#ParsedReport #CompletenessHigh
11-03-2026

Iran conflict drives heightened espionage activity against Middle East targets

https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity-against-middle-east-targets

Report completeness: High

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Apt42
Molerats
Winter_vivern

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Government organizations, Diplomatic entities, Thinktank

Industry:
Military, Petroleum, Government

Geo:
Israel, Iraq, Iran, Pakistan, India, Israeli, Middle east, Iranian, Syria, Belarus, China

ChatGPT TTPs:
do not use without manual check
T1036.007, T1056.003, T1071.001, T1078, T1082, T1102, T1204.001, T1204.002, T1566.001, T1566.002, have more...

IOCs:
Email: 8
File: 5
Domain: 9
Url: 8
Hash: 13
IP: 1

Soft:
Microsoft Outlook, Outlook, Microsoft OneDrive

Algorithms:
sha256, zip

Functions:
Proofpoint, Research

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность кибершпионажа резко возросла на фоне конфликта с участием Ирана, когда несколько иранских хактивистских и спонсируемых государством групп, таких как TA453 (Charming Kitten), начали кампании по сбору разведданных. Известные методы включают фишинг с использованием учетных данных с использованием компрометации учетных записей, примером чего является TA402's, использующий веб-приложение, похожее на Microsoft Outlook, для сбора учетных данных, и распространение UNK_InnerAmbush Вредоносных файлов под Маскировкой новостей, связанных с конфликтом. Другие акторы, в том числе связанные с Китаем и Пакистаном, аналогичным образом использовали геополитическую ситуацию для усиления своих нападок на ближневосточные правительственные учреждения.
-----

Недавний конфликт с участием Ирана значительно активизировал деятельность по кибершпионажу, особенно с акцентом на цели на Ближнем Востоке. После начала операции "Эпическая ярость" США и Израилем 28 февраля 2026 года многочисленные иранские хактивистские группы и спонсируемые государством злоумышленники провели различные кампании, направленные на сбор разведданных и дезорганизацию. Примечательно, что иранский актор TA453 (Charming Kitten) был замечен за попыткой фишинга учетных данных в отношении аналитического центра США вскоре после начала конфликта, демонстрируя их неизменное внимание к сбору разведданных, несмотря на войну.

Несколько других злоумышленников, включая тех, кто подозревается в связях с Китаем, Беларусью и Пакистаном, также активизировали свои операции, нацелившись на правительственные учреждения Ближнего Востока. Эти кампании используют продолжающийся конфликт в своих интересах, используя актуальные подсказки, при этом злоумышленники часто используют аккаунты с компрометацией для распространения электронных писем с фишингом. Например, группа UNK_InnerAmbush применила схему фишинга, начиная с 1 марта, используя электронное письмо с адреса компрометации для доставки Вредоносных файлов, замаскированных под новости, связанные с конфликтом, в конечном итоге выполнив загрузку Cobalt Strike через DLL Sideloading.

Кроме того, актор TA402 использовал электронную почту Министерства иностранных дел Ирака с компрометацией для распространения кампании фишинга учетных данных, направляя цели к веб-приложению, похожему на Microsoft Outlook, для сбора учетных записей, используя темы, связанные с конфликтом, в качестве приманки. Аналогичным образом, другой актор, UNK_RobotDreams, атаковал дипломатические организации с помощью электронных писем, Маскировки под официальные сообщения, что привело к загрузке вредоносного ПО, которое включало бэкдор Rust, передаваемый через домен, размещенный в компрометации Azure.

Дополнительные кампании от акторов, таких как UNK_NightOwl и TA473, также подчеркивают тенденцию к тому, что акторы, связанные с государством, используют сохраняющуюся геополитическую напряженность для проведения кампаний по сбору разведданных и фишингу, адаптированных к текущим ситуациям. Эти операции подчеркивают тенденцию, когда различные государственные акторы, в том числе те, которые традиционно не связаны с иранскими интересами, динамично используют конфликт для выполнения шпионских задач.

#ParsedReport #CompletenessMedium
10-03-2026

TENGU RANSOMWARE

https://theravenfile.com/2026/03/10/tengu-ransomware/

Report completeness: Medium

Threats:
Tengu_ransomware
Stealtengu_tool
Residential_proxy_technique
React2shell_vuln
Lockbit
Blacksuit_ransomware
Akira_ransomware
Fortirdp_tool
Cobalt_strike_tool
Qakbot
Asyncrat
Lolbin_technique
Zerologon_vuln
Stealtg_tool
Devman

Victims:
Technology sector, Manufacturing sector, Qatargas, Japanese religious entity

Industry:
Petroleum

Geo:
Bulgaria, Monaco, Japanese, Poland, Panama, Dprk, Spain, France, Asia, Morocco, Iranian, India, Qatar, Middle east, Iran, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1041, T1047, T1068, T1071.001, T1078, T1090, T1105, T1110, T1133, have more...

IOCs:
IP: 35
File: 1

Soft:
TWITTER, ESXi, Linux, PixelDrain, PsExec, Telegram, Active Directory, Tor Browser

Languages:
php

Platforms:
intel

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/Tengu%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Tengu, действующая с октября 2025 года, в первую очередь нацелена на технологический и производственный секторы, первоначально сосредоточившись на исламских странах. В их атаках используется ряд IP-адресов, в том числе связанных с брутфорсом SMB/RDP, и используются уязвимости, такие как "Zerologon" (CVE-2020-1472) для первоначального доступа. Группа использует двоичные файлы living-off-the-land, методы прерывистого шифрования и удаленное выполнение команд, чтобы свести к минимуму следы криминалистического анализа во время развертывания, а недавно переименовалась в "Shisa Ransomware" и запустила партнерскую программу.
-----

Группа программ-вымогателей Tengu появилась 9 октября 2025 года, в первую очередь нацеленная на технологический и производственный секторы, с первоначальным акцентом на исламские страны. Их первой идентифицированной жертвой были Qatargas и Tar Company; однако утечка документов в результате атаки предполагала случайную ошибочную идентификацию, связанную с иранскими связями. С 10 марта 2026 года группа провела ребрендинг, приняв название "Shisa Ransomware", и запустила партнерскую программу, в рамках которой партнеры могли получать 80%-ную скидку на выплаты выкупа. Сборки программ-вымогателей для Windows, ESXi и Linux имеют размер от 90 до 100 КБ, что указывает на универсальность работы группы.

В атаках используется широкий диапазон IP-адресов, идентифицировано по меньшей мере 52, и заметное перекрытие 12 IP-адресов связано с атаками с помощью брутфорса SMB/RDP. Примечательно, что этим операциям способствовала комбинация residential proxies и VPS-сервисов, включая MEVSPACE и Flyservers S.A., которые часто ассоциируются с киберпреступной деятельностью. Группа использует двоичные файлы living-off-the-land для скрытного перемещения внутри компании и использует методы прерывистого шифрования, нацеливаясь на заголовки, чтобы сделать файлы бесполезными без ключа дешифрования.

Первоначальный доступ часто получают путем использования уязвимостей, таких как печально известный "Zerologon" (CVE-2020-1472) на контроллерах домена Windows, который доказал свою эффективность в облегчении последующего перемещения внутри компании и полного контроля над сетью. Их способ работы предполагает удаленное выполнение команд через Service Control Manager, что сводит к минимуму следы криминалистического анализа во время развертывания программ-вымогателей. Заметная ошибка, допущенная Tengu, заключалась в преждевременном шифровании только контроллера домена, что привело к тому, что незашифрованные ресурсы остались доступными для жертвы; позже они исправили это, используя права администратора домена для всестороннего развертывания своей программы-вымогателя.

Дополнительные тактические приемы включают в себя нацеливание на ранее скомпрометированные объекты компрометации и предложение пользовательской службы загрузки файлов под названием "StealTENGU". Группа выразила намерения усовершенствовать свои операции, но оценила случайные всплески успеха атак из-за их способности использовать незащищенные уязвимости. Их присутствие на таких платформах, как Twitter, указывает на уровень вовлеченности в более широкую экосистему программ-вымогателей, но их анонимность подтверждает гипотезу о том, что у них есть квалифицированные участники, способные использовать уязвимости и применять тактику грубой силы.

#ParsedReport #CompletenessLow
11-03-2026

The Install Command Was the Attack: How InstallFix Is Weaponizing Claude Codes Popularity

https://www.codeaintel.com/p/the-install-command-was-the-attack

Report completeness: Low

Threats:
Installfix_technique
Clickfix_technique
Acr_stealer
Amatera_stealer
Credential_harvesting_technique

Victims:
Software developers, Enterprise users of ai developer tools, Claude code users

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.004, T1102, T1105, T1204.002, T1218.005, T1550.004, T1555.003, T1566.002, have more...

IOCs:
Domain: 2
File: 2

Soft:
Claude, macOS, curl

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания социальной инженерии InstallFix нацелена на разработчиков с помощью имитационных страниц установки Claude Code, используя тенденцию к копированию команд терминала без тщательного изучения. В рамках кампании предоставляется стиллер Amatera, который воздействует на системы Windows и macOS, изменяя команды установки, чтобы перенаправлять пользователей на вредоносные домены. Возможности Amatera's включают в себя кражу токенов сеанса, предоставление несанкционированного доступа к Облачным сервисам и конфиденциальным инструментам без необходимости использования паролей или Многофакторной аутентификации, и аналогичная тактика была отмечена в других схемах фишинга.
-----

Кампания социальной инженерии InstallFix нацелена на разработчиков путем создания поддельных страниц установки для инструмента командной строки Claude Code. Эти поддельные страницы продвигаются с помощью рекламы Google, заставляя пользователей выполнять вредоносные команды установки. Поставляемым вредоносным ПО является Amatera, стиллер на основе подписки, предназначенный для систем Windows и macOS. Команды установки изменяются таким образом, чтобы направлять пользователей в домен, контролируемый злоумышленником. Для macOS он извлекает полезную нагрузку второго этапа, используя сценарий в кодировке base64; для Windows он использует mshta.exe для выполнения HTML-приложений. Amatera может красть токены сеанса, предоставляя злоумышленникам доступ к Облачным сервисам и конфиденциальным инструментам без необходимости использования паролей или Многофакторной аутентификации. Аналогичные попытки фишинга были замечены на поддельных страницах установки Homebrew и вредоносных пакетах npm. В операции используются надежные услуги хостинга и документация, выглядящая законно, что затрудняет ее обнаружение. Пользователям рекомендуется избегать рекламы Google для команд установки, получать прямой доступ к официальной документации и проверять активные сеансы после использования подозрительных команд. Мониторинг безопасности должен быть сосредоточен на необычных mshta.exe поведение и помечать подключения к вредоносным доменам.

#ParsedReport #CompletenessMedium
11-03-2026

Cracker of secrets: F6 investigated a new version of the Android Trojan Falcon

https://www.f6.ru/blog/falcon-rat/

Report completeness: Medium

Threats:
Falconrat
Killbot
Anubis
Mamont_spy
Nfcgate_tool

Victims:
Banking, Investment funds, Government services, Mobile operators, Marketplaces, Social networks, Messengers, App stores, Free classifieds services, Contactless payments, have more...

Industry:
Financial, E-commerce, Government

Geo:
Russia, Russian, Chinese, Australia

ChatGPT TTPs:
do not use without manual check
T1409, T1412, T1417, T1418, T1422, T1444, T1454, T1476, T1516

IOCs:
Url: 5
Hash: 12
File: 2

Soft:
Android, Telegram, RuStore, Google Play, VKontakte, Viber, WhatsApp

Algorithms:
sha256, sha1, rc4, md5

Functions:
USSD, removeApp, SelfDefense, UpdateData, Insert_Or_Update_Bot_Info, getJSONArrayOfUIElems

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец Falcon, особенно его последняя версия FalconRAT, стал серьезной угрозой для пользователей Android в России, воздействие на более чем 10 000 устройств по состоянию на начало 2026 года. Этот банковский троян маскируется под легальные приложения, использует методы веб-инъекций для кражи учетных данных и использует дроппер для установки с помощью тактики фишинга. Он собирает конфиденциальные данные, включая SMS-сообщения для двухфакторной аутентификации, и обладает функциями самосохранения, позволяющими избежать удаления, при этом намеренно избегая целей в определенных регионах, таких как США и Австралия.
-----

Троянец Falcon, в частности его последняя версия, известная как FalconRAT, стал серьезной угрозой для пользователей Android, особенно в России. Обнаруженный в конце 2025 года, этот банковский троянец был подключен к более чем 10 000 устройствам для компрометации к началу 2026 года. Аналитики сообщают, что в этой версии представлены улучшения по сравнению с предыдущими версиями, такие как включение модуля VNC для удаленного управления и механизмов эксфильтрации данных через Телеграм.

FalconRAT работает путем Маскировки под законные приложения различных банков, государственных служб и платежных платформ, способствуя краже данных в более чем 30 целевых приложениях, включая крупнейшие российские финансовые учреждения и платформы Социальных сетей. Чтобы получить учетные данные пользователя, Falcon использует технологию веб-внедрения, которая имитирует интерфейс легальных сервисов, побуждая пользователей неосознанно вводить свои регистрационные данные и коды двухфакторной аутентификации непосредственно в формы, контролируемые вредоносным ПО.

После установки Falcon использует приложение-дроппер, которое инициирует загрузку вредоносного ПО, часто распространяемого с помощью тактики фишинга. Процесс установки включает в себя запрос пользователям разрешений, которые затем используются для операционных нужд троянца. Анализ кода вредоносного ПО показывает, что оно автоматизирует этот процесс предоставления разрешений, используя элементы пользовательского интерфейса для выполнения кликов, которые кажутся пользователю безобидными.

FalconRAT собирает конфиденциальную информацию, включая SMS-сообщения для двухфакторной аутентификации, протоколирует звонки и входящие сообщения для дальнейшего использования. Примечательно, что при обнаружении определенных системных действий, таких как попытки удалить приложение или проверить установленные приложения, вредоносное ПО использует различные стратегии, чтобы помешать вмешательству пользователя, включая скрытие интерфейсов и перенаправление действий пользователя обратно на главный экран.

Кроме того, вредоносное ПО может отправлять индивидуальные или массовые SMS-сообщения с устройств компрометации, позволяя своим операторам распространять угрозу дальше. Приложение обладает механизмами самосохранения, что делает его устойчивым к удалению и встроенному антивирусному обнаружению на устройствах Android. Важно отметить, что его поведение предполагает намеренный обход, чтобы избежать нацеливания на пользователей из определенных регионов, таких как США и Австралия, что указывает на уровень оперативной секретности злоумышленников.

Чтобы снизить риски, связанные с FalconRAT, эксперты по безопасности рекомендуют соблюдать осторожность, например, избегать неизвестных контактов, загружать приложения только из признанных официальных магазинов и тщательно проверять разрешения, запрашиваемые установленными приложениями. Пользователям следует проявлять бдительность в отношении ненормального поведения устройств, которое может указывать на наличие такого вредоносного ПО. Эти выводы подчеркивают меняющийся ландшафт киберугроз и изощренные методы, используемые злоумышленниками для использования уязвимостей в поведении пользователей и безопасности устройств.

#ParsedReport #CompletenessLow
11-03-2026

RondoDox Botnet: From Zero to 174 Exploited Vulnerabilities

https://www.bitsight.com/blog/rondodox-botnet-infrastructure-analysis

Report completeness: Low

Threats:
Rondodox
Rapperbot
Mirai
Xmrig_miner
React2shell_vuln

Victims:
Iot devices, Internet exposed services, Residential isp customers

Industry:
Ics, Telco, Iot, Media

Geo:
Sweden, America, Tunisia, Canada, Brazil, Netherlands, Germany, Iran, China, Congo, Russia

CVEs:
CVE-2025-37164 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hpe oneview (le10.20.00)

CVE-2025-32756 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimail (<7.0.9, <7.2.8, <7.4.5, <7.6.3)
- fortinet fortindr (<7.0.7, <7.2.5, <7.4.8, 1.1.0, 1.2.0)
- fortinet fortirecorder (<6.4.6, <7.0.6, <7.2.4)
- fortinet fortivoice (<6.4.11, <7.0.7, 7.2.0)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2025-52089 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- totolink n300rb_firmware (8.54)

CVE-2025-24016 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wazuh (<4.9.1)

CVE-2025-24893 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- xwiki (<15.10.11, <16.4.1, 5.3)

CVE-2025-57296 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tenda ac6_firmware (15.03.05.19)

CVE-2025-47812 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wftpserver wing_ftp_server (<7.4.4)

CVE-2025-62593 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-48827 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.7.5, le6.0.3)

CVE-2025-20281 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco identity_services_engine (3.3.0, 3.4.0)
- cisco identity_services_engine_passive_identity_connector (3.3.0, 3.4.0)


ChatGPT TTPs:
do not use without manual check
T1037, T1059.004, T1105, T1190, T1496, T1595

IOCs:
File: 1
Domain: 2
IP: 37
Hash: 1

Soft:
Twitter, Android

Platforms:
m68k, mips

Links:
https://github.com/ray-project/ray/security/advisories/GHSA-q279-jhrf-cc6v
https://github.com/bitsight-research/threat\_research/tree/main/rondodox
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет RondoDox использовал 174 уязвимости, достигая максимума в 15 000 попыток эксплуатации ежедневно, и в основном использует для компрометации IP-адреса резидентов. Он нацелен на устройства с уязвимостями Удаленного Выполнения Кода (RCE), выполняя сценарий оболочки для инициирования различных вредоносных действий, включая запуск майнера XMRig. Недавно ботнет перешел к более целенаправленному подходу к эксплуатации, сосредоточив внимание на новых уязвимостях, таких как CVE-2023-46604 и CVE-2025-55182, с признаками постоянного совершенствования методов эксплуатации.
-----

Ботнет RondoDox привлек к себе внимание благодаря широкому использованию эксплойтов, в которых, как сообщается, реализовано 174 различных уязвимости, что является заметной фигурой в области киберугроз. Этот ботнет продемонстрировал агрессивное поведение, достигнув максимума в 15 000 попыток эксплуатации за один день, и, по-видимому, использует IP-адреса с компрометацией как часть своей инфраструктуры. Злоумышленники, стоящие за RondoDox, активно отслеживают информацию об уязвимостях и сумели использовать некоторые уязвимости до их публикации Common Vulnerability and Exposure (CVE). Первоначально применяя точечный метод эксплуатации, акторы переходят к более целенаправленному подходу, фокусируясь на недавних уязвимостях.

Цепочка заражения RondoDox отражает множество других ботнет, в частности Mirai; однако его основная функция заключается в выполнении атак типа "Отказ в обслуживании" (DoS), а не в сканировании и эксплуатации различных систем, как это делает Mirai. RondoDox работает путем сканирования устройств с уязвимостями Удаленного Выполнения Кода (RCE) для извлечения и выполнения сценария оболочки на целевом устройстве. В качестве примера приводится эксплойт, нацеленный на не прошедшую проверку подлинности уязвимость RCE в устройствах Linksys. После запуска вредоносное ПО выполняет различные действия, такие как попытка удалить другое вредоносное ПО, настройка закрепления и запуск майнера XMRig для дальнейшего использования системы.

Анализ инфраструктуры RondoDox's показывает зависимость как от ее фреймворка для эксплуатации, так и от возможностей хостинга. Показатели активности RondoDox's включают постоянное использование термина "rondo" в скриптах и заметные Адреса эл. почты в заголовках User-Agent. Работа ботнет охватывает множество IP-адресов, классифицированных либо как эксплуатирующая, либо как хостинговая инфраструктура, в основном полученная от известных хостинг-провайдеров, которые принимают платежи в криптовалюте. Дополнительное наблюдение указывает на подозрительные открытые сервисы на некоторых жилых IP-адресах, намекая на потенциальную компрометацию.

Эволюция ботнете RondoDox демонстрирует заметное сокращение числа эксплуатируемых уязвимостей, сократившись примерно с 40 обнаруженных уязвимостей до всего двух по состоянию на начало января 2026 года. Это изменение подчеркивает адаптацию злоумышленников к использованию новых уязвимостей, таких как CVE-2023-46604 и CVE-2025-55182, последняя из которых была использована всего через несколько дней после ее раскрытия. Примечательно, что некоторые уязвимости демонстрировали проблемы при внедрении эксплойтов, что говорит о том, что злоумышленники все еще совершенствуют свои методы эксплуатации.

Хотя появились заявления об использовании RondoDox инфраструктур "Загрузчик как услуга" и возможностей распределенного командования и контроля (C2), они были встречены скептически. Расследования показывают, что некоторые показатели могут не отражать злонамеренный умысел и вместо этого указывать на использование компрометации, но обычных хостов для размещения и контроля функций.

#ParsedReport #CompletenessLow
11-03-2026

PixRevolution: The Agent-Operated Android Trojan Hijacking Brazils PIX Payments in Real Time

https://zimperium.com/blog/pixrevolution-the-agent-operated-android-trojan-hijacking-brazils-pix-payments-in-real-time

Report completeness: Low

Threats:
Pixrevolution

Victims:
Financial institutions, Mobile banking users

Industry:
Financial, Government

Geo:
Ita, Brazil, Polish, Portuguese, Brazilian, India, Brasil

TTPs:
Tactics: 7
Technics: 10

Soft:
Android, Google Play

Algorithms:
base64

Functions:
onInstallFinished, isEditable, dispatchGesture, getBoundsInScreen

Links:
https://github.com/Zimperium/IOC/tree/master/2026-03-PixRevolution

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PixRevolution - это банковский троян для Android, нацеленный на бразильскую платежную систему PIX, использующий ее мгновенный характер транзакций для перехвата средств в режиме реального времени. Он использует тактику обмана, представляя поддельный экран загрузки во время транзакций, и привлекает людей-операторов для манипулирования процессом именно в моменты подтверждения. Вредоносное ПО проникает на устройства через поддельные списки приложений, отслеживает изменения пользовательского интерфейса для финансовой активности и осуществляет захват экрана в режиме реального времени, чтобы облегчить мошенническое перенаправление платежей, что делает его адаптируемым и сложным для статической защиты.
-----

PixRevolution - это новый банковский троян для Android, нацеленный на бразильскую систему мгновенных платежей PIX. Он перехватывает средства во время транзакций в режиме реального времени с необходимым привлечением операторов-людей или искусственного интеллекта. Вредоносное ПО активируется, когда пользователь инициирует перевод PIX, отображая поддельный индикатор загрузки при перенаправлении платежей злоумышленникам. Заражение обычно происходит через поддельные страницы магазина Google Play. Некоторые варианты вредоносного ПО действуют как дропперы, автоматически устанавливая троянца с помощью Android PackageInstaller API. После установки он прослушивает события устройства и отслеживает изменения пользовательского интерфейса для финансовых транзакций, используя MediaProjection API для Захвата экрана в режиме реального времени. Когда транзакция обнаружена, она накладывает счетчик загрузки, изменяет информацию о получателе и имитирует нажатие подтверждения. PixRevolution адаптируется к различным макетам приложений без использования жестко заданного списка целевых объектов. Его сложная модель взаимодействия с людьми повышает эффективность атак, противодействуя традиционным мерам безопасности. Это вредоносное ПО создает значительные риски необратимых финансовых потерь для пользователей, что требует срочного обнаружения и вмешательства.

#ParsedReport #CompletenessMedium
11-03-2026

APT Profile Earth Lusca

https://www.cyfirma.com/research/apt-profile-earth-lusca/

Report completeness: Medium

Actors/Campaigns:
Earth_lusca (motivation: information_theft, cyber_espionage, financially_motivated)
Winnti

Threats:
Spyder
Sodamaster
Shadowpad
Xdealer
Reshell
Ktlvdoor
Cobalt_strike_tool
Spear-phishing_technique
Steganography_technique
Credential_dumping_technique
Dcsync_technique

Victims:
Government, Media, Telecommunications, Academic organizations, Religious organizations, Cryptocurrency platforms, Technology

Industry:
Government, Telco

Geo:
Asia-pacific, China, Asia

CVEs:
CVE-2024-23897 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- jenkins (<2.426.3, <2.442)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2022-21587 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle e-business_suite (le12.2.11)

CVE-2023-32315 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- igniterealtime openfire (<4.6.8, <4.7.5)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2021-22555 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- netapp c400_firmware (-)


TTPs:
Tactics: 13
Technics: 44

Soft:
CHROMIUM, Linux, Openfire, Jenkins, Windows Service

Languages:
visual_basic, javascript, powershell, java, python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4