#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA — это платформа фишинга как услуги, позволяющая проводить атаки фишинга «человек посередине», что дает возможность злоумышленникам обходить многофакторную аутентификацию и собирать учетные данные для таких сервисов, как Microsoft 365 и Gmail. В 2026 году было зафиксировано более трех миллионов фишинговых сообщений, связанных с этой платформой, значительная часть из которых привела к захвату учетных записей, особенно в различных секторах. Инфраструктура была недавно нарушена благодаря скоординированным усилиям, в ходе которых было конфисковано 330 связанных доменов и нацелились на её создателя, но сервис продолжает развиваться и усугублять риски для многочисленных организаций по всему миру.
-----

Tycoon 2FA является значительной платформой для фишинга как услуги (PhaaS), которая в основном используется для проведения атак фишинга противника посередине (AiTM). Эта платформа позволяет злоумышленникам собирать имена пользователей, пароли и куки сеансов для таких сервисов, как Microsoft 365 и Gmail, обходя многофакторную аутентификацию (MFA) и приводя к полной компрометации аккаунта (ATO). Недавние данные показывают, что 99% организаций столкнулись с попытками компрометации аккаунтов в 2025 году, из которых 67% закончились успешными компрометациями, многие из которых касались аккаунтов с включенной MFA. В феврале 2026 года было зарегистрировано более трех миллионов фишинговых сообщений, связанных с Tycoon 2FA, что указывает на его повсеместную угрозу.

В начале марта 2026 года произошел значительный сбой в инфраструктуре Tycoon 2FA из-за согласованных усилий смешанной группы государственных и частных организаций, включая Proofpoint, Microsoft и Europol. Эта операция включала изъятие 330 доменов, связанных с Tycoon 2FA, и иск против его предполагаемого создателя, Саада Фриди. Ожидается, что это юридическое действие приведет к серьезным последствиям для операционных возможностей Tycoon 2FA и может препятствовать деятельности угрозы, использующей этот сервис.

Tycoon 2FA использует уникальный механизм, позволяющий злоумышленникам контролировать фишинговые страницы, что позволяет им перехватывать и пересылать учетные данные жертв в легитимные сервисы, одновременно перенаправляя любые запросы MFA к злоумышленникам. Эта техника усложняет обнаружение и предотвращение. Сервис рекламируется на платформах, таких как Telegram, и предлагает настраиваемый набор инструментов для фишинга для различных участников угроз. Киберпреступники также используют тактики, такие как "ATO Jumping", в которых они используют скомпрометированные учетные записи для распространения фишинговых ссылок Tycoon 2FA, увеличивая вероятность дальнейших захватов учетных записей.

Кампании платформы нацелены на разнообразные сектора, включая здравоохранение, юридическую сферу, образование и технологии, оказывая влияние на почти 100,000 организаций по всему миру. В результате успешных компрометаций организации рискуют серьезными последствиями, включая финансовые потери, ущерб репутации и возможность последующих атак, таких как программное обеспечение для вымогательства.

#ParsedReport #CompletenessHigh
05-03-2026

UAT-9244 targets South American telecommunication providers with three new malware implants

https://blog.talosintelligence.com/uat-9244/

Report completeness: High

Actors/Campaigns:
Ghostemperor
Pirate_panda

Threats:
Terndoor
Crowdoor
Peertime
Bruteentry
Relay_boxes_technique
Dll_sideloading_technique
Sparrowdoor

Victims:
Telecommunications providers, Critical telecommunications infrastructure

Industry:
Telco

Geo:
China, Chinese, American, America

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055, T1057, T1060, T1102, T1105, T1110, have more...

IOCs:
File: 5
Registry: 1
IP: 24
Hash: 43
Domain: 3

Soft:
BitTorrent, windows service, docker, BusyBox, Linux

Algorithms:
aes

Win API:
decompress

Languages:
golang, rust

Platforms:
arm, mips

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-9244 — это APT, связанная с Китаем, которая нацелена на телекоммуникационную инфраструктуру в Южной Америке и ассоциирована с группой Famous Sparrow. Она представила три типа вредоносного ПО: TernDoor, бэкдор для Windows, использующий побочное связывание DLL и уникальные коды команд; PeerTime, ELF-бэкдор, который общается через BitTorrent и разработан для нескольких архитектур, включая ARM; и BruteEntry, инструмент грубой силы на GoLang, нацеленный на сетевые устройства для доступа к SSH и другим серверам, сообщая обратно на свой C2 сервер.
-----

UAT-9244 — это операция с Китаем, представляющая собой группу продвинутых постоянных угроз (APT), известную своей нацеленной атакой на критическую телекоммуникационную инфраструктуру в Южной Америке с 2024 года. Эта группа была ассоциирована с ранее идентифицированным актером Famous Sparrow и представила три основных вредоносных импланта: TernDoor, PeerTime и BruteEntry.

TernDoor — это вариант бекдора известного вредоносного ПО CrowDoor, в первую очередь развертываемый на системах Windows. Он использует многоступенчатый процесс заражения, осуществляя боковую загрузку DLL. Это включает в себя безобидный исполняемый файл "wsprint.exe", который загружает вредоносную DLL ("BugSplatRc64.dll"), расшифровывает файл данных и выполняет его в памяти. TernDoor содержит уникальные коды команд и использует встроенный драйвер Windows (WSPrint.sys) для управления процессами, такими как приостановка, возобновление и завершение процессов. Для поддержания активности TernDoor может использовать запланированные задачи или изменять ключ запуска реестра. Он поддерживает командную строку для удаления, чтобы удалить себя с зараженных систем.

PeerTime — это бекдор на основе ELF, который использует протокол BitTorrent для связи и выполнения вредоносных задач. Он разработан для нескольких архитектур, включая ARM и MIPS, что указывает на его потенциальное использование против различных встраиваемых систем. PeerTime развертывается через shell-скрипт, который загружает как загрузчик, так и бинарный файл инструментатора. Инструментатор проверяет наличие Docker на скомпрометированных системах перед выполнением загрузчика PeerTime, который способен переименовывать свой процесс, чтобы избежать обнаружения.

BruteEntry служит инструментом для проведения атак методом перебора (brute force), в основном устанавливаемым на устройствах на границе сети. Он функционирует как операционная реле-коробка (ORB), пытаясь получить доступ к серверам SSH, PostgreSQL и Tomcat. Разработанный с использованием инструмента и демона, BruteEntry создан на GoLang и аутентифицируется с сервером C2 для получения задач. Он получает целевые IP-адреса из хаба C2 в формате JSON, который указывает задачи сканирования. После успешной попытки входа BruteEntry сообщает обратно на C2.

#ParsedReport #CompletenessMedium
04-03-2026

Major Cyber Attacks in February 2026: BQTLock, Thread-Hijack Phishing, and MFA Bypass Evolution

https://any.run/cybersecurity-blog/february-26-attacks/

Report completeness: Medium

Threats:
Thread-hijack_phishing_technique
Bqtlock
Greenblood
Moonrise_rat
Karsto
Evilproxy_tool
Process_injection_technique
Uac_bypass_technique
Remcos_rat
Supply_chain_technique
Aitm_technique
Typosquatting_technique
Sneaky_2fa_tool
Tycoon_2fa

Victims:
Businesses, Enterprises, C suite executives, Contractors, Middle east organizations

Industry:
Financial, Healthcare

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1003, T1016.001, T1041, T1055, T1056.001, T1059, T1070.004, T1090, T1105, T1113, have more...

IOCs:
File: 2
IP: 1
Hash: 1

Soft:
Linux, Android, Cloudflare Turnstile, Azure Blob

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года появились новые семейства программ-вымогателей GREENBLOOD и BQTLock, причем GREENBLOOD использует архитектуру на основе Go для быстрой шифровки файлов и самоз удаления для сокрытия следов, в то время как BQTLock применяет методы скрытности, такие как инъекция в процесс и обойти UAC для задержанного воздействия. Кроме того, новые RAT Moonrise и Karsto сосредоточены на скрытности и краже учетных данных, а тактические фишинговые методы развились, включая перехват потоков и продвинутые наборы, такие как Tycoon 2FA, способные обойти защиту MFA, что указывает на растущую сложность среди киберугроз.
-----

В феврале 2026 года киберугрозы претерпели значительные изменения с появлением новых программ-вымогателей и троянов удаленного доступа (RAT), а также усовершенствованного фишинга. Две примечательные семьи программ-вымогателей, GREENBLOOD и BQTLock, были выявлены за их разрушительные возможности. GREENBLOOD - это программ-вымогатель на основе Go, который быстро шифрует файлы, используя тактики самоуничтожения для сокрытия судебных следов, и угрожает утечкой данных через сайт TOR, что увеличивает потенциальное воздействие на бизнес. BQTLock действует скрытно, интегрируясь в доверенные процессы Windows, чтобы задержать видимый ущерб, тем самым усложняя раннее обнаружение. Он использует методы инъекции процессов, обход контроля учетных записей пользователей (UAC) и постоянство автозапуска для повышения привилегий перед запуском дальнейших атак, таких как кража учетных данных и захват экрана.

В этом месяце также было обнаружено два новых RAT: Moonrise и Karsto, которые уклонились от обнаружения во время анализа. Moonrise, характеризующийся архитектурой на основе Go, представляет собой серьезную угрозу благодаря скрытным операциям, нацеленным на сбор чувствительных учетных данных, токенов аутентификации и данных браузера. Его дизайн позволяет злоумышленникам поддерживать постоянную связь командного и контрольного центра без срабатывания тревог. В отличие от этого, Karsto отмечен своей модульной настройкой, которая позволяет противникам профилировать и картировать целевую организацию перед выполнением последующих атак, что еще раз подчеркивает развивающийся характер киберугроз.

Тактики фишинга также выросли в сложности, при этом фишинг через перехват потоков позволяет злоумышленникам вставлять вредоносные ссылки в текущие электронные переписки среди руководителей C-suite. Эта техника, использующая скомпрометированные учетные записи для маскировки под законных участников, повышает доверие к атаке и усложняет усилия по обнаружению. Инфраструктура фишинга все чаще размещается на авторитетных облачных платформах, таких как Microsoft Azure и Google Firebase, что делает традиционную веб-защиту неэффективной, так как эти URL-адреса часто кажутся надежными.

Кроме того, фишинг-кит Tycoon 2FA, созданный для обхода многофакторной аутентификации (MFA) путем захвата сессионных файлов cookie, быстро развивается, демонстрируя, что MFA все еще остается уязвимой для сложных методов противника. Это подчеркивает тревожную тенденцию, когда малоопытные злоумышленники получают доступ к инструментам фишинга высокого уровня, что создает больший риск для различных секторов.

#ParsedReport #CompletenessMedium
04-03-2026

Inside Tycoon2FA: How a leading AiTM phishing kit operated at scale

https://www.microsoft.com/en-us/security/blog/2026/03/04/inside-tycoon2fa-how-a-leading-aitm-phishing-kit-operated-at-scale/

Report completeness: Medium

Actors/Campaigns:
Storm-1747

Threats:
Tycoon_2fa
Aitm_technique
Caffeine_tool
Raccoono365_tool
Bec_technique

Victims:
Education, Healthcare, Finance, Non profit, Government, Enterprise accounts, Consumer accounts

Industry:
Education, Financial, Healthcare, Government

TTPs:
Tactics: 4
Technics: 0

IOCs:
Url: 10

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Outlook, Gmail, Telegram, docker, zendesk, Cloudflare Turnstile, PhantomJS, Burp Suite, have more...

Algorithms:
base64

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 2, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon2FA, платформа phishing-as-a-service, запущенная в августе 2023 года, связана с угрозой актером Storm-1747 и нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle для обхода многофакторной аутентификации. Платформа позволяет угрозам актерам воссоздавать страницы входа для крупных сервисов, перехватывая учетные данные пользователей и токены сеансов, одновременно применяя методы уклонения, такие как отпечатки браузеров и динамическое создание страниц. Захваченные данные эксфильтруются через зашифрованные каналы, подчеркивая опасную эволюцию тактик фишинга, которые используют уязвимости в процессах аутентификации.
-----

Tycoon2FA — это платформа phishing-as-a-service, запущенная в августе 2023 года, ассоциированная с угрозой Storm-1747. Она нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle (AiTM) для обхода многофакторной аутентификации (MFA). Платформа воссоздает страницы входа для таких сервисов, как Microsoft 365 и Gmail, чтобы перехватить учетные данные пользователей и токены сеанса в процессе аутентификации. Она захватывает куки сеанса и передает коды MFA через прокси-серверы, обеспечивая постоянный доступ к учетным записям, если сеансы не отменены. Tycoon2FA использует техники уклонения, такие как отпечатки браузера и динамическая генерация страниц, при этом применяя стандартные методы фишинга, такие как внедрение вредоносных ссылок.

Платформа работает через веб-административную панель для управления кампаниями, позволяя операторам выбирать из различных шаблонов для повышения легитимности фишинговых попыток. Она генерирует разнообразные вложения файлов и использует автоматизированные ротации подсайтов для уклонения от обнаружения. Набор адаптируется, используя изменяющуюся инфраструктуру и несколько доменов верхнего уровня (TLD) для уклонения.

Атака выполняется с использованием сложной логики перенаправления для сокрытия фишинговых URL-адресов. Фишинговые приманки часто имитируют бизнес-приложения с использованием созданных шаблонов электронных писем. Она включает в себя возможности противодействия анализу с проверками в реальном времени и сильно обфусцированным JavaScript. Захваченные учетные данные и токены сессий эксфильтруются через зашифрованные каналы, в первую очередь через ботов Telegram. После получения учетных данных злоумышленники могут изменять правила почтового ящика и запускать последующие фишинговые атаки. Tycoon2FA представляет собой значительную угрозу, эксплуатируя уязвимости в процессах аутентификации, указывая на эволюцию фишинговых техник в условиях ужесточения мер безопасности.

#ParsedReport #CompletenessLow
06-03-2026

Fake imToken Chrome Extension Steals Seed Phrases via Phishing Redirects

https://socket.dev/blog/fake-imtoken-chrome-extension-steals-seed-phrases-via-phishing-redirects

Report completeness: Low

Threats:
Homoglyph_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Imtoken users, Cryptocurrency wallet users

TTPs:
Tactics: 1
Technics: 9

IOCs:
Url: 10
Domain: 2
File: 7

Soft:
Chrome, Outlook

Wallets:
imtoken

Functions:
setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловредное расширение Chrome под названием "lmoken Chromophore" маскируется под визуализатор шестнадцатеричных цветов, выдавая себя за легитимный криптовалютный кошелек imToken, чтобы перенаправлять пользователей на фишинговый сайт. Это расширение использует социальную инженерию и гомоглифы смешанных скриптов, обманывая пользователей, чтобы те ввели конфиденциальную информацию кошелька, включая seed-фразы и закрытые ключи, без какой-либо настоящей функции кошелька. Эта атака использует приемы, изложенные в фреймворке MITRE ATT&CK, подчеркивая уязвимости в сторонних расширениях.
-----

Команда по исследованию угроз Socket обнаружила злонамеренное расширение Chrome под названием "lmoken Chromophore" (ID bbhaganppipihlhjgaaeeeefbaoihcgi), которое выдает себя за визуализатор шестнадцатеричных цветов, притворяясь законным криптовалютным кошельком imToken. После установки расширение запрашивает URL с жестко закодированной конечной точки и перенаправляет пользователей на фишинговый сайт, который похож на официальную целевую страницу Chrome Web Store, созданную для обмана жертв и получения от них конфиденциальной информации, такой как seed-фразы или приватные ключи.

Фишинговый сайт использует гомографы с смешанными скриптами, чтобы близко подражать законному бренду imToken, что делает мошеннический сайт более правдоподобным. Аналитики отметили, что расширение играет ключевую роль в качестве легкого редиректора, перенаправляя жертв на фишинговые страницы без какой-либо фактической функциональности кошелька. Этот метод повышает вероятность успешных фишинговых атак, поскольку пользователи вовлекаются в знакомый интерфейс и рабочий процесс.

Опубликовано 2 февраля 2026 года, расширение имело 39 активных пользователей в неделю на момент обнаружения и отображало ложные пятизвездочные оценки, что способствовало его обманчивой легитимности. В рамках его кодовой базы расширение спроектировано для инициирования перенаправления при установке и взаимодействии пользователя, эффективно обходя любые подлинные функции или поведение кошелька, тем самым поддерживая бесшовную фишинг-операцию.

Рабочий процесс фишинга состоит из нескольких слоев обмана. Изначально жертвам предлагается ввести 12- или 24-словную Seed-фразу под предлогом процесса восстановления кошелька. После этого пользователей направляют на очевидный экран настройки пароля, который еще больше усиливает иллюзию легитимности, скрывая тот факт, что атакующий уже захватил критически важную информацию для восстановления кошелька. После отправки своей информации фишинговый сайт может открыть легитимный домен imToken в отдельном окне, чтобы еще больше убедить жертву в подлинности процесса.

В этой атаке используются различные техники, соответствующие MITRE ATT&CK, включая неправильное использование расширений браузера, социальную инженерию через фишинг и тактики имп персонализации, чтобы воспользоваться доверием пользователей. Извлечение секретов кошелька такими зловредными способами подчеркивает уязвимости, связанные с сторонними расширениями, и важность бдительности пользователей в отношении проверки источников программного обеспечения. Угроза актор, стоящий за расширением, был сообщен о его удалении из Chrome Web Store, что подчеркивает текущие усилия по борьбе с этими типами киберугроз.

#ParsedReport #CompletenessLow
04-03-2026

Connecting Dots with SSL Certificates: Finding Threat Actors with Graph Theory

https://www.infoblox.com/blog/security/connecting-dots-with-ssl-certificates-finding-threat-actors-with-graph-theory/

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Apple users, Google users, Telegram users, Cryptocurrency users, Ecommerce shoppers

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1204.001, T1566.002, T1583.001, T1583.006, T1588.004, T1589.003, T1608.003

IOCs:
Domain: 328

Soft:
Telegram

Algorithms:
rdga

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные аналитические техники Infoblox, использующие теорию графов, улучшили обнаружение вредоносных доменов путем анализа SSL-сертификатов, выявляя ранее неизвестных угроз и их взаимосвязи. Используя журналы прозрачности сертификатов, исследователи классифицируют домены на вредоносные, подозрительные и неклассифицированные категории, что позволяет эффективно расставлять приоритеты в определении угроз. Методология выявляет риски через "вину по ассоциации", определяя кластеры вредоносных доменов, тем самым повышая осведомленность о новых угрозах и оперативных связях между различными участниками.
-----

Исследователи Infoblox используют теорию графов для анализа SSL-сертификатов, выявляя операционные связи между поведенческими актерами. Этот подход улучшает обнаружение вредоносных доменов, раскрывая ранее неизвестных акторов. Традиционные меры безопасности часто пропускают 57% вредоносных доменов, связанных с сертификатами. Метод использует журналы прозрачности сертификатов (Certificate Transparency, CT) для получения информации о проверке доменного контроля удостоверяющими центрами (CA). CA аутентифицируют право собственности через изменения DNS и проверку электронной почты. Анализ кластеров доменов требует обогащения данными о угрозах для классификации как вредоносные, подозрительные или неклассифицированные, что помогает в оценке рисков. Математическая модель устанавливает оценки рисков для различения кластера с высоким и низким риском. Система расширяет охват угроз, применяя "вину по ассоциации", нацеливаясь на домены в кластерах с известными вредоносными сущностями. Картирование поведенческих актеров через связанные домены выявляет кластеры с одним или несколькими актерами, что указывает на сотрудничество. Недавние находки связали кластеры с финансовым мошенничеством, сбором учетных данных и связанными доменами с популярными брендами и контентом для взрослых.