#ParsedReport #CompletenessLow
10-03-2026

5 Malicious Rust Crates Posed as Time Utilities to Exfiltrate .env Files

https://socket.dev/blog/5-malicious-rust-crates-posed-as-time-utilities-to-exfiltrate-env-files

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Software supply chain, Developers

TTPs:
Tactics: 3
Technics: 6

IOCs:
Domain: 1
Email: 2
Url: 3

Soft:
Outlook, curl

Functions:
check_params

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В экосистеме программирования Rust была выявлена атака на supply chain, включающая пять вредоносных пакетов, предназначенных для скрытой эксфильтрации данных, наиболее значимым из которых является chrono_anchor crate. Он использует ошибку в коде проверки для утечки конфиденциальной информации из файлов .env через HTTP POST-запросы в похожие домены. Кроме того, dnp3times crate использует методы typosquatting, чтобы ввести пользователей в заблуждение при установке, помогая злоумышленнику интегрироваться в экосистему.
-----

Недавний анализ, проведенный исследовательской группой Socket по исследованию угроз, выявил атаку по системе supply chain в экосистеме программирования Rust, которая включала распространение пяти вредоносных пакетов: chrono_anchor, dnp3times, time_calibrator, time_calibrators и time-sync. Четыре из этих упаковок были быстро извлечены из ящиков.ио после их открытия. Основное вредоносное поведение было обнаружено в ящике chrono_anchor, который был помечен для скрытой эксфильтрации данных. Этот ящик содержит код, который создает имена хостов из константы и использует ложный HTTPS-запрос к законному time API. Впоследствии он пытается отфильтровать данные через HTTP POST—запрос к домену-двойнику, одновременно раскрывая конфиденциальную информацию из файлов .env - общего хранилища конфиденциальных ключей API и секретов конфигурации.

Механизм использования основан на ошибке в коде проверки AnchorParams, когда безусловный триггер приводит к утечке секретной информации всякий раз, когда параметры проверяются, в том числе во время выполнения тестов. Целью являются все файлы, на которые ссылается предопределенная переменная ENV_FILE_PATH, как правило, env-файлы, и атака выполняется в фоновом режиме, что затрудняет обнаружение.

Другой crate, dnp3times, использует тот же метод эксфильтрации, но выдает себя за вариант законного пакета dnp3time, используя typosquatting для увеличения вероятности случайной установки. Стратегия злоумышленника, заключающаяся в принятии узнаваемых соглашений об именовании, помогает легко интегрировать вредоносные ящики в экосистему. Другие пакеты в этом кластере имитируют безопасные утилиты калибровки, еще больше скрывая их вредоносную активность при случайном просмотре.

У недолговечных ящиков, опубликованных пользователем "dictorudin", было низкое количество загрузок и активность последних обновлений, что указывает на то, что они были частью временной угрозы, а не стабильного сопровождающего. Это согласуется с поведением, типичным для атак supply chain, которые направлены на использование уязвимостей в зависимостях библиотек для доступа к конфиденциальным учетным данным. Угроза, исходящая от этих env-файлов, значительна, поскольку успешная эксфильтрация данных может обеспечить доступ к многочисленным конфиденциальным ресурсам, начиная от Облачных сервисов и заканчивая внутренними системами.

Этот инцидент отражает несколько тактик MITRE ATT&CK, в частности, направленных на Компрометацию цепочки поставок и незащищенные учетные данные, подчеркивая настоятельную необходимость бдительности в экосистеме Rust и постоянного контроля сторонних библиотек.

#ParsedReport #CompletenessLow
11-03-2026

Kernel in the Crosshairs: The BlackSanta Threat Campaign Targeting Recruitment Workflows

https://www.aryaka.com/blog/kernel-in-the-crosshairs-blacksanta-edr-killer-recruitment-workflows/

Report completeness: Low

Threats:
Blacksanta_tool
Edr-killer
Process_hollowing_technique
Credential_harvesting_technique
Byovd_technique
Lolbin_technique
Steganography_technique

Victims:
Recruitment workflows, Human resources

Industry:
Financial, Education

TTPs:
Tactics: 4
Technics: 0

Soft:
Microsoft Defender

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackSanta - преступная хакерская кампания, нацеленная на процессы подбора персонала, использующая предсказуемое поведение людей для проникновения в системы, обрабатывающие конфиденциальные персональные данные. Первоначальные атаки используют вредоносные ISO-файлы, замаскированные под резюме, что приводит к выполнению команд PowerShell, которые извлекают полезную нагрузку и загружают вредоносные библиотеки DLL. Вредоносное ПО использует передовые методы уклонения, динамическое выполнение команд и подход BYOVD для отключения мер безопасности, что позволяет осуществлять кражу учетных данных и эксфильтрацию данных, оставаясь незамеченным.
-----

BlackSanta - преступная хакерская кампания, направленная на борьбу с рабочими процессами подбора персонала, использующая предсказуемое поведение людей в кадровых командах и их зачастую менее безопасную среду. Используя срочность и доверие, присущие этим ролям, злоумышленники создают возможности для проникновения в системы, которые обрабатывают конфиденциальную личную информацию (PII).

Начальная фаза атаки включает в себя доставку вредоносного ISO-файла, замаскированного под резюме, по каналам подбора персонала. Когда ничего не подозревающая жертва монтирует ISO-файл, она запускает вредоносный ярлык (LNK-файл), который запускает следующий этап без немедленного обнаружения. Это приводит к выполнению запутанных команд PowerShell, которые извлекают скрытые полезные данные из стеганографически скрытого изображения. Затем вредоносная библиотека DLL загружается с помощью законного подписанного приложения, что позволяет коду злоумышленника работать под видом авторизованного программного обеспечения.

Как только вредоносное ПО проникает в систему, оно устанавливает зашифрованные каналы управления на основе HTTPS (C2), передавая данные системных отпечатков пальцев в инфраструктуру злоумышленника. Вредоносное ПО динамически расшифровывает и выполняет команды в памяти, избегая обнаружения и обеспечивая при этом дополнительную полезную нагрузку с помощью передовых методов, таких как process hollowing и выполнение без файлов.

В рамках своей стратегии обхода защиты вредоносное ПО проводит тщательную проверку среды, чтобы убедиться, что оно не было развернуто в изолированной среде или контролируемой среде, проверяя наличие определенных имен хостов, шаблонов имен пользователей и артефактов виртуализации. После подтверждения благоприятной среды он вводит дополнительные полезные нагрузки, включая критический компонент, известный как BlackSanta. Этот вредоносный модуль использует технологию "Принеси свой собственный уязвимый драйвер" (BYOVD) для получения низкоуровневого доступа и систематического отключения различных мер безопасности, таких как антивирусное программное обеспечение, агенты обнаружения конечных точек и реагирования (EDR) и даже средства защиты Microsoft Defender.

Компонент BlackSanta предназначен для удаления видимости из инструментов мониторинга безопасности, эффективно расчищая путь для кражи учетных данных и эксфильтрации данных. Кампания характеризует структурированный оперативный потенциал, способный манипулировать социальной инженерией, использовать законные инструменты и применять передовые методы сокрытия для поддержания закрепления и совершения краж.

Эта угроза иллюстрирует стратегическую уязвимость рабочих процессов подбора персонала в организациях, которым часто не хватает такого же уровня контроля безопасности, как в более важных секторах, таких как финансы или ИТ. Меры Кибербезопасности должны развиваться, чтобы противостоять этой растущей тенденции нейтрализации EDR на основе BYOVD, что указывает на изменение в том, как предприятиям необходимо отслеживать не только фишинг, но и включать телеметрию на уровне поведения и драйверов в свои протоколы защиты.

#ParsedReport #CompletenessLow
11-03-2026

Germany & Israel Under DDoS Attacks: Weekly DDoS Threat Intelligence Analysis

https://socradar.io/blog/germany-israel-under-ddos-10-mar26/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet
Httpflood_technique
Synflood_technique
Ackflood_technique
Udpflood_technique
Icmpflood_technique
Tcpsynflood_technique

Victims:
Government procurement portals, Government municipal portals, Government federal and state portals, Government tax and revenue portals, B2b trade and procurement platforms, Finance and capital markets, Defense and aerospace, Critical infrastructure transport, Telecom, Energy and water, have more...

Industry:
Energy, Telco, Aerospace, Military, Ngo, Financial, Petroleum, Government, Critical_infrastructure, Transport, Retail, Media

Geo:
Poland, Spain, Russia, Italy, Israeli, Israel, Berlin, Russian, Greenland, Germany, Ukraine, Middle east, Denmark, German, Deutsche, Czechia, Japan

ChatGPT TTPs:
do not use without manual check
T1090, T1102, T1498.001, T1499, T1583.006, T1585.001

Soft:
Telegram

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период со 2 по 8 марта 2026 года пророссийский злоумышленник NoName057(16) провел крупную DDoS-кампанию с использованием инструмента DDoSia, нацелившись на 169 доменов и 153 IP-адреса, в основном в Германии и Израиле. Кампания использовала многовекторный подход, включая GET floods и SYN floods, уделяя особое внимание зашифрованным сервисам HTTPS, и продемонстрировала систематические атаки на системы государственных закупок Германии и различные сектора Израиля. Это упражнение подчеркивает соответствие актора геополитическим целям России, адаптируя цели на основе текущих событий.
-----

В период со 2 по 8 марта 2026 года NoName057(16), пророссийский злоумышленник, провел DDoS-кампанию с использованием инструмента атаки DDoSia. Кампания была нацелена на 169 уникальных доменов и 153 уникальных IP-адреса, при этом 65,6% атак были направлены на Германию и 19,7% - на Израиль. Атаки систематически нацеливались на системы государственных закупок Германии, затронув по меньшей мере 17 порталов с общим количеством записей 974. Типы атак включали GET floods (23,3%), SYN floods (22,2%) и POST floods (12,4%), а также механизм nginx_loris, который использует медленные соединения и нацелен на зашифрованные HTTPS-сервисы (72,9%). Оперативный темп включал 27 обновлений списка целей, в среднем по 3,9 обновления в день, причем пик пришелся на 3 марта, на долю которого пришлось 27,4% от общего числа атак. Целями в Германии были ключевые муниципальные порталы и порталы закупок, в то время как в Израиле кампания была нацелена на фирмы-подрядчики оборонных предприятий и финансовые учреждения. Действия группировки соответствуют геополитическим интересам России, подчеркивая их адаптивность и закрепление в кибероперациях против поддерживающих их стран.

#ParsedReport #CompletenessLow
11-03-2026

Evil evolution: ClickFix and macOS infostealers

https://www.sophos.com/en-us/blog/evil-evolution-clickfix-and-macos-infostealers

Report completeness: Low

Threats:
Clickfix_technique
Macc_stealer
Amos_stealer

Victims:
Macos users

Geo:
Usa, Belgium, India, Russian, America

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.001, T1041, T1056.002, T1059, T1059.002, T1059.004, T1070.004, T1071.001, have more...

IOCs:
File: 3
Domain: 12

Soft:
macOS, OpenAI, chatgpt, Gatekeeper, Telegram, curl, Chromium, Firefox, Ledger Live, Electron, have more...

Algorithms:
zip, gzip, base64

Languages:
javascript, php, applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавних кампаниях наблюдалась эволюция методов ClickFix, нацеленных на пользователей macOS, при этом стиллеры, такие как MacSync, используют тактику социальной инженерии для обхода системы безопасности. Аутентификация, устойчивая к фишингу, такая как FIDO2, не смогла противостоять этим атакам, которые включали в себя направление пользователей на вредоносные сайты под видом законных ссылок. Этот новый вариант MacSync использует многоступенчатую модель загрузки, использующую сценарии оболочки и динамический AppleScript для более незаметного выполнения, облегчая сбор обширных данных и избегая обнаружения.
-----

Недавние кампании высветили заметную эволюцию киберугроз, нацеленных на пользователей macOS, особенно в том, что касается использования методов ClickFix, связанных с стиллерами информации. Изначально предназначенный в первую очередь для Windows, ClickFix адаптировался для привлечения пользователей macOS, используя тактику социальной инженерии, которая использует взаимодействие с пользователем для обхода традиционных средств защиты. Примечательно, что устойчивые к фишингу методы аутентификации, такие как FIDO2, оказались неэффективными против этих атак.

В ходе кампании, выявленной в ноябре 2025 года, злоумышленники использовали вредоносные сайты, Маскировку под законные ссылки, связанные с OpenAI Atlas, направляя пользователей загружать стиллер MacSync. В этой атаке использовался классический подход ClickFix, при котором пользователям предлагается выполнить команды терминала после того, как их обманом заставили ввести свои пароли. Последующая кампания в декабре 2025 года использовала более обманчивую стратегию, приводя пользователей к законным разговорам в ChatGPT, которые перенаправляли их на вредоносные целевые страницы на тему GitHub. Эти страницы имитировали процессы безопасной установки при инициировании цепочки атак ClickFix и позволяли злоумышленнику отслеживать жертвы в режиме реального времени с помощью показателей, отправляемых боту в Телеграм.

К февралю 2026 года вредоносное ПО MacSync значительно эволюционировало, используя многоступенчатую модель загрузки как услуги. В отличие от предыдущих итераций, которые работали в основном с помощью собственных двоичных файлов MachO, этот новый вариант использует для выполнения сценарии на основе оболочки. Такой сложный подход не только повышает скрытность вредоносного ПО, но и усложняет усилия по обнаружению и реагированию на инциденты. Полезные нагрузки теперь используют динамические команды AppleScript и управляемую ключом API связь с инфраструктурой управления (C2). Это позволяет точно отслеживать зараженных пользователей, сохраняя при этом низкий уровень защиты от поведенческих обнаружений.

Обновленный вариант MacSync выполняет обширный сбор данных, включая извлечение профилей браузера, сохраненных логинов и конфиденциальных файлов из системы пользователя. Он использует вводящие в заблуждение подсказки для сбора паролей пользователя, одновременно незаметно выполняя команды в фоновом режиме, чтобы избежать обнаружения. Кроме того, он может модифицировать законные приложения, такие как те, которые используются для управления криптовалютой, интегрируя вредоносное поведение в программное обеспечение, которому в остальном доверяют.

Эволюция этих угроз ClickFix иллюстрирует, как злоумышленники адаптируют свою тактику для использования социально-технологических тенденций и мер безопасности операционной системы. Зависимость от хорошо известных платформ, таких как ChatGPT, для заманивания жертв означает изменение стратегий социальной инженерии, потенциально увеличивающее риски для пользователей macOS, которые традиционно воспринимали более низкие риски вредоносного ПО по сравнению с их аналогами Windows. Поскольку эти угрозы продолжают развиваться, последствия для безопасности macOS являются серьезными, что подчеркивает необходимость повышения осведомленности и проактивной защиты от появляющихся стиллеров информации и другого сложного вредоносного ПО.

#ParsedReport #CompletenessMedium
11-03-2026

GIBCRYPTO: The Destructive Ransomware with a Snake Keylogger Connection

https://labs.k7computing.com/index.php/gibcrypto-the-destructive-ransomware-with-a-snake-keylogger-connection/

Report completeness: Medium

Threats:
Snake_keylogger
Gibcrypto
Shadow_copies_delete_technique

Victims:
General users, Enterprises

Geo:
Germany

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 1
Hash: 1

Soft:
Windows Defender, Windows security, telegram, Twitter

Algorithms:
salsa20

Win API:
AMSIScanBuffer

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GIBCRYPTO - это сложная программа-вымогатель, обнаруженная в Германии в феврале 2026 года, способная блокировать системы и перехватывать нажатия клавиш, блокируя доступ к критически важным системным функциям. Он использует PowerShell для отключения защитника Windows, изменяет буферы AMSI, чтобы избежать обнаружения, и использует алгоритм шифрования Salsa20 для шифрования файлов, добавляя расширения ".GIBCRYPTO". Шпионские возможности GIBCRYPTO включают в себя отправку данных жертвы и скриншота боту в Телеграм, предполагая подключение к исполнителю угроз Snake Keylogger.
-----

GIBCRYPTO - это недавно идентифицированная программа-вымогатель со значительными разрушительными возможностями, впервые обнаруженная в Германии 22 февраля 2026 года, а затем обнаруженная в других странах. После выполнения GIBCRYPTO блокирует систему жертвы и отображает уведомление о выкупе, одновременно фиксируя нажатия клавиш. Он блокирует множество клавиш, таких как Alt, F4 и клавиши Windows, не позволяя пользователям получить доступ к диспетчеру задач или выйти из экрана блокировки. Этот захват нажатий клавиш сопоставляет программу-вымогателя с функциями кейлоггера, намекая на связь с кампанией Snake Keylogger.

Вредоносное ПО отключает мониторинг защитника Windows в режиме реального времени с помощью команд PowerShell и изменяет буферы AMSI (Anti-Malware Scan Interface), чтобы избежать обнаружения. Это встроенное исправление эффективно предотвращает сканирование службами безопасности Windows своих операций, позволяя программе-вымогателю запускаться без запуска протоколов безопасности. Кроме того, GIBCRYPTO устраняет shadow copies файлов с помощью cmd.exe , препятствуя любым потенциальным попыткам восстановления со стороны жертвы.

Что касается шифрования файлов, GIBCRYPTO использует алгоритм Salsa20, перебирая каталоги и добавляя расширение ".GIBCRYPTO" к зашифрованным файлам. Это позволяет избежать дублирования шифрования, пропуская уже зашифрованные файлы или каталоги с "windows" в названиях. Программа-вымогатель не только шифрует файлы, но и удаляет оригиналы после записи зашифрованных версий, что увеличивает вероятность невозможности восстановления файлов.

GIBCRYPTO также включает в себя шпионские функции, позволяющие злоумышленникам проверить успешную компрометацию системы жертвы. Он делает это путем создания зашифрованного файла, содержащего имя пользователя жертвы и имя компьютера, который отправляется с помощью бота в Телеграм вместе со скриншотом экрана. Токен бота и идентификатор чата, используемые для этой передачи, совпадают с теми, которые связаны с инфраструктурой управления Snake Keylogger.

Технический анализ показывает, что схемы работы GIBCRYPTO демонстрируют заметное сходство с Snake Keylogger, что позволяет предположить, что за обоими вредоносными инструментами стоят одни и те же злоумышленники. Общий дизайн программы-вымогателя предполагает высокий уровень сложности, а ее интегрированные функции как для шифрования, так и для сбора информации делают восстановление практически невозможным для жертв, даже после выплаты выкупа. Это подчеркивает продолжающуюся эволюцию угроз со стороны программ-вымогателей и сохраняющуюся потребность в надежной защите от Кибербезопасности.

#ParsedReport #CompletenessLow
11-03-2026

Weaponizing Telegram Bots: How Threat Actors Exfiltrate Credentials

https://cofense.com/blog/weaponizing-telegram-bots-how-threat-actors-exfiltrate-credentials

Report completeness: Low

Actors/Campaigns:
Lone_none

Threats:
Agent_tesla

Victims:
Information stealers, Keyloggers, Remote access trojans, Credential phishing victims

ChatGPT TTPs:
do not use without manual check
T1016, T1041, T1056.001, T1056.003, T1082, T1102, T1102.002, T1102.003, T1105, T1113, have more...

IOCs:
File: 2
Url: 4
Domain: 1

Soft:
Telegram

Functions:
Bot, getMe, getUpdates

Win API:
sendMessage

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют ботов Телеграм для эксфильтрации данных и операций командования и контроля (C2), используя его Bot API для автоматизированных функций. Известные семейства вредоносных ПО, такие как Троянские программы для удаленного доступа и кейлоггеры, используют Телеграм для отправки команд или эксфильтрации данных, причем Agent Tesla является важным вариантом, на долю которого приходится 77,7% сообщений об активных угрозах, связанных с вредоносным ПО, связанных с Телеграм. Кроме того, WSH RAT передает информацию о хосте в Телеграм C2, в то время как Pure Logs Stealer использует Телеграм для доставки команд, связанных с вредоносными URL-адресами.
-----

Злоумышленники все чаще используют ботов в Телеграм для содействия вредоносным действиям, особенно для эксфильтрации данных и операций командования и контроля (C2). Бот-API Телеграм используется для автоматизированных функций, позволяя злоумышленникам отправлять сообщения или загружать файлы, такие как скриншоты и текстовые файлы, содержащие украденные учетные данные. Примечательно, что в отчете указано, что 3,8% отчетов об активных угрозах, основанных на вредоносном ПО (ATR), с 1 квартала 2024 по 2 квартал 2025 года использовали Телеграм в качестве C2, наряду с 2,3% случаев фишинга с использованием учетных данных.

В практических сценариях боты Телеграм функционируют как каналы эксфильтрации данных в рамках различных семейств вредоносных ПО, преимущественно Троянских программ удаленного доступа (RATs), кейлоггеров и стиллеров информации. Например, эти боты могут использоваться для отправки команд на хост, подвергшийся компрометации, или для пассивной фильтрации данных с помощью простой передачи сообщений. Фишинг с использованием учетных данных часто облегчается с помощью вызова API "SendMessage", при котором входные данные от жертв передаются непосредственно боту Телеграм злоумышленника, эффективно создавая простой механизм кражи данных.

Кейлоггер The Agent Tesla является примером варианта вредоносного ПО, использующего Телеграм для эксфильтрации данных. Несмотря на то, что он может работать через традиционные HTTP-запросы или электронную почту, он также включает API Телеграм для передачи файлов, таких как текстовые документы, содержащие украденные учетные данные. Исследователи обнаружили, что на долю Agent Tesla приходится значительный процент (77,7%) вредоносных ПО ATR, связанных с Телеграм в 2024 году.

Другой вариант, WSH RAT, использует другой подход, передавая информацию о хосте непосредственно в Телеграм C2 в рамках процесса загрузки полезной нагрузки. Этот метод позволяет злоумышленникам получать уведомления о том, когда жертва загружает вредоносное программное обеспечение. Кроме того, Pure Logs Stealer, связанный с злоумышленником Lone None, объединяет Телеграм с вредоносными URL-адресами, используя профили ботов в качестве среды для размещения скриптов.

Для анализа угроз и расследований аналитики могут использовать бот-API Телеграм для извлечения информации из каналов компрометации. Получив токен авторизации и идентификатор чата, исследователи могут запросить API Телеграм для доступа и потенциальной пересылки исторических сообщений от бота злоумышленника в свою собственную контролируемую среду. Этот метод расширяет возможности отнесения злоумышленников к конкретным операциям за счет предоставления высокоточных индикаторов компрометации.

#ParsedReport #CompletenessHigh
11-03-2026

Iran conflict drives heightened espionage activity against Middle East targets

https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity-against-middle-east-targets

Report completeness: High

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Apt42
Molerats
Winter_vivern

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Government organizations, Diplomatic entities, Thinktank

Industry:
Military, Petroleum, Government

Geo:
Israel, Iraq, Iran, Pakistan, India, Israeli, Middle east, Iranian, Syria, Belarus, China

ChatGPT TTPs:
do not use without manual check
T1036.007, T1056.003, T1071.001, T1078, T1082, T1102, T1204.001, T1204.002, T1566.001, T1566.002, have more...

IOCs:
Email: 8
File: 5
Domain: 9
Url: 8
Hash: 13
IP: 1

Soft:
Microsoft Outlook, Outlook, Microsoft OneDrive

Algorithms:
sha256, zip

Functions:
Proofpoint, Research

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность кибершпионажа резко возросла на фоне конфликта с участием Ирана, когда несколько иранских хактивистских и спонсируемых государством групп, таких как TA453 (Charming Kitten), начали кампании по сбору разведданных. Известные методы включают фишинг с использованием учетных данных с использованием компрометации учетных записей, примером чего является TA402's, использующий веб-приложение, похожее на Microsoft Outlook, для сбора учетных данных, и распространение UNK_InnerAmbush Вредоносных файлов под Маскировкой новостей, связанных с конфликтом. Другие акторы, в том числе связанные с Китаем и Пакистаном, аналогичным образом использовали геополитическую ситуацию для усиления своих нападок на ближневосточные правительственные учреждения.
-----

Недавний конфликт с участием Ирана значительно активизировал деятельность по кибершпионажу, особенно с акцентом на цели на Ближнем Востоке. После начала операции "Эпическая ярость" США и Израилем 28 февраля 2026 года многочисленные иранские хактивистские группы и спонсируемые государством злоумышленники провели различные кампании, направленные на сбор разведданных и дезорганизацию. Примечательно, что иранский актор TA453 (Charming Kitten) был замечен за попыткой фишинга учетных данных в отношении аналитического центра США вскоре после начала конфликта, демонстрируя их неизменное внимание к сбору разведданных, несмотря на войну.

Несколько других злоумышленников, включая тех, кто подозревается в связях с Китаем, Беларусью и Пакистаном, также активизировали свои операции, нацелившись на правительственные учреждения Ближнего Востока. Эти кампании используют продолжающийся конфликт в своих интересах, используя актуальные подсказки, при этом злоумышленники часто используют аккаунты с компрометацией для распространения электронных писем с фишингом. Например, группа UNK_InnerAmbush применила схему фишинга, начиная с 1 марта, используя электронное письмо с адреса компрометации для доставки Вредоносных файлов, замаскированных под новости, связанные с конфликтом, в конечном итоге выполнив загрузку Cobalt Strike через DLL Sideloading.

Кроме того, актор TA402 использовал электронную почту Министерства иностранных дел Ирака с компрометацией для распространения кампании фишинга учетных данных, направляя цели к веб-приложению, похожему на Microsoft Outlook, для сбора учетных записей, используя темы, связанные с конфликтом, в качестве приманки. Аналогичным образом, другой актор, UNK_RobotDreams, атаковал дипломатические организации с помощью электронных писем, Маскировки под официальные сообщения, что привело к загрузке вредоносного ПО, которое включало бэкдор Rust, передаваемый через домен, размещенный в компрометации Azure.

Дополнительные кампании от акторов, таких как UNK_NightOwl и TA473, также подчеркивают тенденцию к тому, что акторы, связанные с государством, используют сохраняющуюся геополитическую напряженность для проведения кампаний по сбору разведданных и фишингу, адаптированных к текущим ситуациям. Эти операции подчеркивают тенденцию, когда различные государственные акторы, в том числе те, которые традиционно не связаны с иранскими интересами, динамично используют конфликт для выполнения шпионских задач.