
Simplehelp_tool
Tradertraitor_downloader
Etherrat
Victims:
Cryptocurrency organizations, Crypto exchanges, Staking platforms, Exchange software providers, Crypto supply chain
Industry:
Financial
Geo:
Chinese, Korea, Dprk, Korean
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
TTPs:
Tactics: 8
Technics: 20
IOCs:
File: 10
IP: 1
Domain: 1
Soft:
Docker, curl, FlyVPN, PostgreSQL
Wallets:
bybit
Algorithms:
md5
Languages:
java, python, javascript
Ctrl-Alt-Intel
Investigating Suspected DPRK-Linked Crypto Intrusions
A suspected DPRK-associated actor compromises crypto orgs, pillaging cloud environments, stealing proprietary exchange software and source code.
CTT Report Hub
#ParsedReport #CompletenessHigh 03-03-2026 Investigating Suspected DPRK-Linked Crypto Intrusions https://ctrlaltintel.com/threat%20research/DPRK-Crypto-Heist/ Report completeness: High Actors/Campaigns: Tradertraitor Lazarus Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследования показывают, что северокорейские актор систематически нацеливаются на криптовалютные организации, используя уязвимость React2Shell (CVE-2025-55182) и действительные учетные данные AWS для доступа к различным платформам. Используя методологию Amazon Kill Chain, злоумышленники провели обширную разведка с помощью инструментов AWS CLI, что привело к перемещение внутри компании и эксфильтрация данных с конфиденциальных ресурсов, включая исходный код и учетные данные. Злоумышленник продемонстрировал повышенную операционную безопасность, используя VShell и туннелирование FRP для постоянного доступа, что является примером значительных рисков для облачной безопасности в криптосекторе.
-----
Недавние расследования выявили систематические вторжения, нацеленные на криптовалютные организации, которые, как полагают, связаны с северокорейскими актор. Эти злоумышленники воспользовались уязвимостями веб-приложений, в частности, используя уязвимость React2Shell (CVE-2025-55182), чтобы получить первоначальный доступ к различным платформам в рамках крипто-supply chain, включая сервисы размещения ставок и поставщиков программного обеспечения exchange. Они использовали действительные учетные данные AWS для управления средами AWS, создавая значительные риски для облачной безопасности.
Методология атаки соответствовала "цепочке убийств Amazon", в которой злоумышленники-актор использовали инструменты интерфейса командной строки AWS (CLI) для обширной разведка сервисов AWS. Они эффективно перечисляли ресурсы, такие как сегменты S3, кластеры Kubernetes и реляционные базы данных, облегчая перемещение внутри компании в среде компрометация. Примечательно, что доступ к Kubernetes позволял им извлекать конфиденциальные образы Docker и выполнять команды для извлечения секретов проприетарного приложения.
Используемая инфраструктура Command and Control (C2) включает в себя VShell, настроенный на порту 8082, и туннельный прокси-сервер FRP на порту 53 для постоянного доступа. Наблюдаемое использование сервера VShell версии 4.9.3 с конкретными учетные данные иллюстрирует редкое понимание менталитета злоумышленник в области операционной безопасности.
Злоумышленники в первую очередь сосредоточились на извлечении исходного кода, жестко закодированного с конфиденциальными учетные данные из различных репозиториев и конфигураций. Данные, собранные с помощью AWS Secrets Manager, Terraform state files и других решений для хранения, выявили секреты в виде обычного текста и Закрытые ключи, которые могут привести к дальнейшим компрометация. Среды, на которые были нацелен злоумышленник, демонстрировали тревожные признаки воздействия на учетные данные и манипулирования ими, что усугублялось способностью злоумышленников сделать сервисы общедоступными.
Инфраструктура, связанная с этими операциями, базировалась преимущественно в Южной Корее, используя как локальные серверы, так и VPN-сервисы, чтобы скрыть происхождение атак. Использование специфических сервисов AWS, от Elastic Container Registry (ECR) до службы реляционных баз данных (RDS), указывает на пристальное внимание к ценным ресурсам для эксфильтрация данных.
Несмотря на отсутствие в наблюдениях вредоносное ПО, созданного на заказ в КНДР, анализ подтверждает, что методы злоумышленников соответствуют историческому нацелен КНДР на криптовалютные организации. Адаптивность их стратегий в сочетании с их нацелен-ным подходом к тонкостям Облачные сервисы демонстрируют значительный ландшафт угроз в криптодомене, представляющий потенциальную операционную опасность для заинтересованных сторон в секторе. Конвергенция инфраструктуры, методов торговли и нацелен-ных стилей воплощает в себе настоятельный призыв к усилению мер Кибербезопасность на криптовалютных платформах для снижения аналогичных рисков в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследования показывают, что северокорейские актор систематически нацеливаются на криптовалютные организации, используя уязвимость React2Shell (CVE-2025-55182) и действительные учетные данные AWS для доступа к различным платформам. Используя методологию Amazon Kill Chain, злоумышленники провели обширную разведка с помощью инструментов AWS CLI, что привело к перемещение внутри компании и эксфильтрация данных с конфиденциальных ресурсов, включая исходный код и учетные данные. Злоумышленник продемонстрировал повышенную операционную безопасность, используя VShell и туннелирование FRP для постоянного доступа, что является примером значительных рисков для облачной безопасности в криптосекторе.
-----
Недавние расследования выявили систематические вторжения, нацеленные на криптовалютные организации, которые, как полагают, связаны с северокорейскими актор. Эти злоумышленники воспользовались уязвимостями веб-приложений, в частности, используя уязвимость React2Shell (CVE-2025-55182), чтобы получить первоначальный доступ к различным платформам в рамках крипто-supply chain, включая сервисы размещения ставок и поставщиков программного обеспечения exchange. Они использовали действительные учетные данные AWS для управления средами AWS, создавая значительные риски для облачной безопасности.
Методология атаки соответствовала "цепочке убийств Amazon", в которой злоумышленники-актор использовали инструменты интерфейса командной строки AWS (CLI) для обширной разведка сервисов AWS. Они эффективно перечисляли ресурсы, такие как сегменты S3, кластеры Kubernetes и реляционные базы данных, облегчая перемещение внутри компании в среде компрометация. Примечательно, что доступ к Kubernetes позволял им извлекать конфиденциальные образы Docker и выполнять команды для извлечения секретов проприетарного приложения.
Используемая инфраструктура Command and Control (C2) включает в себя VShell, настроенный на порту 8082, и туннельный прокси-сервер FRP на порту 53 для постоянного доступа. Наблюдаемое использование сервера VShell версии 4.9.3 с конкретными учетные данные иллюстрирует редкое понимание менталитета злоумышленник в области операционной безопасности.
Злоумышленники в первую очередь сосредоточились на извлечении исходного кода, жестко закодированного с конфиденциальными учетные данные из различных репозиториев и конфигураций. Данные, собранные с помощью AWS Secrets Manager, Terraform state files и других решений для хранения, выявили секреты в виде обычного текста и Закрытые ключи, которые могут привести к дальнейшим компрометация. Среды, на которые были нацелен злоумышленник, демонстрировали тревожные признаки воздействия на учетные данные и манипулирования ими, что усугублялось способностью злоумышленников сделать сервисы общедоступными.
Инфраструктура, связанная с этими операциями, базировалась преимущественно в Южной Корее, используя как локальные серверы, так и VPN-сервисы, чтобы скрыть происхождение атак. Использование специфических сервисов AWS, от Elastic Container Registry (ECR) до службы реляционных баз данных (RDS), указывает на пристальное внимание к ценным ресурсам для эксфильтрация данных.
Несмотря на отсутствие в наблюдениях вредоносное ПО, созданного на заказ в КНДР, анализ подтверждает, что методы злоумышленников соответствуют историческому нацелен КНДР на криптовалютные организации. Адаптивность их стратегий в сочетании с их нацелен-ным подходом к тонкостям Облачные сервисы демонстрируют значительный ландшафт угроз в криптодомене, представляющий потенциальную операционную опасность для заинтересованных сторон в секторе. Конвергенция инфраструктуры, методов торговли и нацелен-ных стилей воплощает в себе настоятельный призыв к усилению мер Кибербезопасность на криптовалютных платформах для снижения аналогичных рисков в будущем.
#ParsedReport #CompletenessMedium
02-03-2026
OAuth redirection abuse enables phishing and malware delivery
https://www.microsoft.com/en-us/security/blog/2026/03/02/oauth-redirection-abuse-enables-phishing-malware-delivery/
Report completeness: Medium
Threats:
Evilproxy_tool
Smuggling_technique
Dll_sideloading_technique
Malgent
Plugx_rat
Trojan:win32/znyonm
Trojan:win32/greedyrobin.b
Trojan:win32/winlnk
Sonbokli
Victims:
Government sector, Public sector
Industry:
Government
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1016, T1027.006, T1056.003, T1057, T1059.001, T1082, T1204.001, T1204.002, T1207, T1550.004, have more...
IOCs:
File: 3
Url: 13
Soft:
Microsoft Defender, Microsoft Entra, Node.js, Microsoft Defender for Endpoint, Office 365
Algorithms:
zip, base64
Languages:
powershell, python
02-03-2026
OAuth redirection abuse enables phishing and malware delivery
https://www.microsoft.com/en-us/security/blog/2026/03/02/oauth-redirection-abuse-enables-phishing-malware-delivery/
Report completeness: Medium
Threats:
Evilproxy_tool
Smuggling_technique
Dll_sideloading_technique
Malgent
Plugx_rat
Trojan:win32/znyonm
Trojan:win32/greedyrobin.b
Trojan:win32/winlnk
Sonbokli
Victims:
Government sector, Public sector
Industry:
Government
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016, T1027.006, T1056.003, T1057, T1059.001, T1082, T1204.001, T1204.002, T1207, T1550.004, have more...
IOCs:
File: 3
Url: 13
Soft:
Microsoft Defender, Microsoft Entra, Node.js, Microsoft Defender for Endpoint, Office 365
Algorithms:
zip, base64
Languages:
powershell, python
Microsoft News
OAuth redirection abuse enables phishing and malware delivery
OAuth redirection is being repurposed as a phishing delivery path. Trusted authentication flows are weaponized to move users from legitimate sign‑in pages to attacker‑controlled infrastructure.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-03-2026 OAuth redirection abuse enables phishing and malware delivery https://www.microsoft.com/en-us/security/blog/2026/03/02/oauth-redirection-abuse-enables-phishing-malware-delivery/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Корпорация Майкрософт выявила рост числа фишинг-атак с использованием протокола аутентификации OAuth, ориентированных на государственные структуры и государственный сектор. Злоумышленники манипулируют механизмами перенаправления OAuth, чтобы направлять пользователей на вредоносные сайты без получения пользовательских токенов, в основном с помощью созданных электронных писем с законно выглядящими URL-адресами. Как только жертвы взаимодействуют, они проходят через потоки OAuth для загрузки вредоносных ZIP-файлов, содержащих загрузчики LNK и HTML, которые выполняют команды PowerShell для разведка и дальнейшего развертывания вредоносное ПО.
-----
Корпорация Майкрософт сообщила о значительном увеличении числа случаев использования протокола аутентификации OAuth с помощью фишинг, особенно в отношении правительственных организаций и государственного сектора. Эксплуатация включает в себя манипулирование законными механизмами перенаправления OAuth для перенаправления жертв в инфраструктуру, контролируемую злоумышленником, без получения пользовательских токенов. Обнаружению этих угроз способствовал защитник Microsoft, который выявлял вредоносные действия по различным сигналам безопасности.
В атаке используются специально созданные URL-адреса перенаправления OAuth, встроенные в фишинг-письма, которые кажутся пользователям заслуживающими доверия, обманом заставляя их взаимодействовать. Фишинг-приманки используют различные темы, такие как запросы на электронную подпись, финансовую документацию и политический контент, чтобы стимулировать взаимодействие. Злоумышленник использовал как бесплатные средства массовой рассылки электронной почты, так и индивидуальные решения, разработанные на таких языках, как Python и Node.js , выполняя эти операции через облачные почтовые сервисы и виртуальные машины.
Начальный этап атаки включает в себя отправку фишинг-писем, содержащих ссылки для перенаправления OAuth напрямую или встроенные во вложения, такие как PDF-файлы. После нажатия жертвы перенаправляются через ряд потоков аутентификации на основе OAuth, которые приводят их на вредоносные целевые страницы, часто создаваемые с помощью таких платформ, как EvilProxy, которые предназначены для перехвата учетные данные пользователя и сеансовые файлы cookie.
Ключом к эффективности этих атак является манипулирование параметрами OAuth. Например, злоумышленники используют параметр "prompt=none" для инициирования автоматической аутентификации, которая не предполагает какого-либо взаимодействия с пользовательским интерфейсом. Когда аутентификация завершается неудачно, вызывая ошибку OAuth, например, код 65001, жертвы по—прежнему перенаправляются на сайт злоумышленника. Такой подход позволяет злоумышленникам доставлять Вредоносный файл, несмотря на то, что они не получают никаких токенов доступа OAuth.
После перенаправления пользователи получают быструю загрузку вредоносного ZIP-файла с контролируемой конечной точки, содержащего LNK-файлы и HTML-загрузчики. Тот самый .Файл LNK создается для выполнения команды PowerShell, которая проводит разведка системы и впоследствии запускает загрузку других вредоносных компонентов. Этот процесс включает в себя методы DLL side-loading, приводящие к выполнению дополнительных полезных нагрузок из памяти и установлению подключений к серверам управление.
Организации, использующие Microsoft Defender, могут получать предупреждения, связанные с этой угрозой, включая указания на потенциальный первоначальный доступ и подозрительные попытки подключения, которые указывают на эволюционирующий ландшафт киберугроза, использующих злоупотребление перенаправлением OAuth в качестве основного метода фишинг-рассылки и вредоносное ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Корпорация Майкрософт выявила рост числа фишинг-атак с использованием протокола аутентификации OAuth, ориентированных на государственные структуры и государственный сектор. Злоумышленники манипулируют механизмами перенаправления OAuth, чтобы направлять пользователей на вредоносные сайты без получения пользовательских токенов, в основном с помощью созданных электронных писем с законно выглядящими URL-адресами. Как только жертвы взаимодействуют, они проходят через потоки OAuth для загрузки вредоносных ZIP-файлов, содержащих загрузчики LNK и HTML, которые выполняют команды PowerShell для разведка и дальнейшего развертывания вредоносное ПО.
-----
Корпорация Майкрософт сообщила о значительном увеличении числа случаев использования протокола аутентификации OAuth с помощью фишинг, особенно в отношении правительственных организаций и государственного сектора. Эксплуатация включает в себя манипулирование законными механизмами перенаправления OAuth для перенаправления жертв в инфраструктуру, контролируемую злоумышленником, без получения пользовательских токенов. Обнаружению этих угроз способствовал защитник Microsoft, который выявлял вредоносные действия по различным сигналам безопасности.
В атаке используются специально созданные URL-адреса перенаправления OAuth, встроенные в фишинг-письма, которые кажутся пользователям заслуживающими доверия, обманом заставляя их взаимодействовать. Фишинг-приманки используют различные темы, такие как запросы на электронную подпись, финансовую документацию и политический контент, чтобы стимулировать взаимодействие. Злоумышленник использовал как бесплатные средства массовой рассылки электронной почты, так и индивидуальные решения, разработанные на таких языках, как Python и Node.js , выполняя эти операции через облачные почтовые сервисы и виртуальные машины.
Начальный этап атаки включает в себя отправку фишинг-писем, содержащих ссылки для перенаправления OAuth напрямую или встроенные во вложения, такие как PDF-файлы. После нажатия жертвы перенаправляются через ряд потоков аутентификации на основе OAuth, которые приводят их на вредоносные целевые страницы, часто создаваемые с помощью таких платформ, как EvilProxy, которые предназначены для перехвата учетные данные пользователя и сеансовые файлы cookie.
Ключом к эффективности этих атак является манипулирование параметрами OAuth. Например, злоумышленники используют параметр "prompt=none" для инициирования автоматической аутентификации, которая не предполагает какого-либо взаимодействия с пользовательским интерфейсом. Когда аутентификация завершается неудачно, вызывая ошибку OAuth, например, код 65001, жертвы по—прежнему перенаправляются на сайт злоумышленника. Такой подход позволяет злоумышленникам доставлять Вредоносный файл, несмотря на то, что они не получают никаких токенов доступа OAuth.
После перенаправления пользователи получают быструю загрузку вредоносного ZIP-файла с контролируемой конечной точки, содержащего LNK-файлы и HTML-загрузчики. Тот самый .Файл LNK создается для выполнения команды PowerShell, которая проводит разведка системы и впоследствии запускает загрузку других вредоносных компонентов. Этот процесс включает в себя методы DLL side-loading, приводящие к выполнению дополнительных полезных нагрузок из памяти и установлению подключений к серверам управление.
Организации, использующие Microsoft Defender, могут получать предупреждения, связанные с этой угрозой, включая указания на потенциальный первоначальный доступ и подозрительные попытки подключения, которые указывают на эволюционирующий ландшафт киберугроза, использующих злоупотребление перенаправлением OAuth в качестве основного метода фишинг-рассылки и вредоносное ПО.
#ParsedReport #CompletenessHigh
03-03-2026
Analysis of AuraStealer, an emerging infostealer
https://www.intrinsec.com/wp-content/uploads/2026/02/TLP-CLEAR-AuraStealer-EN.pdf
Report completeness: High
Threats:
Aurastealer
Clickfix_technique
Lumma_stealer
Rhadamanthys
Vidar_stealer
Stealc
Antidebugging_technique
Anydesk_tool
Donut
Salatstealer
Njrat
Rusty_stealer
Maskgram
Dcrat
Quasar_rat
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique
Sandbox_evasion_technique
Victims:
Consumers, General users
Industry:
E-commerce
Geo:
Malaysian, Russian
TTPs:
Tactics: 7
Technics: 39
IOCs:
Url: 7
IP: 4
Domain: 35
Hash: 282
File: 9
Soft:
TikTok, Chromium, Telegram, Photoshop, Ubuntu, Microsoft Defender, KeePass, Bitwarden, 1Password, LastPass, have more...
Algorithms:
aes-cbc, fnv-1a, aes, base64, sha256, murmur3, xor
Win API:
NtQueryObject, NtCreateDebugObject, Getlastinputinfo, GetForegroundWindow, NtGlobalFlag, ShellExecuteExW, VirtualAlloc, NtMapViewOfSection, NtCreateSection, NtCreateThreadEx, have more...
Languages:
python, visual_basic, php, powershell, javascript
Platforms:
x64, x86
03-03-2026
Analysis of AuraStealer, an emerging infostealer
https://www.intrinsec.com/wp-content/uploads/2026/02/TLP-CLEAR-AuraStealer-EN.pdf
Report completeness: High
Threats:
Aurastealer
Clickfix_technique
Lumma_stealer
Rhadamanthys
Vidar_stealer
Stealc
Antidebugging_technique
Anydesk_tool
Donut
Salatstealer
Njrat
Rusty_stealer
Maskgram
Dcrat
Quasar_rat
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique
Sandbox_evasion_technique
Victims:
Consumers, General users
Industry:
E-commerce
Geo:
Malaysian, Russian
TTPs:
Tactics: 7
Technics: 39
IOCs:
Url: 7
IP: 4
Domain: 35
Hash: 282
File: 9
Soft:
TikTok, Chromium, Telegram, Photoshop, Ubuntu, Microsoft Defender, KeePass, Bitwarden, 1Password, LastPass, have more...
Algorithms:
aes-cbc, fnv-1a, aes, base64, sha256, murmur3, xor
Win API:
NtQueryObject, NtCreateDebugObject, Getlastinputinfo, GetForegroundWindow, NtGlobalFlag, ShellExecuteExW, VirtualAlloc, NtMapViewOfSection, NtCreateSection, NtCreateThreadEx, have more...
Languages:
python, visual_basic, php, powershell, javascript
Platforms:
x64, x86