#ParsedReport #CompletenessHigh
12-03-2026
Operation Roundish: Uncovering an APT28 Roundcube Toolkit Used Against Ukrainian Government Targets
https://hunt.io/blog/operation-roundish-apt28-roundcube-exploitation
Report completeness: High
Actors/Campaigns:
Roundish
Fancy_bear
Roundpress
Threats:
Ligolo-ng_tool
Typosquatting_technique
Dead_drop_technique
Credential_harvesting_technique
Spypress
Metasploit_tool
Meterpreter_tool
Spear-phishing_technique
Victims:
Ukrainian state migration service, Government, Defense, Webmail users, Isp firewall configuration
Industry:
Telco, Government, Military
Geo:
Indian, Germany, Romanian, Russian, Ukrainian, Polish, Ukraine, Russia, India, French
TTPs:
Tactics: 7
Technics: 20
IOCs:
Domain: 5
IP: 5
File: 29
Url: 1
Email: 1
Hash: 2
Soft:
Roundcube, OpenSSH, Ubuntu, Firefox, Chrome, Linux, systemd, SELinux, MDaemon, Zimbra, have more...
Algorithms:
aes-gcm, base64, md5, sha256
Functions:
log_visit, is_credential_exists, genResponse, getChromeCredentialsAndSend, downd, eval, addressbook, btoa, addRedirectMailBox, getUserCredentials, have more...
Languages:
javascript, python, php, powershell
Links:
have more...
12-03-2026
Operation Roundish: Uncovering an APT28 Roundcube Toolkit Used Against Ukrainian Government Targets
https://hunt.io/blog/operation-roundish-apt28-roundcube-exploitation
Report completeness: High
Actors/Campaigns:
Roundish
Fancy_bear
Roundpress
Threats:
Ligolo-ng_tool
Typosquatting_technique
Dead_drop_technique
Credential_harvesting_technique
Spypress
Metasploit_tool
Meterpreter_tool
Spear-phishing_technique
Victims:
Ukrainian state migration service, Government, Defense, Webmail users, Isp firewall configuration
Industry:
Telco, Government, Military
Geo:
Indian, Germany, Romanian, Russian, Ukrainian, Polish, Ukraine, Russia, India, French
TTPs:
Tactics: 7
Technics: 20
IOCs:
Domain: 5
IP: 5
File: 29
Url: 1
Email: 1
Hash: 2
Soft:
Roundcube, OpenSSH, Ubuntu, Firefox, Chrome, Linux, systemd, SELinux, MDaemon, Zimbra, have more...
Algorithms:
aes-gcm, base64, md5, sha256
Functions:
log_visit, is_credential_exists, genResponse, getChromeCredentialsAndSend, downd, eval, addressbook, btoa, addRedirectMailBox, getUserCredentials, have more...
Languages:
javascript, python, php, powershell
Links:
have more...
https://github.com/cgvwzqhunt.io
Operation Roundish: Uncovering an APT28 Roundcube Exploitation Toolkit Targeting Ukraine
Hunt.io investigation uncovered Operation Roundish, an APT28 toolkit used to exploit Roundcube webmail and target Ukrainian government systems. Learn more.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-03-2026 Operation Roundish: Uncovering an APT28 Roundcube Toolkit Used Against Ukrainian Government Targets https://hunt.io/blog/operation-roundish-apt28-roundcube-exploitation Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Roundish раскрывает новые возможности APT28, ориентированные на платформу веб-почты Roundcube, используемую украинским правительством. Операция включает в себя сложный набор инструментов эксплуатации, включающий серверы управления, полезные нагрузки XSS и имплантат Go, позволяющий использовать передовые методы сбора учетных записей и эксфильтрации электронной почты. Ключевые функции включают скрытые поля автозаполнения для сбора учетных данных и C2 на базе Flask, который собирает данные при сохранении постоянного доступа, выявляя уязвимости в инфраструктурах веб-почты.
-----
Операция Roundish выявила новые возможности, используемые группой APT28, также известной как Fancy Bear, в частности, нацеленные на платформу веб-почты Roundcube, используемую украинскими государственными структурами. Исследователи обнаружили полный набор инструментов для эксплуатации через открытый каталог, содержащий различные компоненты, такие как серверы управления (C2), полезные нагрузки для межсайтовых сценариев (XSS) и имплантат на основе Go под названием "httd"..
Инструментарий особенно примечателен тем, что в нем используются передовые методы сбора учетных записей, постоянной пересылки электронной почты, массовой эксфильтрации электронной почты и извлечения секретов двухфакторной аутентификации (2FA). Он интегрирует метод внедрения CSS, обеспечивая атаку по побочному каналу для постепенного извлечения конфиденциальных данных без внедрения JavaScript в среду жертвы. Технология Roundish в значительной степени совпадает с предыдущими операциями APT28, включая операцию RoundPress, что усиливает оценку сплоченной общей линии разработки.
Среди своих усовершенствований Roundish использует скрытые поля автозаполнения для получения учетных данных из Менеджеров паролей браузера, демонстрируя глубокое понимание уязвимостей платформы веб-почты. Примечательно, что сервер C2 обеспечивает плавную эксфильтрацию конфиденциальной информации через выделенный адрес электронной почты, используя сетчатые фильтры на стороне сервера для избыточности, которые остаются активными, несмотря на возможные изменения в учетных данных учетной записи или серверной инфраструктуре.
Основные компоненты операции включают структуру C2 на основе Flask, которая не только размещает страницы фишинга, но и регистрирует взаимодействия посетителей, облегчая обширный сбор данных о целевых объектах. Ключевые компоненты включают модуль фишинга учетных данных, полезные нагрузки XSS, которые могут выполнять несколько операций одновременно при заражении, и механизмы для сохранения доступа через задания cron или Службы systemd в средах компрометации.
Кроме того, инструментарий выявляет уязвимости в кросс-платформенном управлении учетными данными и электронной почтой, что указывает на более широкую операционную стратегию, которая использует существующие слабые места в инфраструктурах веб-почты для поддержания постоянного доступа к конфиденциальным сообщениям и данным.
Постоянное внимание APT28 к цифровой инфраструктуре Украины подчеркивает важность мониторинга и защиты служб веб-почты как от фишинга, так и от последующих вредоносных действий. Организации должны применять надежные процедуры аудита Правил пересылки эл. почты, сетевые фильтры и другие механизмы безопасности, а также уделять особое внимание комплексным стратегиям информационной безопасности для эффективного предотвращения проникновения сложных целенаправленных угроз (APT).
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Roundish раскрывает новые возможности APT28, ориентированные на платформу веб-почты Roundcube, используемую украинским правительством. Операция включает в себя сложный набор инструментов эксплуатации, включающий серверы управления, полезные нагрузки XSS и имплантат Go, позволяющий использовать передовые методы сбора учетных записей и эксфильтрации электронной почты. Ключевые функции включают скрытые поля автозаполнения для сбора учетных данных и C2 на базе Flask, который собирает данные при сохранении постоянного доступа, выявляя уязвимости в инфраструктурах веб-почты.
-----
Операция Roundish выявила новые возможности, используемые группой APT28, также известной как Fancy Bear, в частности, нацеленные на платформу веб-почты Roundcube, используемую украинскими государственными структурами. Исследователи обнаружили полный набор инструментов для эксплуатации через открытый каталог, содержащий различные компоненты, такие как серверы управления (C2), полезные нагрузки для межсайтовых сценариев (XSS) и имплантат на основе Go под названием "httd"..
Инструментарий особенно примечателен тем, что в нем используются передовые методы сбора учетных записей, постоянной пересылки электронной почты, массовой эксфильтрации электронной почты и извлечения секретов двухфакторной аутентификации (2FA). Он интегрирует метод внедрения CSS, обеспечивая атаку по побочному каналу для постепенного извлечения конфиденциальных данных без внедрения JavaScript в среду жертвы. Технология Roundish в значительной степени совпадает с предыдущими операциями APT28, включая операцию RoundPress, что усиливает оценку сплоченной общей линии разработки.
Среди своих усовершенствований Roundish использует скрытые поля автозаполнения для получения учетных данных из Менеджеров паролей браузера, демонстрируя глубокое понимание уязвимостей платформы веб-почты. Примечательно, что сервер C2 обеспечивает плавную эксфильтрацию конфиденциальной информации через выделенный адрес электронной почты, используя сетчатые фильтры на стороне сервера для избыточности, которые остаются активными, несмотря на возможные изменения в учетных данных учетной записи или серверной инфраструктуре.
Основные компоненты операции включают структуру C2 на основе Flask, которая не только размещает страницы фишинга, но и регистрирует взаимодействия посетителей, облегчая обширный сбор данных о целевых объектах. Ключевые компоненты включают модуль фишинга учетных данных, полезные нагрузки XSS, которые могут выполнять несколько операций одновременно при заражении, и механизмы для сохранения доступа через задания cron или Службы systemd в средах компрометации.
Кроме того, инструментарий выявляет уязвимости в кросс-платформенном управлении учетными данными и электронной почтой, что указывает на более широкую операционную стратегию, которая использует существующие слабые места в инфраструктурах веб-почты для поддержания постоянного доступа к конфиденциальным сообщениям и данным.
Постоянное внимание APT28 к цифровой инфраструктуре Украины подчеркивает важность мониторинга и защиты служб веб-почты как от фишинга, так и от последующих вредоносных действий. Организации должны применять надежные процедуры аудита Правил пересылки эл. почты, сетевые фильтры и другие механизмы безопасности, а также уделять особое внимание комплексным стратегиям информационной безопасности для эффективного предотвращения проникновения сложных целенаправленных угроз (APT).
#ParsedReport #CompletenessHigh
12-03-2026
Handala Hack Unveiling Groups Modus Operandi
https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
Report completeness: High
Actors/Campaigns:
Handala-hacking-team
Handala (motivation: propaganda)
Void_manticore
Scarred_manticore
Threats:
Supply_chain_technique
Handala_wiper
Karma
Netbird_tool
Adrecon_tool
Credential_dumping_technique
Victims:
Government, Telecom, It and service providers, Us organizations, Stryker
Industry:
Healthcare, Telco, Government
Geo:
Iranian, Iran, Palestinian, Albania, Israeli, Israel
TTPs:
Tactics: 7
Technics: 18
IOCs:
Command: 1
Path: 1
File: 6
IP: 4
Hash: 5
Soft:
Starlink, Windows Defender, Active Directory, VeraCrypt
Algorithms:
exhibit
Languages:
powershell
12-03-2026
Handala Hack Unveiling Groups Modus Operandi
https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
Report completeness: High
Actors/Campaigns:
Handala-hacking-team
Handala (motivation: propaganda)
Void_manticore
Scarred_manticore
Threats:
Supply_chain_technique
Handala_wiper
Karma
Netbird_tool
Adrecon_tool
Credential_dumping_technique
Victims:
Government, Telecom, It and service providers, Us organizations, Stryker
Industry:
Healthcare, Telco, Government
Geo:
Iranian, Iran, Palestinian, Albania, Israeli, Israel
TTPs:
Tactics: 7
Technics: 18
IOCs:
Command: 1
Path: 1
File: 6
IP: 4
Hash: 5
Soft:
Starlink, Windows Defender, Active Directory, VeraCrypt
Algorithms:
exhibit
Languages:
powershell
Check Point Research
“Handala Hack” - Unveiling Group's Modus Operandi - Check Point Research
Key Findings Introduction Handala Hack, also tracked by Check Point Research as Void Manticore, is an Iranian threat actor that is known for multiple destructive wiping attacks combined with “hack and leak” operations. The threat actor operates several online…
CTT Report Hub
#ParsedReport #CompletenessHigh 12-03-2026 Handala Hack Unveiling Groups Modus Operandi https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/ Report completeness: High Actors/Campaigns: Handala-hacking-team Handala (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Handala Hack, связанный с иранским MOIS через злоумышленника Void Manticore, использует деструктивные стратегии удаления и взлома с утечкой информации, нацеленные на различные организации, включая американские фирмы. Их методы включают использование компрометации VPN для доступа, ручное перемещение внутри компании в основном через RDP и недавно интегрированное программное обеспечение для туннелирования NetBird для улучшения управления сетевым трафиком. Они используют Handala Wiper, состоящий из пользовательского исполняемого файла и сценария PowerShell для комплексного Уничтожения данных, наряду с методами сбора учетных записей, такими как сброс памяти из LSASS.
-----
Handala Hack, онлайн-персона, связанная с Министерством разведки и безопасности Ирана (MOIS) через злоумышленника Void Manticore, использует комбинацию разрушительных атак на удаление данных и стратегий взлома и утечки. У этого актора есть различные оперативные направления, включая Karma и Homeland Justice, причем в последнее время активность возросла и нацелена не только на Израиль и Албанию, но и на организации, базирующиеся в США, такие как медицинская технологическая фирма Stryker.
Тактика, методы и процедуры Handala Hack's (TTP) остаются особенно последовательными, уделяя особое внимание быстрому практическому взаимодействию в сетях жертв. Группа в значительной степени полагается на традиционные методы, такие как использование учетных данных для компрометации VPN для первоначального доступа и ручных операций для перемещения внутри компании, преимущественно используя Протокол удаленного рабочего стола (RDP). Значительное развитие включает в себя использование NetBird, программного обеспечения для туннелирования, для оптимизации трафика между сетями, способствующего более плавному перемещению внутри компании во время их атак. Кроме того, злоумышленник также включил в свой арсенал сценарий PowerShell с поддержкой искусственного интеллекта, чтобы повысить эффективность своих действий по удалению.
Во время своих атак Void Manticore использует несколько методов очистки одновременно, чтобы максимально увеличить Уничтожение данных. Основной инструмент разрушения, известный как Handala Wiper, работает с использованием двухкомпонентного подхода: пользовательского исполняемого файла и сценария PowerShell, оба из которых развертываются с использованием сценариев входа в групповую политику в сети компрометации. Эти компоненты активно перезаписывают и повреждают данные, используя методы очистки главной загрузочной записи (MBR), что значительно усложняет усилия по восстановлению. Последовательности событий обычно демонстрируют схему получения постоянного доступа за месяцы до совершения деструктивных действий с использованием методов разведки и сбора учетных записей.
Что касается кражи учетных данных, Handala Hack использует различные методы, включая методы сброса памяти в службу подсистемы управления локальной безопасностью (LSASS) и экспорт конфиденциальных данных реестра для защиты учетных данных администратора домена. Группа также известна снижением уровня операционной безопасности, иногда подключаясь напрямую с иранских IP-адресов вместо маршрутизации через установленные узлы VPN, что указывает на потенциальный сдвиг в их операционной дисциплине.
Во время разрушительных этапов, как отмечалось в конкретных инцидентах, операторы продемонстрировали универсальность, удалив виртуальные машины и файлы вручную в дополнение к своим автоматическим процессам очистки. Использование легального программного обеспечения, такого как VeraCrypt, для шифрования дисков усложняет методы их уничтожения, усложняя восстановление для жертв, даже если другие механизмы очистки не работают.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Handala Hack, связанный с иранским MOIS через злоумышленника Void Manticore, использует деструктивные стратегии удаления и взлома с утечкой информации, нацеленные на различные организации, включая американские фирмы. Их методы включают использование компрометации VPN для доступа, ручное перемещение внутри компании в основном через RDP и недавно интегрированное программное обеспечение для туннелирования NetBird для улучшения управления сетевым трафиком. Они используют Handala Wiper, состоящий из пользовательского исполняемого файла и сценария PowerShell для комплексного Уничтожения данных, наряду с методами сбора учетных записей, такими как сброс памяти из LSASS.
-----
Handala Hack, онлайн-персона, связанная с Министерством разведки и безопасности Ирана (MOIS) через злоумышленника Void Manticore, использует комбинацию разрушительных атак на удаление данных и стратегий взлома и утечки. У этого актора есть различные оперативные направления, включая Karma и Homeland Justice, причем в последнее время активность возросла и нацелена не только на Израиль и Албанию, но и на организации, базирующиеся в США, такие как медицинская технологическая фирма Stryker.
Тактика, методы и процедуры Handala Hack's (TTP) остаются особенно последовательными, уделяя особое внимание быстрому практическому взаимодействию в сетях жертв. Группа в значительной степени полагается на традиционные методы, такие как использование учетных данных для компрометации VPN для первоначального доступа и ручных операций для перемещения внутри компании, преимущественно используя Протокол удаленного рабочего стола (RDP). Значительное развитие включает в себя использование NetBird, программного обеспечения для туннелирования, для оптимизации трафика между сетями, способствующего более плавному перемещению внутри компании во время их атак. Кроме того, злоумышленник также включил в свой арсенал сценарий PowerShell с поддержкой искусственного интеллекта, чтобы повысить эффективность своих действий по удалению.
Во время своих атак Void Manticore использует несколько методов очистки одновременно, чтобы максимально увеличить Уничтожение данных. Основной инструмент разрушения, известный как Handala Wiper, работает с использованием двухкомпонентного подхода: пользовательского исполняемого файла и сценария PowerShell, оба из которых развертываются с использованием сценариев входа в групповую политику в сети компрометации. Эти компоненты активно перезаписывают и повреждают данные, используя методы очистки главной загрузочной записи (MBR), что значительно усложняет усилия по восстановлению. Последовательности событий обычно демонстрируют схему получения постоянного доступа за месяцы до совершения деструктивных действий с использованием методов разведки и сбора учетных записей.
Что касается кражи учетных данных, Handala Hack использует различные методы, включая методы сброса памяти в службу подсистемы управления локальной безопасностью (LSASS) и экспорт конфиденциальных данных реестра для защиты учетных данных администратора домена. Группа также известна снижением уровня операционной безопасности, иногда подключаясь напрямую с иранских IP-адресов вместо маршрутизации через установленные узлы VPN, что указывает на потенциальный сдвиг в их операционной дисциплине.
Во время разрушительных этапов, как отмечалось в конкретных инцидентах, операторы продемонстрировали универсальность, удалив виртуальные машины и файлы вручную в дополнение к своим автоматическим процессам очистки. Использование легального программного обеспечения, такого как VeraCrypt, для шифрования дисков усложняет методы их уничтожения, усложняя восстановление для жертв, даже если другие механизмы очистки не работают.
#ParsedReport #CompletenessMedium
13-03-2026
Unmasking SilverFoxs New Trends: Decoding Evasion Tactics, Domain Impersonation, and Mass-Generated Fake Software
https://medium.com/@knownsec404team/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain-impersonation-and-8a7f03571186
Report completeness: Medium
Actors/Campaigns:
Silver_fox (motivation: information_theft)
Threats:
Gh0st_rat
Typosquatting_technique
Winos
Todesk_tool
Dns_tunneling_technique
Victims:
Government, Universities, Large enterprises, Financial institutions
Industry:
Government, Education, Financial
Geo:
China, Hong kong
ChatGPT TTPs:
T1027, T1036.003, T1041, T1056.001, T1059.007, T1105, T1113, T1204.001, T1562.001, T1566.002, have more...
IOCs:
Domain: 13
Url: 13
Soft:
WeChat, WhatsApp, DingTalk, Feishu, Telegram
Languages:
javascript
13-03-2026
Unmasking SilverFoxs New Trends: Decoding Evasion Tactics, Domain Impersonation, and Mass-Generated Fake Software
https://medium.com/@knownsec404team/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain-impersonation-and-8a7f03571186
Report completeness: Medium
Actors/Campaigns:
Silver_fox (motivation: information_theft)
Threats:
Gh0st_rat
Typosquatting_technique
Winos
Todesk_tool
Dns_tunneling_technique
Victims:
Government, Universities, Large enterprises, Financial institutions
Industry:
Government, Education, Financial
Geo:
China, Hong kong
ChatGPT TTPs:
do not use without manual checkT1027, T1036.003, T1041, T1056.001, T1059.007, T1105, T1113, T1204.001, T1562.001, T1566.002, have more...
IOCs:
Domain: 13
Url: 13
Soft:
WeChat, WhatsApp, DingTalk, Feishu, Telegram
Languages:
javascript
Medium
Unmasking SilverFox’s New Trends: Decoding Evasion Tactics, Domain Impersonation, and…
Author: Knownsec 404 Advanced Threat Intelligence Team
CTT Report Hub
#ParsedReport #CompletenessMedium 13-03-2026 Unmasking SilverFoxs New Trends: Decoding Evasion Tactics, Domain Impersonation, and Mass-Generated Fake Software https://medium.com/@knownsec404team/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SilverFox - это киберугроза, нацеленная на государственный и финансовый секторы, использующая такие методы, как WeChat, QQ и электронные письма с фишингом, для распространения троянского вредоносного ПО для удаленного управления и кражи данных. Они эксплуатируют поведение пользователей с помощью методов фишинга, которые принудительно загружают файлы через измененные веб-элементы, и используют тактику Имперсонации домена, такую как typo-squatting и манипулирование DNS, для создания поддельного программного обеспечения, ориентированного на конкретные отрасли. Их модульная библиотека вредоносного ПО позволяет проводить кастомные атаки, включая Регистрацию нажатий клавиш и эксфильтрацию данных, что значительно повышает масштабируемость и эффективность их кампаний.
-----
SilverFox ориентирован на управленческий и финансовый персонал государственных учреждений, университетов и крупных организаций. Группа использует WeChat, QQ, электронные письма с фишингом и сайты с контрафактным программным обеспечением для доставки троянского вредоносного ПО для удаленного управления, кражи данных и финансового мошенничества. Их деятельность эволюционировала из-за утечки исходного кода Gh0st. Стратегии фишинга используют поведение пользователей с помощью передовых методов уклонения, используя JavaScript на страницах, чтобы замаскировать триггеры загрузки и избежать обнаружения. Группа изменяет кнопки действий для инициирования загрузки, требуя от пользователей непреднамеренного взаимодействия с вредоносными пакетами. SilverFox использует методы Имперсонации домена, включая typo-squatting, захват домена и манипулирование DNS, для имитации законных сайтов, особенно уделяя особое внимание таким регионам, как Хэйлунцзян, Гонконг и Шанхай. Автоматизированные методы массовой генерации позволяют создавать специально разработанное поддельное программное обеспечение, значительно расширяя масштабы своих атакующих кампаний. Их модульная библиотека вредоносного ПО позволяет использовать кастомные полезные программы для Регистрации нажатий клавиш и эксфильтрации данных, нацеленных на финансовые учреждения и правительственные учреждения. Защитные меры против SilverFox должны включать в себя анализ угроз на основе Искусственного интеллекта, поведенческую аналитику для мониторинга доступа пользователей и фильтрацию DNS для снижения рисков. Расширенное обучение пользователей и межведомственное сотрудничество имеют важное значение для обороны. Для ограничения угрозы SilverFox's и повышения устойчивости необходимы постоянный мониторинг, блокирование, пересмотр и повторение мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SilverFox - это киберугроза, нацеленная на государственный и финансовый секторы, использующая такие методы, как WeChat, QQ и электронные письма с фишингом, для распространения троянского вредоносного ПО для удаленного управления и кражи данных. Они эксплуатируют поведение пользователей с помощью методов фишинга, которые принудительно загружают файлы через измененные веб-элементы, и используют тактику Имперсонации домена, такую как typo-squatting и манипулирование DNS, для создания поддельного программного обеспечения, ориентированного на конкретные отрасли. Их модульная библиотека вредоносного ПО позволяет проводить кастомные атаки, включая Регистрацию нажатий клавиш и эксфильтрацию данных, что значительно повышает масштабируемость и эффективность их кампаний.
-----
SilverFox ориентирован на управленческий и финансовый персонал государственных учреждений, университетов и крупных организаций. Группа использует WeChat, QQ, электронные письма с фишингом и сайты с контрафактным программным обеспечением для доставки троянского вредоносного ПО для удаленного управления, кражи данных и финансового мошенничества. Их деятельность эволюционировала из-за утечки исходного кода Gh0st. Стратегии фишинга используют поведение пользователей с помощью передовых методов уклонения, используя JavaScript на страницах, чтобы замаскировать триггеры загрузки и избежать обнаружения. Группа изменяет кнопки действий для инициирования загрузки, требуя от пользователей непреднамеренного взаимодействия с вредоносными пакетами. SilverFox использует методы Имперсонации домена, включая typo-squatting, захват домена и манипулирование DNS, для имитации законных сайтов, особенно уделяя особое внимание таким регионам, как Хэйлунцзян, Гонконг и Шанхай. Автоматизированные методы массовой генерации позволяют создавать специально разработанное поддельное программное обеспечение, значительно расширяя масштабы своих атакующих кампаний. Их модульная библиотека вредоносного ПО позволяет использовать кастомные полезные программы для Регистрации нажатий клавиш и эксфильтрации данных, нацеленных на финансовые учреждения и правительственные учреждения. Защитные меры против SilverFox должны включать в себя анализ угроз на основе Искусственного интеллекта, поведенческую аналитику для мониторинга доступа пользователей и фильтрацию DNS для снижения рисков. Расширенное обучение пользователей и межведомственное сотрудничество имеют важное значение для обороны. Для ограничения угрозы SilverFox's и повышения устойчивости необходимы постоянный мониторинг, блокирование, пересмотр и повторение мер безопасности.
#ParsedReport #CompletenessHigh
12-03-2026
China-nexus Threat Actor Targets Persian Gulf Region With PlugX
https://www.zscaler.com/blogs/security-research/china-nexus-threat-actor-targets-persian-gulf-region-plugx
Report completeness: High
Actors/Campaigns:
Red_delta
Threats:
Plugx_rat
Dll_sideloading_technique
Dll_injection_technique
Doplugs
Lotuslite
Uac_bypass_technique
Fodhelper_technique
Junk_code_technique
Victims:
Government users in persian gulf region
Geo:
Middle east, Iranian, Bahrain, China
TTPs:
Tactics: 7
Technics: 32
IOCs:
Url: 2
File: 11
Path: 3
IP: 1
Hash: 9
Soft:
cURL, Windows service
Algorithms:
xor, prng, rc4, lznt1, zip
Functions:
DLL
Win API:
RegSetValueExA, GetCommandLineW, CreateProcessAsUserW, VirtualAlloc, RtlDecompressBuffer, decompress
Languages:
python
12-03-2026
China-nexus Threat Actor Targets Persian Gulf Region With PlugX
https://www.zscaler.com/blogs/security-research/china-nexus-threat-actor-targets-persian-gulf-region-plugx
Report completeness: High
Actors/Campaigns:
Red_delta
Threats:
Plugx_rat
Dll_sideloading_technique
Dll_injection_technique
Doplugs
Lotuslite
Uac_bypass_technique
Fodhelper_technique
Junk_code_technique
Victims:
Government users in persian gulf region
Geo:
Middle east, Iranian, Bahrain, China
TTPs:
Tactics: 7
Technics: 32
IOCs:
Url: 2
File: 11
Path: 3
IP: 1
Hash: 9
Soft:
cURL, Windows service
Algorithms:
xor, prng, rc4, lznt1, zip
Functions:
DLL
Win API:
RegSetValueExA, GetCommandLineW, CreateProcessAsUserW, VirtualAlloc, RtlDecompressBuffer, decompress
Languages:
python
Zscaler
China-nexus Group Targets Persian Gulf Region | ThreatLabz
China-nexus threat actor targets Persian Gulf region with a multi-stage attack chain that deploys a PlugX backdoor.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-03-2026 China-nexus Threat Actor Targets Persian Gulf Region With PlugX https://www.zscaler.com/blogs/security-research/china-nexus-threat-actor-targets-persian-gulf-region-plugx Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2026 года злоумышленник из Китая, потенциально связанный с Mustang Panda, провел киберкампанию, нацеленную на Персидский залив, используя социальную инженерию с вводящим в заблуждение документом на арабском языке. Атака использовала многоступенчатый подход, инициируясь с помощью ZIP-файла, содержащего вредоносный ярлык Windows, который загружал скомпилированный HTML-файл справки с запутыванием, развертывая бэкдор PlugX, оснащенный передовыми методами обфускации для скрытности и закрепления. Вредоносное ПО позволяло проводить обширную разведку и коммуникацию, используя при этом такие методы, как DLL sideloading и DNS-over-HTTPS для операций управления.
-----
В начале марта 2026 года злоумышленник, связанный с Китаем, потенциально связанный с Mustang Panda, запустил киберкампанию, нацеленную на страны региона Персидского залива в условиях эскалации конфликта на Ближнем Востоке. Кампания использовала сложную тактику социальной инженерии, используя документ на арабском языке, в котором ложно изображались ракетные удары, чтобы заманить жертв к запуску вредоносного ПО.
Атака осуществлялась по многоэтапному принципу, начиная с ZIP-архива, содержащего файл ярлыка Windows (LNK), который при выполнении инициировал загрузку вредоносного скомпилированного файла HTML-справки (CHM) с сервера компрометации. Этот CHM-файл содержал запутанный шелл-код, который привел к развертыванию бэкдора PlugX, демонстрирующего передовые методы запутывания, включая сглаживание потока управления (CFF) и смешанную булеву арифметику (MBA).
Во время первого этапа атаки пользователи взаимодействовали с вредоносным файлом LNK с именем "photo_2026-03-01_01-20-48 .pdf.lnk", который выполнил команду cURL для извлечения файла CHM. Этот файл, в свою очередь, содержал множество компонентов, включая поддельный PDF-файл, предназначенный для имитации законных сообщений. На втором этапе был обнаружен вредоносный загрузчик ShellFolderDepend.библиотека dll, вводимая через DLL sideloading, что указывает на сосредоточенность на поддержании закрепления в зараженных системах.
Шелл-код был тщательно разработан, чтобы скрыть его операции. Он использовал расшифровку во время выполнения с помощью пользовательского алгоритма XOR и установил закрепление путем создания записей реестра, чтобы гарантировать повторное появление вредоносного ПО при загрузке системы. Бэкдор PlugX не только укрепил свои каналы связи с использованием HTTPS, но и интегрировал возможность DNS-over-HTTPS (DOH) для повышения скрытности во время операций управления.
Анализ этого варианта PlugX выявил сложности, характерные для предыдущих атак, связанных с акторами China-nexus. Вредоносное ПО продемонстрировало широкое использование обфускации, что усложнило аналитикам процесс обратного проектирования. Бэкдор позволял проводить разведку, облегчая выполнение таких команд, как сбор системной информации, обновление конфигураций и прокси-связь между несколькими экземплярами PlugX.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2026 года злоумышленник из Китая, потенциально связанный с Mustang Panda, провел киберкампанию, нацеленную на Персидский залив, используя социальную инженерию с вводящим в заблуждение документом на арабском языке. Атака использовала многоступенчатый подход, инициируясь с помощью ZIP-файла, содержащего вредоносный ярлык Windows, который загружал скомпилированный HTML-файл справки с запутыванием, развертывая бэкдор PlugX, оснащенный передовыми методами обфускации для скрытности и закрепления. Вредоносное ПО позволяло проводить обширную разведку и коммуникацию, используя при этом такие методы, как DLL sideloading и DNS-over-HTTPS для операций управления.
-----
В начале марта 2026 года злоумышленник, связанный с Китаем, потенциально связанный с Mustang Panda, запустил киберкампанию, нацеленную на страны региона Персидского залива в условиях эскалации конфликта на Ближнем Востоке. Кампания использовала сложную тактику социальной инженерии, используя документ на арабском языке, в котором ложно изображались ракетные удары, чтобы заманить жертв к запуску вредоносного ПО.
Атака осуществлялась по многоэтапному принципу, начиная с ZIP-архива, содержащего файл ярлыка Windows (LNK), который при выполнении инициировал загрузку вредоносного скомпилированного файла HTML-справки (CHM) с сервера компрометации. Этот CHM-файл содержал запутанный шелл-код, который привел к развертыванию бэкдора PlugX, демонстрирующего передовые методы запутывания, включая сглаживание потока управления (CFF) и смешанную булеву арифметику (MBA).
Во время первого этапа атаки пользователи взаимодействовали с вредоносным файлом LNK с именем "photo_2026-03-01_01-20-48 .pdf.lnk", который выполнил команду cURL для извлечения файла CHM. Этот файл, в свою очередь, содержал множество компонентов, включая поддельный PDF-файл, предназначенный для имитации законных сообщений. На втором этапе был обнаружен вредоносный загрузчик ShellFolderDepend.библиотека dll, вводимая через DLL sideloading, что указывает на сосредоточенность на поддержании закрепления в зараженных системах.
Шелл-код был тщательно разработан, чтобы скрыть его операции. Он использовал расшифровку во время выполнения с помощью пользовательского алгоритма XOR и установил закрепление путем создания записей реестра, чтобы гарантировать повторное появление вредоносного ПО при загрузке системы. Бэкдор PlugX не только укрепил свои каналы связи с использованием HTTPS, но и интегрировал возможность DNS-over-HTTPS (DOH) для повышения скрытности во время операций управления.
Анализ этого варианта PlugX выявил сложности, характерные для предыдущих атак, связанных с акторами China-nexus. Вредоносное ПО продемонстрировало широкое использование обфускации, что усложнило аналитикам процесс обратного проектирования. Бэкдор позволял проводить разведку, облегчая выполнение таких команд, как сбор системной информации, обновление конфигураций и прокси-связь между несколькими экземплярами PlugX.
#ParsedReport #CompletenessHigh
12-03-2026
Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia
https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/
Report completeness: High
Actors/Campaigns:
Cl-sta-1087 (motivation: cyber_espionage)
Threats:
Applechris
Memfun
Getpass_tool
Mimikatz_tool
Dll_hijacking_technique
Shadow_copies_delete_technique
Dead_drop_technique
Tunneler
Timestomp_technique
Process_hollowing_technique
Credential_harvesting_technique
Victims:
Military organizations, Military infrastructure
Industry:
Military
Geo:
China, Asian, Asia, Chinese
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1003.001, T1005, T1021.002, T1027, T1036, T1036.005, T1041, T1047, T1055.012, T1057, have more...
IOCs:
IP: 9
File: 8
Hash: 7
Soft:
Dropbox, Windows authentication
Algorithms:
aes, rsa-1024, sha256, xor
Win API:
SeDebugPrivilege
Languages:
powershell
12-03-2026
Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia
https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/
Report completeness: High
Actors/Campaigns:
Cl-sta-1087 (motivation: cyber_espionage)
Threats:
Applechris
Memfun
Getpass_tool
Mimikatz_tool
Dll_hijacking_technique
Shadow_copies_delete_technique
Dead_drop_technique
Tunneler
Timestomp_technique
Process_hollowing_technique
Credential_harvesting_technique
Victims:
Military organizations, Military infrastructure
Industry:
Military
Geo:
China, Asian, Asia, Chinese
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1003.001, T1005, T1021.002, T1027, T1036, T1036.005, T1041, T1047, T1055.012, T1057, have more...
IOCs:
IP: 9
File: 8
Hash: 7
Soft:
Dropbox, Windows authentication
Algorithms:
aes, rsa-1024, sha256, xor
Win API:
SeDebugPrivilege
Languages:
powershell
Unit 42
Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia
An espionage operation demonstrated strategic operational patience against targets in Southeast Asia, deploying custom backdoors.
CTT Report Hub
#ParsedReport #CompletenessHigh 12-03-2026 Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Шпионская операция CL-STA-1087 нацелена на военные организации в Юго-Восточной Азии, атрибутируемые с 2020 года китайским акторам, спонсируемым государством. В нем используется сложное вредоносное ПО, включая универсальный бэкдор AppleChris с несколькими вариантами скрытного выполнения команд и сбора учетных записей через Getpass, а также бэкдор MemFun, работающий только с памятью, использующий process Hollowing. Инфраструктура операции допускает разделение на части и согласована с графиком работы злоумышленников, что указывает на преднамеренную тактику шпионажа.
-----
Подозреваемая шпионская операция, получившая обозначение CL-STA-1087, была идентифицирована как нацеленная на военные организации в Юго-Восточной Азии, вероятно, проводимая спонсируемыми государством акторами из Китая. Эта кампания продолжается по меньшей мере с 2020 года и характеризуется высоконаправленным подходом, направленным на сбор конкретной военной разведывательной информации, а не на массовую кражу данных. Основные инструменты, используемые в этой операции, включают бэкдоры AppleChris и MemFun, а также средство сбора учетных данных, известное как Getpass.
Операционная методология CL-STA-1087 раскрывает сложную стратегию, включающую долгосрочное закрепление и изощренное поведение вредоносного ПО. Изначально бездействующая точка доступа позволяла злоумышленникам выполнять вредоносные скрипты PowerShell, которые устанавливали обратные оболочки для серверов command and control (C2). Разместившись на неуправляемой конечной точке, они расширили свое присутствие по всей сети, используя Инструментарий управления Windows(WMI) и команды .NET, внедряя варианты вредоносного ПО, сохраняя при этом стабильность работы.
Бэкдор AppleChris демонстрирует значительную универсальность благодаря множеству вариантов, таких как Dropbox и Tunneler. В каждом варианте используются различные методы Закладки с данными (DDR) для доступа к IP-адресам сервера C2 через общую учетную запись Pastebin, что позволяет злоумышленникам обойти традиционные методы обнаружения. Вредоносное ПО AppleChris может выполнять различные команды, связанные с управлением системой, эксфильтрацией файлов и сетевым туннелированием, и все это при использовании скрытых методов, таких как DLL hijacking и модуляция процессов. Тактика уклонения, включая таймеры ожидания, используется для того, чтобы избежать обнаружения системами безопасности, гарантируя, что вредоносное ПО остается необнаруженным в течение длительного времени.
Параллельно MemFun действует как модульный бэкдор, который работает полностью в памяти, используя process hollowing для внедрения вредоносного кода в законные процессы, не оставляя следов на диске. Этот метод расширяет возможности скрытности и облегчает динамическую связь с серверами C2 с помощью пользовательских HTTP-запросов и механизмов шифрования, зависящих от сеанса.
Кроме того, инструмент Getpass функционирует как адаптированная версия Mimikatz, предназначенная для скрытого сбора учетных записей. Используя тактику защиты от криминалистического анализа, такую как timestomping и повышение привилегий, он нацелен на процессы проверки подлинности Windows для извлечения конфиденциальных данных непосредственно из памяти, сохраняя их в файл, который выглядит как законная системная база данных.
Злоумышленники поддерживают сложную инфраструктуру, включающую несколько IP-адресов C2 через Облачные сервисы, чтобы обеспечить разделение операций и устойчивость к обнаружению. Кампания демонстрирует четкую временную схему активности, согласованную с рабочим временем в таких регионах, как Китай, что указывает на методичный подход к шпионажу.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Шпионская операция CL-STA-1087 нацелена на военные организации в Юго-Восточной Азии, атрибутируемые с 2020 года китайским акторам, спонсируемым государством. В нем используется сложное вредоносное ПО, включая универсальный бэкдор AppleChris с несколькими вариантами скрытного выполнения команд и сбора учетных записей через Getpass, а также бэкдор MemFun, работающий только с памятью, использующий process Hollowing. Инфраструктура операции допускает разделение на части и согласована с графиком работы злоумышленников, что указывает на преднамеренную тактику шпионажа.
-----
Подозреваемая шпионская операция, получившая обозначение CL-STA-1087, была идентифицирована как нацеленная на военные организации в Юго-Восточной Азии, вероятно, проводимая спонсируемыми государством акторами из Китая. Эта кампания продолжается по меньшей мере с 2020 года и характеризуется высоконаправленным подходом, направленным на сбор конкретной военной разведывательной информации, а не на массовую кражу данных. Основные инструменты, используемые в этой операции, включают бэкдоры AppleChris и MemFun, а также средство сбора учетных данных, известное как Getpass.
Операционная методология CL-STA-1087 раскрывает сложную стратегию, включающую долгосрочное закрепление и изощренное поведение вредоносного ПО. Изначально бездействующая точка доступа позволяла злоумышленникам выполнять вредоносные скрипты PowerShell, которые устанавливали обратные оболочки для серверов command and control (C2). Разместившись на неуправляемой конечной точке, они расширили свое присутствие по всей сети, используя Инструментарий управления Windows(WMI) и команды .NET, внедряя варианты вредоносного ПО, сохраняя при этом стабильность работы.
Бэкдор AppleChris демонстрирует значительную универсальность благодаря множеству вариантов, таких как Dropbox и Tunneler. В каждом варианте используются различные методы Закладки с данными (DDR) для доступа к IP-адресам сервера C2 через общую учетную запись Pastebin, что позволяет злоумышленникам обойти традиционные методы обнаружения. Вредоносное ПО AppleChris может выполнять различные команды, связанные с управлением системой, эксфильтрацией файлов и сетевым туннелированием, и все это при использовании скрытых методов, таких как DLL hijacking и модуляция процессов. Тактика уклонения, включая таймеры ожидания, используется для того, чтобы избежать обнаружения системами безопасности, гарантируя, что вредоносное ПО остается необнаруженным в течение длительного времени.
Параллельно MemFun действует как модульный бэкдор, который работает полностью в памяти, используя process hollowing для внедрения вредоносного кода в законные процессы, не оставляя следов на диске. Этот метод расширяет возможности скрытности и облегчает динамическую связь с серверами C2 с помощью пользовательских HTTP-запросов и механизмов шифрования, зависящих от сеанса.
Кроме того, инструмент Getpass функционирует как адаптированная версия Mimikatz, предназначенная для скрытого сбора учетных записей. Используя тактику защиты от криминалистического анализа, такую как timestomping и повышение привилегий, он нацелен на процессы проверки подлинности Windows для извлечения конфиденциальных данных непосредственно из памяти, сохраняя их в файл, который выглядит как законная системная база данных.
Злоумышленники поддерживают сложную инфраструктуру, включающую несколько IP-адресов C2 через Облачные сервисы, чтобы обеспечить разделение операций и устойчивость к обнаружению. Кампания демонстрирует четкую временную схему активности, согласованную с рабочим временем в таких регионах, как Китай, что указывает на методичный подход к шпионажу.
#ParsedReport #CompletenessMedium
13-03-2026
Dark Web Profile: Handala Hack
https://socradar.io/blog/dark-web-profile-handala-hack/
Report completeness: Medium
Actors/Campaigns:
Handala-hacking-team (motivation: propaganda, hacktivism)
Void_manticore
Cyberav3nger
Scarred_manticore
Oilrig
Threats:
Karma
Lolbin_technique
Process_hollowing_technique
Byovd_technique
Bibi-wiper
Handala_wiper
Hatef
Hamsa
Elrawdisk_driver_tool
Coolwipe
Chillwipe
Spear-phishing_technique
Victims:
Technology sector, Information technology sector, Government and defense sector, Critical infrastructure, Energy sector, Education sector, Financial sector, Medical devices sector, Payment processing sector, Israeli organizations, have more...
Industry:
Critical_infrastructure, Petroleum, Financial, Healthcare, Government, Aerospace, Energy, Education
Geo:
Iran, Iranian, Albania, United kingdom, Jordan, Israel, Palestinian, Israeli, Riyadh
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)
TTPs:
Tactics: 9
Technics: 22
IOCs:
File: 2
Soft:
Telegram, Microsoft SharePoint, NSIS installer, Twitter, Linux, AutoHotKey
Languages:
autoit, powershell
13-03-2026
Dark Web Profile: Handala Hack
https://socradar.io/blog/dark-web-profile-handala-hack/
Report completeness: Medium
Actors/Campaigns:
Handala-hacking-team (motivation: propaganda, hacktivism)
Void_manticore
Cyberav3nger
Scarred_manticore
Oilrig
Threats:
Karma
Lolbin_technique
Process_hollowing_technique
Byovd_technique
Bibi-wiper
Handala_wiper
Hatef
Hamsa
Elrawdisk_driver_tool
Coolwipe
Chillwipe
Spear-phishing_technique
Victims:
Technology sector, Information technology sector, Government and defense sector, Critical infrastructure, Energy sector, Education sector, Financial sector, Medical devices sector, Payment processing sector, Israeli organizations, have more...
Industry:
Critical_infrastructure, Petroleum, Financial, Healthcare, Government, Aerospace, Energy, Education
Geo:
Iran, Iranian, Albania, United kingdom, Jordan, Israel, Palestinian, Israeli, Riyadh
CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)
TTPs:
Tactics: 9
Technics: 22
IOCs:
File: 2
Soft:
Telegram, Microsoft SharePoint, NSIS installer, Twitter, Linux, AutoHotKey
Languages:
autoit, powershell
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Handala Hack
Not every hacktivist group is what it claims to be. Handala presents itself as a pro-Palestinian resistance collective, borrowing the name and imagery of a
CTT Report Hub
#ParsedReport #CompletenessMedium 13-03-2026 Dark Web Profile: Handala Hack https://socradar.io/blog/dark-web-profile-handala-hack/ Report completeness: Medium Actors/Campaigns: Handala-hacking-team (motivation: propaganda, hacktivism) Void_manticore Cyberav3nger…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Handala Hack идентифицируется как преступная хакерская группировка, связанная с Министерством разведки Ирана, которая появилась в декабре 2023 года и нацелена на израильские и западные организации, в частности американские корпорации. Они используют агрессивную тактику, такую как пользовательское вредоносное ПО wiper, примером чего является их операция Epic Fury, в результате которой было уничтожено более 200 000 устройств Stryker Corporation. Используя уязвимости, подобные CVE-2019-0604, с помощью Целевого фишинга, Handala использует сложную социальную инженерию и многоэтапное выполнение, чтобы нанести широкомасштабный ущерб, и собирает разведданные перед выполнением разрушительной полезной нагрузки.
-----
Handala Hack - преступная хакерская группировка, связанная с Министерством разведки и безопасности Ирана (MOIS), действующая с декабря 2023 года. Группировка нацелена на израильские и западные организации, уделяя повышенное внимание американским корпорациям после нападения ХАМАСА 7 октября 2023 года. Его операции включают в себя развертывание пользовательского вредоносного ПО wiper, которое наносит значительный ущерб гражданской инфраструктуре, примером чего является операция Epic Fury в марте 2026 года, в результате которой пострадало более 200 000 устройств Stryker Corporation. Исследования связывают Handala с иранскими кибер-подразделениями и сотрудничеством с такими группами, как Scarred Manticore и Void Manticore. Группа использует уязвимости, такие как CVE-2019-0604, с помощью кампаний Целевого фишинга для получения первоначального доступа с последующим сбором разведывательной информации и выполнением деструктивных полезных нагрузок. С начала 2024 по начало 2025 года Handala заявила по меньшей мере о 85 атаках, сосредоточив внимание на технологиях, обороне и критически важных секторах инфраструктуры. Методы атаки включают социальную инженерию, деструктивное вредоносное ПО, такое как BiBi Wiper и Hamsa, а также многоэтапные процессы выполнения с использованием законных инструментов Windows и запутанных скриптов. Рекомендуемые защитные меры включают устойчивую к фишингу Многофакторную аутентификацию, обучение персонала распознаванию фишинга, мониторинг сети на предмет необычных действий и расширенную защиту конечных точек для противодействия деструктивному вредоносному ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Handala Hack идентифицируется как преступная хакерская группировка, связанная с Министерством разведки Ирана, которая появилась в декабре 2023 года и нацелена на израильские и западные организации, в частности американские корпорации. Они используют агрессивную тактику, такую как пользовательское вредоносное ПО wiper, примером чего является их операция Epic Fury, в результате которой было уничтожено более 200 000 устройств Stryker Corporation. Используя уязвимости, подобные CVE-2019-0604, с помощью Целевого фишинга, Handala использует сложную социальную инженерию и многоэтапное выполнение, чтобы нанести широкомасштабный ущерб, и собирает разведданные перед выполнением разрушительной полезной нагрузки.
-----
Handala Hack - преступная хакерская группировка, связанная с Министерством разведки и безопасности Ирана (MOIS), действующая с декабря 2023 года. Группировка нацелена на израильские и западные организации, уделяя повышенное внимание американским корпорациям после нападения ХАМАСА 7 октября 2023 года. Его операции включают в себя развертывание пользовательского вредоносного ПО wiper, которое наносит значительный ущерб гражданской инфраструктуре, примером чего является операция Epic Fury в марте 2026 года, в результате которой пострадало более 200 000 устройств Stryker Corporation. Исследования связывают Handala с иранскими кибер-подразделениями и сотрудничеством с такими группами, как Scarred Manticore и Void Manticore. Группа использует уязвимости, такие как CVE-2019-0604, с помощью кампаний Целевого фишинга для получения первоначального доступа с последующим сбором разведывательной информации и выполнением деструктивных полезных нагрузок. С начала 2024 по начало 2025 года Handala заявила по меньшей мере о 85 атаках, сосредоточив внимание на технологиях, обороне и критически важных секторах инфраструктуры. Методы атаки включают социальную инженерию, деструктивное вредоносное ПО, такое как BiBi Wiper и Hamsa, а также многоэтапные процессы выполнения с использованием законных инструментов Windows и запутанных скриптов. Рекомендуемые защитные меры включают устойчивую к фишингу Многофакторную аутентификацию, обучение персонала распознаванию фишинга, мониторинг сети на предмет необычных действий и расширенную защиту конечных точек для противодействия деструктивному вредоносному ПО.