#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года серия фишинг-кампаний, связанных с неустановленным злоумышленник, использовала приманки, связанные с рабочим местом, и мошеннические цифровые подписи программного обеспечения TrustConnect для доставки вредоносных исполняемых файлов, таких как msteams.exe и adobereader.exe . В результате атаки пользователи получали электронные письма с предложением загрузить поддельное программное обеспечение, невольно устанавливая средства удаленного мониторинга, включая бэкдор ScreenConnect, который устанавливал закрепление путем регистрации в качестве Служба Windows. Актор использовал несколько фреймворк RMM для обеспечения избыточности, демонстрируя сложный подход к поддержанию скрытого доступа с различными показателями компрометация, наблюдаемыми в средах компрометация.
-----

В феврале 2026 года эксперты Microsoft Defender раскрыли серию фишинг-кампаний, связанных с неустановленным злоумышленник, который использовал приманки, связанные с рабочим местом, и цифровые подписи от TrustConnect Software PTY LTD для доставки вредоносных исполняемых файлов. Злоумышленник использовал изощренную тактику, создавая электронные письма, в которых пользователям предлагалось загружать поддельное программное обеспечение, замаскированное под законные приложения, в том числе msteams.exe , zoomworkspace.clientsetup.exe , и adobereader.exe . Использование сертификатов расширенной проверки (EV) для подписи этих вредоносных двоичных файлов повысило уровень доверия, что облегчило взаимодействие пользователей и запуск вредоносное ПО.

Цепочка атак включала пользователей, получавших фишинг-электронные письма, которые содержали, казалось бы, подлинные PDF-файлы и приглашения на собрания, побуждающие к срочным действиям, таким как загрузка "обновлений" для Adobe Acrobat или Microsoft Teams. Вместо подлинного программного обеспечения загруженные файлы на самом деле содержали инструменты удаленного мониторинга и управления (RMM), причем основным установленным бэкдор был ScreenConnect, а также дополнительное программное обеспечение RMM, такое как Tactical RMM и MeshAgent. Злоумышленник обеспечил закрепление, внедрив эти бэкдор, которые позволяли осуществлять перемещение внутри компании и поддерживать доступ в средах компрометация.

При запуске этих вредоносных приложений они устанавливали постоянные службы в операционной системе Windows. Примечательно, что бэкдор ScreenConnect создал вторую свою копию в каталоге Program Files и зарегистрировал ее как Служба Windows, что облегчило его скрытую работу во время запуска системы. После установки бэкдор выполнял закодированные команды PowerShell, предназначенные для получения дополнительной полезной нагрузки, иллюстрируя методический подход к поддержанию контроля над зараженными системами.

Кроме того, анализ показал, что стратегия злоумышленник включала использование нескольких фреймворк RMM для создания избыточности, повышения их операционных возможностей и устойчивости к обнаружению или удалению одного метода доступа. Индикаторами этой широко распространенной компрометация были записи в реестре и закодированные параметры связи, которые предполагали наличие надежной инфраструктуры для удаленного доступа. Примечательно, что развернутые исполняемые файлы содержали отозванные цифровые подписи и использовали неподписанные установщики, что характерно для вредоносных действий, нацеленных на организационную среду.

#ParsedReport #CompletenessLow
05-03-2026

Malicious AI Assistant Extensions Harvest LLM Chat Histories

https://www.microsoft.com/en-us/security/blog/2026/03/05/malicious-ai-assistant-extensions-harvest-llm-chat-histories/

Report completeness: Low

Threats:
Rossetaph
Chatgptstealer

Victims:
Enterprise tenants, Knowledge workers, Ai users

Industry:
E-commerce

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 4
File: 1

Soft:
Microsoft Defender, ChatGPT, DeepSeek, Chromium, Google Chrome, Microsoft Edge, Chrome, Microsoft Defender for Endpoint, laude So, eepSeek &, have more...

Algorithms:
sha256, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft Defender обнаружил вредоносные расширения браузера на основе Chromium, имитирующие легитимные инструменты ИИ, такие как ChatGPT, с почти 900,000 установками, которые в основном нацелены на более чем 20,000 корпоративных сред. Эти расширения собирают чувствительные данные пользователей, включая историю браузинга и журналы взаимодействия с ИИ, используя знакомые визуальные эффекты для получения разрешений пользователей и скрытной работы в фоновом режиме. Они постоянно эксфильтруют данные на внешние серверы и спроектированы так, чтобы сохраняться через перезагрузки браузера и обновления, минимизируя обнаружение.
-----

Недавние расследования Microsoft Defender выявили вредоносные расширения браузера, предназначенные для имитации легитимных инструментов AI-помощников, таких как ChatGPT и DeepSeek. Эти расширения на базе Chromium собрали почти 900 000 установок и особенно активны в более чем 20 000 корпоративных средах, где они собирают чувствительные пользовательские взаимодействия и данные о просмотре. Основной риск, который представляют эти расширения, включает несанкционированный сбор полных URL-адресов и журналов чата AI, что потенциально может привести к утечке конфиденциальной информации организаций.

Атакующие использовали растущую популярность интеграций ИИ и браузеров, нацеливаясь непосредственно на конечных пользователей с помощью расширений, которые казались безвредными и привычными. Они использовали знания о легитимных продуктах, таких как AITOPIA, чтобы создать визуальные элементы и подсказки, которые хорошо соответствовали ожиданиям пользователей, эффективно снижая барьеры для установки, убеждая пользователей предоставить широкие разрешения на доступ к данным.

После установки вредоносные расширения работали бесперебойно, используя алгоритмы для наблюдения и сбора данных о взаимодействиях пользователей без необходимости дальнейших действий со стороны пользователя. Эти расширения использовали фреймворки расширений Chrome и Edge для перехвата данных о веб-серфинге в фоновом режиме, обеспечивая мониторинг всех посещённых сайтов и взаимодействий с интерфейсами AI-чатов. Их дизайн позволял им повторно инициализироваться при запуске браузера и сохраняться без необходимости повышения привилегий.

Расширения постоянно эксфильтровали данные на внешнюю инфраструктуру командования и управления. Они достигали этого, используя легковесные методы для уменьшения цифрового следа и артефактов на диске, которые обычно оставляет вредоносное ПО, эффективно скрывая свое присутствие от традиционных методов обнаружения. Более того, сбор телеметрии начинался автоматически и был спроектирован так, чтобы повторно включаться после обновлений, обеспечивая непрерывное приобретение данных — даже после потенциального отказа пользователя.

Возможности Microsoft Defender включают в себя обнаружение этих вредоносных расширений и мониторинг их активности. Их системы обнаружения настроены на идентификацию попыток загрузить подозрительные расширения браузера, тем самым подчеркивая проактивный подход к защите от таких угроз. Обнаружения, связанные с этой кампанией, включают в себя специфические идентификаторы известных вредоносных расширений и механизмы для блокировки командно-управляющих соединений.

Последствия этой злонамеренной активности значительны, создавая риски утечек конфиденциальной информации и постоянного несанкционированного наблюдения за чувствительными онлайн-взаимодействиями. Это подчеркивает необходимость для организаций внедрять строгие меры безопасности, особенно в средах, которые все больше зависят от приложений на базе ИИ, в то время как пользователи должны быть обучены рискам, связанным с установкой сторонних расширений.

#ParsedReport #CompletenessLow
05-03-2026

Disruption targets Tycoon 2FA, popular AiTM PhaaS

https://www.proofpoint.com/us/blog/threat-insight/disruption-targets-tycoon-2fa-popular-aitm-phaas

Report completeness: Low

Threats:
Tycoon_2fa
Aitm_technique

Victims:
Schools, Hospitals, Nonprofits, Public institutions, Legal, Real estate, Healthcare, Government, Education, Construction, have more...

Industry:
Entertainment, Government, Education, Aerospace, Energy, Healthcare

Geo:
Portugal, Poland, Lithuania, United kingdom, New york, Spain, America, Germany, Latvia, Canada, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1539, T1556.006, T1566.002, T1583.001, T1583.004, T1586.002, T1646

Soft:
Gmail, Telegram, Azure Active Directory

Wallets:
coinbase

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA — это платформа фишинга как услуги, позволяющая проводить атаки фишинга «человек посередине», что дает возможность злоумышленникам обходить многофакторную аутентификацию и собирать учетные данные для таких сервисов, как Microsoft 365 и Gmail. В 2026 году было зафиксировано более трех миллионов фишинговых сообщений, связанных с этой платформой, значительная часть из которых привела к захвату учетных записей, особенно в различных секторах. Инфраструктура была недавно нарушена благодаря скоординированным усилиям, в ходе которых было конфисковано 330 связанных доменов и нацелились на её создателя, но сервис продолжает развиваться и усугублять риски для многочисленных организаций по всему миру.
-----

Tycoon 2FA является значительной платформой для фишинга как услуги (PhaaS), которая в основном используется для проведения атак фишинга противника посередине (AiTM). Эта платформа позволяет злоумышленникам собирать имена пользователей, пароли и куки сеансов для таких сервисов, как Microsoft 365 и Gmail, обходя многофакторную аутентификацию (MFA) и приводя к полной компрометации аккаунта (ATO). Недавние данные показывают, что 99% организаций столкнулись с попытками компрометации аккаунтов в 2025 году, из которых 67% закончились успешными компрометациями, многие из которых касались аккаунтов с включенной MFA. В феврале 2026 года было зарегистрировано более трех миллионов фишинговых сообщений, связанных с Tycoon 2FA, что указывает на его повсеместную угрозу.

В начале марта 2026 года произошел значительный сбой в инфраструктуре Tycoon 2FA из-за согласованных усилий смешанной группы государственных и частных организаций, включая Proofpoint, Microsoft и Europol. Эта операция включала изъятие 330 доменов, связанных с Tycoon 2FA, и иск против его предполагаемого создателя, Саада Фриди. Ожидается, что это юридическое действие приведет к серьезным последствиям для операционных возможностей Tycoon 2FA и может препятствовать деятельности угрозы, использующей этот сервис.

Tycoon 2FA использует уникальный механизм, позволяющий злоумышленникам контролировать фишинговые страницы, что позволяет им перехватывать и пересылать учетные данные жертв в легитимные сервисы, одновременно перенаправляя любые запросы MFA к злоумышленникам. Эта техника усложняет обнаружение и предотвращение. Сервис рекламируется на платформах, таких как Telegram, и предлагает настраиваемый набор инструментов для фишинга для различных участников угроз. Киберпреступники также используют тактики, такие как "ATO Jumping", в которых они используют скомпрометированные учетные записи для распространения фишинговых ссылок Tycoon 2FA, увеличивая вероятность дальнейших захватов учетных записей.

Кампании платформы нацелены на разнообразные сектора, включая здравоохранение, юридическую сферу, образование и технологии, оказывая влияние на почти 100,000 организаций по всему миру. В результате успешных компрометаций организации рискуют серьезными последствиями, включая финансовые потери, ущерб репутации и возможность последующих атак, таких как программное обеспечение для вымогательства.

#ParsedReport #CompletenessHigh
05-03-2026

UAT-9244 targets South American telecommunication providers with three new malware implants

https://blog.talosintelligence.com/uat-9244/

Report completeness: High

Actors/Campaigns:
Ghostemperor
Pirate_panda

Threats:
Terndoor
Crowdoor
Peertime
Bruteentry
Relay_boxes_technique
Dll_sideloading_technique
Sparrowdoor

Victims:
Telecommunications providers, Critical telecommunications infrastructure

Industry:
Telco

Geo:
China, Chinese, American, America

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055, T1057, T1060, T1102, T1105, T1110, have more...

IOCs:
File: 5
Registry: 1
IP: 24
Hash: 43
Domain: 3

Soft:
BitTorrent, windows service, docker, BusyBox, Linux

Algorithms:
aes

Win API:
decompress

Languages:
golang, rust

Platforms:
arm, mips

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-9244 — это APT, связанная с Китаем, которая нацелена на телекоммуникационную инфраструктуру в Южной Америке и ассоциирована с группой Famous Sparrow. Она представила три типа вредоносного ПО: TernDoor, бэкдор для Windows, использующий побочное связывание DLL и уникальные коды команд; PeerTime, ELF-бэкдор, который общается через BitTorrent и разработан для нескольких архитектур, включая ARM; и BruteEntry, инструмент грубой силы на GoLang, нацеленный на сетевые устройства для доступа к SSH и другим серверам, сообщая обратно на свой C2 сервер.
-----

UAT-9244 — это операция с Китаем, представляющая собой группу продвинутых постоянных угроз (APT), известную своей нацеленной атакой на критическую телекоммуникационную инфраструктуру в Южной Америке с 2024 года. Эта группа была ассоциирована с ранее идентифицированным актером Famous Sparrow и представила три основных вредоносных импланта: TernDoor, PeerTime и BruteEntry.

TernDoor — это вариант бекдора известного вредоносного ПО CrowDoor, в первую очередь развертываемый на системах Windows. Он использует многоступенчатый процесс заражения, осуществляя боковую загрузку DLL. Это включает в себя безобидный исполняемый файл "wsprint.exe", который загружает вредоносную DLL ("BugSplatRc64.dll"), расшифровывает файл данных и выполняет его в памяти. TernDoor содержит уникальные коды команд и использует встроенный драйвер Windows (WSPrint.sys) для управления процессами, такими как приостановка, возобновление и завершение процессов. Для поддержания активности TernDoor может использовать запланированные задачи или изменять ключ запуска реестра. Он поддерживает командную строку для удаления, чтобы удалить себя с зараженных систем.

PeerTime — это бекдор на основе ELF, который использует протокол BitTorrent для связи и выполнения вредоносных задач. Он разработан для нескольких архитектур, включая ARM и MIPS, что указывает на его потенциальное использование против различных встраиваемых систем. PeerTime развертывается через shell-скрипт, который загружает как загрузчик, так и бинарный файл инструментатора. Инструментатор проверяет наличие Docker на скомпрометированных системах перед выполнением загрузчика PeerTime, который способен переименовывать свой процесс, чтобы избежать обнаружения.

BruteEntry служит инструментом для проведения атак методом перебора (brute force), в основном устанавливаемым на устройствах на границе сети. Он функционирует как операционная реле-коробка (ORB), пытаясь получить доступ к серверам SSH, PostgreSQL и Tomcat. Разработанный с использованием инструмента и демона, BruteEntry создан на GoLang и аутентифицируется с сервером C2 для получения задач. Он получает целевые IP-адреса из хаба C2 в формате JSON, который указывает задачи сканирования. После успешной попытки входа BruteEntry сообщает обратно на C2.

#ParsedReport #CompletenessMedium
04-03-2026

Major Cyber Attacks in February 2026: BQTLock, Thread-Hijack Phishing, and MFA Bypass Evolution

https://any.run/cybersecurity-blog/february-26-attacks/

Report completeness: Medium

Threats:
Thread-hijack_phishing_technique
Bqtlock
Greenblood
Moonrise_rat
Karsto
Evilproxy_tool
Process_injection_technique
Uac_bypass_technique
Remcos_rat
Supply_chain_technique
Aitm_technique
Typosquatting_technique
Sneaky_2fa_tool
Tycoon_2fa

Victims:
Businesses, Enterprises, C suite executives, Contractors, Middle east organizations

Industry:
Financial, Healthcare

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1003, T1016.001, T1041, T1055, T1056.001, T1059, T1070.004, T1090, T1105, T1113, have more...

IOCs:
File: 2
IP: 1
Hash: 1

Soft:
Linux, Android, Cloudflare Turnstile, Azure Blob

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года появились новые семейства программ-вымогателей GREENBLOOD и BQTLock, причем GREENBLOOD использует архитектуру на основе Go для быстрой шифровки файлов и самоз удаления для сокрытия следов, в то время как BQTLock применяет методы скрытности, такие как инъекция в процесс и обойти UAC для задержанного воздействия. Кроме того, новые RAT Moonrise и Karsto сосредоточены на скрытности и краже учетных данных, а тактические фишинговые методы развились, включая перехват потоков и продвинутые наборы, такие как Tycoon 2FA, способные обойти защиту MFA, что указывает на растущую сложность среди киберугроз.
-----

В феврале 2026 года киберугрозы претерпели значительные изменения с появлением новых программ-вымогателей и троянов удаленного доступа (RAT), а также усовершенствованного фишинга. Две примечательные семьи программ-вымогателей, GREENBLOOD и BQTLock, были выявлены за их разрушительные возможности. GREENBLOOD - это программ-вымогатель на основе Go, который быстро шифрует файлы, используя тактики самоуничтожения для сокрытия судебных следов, и угрожает утечкой данных через сайт TOR, что увеличивает потенциальное воздействие на бизнес. BQTLock действует скрытно, интегрируясь в доверенные процессы Windows, чтобы задержать видимый ущерб, тем самым усложняя раннее обнаружение. Он использует методы инъекции процессов, обход контроля учетных записей пользователей (UAC) и постоянство автозапуска для повышения привилегий перед запуском дальнейших атак, таких как кража учетных данных и захват экрана.

В этом месяце также было обнаружено два новых RAT: Moonrise и Karsto, которые уклонились от обнаружения во время анализа. Moonrise, характеризующийся архитектурой на основе Go, представляет собой серьезную угрозу благодаря скрытным операциям, нацеленным на сбор чувствительных учетных данных, токенов аутентификации и данных браузера. Его дизайн позволяет злоумышленникам поддерживать постоянную связь командного и контрольного центра без срабатывания тревог. В отличие от этого, Karsto отмечен своей модульной настройкой, которая позволяет противникам профилировать и картировать целевую организацию перед выполнением последующих атак, что еще раз подчеркивает развивающийся характер киберугроз.

Тактики фишинга также выросли в сложности, при этом фишинг через перехват потоков позволяет злоумышленникам вставлять вредоносные ссылки в текущие электронные переписки среди руководителей C-suite. Эта техника, использующая скомпрометированные учетные записи для маскировки под законных участников, повышает доверие к атаке и усложняет усилия по обнаружению. Инфраструктура фишинга все чаще размещается на авторитетных облачных платформах, таких как Microsoft Azure и Google Firebase, что делает традиционную веб-защиту неэффективной, так как эти URL-адреса часто кажутся надежными.

Кроме того, фишинг-кит Tycoon 2FA, созданный для обхода многофакторной аутентификации (MFA) путем захвата сессионных файлов cookie, быстро развивается, демонстрируя, что MFA все еще остается уязвимой для сложных методов противника. Это подчеркивает тревожную тенденцию, когда малоопытные злоумышленники получают доступ к инструментам фишинга высокого уровня, что создает больший риск для различных секторов.

#ParsedReport #CompletenessMedium
04-03-2026

Inside Tycoon2FA: How a leading AiTM phishing kit operated at scale

https://www.microsoft.com/en-us/security/blog/2026/03/04/inside-tycoon2fa-how-a-leading-aitm-phishing-kit-operated-at-scale/

Report completeness: Medium

Actors/Campaigns:
Storm-1747

Threats:
Tycoon_2fa
Aitm_technique
Caffeine_tool
Raccoono365_tool
Bec_technique

Victims:
Education, Healthcare, Finance, Non profit, Government, Enterprise accounts, Consumer accounts

Industry:
Education, Financial, Healthcare, Government

TTPs:
Tactics: 4
Technics: 0

IOCs:
Url: 10

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Outlook, Gmail, Telegram, docker, zendesk, Cloudflare Turnstile, PhantomJS, Burp Suite, have more...

Algorithms:
base64

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 2, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon2FA, платформа phishing-as-a-service, запущенная в августе 2023 года, связана с угрозой актером Storm-1747 и нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle для обхода многофакторной аутентификации. Платформа позволяет угрозам актерам воссоздавать страницы входа для крупных сервисов, перехватывая учетные данные пользователей и токены сеансов, одновременно применяя методы уклонения, такие как отпечатки браузеров и динамическое создание страниц. Захваченные данные эксфильтруются через зашифрованные каналы, подчеркивая опасную эволюцию тактик фишинга, которые используют уязвимости в процессах аутентификации.
-----

Tycoon2FA — это платформа phishing-as-a-service, запущенная в августе 2023 года, ассоциированная с угрозой Storm-1747. Она нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle (AiTM) для обхода многофакторной аутентификации (MFA). Платформа воссоздает страницы входа для таких сервисов, как Microsoft 365 и Gmail, чтобы перехватить учетные данные пользователей и токены сеанса в процессе аутентификации. Она захватывает куки сеанса и передает коды MFA через прокси-серверы, обеспечивая постоянный доступ к учетным записям, если сеансы не отменены. Tycoon2FA использует техники уклонения, такие как отпечатки браузера и динамическая генерация страниц, при этом применяя стандартные методы фишинга, такие как внедрение вредоносных ссылок.

Платформа работает через веб-административную панель для управления кампаниями, позволяя операторам выбирать из различных шаблонов для повышения легитимности фишинговых попыток. Она генерирует разнообразные вложения файлов и использует автоматизированные ротации подсайтов для уклонения от обнаружения. Набор адаптируется, используя изменяющуюся инфраструктуру и несколько доменов верхнего уровня (TLD) для уклонения.

Атака выполняется с использованием сложной логики перенаправления для сокрытия фишинговых URL-адресов. Фишинговые приманки часто имитируют бизнес-приложения с использованием созданных шаблонов электронных писем. Она включает в себя возможности противодействия анализу с проверками в реальном времени и сильно обфусцированным JavaScript. Захваченные учетные данные и токены сессий эксфильтруются через зашифрованные каналы, в первую очередь через ботов Telegram. После получения учетных данных злоумышленники могут изменять правила почтового ящика и запускать последующие фишинговые атаки. Tycoon2FA представляет собой значительную угрозу, эксплуатируя уязвимости в процессах аутентификации, указывая на эволюцию фишинговых техник в условиях ужесточения мер безопасности.

#ParsedReport #CompletenessLow
06-03-2026

Fake imToken Chrome Extension Steals Seed Phrases via Phishing Redirects

https://socket.dev/blog/fake-imtoken-chrome-extension-steals-seed-phrases-via-phishing-redirects

Report completeness: Low

Threats:
Homoglyph_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Imtoken users, Cryptocurrency wallet users

TTPs:
Tactics: 1
Technics: 9

IOCs:
Url: 10
Domain: 2
File: 7

Soft:
Chrome, Outlook

Wallets:
imtoken

Functions:
setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4