#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Clop, группа вымогателей данных, активная с 2019 года, фокусируется на похищении данных, а не на шифровании, и использует эксплойты нулевого дня в широко используемых решениях для передачи файлов. Ее кампании включают эксплуатацию уязвимостей SQL-инъекций (CVE-2021-27101, CVE-2023-34362) в Accellion и MOVEit соответственно, а также удаленное выполнение кода через CVE-2023-0669 в Forta GoAnywhere, затрагивая сотни организаций. Хотя Clop успешно нацеливалась на множество систем, ее модель похищения данных привела к более низким финансовым стимулам по сравнению с традиционными тактиками программ-вымогателей, что привело к минимальному числу подтвержденных выплат выкупа.
-----

Clop, также известная как Cl0p, является группой вымогателей данных, которая активна с 2019 года, выделяясь среди других актеров программ-вымогателей в первую очередь своим фокусом на краже данных, а не на прямом шифровании систем. Группа изначально прославилась благодаря эксплуатации нулевых дней уязвимостей в широко используемых решениях для передачи и хранения файлов, что позволяло получать доступ к сетям жертв. Этот стратегический выбор позволил Clop обойти более привычные векторы атак, такие как фишинг, разрешая группе нацеливаться на уязвимости, которые многие организации не распознавали как угрозу.

Замечательные кампании Clop включают в себя эксплуатацию Accellion File Transfer Appliance (FTA) в конце 2020 года и начале 2021 года, где он использовал уязвимость SQL-инъекции (CVE-2021-27101), что привело к компрометации более 300 арендаторов. К началу 2023 года Clop нацелился на программное обеспечение Forta GoAnywhere Managed File Transfer, использовав другую уязвимость нулевого дня (CVE-2023-0669), получив удаленное выполнение кода и повлияв на около 130 жертв. В следствии этого, крупная кампания против MOVEit Secure Managed File Transfer от Progress Software в середине 2023 года использовала другую уязвимость SQL-инъекции (CVE-2023-34362), что привело к выплатам выкупа на сумму более 34 миллионов долларов из шести подтвержденных сделок.

Следующая попытка группы в 2025 году была связана с E-Business Suite (EBS) от Oracle, где они использовали уязвимость CVE-2025-61882, позволяющую удаленное выполнение кода и постоянное развертывание веб-шелла. Clop заявил о доступе к более чем 234 арендаторам EBS и напрямую общался с жертвами через резкие электронные письма, в которых содержались требования о выкупе, превышающие 10 миллионов долларов. Однако, несмотря на многочисленные утверждения о пострадавших организациях, только одна подтвержденная выплата выкупа в размере 3 миллионов долларов была зарегистрирована в рамках этой кампании, что указывает на тревожную рентабельность инвестиций.

Операционная модель Clop, сосредоточенная исключительно на краже данных, резко контрастирует с более разрушительным подходом таких групп-вымогателей, как Akira, которые шифруют критические системы. Этот стратегический сдвиг привел к снижению финансовых результатов для Clop, поскольку жертвы, как правило, воспринимают меньшую срочность в случае утечки данных, чем в случае атак ransomware, которые останавливают операции. Метод Clop использует быстрое использование уязвимостей, но страдает от уменьшенного влияния по сравнению с традиционными тактиками ransomware.

Для организаций, стремящихся защититься от подобных массовых методов эксплуатации, крайне важно внедрить строгие политики хранения данных, списки допустимых IP-адресов и надежные практики управления уязвимостями. Эти меры могут ограничить потенциальный ущерб в случае эксплуатации нулевого дня. Многофакторная аутентификация (MFA) на всех порталах входа и развертывание решений для обнаружения и реагирования на конечных точках (EDR) могут дополнительно укрепить защиту от кражи учетных данных и бокового перемещения внутри сетей, снижая риск успешных кибератак.

#ParsedReport #CompletenessMedium
06-03-2026

CVE-2026-1731: Finding a critical RCE in an age of AI-driven vulnerability research

https://www.intel471.com/blog/cve-2026-1731-finding-a-critical-rce-in-an-age-of-ai-driven-vulnerability-research

Report completeness: Medium

Actors/Campaigns:
Hafnium

Threats:
Simplehelp_tool
Impacket_tool
Interactsh_tool

Victims:
Government, Federal agencies, Beyondtrust customers

Geo:
Chinese

CVEs:
CVE-2024-12356 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (le24.3.1)
- beyondtrust remote_support (le24.3.1)

CVE-2026-1731 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (<25.1)
- beyondtrust remote_support (<25.3.2)


ChatGPT TTPs:
do not use without manual check
T1021.002, T1036, T1046, T1059, T1059.001, T1059.004, T1071.001, T1102, T1105, T1190, have more...

IOCs:
File: 2
Url: 3
Hash: 3
Domain: 7
IP: 4

Soft:
Claude, Active Directory, PsExec

Languages:
powershell, python

Platforms:
intel

Links:
have more...
https://github.com/win3zz/CVE-2026-1731/blob/main/exploit.py
https://github.com/win3zz/CVE-2026-1731/blob/main/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-1731 является критической уязвимостью инъекции команд в программном обеспечении BeyondTrust Remote Support и Privileged Remote Access, позволяющей неаутентифицированным удалённым атакующим выполнять произвольные команды операционной системы через уязвимый Bash-скрипт. Эта уязвимость позволяет эксплуатацию без аутентификации, требуя только корректный HTTP-заголовок, и была замечена разработка эксплойтов и активность вскоре после её раскрытия. Акторы угроз используют эту уязвимость, известную своей лёгкостью эксплуатации и значительными системными рисками, включая развертывание инструментов удалённого мониторинга для стойкости и использование PowerShell для дальнейшей системной нумерации.
-----

CVE-2026-1731 является критической уязвимостью внедрения команд операционной системы, затрагивающей программное обеспечение BeyondTrust Remote Support и Privileged Remote Access, которые необходимы для управления доступом привилегированных пользователей. Уязвимость была обнаружена 31 января 2026 года исследователем уязвимостей Hacktron с помощью анализа на основе ИИ; эта уязвимость позволяет неаутентифицированным удалённым атакующим выполнять произвольные команды ОС, что потенциально может привести к полному компромиссу системы и эксфильтрации данных. Недостаток основан на Bash-скрипте "thin-scc-wrapper", который обрабатывает параметр "remoteVersion" во время переговоров клиент-сервер через уязвимую конечную точку WebSocket /nw. Примечательно, что уязвимость может быть использована без аутентификации, требуется только действующий HTTP-заголовок X-Ns-Company, который соответствует конфигурации целевой системы.

Деятельность по эксплуатации началась вскоре после раскрытия уязвимости, с появлением доказательства концепции на GitHub всего через четыре дня. Эта скорость отражает простоту уязвимости, позволяя быстро разрабатывать эксплойты, в том числе используя инструмент websocat для взаимодействия с уязвимым конечным WebSocket. Хотя эксплойты в основном были замечены, использующими безобидные команды, такие как "nslookup", их можно было легко адаптировать для выполнения более вредоносных действий, таких как чтение конфиденциальных файлов или выполнение удаленных оболочек.

После добавления в каталог известных уязвимостей CISA вскоре после раскрытия, CVE-2026-1731 продемонстрировала увеличение активности сканирования, с отчетами от специалистов по безопасности, отмечающими внимание со стороны злоумышленников, включая брокера первоначального доступа на русскоязычном форуме киберпреступности. Привлекательность уязвимости для противников обусловлена обширным развертыванием BeyondTrust и отсутствием требований к аутентификации, что приводит к высокому баллу CVSSv4 9.9 из-за значительных рисков для конфиденциальности, целостности и доступности системы.

Чтобы использовать эту уязвимость, злоумышленники могут манипулировать целевой средой, отправляя специально подготовленные сообщения, которые используют уязвимую логику арифметической оценки внутри затронутого скрипта. Кроме того, после начальных эксплойтов было замечено применение различных операционных техник, включая развертывание инструментов удалённого мониторинга, таких как SimpleHelp, для сохранения доступа в скомпрометированных средах и использование PowerShell для перечисления Active Directory.

Ландшафт исследования уязвимостей меняется с появлением новых инструментов на базе ИИ, усиливающих процесс обнаружения, хотя эти достижения представляют как уязвимости, так и вызовы. Организациям рекомендуется приоритизировать своевременное устранение таких уязвимостей, чтобы снизить риски, связанные с их эксплуатацией.

#ParsedReport #CompletenessLow
04-03-2026

Breaking down a supply chain attack leveraging a malicious Google Workspace OAuth app

https://redcanary.com/blog/threat-detection/google-workspace-oauth-attack/

Report completeness: Low

Actors/Campaigns:
C01wnsypx

Threats:
Supply_chain_technique

Victims:
Chrome extension developers, Facebook ads accounts users

ChatGPT TTPs:
do not use without manual check
T1539

IOCs:
Email: 1
IP: 1
File: 3

Soft:
Chrome, Google Chrome, Gmail

Platforms:
intel

Links:
https://github.com/GAM-team/GAM

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2024 года злоумышленники провели атаку на цепочку поставок, нацелившись на разработчиков расширений для Chrome, что затронуло более 2,6 миллиона пользователей. Они использовали фишинг-имейлы, чтобы направить разработчиков на поддельную страницу входа в Google, что привело к авторизации вредоносного OAuth-приложения под названием "Privacy Policy Extension", которое позволило им модифицировать и выпускать вредоносные расширения для Chrome, предназначенные для экстракции конфиденциальной информации аккаунтов Facebook Ads. Эта атака подчеркивает риск, который представляют приложения, запрашивающие разрешения высокого риска, что может указывать на недобронамеренные намерения.
-----

В конце 2024 года произошла заметная атака на цепочку поставок, нацеленная на разработчиков расширений для Chrome, затронувшая более 2,6 миллиона пользователей. Нападающие начали кампанию, отправив электронные письма, в которых призывали разработчиков кликнуть по ссылкам, которые вели их на легитимную страницу входа в Google. Здесь их попросили авторизовать вредоносное Google OAuth приложение под названием "Privacy Policy Extension", которое запросило разрешение на доступ к API Chrome Web Store с определёнными диапазонами, в частности https://www.googleapis.com/auth/chromewebstore.

Когда пользователи согласились на этот запрос, атакующие получили возможность изменять и публиковать злонамеренные версии расширений Chrome от имени разработчиков. Эти скомпрометированные расширения были разработаны для сбора и эксфильтрации конфиденциальных данных, специфически нацеливаясь на информацию учетной записи Facebook Ads, включая сеансовые куки и токены аутентификации.

Для обнаружения критически важно идентифицировать первоначальную авторизацию новых приложений, которые запрашивают права с высоким риском, особенно тех, которые ранее не были одобрены в организации. Приложения, которые запрашивают области с высоким риском, определенные Google, представляют собой значительный риск, и организации могут ограничить доступ к этим областям для таких сервисов, как Gmail, Google Drive и Google Chat. Примеры этих областей с высоким риском включают разрешения на чтение, изменение и отправку электронных писем или файлов.

Если обнаружен вредоносный грант согласия OAuth, можно принять немедленные меры по устранению последствий. Проактивные методы охоты на угрозы включают запрос внешних приложений, на которые согласились минимальное количество пользователей, что позволяет администраторам изолировать уникальные, потенциально вредоносные установки. Аналитики должны провести детальный аудит всех авторизованных приложений, examining их названия, издателей, права и выявлять необычные паттерны, такие как чрезмерно высокие рисковые права, которые превышают типичные операционные требования, что может указывать на злонамеренные намерения.

Кроме того, подозрительные приложения часто авторизованы только ограниченным числом пользователей и могут запрашивать разрешения, которые не соответствуют их ожидаемой функциональности. Регулярный обзор активности и аудиторских журналов на предмет поведенческих аномалий также может помочь в выявлении признаков компрометации, таких как бездействующие приложения, внезапно использующие высокие рисковые разрешения, что может указывать на внутренние попытки фишинга или кражи данных. Реализация этих стратегий обнаружения и исправления является важной для защиты от таких сложных атак на цепочку поставок в среде Google Workspace.

#ParsedReport #CompletenessHigh
03-03-2026

Mass exploitation of CVE-2026-1281 and CVE-2026-1340 in Ivanti EPMM

https://github.security.telekom.com/2026/03/ivanti-CVE-2026-1281-exploitation.html

Report completeness: High

Threats:
Ncat_tool
Credential_harvesting_technique
Nezha_tool

Victims:
State and local government, Healthcare, Manufacturing, Professional services, Legal services, High technology

Industry:
Government, Healthcare

Geo:
Australia, China, Germany, Canada, German

CVEs:
CVE-2026-1281 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.5.0.0, 12.5.1.0, 12.6.0.0, 12.6.1.0, 12.7.0.0)

CVE-2023-35078 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.8.1.1, <11.9.1.1, <11.10.0.2)

CVE-2026-1340 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (le12.7.0.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1046, T1059.004, T1059.009, T1070.004, T1105, T1140, T1190, T1552, have more...

IOCs:
File: 7
IP: 211
Url: 31
Hash: 1
Domain: 3

Soft:
Ivanti EPMM, Ivanti, RPORT, curl, mysql

Algorithms:
sha256, lzma, base64

Functions:
getMethod, getClass, getParameter, getClassLoader

Languages:
python, java

Links:
https://github.com/telekom-security/malware\_analysis/blob/main/iocs/Ivanti-CVE-2026-1281-Exploitation.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года были выявлены два критических уязвимости нулевого дня в платформе управления мобильными устройствами Ivanti (CVE-2026-1281 и CVE-2026-1340), позволяющие неаутентифицированное удаленное выполнение кода через небезопасный Bash-скрипт на открытом конечном устройстве. Злоумышленники воспользовались этими уязвимостями для развертывания веб-оболочек, манипуляции правами доступа к файлам и выполнения команд и управляемых операций, включая сбор учетных данных и вторичные полезные нагрузки. Развивающийся ландшафт угроз наблюдал за тем, как несколько актеров занимались оппортунистической эксплуатацией, что указывает на постоянные усилия по поддержанию доступа даже после применения исправлений.
-----

Две критические уязвимости нулевого дня в платформе управления мобильными устройствами Ivanti, CVE-2026-1281 и CVE-2026-1340, имеют рейтинг CVSS 9.8 и позволяют неаутентифицированное удаленное выполнение кода (RCE). Эти уязвимости возникают из-за небезопасной обработки вводимых злоумышленником данных через Bash-скрипт на открытой веб-точке EPMM. Шаблоны эксплуатации включают создание HTTP-запросов для проверки RCE через DNS-запросы. Злоумышленники развернули веб-оболочки, особенно нацеливаясь на '403.jsp' для выполнения вредоносного Java байт-кода и попытки манипуляции правами доступа к файлам. Попытки реверсного шелла были зафиксированы с использованием инструментов, таких как 'nc' и 'ncat'. Загрузка вторичных.payloads включала закодированный в Base64 ELF бинарный файл для операций командования и управления. У усилий по сбору учетных данных была нацелена на чувствительные пользовательские данные Ivanti, что указывает на запланированную эксфильтрацию данных и стратегии латерального перемещения. Несколько угроз участников активно эксплуатировали возможности, включая создание тихих входов и проведение разведки через инъектированные команды. Попытки эксплуатации стали широко распространены в секторах США, Германии и Австралии, что потребовало немедленного мониторинга и реакции. Индикаторы компрометации, связанные с этими угрозами, включали измененные имена файлов и подозрительный сетевой трафик. Даже обновленные системы могут считаться скомпрометированными, что приводит к необходимости широкомасштабного сетевого контроля.

#ParsedReport #CompletenessHigh
06-03-2026

Mobile spyware campaign impersonates Israel's Red Alert rocket warning system

https://www.acronis.com/en/tru/posts/mobile-spyware-campaign-impersonates-israels-red-alert-rocket-warning-system/

Report completeness: High

Actors/Campaigns:
Anonghost (motivation: hacktivism)
Handala
Aridviper

Threats:
Smishing_technique
Credential_harvesting_technique
Alertx

Victims:
Individuals, Telecommunications

Industry:
Critical_infrastructure, Financial

Geo:
Middle east, Israel, Israeli

TTPs:
Tactics: 7
Technics: 16

IOCs:
Domain: 2
File: 2
Url: 1
Hash: 1

Soft:
twitter, Android, Google Play

Algorithms:
base64, sha256, xor

Functions:
getApkContentsSigners, getSigningCertificateHistory, getInstallerPackageName, onSmsPermissionGranted, onContactsPermissionGranted, Maynt, Shatters, getAccounts, Unflush

Win API:
getPackageInfo

Languages:
java, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 2, code: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целевая киберкампания распространила троянское Android-приложение, имитирующее систему Red Alert Израиля, через SMS-сообщения, похожие на официальные коммуникации. Зловред работает как загрузчик в два этапа, используя такие техники, как подмена сертификатов, чтобы избежать обнаружения, и собирает чувствительные данные, включая местоположение и контакты, при этом активно контролируя разрешения. Связанный с угрозой Arid Viper, эта кампания демонстрирует продвинутые тактики, использующие кризисы для эффективного социального инжиниринга и скрытного сбора данных.
-----

Недавняя целевая киберкампания была выявлена, в которой злонамеренный актер доставил тройananaсированную версию Android-приложения, маскирующегося под систему предупреждения о ракетных атаках "Red Alert" Израиля. Эта атака использовала SMS-сообщения, которые были разработаны таким образом, чтобы напоминать коммуникации от официального Командования Тыла, побуждая получателей скачать якобы обновленную версию приложения через укороченные ссылки. Анализ этого вредоносного ПО выявил обширную цепочку инфекции, начиная с атаки смс-фишинга и заканчивая сложными возможностями эксфильтрации данных.

Троянское приложение, которое сохраняет легитимные функции приложения Red Alert, работает по двухступенчатой архитектуре. Вначале приложение выступает в роли вредоносного загрузчика, используя различные техники, включая подделку сертификатов и манипуляции во время выполнения, чтобы представлять себя как легитимно подписанное приложение. Эта обфускация позволяет ему обходить меры безопасности Android. После установки вредоносное ПО активно отслеживает предоставленные разрешения, собирая конфиденциальные данные, такие как SMS-сообщения, контакты и информацию о местоположении. Оно использует несколько провайдеров контента Android и системных API для выполнения этих действий скрытно.

Примечательно, что вредоносное ПО использует разрешения, которые позволяют ему получать доступ к данным GPS в реальном времени и могут вызывать определенные действия в зависимости от местоположения жертвы. Оно собирает обширную информацию о пользователе, включая имена контактов, номера телефонов и адреса электронной почты. Техники сбора данных включают опрос системных баз данных, что позволяет противнику создавать полное досье о цифровых контактах жертвы и шаблонах коммуникации.

Инфраструктура управления и контроля (C2) встроена в приложение и защищена с помощью многослойных методов обфускации строк. Точка доступа, предназначенная для эксфиляции данных, была зарегистрирована недавно, что дополнительно указывает на использованиеDisposable infrastructure, характерное для целевых кампаний. Собранные данные, включая конфиденциальную информацию и списки приложений, непрерывно передаются обратно атакующим.

Анализ атрибуции указывает на связь между угрозой и группировкой Arid Viper, известной своим вниманием к израильским целям и схожему оперативному поведению. Эта оценка возникает из-за совпадения оперативных паттернов и функциональных возможностей вредоносного ПО, ранее относимых к этому актору.

Кампания подчеркивает использование доверенной инфраструктуры во время кризисов, значительно повышая эффективность тактик социальной инженерии и позволяя осуществлять скрытый сбор данных. Тщательно разработанный malware иллюстрирует высокие возможности основного злоумышленника и их специфическую стратегию целевой атаки, используя повышенное общественное беспокойство в периоды конфликта.

#ParsedReport #CompletenessMedium
05-03-2026

Seedworm: Iranian APT on Networks of U.S. Bank, Airport, Software Company

https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: hacktivism, information_theft, cyber_espionage, psyop)
Handala (motivation: hacktivism, psyop)
Tortoiseshell
Charming_kitten (motivation: cyber_espionage)
Blackshadow
Dienet (motivation: hacktivism)
Predatory_sparrow
Void_manticore (motivation: hacktivism)
Irgc
Aridviper

Threats:
Dindoor
Rclone_tool
Fakeset
Stagecomp
Darkcomp
Spear-phishing_technique
Phoenix_keylogger
Password_spray_technique
Clickfix_technique
Dns_amplification_technique
Synflood_technique
Credential_harvesting_technique
Supply_chain_technique
Disttrack
Shadow_copies_delete_technique
Mfa_bombing_technique
Stuxnet
Karma
Bibi-wiper
Httpsnoop
Anydesk_tool
Screenconnect_tool
Regeorg_tool
Mantis_botnet
Micropsia
Aridgopher

Victims:
Banking, Airport, Software company defense supplier, Non governmental organizations, Israeli government officials, Energy companies, Municipal government, Government of albania, Journalists, Cyber security experts, have more...

Industry:
Petroleum, Critical_infrastructure, Transport, Aerospace, Energy, Ics, Education, Logistic, Government, Ngo, Financial, Military, Telco, Healthcare

Geo:
France, Palestine, Canadian, Iranian, Belgium, Palestinian, Middle east, Africa, Israeli, America, Saudi, Asia, Mena, Saudi arabia, Saudi arabian, Israel, Iran, Canada, Albania

CVEs:
CVE-2017-7921 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision ds-2cd2032-i_firmware (-)
- hikvision ds-2cd2112-i_firmware (-)
- hikvision ds-2cd2132-i_firmware (-)
- hikvision ds-2cd2212-i5_firmware (-)
- hikvision ds-2cd2232-i5_firmware (-)
have more...
CVE-2023-6895 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision intercom_broadcast_system (<4.1.0)


ChatGPT TTPs:
do not use without manual check
T1046, T1059, T1059.001, T1090, T1105, T1110.003, T1114, T1190, T1204.001, T1219, have more...

IOCs:
Domain: 5
File: 6
Hash: 25

Soft:
Telegram, Twitter, Gmail, WhatsApp

Wallets:
wassabi

Algorithms:
zip

Languages:
python, powershell, javascript, typescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская группа APT Seedworm, активная с февраля 2026 года, нацелилась на различные сети США, в частности на банк, аэропорт и некоммерческую организацию, особенно в ответ на растущую напряженность с военными операциями США и Израиля. Группа использует новое вредоносное ПО, в частности, заднюю дверь Dindoor, использующую Deno, и заднюю дверь Fakeset на Python, которые связаны с попытками экстракции данных и разработкой пользовательских вредоносных программ. Эта эскалация киберопераций соответствует изменению Ирана в сторону более разрушительных тактик на фоне продолжающихся геополитических конфликтов, что указывает на возросшую угрозу.
-----

Иранская группа APT Seedworm, также известная под псевдонимами MuddyWater и Temp Zagros, активно действует в различных сетях США с февраля 2026 года. Целевыми организациями являются банк, аэропорт, некоммерческая организация и израильские операции американской софтверной компании. Эта активность происходит на фоне повышенной напряженности после координированных военных операций США и Израиля против Ирана.

Одним из замечательных событий стало открытие новой задней двери под названием Dindoor, которая использует Deno, безопасное время выполнения JavaScript, для выполнения. Эта задняя дверь была выявлена в сетях израильского подразделения программной компании, а также в сети американского банка и канадской некоммерческой организации. Попытка эксфильтрации данных с использованием Rclone в облачное хранилище Wasabi также была связана с этой группой, хотя неясно, была ли эта попытка успешной.

В дополнение к Dindoor, была обнаружена отдельная Python-задняя дверь под названием Fakeset, нацеленная на аэропорт США и некоммерческие организации. Fakeset была подписана сертификатами, которые ранее ассоциировались с Seedworm, что усиливает атрибуцию этой злонамеренной активности к группе. Эти операции предполагают, что Seedworm обладает разнообразным инструментарием, способным разрабатывать индивидуальный вредоносный ПО и использовать двусторонние инструменты для достижения своих целей.

По мере эскалации конфликта в регионе вероятность дальнейших киберопераций со стороны акторов, связанных с Ираном, увеличивается. Национальный центр кибербезопасности Великобритании подчеркнул этот потенциал, заявив, что киберакторы, связанные с Ираном, сохраняют возможность проведения киберопераций, несмотря на интернет-нарушения внутри Ирана. Исторические паттерны указывают на то, что иранские кибероперации изменились с традиционного шпионажа на более разрушительные способности, часто используя стиратели и DDoS-атаки для политического сигнализирования.

Другие иранские группы, такие как Handala, участвовали в хактивистских действиях, нацеленных на израильские организации с использованием сферического фишинга, эксфильтрации данных и даже программ-вымогателей. Также имеются доказательства иранских шпионских попыток, направленных на НПО и академические учреждения, использующих техники социальной инженерии для получения доступа к конфиденциальной информации.

В условиях нарастания напряженности между США и Ираном организациям настоятельно рекомендуется подготовиться к увеличению киберугроз. Потенциальные тактики атак могут включать DDoS-кампании против критической инфраструктуры и сбор учетных данных через целевой фишинг. Такие действия могут не только нарушить работу, но и служить формой запугивания, использующей психологическую войну.

Защитникам рекомендуется внедрить проактивные меры, включая мониторинг на предмет необычных попыток входа, установление защиты от DDoS-атак и обеспечение своевременного исправления систем. Поскольку угрозы адаптируют свои методы, бдительность остается важной для минимизации рисков, связанных с иранской киберактивностью, которая всё больше демонстрирует сложность и устойчивость на фоне геополитической напряженности.

#ParsedReport #CompletenessHigh
04-03-2026

Malware, from the Outside!: How a Threat Actor Used Fake OpenClaw Installers to Infect Systems with GhostSocks and Information Stealers

https://www.huntress.com/blog/openclaw-github-ghostsocks-infostealer

Report completeness: High

Actors/Campaigns:
Blackbasta

Threats:
Ghostsocks
Stealth_packer_tool
Amos_stealer
Antivm_technique
Blackbasta
Bloat_technique
Vidar_stealer
Purelogs
Antidebugging_technique

Victims:
Openclaw users, General users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1055, T1059.003, T1059.004, T1071.001, T1083, T1090, T1105, have more...

IOCs:
File: 9
Url: 5
Hash: 10
Email: 3
Path: 10
Domain: 1
Registry: 1
IP: 22

Soft:
OpenClaw, macOS, ChatGPT, Clawdbot, Moltbot, Telegram, Steam, Windows installer, GateKeeper, curl, have more...

Algorithms:
xor, sha256, zip

Win API:
NtQuerySystemInformation, NtClose, GetThreadContext, SetThreadContext

Languages:
applescript, rust

Platforms:
apple, intel, arm

Links:
https://gist.github.com/JPMinty/98a1ea598bbfa97c779d9ad338280374/raw/cf1f83cd0a59b1bcb07ece9724339031403e8982/Debug%20comments%20from%20identified%20'Stealth%20Packer'%20packed%20Malware
https://gist.github.com/JPMinty/98a1ea598bbfa97c779d9ad338280374#file-debug-comments-from-identified-stealth-packer-packed-malware
https://github.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 2 по 10 февраля 2026 года злоумышленники использовали вредоносные репозитории GitHub, замаскированные под установщики OpenClaw, чтобы распространять программы-ишекатели информации, используя упаковщик вредоносного ПО, известный как Stealth Packer. Эта кампания способствовала похищению данных и обходу многофакторной аутентификации с помощью GhostSocks, который превратил зараженные системы в прокси для несанкционированного доступа. Атаки нацеливались как на Windows, так и на macOS, применяя загрузчик на основе Rust для доставки различных вариантов вредоносного ПО, включая Vidar stealer и OpenClawBot, которые захватывали конфиденциальную информацию после получения административных учетных данных.
-----

С 2 по 10 февраля 2026 года злоумышленники использовали зловредные репозитории GitHub, маскирующиеся под установщики OpenClaw, для распространения кражи информации, в частности, применяя новый упаковщик вредоносного ПО под названием Stealth Packer. Эти зловредные установщики были слабо обнаруживаемыми эксплойтами, предназначенными для целенаправленной атаки на пользователей, пытающихся установить OpenClaw на системах Windows и macOS. В частности, вредоносное ПО способствовало краже информации и позволяло обходить многофакторную аутентификацию (MFA) и меры против мошенничества с использованием инструмента, известного как GhostSocks, который превращает скомпрометированные системы в прокси для несанкционированного доступа к учетным записям.

Механизм распространения кампании включал в себя продвижение вредоносного репозитория на GitHub непосредственно в результатах поиска AI Bing, используя алгоритмы платформы для того, чтобы незаметно направлять пользователей к компрометированному программному обеспечению. Предыдущие кампании также использовали техники отравления поисковых запросов, что демонстрирует тенденцию, при которой злоумышленники используют инструменты ИИ для распространения вредоносных установщиков. Установщик с темой OpenClaw внедрял несколько разновидностей вредоносного ПО после выполнения, включая загрузчик на основе Rust, который способствовал развертыванию программ-шпионов, работающих исключительно в оперативной памяти.

Stealth Packer имеет значительное значение в этом контексте благодаря своим продвинутым возможностям, включая внедрение вредоносного ПО в оперативную память, манипуляцию настройками брандмауэра и выполнение проверок на антивиртуализацию, что способствует скрытной работе без обнаружения. Конкретные артефакты вредоносного ПО, связанные с этой кампанией, включали различные исполняемые файлы, такие как cloudvideo.exe и svc_service.exe, первый из которых является известным крадуном Vidar, тогда как второй подозревался в том, что он является загрузчиком вредоносного ПО на Rust, который динамически выполнял(payloads).

GhostSocks, играющий ключевую роль в успешности операции атаки, используется для скрытия идентичности злоумышленника, перенаправляя вредоносный трафик через систему жертвы. Вариант, наблюдаемый в этом инциденте, особенно внедрил усовершенствованные функции безопасности, используя соединения TLS, что является изменением от его ранних версий. Эта функциональность не только позволяет эксфильтровать чувствительные данные, но и обеспечивает устойчивость в скомпрометированных окружениях.

Для целей macOS связанный вредоносный аккаунт предоставил вариант, известный как OpenClawBot, который имитировал законные команды развертывания, но был предназначен для захвата конфиденциальной информации, включая файлы, защищенные TCC. Вредоносное ПО запрашивало у пользователей административные креденшелы перед выполнением своих функций кражи информации.