#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные аналитические техники Infoblox, использующие теорию графов, улучшили обнаружение вредоносных доменов путем анализа SSL-сертификатов, выявляя ранее неизвестных угроз и их взаимосвязи. Используя журналы прозрачности сертификатов, исследователи классифицируют домены на вредоносные, подозрительные и неклассифицированные категории, что позволяет эффективно расставлять приоритеты в определении угроз. Методология выявляет риски через "вину по ассоциации", определяя кластеры вредоносных доменов, тем самым повышая осведомленность о новых угрозах и оперативных связях между различными участниками.
-----

Исследователи Infoblox используют теорию графов для анализа SSL-сертификатов, выявляя операционные связи между поведенческими актерами. Этот подход улучшает обнаружение вредоносных доменов, раскрывая ранее неизвестных акторов. Традиционные меры безопасности часто пропускают 57% вредоносных доменов, связанных с сертификатами. Метод использует журналы прозрачности сертификатов (Certificate Transparency, CT) для получения информации о проверке доменного контроля удостоверяющими центрами (CA). CA аутентифицируют право собственности через изменения DNS и проверку электронной почты. Анализ кластеров доменов требует обогащения данными о угрозах для классификации как вредоносные, подозрительные или неклассифицированные, что помогает в оценке рисков. Математическая модель устанавливает оценки рисков для различения кластера с высоким и низким риском. Система расширяет охват угроз, применяя "вину по ассоциации", нацеливаясь на домены в кластерах с известными вредоносными сущностями. Картирование поведенческих актеров через связанные домены выявляет кластеры с одним или несколькими актерами, что указывает на сотрудничество. Недавние находки связали кластеры с финансовым мошенничеством, сбором учетных данных и связанными доменами с популярными брендами и контентом для взрослых.

#ParsedReport #CompletenessLow
06-03-2026

One click on this fake Google Meet update can give attackers control of your PC

https://www.malwarebytes.com/blog/threat-intel/2026/03/one-click-on-this-fake-google-meet-update-can-give-attackers-control-of-your-pc

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1098, T1199, T1204.002, T1566

IOCs:
Domain: 3

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания выдает себя за обновление Google Meet, чтобы обмануть пользователей и предоставить злоумышленникам контроль над компьютерами с Windows. Эта техника обходит традиционные меры безопасности, используя легитимный диалог Windows для запроса "enrollment", манипулируя операционной системой для выполнения команд, не создавая заметного вредоносного ПО или не крадя учетные данные. Этот сдвиг к эксплуатации функциональностей системы, а не традиционного вредоносного ПО, подчеркивает тревожную тенденцию в киберугрозах.
-----

Недавняя угроза связана с фишинговой кампанией, которая маскируется под обновление Google Meet, обманывая пользователей и неосознанно предоставляя злоумышленникам контроль над их компьютерами с Windows. Эта техника использует обманчивый метод, который не полагается на традиционное вредоносное ПО или механизмы кражи учетных данных, что делает ее особенно коварной. Когда пользователи кликают по ссылке, представленное как обновление, они сталкиваются с запросом "записи", который является законным диалогом системы Windows. Тем самым, этот метод эффективно обходи общие меры безопасности, такие как предупреждения браузера и сканеры электронной почты, которые обычно предназначены для выявления вредоносных действий.

Этот процесс регистрации не включает никаких явных признаков кибератаки; не создаются вредоносные файлы или украденные пароли. Вместо этого операционная система манипулируется для выполнения команд от имени злоумышленников, используя действительные функции системы и облачные платформы без необходимости в отдельной загрузке вредоносного ПО. Этот сдвиг в тактике указывает на растущую тенденцию, когда злоумышленники все меньше полагаются на традиционные методы распространения вредоносного ПО и больше на эксплуатацию существующих функций в операционных системах.

Чтобы смягчить риск, который представляет эта тактика, лицам, которые подозревают, что стали жертвой этой атаки, рекомендуется проверить статус регистрации их устройства. Осведомленность о легитимных системных функциях, которые находятся под угрозой, имеет критическое значение, поскольку эта техника ярко иллюстрирует развивающийся ландшафт киберугроз, который приоритизирует скрытность и использование внутренних возможностей системы над явными злонамеренными действиями.

#ParsedReport #CompletenessHigh
06-03-2026

Middle East Conflict Fuels Opportunistic Cyber Attacks

https://www.zscaler.com/blogs/security-research/middle-east-conflict-fuels-opportunistic-cyber-attacks

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Lotuslite
Stealc
Pdq_connect_tool

Victims:
Gulf cooperation council region users, General users targeted by phishing and scams, Social security users, Toll payment users

Industry:
Petroleum, Transport, Military, Government

Geo:
Iran, Israeli, Middle east, Israel, Bahrain, Venezuela, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.003, T1059.003, T1071.001, T1102.002, T1105, T1140, T1204.001, T1204.002, T1218.001, have more...

IOCs:
File: 9
Url: 3
Path: 9
Registry: 2
Domain: 15
IP: 2
Hash: 6

Soft:
cURL, Chrome, Telegram

Algorithms:
rc4, md5, zip

Functions:
DLL

Win API:
RegSetValueExA, VirtualAlloc, CreateProcessW, EnumFontsW

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы, связанные с геополитическими напряжениями на Ближнем Востоке, привели к увеличению активности киберпреступников: зарегистрировано более 8,000 новых доменов, потенциально служащих платформами для будущих атак. Замеченные техники включают использование злонамеренных ZIP-архивов, содержащих файлы ярлыков Windows, которые загружают обратные двери, такие как LOTUSLITE, через подгрузку DLL и переименование легитимных приложений. Кроме того, несколько мошеннических схем, включая фишинговые сайты и поддельные страницы для пожертвований, связанные с текущими событиями, демонстрируют тенденцию к эксплуатации общественного интереса к конфликтам в корыстных целях.
-----

Недавние киберугрозы возросли в связи с продолжающимися геополитическими напряженностями на Ближнем Востоке, что проявляется в значительном увеличении киберпреступной активности, согласно Zscaler ThreatLabz. Они сообщили о более чем 8,000 новых зарегистрированных доменов, связанных с конфликтом, многие из которых в настоящее время неактивны, но могут служить платформами для будущих киберкампаний. Анализ показывает, что эти домены включают сайты-мошенники, магазины товаров, связанных с конфликтом, и игры на тему конфликта, все направлено на использование общественного интереса к текущим событиям.

Среди заметных атак одна из них заключалась в использовании ZIP-архива, содержащего вредоносный файл ярлыка Windows, который, будучи выполненным, инициировал серию загрузок, приводящих к развертыванию backdoor через цепочку, включающую скомпилированный файл справки HTML (CHM). Приманкой был поддельный PDF, якобы описывающий ракетные удары, и его содержание было разработано так, чтобы перекликаться с текущими событиями, в частности, ссылаясь на военные действия Ирана в регионе. Эксплуатация началась с использования ярлыка, предназначенного для загрузки вредоносного DLL-файла через DLL sideloading, демонстрируя сложные методы обфускации.

В другом выявленном случае, связанном с бэкдором под названием LOTUSLITE, киберпреступники использовали ZIP-файл, замаскированный под название, связанное с конфликтом. Исполнение этого файла запустило загрузку LOTUSLITE с помощью законного исполняемого файла музыкального программного обеспечения, который был переименован. Эта операция началась с проверки наличия определенных файлов, чтобы определить, установлен ли уже бэкдор. Если проверки прошли успешно, загрузчик продолжил копировать себя и безобидное приложение в определенную папку, одновременно обеспечивая постоянство, создавая запись в реестре. Кроме того, он проверил установку последующих вредоносных компонентов перед их выполнением или прибегая к выполнению встроенного shellcode.

Кроме того, ThreatLabz зафиксировала множество мошенничеств, включая поддельные сайты пожертвований, искажающие гуманитарные усилия, и фишинг-сайты, имитирующие легитимные платежные порталы. Например, один сайт выдавал себя за систему оплаты дорожных сборов в Израиле и перенаправлял данные жертвы на Telegram-бота, что создавало значительные риски для эксфильтрации данных.

Ландшафт угроз осложняется актерами, которые связывают свои злонамеренные действия с текущими событиями, указывая на шаблон, где темы, связанные с геополитической борьбой, быстро превращаются в оружие. Эти события подчеркивают срочную необходимость для организаций усилить свои меры кибербезопасности для защиты от этих новых угроз, особенно по мере того, как истории, связанные с конфликтами, продолжают вдохновлять различные формы киберпреступности.

#ParsedReport #CompletenessMedium
06-03-2026

Fake CleanMyMac site installs SHub Stealer and backdoors crypto wallets

https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-cleanmymac-site-installs-shub-stealer-and-backdoors-crypto-wallets

Report completeness: Medium

Actors/Campaigns:
Cleanmymac_impersonation

Threats:
Sparrow
Macc_stealer
Odyssey_stealer
Amos_stealer
Credential_stealing_technique
Clickfix_technique

Victims:
Macos users, Cryptocurrency users

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036.003, T1041, T1059, T1059.002, T1059.004, T1070.004, T1082, T1105, T1189, have more...

IOCs:
Domain: 3
Url: 2
File: 1

Soft:
Ledger Live, macOS, Telegram, Chrome, Opera, OperaGX, Vivaldi, Coccoc, Chrome Canary, Chromium, have more...

Wallets:
exodus_wallet, atomicwallet, ledger_wallet, trezor, metamask, coinbase, keplr, electrum, coinomi, wassabi, have more...

Crypto:
monero, dogecoin, binance

Algorithms:
zip, base64

Win API:
Arc

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-сайт, маскирующийся под CleanMyMac, был связан с распространением SHub Stealer, вредоносного ПО для macOS, предназначенного для сбора конфиденциальных данных, таких как пароли, информация о браузере и детали кошельков для криптовалюты. SHub использует геозонирование, прерывая инфекцию, если обнаруживается клавиатура на русском языке, и проводит обширный сбор данных из различных браузеров и расширений кошельков, в конечном итоге отправляя украденные данные на сервер командования и управления. Его постоянные возможности и изменения в приложениях дополнительно указывают на сложную операцию, что подразумевает целенаправленную киберпреступную кампанию.
-----

Fake веб-сайт, выдающий себя за CleanMyMac, используется для распространения SHub Stealer, вредоносного ПО для macOS, нацеленного на конфиденциальные пользовательские данные. SHub крадет сохраненные пароли, информацию о браузере, содержимое Apple Keychain, данные кошелька для криптовалют и сессии Telegram. Вредоносное ПО активируется с помощью команды в Терминале, выполняемой пользователями, что инициирует эксфиляцию данных. SHub применяет геозонирование, проверяя настройки клавиатуры на русском языке, и прерывает выполнение, если обнаруживает. Если проверка пройдена, оно отправляет данные системного профиля на сервер командования и управления по адресу res2erch-sl0ut.com. Вредоносное ПО нацелено на 14 браузеров на основе Chromium и Firefox для извлечения паролей, куки и данных автозаполнения, а также сканирует на наличие расширений для криптовалютных кошельков от 102 брендов. SHub сжимает собранные данные в ZIP-архив и передает их на сервер. Вредоносное ПО модифицирует приложения на основе Electron для постоянного доступа и изменяет приложения криптокошелька, чтобы отключить функции безопасности и запустить поддельные мастера восстановления. Операция указывает на профессионально разработанную модель вредоносного ПО как услуги с акцентом на специфические модификации кошельков. Пользователи предупреждаются о необходимости не выполнять команды в Терминале из непроверенных источников и рекомендуется проверять наличие несанкционированных файлов LaunchAgent. Если пользователи взаимодействовали с вредоносной командой, их учетные данные для кошелька могут быть скомпрометированы, что требует действий, таких как переводы средств и смена паролей. Связанные домены cleanmymacos.org и res2erch-sl0ut.com являются ключевыми для текущего мониторинга и смягчения последствий.

#ParsedReport #CompletenessMedium
06-03-2026

Dark Web Profile: APT41

https://socradar.io/blog/dark-web-profile-apt41/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: information_theft, financially_motivated, cyber_espionage)
Axiom

Threats:
Supply_chain_technique
Lolbin_technique
Log4shell_vuln
Spear-phishing_technique
Mimikatz_tool
Ntdsutil_tool
Process_hollowing_technique
Toughprogress
Credential_dumping_technique
Process_injection_technique
Passthehash_technique
Dead_drop_technique

Victims:
State government networks, Government entities, Policy adjacent organizations, Shipping and logistics, Technology, Media and entertainment, Automotive, Telecommunications, Energy, Healthcare, have more...

Industry:
Healthcare, Telco, Entertainment, Transport, Education, Energy, Logistic, Government

Geo:
Taiwan, Thailand, Italy, Spain, Turkey, China, United kingdom

CVEs:
CVE-2020-10189 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zohocorp manageengine_desktop_central (<10.0.479)

CVE-2021-44207 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- acclaimsystems usaherds (le7.4.0.1)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)


TTPs:
Tactics: 12
Technics: 94

Soft:
Active Directory, Unix, Windows Service

Algorithms:
zip

Win Services:
BITS

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT41, китайский угрозный актер, занимается спонсируемым государством шпионажем и преступностью с целью получения прибыли, используя уязвимости в системах, доступных для общества, с 2007 года. Используя нулевые и n-дневные уязвимости, такие как CVE-2019-19781 и CVE-2021-44228, APT41 проводит целевую фишинг-атаку для начального доступа и поддерживает устойчивость с помощью инструментов, таких как Mimikatz, для кражи учетных данных. Их коммуникации часто маскируют действия командования и управления, используя законные услуги для скрытия эксфиляции, что демонстрируется операциями, нацеленными на различные секторы, включая правительство и здравоохранение.
-----

APT41, сложный киберугрозный актор, связанный с Китаем, действует с двойной миссией: государственным шпионажем и киберпреступностью, ориентированной на прибыль. С тех пор как его деятельность была впервые зафиксирована еще в 2007 году, APT41 продемонстрировал выдающуюся адаптивность, быстро использует новые уязвимости в публично доступных системах, легко сочетая свои операции с легитимной деятельностью. Группа, известная под различными псевдонимами, такими как Double Dragon и Wicked Panda, осуществила вторжения в широкий спектр секторов, включая технологии, логистику, СМИ и здравоохранение, подчеркивая свои стратегические и финансовые цели.

Техники атак APT41 иллюстрируют их подход, основанный на использовании уязвимостей, в основном нацелен на общедоступные приложения с использованием как нулевых, так и многоразовых уязвимостей. Среди заметных уязвимостей, связанных с их деятельностью, находятся уязвимости в Citrix NetScaler (CVE-2019-19781), Zoho ManageEngine Desktop Central (CVE-2020-10189) и печально известный Log4Shell (CVE-2021-44228). Кроме эксплойтов, они используют спам-аферу (spearphishing) как метод первоначального доступа, часто развертывая вредоносные вложения или ссылки.

После проникновения в инфраструктуру целевой организации, APT41 использует скрытные техники для поддержания своего присутствия, при этом сильно полагается на встроенные утилиты Windows, такие как PowerShell и командная оболочка Windows, чтобы замаскировать свои действия под легитимную административную работу. Их стратегии сохранения доступа включают кражу учетных данных, использование инструментов, таких как Mimikatz, для извлечения учетных данных из памяти, а также различные методы поддержания доступа, такие как создание новых учетных записей пользователей и использование служб Windows.

Коммуникации командного и контрольного центра (C2) для APT41 заметно разнообразны и часто маскируются под законные веб-сервисы, включая HTTP/HTTPS и, что интересно, Google Calendar для передачи команд и эксфильтрации данных. Методы эксфильтрации обычно включают архивирование данных и интеграцию их в рутинное использование облачного хранилища, такого как OneDrive, что позволяет избежать обнаружения.

Значимые операции APT41 включают в себя высокопрофильные фишинговые кампании, нацеленные на организации и государственные структуры США, а также усилия по вторжению в сети государственных правительств с использованием уязвимостей, таких как CVE-2021-44207. Этот подход двойного назначения, сочетающий шпионаж с атаками, мотивированными финансами, также был выделен в инцидентах, касающихся игровой индустрии.

Рекомендации по защите против APT41 включают в себя усиление интернет-приложений, внедрение надежной многофакторной аутентификации, мониторинг на предмет неправомерного использования встроенных административных инструментов и усиление защиты от фишинга. Постоянная бдительность в отношении необычных паттернов доступа и частые обновления уязвимого программного обеспечения имеют решающее значение для противодействия этой развивающейся угрозе.

#ParsedReport #CompletenessMedium
06-03-2026

MAAS VIP_Keylogger Campaign

https://labs.k7computing.com/index.php/maas-vip_keylogger-campaign/

Report completeness: Medium

Threats:
Vipkeylogger
Spear-phishing_technique
Steganography_technique
Process_hollowing_technique
Antivm_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.003, T1041, T1055.012, T1071.001, T1071.003, T1140, T1204.002, T1552.001, T1552.003, have more...

IOCs:
File: 7
Email: 2
Domain: 4
Hash: 4
IP: 1

Soft:
Chrome, Slimjet, Blisk, Nichrome, Vivaldi, Sleipnir, Kometa, Torch, Kinza, Chrome_Canary, have more...

Algorithms:
aes-256, aes

Win API:
ResumeThread, SetThreadContext, GetThreadContext, VirtualAllocEx, WriteProcessMemory, ReadProcessMemory, ZwUnmapViewOfSection, CreateProcessA, CryptUnprotectdata

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MAAS VIP_Keylogger использует сложные методы для инфицирования системы и извлечения данных, начиная с вредоносного ПО, доставляемого через файл RAR в обманном электронном письме. Вредоносное ПО использует формат .NET PE и процессное холлоуинг, чтобы работать полностью в памяти, обеспечивая скрытность. Оно захватывает конфиденциальную информацию из браузеров и коммуникационных приложений, эксфильтруя данные через такие методы, как FTP, SMTP и API мессенджеров, подчеркивая сочетание социальной инженерии и современных тактик вредоносного ПО.
-----

Кампания MAAS VIP_Keylogger использует сложные техники для инфицирования систем и извлечения конфиденциальной информации. Начальный вектор инфекции включает в себя электронное письмо, которое заманивает жертв в открытие RAR-файла, который содержит исполняемый файл с именем RN ZM VE TEKNK ZELLKLER_xlsx.exe. Когда он запускается, этот файл извлекает и запускает VIP_Keylogger полностью в памяти, предотвращая взаимодействие с файловой системой.

В первом зафиксированном случае вредоносное ПО использует формат .NET Portable Executable (PE), который скрывает два DLL в своем разделе ресурсов, используя стеганографию для скрытия второго DLL, Vertical bars.dll, внутри файла PNG. Этот DLL организует технику полостного процесса для выполнения полезной нагрузки VIP_Keylogger в контексте законного процесса. Во втором случае описывается стандартный PE-файл, который содержит AES-зашифрованные байты полезной нагрузки в своем разделе данных. После расшифровки этих байтов в памяти, он патчит AMSI (Интерфейс сканирования антивредоносного ПО) и трассировку событий для Windows (ETW), чтобы загрузить кейлоггер с использованием .NET Common Language Runtime (CLR).

VIP_Keylogger включает в себя различные функции, которые позволяют ему мониторить и захватывать чувствительные данные. Он может извлекать куки браузера, учетные данные для входа, данные кредитных карт и URL-адреса из нескольких приложений, храня эти данные в базе данных SQLite. Примечательно, что для браузеров, использующих шифрование AES-256 GCM, кейлоггер может расшифровывать хранимые пароли, получая доступ к мастер-ключу и используя DPAPI (интерфейс программирования приложений для защиты данных). Для устаревших браузеров расшифровка осуществляется через API CryptUnprotectData.

Малварь нацеливается на несколько клиентов электронной почты, включая Outlook, Foxmail и Thunderbird. В Outlook она собирает учетные данные из реестра, осуществляя поиск специфичных конфигураций POP3, IMAP, HTTP и SMTP. Для Foxmail она извлекает пароли с использованием команд, указанных в пути установки. Между тем, Thunderbird и Postbox следуют аналогичному шаблону операций, основанным на Firefox, используя API PK11SDR_Decrypt.

Дополнительно, кейлоггер захватывает учетные данные из коммуникационных приложений, таких как Discord и FileZilla. Он извлекает токены Discord из папок leveldb и получает детали подключения из FileZilla, читая файл recentservers.xml.

Когда речь заходит о эксфильтрации украденных данных, VIP_Keylogger использует несколько каналов, включая FTP, SMTP и API из мессенджеров, таких как Telegram и Discord. Анализ вредоносного ПО показал, что оно часто отправляет логи по электронной почте, в частности используя SMTP для передачи данных от "logs@gtpv . online" к "log@gtpv . online" через сервер хостинг-провайдера.

Эта кампания сочетает в себе социальную инженерию с передовыми техниками вредоносного ПО для компрометации систем и сбора конфиденциальных данных, подчеркивая критическую необходимость в надежных практиках кибербезопасности.

#ParsedReport #CompletenessMedium
06-03-2026

Analysis of VioletRAT malware carried in Italy

https://cert-agid.gov.it/news/analisi-del-malware-violetrat-veicolato-in-italia/

Report completeness: Medium

Threats:
Violet_rat
Ngrok_tool
Hvnc_tool
Uac_bypass_technique

Geo:
Italy

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 4

Soft:
Windows Defender

Algorithms:
aes, md5, base64

Functions:
GetTok

Win API:
mouse_event

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4