#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-сайт, маскирующийся под CleanMyMac, был связан с распространением SHub Stealer, вредоносного ПО для macOS, предназначенного для сбора конфиденциальных данных, таких как пароли, информация о браузере и детали кошельков для криптовалюты. SHub использует геозонирование, прерывая инфекцию, если обнаруживается клавиатура на русском языке, и проводит обширный сбор данных из различных браузеров и расширений кошельков, в конечном итоге отправляя украденные данные на сервер командования и управления. Его постоянные возможности и изменения в приложениях дополнительно указывают на сложную операцию, что подразумевает целенаправленную киберпреступную кампанию.
-----

Fake веб-сайт, выдающий себя за CleanMyMac, используется для распространения SHub Stealer, вредоносного ПО для macOS, нацеленного на конфиденциальные пользовательские данные. SHub крадет сохраненные пароли, информацию о браузере, содержимое Apple Keychain, данные кошелька для криптовалют и сессии Telegram. Вредоносное ПО активируется с помощью команды в Терминале, выполняемой пользователями, что инициирует эксфиляцию данных. SHub применяет геозонирование, проверяя настройки клавиатуры на русском языке, и прерывает выполнение, если обнаруживает. Если проверка пройдена, оно отправляет данные системного профиля на сервер командования и управления по адресу res2erch-sl0ut.com. Вредоносное ПО нацелено на 14 браузеров на основе Chromium и Firefox для извлечения паролей, куки и данных автозаполнения, а также сканирует на наличие расширений для криптовалютных кошельков от 102 брендов. SHub сжимает собранные данные в ZIP-архив и передает их на сервер. Вредоносное ПО модифицирует приложения на основе Electron для постоянного доступа и изменяет приложения криптокошелька, чтобы отключить функции безопасности и запустить поддельные мастера восстановления. Операция указывает на профессионально разработанную модель вредоносного ПО как услуги с акцентом на специфические модификации кошельков. Пользователи предупреждаются о необходимости не выполнять команды в Терминале из непроверенных источников и рекомендуется проверять наличие несанкционированных файлов LaunchAgent. Если пользователи взаимодействовали с вредоносной командой, их учетные данные для кошелька могут быть скомпрометированы, что требует действий, таких как переводы средств и смена паролей. Связанные домены cleanmymacos.org и res2erch-sl0ut.com являются ключевыми для текущего мониторинга и смягчения последствий.

#ParsedReport #CompletenessMedium
06-03-2026

Dark Web Profile: APT41

https://socradar.io/blog/dark-web-profile-apt41/

Report completeness: Medium

Actors/Campaigns:
Winnti (motivation: information_theft, financially_motivated, cyber_espionage)
Axiom

Threats:
Supply_chain_technique
Lolbin_technique
Log4shell_vuln
Spear-phishing_technique
Mimikatz_tool
Ntdsutil_tool
Process_hollowing_technique
Toughprogress
Credential_dumping_technique
Process_injection_technique
Passthehash_technique
Dead_drop_technique

Victims:
State government networks, Government entities, Policy adjacent organizations, Shipping and logistics, Technology, Media and entertainment, Automotive, Telecommunications, Energy, Healthcare, have more...

Industry:
Healthcare, Telco, Entertainment, Transport, Education, Energy, Logistic, Government

Geo:
Taiwan, Thailand, Italy, Spain, Turkey, China, United kingdom

CVEs:
CVE-2020-10189 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zohocorp manageengine_desktop_central (<10.0.479)

CVE-2021-44207 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- acclaimsystems usaherds (le7.4.0.1)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)


TTPs:
Tactics: 12
Technics: 94

Soft:
Active Directory, Unix, Windows Service

Algorithms:
zip

Win Services:
BITS

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT41, китайский угрозный актер, занимается спонсируемым государством шпионажем и преступностью с целью получения прибыли, используя уязвимости в системах, доступных для общества, с 2007 года. Используя нулевые и n-дневные уязвимости, такие как CVE-2019-19781 и CVE-2021-44228, APT41 проводит целевую фишинг-атаку для начального доступа и поддерживает устойчивость с помощью инструментов, таких как Mimikatz, для кражи учетных данных. Их коммуникации часто маскируют действия командования и управления, используя законные услуги для скрытия эксфиляции, что демонстрируется операциями, нацеленными на различные секторы, включая правительство и здравоохранение.
-----

APT41, сложный киберугрозный актор, связанный с Китаем, действует с двойной миссией: государственным шпионажем и киберпреступностью, ориентированной на прибыль. С тех пор как его деятельность была впервые зафиксирована еще в 2007 году, APT41 продемонстрировал выдающуюся адаптивность, быстро использует новые уязвимости в публично доступных системах, легко сочетая свои операции с легитимной деятельностью. Группа, известная под различными псевдонимами, такими как Double Dragon и Wicked Panda, осуществила вторжения в широкий спектр секторов, включая технологии, логистику, СМИ и здравоохранение, подчеркивая свои стратегические и финансовые цели.

Техники атак APT41 иллюстрируют их подход, основанный на использовании уязвимостей, в основном нацелен на общедоступные приложения с использованием как нулевых, так и многоразовых уязвимостей. Среди заметных уязвимостей, связанных с их деятельностью, находятся уязвимости в Citrix NetScaler (CVE-2019-19781), Zoho ManageEngine Desktop Central (CVE-2020-10189) и печально известный Log4Shell (CVE-2021-44228). Кроме эксплойтов, они используют спам-аферу (spearphishing) как метод первоначального доступа, часто развертывая вредоносные вложения или ссылки.

После проникновения в инфраструктуру целевой организации, APT41 использует скрытные техники для поддержания своего присутствия, при этом сильно полагается на встроенные утилиты Windows, такие как PowerShell и командная оболочка Windows, чтобы замаскировать свои действия под легитимную административную работу. Их стратегии сохранения доступа включают кражу учетных данных, использование инструментов, таких как Mimikatz, для извлечения учетных данных из памяти, а также различные методы поддержания доступа, такие как создание новых учетных записей пользователей и использование служб Windows.

Коммуникации командного и контрольного центра (C2) для APT41 заметно разнообразны и часто маскируются под законные веб-сервисы, включая HTTP/HTTPS и, что интересно, Google Calendar для передачи команд и эксфильтрации данных. Методы эксфильтрации обычно включают архивирование данных и интеграцию их в рутинное использование облачного хранилища, такого как OneDrive, что позволяет избежать обнаружения.

Значимые операции APT41 включают в себя высокопрофильные фишинговые кампании, нацеленные на организации и государственные структуры США, а также усилия по вторжению в сети государственных правительств с использованием уязвимостей, таких как CVE-2021-44207. Этот подход двойного назначения, сочетающий шпионаж с атаками, мотивированными финансами, также был выделен в инцидентах, касающихся игровой индустрии.

Рекомендации по защите против APT41 включают в себя усиление интернет-приложений, внедрение надежной многофакторной аутентификации, мониторинг на предмет неправомерного использования встроенных административных инструментов и усиление защиты от фишинга. Постоянная бдительность в отношении необычных паттернов доступа и частые обновления уязвимого программного обеспечения имеют решающее значение для противодействия этой развивающейся угрозе.

#ParsedReport #CompletenessMedium
06-03-2026

MAAS VIP_Keylogger Campaign

https://labs.k7computing.com/index.php/maas-vip_keylogger-campaign/

Report completeness: Medium

Threats:
Vipkeylogger
Spear-phishing_technique
Steganography_technique
Process_hollowing_technique
Antivm_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.003, T1041, T1055.012, T1071.001, T1071.003, T1140, T1204.002, T1552.001, T1552.003, have more...

IOCs:
File: 7
Email: 2
Domain: 4
Hash: 4
IP: 1

Soft:
Chrome, Slimjet, Blisk, Nichrome, Vivaldi, Sleipnir, Kometa, Torch, Kinza, Chrome_Canary, have more...

Algorithms:
aes-256, aes

Win API:
ResumeThread, SetThreadContext, GetThreadContext, VirtualAllocEx, WriteProcessMemory, ReadProcessMemory, ZwUnmapViewOfSection, CreateProcessA, CryptUnprotectdata

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MAAS VIP_Keylogger использует сложные методы для инфицирования системы и извлечения данных, начиная с вредоносного ПО, доставляемого через файл RAR в обманном электронном письме. Вредоносное ПО использует формат .NET PE и процессное холлоуинг, чтобы работать полностью в памяти, обеспечивая скрытность. Оно захватывает конфиденциальную информацию из браузеров и коммуникационных приложений, эксфильтруя данные через такие методы, как FTP, SMTP и API мессенджеров, подчеркивая сочетание социальной инженерии и современных тактик вредоносного ПО.
-----

Кампания MAAS VIP_Keylogger использует сложные техники для инфицирования систем и извлечения конфиденциальной информации. Начальный вектор инфекции включает в себя электронное письмо, которое заманивает жертв в открытие RAR-файла, который содержит исполняемый файл с именем RN ZM VE TEKNK ZELLKLER_xlsx.exe. Когда он запускается, этот файл извлекает и запускает VIP_Keylogger полностью в памяти, предотвращая взаимодействие с файловой системой.

В первом зафиксированном случае вредоносное ПО использует формат .NET Portable Executable (PE), который скрывает два DLL в своем разделе ресурсов, используя стеганографию для скрытия второго DLL, Vertical bars.dll, внутри файла PNG. Этот DLL организует технику полостного процесса для выполнения полезной нагрузки VIP_Keylogger в контексте законного процесса. Во втором случае описывается стандартный PE-файл, который содержит AES-зашифрованные байты полезной нагрузки в своем разделе данных. После расшифровки этих байтов в памяти, он патчит AMSI (Интерфейс сканирования антивредоносного ПО) и трассировку событий для Windows (ETW), чтобы загрузить кейлоггер с использованием .NET Common Language Runtime (CLR).

VIP_Keylogger включает в себя различные функции, которые позволяют ему мониторить и захватывать чувствительные данные. Он может извлекать куки браузера, учетные данные для входа, данные кредитных карт и URL-адреса из нескольких приложений, храня эти данные в базе данных SQLite. Примечательно, что для браузеров, использующих шифрование AES-256 GCM, кейлоггер может расшифровывать хранимые пароли, получая доступ к мастер-ключу и используя DPAPI (интерфейс программирования приложений для защиты данных). Для устаревших браузеров расшифровка осуществляется через API CryptUnprotectData.

Малварь нацеливается на несколько клиентов электронной почты, включая Outlook, Foxmail и Thunderbird. В Outlook она собирает учетные данные из реестра, осуществляя поиск специфичных конфигураций POP3, IMAP, HTTP и SMTP. Для Foxmail она извлекает пароли с использованием команд, указанных в пути установки. Между тем, Thunderbird и Postbox следуют аналогичному шаблону операций, основанным на Firefox, используя API PK11SDR_Decrypt.

Дополнительно, кейлоггер захватывает учетные данные из коммуникационных приложений, таких как Discord и FileZilla. Он извлекает токены Discord из папок leveldb и получает детали подключения из FileZilla, читая файл recentservers.xml.

Когда речь заходит о эксфильтрации украденных данных, VIP_Keylogger использует несколько каналов, включая FTP, SMTP и API из мессенджеров, таких как Telegram и Discord. Анализ вредоносного ПО показал, что оно часто отправляет логи по электронной почте, в частности используя SMTP для передачи данных от "logs@gtpv . online" к "log@gtpv . online" через сервер хостинг-провайдера.

Эта кампания сочетает в себе социальную инженерию с передовыми техниками вредоносного ПО для компрометации систем и сбора конфиденциальных данных, подчеркивая критическую необходимость в надежных практиках кибербезопасности.

#ParsedReport #CompletenessMedium
06-03-2026

Analysis of VioletRAT malware carried in Italy

https://cert-agid.gov.it/news/analisi-del-malware-violetrat-veicolato-in-italia/

Report completeness: Medium

Threats:
Violet_rat
Ngrok_tool
Hvnc_tool
Uac_bypass_technique

Geo:
Italy

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 4

Soft:
Windows Defender

Algorithms:
aes, md5, base64

Functions:
GetTok

Win API:
mouse_event

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Malware VioletRAT версии 4.7 эволюционировал в своей инфраструктуре командования и управления, особенно нацеливаясь на пользователей в Италии, что указывает на возможную сегментацию в его операциях. Анализ выполнялся с использованием извлечения памяти и декомпиляции, что выявило динамический инструмент удаленного доступа с расширенной системной разведкой, выполнением команд и возможностями эксфильтрации данных. Особенности включают кражу учетных данных, мониторинг производительности, манипулирование взаимодействием с пользователем и скрытные операции, такие как обход UAC, подчеркивая его потенциал в шпионаже и саботаже.
-----

Анализ вредоносного ПО VioletRAT указывает на эволюцию в его операционной инфраструктуре, особенно в кампании, нацеленной на пользователей в Италии. Хотя более ранние оценки оставляли некоторую неопределенность относительно идентичности вредоносного ПО, недавние данные указывают на то, что это версия 4.7 VioletRAT. Эта версия, по-видимому, работает на другой настройке управления и контроля (C2), чем ранее идентифицированная, что потенциально указывает на сегментацию кампаний, использующих похожие техники и ресурсы.

Для обоснования этой идентификации следственный процесс включал извлечение памяти, где использовался скрипт на Python для сканирования действительных PE-заголовков и восстановления бинарных файлов из дампа памяти. Впоследствии для декомпиляции идентифицированного .NET полезного груза был использован ILSpy, что выявило сложный имплант удаленного доступа (RAT). Этот имплант демонстрирует динамическое C2 начальное развертывание, воплощая собой всеобъемлющие функции удаленного управления над системой скомпрометированной жертвы.

Статический анализ показывает, что вредоносное ПО обладает мощными возможностями системной разведки, используя "INFO beacon" для передачи системных данных на C2. Более того, наличие маркеров версии указывает на повторное использование кода в различных сборках VioletRAT, демонстрируя модульную природу вредоносного ПО. Команды, встроенные в компилированный код, иллюстрируют обширный операционный инструментариум, позволяя злоумышленнику выполнять команды, извлекать информацию о системе, манипулировать процессами и проводить эксфильтрацию данных. Вредоносное ПО может удаленно выполнять команды, завершать процессы и управлять файлами, эффективно предоставляя злоумышленнику значительный контроль над инфицированной машиной.

Дополнительные функции, отмеченные в анализе, включают модули для кражи учетных данных, мониторинга производительности и манипулирования взаимодействием с пользователем, наряду со скрытными операциями, которые включают обход UAC и постоянные полезные нагрузки. Эта специализированная функциональность подчеркивает способность вредоносного ПО вести шпионскую деятельность, а также реализовывать стратегии операционного саботажа.

#ParsedReport #CompletenessHigh
06-03-2026

TAXISPY RAT : Analysis of TaxiSpy RAT Russian Banking Focused Android Malware with Full Remote Control

https://www.cyfirma.com/research/taxispy-rat-analysis-of-taxispy-rat-russian-banking-focused-android-malware-with-full-remote-control/

Report completeness: High

Threats:
Taxispy

Victims:
Financial institutions, Banking customers, Russian users

Industry:
E-commerce, Financial, Government

Geo:
Russia, Russian

TTPs:
Tactics: 9
Technics: 26

IOCs:
IP: 1
Url: 1
Hash: 1

Soft:
Android

Algorithms:
xor

Functions:
getBotId, getServerListNative, getWebviewUrlNative, getWorkerKeyNative, A12, A213

Languages:
java, python

Platforms:
arm

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TaxiSpy RAT — это продвинутый банковский троян для Android, который сочетает в себе функции удаленного доступа (RAT) и нацеливается на российские финансовые учреждения. Он использует методы уклонения, такие как шифрование нативных библиотек и обфускацию с помощью переменного XOR, чтобы скрытно проводить обширное наблюдение за устройствами и перехватывать конфиденциальную информацию, включая банковские учетные данные и одноразовые пароли. Связь с его сервером командования и управления (C2) осуществляется через протоколы HTTP POST и WebSocket, используя Firebase для постоянного удаленного доступа и применяя различные тактики для поддержания длительной скрытности.
-----

TaxiSpy RAT — это продвинутый банковский троян для Android с функциональностью Trojan удаленного доступа, нацеленный на российские финансовые учреждения.

Он использует техники уклонения, такие как шифрование библиотек и скользящее XOR-обфусцирование строк для скрытной операции.

Малварь проводит всестороннее наблюдение за устройством, нацеливаясь на SMS, журналы звонков, контакты и уведомления для кражи конфиденциальной информации.

TaxiSpy RAT обнаруживает и расшифровывает список целевых российских банковских приложений для захвата учетных данных и мониторинга транзакций.

Он использует нативную библиотеку под названием sysruntime.so, предназначенную для обхода статического анализа.

Адреса серверов управления и контроля, учетные данные Firebase и данные конфигурации шифруются с использованием методов XOR.

Связь с C2 сервером осуществляется через протоколы HTTP POST и WebSocket, что облегчает динамическое выполнение команд.

Малварь запрашивает обширные разрешения, нетипичные для легитимных приложений, что позволяет ей перехватывать одноразовые пароли и отслеживать активности пользователей.

Он использует тактику скрытности, чтобы предотвратить появление своего значка в запускателях устройств.

TaxiSpy RAT систематически профилирует зараженные устройства, захватывая данные из уведомлений, SMS, журналов вызовов и содержимого буфера обмена.

Он может установить себя в качестве приложения для SMS по умолчанию, позволяя скрытую перехватку кодов подтверждения.

Оперативная безопасность включает в себя Firebase для C2-коммуникаций, используя push-уведомления для сохранения активности против попыток завершения со стороны пользователя.

Многоуровневая архитектура постоянства использует автоматический запуск при загрузке, службы доступности и запланированные будильники.

Выявленный C2-сервер (193.233.112.229) использует обфускацию и динамические методы дешифрования для усложнения анализа.

Малварь в первую очередь нацелена на русскоязычных пользователей с помощью социальной инженерии и переупаковки популярных приложений.

TaxiSpy RAT обозначает эволюцию угроз банковского мошенничества на Android, представляя собой высокие риски для пользователей и финансовых учреждений.

#ParsedReport #CompletenessLow
06-03-2026

INC Ransom Affiliate Model Enabling Targeting of Critical Networks

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks

Report completeness: Low

Actors/Campaigns:
Inc_ransomware
Scorpion

Threats:
Inc_ransomware
Spear-phishing_technique
Rclone_tool
Lynx
Nemty
Karma
Nokoyawa
Teamviewer_tool
Anydesk_tool
Byovd_technique
Credential_dumping_technique
Netscan_tool

Victims:
Health care, Professional services, Health care providers worldwide, Tongan ministry of health

Industry:
Government, Healthcare

Geo:
New zealand, Australian, Pacific, United kingdom, Australia, Tonga

TTPs:
Tactics: 6
Technics: 29

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа-вымогатель INC Ransom возникла в середине 2023 года и нацелена на критические сети, особенно в секторе здравоохранения Австралии, Новой Зеландии и Тонга. Они работают по модели Ransomware-as-a-Service, применяя техники двойного вымогательства, похищая конфиденциальные данные и шифруя файлы, при этом первичный доступ получен через скомпрометированные учетные данные или эксплуатируя уязвимости на публичных ресурсах. Их тактики включают сброс учетных данных, атаки методом грубой силы, боковое перемещение и использование легитимных инструментов для эксфиляции данных, сосредотачиваясь на нарушении национальных служб здравоохранения.
-----

INC Ransom — это группа-вымогатель программного обеспечения, которая появилась в середине 2023 года и нацелена на критически важные сети, особенно в секторе здравоохранения Австралии, Новой Зеландии и Тонги. Они функционируют по модели Ransomware-as-a-Service (RaaS) и используют тактику двойного вымогательства, похищая данные и шифруя файлы, угрожая их разглашением через сайт в даркнете. Первоначальный доступ часто достигается через скомпрометированные учетные данные или эксплуатацию уязвимостей, доступных для общественности. С июля 2024 года по декабрь 2025 года инциденты, зарегистрированные ACSC, указывают на изменение фокуса в сторону медицинских учреждений в Австралии. Нападающие используют скомпрометированные аккаунты для первоначального доступа, за которым следует повышение привилегий и боковое перемещение внутри сетей. Они развертывают вредоносное ПО, используя файлы с именем "win.exe", что приводит к эксфиляции данных, содержащих личную информацию и медицинские записи. Записки о выкупе содержат ссылки на сайт утечек данных группы, основанный на Tor. Королевство Тонга испытало значительные атаки, такие как одна в июне 2025 года на Министерство здравоохранения, что нарушило работу служб здравоохранения. В Новой Зеландии программное обеспечение-вымогатель вызвало значительное похищение данных и их шифрование в секторе здравоохранения. Тактики для получения доступа включают специальные фишинговые атаки, эксплуатацию неустраненных уязвимостей и получение действительных учетных данных от брокеров доступа. Инструменты эксфиляции данных, такие как 7-Zip и rclone, используются после атаки. Их тактики, техники и процедуры (TTP) согласованы с другими RaaS-операциями, имея сходство с группами, такими как Lynx. Ключевые технологии эксплуатации включают извлечение учетных данных, атаки brute force и систематическое сетевое разведку. Они используют методы, такие как Bring Your Own Vulnerable Driver (BYOVD), для повышения привилегий. Рекомендуемые меры по смягчению последствий включают ужесточение контроля за сетью, управление удаленным доступом и внедрение практик управления уязвимостями, при этом непрерывный мониторинг сетевых активностей является крайне важным для обнаружения и реагирования.

#ParsedReport #CompletenessMedium
04-03-2026

Cloudflare participates in global operation to disrupt Tycoon 2FA

https://www.cloudflare.com/en-au/threat-intelligence/research/report/tycoon-2fa-takedown/

Report completeness: Medium

Threats:
Tycoon_2fa
Dadsec_tool
Bec_technique
Credential_harvesting_technique

Victims:
Real estate, Architecture engineering and construction, Microsoft 365 users, Gmail users

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1071.001, T1090, T1102, T1204.002, T1539, T1550.004, T1556.006, T1566.002, have more...

IOCs:
Domain: 1
File: 3

Soft:
Telegram, Gmail, PhantomJS, Burp Suite, CryptoJS

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Tycoon 2FA, работающая с августа 2023 года, эффективно обходила многофакторную аутентификацию (MFA) и собирала сессионные куки, чтобы облегчить атаки на скомпрометированные бизнес-электронные почты (BEC). Используя легитимную инфраструктуру и современные техники уклонения, она выступала в роли обратного прокси для захвата данных аутентификации пользователей из таких сервисов, как Microsoft 365. Недавние действия Cloudflare и Microsoft включали демонтаж фишинговой инфраструктуры и изъятие доменов, что значительно повлияло на ее операции.
-----

Cloudflare, в сотрудничестве с Microsoft, приостановил работу платформы Tycoon 2FA phishing-as-a-service (PhaaS), функционирующей с августа 2023 года и признанной форком ранее существовавшего набора инструментов для фишинга "Dadsec". Tycoon 2FA примечателен своей способностью обходить многофакторную аутентификацию (MFA) и собирать живые куки сессий у жертв, что позволяет осуществлять последующие атаки на компрометированные бизнес-электронные почты (BEC) с использованием скомпрометированных аккаунтов. Используя законную инфраструктуру, такую как Cloudflare Workers, эта платформа скрывала злонамеренные действия, перенаправляя исследователей безопасности на легитимные сайты, при этом захватывая данные аутентификации в реальном времени.

Операция Tycoon 2FA заключалась в использовании реверс-прокси для перехвата запросов на аутентификацию от пользователей, пытающихся войти в такие сервисы, как Microsoft 365 или Gmail. Этот механизм позволил злоумышленникам получать доступ к полностью аутентифицированным сессиям, что сделало традиционные меры MFA неэффективными. Подписчики сервиса, доступного за примерно 120 долларов, использовали этот набор инструментов для участия в атаках BEC, контролируя внутренние коммуникации и финансовые транзакции в скомпрометированных почтовых средах. Злоумышленники отправляли по-настоящему легитимные счета с доверенных аккаунтов, чтобы перенаправлять платежи на счета-мула, контролируемые преступниками, что приводило к значительным финансовым потерям.

Данная операция, проведенная 4 марта 2026 года, включала в себя широкие технические и юридические меры. Действия Cloudflare охватывали идентификацию и ликвидацию обширной инфраструктуры, поддерживающей Tycoon 2FA, которая включала тысячи доменов, использующихся для фишинга. Согласованные юридические усилия Microsoft привели к изъятию вредоносных доменов, в то время как Cloudflare провел массовую ликвидацию инфраструктуры связанных проектов Workers. Уничтожив активные скрипты и приостановив связанные учетные записи, Cloudflare эффективно нейтрализовал прокси-функции набора инструментов. В операции также участвовал Europol, который координировал действия правоохранительных органов в разных юрисдикциях.

Tycoon 2FA использовал сложные техники антианализа в своих кампаниях, применяя обфускацию и редирект для избегания выявления инструментами безопасности. Фишинговые наборы использовали тактики обмана, такие как использование "Payoff Letters" в сфере недвижимости или выдача себя за IT-сервисы, чтобы заманить жертв в предоставлении конфиденциальной информации. Для усиления стратегий защиты против таких PhaaS платформ организациям следует внедрять передовые решения по безопасности электронной почты, которые включают проактивную идентификацию злонамеренной инфраструктуры, использование моделей поведенческого обнаружения и строгие протоколы подлинности электронной почты.

В resumen, совместные усилия между Cloudflare и Microsoft значительно уничтожили ключевого игрока в области фишинга, который был instrumental в содействии BEC через продвинутые стратегии уклонения и постоянную эксплуатацию процессов аутентификации пользователей. Этот инцидент подчеркивает необходимость усовершенствованных механизмов обнаружения и стратегий смягчения для эффективного противодействия новым киберугрозам.