#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-9244 — это APT, связанная с Китаем, которая нацелена на телекоммуникационную инфраструктуру в Южной Америке и ассоциирована с группой Famous Sparrow. Она представила три типа вредоносного ПО: TernDoor, бэкдор для Windows, использующий побочное связывание DLL и уникальные коды команд; PeerTime, ELF-бэкдор, который общается через BitTorrent и разработан для нескольких архитектур, включая ARM; и BruteEntry, инструмент грубой силы на GoLang, нацеленный на сетевые устройства для доступа к SSH и другим серверам, сообщая обратно на свой C2 сервер.
-----

UAT-9244 — это операция с Китаем, представляющая собой группу продвинутых постоянных угроз (APT), известную своей нацеленной атакой на критическую телекоммуникационную инфраструктуру в Южной Америке с 2024 года. Эта группа была ассоциирована с ранее идентифицированным актером Famous Sparrow и представила три основных вредоносных импланта: TernDoor, PeerTime и BruteEntry.

TernDoor — это вариант бекдора известного вредоносного ПО CrowDoor, в первую очередь развертываемый на системах Windows. Он использует многоступенчатый процесс заражения, осуществляя боковую загрузку DLL. Это включает в себя безобидный исполняемый файл "wsprint.exe", который загружает вредоносную DLL ("BugSplatRc64.dll"), расшифровывает файл данных и выполняет его в памяти. TernDoor содержит уникальные коды команд и использует встроенный драйвер Windows (WSPrint.sys) для управления процессами, такими как приостановка, возобновление и завершение процессов. Для поддержания активности TernDoor может использовать запланированные задачи или изменять ключ запуска реестра. Он поддерживает командную строку для удаления, чтобы удалить себя с зараженных систем.

PeerTime — это бекдор на основе ELF, который использует протокол BitTorrent для связи и выполнения вредоносных задач. Он разработан для нескольких архитектур, включая ARM и MIPS, что указывает на его потенциальное использование против различных встраиваемых систем. PeerTime развертывается через shell-скрипт, который загружает как загрузчик, так и бинарный файл инструментатора. Инструментатор проверяет наличие Docker на скомпрометированных системах перед выполнением загрузчика PeerTime, который способен переименовывать свой процесс, чтобы избежать обнаружения.

BruteEntry служит инструментом для проведения атак методом перебора (brute force), в основном устанавливаемым на устройствах на границе сети. Он функционирует как операционная реле-коробка (ORB), пытаясь получить доступ к серверам SSH, PostgreSQL и Tomcat. Разработанный с использованием инструмента и демона, BruteEntry создан на GoLang и аутентифицируется с сервером C2 для получения задач. Он получает целевые IP-адреса из хаба C2 в формате JSON, который указывает задачи сканирования. После успешной попытки входа BruteEntry сообщает обратно на C2.

#ParsedReport #CompletenessMedium
04-03-2026

Major Cyber Attacks in February 2026: BQTLock, Thread-Hijack Phishing, and MFA Bypass Evolution

https://any.run/cybersecurity-blog/february-26-attacks/

Report completeness: Medium

Threats:
Thread-hijack_phishing_technique
Bqtlock
Greenblood
Moonrise_rat
Karsto
Evilproxy_tool
Process_injection_technique
Uac_bypass_technique
Remcos_rat
Supply_chain_technique
Aitm_technique
Typosquatting_technique
Sneaky_2fa_tool
Tycoon_2fa

Victims:
Businesses, Enterprises, C suite executives, Contractors, Middle east organizations

Industry:
Financial, Healthcare

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1003, T1016.001, T1041, T1055, T1056.001, T1059, T1070.004, T1090, T1105, T1113, have more...

IOCs:
File: 2
IP: 1
Hash: 1

Soft:
Linux, Android, Cloudflare Turnstile, Azure Blob

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года появились новые семейства программ-вымогателей GREENBLOOD и BQTLock, причем GREENBLOOD использует архитектуру на основе Go для быстрой шифровки файлов и самоз удаления для сокрытия следов, в то время как BQTLock применяет методы скрытности, такие как инъекция в процесс и обойти UAC для задержанного воздействия. Кроме того, новые RAT Moonrise и Karsto сосредоточены на скрытности и краже учетных данных, а тактические фишинговые методы развились, включая перехват потоков и продвинутые наборы, такие как Tycoon 2FA, способные обойти защиту MFA, что указывает на растущую сложность среди киберугроз.
-----

В феврале 2026 года киберугрозы претерпели значительные изменения с появлением новых программ-вымогателей и троянов удаленного доступа (RAT), а также усовершенствованного фишинга. Две примечательные семьи программ-вымогателей, GREENBLOOD и BQTLock, были выявлены за их разрушительные возможности. GREENBLOOD - это программ-вымогатель на основе Go, который быстро шифрует файлы, используя тактики самоуничтожения для сокрытия судебных следов, и угрожает утечкой данных через сайт TOR, что увеличивает потенциальное воздействие на бизнес. BQTLock действует скрытно, интегрируясь в доверенные процессы Windows, чтобы задержать видимый ущерб, тем самым усложняя раннее обнаружение. Он использует методы инъекции процессов, обход контроля учетных записей пользователей (UAC) и постоянство автозапуска для повышения привилегий перед запуском дальнейших атак, таких как кража учетных данных и захват экрана.

В этом месяце также было обнаружено два новых RAT: Moonrise и Karsto, которые уклонились от обнаружения во время анализа. Moonrise, характеризующийся архитектурой на основе Go, представляет собой серьезную угрозу благодаря скрытным операциям, нацеленным на сбор чувствительных учетных данных, токенов аутентификации и данных браузера. Его дизайн позволяет злоумышленникам поддерживать постоянную связь командного и контрольного центра без срабатывания тревог. В отличие от этого, Karsto отмечен своей модульной настройкой, которая позволяет противникам профилировать и картировать целевую организацию перед выполнением последующих атак, что еще раз подчеркивает развивающийся характер киберугроз.

Тактики фишинга также выросли в сложности, при этом фишинг через перехват потоков позволяет злоумышленникам вставлять вредоносные ссылки в текущие электронные переписки среди руководителей C-suite. Эта техника, использующая скомпрометированные учетные записи для маскировки под законных участников, повышает доверие к атаке и усложняет усилия по обнаружению. Инфраструктура фишинга все чаще размещается на авторитетных облачных платформах, таких как Microsoft Azure и Google Firebase, что делает традиционную веб-защиту неэффективной, так как эти URL-адреса часто кажутся надежными.

Кроме того, фишинг-кит Tycoon 2FA, созданный для обхода многофакторной аутентификации (MFA) путем захвата сессионных файлов cookie, быстро развивается, демонстрируя, что MFA все еще остается уязвимой для сложных методов противника. Это подчеркивает тревожную тенденцию, когда малоопытные злоумышленники получают доступ к инструментам фишинга высокого уровня, что создает больший риск для различных секторов.

#ParsedReport #CompletenessMedium
04-03-2026

Inside Tycoon2FA: How a leading AiTM phishing kit operated at scale

https://www.microsoft.com/en-us/security/blog/2026/03/04/inside-tycoon2fa-how-a-leading-aitm-phishing-kit-operated-at-scale/

Report completeness: Medium

Actors/Campaigns:
Storm-1747

Threats:
Tycoon_2fa
Aitm_technique
Caffeine_tool
Raccoono365_tool
Bec_technique

Victims:
Education, Healthcare, Finance, Non profit, Government, Enterprise accounts, Consumer accounts

Industry:
Education, Financial, Healthcare, Government

TTPs:
Tactics: 4
Technics: 0

IOCs:
Url: 10

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Outlook, Gmail, Telegram, docker, zendesk, Cloudflare Turnstile, PhantomJS, Burp Suite, have more...

Algorithms:
base64

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 2, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon2FA, платформа phishing-as-a-service, запущенная в августе 2023 года, связана с угрозой актером Storm-1747 и нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle для обхода многофакторной аутентификации. Платформа позволяет угрозам актерам воссоздавать страницы входа для крупных сервисов, перехватывая учетные данные пользователей и токены сеансов, одновременно применяя методы уклонения, такие как отпечатки браузеров и динамическое создание страниц. Захваченные данные эксфильтруются через зашифрованные каналы, подчеркивая опасную эволюцию тактик фишинга, которые используют уязвимости в процессах аутентификации.
-----

Tycoon2FA — это платформа phishing-as-a-service, запущенная в августе 2023 года, ассоциированная с угрозой Storm-1747. Она нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle (AiTM) для обхода многофакторной аутентификации (MFA). Платформа воссоздает страницы входа для таких сервисов, как Microsoft 365 и Gmail, чтобы перехватить учетные данные пользователей и токены сеанса в процессе аутентификации. Она захватывает куки сеанса и передает коды MFA через прокси-серверы, обеспечивая постоянный доступ к учетным записям, если сеансы не отменены. Tycoon2FA использует техники уклонения, такие как отпечатки браузера и динамическая генерация страниц, при этом применяя стандартные методы фишинга, такие как внедрение вредоносных ссылок.

Платформа работает через веб-административную панель для управления кампаниями, позволяя операторам выбирать из различных шаблонов для повышения легитимности фишинговых попыток. Она генерирует разнообразные вложения файлов и использует автоматизированные ротации подсайтов для уклонения от обнаружения. Набор адаптируется, используя изменяющуюся инфраструктуру и несколько доменов верхнего уровня (TLD) для уклонения.

Атака выполняется с использованием сложной логики перенаправления для сокрытия фишинговых URL-адресов. Фишинговые приманки часто имитируют бизнес-приложения с использованием созданных шаблонов электронных писем. Она включает в себя возможности противодействия анализу с проверками в реальном времени и сильно обфусцированным JavaScript. Захваченные учетные данные и токены сессий эксфильтруются через зашифрованные каналы, в первую очередь через ботов Telegram. После получения учетных данных злоумышленники могут изменять правила почтового ящика и запускать последующие фишинговые атаки. Tycoon2FA представляет собой значительную угрозу, эксплуатируя уязвимости в процессах аутентификации, указывая на эволюцию фишинговых техник в условиях ужесточения мер безопасности.

#ParsedReport #CompletenessLow
06-03-2026

Fake imToken Chrome Extension Steals Seed Phrases via Phishing Redirects

https://socket.dev/blog/fake-imtoken-chrome-extension-steals-seed-phrases-via-phishing-redirects

Report completeness: Low

Threats:
Homoglyph_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Imtoken users, Cryptocurrency wallet users

TTPs:
Tactics: 1
Technics: 9

IOCs:
Url: 10
Domain: 2
File: 7

Soft:
Chrome, Outlook

Wallets:
imtoken

Functions:
setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловредное расширение Chrome под названием "lmoken Chromophore" маскируется под визуализатор шестнадцатеричных цветов, выдавая себя за легитимный криптовалютный кошелек imToken, чтобы перенаправлять пользователей на фишинговый сайт. Это расширение использует социальную инженерию и гомоглифы смешанных скриптов, обманывая пользователей, чтобы те ввели конфиденциальную информацию кошелька, включая seed-фразы и закрытые ключи, без какой-либо настоящей функции кошелька. Эта атака использует приемы, изложенные в фреймворке MITRE ATT&CK, подчеркивая уязвимости в сторонних расширениях.
-----

Команда по исследованию угроз Socket обнаружила злонамеренное расширение Chrome под названием "lmoken Chromophore" (ID bbhaganppipihlhjgaaeeeefbaoihcgi), которое выдает себя за визуализатор шестнадцатеричных цветов, притворяясь законным криптовалютным кошельком imToken. После установки расширение запрашивает URL с жестко закодированной конечной точки и перенаправляет пользователей на фишинговый сайт, который похож на официальную целевую страницу Chrome Web Store, созданную для обмана жертв и получения от них конфиденциальной информации, такой как seed-фразы или приватные ключи.

Фишинговый сайт использует гомографы с смешанными скриптами, чтобы близко подражать законному бренду imToken, что делает мошеннический сайт более правдоподобным. Аналитики отметили, что расширение играет ключевую роль в качестве легкого редиректора, перенаправляя жертв на фишинговые страницы без какой-либо фактической функциональности кошелька. Этот метод повышает вероятность успешных фишинговых атак, поскольку пользователи вовлекаются в знакомый интерфейс и рабочий процесс.

Опубликовано 2 февраля 2026 года, расширение имело 39 активных пользователей в неделю на момент обнаружения и отображало ложные пятизвездочные оценки, что способствовало его обманчивой легитимности. В рамках его кодовой базы расширение спроектировано для инициирования перенаправления при установке и взаимодействии пользователя, эффективно обходя любые подлинные функции или поведение кошелька, тем самым поддерживая бесшовную фишинг-операцию.

Рабочий процесс фишинга состоит из нескольких слоев обмана. Изначально жертвам предлагается ввести 12- или 24-словную Seed-фразу под предлогом процесса восстановления кошелька. После этого пользователей направляют на очевидный экран настройки пароля, который еще больше усиливает иллюзию легитимности, скрывая тот факт, что атакующий уже захватил критически важную информацию для восстановления кошелька. После отправки своей информации фишинговый сайт может открыть легитимный домен imToken в отдельном окне, чтобы еще больше убедить жертву в подлинности процесса.

В этой атаке используются различные техники, соответствующие MITRE ATT&CK, включая неправильное использование расширений браузера, социальную инженерию через фишинг и тактики имп персонализации, чтобы воспользоваться доверием пользователей. Извлечение секретов кошелька такими зловредными способами подчеркивает уязвимости, связанные с сторонними расширениями, и важность бдительности пользователей в отношении проверки источников программного обеспечения. Угроза актор, стоящий за расширением, был сообщен о его удалении из Chrome Web Store, что подчеркивает текущие усилия по борьбе с этими типами киберугроз.

#ParsedReport #CompletenessLow
04-03-2026

Connecting Dots with SSL Certificates: Finding Threat Actors with Graph Theory

https://www.infoblox.com/blog/security/connecting-dots-with-ssl-certificates-finding-threat-actors-with-graph-theory/

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Apple users, Google users, Telegram users, Cryptocurrency users, Ecommerce shoppers

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1204.001, T1566.002, T1583.001, T1583.006, T1588.004, T1589.003, T1608.003

IOCs:
Domain: 328

Soft:
Telegram

Algorithms:
rdga

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные аналитические техники Infoblox, использующие теорию графов, улучшили обнаружение вредоносных доменов путем анализа SSL-сертификатов, выявляя ранее неизвестных угроз и их взаимосвязи. Используя журналы прозрачности сертификатов, исследователи классифицируют домены на вредоносные, подозрительные и неклассифицированные категории, что позволяет эффективно расставлять приоритеты в определении угроз. Методология выявляет риски через "вину по ассоциации", определяя кластеры вредоносных доменов, тем самым повышая осведомленность о новых угрозах и оперативных связях между различными участниками.
-----

Исследователи Infoblox используют теорию графов для анализа SSL-сертификатов, выявляя операционные связи между поведенческими актерами. Этот подход улучшает обнаружение вредоносных доменов, раскрывая ранее неизвестных акторов. Традиционные меры безопасности часто пропускают 57% вредоносных доменов, связанных с сертификатами. Метод использует журналы прозрачности сертификатов (Certificate Transparency, CT) для получения информации о проверке доменного контроля удостоверяющими центрами (CA). CA аутентифицируют право собственности через изменения DNS и проверку электронной почты. Анализ кластеров доменов требует обогащения данными о угрозах для классификации как вредоносные, подозрительные или неклассифицированные, что помогает в оценке рисков. Математическая модель устанавливает оценки рисков для различения кластера с высоким и низким риском. Система расширяет охват угроз, применяя "вину по ассоциации", нацеливаясь на домены в кластерах с известными вредоносными сущностями. Картирование поведенческих актеров через связанные домены выявляет кластеры с одним или несколькими актерами, что указывает на сотрудничество. Недавние находки связали кластеры с финансовым мошенничеством, сбором учетных данных и связанными доменами с популярными брендами и контентом для взрослых.

#ParsedReport #CompletenessLow
06-03-2026

One click on this fake Google Meet update can give attackers control of your PC

https://www.malwarebytes.com/blog/threat-intel/2026/03/one-click-on-this-fake-google-meet-update-can-give-attackers-control-of-your-pc

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1098, T1199, T1204.002, T1566

IOCs:
Domain: 3

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания выдает себя за обновление Google Meet, чтобы обмануть пользователей и предоставить злоумышленникам контроль над компьютерами с Windows. Эта техника обходит традиционные меры безопасности, используя легитимный диалог Windows для запроса "enrollment", манипулируя операционной системой для выполнения команд, не создавая заметного вредоносного ПО или не крадя учетные данные. Этот сдвиг к эксплуатации функциональностей системы, а не традиционного вредоносного ПО, подчеркивает тревожную тенденцию в киберугрозах.
-----

Недавняя угроза связана с фишинговой кампанией, которая маскируется под обновление Google Meet, обманывая пользователей и неосознанно предоставляя злоумышленникам контроль над их компьютерами с Windows. Эта техника использует обманчивый метод, который не полагается на традиционное вредоносное ПО или механизмы кражи учетных данных, что делает ее особенно коварной. Когда пользователи кликают по ссылке, представленное как обновление, они сталкиваются с запросом "записи", который является законным диалогом системы Windows. Тем самым, этот метод эффективно обходи общие меры безопасности, такие как предупреждения браузера и сканеры электронной почты, которые обычно предназначены для выявления вредоносных действий.

Этот процесс регистрации не включает никаких явных признаков кибератаки; не создаются вредоносные файлы или украденные пароли. Вместо этого операционная система манипулируется для выполнения команд от имени злоумышленников, используя действительные функции системы и облачные платформы без необходимости в отдельной загрузке вредоносного ПО. Этот сдвиг в тактике указывает на растущую тенденцию, когда злоумышленники все меньше полагаются на традиционные методы распространения вредоносного ПО и больше на эксплуатацию существующих функций в операционных системах.

Чтобы смягчить риск, который представляет эта тактика, лицам, которые подозревают, что стали жертвой этой атаки, рекомендуется проверить статус регистрации их устройства. Осведомленность о легитимных системных функциях, которые находятся под угрозой, имеет критическое значение, поскольку эта техника ярко иллюстрирует развивающийся ландшафт киберугроз, который приоритизирует скрытность и использование внутренних возможностей системы над явными злонамеренными действиями.

#ParsedReport #CompletenessHigh
06-03-2026

Middle East Conflict Fuels Opportunistic Cyber Attacks

https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Lotuslite
Stealc
Pdq_connect_tool

Victims:
Gulf cooperation council region users, General users targeted by phishing and scams, Social security users, Toll payment users

Industry:
Petroleum, Transport, Military, Government

Geo:
Iran, Israeli, Middle east, Israel, Bahrain, Venezuela, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.003, T1059.003, T1071.001, T1102.002, T1105, T1140, T1204.001, T1204.002, T1218.001, have more...

IOCs:
File: 9
Url: 3
Path: 9
Registry: 2
Domain: 15
IP: 2
Hash: 6

Soft:
cURL, Chrome, Telegram

Algorithms:
rc4, md5, zip

Functions:
DLL

Win API:
RegSetValueExA, VirtualAlloc, CreateProcessW, EnumFontsW

Platforms:
x64