#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования по поводу вредоносного ПО PlugX связали его с группами, спонсируемыми государством Китая, Mustang Panda, UNC6384 и RedDelta, нацеленными на правительственные и дипломатические структуры через сеть из 14 доменов. Инфраструктура командного и управляющего центра использует истекшие домены, переходя на VPS для сокрытия через Cloudflare. Последние методы доставки включают использование STATICPLUGIN и MSBuild для эксплуатации побочного загрузки DLL, что выявляет общую операционную структуру среди этих угроз.
-----

Недавние расследования по PlugX malware обнаружили сеть из 14 доменов, связанных с китайскими государственно спонсируемыми угрозами, особенно Mustang Panda, UNC6384 и RedDelta. Эти домены являются частью сложной шпионской кампании, нацеленной на государственные и дипломатические структуры. Оператор командования и управления (C2), стоящий за этой кампанией, проявляет методический подход, обычно регистрируя истекшие домены и переходя на виртуальные частные серверы (VPS) с ASN 149440, связанным с Evoxt Enterprise, прежде чем затемнить инфраструктуру через Cloudflare.

Malware PlugX сам по себе является модульным трояном для удаленного доступа (RAT), известным своей обширной историей и постоянной ассоциацией с кибероперациями КНР. Он в первую очередь использовался против государственных и дипломатических целей по всему миру, демонстрируя адаптивность на протяжении своих различных итераций. В частности, недавние отчеты зафиксировали действия, связанные с UNC6384 и Mustang Panda, которые совместно проводили кампании против дипломатов, в основном в Юго-Восточной Азии, используя начальные загрузчики, такие как STATICPLUGIN, перед развертыванием PlugX. Оба актора имеют пересекающиеся C2-сети и разделяют общие стратегии командования и развертывания, что указывает на возможную оперативную координацию.

В начале 2026 года отчет подробно описал доставку варианта PlugX через STATICPLUGIN, который подключался к домену, идентифицированному в ходе исследования. Последующий анализ признал другой метод заражения, включающий MSBuild и боковую загрузку DLL GData, нацеливающуюся на другой домен. Методичный характер тактики, методов и процедур (TTP) злоумышленника указывает на общую операционную рамку среди трех противников, акцентированных в результатах.

Расследование началось с обнаружения образцов PlugX и предоставленного адреса C2, предоставленного исследователями в области кибербезопасности. После этого дополнительные детали стали известны через анализ WHOIS домена C2, подтверждающий регистрацию домена через NameCheap и использование Cloudflare для анонимности. Установленные шаблоны указывают на намеренное использование безобидно выглядящих доменов для сокрытия злонамеренной активности, усложняя реагирование защитников.

В итоге, Mustang Panda, UNC6384 и RedDelta демонстрируют систематический подход к созданию инфраструктуры C2, который приоритизирует скрытность и устойчивость к обнаружению. Их зависимость от известных регистраторов, устаревших доменов с низким контролем и быстрая миграция в облачные сервисы подчеркивает их способность эффективно поддерживать свои вредоносные операции. Учитывая поведенческие совпадения, продолжающийся мониторинг этой активности рекомендуется для противодействия развивающемуся ландшафту угроз, представленному этими актерами.

#ParsedReport #CompletenessHigh
09-03-2026

OPERATION FALSE SIREN ANDROID SPYWARE CAMPAIGN

https://www.cyfirma.com/research/operation-false-siren-android-spyware-campaign/

Report completeness: High

Actors/Campaigns:
False_siren (motivation: cyber_espionage)

Threats:
Redalert
Smishing_technique
Umgdn
Tsunami_botnet
Alertx

Victims:
Civilians, Mobile users

Industry:
Financial, Government, Military

Geo:
Israeli, Israel

TTPs:
Tactics: 5
Technics: 16

IOCs:
File: 10
Coin: 1
Domain: 1
Url: 2
Hash: 2

Soft:
ANDROID, Google Play, APKTOOL

Algorithms:
base64, xor, sha256

Functions:
getInstallerPackageName, PackageManager, getApkContentsSigners, getSigningCertificateHistory, startForegroundService, startService, Gonomery, Petchary, onMessageReceived, Deifies, have more...

Languages:
java

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция False Siren использует троянское приложение Red Alert для атаки на израильских граждан, применяя SMS-фишинг для доставки вредоносного APK. Дроппер использует динамическое прокси-API-хукинг для обхода проверки приложений и подделывает свою идентичность как легитимное приложение Google Play Store. После активации полезная нагрузка шпионского ПО umgdn использует два канала C2, GPS-трекинг и обширные разрешения для сбора данных, применяя методы обфускации для противодействия обнаружению.
-----

Операция False Siren — это сложная кампания по распространению шпионского ПО для Android, нацеленная на израильских граждан через троянскую версию доверенного приложения гражданской обороны Red Alert. Механизм развертывания использует SMS-фишинг (смишинг) с сообщениями, которые выдают себя за официальное командование израильского тыла. Жертвы заманиваются в загрузку APK по сокращённой URL-ссылке, которая, как кажется, предлагает срочное обновление безопасности.

Скачанный APK содержит многозадачный фреймворк вредоносного ПО, где начальный компонент-дроппер управляет извлечением и выполнением более обширного шпионского полезного груза, известного как umgdn. Этот дроппер использует передовые техники, такие как динамическое прокси-базированное API hooking, позволяя ему манипулировать Android PackageManager для обхода проверки подписи приложений. Дроппер умело подделывает свою идентичность установщика, чтобы заставить приложение казаться установленным из Google Play Store.

После выполнения компонента он извлекает встроенный шпионский payload umgdn с помощью рефлексивных методов, перенаправляет пути приложений APK и обеспечивает постоянство, регистрируя приемник BOOT_COMPLETED. Это гарантирует, что шпионское ПО остается активным после перезагрузок устройства. Вредоносное ПО включает в себя два канала командного и контрольного (C2) управления с использованием Firebase Cloud Messaging (FCM) и SDK Pushy, что позволяет обеспечить надежные, резервные каналы связи. Команды выдаются на основе GPS-координат устройства с использованием геозонированного диспетчера для активации мер наблюдения.

Шпионское ПО имеет обширные разрешения, позволяя ему собирать SMS-сообщения, контакты, учетные записи Google и проводить непрерывное отслеживание GPS, не вызывая подозрений. Вредоносное ПО маскируется под законное приложение Red Alert, подражая реальным типам предупреждений, что увеличивает его скрытность и эффективность в уклонении от обнаружения.

Техническая сложность подчеркивается использованием методов обфускации строк, шифрованием чувствительной информации уникальными ключами для срыва статического анализа. Кампания подчеркивает более широкую тенденцию использования доверенных приложений общественных служб для облегчения распространения вредоносного ПО, особенно в условиях высокого риска, таких как зоны конфликта.

#ParsedReport #CompletenessLow
09-03-2026

Quiz sites trick users into enabling unwanted browser notifications

https://www.malwarebytes.com/blog/threat-intel/2026/03/quiz-sites-trick-users-into-enabling-unwanted-browser-notifications

Report completeness: Low

Victims:
Consumers

Geo:
Germany, Japan, Canada, France

ChatGPT TTPs:
do not use without manual check
T1204, T1204.001, T1566.002

IOCs:
Domain: 16
File: 2

Soft:
Chrome, Firefox, Opera, Adguard, Chromium, Android, MacOS, Linux, Chrome, Firefox

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает, что неожиданные веб-уведомления, а не вредоносное ПО, сбили с толку пользователей, заставив их думать, что их устройства заражены. Обманчивые веб-сайты, такие как "unsphiperidion.co.in" и "triviabox.co.in", заставляли пользователей включать эти уведомления, давая ложные обещания о браузерных расширениях и викторинах. Эти уведомления могут появляться в различных операционных системах и основных браузерах, подчеркивая необходимость для пользователей быть осведомленными о тактиках манипуляции, чтобы предотвратить взаимодействие с мошенническим контентом.
-----

Недавний анализ показал, что многие пользователи обратились за помощью к Malwarebytes, подозревая, что их устройства былиinfected из-за неожиданных уведомлений. Однако эти уведомления не были вызваны вредоносным ПО, а скорее веб-уведомлениями, которые пользователи были обмануты включить некоторыми веб-сайтами. Ключевыми примерами были домены, такие как "unsphiperidion.co.in" и "triviabox.co.in", которые ввели пользователей в заблуждение с помощью обманчивой рекламы, обещающей расширения для браузера, такие как Adguard, но в конечном итоге перенаправляли их на другой нежелательный контент.

Эти вебсайты часто привлекают пользователей викторинами на различные темы, включая географию и историю, нацеливаясь на определенные аудитории в таких странах, как Канада, Германия, Франция, Япония и США. Основная цель этих сайтов — сотрудничать с рекламой программного обеспечения для безопасности, что вызывает беспокойство по поводу их легитимности и потенциально вводящих в заблуждение практик в области кибербезопасности.

Расследования показали, что push-уведомления могут потенциально затрагивать пользователей на различных операционных системах, включая Windows, Android и MacOS. Некоторые браузеры, в частности Chrome, Firefox, Opera, Edge и Safari, отображают эти уведомления даже когда браузер не открыт, увеличивая риск взаимодействия пользователей с мошенническим контентом.

Пользователям рекомендуется управлять настройками браузера, чтобы контролировать или полностью отключать веб-уведомления, чтобы предотвратить манипуляции со стороны таких сайтов. Например, в Chrome пользователи могут перейти в Настройки > Конфиденциальность и безопасность > Настройки сайта > Уведомления и соответствующим образом настроить разрешения. Подобные инструкции применимы к различным браузерам, что позволяет пользователям защищать себя от этих обманчивых тактик. Понимание этих техник имеет решающее значение для пользователей, чтобы избежать активации нежелательных уведомлений и потенциального компрометации их устройств.

#ParsedReport #CompletenessHigh
10-03-2026

GhostWeaver - a malware that lives up to its name

https://www.derp.ca/research/ghostweaver-tag124-powershell-rat/

Report completeness: High

Actors/Campaigns:
Ta582
Tag-124
Unc4108
Ta569
Ta866

Threats:
Ghostweaver
Pantera
Mintsloader
Uac_bypass_technique
Boinc_tool
Socgholish_loader
Parrot_tds_tool
Amsi_bypass_technique
Asyncrat
Nmap_tool
Formgrabber
Mitm_technique
Polymorphism_technique
Remcos_rat
Interlock
Rhysida
Oyster
Stealc
Obfus
Process_injection_technique
Violet_rat

Victims:
Enterprises, Wordpress site visitors, Windows domain controllers, General windows users

Industry:
Financial, Energy

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 19

IOCs:
File: 9
IP: 23
Hash: 17
Path: 4
Registry: 1
Command: 1

Soft:
Telegram, WordPress, Chrome, Firefox, Outlook, curl, Task Scheduler, Zimbra

Algorithms:
base64, sha256, gzip, sha512, sha1, xor, prng

Functions:
PowerShell, Get-Content, Get-MpComputerStatus

Win API:
AmsiOpenSession, VirtualProtectEx, WriteProcessMemory, ShowWindowAsync

Languages:
autoit, powershell, python, visual_basic, jscript, php, javascript

Platforms:
intel

YARA: Found

Links:
https://github.com/kirkderp/yara
have more...
https://github.com/CybercentreCanada/CCCS-Yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostWeaver — это продвинутая безфайловая PowerShell RAT, ассоциированная с группой угроз TA582, работающая через уникальные механизмы C2, использующие GZip- сжатый JSON через устаревший TLS 1.0 на порту 25658. Она использует алгоритм генерации доменов для обфускации C2, обширную операционную синхронизацию через несколько кластеров C2 и сложные методы сохранения, включая обход UAC и сбор данных с использованием Планировщика задач Windows. Вредоносное ПО избегает обнаружения, изменяя свое поведение в зависимости от конкретных антивирусных решений и загружает плагины рефлексивно из .NET DLL для выполнения задач, таких как кража учетных данных.
-----

GhostWeaver — это сложный безфайловый троян удаленного доступа (RAT) на базе PowerShell, который использует уникальный механизм командного и контрольного управления (C2), применяя GZip-сжатый JSON, передаваемый по устаревшим TLS 1.0 соединениям на порту 25658. Особенно примечателен своими скрытными операциями и техниками уклонения, включая алгоритм генерации доменов (DGA), который генерирует домены ежедневно и еженедельно, чтобы скрыть свои C2-коммуникации. Этот вредоносный код в основном доставляется через MintsLoader — систему оценки, которая различает реальные машины и виртуальные среды, гарантируя, что она нацеливается только на действительные системы.

Вредоносное ПО функционирует под эгидой группы угроз TA582, которую Mandiant называет UNC4108. Попытки деплоя GhostWeaver поддерживаются обширной инфраструктурой, состоящей из четырех кластеров C2. Текущие расследования выявили несколько узлов C2, которые активно работают с начала 2026 года. Каждый узел C2 может быстро отправлять байт-идентичные установщики постоянной загрузки на зараженные машины, демонстрируя высокую степень операционной синхронизации.

Загрузка GhostWeaver включает четыре различных режима постоянства, которые используют механизм обхода UAC, манипулируя полями блока окружения процесса (PEB) для подделки легитимных процессов Windows, тем самым уклоняясь от обнаружения программным обеспечением безопасности. Защищённая загрузка, выполняемая каждые три минуты, использует Планировщик заданий Windows, применяя обфусцированную команду PowerShell, которая собирает данные, не оставляя следов в стандартных журналах событий. Установщик для обеспечения постоянства разработан не только для установки контроля в системе, но и включает функции для противодействия обнаружению антивирусными решениями. Например, он может обнаруживать конкретные продукты AV и изменять свое поведение в зависимости от них.

Дополнительно, архитектура GhostWeaver позволяет загружать плагины рефлексивно во время выполнения из .NET DLL без оставления артефактов на диске, что улучшает его способности к скрытности. Эти плагины выполняют ряд злонамеренных действий, таких как кража учетных данных из браузеров и данных Outlook. Используемые протоколы C2 нестандартные и разработаны для уклонения от традиционных фильтров выезда, что делает обнаружение C2-трафика исключительно сложным. Вредоносное ПО также использует сложные техники разрешения DNS для обхода корпоративной фильтрации, используя закодированные в программе публичные DNS резолверы.

#ParsedReport #CompletenessLow
10-03-2026

GhostLoader Malware Spreads Through Fake OpenClaw npm Package

https://socradar.io/blog/ghostloader-malware-fake-openclaw-npm-package/

Report completeness: Low

Threats:
Ghostloader
Supply_chain_technique

Victims:
Software developers, Open source ecosystem

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1037.004, T1041, T1053.003, T1053.005, T1056.007, T1059.007, T1071.001, T1090.001, T1105, have more...

Soft:
OpenClaw, macOS, Firefox, Docker, iMessage

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Малicious npm пакет под названием @openclaw-ai/openclawai был идентифицирован как распространяющий GhostLoader, фреймворк для кражи информации, маскирующийся под инструмент для интеграции. После установки он использует скрипт postinstall для глобальной установки и запускает многоэтапный процесс заражения, собирая учетные данные пользователей через обманные подсказки. GhostLoader нацеливается на различные репозитории конфиденциальных данных, эксфильтрует собранные данные на инфраструктуру, контролируемую злоумышленниками, и поддерживает устойчивость с помощью множества техник уклонения, функционируя как Trojan удаленного доступа (RAT).
-----

Исследователи выявили вредоносный npm пакет под названием @openclaw-ai/openclawai, который распространяет GhostLoader, сложный фреймворк, предназначенный для кражи информации. Этот пакет ложным образом утверждает, что он является установщиком командной строки для интеграционного инструмента под названием OpenClaw. После установки он выполняет скрипт postinstall, который устанавливает его глобально в системе, обеспечивая его доступность в системном PATH и позволяя ему маскироваться под легитимный инструмент командной строки.

Первый этап атаки включает в себя запуск вредоносного ПО, инициирующего многоступенчатый процесс инфицирования, который приводит к развертыванию GhostLoader. Вредоносное ПО использует обманные тактики, такие как имитация запроса пароля системы для сбора учетных данных пользователя, которые затем проверяются по механизму аутентификации системы. Эти украденные учетные данные позволяют вредоносному ПО получать доступ к конфиденциальным данным системы, включая macOS Keychain, ключи шифрования браузера, пароли и другую личную информацию, хранящуюся в браузерах и приложениях.

Возможности GhostLoader по краже данных охватывают широкий спектр чувствительной информации. Это вредоносное ПО нацелено на различные хранилища учетных данных, данные браузера, криптовалютные кошельки, файлы конфигурации, связанные с облачными службами (например, AWS, Azure), и, что важно, инструменты разработки ИИ. После того как данные были собраны, они сжимаются и эксфильтруются на инфраструктуру, контролируемую атакующими, с использованием нескольких каналов, что обеспечивает атакающим постоянный доступ к украденной информации.

Устойчивость GhostLoader достигается через различные техники, включая размещение себя в скрытых директориях, добавление команд в конфигурационные файлы оболочки и планирование задач для перезапуска. Это позволяет вредоносному ПО функционировать как Trojan для удаленного доступа (RAT), позволяя злоумышленникам выполнять команды, загружать дополнительные вредоносные загрузки или устанавливать прокси-соединения через скомпрометированную систему.

Разработчикам рекомендуется оставаться бдительными против таких атак на цепочку поставок, внедряя защитные меры при работе с пакетами npm. Они должны проверять источники пакетов, чтобы избежать поддельных записей, тщательно анализировать пакеты, содержащие постустановочные сценарии, ограничивать привилегии установки для минимизации воздействия, использовать инструменты безопасности для обнаружения подозрительного поведения и следить за любыми учетными данными, к которым получают доступ потенциально вредоносные пакеты. Постоянная эволюция угроз цепочки поставок требует комбинации безопасных практик разработки и внешней разведки угроз, чтобы усилить защиту от атак, таких как GhostLoader.

#ParsedReport #CompletenessMedium
10-03-2026

Amos Stealer malext variant spread in a global malvertising campaign using free text-sharing websites

https://gi7w0rm.medium.com/amos-stealer-malext-variant-spread-in-a-global-malvertising-campaign-using-free-text-sharing-4d240e11d7e2

Report completeness: Medium

Threats:
Amos_stealer
Clickfix_technique
Traffer_technique
Odyssey_stealer

Victims:
Macos users, Cryptocurrency users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1056.002, T1057, T1059.002, T1059.004, T1070.004, T1105, T1140, have more...

IOCs:
Domain: 1
File: 10
IP: 1
Url: 1

Soft:
MacOS, curl, MacOS Gatekeeper, sudo, QEMU, Claude, Chrome, Telegram, Firefox, Waterfox, have more...

Wallets:
metamask, tonkeeper, ledger_wallet, trezor

Crypto:
binance

Algorithms:
xor, gzip, base64, zip, caesar_cipher

Functions:
chr, system

Languages:
applescript

Platforms:
intel, arm, apple

Links:
https://github.com/Gi7w0rm/Blogposts/blob/main/AMOSStealerMalext/TargetedExtensions.txt
have more...
https://github.com/Gi7w0rm/Blogposts/blob/main/AMOSStealerMalext/IoC\_AMOSCampaign.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания по злонамеренной рекламе, нацеленная на пользователей MacOS, которая использует вариант Amos Stealer, известный как "malext", через обманчивые рекламу, направляющую пользователей на загрузку вредоносных бинарных файлов. Вредоносное ПО обходит Gatekeeper MacOS и действует как похититель информации, собирая сенситивные данные, такие как пароли и токены сессий из браузеров и крипто-приложений, одновременно эксфильтрируя данные на сервер командования и управления по адресу malext.com. Используя передовые технологии уклонения, вредоносное ПО поддерживает постоянство через LaunchDaemons и нацелено на компрометацию криптовалютных приложений.
-----

Недавно была выявлена малвертизинговая кампания, нацеленная на пользователей MacOS с использованием техники, которая использует скомпрометированные аккаунты Google Ads и бесплатные платформы для обмена текстом. Указанное вредоносное ПО является вариантом Amos Stealer, называемым вариантом "malext". Эта кампания развертывает вредоносное ПО через обманчивые объявления, которые утверждают, что предлагают решения для распространенных проблем MacOS, что приводит к загрузке и выполнению вредоносных бинарных файлов.

Первоначальные расследования выявили, что кампании использовали простые шаблоны ловушек, часто инструктируя пользователей копировать команды в их терминал. После выполнения эти команды инициируют серию запросов curl, которые загружают полезную нагрузку вредоносного ПО. Примечательно, что создатели вредоносного ПО использовали метод обхода Gatekeeper в MacOS, удаляя атрибут карантина из загруженного бинарного файла, тем самым избегая предупреждений для пользователей.

Сам по себе малвер функционирует как кража информации, собирая конфиденциальные данные, такие как пароли и токены сессий из браузеров и приложений, таких как Telegram и Apple Notes. Он захватывает учетные данные, либо используя ранее кэшированный пароль, либо применяя тактики социальной инженерии, чтобы побудить пользователя ввести свой системный пароль. Если это удается, малвер сохраняет эти учетные данные для последующего использования и начинает эксфильтрацию данных обратно на свои серверы командования и управления (C2), идентифицированные доменом "malext.com." Процесс эксфильтрации использует curl для отправки собранной информации в сжатых архивах, гарантируя, что малвер постоянно пытается подключиться к C2, если начальные попытки терпят неудачу.

Вариант Amos Stealer демонстрирует сложные техники уклонения, такие как проверка виртуальных машин и песочниц перед выполнением своего кода. Это достигается с помощью скрипта, который проверяет конфигурацию и аппаратные детали системы. Более того, это вредоносное ПО нацелено на установление скрытого доступа к конкретным криптовалютным приложениям, в частности, целясь в Ledger Wallet и Trezor Suite, заменяя их бинарные файлы на вредоносные версии после получения пароля пользователя.

Устойчивость поддерживается через LaunchDaemons, запланировав запуск вредоносного ПО при старте системы. Конечная цель операции, по-видимому, заключается в максимизации эксфильтрации данных, включая обширный сбор информации из различных приложений, с особым акцентом на инструменты, связанные с криптовалютой. Информация, предоставленная этой кампанией, указывает на высокий уровень планирования, учитывая масштаб её операций и меры, принятые для того, чтобы оставаться вне поля зрения традиционных механизмов безопасности.

#ParsedReport #CompletenessHigh
10-03-2026

When Trusted Websites Turn Malicious: WordPress Compromises Advance Global Stealer Operation

https://www.rapid7.com/blog/post/tr-malicious-websites-wordpress-compromise-advances-global-stealer-operation

Report completeness: High

Threats:
Clickfix_technique
Donut
Doubledonut
Vidar_stealer
Dead_drop_technique
Vodkastealer
Process_injection_technique
Antidebugging_technique
Donut_loader
Lumma_stealer
Stealc
Purelogs
Rhadamanthys
Aurastealer
Chromelevator_tool
Password_spray_technique
Filefix_technique

Victims:
Wordpress websites, News media, Local business websites, Political campaign website, Individual users, Organizations

Industry:
Healthcare

Geo:
Russian, Norwegian, India, Czech, Switzerland, Danish, Latvian, Slovakia, Vietnamese, German, Ukrainian, Russia, Swedish, French, Australia, Germany, Czechia, Romanian, Italian, Brazil, Bulgarian, Canada, Portuguese, Dutch, Turkish, Indonesian, Australian, Belarus, Serbian, Hungarian, Polish, Israel, Spanish, Singapore

TTPs:
Tactics: 3
Technics: 30

IOCs:
Domain: 41
Command: 2
File: 53
Url: 67
IP: 9
Registry: 6
Hash: 23

Soft:
WordPress, Steam, Twitter, phantomjs\|curl, Chrome, Google Chrome, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium, have more...

Wallets:
electrum, jaxx, guarda_wallet, ledger_wallet, trezor, coinomi

Crypto:
bitcoin, litecoin

Algorithms:
rc4, 3des, aes-256-cbc, base64, chacha20, zip, sha256

Functions:
Write-Host, Write-Error, function

Win API:
WinMain, VirtualAlloc, CreateThread, GetCurrentProcess, SeDebugPrivilege, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, IsDebuggerPresent, CheckRemoteDebuggerPresent, have more...

Win Services:
vgauthservice

Languages:
powershell, javascript, python, java, php

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/Misc/ClickFix\_DoubleDonut\_Deobfuscated\_Payload.js.txt
https://github.com/rapid7/Rapid7-Labs/blob/main/Misc/ClickFix\_DoubleDonut\_Deobfuscated\_Injector.js.txt
have more...

#ParsedReport #CompletenessMedium
10-03-2026

Exfiltration in Plain Sight: SafePays OneDrive Play

https://www.sygnia.co/blog/safepay-onedrive-exfiltration-technique/

Report completeness: Medium

Threats:
Safepay
Sharpshares_tool
Sharefinder_tool
Netscan_tool
Snaffler_tool
Lolbin_technique
Credential_dumping_technique

Victims:
Global organizations

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 11
IP: 10
Registry: 1
Path: 13

Soft:
Microsoft OneDrive, active directory, Hyper-V, ESXI, Chrome

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей SafePay усилила свои операции с сентября 2024 года, заметно используя Microsoft OneDrive для эксфильтрации данных во время атаки с двойным вымогательством в 2025 году. Они получили доступ через неправильно настроенный FortiGate firewall и скомпрометированные учетные данные, что способствовало быстрому повышению привилегий до администратора домена. После применения техник "living-off-the-land" для снижения обнаружения они выполнили свой payload программ-вымогателей, locker.dll, через regsvr32.exe, зашифровав более 60 серверов, маскируя свои действия по эксфильтрации данных под легитимный HTTPS-трафик.
-----

SafePay — это новая группа программ-вымогателей, которая значительно усилила свою деятельность с сентября 2024 года, сосредоточившись на проведении быстрых, высоконапорных кампаний по вымогательству. В 2025 году Sygnia расследовала заметную атаку двойного вымогательства, приписываемую SafePay, которая использовала уникальную тактику с привлечением Microsoft OneDrive для экстракции данных. Этот подход является отклонением от ранее наблюдаемых тактик группы и подчеркивает их продолжающуюся эволюцию в стратегиях атак.

Атака началась с того, что SafePay воспользовался неправильно настроенным брандмауэром FortiGate и использовал компрометированные администраторские учетные данные для получения первоначального доступа через SSL VPN организации. После этого они быстро повысили свои привилегии, получив доступ администратора домена всего за несколько часов. Вторжение характеризовалось структурированными разведывательными усилиями, включая использование различных легитимных утилит Windows и сценариев для обнаружения и перечисления, что помогло им определить ценные цели для бокового перемещения.

Во время атаки SafePay удалось оставаться в тени, используя техники living-off-the-land. Это включало использование доверенных бинарных файлов для минимизации любых цифровых следов и выполнение скриптов, которые удаляли следы их деятельности после использования. Ключевым аспектом их операции был переход на Microsoft OneDrive для эксфильтрации данных; традиционные методы были сорваны, когда контроле брандмауэра заблокировали FTP-трафик. Они аутентифицировались в арендуемой Microsoft 365, контроль за которой осуществлял злоумышленник, и использовали клиент синхронизации OneDrive, установленный на скомпрометированном сервере, чтобы подготовить и передать украденные данные через легитимные HTTPS-соединения, эффективно маскируя свои злонамеренные действия под обычный трафик.

После экстракции данных SafePay развернули свой вредоносный код-вымогатель, идентифицированный как locker.dll, выполнив его через regsvr32.exe. Этот метод обеспечивал устойчивость, используя механизм на основе реестра, который гарантировал, что вредоносный код запускался при входе пользователя в систему, что позволяло удалительно шифровать файлы по всей сети. Вредоносный код-вымогатель зашифровал более 60 серверов, в основном нацеливаясь на критическую инфраструктуру, и атака соответствовала модели двойного вымогательства, когда данные были экстрагированы для использования против жертвы перед началом шифрования.

Последствия тактики SafePay, в частности использование OneDrive для эксфильтрации, представляют собой значительную проблему для традиционных мер безопасности. Их способность смешивать злонамеренные действия с легитимным сетевым трафиком Microsoft усложняет системы обнаружения, которые обычно полагаются на наблюдение аномального поведения, связанного с ненадежными методами передачи данных. Эта развивающаяся методология иллюстрирует тревожную тенденцию в операциях с программами-похитителями данных, что требует переоценки оборонительных стратегий для борьбы с этими сложными векторами атак.