#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer, стиллер информации, связанный с русскоязычными разработчиками, появился в июле 2025 года и активно конкурирует с вредоносное ПО, таким как Rhadamantys и Vidar. Эта техническая угроза демонстрирует сложные возможности сбора данных из более чем 110 браузеров и 70 приложений, скрытно извлекая конфиденциальную информацию при использовании передовых методов уклонения, включая зашифрованные AES командные сообщения. Его методы развертывания используют социальную инженерию и process Injection, чтобы избежать обнаружения, ориентируясь на хранилища учетных данных и обходя многофакторную аутентификацию.
-----

AuraStealer - это недавно появившийся стиллер информации, атрибутирован с группой русскоязычных разработчиков, набирающий популярность в сфере киберпреступность с момента своего появления на хакерских форумах в июле 2025 года. Это вредоносное ПО было связано с многочисленными кампаниями и, как сообщается, напрямую конкурирует с существующими угрозами, такими как Rhadamantys и Vidar. Вредоносное ПО использует обширную инфраструктуру командования и контроля (C2), состоящую из 48 доменов, недавно перенесенную с .ДЕЛАЙТЕ покупки в доменах верхнего уровня .CFD (TLD), которые более удобны для отслеживания исследователями безопасности.

Вредоносное ПО обладает сложными возможностями, позволяющими ему собирать конфиденциальные данные из более чем 110 браузеров и 70 приложений, включая криптовалютные кошельки и токены многофакторной аутентификации (2FA). Сбор данных осуществляется скрытно; например, он извлекает файлы cookie из браузеров Chromium без завершения процессов, таким образом гарантируя, что файлы cookie остаются нетронутыми. Вредоносное ПО предназначено для уклонения от обнаружения с использованием нескольких сложных методов обфускации, включая обфускацию потока управления и Использование ключей на основе окружения для предотвращения выполнения в распознанных изолированных средах.

Технические аналитики подробно описали его функциональность, которая включает в себя использование шеллкода для расшифровки и извлечения данных из приложений, особенно ориентированных на Менеджеры паролей и другие хранилища учетных данных. Он использует интерфейсы командной строки, в частности, через PowerShell, чтобы разрешить действия пользователя, которые облегчают вектор атаки вредоносное ПО. Методы развертывания варьируются от вредоносных видеороликов TikTok, вводящих пользователей в заблуждение и заставляющих их выполнять вредоносные команды, до использования существующих законных процессов для незаметного внедрения.

Связь C2 шифруется с использованием AES-CBC, что добавляет уровень скрытности, и вся эксфильтрация данных направляется по протоколам HTTP (S), чтобы избежать обнаружения. Параметры конфигурации, включая хосты C2, также зашифрованы с помощью AES, что затрудняет защитникам перехват и анализ сообщений. AuraStealer известен своей способностью собирать данные из приложений путем внедрения кода в существующие процессы, используя широкий спектр методов обход защиты, чтобы избежать обнаружения как с помощью статических, так и динамических методов анализа.

В дополнение к краже стандартных учетные данные и токены сеанса из приложений, AuraStealer демонстрирует растущую способность обходить многофакторную аутентификацию, получая доступ к конфиденциальным данным из приложений 2FA. Кроме того, вредоносное ПО демонстрирует расширенные проверки, подтверждающие, что оно запущено в реальных пользовательских средах, а не в виртуализированных или изолированных условиях, что свидетельствует о его намерениях эффективно действовать против реальных целей.

Ландшафт угроз, окружающий AuraStealer, развивается, и его разработчики постоянно совершенствуют его. Этот стиллер информации представляет собой значительную и растущую угрозу, особенно по мере того, как его пользовательская база расширяется, а его разработка продолжает продвигаться вперед, что указывает на постоянное присутствие в экосистеме киберпреступников.

#ParsedReport #CompletenessHigh
03-03-2026

Forbidden Hyena attacks with new remote access trojan BlackReaperRAT

https://bi.zone/expertise/blog/forbidden-hyena-atakuet-s-novym-troyanom-udalennogo-dostupa-blackreaperrat/

Report completeness: High

Actors/Campaigns:
Forbidden_hyena (motivation: hacktivism, financially_motivated)

Threats:
Blackreaperrat
Blackout_locker
Garble_tool
Sliver_c2_tool
Viper
Powerview_tool
Powersploit_tool
Anydesk_tool
Shadow_copies_delete_technique
Putty_tool
Proxychains_tool
Netcat_tool
Junk_code_technique
Procmon_tool
Credential_dumping_technique
Vssadmin_tool

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 29
Command: 7
IP: 4
Path: 10
Url: 14
Registry: 4
Hash: 25
Domain: 2

Soft:
Windows registry, Unix, winlogon, Windows Defender, Linux, msexchange, outlook, telegram, firefox, onenote, have more...

Algorithms:
zip, aes-128, aes-256

Win API:
PsMapExec, CreateProcessA, DuplicateTokenEx, SetThreadToken, GetTickCount, IsDebuggerPresent

Win Services:
WebClient, SecurityHealthService, WinDefend, WdNisSvc, WdFilter, WdBoot, MsSecFlt, wscsvc, MsMpEng, ocssd, have more...

Languages:
powershell, golang, visual_basic

Platforms:
x86

Links:
have more...
https://github.com/The-Viper-One/PsMapExec
https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1
https://github.com/haad/proxychains

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская группировка Forbidden Hyena проявила активность, внедрив новую Троянская программа для удаленного доступа BlackReaperRAT, наряду с обновленным вариантом программы-вымогателя Milkyway. BlackReaperRAT, поставляемый через файлы RAR, обменивается командами с каналом Телеграм и выполняет постоянные механизмы посредством изменений реестра и запланированных задач. Milkyway шифрует файлы с помощью AES-128, изменяет их расширения и использует передовые методы обхода, в то время как группа использует различные скрипты PowerShell и Bash, причем некоторые из них разработаны с использованием машинного обучения для улучшения запутывания.
-----

BI.ZONE Threat Intelligence обнаружила значительную активность со стороны Forbidden Hyena преступная хакерская группировка в конце 2025 - начале 2026 года, в результате чего была представлена новая Троянская программа для удаленного доступа (RAT) под названием BlackReaperRAT и модифицированная версия программы-вымогателя Blackout Locker, которая теперь переименована в Milkyway. BlackReaperRAT распространяется с помощью RAR-файлов, содержащих пакетный скрипт (1.bat), предназначенный для выполнения вредоносного скрипта VBS (1.vbs), который впоследствии загружает RAT и вводящий в заблуждение документ, чтобы отвлечь пользователей.

BlackReaperRAT реализован как запутанный скрипт VBS, который генерирует уникальный идентификатор BotID при выполнении, сохраняя его в каталоге данных пользовательского приложения. Надежно встроены механизмы закрепление; он использует изменения реестра для создания записей автозапуска, чтобы гарантировать, что он выполняется при запуске системы, и использует планировщик задач Windows для дополнительного закрепление, поскольку он регистрирует эти задачи с наивысшими привилегиями. RAT оснащен многогранной системой командования и контроля, которая взаимодействует по протоколу HTTPS с каналом Телеграм для получения команд и обратной отправки системной информации, включая имена пользователей и временные метки.

Как BlackReaperRAT, так и программа-вымогатель Milkyway используют сложные методы уклонения. Milkyway известен своими возможностями шифрования, применяя AES-128 к файлам и переименовывая их с отличительным знаком .расширение млечного пути. Этот вариант программы-вымогателя оптимизирует эффективность своей работы за счет рекурсивного сканирования томов хранилища в поисках файлов для шифрования и, как было замечено, отключает ключевые Служба Windows, чтобы предотвратить восстановление и противостоять обнаружению решениями безопасности.

Группа Forbidden Hyena использует набор передовых инструментов, включая различные скрипты PowerShell и Bash для проникновения и тактики постэксплуатации. Некоторые скрипты, по-видимому, разработаны или модифицированы с использованием методов машинного обучения, что усиливает маскировку от обнаружения. Известные скрипты включают в себя сценарии для извлечения конфиденциальных данных из файлов базы данных безопасности, установки дополнительных ПО для удаленного доступа, таких как AnyDesk для долгосрочного доступа, и создания новых учетных записей пользователей с правами администратора.

#technique

Hooked on Linux: Rootkit Taxonomy, Hooking Techniques and Tradecraft

https://www.elastic.co/security-labs/linux-rootkits-1-hooked-on-linux

#ParsedReport #CompletenessHigh
04-03-2026

RedAlert Trojan Campaign: Fake Emergency Alert App Spread via SMS Spoofing Israeli Home Front Command

https://www.cloudsek.com/blog/redalert-trojan-campaign-fake-emergency-alert-app-spread-via-sms-spoofing-israeli-home-front-command

Report completeness: High

Threats:
Redalert
Smishing_technique
Cloaking_technique

Victims:
Civilians, Government, Military

Industry:
Financial, Government, Military, Critical_infrastructure

Geo:
Israeli, Israel, Iranian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1409, T1412, T1430, T1444, T1446, T1475

IOCs:
File: 4
IP: 5
Domain: 1
Url: 5
Hash: 1

Soft:
Google Play, Android

Algorithms:
sha256, md5, base64

Functions:
getInstallerPackageName

Win API:
getPackageInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянская кампания RedAlert использует израильско-иранский конфликт, распространяя троянское приложение Home Front Command с помощью SMS-фишинг. Вредоносное ПО использует передовые технологии, такие как динамические перехваты прокси-серверов и многоэтапную цепочку заражения, чтобы обойти меры безопасности Android и сохранить функциональность без обнаружения. После установки он агрессивно собирает конфиденциальные пользовательские данные и может обходить двухфакторную аутентификацию, что вызывает серьезные стратегические опасения в условиях сохраняющейся напряженности.
-----

Троянская кампания RedAlert подчеркивает значительную киберугроза на фоне возросшей напряженности в израильско-иранском конфликте. Эта кампания использует актуальность оповещений о ракетных атаках в режиме реального времени, распространяя троянскую версию законного приложения Home Front Command с помощью SMS-фишинг (smishing). Жертв обманом заставляют загружать этот вредоносный APK-файл, который маскирует свою истинную функциональность за кажущимся аутентичным интерфейсом оповещения. Этот метод обходит Google Play Store, таким образом избегая типичных проверок безопасности.

Вредоносное ПО использует сложные методы для обеспечения того, чтобы его работа оставалась незамеченной. Используя динамические перехватчики прокси-серверов, он подделал сертификат подписи оригинального приложения от 2014 года, чтобы обойти проверки целостности Android и меры безопасности. Вредоносное ПО состоит из многоэтапной цепочки заражения: начальный загрузчик (основной APK-файл) скрывает вредоносную полезную нагрузку, используя отражение для обхода проверок на подделку; промежуточная полезная нагрузка извлекает более вредоносные компоненты; а основная полезная нагрузка, после выполнения, устанавливает соединение с подконтрольной злоумышленнику системой управления (C2) инфраструктура.

С точки зрения функциональности троянец идеально имитирует законное приложение, сохраняя внешний вид, в то время как он агрессивно запрашивает у жертв разрешения с высоким уровнем риска. Получив разрешение, он запускает процедуры сбора данных, активно собирая данные GPS, входящие SMS-сообщения и списки контактов. Эта информация передается обратно на серверы C2 с постоянными HTTP-запросами POST, обеспечивая постоянный поток разведывательных данных с зараженных устройств. Примечательно, что вредоносное ПО продемонстрировало способность обходить двухфакторную аутентификацию путем перехвата SMS-сообщений, тем самым создавая как стратегические, так и физические угрозы безопасности.

Во время продолжающегося конфликта эта кампания обладает уникальными уязвимостями, поскольку отслеживание местоположения в режиме реального времени может позволить противникам точно определять укрытия гражданских лиц, отслеживать перемещения и выявлять потенциальные важные цели. Этот сбор данных служит не только военным целям, но и ведет психологическую войну, потенциально манипулируя SMS-сообщениями с целью создания беспорядков среди гражданского населения.

Смягчение угрозы, исходящей от этого вредоносное ПО, требует комплексных действий. Немедленные меры включают в себя изоляцию устройств, подвергшихся компрометация, от сетей, отмену административных привилегий и выполнение заводских настроек для устранения вредоносное ПО. В целях долгосрочной профилактики организациям настоятельно рекомендуется внедрять решения для управления мобильными устройствами (MDM), которые ограничивают установку приложений в Google Play Store, наряду со строгими проверками приложений, запрашивающих чрезмерные разрешения. Информирование персонала о рисках, связанных с кампаниями smishing в военное время, имеет жизненно важное значение, особенно подчеркивая, что законные правительственные приложения никогда не будут запрашивать доступ к конфиденциальным персональным данным, таким как SMS или контакты.

#ParsedReport #CompletenessLow
03-03-2026

Malicious Packagist Packages Disguised as Laravel Utilities Deploy Encrypted RAT

https://socket.dev/blog/malicious-packagist-packages-disguised-as-laravel-utilities

Report completeness: Low

Actors/Campaigns:
Nhattuanbl

Victims:
Laravel applications, Open source software ecosystem

TTPs:
Tactics: 4
Technics: 7

IOCs:
Domain: 2
File: 3
Hash: 1

Soft:
Laravel, Outlook, Unix, Linux, Windows registry, macOS

Algorithms:
aes-128-ctr, base64, sha256

Functions:
BsYhQ, TB0sT, register, class_exists, stream_socket_client, imagegrabscreen

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В репозитории Packagist были обнаружены вредоносные пакеты, имитирующие утилиты Laravel, распространяющие зашифрованную Троянская программа для удаленного доступа (RAT) злоумышленник nhattuanbl. RAT подключается к серверу управление, облегчая разведка системы и удаленный доступ, оставаясь при этом незаметным. Он использует функциональность Composer для выполнения своей полезной нагрузки без взаимодействия с пользователем, используя зависимости для маскировки своей установки, и представляет постоянную угрозу для различных операционных систем, обладая возможностями для эксфильтрации конфиденциальных данных.
-----

Вредоносные пакеты, имитирующие утилиты Laravel, были идентифицированы как распространяющие зашифрованную Троянская программа удаленного доступа (RAT) через репозиторий Packagist. Злоумышленник nhattuanbl, связанный с электронным письмом nhattuanbl@gmail.com , создал по меньшей мере три пакета: nhattuanbl/lara-helper и nhattuanbl/simple-queue, оба из которых включают идентичную полезную нагрузку RAT в src/helper.php файл. Пакет nhattuanbl/lara-swagger, хотя и лишен вредоносного кода, содержит зависимость, которая вызывает установку RAT всякий раз, когда он добавляется в проект, что делает его переносчиком вредоносное ПО.

RAT включает в себя функции, которые позволяют ему подключаться к серверу управление (C2), расположенному по адресу helper.leuleu.net: 2096. После выполнения RAT инициирует разведка системы и отправляет эти данные обратно в C2. Он работает в фоновом режиме, сохраняя скрытность, ожидая команд от оператора, который получает полный удаленный доступ к узлу компрометация.

В процессе установки используются функциональные возможности Composer. В "lara-helper" зарегистрирован поставщик услуг Laravel, который выполняет полезную нагрузку во время загрузки приложения. В "простой очереди" полезная нагрузка запускается сразу после загрузки пакета, запускается обычными функциями автозагрузки. Это позволяет RAT работать без какого-либо прямого взаимодействия с пользователем.

Связь C2 использует необработанный TCP, используя PHP stream_socket_client() с механизмами повторных попыток каждые 15 секунд в случае сбоя. RAT извлекает уникальный идентификатор компьютера и может выполнять различные команды, отправленные в формате JSON из C2. Поддерживаемые команды включают выполнение команд shell или PowerShell, захват скриншотов и чтение/запись файлов в системе компрометация. RAT устойчив к общим ограничениям безопасности PHP, проверяя доступные методы выполнения команд на основе настроек disable_functions в PHP.

Одним из примечательных аспектов является зависимость, созданная "lara-swagger", которая эффективно маскирует установку RAT, подключая "lara-helper` без предупреждения. Эта стратегия позволяет избежать проверки, сосредоточенной исключительно на непосредственно устанавливаемом пакете.

Угроза, исходящая от этих пакетов, распространяется на различные операционные системы, включая Windows, macOS и Linux. После установки любое приложение Laravel, использующее пакеты компрометация, невольно предоставляет злоумышленник постоянный доступ с возможностью беспрепятственной эксфильтрации конфиденциальных данных, таких как учетные данные базы данных и ключи API. Хотя сервер C2 не отвечал на запросы на момент составления отчета, постоянный характер RAT означает, что он остается угрозой, постоянно пытаясь восстановить контакт с потенциальными альтернативными адресами C2. Атака согласуется с несколькими методами, каталогизированными в фреймворк MITRE ATT&CK, подчеркивая риски, связанные с уязвимостями supply chain программного обеспечения.

#ParsedReport #CompletenessLow
04-03-2026

Hacktivist campaigns increase as United States, Iran, and Israel conflict intensifies

https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict-intensifies

Report completeness: Low

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism)
Handala (motivation: hacktivism)
Cyber_toufan (motivation: hacktivism)
Cyb3r_drag0nz (motivation: hacktivism)

Threats:
Cobalt_mystique
Bqtlock
Password_spray_technique

Victims:
Israeli government, Israeli military, Israeli critical infrastructure, Israeli organizations, United states organizations, Gulf cooperation council states organizations, Media outlets, Critical infrastructure organizations, Iranian organizations, Iranian citizens, have more...

Industry:
Petroleum, Critical_infrastructure, Military, Government

Geo:
Middle east, Iran, Israeli, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1068, T1078, T1110.003, T1190, T1486, T1491, T1491.001, T1498, T1499, T1565.003, have more...

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
После военных операций США и Израиля против иранских объектов 28 февраля 2026 года произошел всплеск киберактивности со стороны иранских групп хактивистов, особенно через Телеграм и X. Среди них выделяется команда Handala Hack, связанная с COBALT MYSTIQUE, которая расширила свои коммуникации и угрожает израильской инфраструктуре. Другие группировки, включая APTIran и BaqiyatLock, поощряют нападения на израильские объекты, подчеркивая рост совместных усилий по применению тактики низкой сложности на фоне сохраняющейся региональной напряженности.
-----

После военных операций против иранских объектов 28 февраля 2026 года наблюдается рост активности иранских хактивистов. Проиранские хактивисты в основном осуществляют дефейс веб-сайтов, DDoS-атаки и doxxing, а не сложные атаки. Команда Handala Hack, связанная с группой COBALT MYSTIQUE, активизировала свою деятельность, распространяя угрозы и заявляя об атаках на израильскую инфраструктуру. Они создали портал "RedWanted", на котором перечислялись цели, поддерживающие Израиль. Аптиран поощряет проиранских хакеров к проведению кибератак, продвигая предполагаемые утечки информации об израильской инфраструктуре в Телеграм. Другие группы, такие как Cyber Toufan и Cyber Support Front, используют дезинформацию и тактику низкого уровня. Группа вымогателей BaqiyatLock поощряет хакерские атаки на израильские объекты, что указывает на сотрудничество между иранскими группировками. Произраильские группировки, такие как Troll Hacker Team, противодействуют этой деятельности. Обостряющаяся ситуация увеличивает риски для организаций США по мере роста региональной напряженности. Организациям в США и на Ближнем Востоке рекомендуется усилить меры безопасности против фишинг, кражи учетных данных и уделять приоритетное внимание исправлению известных уязвимостей. Рекомендуются базовые методы обеспечения Кибербезопасность и обзоры планов обеспечения непрерывности бизнеса на предмет угроз со стороны программ-вымогателей.

#ParsedReport #CompletenessHigh
03-03-2026

Silver Dragon Targets Organizations in Southeast Asia and Europe

https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/

Report completeness: High

Actors/Campaigns:
Silver_dragon
Winnti

Threats:
Cobalt_strike_tool
Silverscreen
Sshcmd_tool
Geardoor
Dns_tunneling_technique
Bamboloader
Toolshell_vuln
Monikerloader
Junk_code_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
Government

Industry:
Government

Geo:
China, Chinese, Uzbekistan, Italian, Asia

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1005, T1021.002, T1027, T1027.013, T1036, T1036.004, T1041, T1053.005, T1055, T1059.001, have more...

IOCs:
Path: 18
File: 16
Registry: 3
Domain: 14
IP: 1
Command: 3
Hash: 31

Soft:
NET Framework, Windows Registry, Windows service, Windows Update Service, Windows shell

Algorithms:
md5, des, xor, base64, lznt1, sha256, gzip, rc4

Win API:
RtlDecompressBuffer

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Dragon - это APT-группировка, связанная с APT41, которая с середины 2024 года занимается правительственными организациями в Юго-Восточной Азии и Европе. Они используют фишинг-кампании и используют общедоступные серверы для первоначальный доступ, используя такие методы, как перехват Служба Windows для закрепление. Их тактика включает в себя развертывание бэкдора GearDoor через Google Диск для скрытой связи управление, использование Cobalt Strike Beacons в качестве конечной полезной нагрузки и использование сложных методов, таких как DNS tunneling и DLL hijacking, чтобы избежать обнаружения.
-----

Silver Dragon - это APT-группировка, связанная с китайским нексусом APT41, активно нацеленная на организации в Юго-Восточной Азии и Европе, особенно в правительственных секторах. Эта группа действует с середины 2024 года и использует различные средства для первоначальный доступ, преимущественно используя общедоступные интернет-серверы и проводя кампании фишинг-рассылки с вредоносными вложениями.

Как только доступ получен, Silver Dragon использует особые методы закрепление, в основном перехватывая законные Служба Windows. Этот метод позволяет их вредоносным процессам встраиваться в обычные системные операции, затрудняя обнаружение. Они используют различные инструменты, в том числе бэкдор GearDoor, который использует Google Диск в качестве канала управление (C2) для скрытой связи. Кроме того, они используют пользовательские инструменты, такие как SSHcmd для удаленного доступа и SliverScreen для мониторинга активности на экране путем периодического создания скриншотов.

Цепочки заражения обычно включают в себя развертывание Cobalt Strike Beacons, часто в качестве конечной полезной нагрузки. Две выявленные основные цепочки включают захват домена приложения и развертывание служебной библиотеки DLL, оба из которых обычно выполняются с помощью сжатых RAR-архивов, содержащих сценарии установки. Метод перехвата домена приложения использует преимущества законного процесса Windows (dfsvc.exe ) путем замены последовательности его выполнения вредоносным кодом с помощью сценария пакетной установки и серии вредоносных библиотек DLL. Такой подход гарантирует, что атака сохранится после перезагрузки системы.

Метод Service DLL использует сильно запутанный загрузчик с именем BamboLoader, который регистрирует службу, использующую законную фоновую службу. Этот загрузчик расшифровывает и выполняет полезные нагрузки Cobalt Strike, манипулируя процессами Windows. Фишинг-кампании также играют решающую роль; в них используются защищенные файлы LNK, которые содержат вредоносную полезную нагрузку, встроенную в их структуру. При запуске эти файлы выполняют команды, которые еще больше облегчают установку и закрепление механизма вредоносное ПО.

Silver Dragon использует сложные технологии, такие как DNS tunneling для обмена данными управление и уникальные методы запутывания, позволяющие избежать обнаружения. Примечательно, что они продемонстрировали гибкость в своей деятельности, используя относительно надежную платформу для связи C2 через Google Диск, продемонстрировав продвинутую адаптацию к традиционным защитным мерам. GearDoor работает как многофункциональный бэкдор, который управляет выполнением задач с помощью определенных типов файлов на Google Диске, что позволяет избежать прямого обнаружения, одновременно облегчая эксфильтрация и дальнейшие операционные команды.

Громкие нападки этой группировки и эволюционирующая тактика подчеркивают изощренность современных киберугроза. Их методология показывает зависимость от пользовательских инструментов и техник, которые не только обеспечивают скрытность, но и обеспечивают постоянную оперативную гибкость, что делает Silver Dragon значимым игроком на современном ландшафте угроз.

#ParsedReport #CompletenessLow
04-03-2026

Exposing a Russian Campaign Targeting Ukraine Using New Malware Duo: BadPaw and MeowMeow

https://www.clearskysec.com/russian-campaign-targeting-ukraine-badpaw-and-meowmeow/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Badpaw
Meowmeow
Dotnet_reactor_tool
Procmon_tool

Victims:
Ukrainian entities

Geo:
Ukraine, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1105, T1204.002, T1480.001, T1497.001, T1547, T1566.002, T1622, have more...

IOCs:
File: 1

Soft:
NET Reactor

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 1