#ParsedReport #CompletenessLow
10-03-2026

OAuth Device Code Phishing: A New Microsoft 365 Account Breach Vector

https://any.run/cybersecurity-blog/oauth-device-code-phishing/

Report completeness: Low

Threats:
Device_code_phishing_technique
Credential_harvesting_technique

Victims:
Technology sector, Education sector, Manufacturing sector, Government and administration sector, Financial sector, Microsoft 365 users

Industry:
Healthcare, Education, Financial, Government

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1114, T1204, T1550.001, T1566

IOCs:
Url: 1
Domain: 13

Soft:
Linux, Android, Microsoft Office

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг на основе кода устройства OAuth стал сложной тактикой, нацеленной на учетные записи Microsoft 365, с обнаружением более 180 фишинговых URL за одну неделю. Этот метод позволяет злоумышленникам обойти традиционное похищение учетных данных, побуждая жертв авторизовать токены доступа через казалось бы законные процессы, что затрудняет обнаружение для SOC. Атаки эксплуатируют законные потоки аутентификации, предоставляя постоянный доступ к чувствительным данным и усложняются использованием зашифрованных коммуникаций, которые скрывают злоумышленные действия.
-----

Рост фишинга через OAuth Device Code представляет собой значительную эволюцию в тактике фишинга, нацеленной на учетные записи Microsoft 365. Аналитики недавно сообщили о резком увеличении таких атак, с более чем 180 фишинговыми URL, идентифицированными за одну неделю. Эта техника использует OAuth Device Authorization Grant, позволяя злоумышленникам обходить традиционные методы фишинга учетных данных и непосредственно получать токены доступа через взаимодействие с пользователями, что значительно усложняет обнаружение для Центров операций безопасности (SOCs).

В атаке фишинга с использованием кода устройства OAuth жертвы сталкиваются с фишинговой страницей, замаскированной под легитимный процесс, такой как этап проверки документа. Их просят скопировать код пользователя и перейти на конкретный URL (например, microsoft.com/devicelogin), где они незнаючи авторизуют доступ к своим учетным записям Microsoft 365, тем самым предоставляя злоумышленникам немедленный доступ к конфиденциальной информации без необходимости кражи их учетных данных. Из-за этой методологии злоумышленники могут использовать доверительный характер легитимных потоков аутентификации, что создает серьезные риски, включая несанкционированный доступ к корпоративным электронным письмам и потенциальное участие в схемах компрометации деловой электронной почты.

Способность обнаруживать эти атаки затрудняется тем, что традиционные индикаторы фишинга часто не активируются. Страницы фишинга могут использовать легитимные процессы и зашифрованные коммуникации, чтобы скрыть свои злонамеренные намерения, что делает традиционные методы обнаружения неэффективными. Поэтому эта форма фишинга позволяет злоумышленникам устанавливать постоянный доступ к целевым учетным записям через механизмы, такие как refresh tokens, что потенциально может привести к дальнейшим утечкам данных или финансовым мошенничествам.

Видимость этих атак имеет решающее значение. Автоматическая расшифровка SSL была определена как ключевая функция, позволяющая аналитикам выявлять злонамеренные действия, скрытые в зашифрованном трафике. Расшифровывая HTTPS трафик и раскрывая основывающиеся на скриптах и API запросах, аналитики могут выявлять важные индикаторы компрометации (IOC), связанные с инфраструктурой фишинга. Конкретные конечные API, такие как "/api/device/start" и "/api/device/status/", а также связанные заголовки могут служить практическими IO для более глубокого расследования текущих кампаний.

Организациям рекомендуется улучшить процессы SOC, чтобы повысить раннее обнаружение и реагирование на новые методы фишинга. Интеграция аналитики угроз в реальном времени и использование инструментов, способных к динамическому анализу вредоносного ПО, могут способствовать быстрому выявлению попыток фишинга и минимизации риска захвата аккаунтов. Поскольку такие сектора, как технологии, образование и государственный сектор, были значительно затронуты, всем пользователям Microsoft 365 необходимо оставаться бдительными против этих инновационных стратегий фишинга, которые эксплуатируют доверие пользователей и авторизованные процедуры, а не обычный кражу учетных данных.

#ParsedReport #CompletenessLow
10-03-2026

Active Phishing Campaign on Hosting Infrastructure with Alleged Links to Iranian State Aligned Activity

https://flare.io/learn/resources/blog/phishing-campaign-hosting-infrastructure-alleged-links-iranian-state-aligned-activity

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Canadian residents, Government sector, Utilities sector, Financial services sector

Industry:
Telco, E-commerce, Government, Financial

Geo:
North korea, Pakistan, Iranian, America, Tehran, Vietnam, American, Iran, Canada, Canadian, India, China, Columbia, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566, T1583.001, T1583.003, T1589.002, T1656

IOCs:
Domain: 9

Soft:
Telegram, remote desktop services

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на жителей Канады через мошеннические домены, которые выдают себя за доверенные учреждения, такие как Правительство Британской Колумбии и Hydro-Québec, с целью сбора чувствительной личной и финансовой информации. Инфраструктура, связанная с этой деятельностью, имеет отношение к RouterHosting LLC, ассоциированному с иранскими государственными угрозами, и показала, что 58% ее канадских специфических доменов содержат подозрительную терминологию, связанную с финансовыми услугами. Кампания использует обманные тактики, включая поддельные уведомления о возврате, чтобы обмануть жертв и заставить их предоставить личные данные, эксплуатируя слабые процессы проверки для избежания обнаружения.
-----

Активная фишинговая кампания в настоящее время нацелена на жителей Канады, используя fraudulent domains, имитирующие авторитетные учреждения, такие как Правительство Британской Колумбии и Hydro-Québec. Эта кампания нацелена на сбор чувствительной личной информации и данных кредитных карт. Хост, стоящий за этой злонамеренной инфраструктурой, RouterHosting LLC, также известный как Cloudzy, был связан с угрозовыми группами, поддерживаемыми государством Иран, что вызывает беспокойство по поводу его операций. Несмотря на предыдущие обвинения и подозрения, задокументированные в 2023 году, значительных изменений в собственности или практике RouterHosting не было выявлено, что продолжает смягчать риски безопасности, связанные с его инфраструктурой.

Анализ показал, что примерно 58% канадских доменов (.ca), хостящихся в сети RouterHosting, содержат подозрительный язык, связанный с банками и поставщиками услуг. Мошенническая природа этих доменов позволяет им использовать требования Канадской ассоциации интернет-регистраторов (CIRA), которые обязывают регистраторов иметь проверяемую связь с Канадой. Это указывает на то, что мошеннические домены обошли эти ограничения, продолжая осуществлять свои вредоносные действия незамеченными.

Фишинговые сайты созданы для обхода базовых процессов проверки. Например, сфабрикованные личные данные — включая нереалистичные годы рождения и случайно сгенерированную контактную информацию — смогли пройти проверку на этих сайтах. Кампания использует обманные тактики, такие как информирование жертв о несуществующих возвратам за переплаты, что дополнительно повышает вероятность того, что личные данные будут предоставлены и впоследствии использованы.

Компания RouterHosting LLC ранее была идентифицирована как поставщик услуг для как минимум 17 групп хакеров, поддерживаемых государством, связанных с различными странами, включая Иран, Северную Корею и Россию. Эта ассоциация вызывает тревогу относительно ее потенциального участия в других киберпреступных активностях. Ликвидация RouterHosting как юридического лица США и ее повторная регистрация как Cloudzy в Дубае усложняет надзор и вызывает вопросы о соблюдении регуляторных рамок, таких как те, что предписаны Американским реестром интернет-номеров (ARIN).

Cloudzy продолжает находиться под пристальным вниманием из-за своей операционной деятельности, которая, если будет обоснована, может уличить их в нарушении санкций США, связанных с содействием злонамеренным кибератакам. Необходимы постоянный мониторинг и следственные усилия по данному phishing-кампании и связанной с ней злонамеренной инфраструктуре, чтобы снизить риски для потенциальных жертв и сохранить целостность кибербезопасности.

#ParsedReport #CompletenessLow
09-03-2026

Iranian APT MuddyWater Uses Dindoor Malware to Target U.S. Networks

https://socradar.io/blog/iran-muddywater-dindoor-malware-us-networks/

Report completeness: Low

Actors/Campaigns:
Muddywater (motivation: cyber_espionage, hacktivism)

Threats:
Dindoor
Spear-phishing_technique
Fakeset
Rclone_tool

Victims:
Aviation, Financial services, Software development, Government, Telecommunications, Critical infrastructure, Non profit organization, Defense and aerospace software supplier, Airport, Bank, have more...

Industry:
Telco, Financial, Critical_infrastructure, Government, Aerospace, Software_development

Geo:
Israel, Israeli, Canadian, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1059.007, T1566.001

IOCs:
Domain: 5

Wallets:
wassabi

Languages:
typescript, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа APT, связанная с Министерством разведки и безопасности, проводит кампанию кибершпионажа, направленную на организации США в критически важных секторах, используя вновь открытую вредоносную заднюю дверь под названием Dindoor, которая работает в среде Deno и выполняет JavaScript/TypeScript для скрытого манипулирования. Кампания также использует другую заднюю дверь, Fakeset, и применяет Rclone для эксфильтрации данных, что указывает на акцент на чувствительные оперативные или финансовые данные на фоне обострённой геополитической напряжённости. Деятельность группы отражает стратегические государственные интересы в согласии с геополитическими маневрами Ирана.
-----

Иранская группа APT MuddyWater, предположительно связанная с Иранским министерством разведки и безопасности, проводит кампанию кибершпионажа, которая, как сообщается, скомпрометировала несколько организаций США, охватывающих критически важные сектора, такие как авиация, финансовые услуги и разработка программного обеспечения. Эта кампания, приписываемая группе, также известной как Seedworm, опирается на недавно идентифицированную вредоносную программу-заднюю дверь под названием Dindoor, а также на другие инструменты вредоносного ПО, которые обеспечивают длительный доступ к затронутым сетям.

Dindoor, известный благодаря своему развертыванию в среде выполнения Deno, позволяет выполнять код на JavaScript и TypeScript вне веб-браузеров, что дает возможность злоумышленникам эффективно манипулировать скомпрометированными системами, маскируя свою деятельность среди легитимных процессов. Обнаружение этого вредоносного ПО имеет большое значение, так как оно не было ранее задокументировано, что затрудняет обнаружение для традиционных решений безопасности на основе сигнатур. Наряду с Dindoor, другой бекдор под названием Fakeset — написанный на Python — был связан с аналогичными целями удаленного доступа.

Целевые организации включали аэропорт в США, банк, канадскую некоммерческую организацию и поставщика программного обеспечения, связанного с сектором обороны и аэрокосмической отрасли, с особым акцентом на организации, управляющие чувствительными операционными или финансовыми данными. Тайминг атак указывает на то, что противники получили доступ к некоторым сетям до обострения геополитических напряжений, что позволяло им проводить потенциальный сбор разведывательной информации и преднамеренную эксплуатацию ситуации.

Во время своих операций MuddyWater использовал задние двери для постоянного доступа и пытался осуществить экстракцию данных с помощью Rclone, инструмента передачи файлов с открытым исходным кодом, чтобы загружать конфиденциальные файлы в облачное хранилище. Характер кампании, отмечающийся постоянством доступа и стратегическим прицелом на ключевые сектора, подчеркивает соответствие группы интересам иранского государства на фоне продолжающегося геополитического конфликта между Ираном и Израилем.

Для организаций, обеспокоенных этой угрозой, мониторинг поведенческих аномалий имеет решающее значение, особенно атипичное использование инструментов, таких как Rclone, для эксфильтрации данных и неожиданные выполнения процессов Deno runtime. Также рекомендуется улучшить видимость использования сертификатов, связанных с сомнительными бинарными файлами, и мониторить индикаторы компрометации, связанные с деятельностью MuddyWater. Раннее выявление необычной активности особенно важно, учитывая склонность угрозных акторов поддерживать долгосрочный доступ перед действиями.

#ParsedReport #CompletenessMedium
10-03-2026

Silence of the hops: The KadNap botnet

https://blog.lumen.com/silence-of-the-hops-the-kadnap-botnet/

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Kadnap
Faceless_tool
Moon_botnet
Residential_proxy_technique
Remproxy
Quad7
Password_spray_technique

Victims:
Asus routers, Edge networking devices, Residential proxy users targets, Internet users

Industry:
Iot

Geo:
Hong kong, Russia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1036, T1053.003, T1059.004, T1071.004, T1090, T1105, T1562.004

IOCs:
IP: 3

Soft:
Kademlia, Twitter, BitTorrent

Algorithms:
sha1, aes, xor

Platforms:
mips, arm

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/KadNap\_IOCs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет KadNap нацеливается на маршрутизаторы Asus и другие вычислительные устройства на границе, состоящий из более чем 14 000 зараженных устройств, в основном в США. Он использует модифицированный протокол Kademlia DHT для скрытия C2 серверов внутри P2P сети, что усложняет обнаружение. Первичная инфекция происходит через вредоносный shell-скрипт, который устанавливает ELF файл, обеспечивая постоянство и облегчая соединения с другими жертвами для выполнения команд, при этом его инфраструктура разработана для уклонения от разрушения.
-----

Недавно раскрытая бот-сеть KadNap представляет собой значительную угрозу, в первую очередь нацеленную на маршрутизаторы Asus и потенциально другие устройства сетевого края. Обнаруженная Black Lotus Labs в Lumen, это сложное программное обеспечение для распространения вредоносных программ способствует созданию крупномасштабной бот-сети, которая в настоящее время включает более 14,000 зараженных устройств, в основном находящихся в Соединенных Штатах. Операторы используют настраиваемую версию протокола Kademlia Distributed Hash Table (DHT), что позволяет им скрывать свои серверы управления и контроля (C2) в сети одноранговой (P2P). Эта схема позволяет создавать каналы связи, которые трудно нарушить и обнаружить защитникам, эффективно маскируя вредоносный трафик под легитимную P2P-активность.

Начальная инфекция включает в себя загрузку вредоносного оболочки скрипта, который обеспечивает постоянное присутствие на зараженных устройствах, особенно путем настройки задания cron, которое выполняет определенный ELF файл, связанный с вредоносным ПО KadNap, через регулярные интервалы. Этот вредоносный код умеет выявлять и подключаться к другим жертвам в сети, формируя "телефонное дерево" C2 адресов, что облегчает удаленное выполнение команд. Более того, он демонстрирует универсальность, с вариантами, разработанными как для архитектур процессоров ARM, так и MIPS.

Как только malware инициализируется, он подключается к известным bootstrap-узлам в сети BitTorrent, чтобы найти другие зараженные устройства и цели командования, генерируя настраиваемые DHT-пакеты для облегчения связи. Критической характеристикой ботнета KadNap является его использование постоянных конечных узлов равноправных участников, что обеспечивает непрерывный контроль над его инфраструктурой; анализ показывает, что одни и те же два конечных узла передачи постоянно используются malware.

Анализ активности этой ботсети показывает, что она работает с сегментированной инфраструктурой, основанной на типах жертв, при этом устройства Asus в основномcommunicating с двумя указанными C2 серверами, в то время как другие инфицированные устройства подключаются к другим. Потенциальные приложения KadNap включают использование в качестве вредоносного прокси для различных киберпреступных действий, тем самым представляя значительные риски как для организаций, так и для отдельных пользователей, чьи устройства были скомпрометированы.

Black Lotus Labs планирует поделиться индикаторами компрометации (IoCs) в общественных лентах, чтобы помочь сообществу кибербезопасности в противодействии этой развивающейся угрозе. Поскольку эта сеть использует механизм децентрализованного контроля для уклонения от обнаружения, ее непрерывный рост подчеркивает растущую сложность тактики ботнетов и уязвимости, присутствующие в инфраструктуре Интернета вещей (IoT).

#ParsedReport #CompletenessLow
09-03-2026

Extended IOCs for TaxiSpy Android Banking Malware

https://zimperium.com/blog/extended-iocs-for-taxispy-android-banking-malware

Report completeness: Low

Threats:
Taxispy
Credential_harvesting_technique

Victims:
Banking users, Organizations using mobile devices

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1403, T1409, T1412, T1416, T1430, T1437, T1466

Soft:
Android

Links:
https://github.com/Zimperium/IOC/tree/master/2026-03-TaxiSpyRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TaxiSpy — это продвинутое банковское вредоносное ПО для Android, которое сочетает в себе функции банковского трояна с возможностями удаленного доступа, позволяя злоумышленникам контролировать устройства, перехватывать SMS, отслеживать приложения и собирать конфиденциальные данные. Недавний анализ выявил более 60 недокументированных образцов TaxiSpy, подчеркивая усилия операторов по уклонению от обнаружения через постоянные обновления. Вредоносное ПО представляет собой значительные риски не только для отдельных пользователей банковских услуг, но и для организаций, позволяя похищать учетные данные и обходить многофакторную аутентификацию, что потенциально может привести к несанкционированному доступу к корпоративным ресурсам.
-----

TaxiSpy — это сложная кампания банковского вредоносного ПО для Android, которая сочетает в себе функции традиционного банковского трояна с полноценными возможностями трояна удаленного доступа (RAT). Его дизайн позволяет злоумышленникам полностью контролировать зараженные устройства, позволяя им перехватывать SMS-сообщения, мониторить финансовые приложения, захватывать конфиденциальные данные ввода и выполнять удаленные команды. Вредоносное ПО демонстрирует продвинутые методы постоянного присутствия, пытаясь стать стандартным обработчиком SMS для входящих сообщений и используя службы доступности Android для мониторинга пользовательской активности и автоматизации злонамеренных действий. Кроме того, оно взаимодействует с инфраструктурой, управляемой нападающими, чтобы получать команды и экстрагировать украденную информацию.

Недавние анализы выявили более 60 ранее не задокументированных образцов TaxiSpy, что указывает на продолжающееся переупаковку его операторами для обхода механизмов детекции. Это поведение характерно для современных стратегий Android malware, где постоянное обновление вариантов вредоносных программ используется для обхода основанных на сигнатурах защит. Нападающие используют эти развивающиеся возможности в первую очередь для сбора учетных данных и финансового мошенничества, проводя при этом обширное наблюдение за устройствами скомпрометированных пользователей.

Потенциальные последствия TaxiSpy выходят за рамки отдельных пользователей банковских услуг и охватывают организации, которые полагаются на мобильные устройства для доступа к корпоративным ресурсам. Захватывая SMS-сообщения и собирая учетные данные, TaxiSpy позволяет злоумышленникам обходить многофакторную аутентификацию и получать постоянный доступ к чувствительным корпоративным приложениям и данным, что создает значительные риски для безопасности предприятий.

Для решения этих возникающих угроз организациям следует внедрять надежные меры безопасности, сосредотачиваясь на обнаружении поведения мобильных устройств и защите во времени выполнения. В частности, решения безопасности Zimperium, которые используют механизмы динамического обнаружения на устройстве, могут выявлять активность TaxiSpy в реальном времени, даже когда угрозы изменяют свои тактики. Поскольку вредоносное ПО для Android всё больше включает в себя шпионские возможности, эффективные решения, которые выявляют злонамеренное поведение на самом устройстве, будут необходимы для защиты целостности организации и предотвращения злонамеренных нарушений.

#ParsedReport #CompletenessLow
02-03-2026

Before the Proxy: Uncovering Active PlugX Staging Infrastructure Linked to Three PRC Actors

https://cyberandramen.net/2026/03/02/before-the-proxy-uncovering-active-plugx-staging-infrastructure-linked-to-three-prc-actors/

Report completeness: Low

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Plugx_rat
Staticplugin
Dll_sideloading_technique

Victims:
Government organizations, Diplomatic organizations, Civil society organizations, Diplomats

Industry:
Government

Geo:
Asia, United kingdom, Taiwan, Germany, Japan, Malaysia, Hong kong, Mongolia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1090.003, T1105, T1218, T1218.005, T1553.002, T1573, T1573.002, T1574.002, have more...

IOCs:
File: 3
Domain: 15
IP: 15

Algorithms:
rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования по поводу вредоносного ПО PlugX связали его с группами, спонсируемыми государством Китая, Mustang Panda, UNC6384 и RedDelta, нацеленными на правительственные и дипломатические структуры через сеть из 14 доменов. Инфраструктура командного и управляющего центра использует истекшие домены, переходя на VPS для сокрытия через Cloudflare. Последние методы доставки включают использование STATICPLUGIN и MSBuild для эксплуатации побочного загрузки DLL, что выявляет общую операционную структуру среди этих угроз.
-----

Недавние расследования по PlugX malware обнаружили сеть из 14 доменов, связанных с китайскими государственно спонсируемыми угрозами, особенно Mustang Panda, UNC6384 и RedDelta. Эти домены являются частью сложной шпионской кампании, нацеленной на государственные и дипломатические структуры. Оператор командования и управления (C2), стоящий за этой кампанией, проявляет методический подход, обычно регистрируя истекшие домены и переходя на виртуальные частные серверы (VPS) с ASN 149440, связанным с Evoxt Enterprise, прежде чем затемнить инфраструктуру через Cloudflare.

Malware PlugX сам по себе является модульным трояном для удаленного доступа (RAT), известным своей обширной историей и постоянной ассоциацией с кибероперациями КНР. Он в первую очередь использовался против государственных и дипломатических целей по всему миру, демонстрируя адаптивность на протяжении своих различных итераций. В частности, недавние отчеты зафиксировали действия, связанные с UNC6384 и Mustang Panda, которые совместно проводили кампании против дипломатов, в основном в Юго-Восточной Азии, используя начальные загрузчики, такие как STATICPLUGIN, перед развертыванием PlugX. Оба актора имеют пересекающиеся C2-сети и разделяют общие стратегии командования и развертывания, что указывает на возможную оперативную координацию.

В начале 2026 года отчет подробно описал доставку варианта PlugX через STATICPLUGIN, который подключался к домену, идентифицированному в ходе исследования. Последующий анализ признал другой метод заражения, включающий MSBuild и боковую загрузку DLL GData, нацеливающуюся на другой домен. Методичный характер тактики, методов и процедур (TTP) злоумышленника указывает на общую операционную рамку среди трех противников, акцентированных в результатах.

Расследование началось с обнаружения образцов PlugX и предоставленного адреса C2, предоставленного исследователями в области кибербезопасности. После этого дополнительные детали стали известны через анализ WHOIS домена C2, подтверждающий регистрацию домена через NameCheap и использование Cloudflare для анонимности. Установленные шаблоны указывают на намеренное использование безобидно выглядящих доменов для сокрытия злонамеренной активности, усложняя реагирование защитников.

В итоге, Mustang Panda, UNC6384 и RedDelta демонстрируют систематический подход к созданию инфраструктуры C2, который приоритизирует скрытность и устойчивость к обнаружению. Их зависимость от известных регистраторов, устаревших доменов с низким контролем и быстрая миграция в облачные сервисы подчеркивает их способность эффективно поддерживать свои вредоносные операции. Учитывая поведенческие совпадения, продолжающийся мониторинг этой активности рекомендуется для противодействия развивающемуся ландшафту угроз, представленному этими актерами.

#ParsedReport #CompletenessHigh
09-03-2026

OPERATION FALSE SIREN ANDROID SPYWARE CAMPAIGN

https://www.cyfirma.com/research/operation-false-siren-android-spyware-campaign/

Report completeness: High

Actors/Campaigns:
False_siren (motivation: cyber_espionage)

Threats:
Redalert
Smishing_technique
Umgdn
Tsunami_botnet
Alertx

Victims:
Civilians, Mobile users

Industry:
Financial, Government, Military

Geo:
Israeli, Israel

TTPs:
Tactics: 5
Technics: 16

IOCs:
File: 10
Coin: 1
Domain: 1
Url: 2
Hash: 2

Soft:
ANDROID, Google Play, APKTOOL

Algorithms:
base64, xor, sha256

Functions:
getInstallerPackageName, PackageManager, getApkContentsSigners, getSigningCertificateHistory, startForegroundService, startService, Gonomery, Petchary, onMessageReceived, Deifies, have more...

Languages:
java

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция False Siren использует троянское приложение Red Alert для атаки на израильских граждан, применяя SMS-фишинг для доставки вредоносного APK. Дроппер использует динамическое прокси-API-хукинг для обхода проверки приложений и подделывает свою идентичность как легитимное приложение Google Play Store. После активации полезная нагрузка шпионского ПО umgdn использует два канала C2, GPS-трекинг и обширные разрешения для сбора данных, применяя методы обфускации для противодействия обнаружению.
-----

Операция False Siren — это сложная кампания по распространению шпионского ПО для Android, нацеленная на израильских граждан через троянскую версию доверенного приложения гражданской обороны Red Alert. Механизм развертывания использует SMS-фишинг (смишинг) с сообщениями, которые выдают себя за официальное командование израильского тыла. Жертвы заманиваются в загрузку APK по сокращённой URL-ссылке, которая, как кажется, предлагает срочное обновление безопасности.

Скачанный APK содержит многозадачный фреймворк вредоносного ПО, где начальный компонент-дроппер управляет извлечением и выполнением более обширного шпионского полезного груза, известного как umgdn. Этот дроппер использует передовые техники, такие как динамическое прокси-базированное API hooking, позволяя ему манипулировать Android PackageManager для обхода проверки подписи приложений. Дроппер умело подделывает свою идентичность установщика, чтобы заставить приложение казаться установленным из Google Play Store.

После выполнения компонента он извлекает встроенный шпионский payload umgdn с помощью рефлексивных методов, перенаправляет пути приложений APK и обеспечивает постоянство, регистрируя приемник BOOT_COMPLETED. Это гарантирует, что шпионское ПО остается активным после перезагрузок устройства. Вредоносное ПО включает в себя два канала командного и контрольного (C2) управления с использованием Firebase Cloud Messaging (FCM) и SDK Pushy, что позволяет обеспечить надежные, резервные каналы связи. Команды выдаются на основе GPS-координат устройства с использованием геозонированного диспетчера для активации мер наблюдения.

Шпионское ПО имеет обширные разрешения, позволяя ему собирать SMS-сообщения, контакты, учетные записи Google и проводить непрерывное отслеживание GPS, не вызывая подозрений. Вредоносное ПО маскируется под законное приложение Red Alert, подражая реальным типам предупреждений, что увеличивает его скрытность и эффективность в уклонении от обнаружения.

Техническая сложность подчеркивается использованием методов обфускации строк, шифрованием чувствительной информации уникальными ключами для срыва статического анализа. Кампания подчеркивает более широкую тенденцию использования доверенных приложений общественных служб для облегчения распространения вредоносного ПО, особенно в условиях высокого риска, таких как зоны конфликта.