#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей SafePay усилила свои операции с сентября 2024 года, заметно используя Microsoft OneDrive для эксфильтрации данных во время атаки с двойным вымогательством в 2025 году. Они получили доступ через неправильно настроенный FortiGate firewall и скомпрометированные учетные данные, что способствовало быстрому повышению привилегий до администратора домена. После применения техник "living-off-the-land" для снижения обнаружения они выполнили свой payload программ-вымогателей, locker.dll, через regsvr32.exe, зашифровав более 60 серверов, маскируя свои действия по эксфильтрации данных под легитимный HTTPS-трафик.
-----

SafePay — это новая группа программ-вымогателей, которая значительно усилила свою деятельность с сентября 2024 года, сосредоточившись на проведении быстрых, высоконапорных кампаний по вымогательству. В 2025 году Sygnia расследовала заметную атаку двойного вымогательства, приписываемую SafePay, которая использовала уникальную тактику с привлечением Microsoft OneDrive для экстракции данных. Этот подход является отклонением от ранее наблюдаемых тактик группы и подчеркивает их продолжающуюся эволюцию в стратегиях атак.

Атака началась с того, что SafePay воспользовался неправильно настроенным брандмауэром FortiGate и использовал компрометированные администраторские учетные данные для получения первоначального доступа через SSL VPN организации. После этого они быстро повысили свои привилегии, получив доступ администратора домена всего за несколько часов. Вторжение характеризовалось структурированными разведывательными усилиями, включая использование различных легитимных утилит Windows и сценариев для обнаружения и перечисления, что помогло им определить ценные цели для бокового перемещения.

Во время атаки SafePay удалось оставаться в тени, используя техники living-off-the-land. Это включало использование доверенных бинарных файлов для минимизации любых цифровых следов и выполнение скриптов, которые удаляли следы их деятельности после использования. Ключевым аспектом их операции был переход на Microsoft OneDrive для эксфильтрации данных; традиционные методы были сорваны, когда контроле брандмауэра заблокировали FTP-трафик. Они аутентифицировались в арендуемой Microsoft 365, контроль за которой осуществлял злоумышленник, и использовали клиент синхронизации OneDrive, установленный на скомпрометированном сервере, чтобы подготовить и передать украденные данные через легитимные HTTPS-соединения, эффективно маскируя свои злонамеренные действия под обычный трафик.

После экстракции данных SafePay развернули свой вредоносный код-вымогатель, идентифицированный как locker.dll, выполнив его через regsvr32.exe. Этот метод обеспечивал устойчивость, используя механизм на основе реестра, который гарантировал, что вредоносный код запускался при входе пользователя в систему, что позволяло удалительно шифровать файлы по всей сети. Вредоносный код-вымогатель зашифровал более 60 серверов, в основном нацеливаясь на критическую инфраструктуру, и атака соответствовала модели двойного вымогательства, когда данные были экстрагированы для использования против жертвы перед началом шифрования.

Последствия тактики SafePay, в частности использование OneDrive для эксфильтрации, представляют собой значительную проблему для традиционных мер безопасности. Их способность смешивать злонамеренные действия с легитимным сетевым трафиком Microsoft усложняет системы обнаружения, которые обычно полагаются на наблюдение аномального поведения, связанного с ненадежными методами передачи данных. Эта развивающаяся методология иллюстрирует тревожную тенденцию в операциях с программами-похитителями данных, что требует переоценки оборонительных стратегий для борьбы с этими сложными векторами атак.

#ParsedReport #CompletenessLow
10-03-2026

xygeni-action Compromised: C2 Reverse Shell Backdoor Injected via Tag Poisoning

https://www.stepsecurity.io/blog/xygeni-action-compromised-c2-reverse-shell-backdoor-injected-via-tag-poisoning

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Software supply chain, Github actions users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1059.004, T1071.001, T1078, T1105, T1195.003, T1199

IOCs:
IP: 1
Email: 1
File: 7
Domain: 1
Hash: 1

Soft:
xygeni-action, curl, Dependabot

Algorithms:
base64

Languages:
python

Links:
https://github.com/xygeni/xygeni-action/commit/4bf1d4e19ad81a3e8d4063755ae0f482dd3baf12
have more...
https://github.com/xygeni/xygeni-action

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
3 марта 2026 года атака на цепочку поставок скомпрометировала GitHub Action xygeni/xygeni-action, используемый более чем в 137 репозиториях, через внедренный C2 обратный шелл-бэкдор с помощью измененных изменяемых тегов. Бэкдор, устойчивый и незаметный, регистрируется на удаленном сервере (91.214.78.178), собирая информацию о системе и опрашивая команды, избегая обнаружения с помощью отключения проверки TLS. Атака использовала скомпрометированные учетные данные поддерживаетелей, подчеркивая риски, связанные с изменяемыми тегами, и потенциальную кражу учетных данных, а не внешний актор угроз.
-----

3 марта 2026 года значительная атака на цепочку поставок была нацелена на xygeni/xygeni-action, действие GitHub, широко используемое в более чем 137 репозиториях. Нападающий скомпрометировал учетные данные поддерживающего, чтобы внедрить командный и контрольный (C2) обратный шелл-бэкдор в кодовую базу. Атака включала три злонамеренные запросы на слияние (PR), которые несли одинаковый полезный груз, замаскированный под невинным заголовком, касающимся «телеметрии версии сканера». Хотя PR были закрыты без слияния, нападающему удалось изменить изменяемый тег v5, чтобы направить на скомпрометированный коммит (4bf1d4e), содержащий бэкдор, который все еще активен.

Инъецированный бэкдор работает как полный C2 имплант, регистрируясь на удалённом сервере, расположенном по адресу 91.214.78.178. Он собирает имя хоста GitHub runner, имя пользователя и версию ОС, и опрашивает команды каждые несколько секунд. Когда активен, бэкдор выполняет команды, полученные от C2 сервера, и отправляет обратно выходные данные, закодированные в base64, оставаясь при этом незамеченным в ходе обычных рабочих операций. Бэкдор также отключает проверку TLS, чтобы избежать ошибок, связанных с сертификатами, и использует заголовок аутентификации для защиты доступа к C2 конечной точке.

Атака иллюстрирует риск, связанный с изменяемыми тегами в GitHub Actions, которые могут быть изменены без ведома пользователя или дополнительных PR-слияний, усложняя традиционные меры безопасности, такие как мониторинг версий и процессы ревью. Этот метод позволяет выполнять бэкдор просто любому репозиторию, ссылающемуся на скомпрометированный тег, сохраняя видимость безопасной среды.

Атака не была результатом действий внешнего угрозного актера; она была осуществлена с использованием компрометированных учетных данных или токенов от внутренних администраторов Xygeni. Быстрое выполнение злонамеренных PR с использованием разных учетных записей подчеркивает возможность кражи учетных данных или фишинга, а не внутренней угрозы.

После инцидента команда Xygeni оперативно предприняла меры для смягчения последствий, но оставила тег v5 скомпрометированным на момент отчета. Эта ситуация длительно подвергает любую непрерывную интеграцию/непрерывное развертывание (CI/CD), использующую ссылку xygeni/xygeni-action@v5, воздействию C2 импланта. Лучшие практики для смягчения подобных уязвимостей включают фиксацию действий по полным коммитам SHAs, а не использование изменяемых тегов, использование контролируемых и поддерживаемых действий для уменьшения уязвимости, и активный мониторинг сетевого трафика от CI-исполнителей для обнаружения несанкционированных исходящих коммуникаций. Инцидент служит предостережением относительно угроз, исходящих от манипулированных тегов в среде CI/CD, и подчеркивает необходимость надежных мер безопасности для предотвращения компрометаций в цепочке поставок.

#ParsedReport #CompletenessMedium
10-03-2026

Iranian MOIS Actors & the Cyber Crime Connection

https://research.checkpoint.com/2026/iranian-mois-actors-the-cyber-crime-connection/

Report completeness: Medium

Actors/Campaigns:
Void_manticore (motivation: financially_motivated)
Handala (motivation: financially_motivated)
Muddywater (motivation: cyber_espionage)
Handala-hacking-team
Qilin

Threats:
Rhadamanthys
Tsundere
Dindoor
Fakeset
Qilin_ransomware
Rclone_tool
Castleloader
Stagecomp

Victims:
Government sector, Private sector, Telecommunications sector, Defense sector, Energy sector, Hospitals, Israeli hospitals, Albania targets, Israeli targets

Industry:
Government, E-commerce, Telco, Healthcare, Energy

Geo:
Iranian, Tehran, Middle east, Israeli, Swedish, Albania, Sweden, Israel, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.007, T1553.002, T1555.003, T1566, T1567.002

IOCs:
IP: 1
Hash: 15

Soft:
Node.js

Wallets:
wassabi

Algorithms:
sha256

Languages:
typescript, javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибер-актеры, связанные с MOIS, все чаще применяют криминальные методологии, напрямую используя коммерчески доступное вредоносное ПО и криминальные сети, как это видно на примере групп MuddyWater и Void Manticore. Void Manticore использует инфостилер Rhadamanthys наряду с собственным шифровальщиком в целевых фишинговых кампаниях против израильских объектов, в то время как MuddyWater был связан с Tsundere Botnet и Castle Loader, демонстрируя переход к более сложным тактикам. Слияние операций, спонсируемых государством, с киберпреступностью усложняет атрибуцию и подчеркивает их развивающиеся операционные возможности.
-----

Иранские активисты, связанные с Министерством разведки и безопасности (MOIS), все больше интегрируются в экосистему киберпреступности, переходя от простого подражания преступным методам к прямому использованию преступных инструментов и инфраструктуры. Этот сдвиг exemplified группами, такими как MuddyWater и Void Manticore, которые начали использовать коммерчески доступное вредоносное ПО и использовать установленные преступные сети для своих операций. Исторически, иранская киберактивность часто маскировала государственные намерения под предлогом киберпреступности, но последние тенденции указывают на более прямую совместную работу с киберпреступниками, улучшая их оперативные возможности, одновременно затрудняя усилия по атрибуции.

Void Manticore, также известная своими тактиками хак-энд-лик, приняла личность "Handala" и применила различные формы вредоносного ПО, включая инфостилер Rhadamanthys, известный своими частыми обновлениями и сложным дизайном. Этот инфостилер был сочетан с пользовательским малвари для затирания в фишинговых кампаниях, нацеленных на израильские организации, что демонстрирует стратегическое сочетание оперативных тактик.

С другой стороны, MuddyWater была связана с несколькими киберпреступными группами, что еще больше усложняет атрибуцию её действий. Эта группа, известная своими шпионскими усилиями и постоянными кампаниями, нацеленными на сущности на Ближнем Востоке, была связана с Tsundere Botnet, который работает через Node.js и JavaScript-скрипты. Недавние анализы выявили вариант под названием DinDoor, где было замечено переключение на использование Deno, что указывает на адаптацию техник для повышения скрытности и эффективности.

Более того, MuddyWater также был ассоциирован с вредоносным ПО Castle Loader, инструментом, который функционирует как загрузчик для различных нагрузок через общий набор сертификатов кода. Эта ассоциация может не означать прямую аффилиацию; скорее, она указывает на общий метод приобретения вредоносных инструментов, который облегчает сокрытие ответственности.

Заметный случай, иллюстрирующий эти динамики, произошел в октябре 2025 года, когда кибератака была нацелена на израильский Шамирский медицинский центр, первоначально воспринятая как инцидент с программой-вымогателем. Хотя считалось, что в этом случае участвует группа Qilin, известная своими операциями по программам-вымогателям как услуге, более поздние оценки указывали на то, что реальными исполнителями атаки были иранские аффилиаты. Этот инцидент подчеркивает эффективное использование криминального брендинга программ-вымогателей связанными с Ираном акторами, демонстрируя как оперативные преимущества, так и стратегическое согласование с государственными целями.

Суть в том, что вовлечение связанных с MOIS акторов в экосистему киберпреступности значительно развилось. Они уже не просто маскируются под преступников, но активно используют преступные методологии, такие как вредоносное ПО, программы-вымогатели и модели типа аффилиатов, чтобы продвигать геополитические амбиции, одновременно улучшая свои киберспособности. Эта интеграция предоставляет значительные операционные преимущества и добавляет уровни сложности в отслеживании и атрибуции злонамеренной кибердеятельности обратно к иранским государственным актерам.

#ParsedReport #CompletenessMedium
10-03-2026

China-Nexus Activity Against Qatar Observed Amid Expanding Regional Tensions

https://blog.checkpoint.com/research/china-nexus-activity-against-qatar-observed-amid-expanding-regional-tensions/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Plugx_rat
Cobalt_strike_tool
Dll_hijacking_technique
Voldemort

Victims:
Government, Military, Oil and gas

Industry:
Petroleum, Government, Military

Geo:
Chinese, China, Turkish, Myanmar, Philippines, Qatar, Israeli, American, Iranian, Bahrain, Middle east

ChatGPT TTPs:
do not use without manual check
T1005, T1056.001, T1105, T1113, T1204.002, T1218, T1566.001, T1574.001, T1656

IOCs:
File: 2
Hash: 10
IP: 2
Domain: 1

Languages:
rust

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT с китайским связью Camaro Dragon была активна в Катаре, развертывая вредоносное ПО PlugX, используя контент, связанный с недавними конфликтами на Ближнем Востоке, в качестве тактической маскировки. Кампания, наблюдаемая Check Point, включала файл LNK, использующий эксплуатацию DLL hijacking бинарного файла Baidu NetDisk для установления доступа через заднюю дверь с помощью PlugX. Кроме того, злоумышленники использовали загрузчик на основе Rust с применением DLL hijacking компонентов NVDA для доставки Cobalt Strike, что указывает на адаптацию методов на фоне нарастающих геополитических напряжений.
-----

APT-актеры с китайским участием, в особенности Camaro Dragon, нацелены на катарские структуры на фоне региональных напряженностей. Они начали развертывание вредоносного ПО PlugX в течение одного дня после обострения, связанного с Operation Epic Fury. Целенаправленные кампании используют контент, связанный с конфликтом, для социальной инженерии. Одна атака включала архив, замаскированный под изображения, связанные с нападениями на военные базы, что инициировало цепочку заражения через вредоносный LNK файл. Эта цепочка использовала захват DLL из Baidu NetDisk для доставки бэкдора PlugX. PlugX обеспечивает обширный удаленный доступ и имеет такие возможности, как эксфильтрация файлов и логирование нажатий клавиш. Конкретный образец PlugX использовал уникальные ключи конфигурации и расшифровки, ранее связанные с Camaro Dragon. Подобные техники заражения были замечены в атаках на военные цели Турции. В другой кампании использовался архив с паролем, названный "Strike at Gulf oil and gas facilities.zip", с низкокачественными уловками, сгенерированными ИИ, выдающими себя за израильское правительство. Эта кампания использовала загрузчик на базе Rust, который использовал захват DLL компонента nvdaHelperRemote.dll. Последний груз содержал Cobalt Strike, что указывает на соответствие тактикам китайских угроз. Эти действия подчеркивают способность АPT-актеров адаптировать свои стратегии в ответ на геополитические изменения.

#ParsedReport #CompletenessMedium
10-03-2026

CastleRAT attack first to abuse Deno JavaScript runtime to evade enterprise security

https://www.threatdown.com/blog/castlerat-cyber-attack-is-the-first-to-abuse-deno-javascript-runtime-to-evade-enterprise-security/

Report completeness: Medium

Threats:
Nightshade
Clickfix_technique
Pyarmor_tool

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055, T1056.001, T1059.001, T1059.006, T1059.007, T1071.001, have more...

IOCs:
File: 7
IP: 2
Path: 1
Domain: 2
Hash: 2

Soft:
Windows terminal, Telegram, Discord, Windows media

Algorithms:
sha256

Functions:
SetWindowsHookEx, MFEnumDeviceSources

Win API:
SendInput

Languages:
python, javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleRAT — это сложная кампания вредоносного ПО, использующая среду выполнения Deno JavaScript для выполнения полезной нагрузки с помощью социальной инженерии под названием "ClickFix", когда пользователей заставляют скачать вредоносный установщик. Она использует техники обфускации и рефлексивную загрузку PE для выполнения полностью в памяти, избегая обнаружения традиционными антивирусными программами. Обладая обширным контролем, она проводит шпионские действия, крадет цифровые идентичности и активирует функции наблюдения, при этом обеспечивая сохранение через Запланированную задачу, зарегистрированную с помощью PowerShell.
-----

Кампания вредоносного ПО CastleRAT является значительным шагом вперед в тактиках киберугроз, используя среду выполнения Deno JavaScript для выполнения своего полезного нагрузки, избегая при этом обнаружения традиционными мерами безопасности. Эта сложная цепь инфекции начинается с тактики социальной инженерии, при которой жертвы направляются на скомпрометированную веб-страницу с вводящими в заблуждение сообщениями об ошибках или подсказками CAPTCHA, побуждающими их вручную выполнить команду. Этот подход, известный как "ClickFix," позволяет злоумышленникам обходить веб-фильтры безопасности, заставляя пользователей добровольно инициировать загрузку вредоносного установщика.

Атака использует Deno runtime, легитимное ПО с действительной цифровой подписью, что позволяет злоумышленникам выполнять обфусцированный JavaScript код под видом доверенного процесса. Этот первоначальный скрипт загружает переносимую среду Python, представленную как легитимный компонент, наряду с обманчиво безвредным JPEG файлом. Однако это изображение скрывает зашифрованный полезный груз, который декодируется в памяти с помощью сильно обфусцированного скрипта Python, защищенного PyArmor. Эта техника, известная как reflective PE loading, гарантирует, что вредоносное ПО не затрагивает жесткий диск, что делает его фактически невидимым для традиционных антивирусных движков, сканирующих файлы.

После полного выполнения в памяти, CastleRAT предоставляет широкий контроль над скомпрометированной системой благодаря нескольким расширенным возможностям. Он выполняет отпечатки хоста и устанавливает связь с сервером командования и управления (C2), собирая телеметрию системы, такую как имя компьютера, имя пользователя, GUID машины и публичный IP-адрес. Более того, он использует низкоуровневые Windows API для проведения шпионских операций, захватывая все нажатия клавиш и сохраняя их в скрытых файлах, таким образом способствуя продолжающейся кражи данных.

CastleRAT также проводит кражу цифровой идентичности и криптовалюты, нацеливаясь на учетные данные, куки, токены сессий различных приложений (включая Telegram и Discord), а также SSH-ключи разработчиков. Для поддержания операционной скрытности он использует техники перехвата буфера обмена, имитируя действия вставки для извлечения конфиденциальной информации. Вредоносное ПО дополнительно включает возможности аудио- и видеонаблюдения, активируя веб-камеры и микрофоны незаметно.

Чтобы обеспечить стойкость после перезагрузки систем, CastleRAT регистрирует Запланированную Задачу через PowerShell, направляя выполнение обратно к обфусцированному загрузчику Python. Этот инновационный подход иллюстрирует способность вредоносного ПО работать без традиционных двоичных файлов или видимых окон консоли, подчеркивая необходимость мониторинга поведения конечных точек для обнаружения. Как показано, традиционные методы, сосредоточенные исключительно на анализе файлов, недостаточны, что требует использованияadvanced monitoring solutions для выявления аномалий и разрыва соединений с серверами C2 до того, как произойдет эксфиляция данных.

#ParsedReport #CompletenessMedium
10-03-2026

BeatBanker: A dual-mode Android Trojan

https://securelist.com/beatbanker-miner-and-banker/119121/

Report completeness: Medium

Threats:
Beatbanker
Btmob_rat
Xmrig_miner
Craxsrat
Spynote_rat
Spysolr

Victims:
Mobile users, Financial services, Cryptocurrency users

Industry:
Government, Healthcare, Financial

Geo:
Brazil, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1056.001, T1071.001, T1115, T1123, T1125, T1401, T1406, T1407, have more...

IOCs:
Domain: 9
File: 5
Hash: 2

Soft:
Android, Google Play, Chrome, Firefox, Opera, StarLink, Telegram, WhatsApp

Crypto:
binance, monero

Algorithms:
base64, md5, xor, sha1

Functions:
CipherInputStream

Languages:
java

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4