#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расширение Chrome ShotBird было злонамеренно перепрофилировано после передачи прав собственности, что привело к таким действиям, как установление соединений с инфраструктурой, контролируемой злоумышленниками, выполнение удаленных скриптов и сбор конфиденциальных данных пользователей. Вредоносное ПО использовало механизм выполнения в два этапа, вовлекая вводящий в заблуждение обновление, которое выполняло команды PowerShell для извлечения дальнейших payload с orangewater00.com. Технический анализ показал его способность удалять заголовки безопасности браузера и использовать инъекционные атаки через манипулированные элементы интерфейса, демонстрируя эволюционирующую угрозу через скомпрометированные легитимные инструменты.
-----

В значительном инциденте, о котором сообщалось 8 марта 2026 года, ранее законное расширение Chrome, известное как ShotBird, было переработано в канал распространения вредоносного ПО после передачи прав собственности. Зловредная версия расширения занималась различной преступной деятельностью, включая установление соединения с инфраструктурой, контролируемой злоумышленниками, выполнение удаленных задач JavaScript, удаление заголовков безопасности браузера, внедрение ложных обновлений и сбор конфиденциальных данных из форм пользователей.

Трансформация расширения ShotBird происходила с ноября 2024 года по март 2026 года, в течение которого оно получало обновления, которые в конечном итоге привели к злонамеренному поведению. Доказательства указывали на критическое изменение владельца между декабрем 2025 года и началом 2026 года, в результате чего расширение стало использоваться для кибератак. К марту 2026 года (после раскрытия проблемы) листинг расширения был недоступен в Chrome Web Store.

Технический анализ выявил механизм выполнения в два этапа, при котором вредоносное расширение побуждало пользователей загрузить, казалось бы, безобидное обновление, маскирующееся под "googleupdate.exe." Этот файл на самом деле был оберткой, содержащей подлинный установщик Google Chrome и компонент стадии "psfx.msi." Когда он выполнялся на Windows, этот компонент стадии выполнял закодированные команды PowerShell, загружая дополнительные вредоносные нагрузки с домена orangewater00.com с целью расширения своих возможностей, включая потенциальную кражу учетных данных и более широкое компрометирование конечных устройств.

Малварь изображала сложный вектор атаки, который работал внутри браузера, постоянно внедряя вредоносные элементы пользовательского интерфейса на посещенные страницы, чтобы обмануть пользователей, заставив их загрузить вредоносные загрузки. Расширение использовало декларативные правила сетевых запросов для удаления заголовков безопасности, таких как Content-Security-Policy и X-Frame-Options, тем самым увеличивая свою способность бесшовно выполнять инъекционные атаки. Более того, эта атака использовала два различных операционных режима: один, сосредоточенный на загрузке файлов, и другой, позволяющий выполнять команды.

Данные из журналов регистрации блоков сценариев PowerShell на затронутых хостах подтвердили, что заготовленный payload не только выполнял команды, но также занимался перечислением учетных данных и целью данных, хранящихся в браузерах на основе Chromium. Вся инфраструктура была идентифицирована как включающая шаблоны URL-адресов обратного вызова, указывающие на другие известные операции с вредоносным ПО, соответствующие шаблону компрометации законных инструментов после смены владельца.

Инцидент подчеркивает необходимость бдительности при использовании расширений браузера, так как они могут служить начальными точками доступа для более широких атак. Использование злоумышленниками тактик социальной инженерии и обманчивого интерфейса дополнительно подчеркивает тенденцию к использованию легитимных ресурсов с целью совершения злонамеренных действий, что увеличивает ландшафт угроз, связанный с расширениями браузера.

#ParsedReport #CompletenessLow
10-03-2026

OAuth Device Code Phishing: A New Microsoft 365 Account Breach Vector

https://any.run/cybersecurity-blog/oauth-device-code-phishing/

Report completeness: Low

Threats:
Device_code_phishing_technique
Credential_harvesting_technique

Victims:
Technology sector, Education sector, Manufacturing sector, Government and administration sector, Financial sector, Microsoft 365 users

Industry:
Healthcare, Education, Financial, Government

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1114, T1204, T1550.001, T1566

IOCs:
Url: 1
Domain: 13

Soft:
Linux, Android, Microsoft Office

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг на основе кода устройства OAuth стал сложной тактикой, нацеленной на учетные записи Microsoft 365, с обнаружением более 180 фишинговых URL за одну неделю. Этот метод позволяет злоумышленникам обойти традиционное похищение учетных данных, побуждая жертв авторизовать токены доступа через казалось бы законные процессы, что затрудняет обнаружение для SOC. Атаки эксплуатируют законные потоки аутентификации, предоставляя постоянный доступ к чувствительным данным и усложняются использованием зашифрованных коммуникаций, которые скрывают злоумышленные действия.
-----

Рост фишинга через OAuth Device Code представляет собой значительную эволюцию в тактике фишинга, нацеленной на учетные записи Microsoft 365. Аналитики недавно сообщили о резком увеличении таких атак, с более чем 180 фишинговыми URL, идентифицированными за одну неделю. Эта техника использует OAuth Device Authorization Grant, позволяя злоумышленникам обходить традиционные методы фишинга учетных данных и непосредственно получать токены доступа через взаимодействие с пользователями, что значительно усложняет обнаружение для Центров операций безопасности (SOCs).

В атаке фишинга с использованием кода устройства OAuth жертвы сталкиваются с фишинговой страницей, замаскированной под легитимный процесс, такой как этап проверки документа. Их просят скопировать код пользователя и перейти на конкретный URL (например, microsoft.com/devicelogin), где они незнаючи авторизуют доступ к своим учетным записям Microsoft 365, тем самым предоставляя злоумышленникам немедленный доступ к конфиденциальной информации без необходимости кражи их учетных данных. Из-за этой методологии злоумышленники могут использовать доверительный характер легитимных потоков аутентификации, что создает серьезные риски, включая несанкционированный доступ к корпоративным электронным письмам и потенциальное участие в схемах компрометации деловой электронной почты.

Способность обнаруживать эти атаки затрудняется тем, что традиционные индикаторы фишинга часто не активируются. Страницы фишинга могут использовать легитимные процессы и зашифрованные коммуникации, чтобы скрыть свои злонамеренные намерения, что делает традиционные методы обнаружения неэффективными. Поэтому эта форма фишинга позволяет злоумышленникам устанавливать постоянный доступ к целевым учетным записям через механизмы, такие как refresh tokens, что потенциально может привести к дальнейшим утечкам данных или финансовым мошенничествам.

Видимость этих атак имеет решающее значение. Автоматическая расшифровка SSL была определена как ключевая функция, позволяющая аналитикам выявлять злонамеренные действия, скрытые в зашифрованном трафике. Расшифровывая HTTPS трафик и раскрывая основывающиеся на скриптах и API запросах, аналитики могут выявлять важные индикаторы компрометации (IOC), связанные с инфраструктурой фишинга. Конкретные конечные API, такие как "/api/device/start" и "/api/device/status/", а также связанные заголовки могут служить практическими IO для более глубокого расследования текущих кампаний.

Организациям рекомендуется улучшить процессы SOC, чтобы повысить раннее обнаружение и реагирование на новые методы фишинга. Интеграция аналитики угроз в реальном времени и использование инструментов, способных к динамическому анализу вредоносного ПО, могут способствовать быстрому выявлению попыток фишинга и минимизации риска захвата аккаунтов. Поскольку такие сектора, как технологии, образование и государственный сектор, были значительно затронуты, всем пользователям Microsoft 365 необходимо оставаться бдительными против этих инновационных стратегий фишинга, которые эксплуатируют доверие пользователей и авторизованные процедуры, а не обычный кражу учетных данных.

#ParsedReport #CompletenessLow
10-03-2026

Active Phishing Campaign on Hosting Infrastructure with Alleged Links to Iranian State Aligned Activity

https://flare.io/learn/resources/blog/phishing-campaign-hosting-infrastructure-alleged-links-iranian-state-aligned-activity

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Canadian residents, Government sector, Utilities sector, Financial services sector

Industry:
Telco, E-commerce, Government, Financial

Geo:
North korea, Pakistan, Iranian, America, Tehran, Vietnam, American, Iran, Canada, Canadian, India, China, Columbia, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566, T1583.001, T1583.003, T1589.002, T1656

IOCs:
Domain: 9

Soft:
Telegram, remote desktop services

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на жителей Канады через мошеннические домены, которые выдают себя за доверенные учреждения, такие как Правительство Британской Колумбии и Hydro-Québec, с целью сбора чувствительной личной и финансовой информации. Инфраструктура, связанная с этой деятельностью, имеет отношение к RouterHosting LLC, ассоциированному с иранскими государственными угрозами, и показала, что 58% ее канадских специфических доменов содержат подозрительную терминологию, связанную с финансовыми услугами. Кампания использует обманные тактики, включая поддельные уведомления о возврате, чтобы обмануть жертв и заставить их предоставить личные данные, эксплуатируя слабые процессы проверки для избежания обнаружения.
-----

Активная фишинговая кампания в настоящее время нацелена на жителей Канады, используя fraudulent domains, имитирующие авторитетные учреждения, такие как Правительство Британской Колумбии и Hydro-Québec. Эта кампания нацелена на сбор чувствительной личной информации и данных кредитных карт. Хост, стоящий за этой злонамеренной инфраструктурой, RouterHosting LLC, также известный как Cloudzy, был связан с угрозовыми группами, поддерживаемыми государством Иран, что вызывает беспокойство по поводу его операций. Несмотря на предыдущие обвинения и подозрения, задокументированные в 2023 году, значительных изменений в собственности или практике RouterHosting не было выявлено, что продолжает смягчать риски безопасности, связанные с его инфраструктурой.

Анализ показал, что примерно 58% канадских доменов (.ca), хостящихся в сети RouterHosting, содержат подозрительный язык, связанный с банками и поставщиками услуг. Мошенническая природа этих доменов позволяет им использовать требования Канадской ассоциации интернет-регистраторов (CIRA), которые обязывают регистраторов иметь проверяемую связь с Канадой. Это указывает на то, что мошеннические домены обошли эти ограничения, продолжая осуществлять свои вредоносные действия незамеченными.

Фишинговые сайты созданы для обхода базовых процессов проверки. Например, сфабрикованные личные данные — включая нереалистичные годы рождения и случайно сгенерированную контактную информацию — смогли пройти проверку на этих сайтах. Кампания использует обманные тактики, такие как информирование жертв о несуществующих возвратам за переплаты, что дополнительно повышает вероятность того, что личные данные будут предоставлены и впоследствии использованы.

Компания RouterHosting LLC ранее была идентифицирована как поставщик услуг для как минимум 17 групп хакеров, поддерживаемых государством, связанных с различными странами, включая Иран, Северную Корею и Россию. Эта ассоциация вызывает тревогу относительно ее потенциального участия в других киберпреступных активностях. Ликвидация RouterHosting как юридического лица США и ее повторная регистрация как Cloudzy в Дубае усложняет надзор и вызывает вопросы о соблюдении регуляторных рамок, таких как те, что предписаны Американским реестром интернет-номеров (ARIN).

Cloudzy продолжает находиться под пристальным вниманием из-за своей операционной деятельности, которая, если будет обоснована, может уличить их в нарушении санкций США, связанных с содействием злонамеренным кибератакам. Необходимы постоянный мониторинг и следственные усилия по данному phishing-кампании и связанной с ней злонамеренной инфраструктуре, чтобы снизить риски для потенциальных жертв и сохранить целостность кибербезопасности.

#ParsedReport #CompletenessLow
09-03-2026

Iranian APT MuddyWater Uses Dindoor Malware to Target U.S. Networks

https://socradar.io/blog/iran-muddywater-dindoor-malware-us-networks/

Report completeness: Low

Actors/Campaigns:
Muddywater (motivation: cyber_espionage, hacktivism)

Threats:
Dindoor
Spear-phishing_technique
Fakeset
Rclone_tool

Victims:
Aviation, Financial services, Software development, Government, Telecommunications, Critical infrastructure, Non profit organization, Defense and aerospace software supplier, Airport, Bank, have more...

Industry:
Telco, Financial, Critical_infrastructure, Government, Aerospace, Software_development

Geo:
Israel, Israeli, Canadian, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1059.007, T1566.001

IOCs:
Domain: 5

Wallets:
wassabi

Languages:
typescript, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа APT, связанная с Министерством разведки и безопасности, проводит кампанию кибершпионажа, направленную на организации США в критически важных секторах, используя вновь открытую вредоносную заднюю дверь под названием Dindoor, которая работает в среде Deno и выполняет JavaScript/TypeScript для скрытого манипулирования. Кампания также использует другую заднюю дверь, Fakeset, и применяет Rclone для эксфильтрации данных, что указывает на акцент на чувствительные оперативные или финансовые данные на фоне обострённой геополитической напряжённости. Деятельность группы отражает стратегические государственные интересы в согласии с геополитическими маневрами Ирана.
-----

Иранская группа APT MuddyWater, предположительно связанная с Иранским министерством разведки и безопасности, проводит кампанию кибершпионажа, которая, как сообщается, скомпрометировала несколько организаций США, охватывающих критически важные сектора, такие как авиация, финансовые услуги и разработка программного обеспечения. Эта кампания, приписываемая группе, также известной как Seedworm, опирается на недавно идентифицированную вредоносную программу-заднюю дверь под названием Dindoor, а также на другие инструменты вредоносного ПО, которые обеспечивают длительный доступ к затронутым сетям.

Dindoor, известный благодаря своему развертыванию в среде выполнения Deno, позволяет выполнять код на JavaScript и TypeScript вне веб-браузеров, что дает возможность злоумышленникам эффективно манипулировать скомпрометированными системами, маскируя свою деятельность среди легитимных процессов. Обнаружение этого вредоносного ПО имеет большое значение, так как оно не было ранее задокументировано, что затрудняет обнаружение для традиционных решений безопасности на основе сигнатур. Наряду с Dindoor, другой бекдор под названием Fakeset — написанный на Python — был связан с аналогичными целями удаленного доступа.

Целевые организации включали аэропорт в США, банк, канадскую некоммерческую организацию и поставщика программного обеспечения, связанного с сектором обороны и аэрокосмической отрасли, с особым акцентом на организации, управляющие чувствительными операционными или финансовыми данными. Тайминг атак указывает на то, что противники получили доступ к некоторым сетям до обострения геополитических напряжений, что позволяло им проводить потенциальный сбор разведывательной информации и преднамеренную эксплуатацию ситуации.

Во время своих операций MuddyWater использовал задние двери для постоянного доступа и пытался осуществить экстракцию данных с помощью Rclone, инструмента передачи файлов с открытым исходным кодом, чтобы загружать конфиденциальные файлы в облачное хранилище. Характер кампании, отмечающийся постоянством доступа и стратегическим прицелом на ключевые сектора, подчеркивает соответствие группы интересам иранского государства на фоне продолжающегося геополитического конфликта между Ираном и Израилем.

Для организаций, обеспокоенных этой угрозой, мониторинг поведенческих аномалий имеет решающее значение, особенно атипичное использование инструментов, таких как Rclone, для эксфильтрации данных и неожиданные выполнения процессов Deno runtime. Также рекомендуется улучшить видимость использования сертификатов, связанных с сомнительными бинарными файлами, и мониторить индикаторы компрометации, связанные с деятельностью MuddyWater. Раннее выявление необычной активности особенно важно, учитывая склонность угрозных акторов поддерживать долгосрочный доступ перед действиями.

#ParsedReport #CompletenessMedium
10-03-2026

Silence of the hops: The KadNap botnet

https://blog.lumen.com/silence-of-the-hops-the-kadnap-botnet/

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Kadnap
Faceless_tool
Moon_botnet
Residential_proxy_technique
Remproxy
Quad7
Password_spray_technique

Victims:
Asus routers, Edge networking devices, Residential proxy users targets, Internet users

Industry:
Iot

Geo:
Hong kong, Russia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1036, T1053.003, T1059.004, T1071.004, T1090, T1105, T1562.004

IOCs:
IP: 3

Soft:
Kademlia, Twitter, BitTorrent

Algorithms:
sha1, aes, xor

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KadNap\_IOCs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет KadNap нацеливается на маршрутизаторы Asus и другие вычислительные устройства на границе, состоящий из более чем 14 000 зараженных устройств, в основном в США. Он использует модифицированный протокол Kademlia DHT для скрытия C2 серверов внутри P2P сети, что усложняет обнаружение. Первичная инфекция происходит через вредоносный shell-скрипт, который устанавливает ELF файл, обеспечивая постоянство и облегчая соединения с другими жертвами для выполнения команд, при этом его инфраструктура разработана для уклонения от разрушения.
-----

Недавно раскрытая бот-сеть KadNap представляет собой значительную угрозу, в первую очередь нацеленную на маршрутизаторы Asus и потенциально другие устройства сетевого края. Обнаруженная Black Lotus Labs в Lumen, это сложное программное обеспечение для распространения вредоносных программ способствует созданию крупномасштабной бот-сети, которая в настоящее время включает более 14,000 зараженных устройств, в основном находящихся в Соединенных Штатах. Операторы используют настраиваемую версию протокола Kademlia Distributed Hash Table (DHT), что позволяет им скрывать свои серверы управления и контроля (C2) в сети одноранговой (P2P). Эта схема позволяет создавать каналы связи, которые трудно нарушить и обнаружить защитникам, эффективно маскируя вредоносный трафик под легитимную P2P-активность.

Начальная инфекция включает в себя загрузку вредоносного оболочки скрипта, который обеспечивает постоянное присутствие на зараженных устройствах, особенно путем настройки задания cron, которое выполняет определенный ELF файл, связанный с вредоносным ПО KadNap, через регулярные интервалы. Этот вредоносный код умеет выявлять и подключаться к другим жертвам в сети, формируя "телефонное дерево" C2 адресов, что облегчает удаленное выполнение команд. Более того, он демонстрирует универсальность, с вариантами, разработанными как для архитектур процессоров ARM, так и MIPS.

Как только malware инициализируется, он подключается к известным bootstrap-узлам в сети BitTorrent, чтобы найти другие зараженные устройства и цели командования, генерируя настраиваемые DHT-пакеты для облегчения связи. Критической характеристикой ботнета KadNap является его использование постоянных конечных узлов равноправных участников, что обеспечивает непрерывный контроль над его инфраструктурой; анализ показывает, что одни и те же два конечных узла передачи постоянно используются malware.

Анализ активности этой ботсети показывает, что она работает с сегментированной инфраструктурой, основанной на типах жертв, при этом устройства Asus в основномcommunicating с двумя указанными C2 серверами, в то время как другие инфицированные устройства подключаются к другим. Потенциальные приложения KadNap включают использование в качестве вредоносного прокси для различных киберпреступных действий, тем самым представляя значительные риски как для организаций, так и для отдельных пользователей, чьи устройства были скомпрометированы.

Black Lotus Labs планирует поделиться индикаторами компрометации (IoCs) в общественных лентах, чтобы помочь сообществу кибербезопасности в противодействии этой развивающейся угрозе. Поскольку эта сеть использует механизм децентрализованного контроля для уклонения от обнаружения, ее непрерывный рост подчеркивает растущую сложность тактики ботнетов и уязвимости, присутствующие в инфраструктуре Интернета вещей (IoT).

#ParsedReport #CompletenessLow
09-03-2026

Extended IOCs for TaxiSpy Android Banking Malware

https://zimperium.com/blog/extended-iocs-for-taxispy-android-banking-malware

Report completeness: Low

Threats:
Taxispy
Credential_harvesting_technique

Victims:
Banking users, Organizations using mobile devices

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1403, T1409, T1412, T1416, T1430, T1437, T1466

Soft:
Android

Links:
https://github.com/Zimperium/IOC/tree/master/2026-03-TaxiSpyRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TaxiSpy — это продвинутое банковское вредоносное ПО для Android, которое сочетает в себе функции банковского трояна с возможностями удаленного доступа, позволяя злоумышленникам контролировать устройства, перехватывать SMS, отслеживать приложения и собирать конфиденциальные данные. Недавний анализ выявил более 60 недокументированных образцов TaxiSpy, подчеркивая усилия операторов по уклонению от обнаружения через постоянные обновления. Вредоносное ПО представляет собой значительные риски не только для отдельных пользователей банковских услуг, но и для организаций, позволяя похищать учетные данные и обходить многофакторную аутентификацию, что потенциально может привести к несанкционированному доступу к корпоративным ресурсам.
-----

TaxiSpy — это сложная кампания банковского вредоносного ПО для Android, которая сочетает в себе функции традиционного банковского трояна с полноценными возможностями трояна удаленного доступа (RAT). Его дизайн позволяет злоумышленникам полностью контролировать зараженные устройства, позволяя им перехватывать SMS-сообщения, мониторить финансовые приложения, захватывать конфиденциальные данные ввода и выполнять удаленные команды. Вредоносное ПО демонстрирует продвинутые методы постоянного присутствия, пытаясь стать стандартным обработчиком SMS для входящих сообщений и используя службы доступности Android для мониторинга пользовательской активности и автоматизации злонамеренных действий. Кроме того, оно взаимодействует с инфраструктурой, управляемой нападающими, чтобы получать команды и экстрагировать украденную информацию.

Недавние анализы выявили более 60 ранее не задокументированных образцов TaxiSpy, что указывает на продолжающееся переупаковку его операторами для обхода механизмов детекции. Это поведение характерно для современных стратегий Android malware, где постоянное обновление вариантов вредоносных программ используется для обхода основанных на сигнатурах защит. Нападающие используют эти развивающиеся возможности в первую очередь для сбора учетных данных и финансового мошенничества, проводя при этом обширное наблюдение за устройствами скомпрометированных пользователей.

Потенциальные последствия TaxiSpy выходят за рамки отдельных пользователей банковских услуг и охватывают организации, которые полагаются на мобильные устройства для доступа к корпоративным ресурсам. Захватывая SMS-сообщения и собирая учетные данные, TaxiSpy позволяет злоумышленникам обходить многофакторную аутентификацию и получать постоянный доступ к чувствительным корпоративным приложениям и данным, что создает значительные риски для безопасности предприятий.

Для решения этих возникающих угроз организациям следует внедрять надежные меры безопасности, сосредотачиваясь на обнаружении поведения мобильных устройств и защите во времени выполнения. В частности, решения безопасности Zimperium, которые используют механизмы динамического обнаружения на устройстве, могут выявлять активность TaxiSpy в реальном времени, даже когда угрозы изменяют свои тактики. Поскольку вредоносное ПО для Android всё больше включает в себя шпионские возможности, эффективные решения, которые выявляют злонамеренное поведение на самом устройстве, будут необходимы для защиты целостности организации и предотвращения злонамеренных нарушений.

#ParsedReport #CompletenessLow
02-03-2026

Before the Proxy: Uncovering Active PlugX Staging Infrastructure Linked to Three PRC Actors

https://cyberandramen.net/2026/03/02/before-the-proxy-uncovering-active-plugx-staging-infrastructure-linked-to-three-prc-actors/

Report completeness: Low

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Plugx_rat
Staticplugin
Dll_sideloading_technique

Victims:
Government organizations, Diplomatic organizations, Civil society organizations, Diplomats

Industry:
Government

Geo:
Asia, United kingdom, Taiwan, Germany, Japan, Malaysia, Hong kong, Mongolia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1090.003, T1105, T1218, T1218.005, T1553.002, T1573, T1573.002, T1574.002, have more...

IOCs:
File: 3
Domain: 15
IP: 15

Algorithms:
rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования по поводу вредоносного ПО PlugX связали его с группами, спонсируемыми государством Китая, Mustang Panda, UNC6384 и RedDelta, нацеленными на правительственные и дипломатические структуры через сеть из 14 доменов. Инфраструктура командного и управляющего центра использует истекшие домены, переходя на VPS для сокрытия через Cloudflare. Последние методы доставки включают использование STATICPLUGIN и MSBuild для эксплуатации побочного загрузки DLL, что выявляет общую операционную структуру среди этих угроз.
-----

Недавние расследования по PlugX malware обнаружили сеть из 14 доменов, связанных с китайскими государственно спонсируемыми угрозами, особенно Mustang Panda, UNC6384 и RedDelta. Эти домены являются частью сложной шпионской кампании, нацеленной на государственные и дипломатические структуры. Оператор командования и управления (C2), стоящий за этой кампанией, проявляет методический подход, обычно регистрируя истекшие домены и переходя на виртуальные частные серверы (VPS) с ASN 149440, связанным с Evoxt Enterprise, прежде чем затемнить инфраструктуру через Cloudflare.

Malware PlugX сам по себе является модульным трояном для удаленного доступа (RAT), известным своей обширной историей и постоянной ассоциацией с кибероперациями КНР. Он в первую очередь использовался против государственных и дипломатических целей по всему миру, демонстрируя адаптивность на протяжении своих различных итераций. В частности, недавние отчеты зафиксировали действия, связанные с UNC6384 и Mustang Panda, которые совместно проводили кампании против дипломатов, в основном в Юго-Восточной Азии, используя начальные загрузчики, такие как STATICPLUGIN, перед развертыванием PlugX. Оба актора имеют пересекающиеся C2-сети и разделяют общие стратегии командования и развертывания, что указывает на возможную оперативную координацию.

В начале 2026 года отчет подробно описал доставку варианта PlugX через STATICPLUGIN, который подключался к домену, идентифицированному в ходе исследования. Последующий анализ признал другой метод заражения, включающий MSBuild и боковую загрузку DLL GData, нацеливающуюся на другой домен. Методичный характер тактики, методов и процедур (TTP) злоумышленника указывает на общую операционную рамку среди трех противников, акцентированных в результатах.

Расследование началось с обнаружения образцов PlugX и предоставленного адреса C2, предоставленного исследователями в области кибербезопасности. После этого дополнительные детали стали известны через анализ WHOIS домена C2, подтверждающий регистрацию домена через NameCheap и использование Cloudflare для анонимности. Установленные шаблоны указывают на намеренное использование безобидно выглядящих доменов для сокрытия злонамеренной активности, усложняя реагирование защитников.

В итоге, Mustang Panda, UNC6384 и RedDelta демонстрируют систематический подход к созданию инфраструктуры C2, который приоритизирует скрытность и устойчивость к обнаружению. Их зависимость от известных регистраторов, устаревших доменов с низким контролем и быстрая миграция в облачные сервисы подчеркивает их способность эффективно поддерживать свои вредоносные операции. Учитывая поведенческие совпадения, продолжающийся мониторинг этой активности рекомендуется для противодействия развивающемуся ландшафту угроз, представленному этими актерами.

#ParsedReport #CompletenessHigh
09-03-2026

OPERATION FALSE SIREN ANDROID SPYWARE CAMPAIGN

https://www.cyfirma.com/research/operation-false-siren-android-spyware-campaign/

Report completeness: High

Actors/Campaigns:
False_siren (motivation: cyber_espionage)

Threats:
Redalert
Smishing_technique
Umgdn
Tsunami_botnet
Alertx

Victims:
Civilians, Mobile users

Industry:
Financial, Government, Military

Geo:
Israeli, Israel

TTPs:
Tactics: 5
Technics: 16

IOCs:
File: 10
Coin: 1
Domain: 1
Url: 2
Hash: 2

Soft:
ANDROID, Google Play, APKTOOL

Algorithms:
base64, xor, sha256

Functions:
getInstallerPackageName, PackageManager, getApkContentsSigners, getSigningCertificateHistory, startForegroundService, startService, Gonomery, Petchary, onMessageReceived, Deifies, have more...

Languages:
java

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4