#ParsedReport #ExtractedSchema

Classified images:
chart: 1, code: 2, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon2FA, платформа phishing-as-a-service, запущенная в августе 2023 года, связана с угрозой актером Storm-1747 и нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle для обхода многофакторной аутентификации. Платформа позволяет угрозам актерам воссоздавать страницы входа для крупных сервисов, перехватывая учетные данные пользователей и токены сеансов, одновременно применяя методы уклонения, такие как отпечатки браузеров и динамическое создание страниц. Захваченные данные эксфильтруются через зашифрованные каналы, подчеркивая опасную эволюцию тактик фишинга, которые используют уязвимости в процессах аутентификации.
-----

Tycoon2FA — это платформа phishing-as-a-service, запущенная в августе 2023 года, ассоциированная с угрозой Storm-1747. Она нацелена на более чем 500,000 организаций по всему миру, используя техники adversary-in-the-middle (AiTM) для обхода многофакторной аутентификации (MFA). Платформа воссоздает страницы входа для таких сервисов, как Microsoft 365 и Gmail, чтобы перехватить учетные данные пользователей и токены сеанса в процессе аутентификации. Она захватывает куки сеанса и передает коды MFA через прокси-серверы, обеспечивая постоянный доступ к учетным записям, если сеансы не отменены. Tycoon2FA использует техники уклонения, такие как отпечатки браузера и динамическая генерация страниц, при этом применяя стандартные методы фишинга, такие как внедрение вредоносных ссылок.

Платформа работает через веб-административную панель для управления кампаниями, позволяя операторам выбирать из различных шаблонов для повышения легитимности фишинговых попыток. Она генерирует разнообразные вложения файлов и использует автоматизированные ротации подсайтов для уклонения от обнаружения. Набор адаптируется, используя изменяющуюся инфраструктуру и несколько доменов верхнего уровня (TLD) для уклонения.

Атака выполняется с использованием сложной логики перенаправления для сокрытия фишинговых URL-адресов. Фишинговые приманки часто имитируют бизнес-приложения с использованием созданных шаблонов электронных писем. Она включает в себя возможности противодействия анализу с проверками в реальном времени и сильно обфусцированным JavaScript. Захваченные учетные данные и токены сессий эксфильтруются через зашифрованные каналы, в первую очередь через ботов Telegram. После получения учетных данных злоумышленники могут изменять правила почтового ящика и запускать последующие фишинговые атаки. Tycoon2FA представляет собой значительную угрозу, эксплуатируя уязвимости в процессах аутентификации, указывая на эволюцию фишинговых техник в условиях ужесточения мер безопасности.

#ParsedReport #CompletenessLow
06-03-2026

Fake imToken Chrome Extension Steals Seed Phrases via Phishing Redirects

https://socket.dev/blog/fake-imtoken-chrome-extension-steals-seed-phrases-via-phishing-redirects

Report completeness: Low

Threats:
Homoglyph_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Imtoken users, Cryptocurrency wallet users

TTPs:
Tactics: 1
Technics: 9

IOCs:
Url: 10
Domain: 2
File: 7

Soft:
Chrome, Outlook

Wallets:
imtoken

Functions:
setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловредное расширение Chrome под названием "lmoken Chromophore" маскируется под визуализатор шестнадцатеричных цветов, выдавая себя за легитимный криптовалютный кошелек imToken, чтобы перенаправлять пользователей на фишинговый сайт. Это расширение использует социальную инженерию и гомоглифы смешанных скриптов, обманывая пользователей, чтобы те ввели конфиденциальную информацию кошелька, включая seed-фразы и закрытые ключи, без какой-либо настоящей функции кошелька. Эта атака использует приемы, изложенные в фреймворке MITRE ATT&CK, подчеркивая уязвимости в сторонних расширениях.
-----

Команда по исследованию угроз Socket обнаружила злонамеренное расширение Chrome под названием "lmoken Chromophore" (ID bbhaganppipihlhjgaaeeeefbaoihcgi), которое выдает себя за визуализатор шестнадцатеричных цветов, притворяясь законным криптовалютным кошельком imToken. После установки расширение запрашивает URL с жестко закодированной конечной точки и перенаправляет пользователей на фишинговый сайт, который похож на официальную целевую страницу Chrome Web Store, созданную для обмана жертв и получения от них конфиденциальной информации, такой как seed-фразы или приватные ключи.

Фишинговый сайт использует гомографы с смешанными скриптами, чтобы близко подражать законному бренду imToken, что делает мошеннический сайт более правдоподобным. Аналитики отметили, что расширение играет ключевую роль в качестве легкого редиректора, перенаправляя жертв на фишинговые страницы без какой-либо фактической функциональности кошелька. Этот метод повышает вероятность успешных фишинговых атак, поскольку пользователи вовлекаются в знакомый интерфейс и рабочий процесс.

Опубликовано 2 февраля 2026 года, расширение имело 39 активных пользователей в неделю на момент обнаружения и отображало ложные пятизвездочные оценки, что способствовало его обманчивой легитимности. В рамках его кодовой базы расширение спроектировано для инициирования перенаправления при установке и взаимодействии пользователя, эффективно обходя любые подлинные функции или поведение кошелька, тем самым поддерживая бесшовную фишинг-операцию.

Рабочий процесс фишинга состоит из нескольких слоев обмана. Изначально жертвам предлагается ввести 12- или 24-словную Seed-фразу под предлогом процесса восстановления кошелька. После этого пользователей направляют на очевидный экран настройки пароля, который еще больше усиливает иллюзию легитимности, скрывая тот факт, что атакующий уже захватил критически важную информацию для восстановления кошелька. После отправки своей информации фишинговый сайт может открыть легитимный домен imToken в отдельном окне, чтобы еще больше убедить жертву в подлинности процесса.

В этой атаке используются различные техники, соответствующие MITRE ATT&CK, включая неправильное использование расширений браузера, социальную инженерию через фишинг и тактики имп персонализации, чтобы воспользоваться доверием пользователей. Извлечение секретов кошелька такими зловредными способами подчеркивает уязвимости, связанные с сторонними расширениями, и важность бдительности пользователей в отношении проверки источников программного обеспечения. Угроза актор, стоящий за расширением, был сообщен о его удалении из Chrome Web Store, что подчеркивает текущие усилия по борьбе с этими типами киберугроз.

#ParsedReport #CompletenessLow
04-03-2026

Connecting Dots with SSL Certificates: Finding Threat Actors with Graph Theory

https://www.infoblox.com/blog/security/connecting-dots-with-ssl-certificates-finding-threat-actors-with-graph-theory/

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Apple users, Google users, Telegram users, Cryptocurrency users, Ecommerce shoppers

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1204.001, T1566.002, T1583.001, T1583.006, T1588.004, T1589.003, T1608.003

IOCs:
Domain: 328

Soft:
Telegram

Algorithms:
rdga

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные аналитические техники Infoblox, использующие теорию графов, улучшили обнаружение вредоносных доменов путем анализа SSL-сертификатов, выявляя ранее неизвестных угроз и их взаимосвязи. Используя журналы прозрачности сертификатов, исследователи классифицируют домены на вредоносные, подозрительные и неклассифицированные категории, что позволяет эффективно расставлять приоритеты в определении угроз. Методология выявляет риски через "вину по ассоциации", определяя кластеры вредоносных доменов, тем самым повышая осведомленность о новых угрозах и оперативных связях между различными участниками.
-----

Исследователи Infoblox используют теорию графов для анализа SSL-сертификатов, выявляя операционные связи между поведенческими актерами. Этот подход улучшает обнаружение вредоносных доменов, раскрывая ранее неизвестных акторов. Традиционные меры безопасности часто пропускают 57% вредоносных доменов, связанных с сертификатами. Метод использует журналы прозрачности сертификатов (Certificate Transparency, CT) для получения информации о проверке доменного контроля удостоверяющими центрами (CA). CA аутентифицируют право собственности через изменения DNS и проверку электронной почты. Анализ кластеров доменов требует обогащения данными о угрозах для классификации как вредоносные, подозрительные или неклассифицированные, что помогает в оценке рисков. Математическая модель устанавливает оценки рисков для различения кластера с высоким и низким риском. Система расширяет охват угроз, применяя "вину по ассоциации", нацеливаясь на домены в кластерах с известными вредоносными сущностями. Картирование поведенческих актеров через связанные домены выявляет кластеры с одним или несколькими актерами, что указывает на сотрудничество. Недавние находки связали кластеры с финансовым мошенничеством, сбором учетных данных и связанными доменами с популярными брендами и контентом для взрослых.

#ParsedReport #CompletenessLow
06-03-2026

One click on this fake Google Meet update can give attackers control of your PC

https://www.malwarebytes.com/blog/threat-intel/2026/03/one-click-on-this-fake-google-meet-update-can-give-attackers-control-of-your-pc

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1098, T1199, T1204.002, T1566

IOCs:
Domain: 3

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания выдает себя за обновление Google Meet, чтобы обмануть пользователей и предоставить злоумышленникам контроль над компьютерами с Windows. Эта техника обходит традиционные меры безопасности, используя легитимный диалог Windows для запроса "enrollment", манипулируя операционной системой для выполнения команд, не создавая заметного вредоносного ПО или не крадя учетные данные. Этот сдвиг к эксплуатации функциональностей системы, а не традиционного вредоносного ПО, подчеркивает тревожную тенденцию в киберугрозах.
-----

Недавняя угроза связана с фишинговой кампанией, которая маскируется под обновление Google Meet, обманывая пользователей и неосознанно предоставляя злоумышленникам контроль над их компьютерами с Windows. Эта техника использует обманчивый метод, который не полагается на традиционное вредоносное ПО или механизмы кражи учетных данных, что делает ее особенно коварной. Когда пользователи кликают по ссылке, представленное как обновление, они сталкиваются с запросом "записи", который является законным диалогом системы Windows. Тем самым, этот метод эффективно обходи общие меры безопасности, такие как предупреждения браузера и сканеры электронной почты, которые обычно предназначены для выявления вредоносных действий.

Этот процесс регистрации не включает никаких явных признаков кибератаки; не создаются вредоносные файлы или украденные пароли. Вместо этого операционная система манипулируется для выполнения команд от имени злоумышленников, используя действительные функции системы и облачные платформы без необходимости в отдельной загрузке вредоносного ПО. Этот сдвиг в тактике указывает на растущую тенденцию, когда злоумышленники все меньше полагаются на традиционные методы распространения вредоносного ПО и больше на эксплуатацию существующих функций в операционных системах.

Чтобы смягчить риск, который представляет эта тактика, лицам, которые подозревают, что стали жертвой этой атаки, рекомендуется проверить статус регистрации их устройства. Осведомленность о легитимных системных функциях, которые находятся под угрозой, имеет критическое значение, поскольку эта техника ярко иллюстрирует развивающийся ландшафт киберугроз, который приоритизирует скрытность и использование внутренних возможностей системы над явными злонамеренными действиями.

#ParsedReport #CompletenessHigh
06-03-2026

Middle East Conflict Fuels Opportunistic Cyber Attacks

https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Lotuslite
Stealc
Pdq_connect_tool

Victims:
Gulf cooperation council region users, General users targeted by phishing and scams, Social security users, Toll payment users

Industry:
Petroleum, Transport, Military, Government

Geo:
Iran, Israeli, Middle east, Israel, Bahrain, Venezuela, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.003, T1059.003, T1071.001, T1102.002, T1105, T1140, T1204.001, T1204.002, T1218.001, have more...

IOCs:
File: 9
Url: 3
Path: 9
Registry: 2
Domain: 15
IP: 2
Hash: 6

Soft:
cURL, Chrome, Telegram

Algorithms:
rc4, md5, zip

Functions:
DLL

Win API:
RegSetValueExA, VirtualAlloc, CreateProcessW, EnumFontsW

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы, связанные с геополитическими напряжениями на Ближнем Востоке, привели к увеличению активности киберпреступников: зарегистрировано более 8,000 новых доменов, потенциально служащих платформами для будущих атак. Замеченные техники включают использование злонамеренных ZIP-архивов, содержащих файлы ярлыков Windows, которые загружают обратные двери, такие как LOTUSLITE, через подгрузку DLL и переименование легитимных приложений. Кроме того, несколько мошеннических схем, включая фишинговые сайты и поддельные страницы для пожертвований, связанные с текущими событиями, демонстрируют тенденцию к эксплуатации общественного интереса к конфликтам в корыстных целях.
-----

Недавние киберугрозы возросли в связи с продолжающимися геополитическими напряженностями на Ближнем Востоке, что проявляется в значительном увеличении киберпреступной активности, согласно Zscaler ThreatLabz. Они сообщили о более чем 8,000 новых зарегистрированных доменов, связанных с конфликтом, многие из которых в настоящее время неактивны, но могут служить платформами для будущих киберкампаний. Анализ показывает, что эти домены включают сайты-мошенники, магазины товаров, связанных с конфликтом, и игры на тему конфликта, все направлено на использование общественного интереса к текущим событиям.

Среди заметных атак одна из них заключалась в использовании ZIP-архива, содержащего вредоносный файл ярлыка Windows, который, будучи выполненным, инициировал серию загрузок, приводящих к развертыванию backdoor через цепочку, включающую скомпилированный файл справки HTML (CHM). Приманкой был поддельный PDF, якобы описывающий ракетные удары, и его содержание было разработано так, чтобы перекликаться с текущими событиями, в частности, ссылаясь на военные действия Ирана в регионе. Эксплуатация началась с использования ярлыка, предназначенного для загрузки вредоносного DLL-файла через DLL sideloading, демонстрируя сложные методы обфускации.

В другом выявленном случае, связанном с бэкдором под названием LOTUSLITE, киберпреступники использовали ZIP-файл, замаскированный под название, связанное с конфликтом. Исполнение этого файла запустило загрузку LOTUSLITE с помощью законного исполняемого файла музыкального программного обеспечения, который был переименован. Эта операция началась с проверки наличия определенных файлов, чтобы определить, установлен ли уже бэкдор. Если проверки прошли успешно, загрузчик продолжил копировать себя и безобидное приложение в определенную папку, одновременно обеспечивая постоянство, создавая запись в реестре. Кроме того, он проверил установку последующих вредоносных компонентов перед их выполнением или прибегая к выполнению встроенного shellcode.

Кроме того, ThreatLabz зафиксировала множество мошенничеств, включая поддельные сайты пожертвований, искажающие гуманитарные усилия, и фишинг-сайты, имитирующие легитимные платежные порталы. Например, один сайт выдавал себя за систему оплаты дорожных сборов в Израиле и перенаправлял данные жертвы на Telegram-бота, что создавало значительные риски для эксфильтрации данных.

Ландшафт угроз осложняется актерами, которые связывают свои злонамеренные действия с текущими событиями, указывая на шаблон, где темы, связанные с геополитической борьбой, быстро превращаются в оружие. Эти события подчеркивают срочную необходимость для организаций усилить свои меры кибербезопасности для защиты от этих новых угроз, особенно по мере того, как истории, связанные с конфликтами, продолжают вдохновлять различные формы киберпреступности.

#ParsedReport #CompletenessMedium
06-03-2026

Fake CleanMyMac site installs SHub Stealer and backdoors crypto wallets

https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-cleanmymac-site-installs-shub-stealer-and-backdoors-crypto-wallets

Report completeness: Medium

Actors/Campaigns:
Cleanmymac_impersonation

Threats:
Sparrow
Macc_stealer
Odyssey_stealer
Amos_stealer
Credential_stealing_technique
Clickfix_technique

Victims:
Macos users, Cryptocurrency users

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036.003, T1041, T1059, T1059.002, T1059.004, T1070.004, T1082, T1105, T1189, have more...

IOCs:
Domain: 3
Url: 2
File: 1

Soft:
Ledger Live, macOS, Telegram, Chrome, Opera, OperaGX, Vivaldi, Coccoc, Chrome Canary, Chromium, have more...

Wallets:
exodus_wallet, atomicwallet, ledger_wallet, trezor, metamask, coinbase, keplr, electrum, coinomi, wassabi, have more...

Crypto:
monero, dogecoin, binance

Algorithms:
zip, base64

Win API:
Arc

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-сайт, маскирующийся под CleanMyMac, был связан с распространением SHub Stealer, вредоносного ПО для macOS, предназначенного для сбора конфиденциальных данных, таких как пароли, информация о браузере и детали кошельков для криптовалюты. SHub использует геозонирование, прерывая инфекцию, если обнаруживается клавиатура на русском языке, и проводит обширный сбор данных из различных браузеров и расширений кошельков, в конечном итоге отправляя украденные данные на сервер командования и управления. Его постоянные возможности и изменения в приложениях дополнительно указывают на сложную операцию, что подразумевает целенаправленную киберпреступную кампанию.
-----

Fake веб-сайт, выдающий себя за CleanMyMac, используется для распространения SHub Stealer, вредоносного ПО для macOS, нацеленного на конфиденциальные пользовательские данные. SHub крадет сохраненные пароли, информацию о браузере, содержимое Apple Keychain, данные кошелька для криптовалют и сессии Telegram. Вредоносное ПО активируется с помощью команды в Терминале, выполняемой пользователями, что инициирует эксфиляцию данных. SHub применяет геозонирование, проверяя настройки клавиатуры на русском языке, и прерывает выполнение, если обнаруживает. Если проверка пройдена, оно отправляет данные системного профиля на сервер командования и управления по адресу res2erch-sl0ut.com. Вредоносное ПО нацелено на 14 браузеров на основе Chromium и Firefox для извлечения паролей, куки и данных автозаполнения, а также сканирует на наличие расширений для криптовалютных кошельков от 102 брендов. SHub сжимает собранные данные в ZIP-архив и передает их на сервер. Вредоносное ПО модифицирует приложения на основе Electron для постоянного доступа и изменяет приложения криптокошелька, чтобы отключить функции безопасности и запустить поддельные мастера восстановления. Операция указывает на профессионально разработанную модель вредоносного ПО как услуги с акцентом на специфические модификации кошельков. Пользователи предупреждаются о необходимости не выполнять команды в Терминале из непроверенных источников и рекомендуется проверять наличие несанкционированных файлов LaunchAgent. Если пользователи взаимодействовали с вредоносной командой, их учетные данные для кошелька могут быть скомпрометированы, что требует действий, таких как переводы средств и смена паролей. Связанные домены cleanmymacos.org и res2erch-sl0ut.com являются ключевыми для текущего мониторинга и смягчения последствий.

#ParsedReport #CompletenessMedium
06-03-2026

Dark Web Profile: APT41

https://socradar.io/blog/dark-web-profile-apt41/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: information_theft, financially_motivated, cyber_espionage)
Axiom

Threats:
Supply_chain_technique
Lolbin_technique
Log4shell_vuln
Spear-phishing_technique
Mimikatz_tool
Ntdsutil_tool
Process_hollowing_technique
Toughprogress
Credential_dumping_technique
Process_injection_technique
Passthehash_technique
Dead_drop_technique

Victims:
State government networks, Government entities, Policy adjacent organizations, Shipping and logistics, Technology, Media and entertainment, Automotive, Telecommunications, Energy, Healthcare, have more...

Industry:
Healthcare, Telco, Entertainment, Transport, Education, Energy, Logistic, Government

Geo:
Taiwan, Thailand, Italy, Spain, Turkey, China, United kingdom

CVEs:
CVE-2020-10189 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zohocorp manageengine_desktop_central (<10.0.479)

CVE-2021-44207 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- acclaimsystems usaherds (le7.4.0.1)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)


TTPs:
Tactics: 12
Technics: 94

Soft:
Active Directory, Unix, Windows Service

Algorithms:
zip

Win Services:
BITS

Languages:
powershell, javascript