#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания использует усовершенствованные тактики, эксплуатируя разрешения браузера для захвата обширных данных жертв, включая живые изображения, аудио и информацию об устройстве, не требуя ввода учетных данных. Используя разнообразные приманки и платформы с подменой, атакующие используют Telegram Bot API для эксфильтрации данных, что отражает возможную интеграцию инструментов генеративного ИИ в их инфраструктуру. Этот сложный подход не только облегчает кражу личных данных, но и повышает риски для организаций, так как украденные биометрические данные могут быть использованы для подмены в различных коммуникациях.
-----

Недавняя фишинговая кампания продемонстрировала значительную эволюцию тактик киберугроз, используя разрешения браузера для захвата обширных данных жертв, выходящих за рамки традиционного кражи учетных данных. Кампания использует разнообразные уловки, такие как "ID Scanner," "Telegram ID Freezing," и "Health Fund AI," чтобы обмануть пользователей и заставить их предоставить разрешения на доступ к камере и микрофону под предлогом проверки или восстановления услуги. Как только разрешения получены, злоумышленники используют JavaScript для захвата живых изображений, видеозаписей, аудио с микрофона, информации об устройстве и контактных данных. Эта информация затем отправляется на инфраструктуру, контролируемую злоумышленниками, в основном с использованием Telegram Bot API для экстракции данных.

Фреймворк фишинга работает с использованием хостинговых услуг, таких как edgeone.app, что позволяет создавать множество целевых страниц, которые выдают себя за популярные платформы, такие как TikTok, Telegram и Google Drive. Фишинговые страницы специально запрашивают разрешения браузера для доступа к аппаратным возможностям, тем самым бесшумно захватывая конфиденциальные данные после согласия пользователя. Этот метод позволяет злоумышленникам подделывать согласие, собирая мультимедийный контент, включая изображения высокого разрешения и аудиофайлы, без необходимости ввода пользователями каких-либо учетных данных.

Примечательно, что анализ выявил потенциальные индикаторы кода, сгенерированного с помощью ИИ, в операционной логике кампании. Использование структурированных аннотаций и эмодзи указывает на то, что угрожающие акторы могут использовать инструменты генеративного ИИ для улучшения своих фишинговых фреймворков, что позволяет быстро разрабатывать и развертывать атаки. Сложность этого подхода соответствует более широкой тенденции смешивания тактики социального инжиниринга с передовыми технологиями, что увеличивает эффективность атак.

В результате кампания создает значительные риски не только для отдельных жертв, но и для организаций, поскольку собранные данные могут быть использованы для кражи личности, социальной инженерии и целевых фишинговых схем. Операционная сложность заметно низка, так как злоумышленники получают выгоду от интеграции фишинговых комплектов с Telegram, что упрощает процесс извлечения данных и минимизирует потребности в бэкенд-инфраструктуре.

Последствия этой кампании имеют далеко идущие последствия; похищенные биометрические данные могут быть использованы для выдачи себя за другого в видеокоммуникациях и аудиосообщениях, значительно увеличивая угрозу для различных сектор, включая банковский сектор и социальные медиа. Это сближение злонамеренной деятельности отражает тревожный сдвиг в сторону высококачественных тактик кражи личных данных, которые могут коренным образом подорвать существующие механизмы безопасности и процессы верификации, подчеркивая необходимость повышенной бдительности против таких сложных фишинг-техник.

#ParsedReport #CompletenessHigh
12-03-2026

Endgame Harvesting: Inside ACRStealers Modern Infrastructure

https://blog.gdatasoftware.com/2026/03/38385-acr-stealer-infrastructure

Report completeness: High

Threats:
Acr_stealer
Hijackloader
Dead_drop_technique
Process_injection_technique
Process_hollowing_technique
Lumma_stealer

Victims:
Gaming platforms users, Browser users, Steam users

Industry:
Entertainment

Geo:
Germany, Mongolia, Usa

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1041, T1055, T1055.012, T1059.001, T1071.001, T1082, T1105, T1106, have more...

IOCs:
File: 13
IP: 1
Domain: 1
Url: 1
Hash: 2

Soft:
Steam, Chrome, Discord

Algorithms:
base64, aes-256, zip, aes

Functions:
connect, GetArrayField, PowerShell

Win API:
NtCreateFile, NtDeviceIoControlFile, AcquireCredentialsHandleA, InitializeSecurityContextA, EncryptMessage, NtOpenFile, NtQueryDirectoryFile, NtDelayExecution, CryptUnprotectData, CopyFileA, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловред ACRStealer, интегрированный в HijackLoader, усовершенствовал свои методы уклонения, используя низкоуровневые NTCalls и системные вызовы WoW64 для скрытного выполнения, уменьшая риски обнаружения. Теперь он использует NTSockets и Ancillary Function Driver для связи с C2, смешивая свой трафик с легитимным HTTPS для усложнения обнаружения. Разработанный для извлечения конфиденциальных данных, включая информацию о браузере и играх, ACRStealer использует метод hollowing процессов и команды PowerShell для выполнения вторичного полезного груза, указывая на широкомасштабную и развивающуюся угрозу.
-----

Вредоносное ПО ACRStealer, теперь интегрированное в инфраструктуру HijackLoader, развило свои возможности и стратегии развертывания, акцентируя внимание на усовершенствованных техниках уклонения. Изначально сообщалось о нем как о предложении Malware as a Service (MaaS), этот новый вариант использует более низкоуровневые NTCalls и WoW64 syscalls вместо традиционных Win32 APIs для достижения скрытого выполнения, тем самым снижая риск обнаружения системами защиты конечных точек. Вредоносное ПО находит ntdll.dll, разрешает имена функций через модифицированную хеш-функцию djb2 и использует переходные ворота для обхода хуков пользовательского режима во время работы.

Что касается связи командования и управления (C2), ACRStealer переключился с использования Dead Drop Resolver (DDR) на использование NTSockets и Ancillary Function Driver (AFD). Путем ручного построения родного пути AFD вредоносное ПО избегает использования высокоуровневых API и улучшает свою способность устанавливать соединения скрытно. Такая настройка C2 позволяет ACRStealer смешивать свой трафик с легитимным HTTPS-трафиком, что ещё больше усложняет усилия по обнаружению.

ACRStealer тщательно разработан для извлечения различных видов конфиденциальной информации, нацеливаясь не только на данные браузера, но и на данные игроков, такие как аккаунты Steam. Его конфигурация управляется восемью короткими строками ключей, которые определяют выполняемые задачи, позволяя ему идентифицировать и извлекать такие файлы, как ключи шифрования браузера, используя системные вызовы NT. Этот вредоносный программное обеспечение выполняет эти извлечения, рекурсивно просматривая пользовательские профили, используя метод расшифровки артефактов браузера через DPAPI и применяя передовые техники, такие как обход шифрования, привязанного к приложению, чтобы получить доступ к сырым мастер-ключам AES из предыдущих версий браузера.

Дальнейшие возможности включают эксфильтрацию данных для входа, файлов cookie и комплексный процесс отпечатков жертвы. Замечательно, что вредоносное ПО также обрабатывает выполнение вторичных полезных нагрузок через команды PowerShell и техники опустошения процессов, демонстрируя сложную среду выполнения, которая эффективно скрывает злонамеренные намерения.

Операционные схемы ACRStealer указывают на широкое распространение инфекций, особенно в США, Монголии и Германии, с телеметрией, свидетельствующей о продолжающейся активности и устойчивых соединениях с определенными IP-адресами. Недавний анализ показывает, что он постоянно эволюционирует, чтобы избежать обнаружения, о чем свидетельствует его взаимодействие с легитимными платформами и текущие адаптации в методах распространения через веб-сайты, связанные с играми, социальными медиа и облачными услугами.

Более того, постоянство ACRStealer указывает на то, что угроза, исходящая от актеров угроз за инфраструктурой PiviGames, остается активной, использующей развивающиеся стратегии для нацеливания на пользователей в популярных игровых и социальных средах, с конечной целью компрометации чувствительных данных через различные и тактические средства. Это свидетельствует о продолжающемся ландшафте угроз, создаваемом такими адаптивными вариантами вредоносного ПО, подчеркивая необходимость постоянного мониторинга и усовершенствованных защитных мер.

#ParsedReport #CompletenessLow
16-03-2026

LiveChat Abuse: How Phishers Are Exploiting SaaS Support Tools to Steal Sensitive Data

https://cofense.com/blog/livechat-abuse-how-phishers-are-exploiting-saas-support-tools-to-steal-sensitive-data

Report completeness: Low

Victims:
Consumers, Paypal users, Amazon customers

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002

IOCs:
Domain: 1
Url: 6
IP: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания использует LiveChat для извлечения чувствительной информации, выдавая себя за известные бренды. Злоумышленники используют убедительные электронные уловки, такие как фальшивые возвраты по PayPal и срочные обновления заказов на Amazon, направляя жертв на фишинговые страницы, которые хитро имитируют законные взаимодействия со службой поддержки клиентов. Эти страницы запрашивают критически важные данные, включая данные кредитных карт и коды многофакторной аутентификации, используя тактики социального инжиниринга для манипуляции пользователями и побуждая их раскрывать чувствительную информацию.
-----

Центр защиты от фишинга Cofense сообщил о фишинговой кампании, которая использует LiveChat, инструмент SaaS для поддержки клиентов, чтобы обмануть пользователей и извлечь конфиденциальную информацию. Атакующие выдают себя за известные бренды через интерфейсы чата в реальном времени, нацеливаясь на жертв, чтобы получить конфиденциальные данные, такие как учетные данные, номера кредитных карт, коды многофакторной аутентификации (MFA) и личная информация (PII).

Кампания включает в себя электронные письма, разработанные с различными уловками, включая одно, имитирующее возврат PayPal на сумму $200, и другое, которое создает ощущение срочности в отношении заказа Amazon. Оба письма используют тактики социальной инженерии, которые капитализируют на любопытстве получателя и инстинкте получения финансовой выгоды или страхе упустить что-то важное. При нажатии на гиперссылки "Посмотреть детали транзакции" или "Посмотреть обновление" пользователи перенаправляются на фишинговые страницы, размещенные на сервисе LiveChat, с доменом lc.chat. Эти страницы хитро скрывают свои намерения, при этом страница на тему PayPal использует модель взаимодействия на основе ИИ, а страница на тему Amazon запрашивает у пользователей их электронную почту перед началом разговора.

Когда пользователи взаимодействуют с настройкой чата в реальном времени, их убаюкивают в ложное чувство безопасности, принимая его за легитимное обслуживание клиентов. Сложность атаки очевидна, так как она напрямую запрашивает полную информацию о кредитной карте и код MFA, связанный с аккаунтом жертвы. Этот шаг направлен на укрепление кражи учетных данных и обеспечение постоянного доступа к финансовым счетам пользователя. После этого жертвы также получают успокаивающие сообщения, указывающие на то, что их возврат скоро будет произведен, что еще больше манипулирует их доверием.

Эволюционирующая природа фишинговых угроз подчеркивает необходимость постоянного анализа, проводимого людьми. Атакующие искусно совершенствуют свои стратегии, чтобы обойти автоматизированные системы обнаружения, часто создавая сообщения, которые могут легко обмануть даже бдительных пользователей. Это явление демонстрирует сложность современных фишинговых тактик, которые все чаще сочетают в себе имитацию брендов, социальную инженерию и механизмы кражи данных. Необходимость в надежных системах разведки угроз, таких как те, что предоставляются специализированными командами защиты от фишинга, более критична, чем когда-либо, для эффективной борьбы с этими угрозами до того, как они приведут к значительному ущербу.

#ParsedReport #CompletenessLow
10-03-2026

Uncovering a New Device Code Phishing Campaign

https://newtonpaul.com/blog/device-code-phishing-campaign/

Report completeness: Low

Threats:
Device_code_phishing_technique

Victims:
Microsoft 365 users, Entra users

Industry:
Iot

Geo:
Monaco

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.001, T1566.002, T1583.006, T1656

IOCs:
Url: 2
File: 9
Domain: 24
Email: 24

Soft:
Microsoft Teams, Android

Functions:
sf, getElementById, setTimeout, writeText

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания использует аутентификацию по коду устройства Microsoft, отправляя фишинговые письма, которые перенаправляют пользователей на домен Cloudflare. Нападающий имитирует страницу загрузки документа Adobe, побуждая пользователей ввести код подтверждения, который обрабатывается через конечную точку кода устройства Microsoft. В частности, URL-адреса, подготовленные для этой кампании, включают адрес электронной почты отправителя для повышения доверия, нацеливаясь на такие приложения, как Azure CLI для значительного доступа после аутентификации.
-----

Недавняя фишинговая кампания была обнаружена, которая использует аутентификацию на основе кода устройства Microsoft, легитимный механизм, который часто применяется для устройств с ограниченными возможностями ввода, таких как оборудование IoT. Кампания в частности использует поток OAuth от Microsoft, представляя целям фишинговые электронные письма с URL-адресами, направленными на домен Cloudflare workers.dev. Примечательно, что эти URL содержат параметр URI, который имитирует правдоподобный контекст, усиливая обманные тактики злоумышленника.

Фишинг-страница, созданная в этой кампании, имитирует страницу загрузки документа Adobe, побуждая пользователей подтвердить свою личность, введя код проверки. Кнопка «Продолжить к Microsoft» перенаправляет жертв на реальную страницу аутентификации Microsoft по адресу https://login.microsoftonline.com/common/oauth2/deviceauth. Эта страница предлагает пользователям ввести код устройства, что атакующие облегчают через свою Backend, выполняя POST-запрос к конечной точке кода устройства Microsoft. По запросу создаётся идентификатор сеанса для управления циклом аутентификации, который включает в себя непрерывное опрашивание для получения новых кодов устройства, поскольку оригинальные коды истекают примерно через десять минут.

Отличительной характеристикой этой фишинговой кампании является конструкция фишинговых URL-адресов. URL-адреса содержат адрес электронной почты отправителя, что, вероятно, является преднамеренной тактикой для повышения доверия к фишинговой попытке. Кроме того, после того как пользователь вводит свой код устройства, его направляют подтвердить свою аутентификацию, показывая название приложения, к которому осуществляется доступ, и местоположение запроса. Такие приложения, как Azure CLI, находятся в особой целевой группе, предоставляя значительные уровни доступа аутентифицированным пользователям.

Для обнаружения таких фишинговых активностей была предложена стратегия поведенческого обнаружения, названная "First-Time Device Code Auth - No Prior History hunt-2025-043." Эта методология включает в себя анализ журналов аутентификации пользователей за 30-дневный период для идентификации первого использования аутентификации с использованием кода устройства, особое внимание обращая на пользователей, чьи попытки аутентификации были успешными. Этот подход фильтрации нацелен только на успешные аутентификации, отмечая их как высоконадежные индикаторы потенциального фишингового компрометации. Такие аналитические техники жизненно важны для специалистов в области кибербезопасности, чтобы защищаться от этих сложных фишинговых стратегий.

#ParsedReport #CompletenessMedium
16-03-2026

Introduction

https://lorenzomeacci.com/bypassing-edr-in-a-crystal-clear-way

Report completeness: Medium

Threats:
Cobalt_strike_tool
Crystal_palace_tool
Meteor_wiper
Crystal-kit_tool
Rubeus_tool
Powerpick_tool
Process_hollowing_technique
Dll_injection_technique
Reflectiveloader
Havoc

Victims:
Edr vendors, Cobalt strike users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036.004, T1055.012, T1070.004, T1106, T1218.011, T1620, T1622, T1622.002, have more...

IOCs:
File: 10

Soft:
Event Tracing for Windows

Algorithms:
ror13, xor

Functions:
go, Win32, findModuleByHash, findFunctionByHash, __resolve_hook, ReflectiveLoader

Win API:
MessageBox, MessageBoxA, LoadLibraryA, GetProcAddress, VirtualAlloc, SleepEx, NtDelayExecution, RtlAddFunctionTable, NtMapViewOfSection, NtCreateSection, have more...

Languages:
java

Platforms:
x64

YARA: Found

Links:
https://github.com/kapla0011/KaplaStrike
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Статья исследует продвинутые методы создания рефлексивных загрузчиков, которые избегают систем обнаружения и реагирования на конечных точках (EDR), подчеркивая использование фреймворка Cobalt Strike и линкера Crystal Palace для создания независимого от положения кода. В ней рассматриваются различные стратегии уклонения, включая Dynamic Function Resolution и User-Defined Reflective Loader, которые позволяют злоумышленникам эффективно управлятьpayloadами, минимизируя риски обнаружения. Ключевые методы включают модификации генерации payloadов, управление памятью и адаптацию к ответам EDR для скрытного выполнения.
-----

Блог углубляется в технические тонкости коммуникационных и командных управляющих (C2) полезных нагрузок, сосредоточив внимание на том, как построить отражающий загрузчик, который может обойти усовершенствованные системы обнаружения и реагирования на конечных точках (EDR). Основание строится на архитектуре C2 имплантатов, особенно с использованием Cobalt Strike, но концепции применимы ко всем различным C2 фреймворкам. Ключевым элементом, обсуждаемым в статье, является компоновщик Crystal Palace, который позволяет создавать код, не зависимый от позиции (PIC). Эта возможность позволяет разработчикам извлекать и инжектировать код без введения новых перемещений, которые могут быть отмечены механизмами безопасности.

Crystal Palace упрощает модульное создание исполняемых компонентов, позволяя интеграцию различных техник уклонения, таких как подделка стека вызовов и перехват API, при этом сохраняя гибкость. Загрузчик использует стратегию, называемую Dynamic Function Resolution (DFR), для управления вызовами API, избегая проблематичных relocations строк. Архитектура позволяет по мере необходимости менять несколько техник, улучшая адаптивность без необходимости в исчерпывающем обратном проектировании всей системы.

Значительная часть поста подчеркивает процесс генерации полезной нагрузки, особенно необходимость удаления предшествующих отражающих загрузчиков для создания «сырых» DLL. Изменения в версии Cobalt Strike 4.9 изменили поведенческий стандарт отражающей загрузки, требуя установить явные условия для чистой генерации DLL. Конечная цель — доставить полезную нагрузку таким образом, чтобы минимизировать риски статического и динамического анализа, особенно через сохранение метода инъекции и исполнения.

Блог подчеркивает важность управления выделением памяти, чтобы гарантировать, что DLL не оставляют следов, которые могут быть обнаружены EDR. Аналитический фокус смещается на продвинутые техники, такие как обход Control Flow Guard (CFG) путем избегания традиционных методов загрузки, и подчеркивает критическое управление регистрами сборки для работы с самодостаточным, независимым от позиции выполнением полезной нагрузки. Дополнительно обсуждается стратегическое маскирование сна как мера для предотвращения сканирования кодовых секций во время бездействия.

Техники Reflective DLL и Shellcode Reflective DLL Injection (sRDI) рассматриваются как эволюционные шаги к более модульному и гибкому управлению полезной нагрузкой. Введение User-Defined Reflective Loader (UDRL) дополнительно позволяет операторам настраивать каждый аспект процесса рефлексивной загрузки. Власти могут значительно адаптировать свои стратегии полезной нагрузки, обеспечивая, чтобы каждая инъекция была как точной, так и незаметной, снова подчеркивая непрерывную борьбу между threat actors и системами безопасности.

Анализ завершается выводами о важности управления подписями полезной нагрузки и динамической адаптации к ответам EDR, подчеркивая, что эффективное уклонение означает понимание всей поверхности атаки и принятие обоснованных решений после выполнения. Акцент делается на технических особенностях тактики уклонения, а не на их операционных последствиях, подчеркивая продолжающуюся сложность защиты в области кибербезопасности.

#ParsedReport #CompletenessHigh
16-03-2026

Southeast Asia Region-specific Iran-israel War Threat Intelligence

https://cdn.cloudsek.com/cloudsek-blog-pdfs/sea.pdf

Report completeness: High

Actors/Campaigns:
Apt33
Oilrig (motivation: cyber_espionage)
Charming_kitten (motivation: cyber_espionage)
Apt42
Muddywater (motivation: cyber_espionage)
Indohaxsec (motivation: cyber_espionage, hacktivism)
Red_delta (motivation: cyber_espionage, hacktivism)
Darkpink (motivation: cyber_espionage, hacktivism)
Winnti (motivation: cyber_espionage, hacktivism)
Toddycat (motivation: cyber_espionage, hacktivism)
Mr_hamza
Cyberav3nger (motivation: hacktivism)
Unc3886 (motivation: cyber_espionage)
Noname057 (motivation: cyber_espionage, hacktivism)
Earth_kurma (motivation: cyber_espionage, hacktivism)
Handala-hacking-team (motivation: hacktivism)
Irgc (motivation: hacktivism)
Opsingapore

Threats:
Supply_chain_technique
Sidetwist
Menorah
Spear-phishing_technique
Dns_tunneling_technique
Stealhook_tool
Quadagent
Mimikatz_tool
Lazagne_tool
Typosquatting_technique
Powerstar
Charmpower
Bellaciao
Noknok
Sqlmap_tool
Disttrack
Stonedrill_wiper
Turnedup
Nanocore_rat
Dll_sideloading_technique
Powgoop
Lolbin_technique
Powerstats
Koadic_tool
Chisel_tool
Ngrok_tool
Plink_tool
Handala_wiper
Credential_harvesting_technique

Victims:
Energy sector, Telecom sector, Government sector, Financial institutions, Defense contractors, Us military installations and bases in southeast asia, Ot and scada operators, Water utilities, Power utilities, Industrial control system operators, have more...

Industry:
Ngo, Logistic, Ics, Petroleum, Telco, Maritime, Government, Military, Financial, Critical_infrastructure, Aerospace, Energy

Geo:
London, Thailand, Tehran, Malaysia, Vietnam, Philippines, Russian, Apac, Kuwait, China, Qatar, Vietnamese, Palestinian, United kingdom, Bahrain, Indonesia, Asian, Singapore, Iran, Philippine, Cambodia, Israel, India, Iranian, Chinese, Malaysian, Asia, Israeli, Indonesian

CVEs:
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...

TTPs:
Tactics: 3
Technics: 26

IOCs:
Domain: 49
File: 8
Command: 1
Hash: 44
IP: 56
Url: 1

Soft:
WordPress, macOS, Telegram, NSIS installer, outlook, chrome, firefox

Algorithms:
sha256, base64

Functions:
Bot, Internet-Facing, Telegram

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберактивности, спонсируемые государством Иран, все чаще нацелены на организации, связанные с США, в Юго-Восточной Азии, особенно в энергетическом, финансовом и телекоммуникационном секторах, используя такие группы, как APT33, APT34, APT35, APT42 и MuddyWater. Геополитические напряженности привели к потенциальным ответным действиям, которые могут включать хакерские атаки, с использованием таких техник, как фишинг и развертывание вредоносного ПО (например, SideTwist Trojan, Menorah RAT). Уязвимости Юго-Восточной Азии усиливаются из-за её геополитического ландшафта, значительного военного присутствия США и готовности местных хактивистских групп к операциям.
-----

Геополитический конфликт, вытекающий из военного взаимодействия США и Израиля с Ираном, имеет непосредственные и глубокие последствия для кибербезопасности в Юго-Восточной Азии (SEA). Центральным элементом этого является переход Ирана к наступательным киберактивным операциям в качестве первичного механизма ответных действий против воспринимаемых противников. Группы, поддерживаемые государством Иран, такие как APT33, APT34, APT35, APT42 и MuddyWater, готовы использовать заранее подготовленную инфраструктуру для нацеливания на предприятия, связанные с США в регионе, особенно в секторах энергетики, финансовых учреждениях и телекоммуникационных провайдерах, которые значительно представлены в SEA.

Некоторые ключевые факторы риска ставят страны Юго-Восточной Азии в повышенный риск. Во-первых, в таких местах, как Филиппины, имеется значительное военное присутствие США, где базы могут стать потенциальными целями для кибернетической и физической мести Ирана. Кроме того, социополитическая динамика в таких странах, как Малайзия и Индонезия, которые имеют большое мусульманское население, создает потенциальные возможности для внутренних беспорядков и радикализации, вызванной атаками на иранские религиозные или гражданские объекты. Операционная готовность хактивистских групп, таких как INDOHAXSEC как в Малайзии, так и в Индонезии, демонстрирует эту растущую угрозу.

Энергетические и финансовые системы в регионе особенно уязвимы. Угрозы Ирана закрыть Ормузский пролив, через который проходит значительная часть мировых поставок нефти, могут значительно повлиять на экономическую стабильность в Юго-Восточной Азии, что может привести к резкому росту цен на нефть и серьезным экономическим последствиям. Роль Сингапура как финансового центра, глубоко переплетенного с иранскими теневыми банковскими сетями, дополнительно подвержена санкциям и атакам со стороны иранских APT.

В ответ на этот растущий ландшафт угроз организации призываются внедрять проактивные меры, которые соответствуют тактикам, техникам и процедурам (TTP) идентифицированных угроза акторов. Особенно стоит отметить, что иранские группы используют такие техники, как фишинг, эксплуатация сторонних приложений и развертывание вредоносного ПО, такого как SideTwist Trojan и Menorah RAT, для достижения своих целей. Мониторинг необычного выполнения PowerShell, несанкционированных исходящих соединений и внедрение строгих политик условного доступа имеют vital значение для укрепления защиты от этих угроз.

По мере развития ситуации поддержание активного мониторинга и обеспечение готовности к потенциальным кибервторжениям являются критически важными. Это включает в себя бдительность против попыток фишинга, использующих нарративы конфликта, аудит систем, открытых в интернет, на наличие уязвимостей в безопасности и перекрестную проверку протоколов безопасности на соответствие новым TTP, используемым иранскими угрозами. Организациям в Юго-Восточной Азии необходимо принять надежные меры безопасности, чтобы защититься от того, что больше не является отдаленной угрозой, а представляет собой актуальную реальность, усугубляемую продолжающейся геополитической напряженностью.

#ParsedReport #CompletenessLow
12-03-2026

CO-PILOT, DISENGAGE AUTOPHISH: The New Phishing Surface Hiding Inside AI Email Summaries

https://permiso.io/blog/copilot-prompt-injection-ai-email-phishing

Report completeness: Low

Threats:
Cross_prompt_injection_technique

Victims:
Enterprise users, Microsoft 365 users

CVEs:
CVE-2026-26133 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1213, T1566

Soft:
Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования систем Copilot компании Microsoft выявили уязвимости в инструментах суммирования электронных писем, подверженных эксплуатации с помощью техники, называемой cross prompt injection (XPIA), которая позволяет злоумышленникам внедрять вредоносный текст в электронные письма. Это может генерировать правдоподобные фишинговые сообщения, которые эксплуатируют доверие пользователей к результатам ИИ, способствуя фишингу, основанному на моделях. Потенциал этого шаблона атаки для масштабирования создает большие риски для платформ Microsoft 365, что подчеркивает слабости в обработке и отображении ссылок в различных клиентских средах, как было установлено в недавних отчетах CVE-2026-26133.
-----

Недавние расследования систем Copilot компании Microsoft указали на уязвимости в инструментах суммирования электронной почты, которые могут быть использованы для фишинговых атак. Конкретная техника, идентифицированная как cross prompt injection (XPIA), позволяет злоумышленникам добавлять вредоносный текст в электронные письма, что может повлиять на выходные данные Copilot. Эта манипуляция может производить, по всей видимости, достоверные сообщения "предупреждения о безопасности", которые интегрируются в интерфейс сводки Copilot, тем самым используя врождённое доверие пользователей к контенту, сгенерированному ИИ.

Исследование подчеркнуло различные поведения Copilot в разных интерфейсах, включая Outlook (с использованием кнопки "Summarize"), панель Copilot и Teams. Функция суммирования в Outlook продемонстрировала потенциал обнаружения и блокировки подозрительного контента в некоторых случаях. Однако панель Copilot часто подчинялась скрытым инструкциям, демонстрируя непоследовательную эффективность безопасности. Особенно стоит отметить, что, хотя Teams Copilot сохранял в целом осторожную позицию, он также мог повторять контент, предоставленный атакующими, в своих выводах.

Данная проблема подчеркивает значительный риск, известный как phishing, основанный на модели, когда легитимность резюме, созданных ИИ, может маскировать злонамеренный характер контента. Поскольку пользователи склонны рассматривать выводы ИИ какгенерируемые системой и заслуживающие доверия, злоумышленники могут создавать фишинговые сообщения, которые обошли традиционные защиты, маскируясь под авторитетную информацию от признанной системы.

Дальнейшее осложнение ситуации заключается в потенциальной возможности масштабирования этой схемы атаки. С ИИ-ассистентами, способными извлекать данные из платформ Microsoft 365 — включая Teams, OneDrive и SharePoint, риск выходит за рамки простой манипуляции с электронной почтой и включает потенциальную "эксфильтрацию данных в один клик." Увеличенный эффект XPIA может значительно увеличить радиус поражения таких атак, что представляет собой проблему для рамок кибербезопасности, которые должны защищать от сложных цепочек эксплуатации.

Предоставленная временная шкала показывает быстроту реакции Microsoft после первоначального сообщения о этих уязвимостях, классифицируя их под CVE-2026-26133 и начиная многофазный процесс смягчения. Подтверждения внутренних воспроизводств векторов атаки привели к идентификации слабых мест в поведении рендеринга и обработки ссылок в затронутых клиентских окружениях.

#ParsedReport #CompletenessMedium
15-03-2026

Payload ransomware group: mutex MakeAmericaGreatAgain

https://www.derp.ca/research/payload-ransomware-babuk-derivative/

Report completeness: Medium

Actors/Campaigns:
Payload_ransomware (motivation: financially_motivated)
Ra-group

Threats:
Payload_ransomware
Babuk
Shadow_copies_delete_technique
Win.ransomware.babuk-10032520-1
Nitrogen
Schoolboy
Neshta

Victims:
Hospital, Real estate sector, Energy sector, Healthcare sector, Telecom sector, Agriculture sector, Mid to large organisations

Industry:
Energy, Foodtech, Telco, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1070.001, T1070.004, T1083, T1106, T1486, T1489, T1490, T1497.003, T1518.001, have more...

IOCs:
Hash: 3
Domain: 2
File: 17
Command: 2
Path: 1

Soft:
Linux, ESXi, nginx, QuickBooks, Microsoft Office, outlook, onenote, thebat, firefox, steam, have more...

Algorithms:
curve25519-donna, sha512, hc-128, crc-32, xor, md5, base64, ecdh, curve25519, rc4, chacha20, sha256, salsa20

Functions:
MakeAmericaGreatAgain

Win API:
CryptGenRandom, NtReadFile, NtWriteFile, EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer, VirtualProtect, EvtOpenChannelEnum, EvtNextChannelPath, EvtClearLog, have more...

Win Services:
bits, YooBackup, dbsnmp, dbeng50, powerpnt, infopath

Platforms:
x86, intel

Links:
https://github.com/kirkderp/yara
have more...
https://github.com/Hildaboo/BabukRansomwareSourceCode