#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "InstallFix" использует процесс установки легитимного программного обеспечения, специально нацеливаясь на инструменты разработчиков через клонированные веб-сайты, которые вводят в заблуждение жертв, заставляя их выполнять вредоносные команды, часто напоминающие доверенные скрипты "curl to bash". Нападающие используют малвертизацию через Google Ads для распространения этих сайтов, увеличивая риск для нетехнических пользователей. Вовлеченное вредоносное ПО, Amatera, является продвинутым инфостилером, который эксфильтрует конфиденциальные данные, применяя техники уклонения, чтобы избежать обнаружения.
-----

Недавний анализ выявил киберугрозу, получившую название "InstallFix", в рамках которой злоумышленники используют процесс установки легитимных программных инструментов, таких как Claude Code, для распространения вредоносного ПО. В этой схеме угрозы акторы создают клонированные веб-сайты, которые имитируют внешний вид и ощущение подлинных страниц установки популярных инструментов разработчиков. Жертвы вводят в заблуждение и запускают вредоносные команды, поданные под видом легитимных инструкций по установке. Вредоносная команда, как правило, дублирует широко используемую однострочную команду "curl to bash", где пользователи доверяют источнику и выполняют команды без достаточной проверки.

Основной метод распространения этих вредоносных страниц — это малвертайзинг, в частности, использование Google Ads для появления в результатах поиска по терминам, связанным с целевыми инструментами, такими как "Claude Code install." Этот подход использует доверие пользователей; поскольку клонирование сайтов почти идентично, пользователи могут не заметить различий до выполнения вредоносных команд. Вредоносные установки используют отдельные домены для перенаправления пользователей на сервер, контролируемый злоумышленником, что негативно сказывается на их системах. Эта тенденция особенно обеспокоительна, учитывая, что многие нетехнические пользователи и менее осведомленные о безопасности лица начинают использовать эти инструменты разработчиков, что увеличивает вероятность успешных атак.

Зловредное ПО, задействованное в недавних атаках InstallFix, было идентифицировано как Amatera, инфостилер, появившийся примерно в 2025 году. Amatera разработан для эксфильтрации конфиденциальных данных, включая пароли браузеров и токены сессий. Его операционная структура сложна и использует методы уклонения, чтобы обойти антивирусные и решения для обнаружения на конечных точках, такие как использование жестко закодированных IP-адресов, принадлежащих легитимным сетям доставки контента, для связи командного и контрольного управления. Эта обфускация затрудняет обнаружение и предотвращение стандартными мерами безопасности.

В дополнение к угрозам, связанным с InstallFix, появились аналогичные кампании, использующие тактики, такие как выдача себя за другое программное обеспечение через захваченные веб-страницы, клонированные сайты и вредоносный код, встроенный в различные операционные контексты, такие как npm пакеты. Общая тенденция указывает на устойчивый паттерн, в котором злоумышленники используют схемы малвертайзинга для распространения различных инфостилеров или для выдачи себя за популярные инструменты разработчиков, подчеркивая, что бдительность необходима в любом инструменте, который позволяет публичные взаимодействия.

Поскольку эта кампания продолжает развиваться, мониторинг и обнаружение остаются решающими для усилий в области кибербезопасности. Недавние стратегии сосредоточились на анализе веб-страниц, отображаемых в браузерах пользователей, для выявления сигналов, связанных с малвари и клонированными сайтами. Проактивный подход к выявлению этих угроз в реальном времени необходим, особенно по мере того как атаки становятся более сложными и менее зависят от традиционных механизмов фишинга.

#ParsedReport #CompletenessLow
02-03-2026

Tracking CyberStrikeAI Usage

https://www.team-cymru.com/post/tracking-cyberstrikeai-usage

Report completeness: Low

Actors/Campaigns:
Ed1s0nz

Threats:
Cyberstrikeai_tool
Steganography_technique
Privhunterai_tool
Infiltratex_tool

Victims:
Fortinet fortigate devices, Edge devices

Industry:
Telco, Government

Geo:
Singapore, China, Chinese, Hong kong, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1588.002, T1588.006, T1595

IOCs:
IP: 20

Soft:
DeepSeek, Starlink, Outlook

Links:
https://github.com/Ed1s0nZ/CyberStrikeAI
https://github.com/Ed1s0nZ
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberStrikeAI, открытый инструмент для ведения наступательной безопасности, созданный "Ed1s0nZ," связан с кибероперациями, поддерживаемыми китайским государством, и был быстро развернут на 21 IP-адресе, в основном в регионах с значительным населением, говорящим на китайском языке. Этот инструмент активно используется для эксплуатации уязвимостей в устройствах Fortinet FortiGate и ассоциируется с известными группами, связанными с Министерством государственной безопасности Китая, что предполагает возможность эксплуатации нулевого дня. Появление CyberStrikeAI представляет собой тенденцию к милитаризации ИИ в кибероперациях, что создает повышенные риски для сетевой безопасности.
-----

CyberStrikeAI — это инструмент offensivной безопасности с открытым исходным кодом, разработанный лицом, идентифицированным как "Ed1s0nZ", который, похоже, имеет связи с государственными киберактивами Китая. Инструмент, написанный на Go, интегрирует более 100 средств безопасности, включает интеллектуальный движок оркестрации и возможности для тестирования на основе ролей и управления жизненным циклом. Его наблюдение началось после отчета команды Amazon CTI о инфраструктуре киберугроз, улучшенной с помощью ИИ, конкретно связанной с IP-адресом 212.11.64.250, идентифицированным как запускающим CyberStrikeAI.

Использование CyberStrikeAI быстро расширилось, и в исследовании команды отмечается, что после релиза в ноябре 2025 года инструмент был развернут на 21 уникальном IP-адресе к февралю 2026 года. Эти IP-адреса в основном происходят из регионов с большим количеством говорящих на китайском, включая Китай, Сингапур и Гонконг, что указывает на целевую демографию. Примечательно, что выводы анализа команды Cymru указывают на то, что инструмент активно используется против устройств Fortinet FortiGate, подчеркивая его применение в эксплуатации уязвимостей сети.

Профиль Ed1s0nZ на GitHub раскрывает портфолио, которое указывает на сосредоточение на эксплуатации; это включает инструменты для обнаружения уязвимостей повышения привилегий (PrivHunterAI) и автоматизированный инструмент для сканирования на предмет повышения привилегий (InfiltrateX). Более того, деятельность вокруг CyberStrikeAI включает сотрудничество с группами, которые имеют известные связи с Министерством государственной безопасности Китая (MSS), такими как Knownsec, и имеются доказательства, указывающие на то, что эти связи могут позволить потенциальную эксплуатацию нулевого дня. Такие связи были замаскированы, поскольку разработчик, как сообщается, удалил упоминания о инициативе уязвимости CNNVD из своего профиля, вероятно, чтобы уменьшить внимание к возможному сотрудничеству с государством.

Наблюдаемый рост использования CyberStrikeAI подчеркивает более широкую тенденцию к милитаризации ИИ в наступательных кибероперациях, позволяя злоумышленникам с постоянными угрозами (APTs) оптимизировать атаки на уязвимые устройства на краю сети. Ожидается, что CyberStrikeAI вместе с его связанными инструментами снизит барьер для входа для противников, пытающихся осуществить сложную эксплуатацию сети, что заставит команды кибербезопасности усилить своё мониторинг и защитные стратегии в ожидании все более сложных атак. Эта развивающаяся обстановка требует от защитников оставаться бдительными против растущего использования и возможностей, предоставляемых инструментами с улучшенной ИИ, путём отслеживания конкретных индикаторов и IP-адресов, связанных с такими операциями.

#ParsedReport #CompletenessLow
06-03-2026

Phishing Emails Push Fake ChatGPT and Gemini iOS Apps To Steal Logins

https://cybersecuritynews.com/phishing-emails-push-fake-chatgpt/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Iphone users, Facebook users

Industry:
E-commerce

Geo:
Australian

ChatGPT TTPs:
do not use without manual check
T1056.003, T1195, T1556.003, T1566, T1588.002

IOCs:
Url: 2

Soft:
ChatGPT, OpenAI

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целевая фишинговая кампания эксплуатирует доверие к AI-платформам, таким как ChatGPT от OpenAI и Gemini от Google, чтобы обманывать пользователей iPhone с помощью вредоносных приложений, которые выдают себя за эти бренды. Злоумышленники продвигают приложения, GeminiAI Advertising и Ads GPT, доступные в австралийском App Store, которые незаметно собирают учетные данные для входа в Facebook от пользователей. Этот подход обозначает сдвиг в тактиках сбора учетных данных, внедряя вредоносные операции внутри легитимных платформ, что усложняет обнаружение для потенциальных жертв.
-----

Целевая фишинговая кампания в настоящее время эксплуатирует доверие к популярным платформам искусственного интеллекта, в частности ChatGPT от OpenAI и Gemini от Google, чтобы обмануть пользователей iPhone. Нападающие разработали вредоносные приложения, которые выдают себя за эти доверенные бренды, используя их распознаваемость, чтобы заманить потенциальные жертвы. Вредоносные приложения не являются случайными утилитами; скорее, они представляются как законные инструменты, связанные с известными AI-сервисами, которые используют многие профессионалы.

Кампания начинается с фишинговых электронных писем, разработанных так, чтобы казаться законными сообщениями от ChatGPT или Gemini. Эти письма рекламируют два конкретных приложения, GeminiAI Advertising и Ads GPT, которые были доступны в австралийском App Store под идентификаторами приложений id6759005662 и id6759514534 соответственно. Проникнув на официальный рынок приложений, угроза не только добавляет слой обмана, но и значительно усложняет процесс проверки для пользователей и цифровых дистрибутивных платформ.

После загрузки вредоносных приложений жертвы оказываются пойманными в схему сбора учетных данных. Эти приложения тихо собирают информацию для входа пользователей в Facebook, предоставляя в дальнейшем злоумышленникам доступ к личным профилям Facebook, учетным записям бизнес-рекламы и страницам, связанным с скомпрометированными аккаунтами. Эти данные особенно ценны для финансово мотивированных угроз, так как они могут привести к более широкому использованию онлайн-присутствия жертвы.

Эта фишинговая кампания представляет собой заметный сдвиг в тактике со стороны угрожающих акторов, занимающихся сбором учетных данных. Вместо того чтобы полагаться на фальшивые веб-сайты или вредоносные вложения электронной почты, они теперь внедряют свои операции в легитимные цифровые платформы, тем самым осложняя обнаружение и повышая риски для потенциальных жертв. Пользователям рекомендуется оставаться бдительными, проверяя информацию о разработчиках, изучая отзывы пользователей и тщательно оценивая описания приложений на предмет несоответствий перед загрузкой приложений, поскольку эти шаги могут помочь выявить мошеннические схемы.

Ладно, в этом случае никаких вопросов по атрибуции нет.

Согласно отчету Rapid7, ворьё бутыля огненной воды можно вычислить по hash
SHA-256: 522faa41e7dc20bcacb1651ed1ea85a58c34b4a24411a7f75a00f4e795ac0d35
SHA-256: d8f3ee9dd462c7745db488bc4a8e77ea11b79048ce952b66e55665c530de2ddc

#ParsedReport #CompletenessMedium
10-03-2026

From a Sophisticated Browser-Extension Supply-Chain Compromise to a VibeCoded Twist: A Chrome Extension as the Initial Access Vector for a Broader Malware Chain

https://monxresearch-sec.github.io/shotbird-extension-malware-report/

Report completeness: Medium

Threats:
Supply_chain_technique
Clickfix_technique

Victims:
Browser users, Consumers

Industry:
Foodtech

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1056.007, T1059.001, T1059.007, T1102, T1105, T1119, T1199, have more...

IOCs:
File: 12
Hash: 5
Command: 1
Path: 1
IP: 1

Soft:
Chrome, Chromium, Firefox, Google Chrome

Algorithms:
sha1, sha256, md5

Functions:
debugLog, Get-WinEvent, Task-ID

Languages:
powershell, swift, javascript

Links:
https://github.com/monxresearch-sec/shotbird-extension-malware-report

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расширение Chrome ShotBird было злонамеренно перепрофилировано после передачи прав собственности, что привело к таким действиям, как установление соединений с инфраструктурой, контролируемой злоумышленниками, выполнение удаленных скриптов и сбор конфиденциальных данных пользователей. Вредоносное ПО использовало механизм выполнения в два этапа, вовлекая вводящий в заблуждение обновление, которое выполняло команды PowerShell для извлечения дальнейших payload с orangewater00.com. Технический анализ показал его способность удалять заголовки безопасности браузера и использовать инъекционные атаки через манипулированные элементы интерфейса, демонстрируя эволюционирующую угрозу через скомпрометированные легитимные инструменты.
-----

В значительном инциденте, о котором сообщалось 8 марта 2026 года, ранее законное расширение Chrome, известное как ShotBird, было переработано в канал распространения вредоносного ПО после передачи прав собственности. Зловредная версия расширения занималась различной преступной деятельностью, включая установление соединения с инфраструктурой, контролируемой злоумышленниками, выполнение удаленных задач JavaScript, удаление заголовков безопасности браузера, внедрение ложных обновлений и сбор конфиденциальных данных из форм пользователей.

Трансформация расширения ShotBird происходила с ноября 2024 года по март 2026 года, в течение которого оно получало обновления, которые в конечном итоге привели к злонамеренному поведению. Доказательства указывали на критическое изменение владельца между декабрем 2025 года и началом 2026 года, в результате чего расширение стало использоваться для кибератак. К марту 2026 года (после раскрытия проблемы) листинг расширения был недоступен в Chrome Web Store.

Технический анализ выявил механизм выполнения в два этапа, при котором вредоносное расширение побуждало пользователей загрузить, казалось бы, безобидное обновление, маскирующееся под "googleupdate.exe." Этот файл на самом деле был оберткой, содержащей подлинный установщик Google Chrome и компонент стадии "psfx.msi." Когда он выполнялся на Windows, этот компонент стадии выполнял закодированные команды PowerShell, загружая дополнительные вредоносные нагрузки с домена orangewater00.com с целью расширения своих возможностей, включая потенциальную кражу учетных данных и более широкое компрометирование конечных устройств.

Малварь изображала сложный вектор атаки, который работал внутри браузера, постоянно внедряя вредоносные элементы пользовательского интерфейса на посещенные страницы, чтобы обмануть пользователей, заставив их загрузить вредоносные загрузки. Расширение использовало декларативные правила сетевых запросов для удаления заголовков безопасности, таких как Content-Security-Policy и X-Frame-Options, тем самым увеличивая свою способность бесшовно выполнять инъекционные атаки. Более того, эта атака использовала два различных операционных режима: один, сосредоточенный на загрузке файлов, и другой, позволяющий выполнять команды.

Данные из журналов регистрации блоков сценариев PowerShell на затронутых хостах подтвердили, что заготовленный payload не только выполнял команды, но также занимался перечислением учетных данных и целью данных, хранящихся в браузерах на основе Chromium. Вся инфраструктура была идентифицирована как включающая шаблоны URL-адресов обратного вызова, указывающие на другие известные операции с вредоносным ПО, соответствующие шаблону компрометации законных инструментов после смены владельца.

Инцидент подчеркивает необходимость бдительности при использовании расширений браузера, так как они могут служить начальными точками доступа для более широких атак. Использование злоумышленниками тактик социальной инженерии и обманчивого интерфейса дополнительно подчеркивает тенденцию к использованию легитимных ресурсов с целью совершения злонамеренных действий, что увеличивает ландшафт угроз, связанный с расширениями браузера.

#ParsedReport #CompletenessLow
10-03-2026

OAuth Device Code Phishing: A New Microsoft 365 Account Breach Vector

https://any.run/cybersecurity-blog/oauth-device-code-phishing/

Report completeness: Low

Threats:
Device_code_phishing_technique
Credential_harvesting_technique

Victims:
Technology sector, Education sector, Manufacturing sector, Government and administration sector, Financial sector, Microsoft 365 users

Industry:
Healthcare, Education, Financial, Government

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1114, T1204, T1550.001, T1566

IOCs:
Url: 1
Domain: 13

Soft:
Linux, Android, Microsoft Office

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг на основе кода устройства OAuth стал сложной тактикой, нацеленной на учетные записи Microsoft 365, с обнаружением более 180 фишинговых URL за одну неделю. Этот метод позволяет злоумышленникам обойти традиционное похищение учетных данных, побуждая жертв авторизовать токены доступа через казалось бы законные процессы, что затрудняет обнаружение для SOC. Атаки эксплуатируют законные потоки аутентификации, предоставляя постоянный доступ к чувствительным данным и усложняются использованием зашифрованных коммуникаций, которые скрывают злоумышленные действия.
-----

Рост фишинга через OAuth Device Code представляет собой значительную эволюцию в тактике фишинга, нацеленной на учетные записи Microsoft 365. Аналитики недавно сообщили о резком увеличении таких атак, с более чем 180 фишинговыми URL, идентифицированными за одну неделю. Эта техника использует OAuth Device Authorization Grant, позволяя злоумышленникам обходить традиционные методы фишинга учетных данных и непосредственно получать токены доступа через взаимодействие с пользователями, что значительно усложняет обнаружение для Центров операций безопасности (SOCs).

В атаке фишинга с использованием кода устройства OAuth жертвы сталкиваются с фишинговой страницей, замаскированной под легитимный процесс, такой как этап проверки документа. Их просят скопировать код пользователя и перейти на конкретный URL (например, microsoft.com/devicelogin), где они незнаючи авторизуют доступ к своим учетным записям Microsoft 365, тем самым предоставляя злоумышленникам немедленный доступ к конфиденциальной информации без необходимости кражи их учетных данных. Из-за этой методологии злоумышленники могут использовать доверительный характер легитимных потоков аутентификации, что создает серьезные риски, включая несанкционированный доступ к корпоративным электронным письмам и потенциальное участие в схемах компрометации деловой электронной почты.

Способность обнаруживать эти атаки затрудняется тем, что традиционные индикаторы фишинга часто не активируются. Страницы фишинга могут использовать легитимные процессы и зашифрованные коммуникации, чтобы скрыть свои злонамеренные намерения, что делает традиционные методы обнаружения неэффективными. Поэтому эта форма фишинга позволяет злоумышленникам устанавливать постоянный доступ к целевым учетным записям через механизмы, такие как refresh tokens, что потенциально может привести к дальнейшим утечкам данных или финансовым мошенничествам.

Видимость этих атак имеет решающее значение. Автоматическая расшифровка SSL была определена как ключевая функция, позволяющая аналитикам выявлять злонамеренные действия, скрытые в зашифрованном трафике. Расшифровывая HTTPS трафик и раскрывая основывающиеся на скриптах и API запросах, аналитики могут выявлять важные индикаторы компрометации (IOC), связанные с инфраструктурой фишинга. Конкретные конечные API, такие как "/api/device/start" и "/api/device/status/", а также связанные заголовки могут служить практическими IO для более глубокого расследования текущих кампаний.

Организациям рекомендуется улучшить процессы SOC, чтобы повысить раннее обнаружение и реагирование на новые методы фишинга. Интеграция аналитики угроз в реальном времени и использование инструментов, способных к динамическому анализу вредоносного ПО, могут способствовать быстрому выявлению попыток фишинга и минимизации риска захвата аккаунтов. Поскольку такие сектора, как технологии, образование и государственный сектор, были значительно затронуты, всем пользователям Microsoft 365 необходимо оставаться бдительными против этих инновационных стратегий фишинга, которые эксплуатируют доверие пользователей и авторизованные процедуры, а не обычный кражу учетных данных.

#ParsedReport #CompletenessLow
10-03-2026

Active Phishing Campaign on Hosting Infrastructure with Alleged Links to Iranian State Aligned Activity

https://flare.io/learn/resources/blog/phishing-campaign-hosting-infrastructure-alleged-links-iranian-state-aligned-activity

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Canadian residents, Government sector, Utilities sector, Financial services sector

Industry:
Telco, E-commerce, Government, Financial

Geo:
North korea, Pakistan, Iranian, America, Tehran, Vietnam, American, Iran, Canada, Canadian, India, China, Columbia, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566, T1583.001, T1583.003, T1589.002, T1656

IOCs:
Domain: 9

Soft:
Telegram, remote desktop services

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на жителей Канады через мошеннические домены, которые выдают себя за доверенные учреждения, такие как Правительство Британской Колумбии и Hydro-Québec, с целью сбора чувствительной личной и финансовой информации. Инфраструктура, связанная с этой деятельностью, имеет отношение к RouterHosting LLC, ассоциированному с иранскими государственными угрозами, и показала, что 58% ее канадских специфических доменов содержат подозрительную терминологию, связанную с финансовыми услугами. Кампания использует обманные тактики, включая поддельные уведомления о возврате, чтобы обмануть жертв и заставить их предоставить личные данные, эксплуатируя слабые процессы проверки для избежания обнаружения.
-----

Активная фишинговая кампания в настоящее время нацелена на жителей Канады, используя fraudulent domains, имитирующие авторитетные учреждения, такие как Правительство Британской Колумбии и Hydro-Québec. Эта кампания нацелена на сбор чувствительной личной информации и данных кредитных карт. Хост, стоящий за этой злонамеренной инфраструктурой, RouterHosting LLC, также известный как Cloudzy, был связан с угрозовыми группами, поддерживаемыми государством Иран, что вызывает беспокойство по поводу его операций. Несмотря на предыдущие обвинения и подозрения, задокументированные в 2023 году, значительных изменений в собственности или практике RouterHosting не было выявлено, что продолжает смягчать риски безопасности, связанные с его инфраструктурой.

Анализ показал, что примерно 58% канадских доменов (.ca), хостящихся в сети RouterHosting, содержат подозрительный язык, связанный с банками и поставщиками услуг. Мошенническая природа этих доменов позволяет им использовать требования Канадской ассоциации интернет-регистраторов (CIRA), которые обязывают регистраторов иметь проверяемую связь с Канадой. Это указывает на то, что мошеннические домены обошли эти ограничения, продолжая осуществлять свои вредоносные действия незамеченными.

Фишинговые сайты созданы для обхода базовых процессов проверки. Например, сфабрикованные личные данные — включая нереалистичные годы рождения и случайно сгенерированную контактную информацию — смогли пройти проверку на этих сайтах. Кампания использует обманные тактики, такие как информирование жертв о несуществующих возвратам за переплаты, что дополнительно повышает вероятность того, что личные данные будут предоставлены и впоследствии использованы.

Компания RouterHosting LLC ранее была идентифицирована как поставщик услуг для как минимум 17 групп хакеров, поддерживаемых государством, связанных с различными странами, включая Иран, Северную Корею и Россию. Эта ассоциация вызывает тревогу относительно ее потенциального участия в других киберпреступных активностях. Ликвидация RouterHosting как юридического лица США и ее повторная регистрация как Cloudzy в Дубае усложняет надзор и вызывает вопросы о соблюдении регуляторных рамок, таких как те, что предписаны Американским реестром интернет-номеров (ARIN).

Cloudzy продолжает находиться под пристальным вниманием из-за своей операционной деятельности, которая, если будет обоснована, может уличить их в нарушении санкций США, связанных с содействием злонамеренным кибератакам. Необходимы постоянный мониторинг и следственные усилия по данному phishing-кампании и связанной с ней злонамеренной инфраструктуре, чтобы снизить риски для потенциальных жертв и сохранить целостность кибербезопасности.

#ParsedReport #CompletenessLow
09-03-2026

Iranian APT MuddyWater Uses Dindoor Malware to Target U.S. Networks

https://socradar.io/blog/iran-muddywater-dindoor-malware-us-networks/

Report completeness: Low

Actors/Campaigns:
Muddywater (motivation: cyber_espionage, hacktivism)

Threats:
Dindoor
Spear-phishing_technique
Fakeset
Rclone_tool

Victims:
Aviation, Financial services, Software development, Government, Telecommunications, Critical infrastructure, Non profit organization, Defense and aerospace software supplier, Airport, Bank, have more...

Industry:
Telco, Financial, Critical_infrastructure, Government, Aerospace, Software_development

Geo:
Israel, Israeli, Canadian, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1059.007, T1566.001

IOCs:
Domain: 5

Wallets:
wassabi

Languages:
typescript, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа APT, связанная с Министерством разведки и безопасности, проводит кампанию кибершпионажа, направленную на организации США в критически важных секторах, используя вновь открытую вредоносную заднюю дверь под названием Dindoor, которая работает в среде Deno и выполняет JavaScript/TypeScript для скрытого манипулирования. Кампания также использует другую заднюю дверь, Fakeset, и применяет Rclone для эксфильтрации данных, что указывает на акцент на чувствительные оперативные или финансовые данные на фоне обострённой геополитической напряжённости. Деятельность группы отражает стратегические государственные интересы в согласии с геополитическими маневрами Ирана.
-----

Иранская группа APT MuddyWater, предположительно связанная с Иранским министерством разведки и безопасности, проводит кампанию кибершпионажа, которая, как сообщается, скомпрометировала несколько организаций США, охватывающих критически важные сектора, такие как авиация, финансовые услуги и разработка программного обеспечения. Эта кампания, приписываемая группе, также известной как Seedworm, опирается на недавно идентифицированную вредоносную программу-заднюю дверь под названием Dindoor, а также на другие инструменты вредоносного ПО, которые обеспечивают длительный доступ к затронутым сетям.

Dindoor, известный благодаря своему развертыванию в среде выполнения Deno, позволяет выполнять код на JavaScript и TypeScript вне веб-браузеров, что дает возможность злоумышленникам эффективно манипулировать скомпрометированными системами, маскируя свою деятельность среди легитимных процессов. Обнаружение этого вредоносного ПО имеет большое значение, так как оно не было ранее задокументировано, что затрудняет обнаружение для традиционных решений безопасности на основе сигнатур. Наряду с Dindoor, другой бекдор под названием Fakeset — написанный на Python — был связан с аналогичными целями удаленного доступа.

Целевые организации включали аэропорт в США, банк, канадскую некоммерческую организацию и поставщика программного обеспечения, связанного с сектором обороны и аэрокосмической отрасли, с особым акцентом на организации, управляющие чувствительными операционными или финансовыми данными. Тайминг атак указывает на то, что противники получили доступ к некоторым сетям до обострения геополитических напряжений, что позволяло им проводить потенциальный сбор разведывательной информации и преднамеренную эксплуатацию ситуации.

Во время своих операций MuddyWater использовал задние двери для постоянного доступа и пытался осуществить экстракцию данных с помощью Rclone, инструмента передачи файлов с открытым исходным кодом, чтобы загружать конфиденциальные файлы в облачное хранилище. Характер кампании, отмечающийся постоянством доступа и стратегическим прицелом на ключевые сектора, подчеркивает соответствие группы интересам иранского государства на фоне продолжающегося геополитического конфликта между Ираном и Израилем.

Для организаций, обеспокоенных этой угрозой, мониторинг поведенческих аномалий имеет решающее значение, особенно атипичное использование инструментов, таких как Rclone, для эксфильтрации данных и неожиданные выполнения процессов Deno runtime. Также рекомендуется улучшить видимость использования сертификатов, связанных с сомнительными бинарными файлами, и мониторить индикаторы компрометации, связанные с деятельностью MuddyWater. Раннее выявление необычной активности особенно важно, учитывая склонность угрозных акторов поддерживать долгосрочный доступ перед действиями.