#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureLogs, компонент экосистемы вредоносного ПО PureCoder как услуги, работает с использованием двух различных вариантов. Первый, Mvfsxog.dll, функционирует как многопользовательский экстрактор на основе плагинов, полагаясь на сервер командования и управления для выполнения плагинов в памяти и уклонения от обнаружения. Второй вариант, Qdjlj.dll, является монолитным исполняемым файлом с обширными функциями для кражи криптовалюты, инъекций процессов и логирования нажатий клавиш, в то время как оба варианта акцентируют внимание на уклонении от песочницы и методах динамической доставки полезной нагрузки, усложняя усилия по обнаружению.
-----

PureLogs, также называемый "Plog", идентифицируется как компонент экосистемы PureCoder типа malware-as-a-service. Вредоносное ПО было впервые обнаружено в виде защищенной с помощью ConfuserEx .NET сборки во время многоступенчатого вторжения с отсутствием начальных обнаружений на VirusTotal. Угрозы использовали инфраструктуру командования и управления (C2), общую с несколькими инструментами в наборе PureCoder, включая PureHVNC. Кампания отслеживается Securonix под кодовым именем SERPENTINE#CLOUD.

Основной DLL, связанный с PureLogs, - это Mvfsxog.dll, который служит в качестве этапа на основе плагинов и не имеет собственных наступательных возможностей. Вместо этого он в значительной степени полагается на C2 сервер для доставки вредоносных payload в процессе выполнения динамическим образом через .NET плагины, которые загружаются через рефлексию и выполняются в памяти без записи на диск. Эта архитектура позволяет вредоносному ПО избегать статических мер обнаружения, применяемых традиционными антивирусными решениями.

Стратегия противодействия анализу включает проверки на наличие песочниц перед установлением связи с C2 сервером, включая постоянные проверки на признаки виртуальных машин, такие как биос-фингерпринтинг и системные свойства. Кроме того, вредоносное ПО использует минимальный механизм обмена данными для начальной связи, который основывается на заранее заданном ключе AES для шифрования. Конфигурационные детали, такие как хост и порт C2, динамически предоставляются в виде зашифрованных строк, которые вредоносное ПО расшифровывает при выполнении с использованием собственных методов, основанных на рефлексии.

Идентифицировано два различных сборки PureLogs. Первая, Mvfsxog.dll, функционирует как легковесный стейджер плагинов и демонстрирует обширные техники увертывания от песочницы. Вторая вариация, Qdjlj.dll, является монолитным исполняемым файлом, содержащим все основные функции, которые включают возможности кражи криптовалюты путем целеуказания на более чем 50 расширений для браузера и другие приложения цифровых кошельков.

Этот монолитный вариант имеет широкий спектр функциональных возможностей, включая инъекцию процессов, функции записи нажатий клавиш, способность создавать механизмы постоянного доступа через запланированные задачи и мониторинг активности браузера. Однако, в отличие от своего преемника, он загружает все операционные возможности непосредственно в бинарный файл.

Обе вариации обладают аналогичной операционной направленностью, но кардинально отличаются своей архитектурой и методом доставки вредоносного ПО. Переход от монолитного дизайна, который оставляет различные следы на хост-системе, к архитектуре на основе плагинов подчеркивает целенаправленные усилия по повышению устойчивости при минимизации рисков обнаружения, связанных с развертыванием вредоносного ПО. Согласно последнему анализу, обе вариации страдают от нечетких меток обнаружения, а определение специфических семейств остается трудным, что иллюстрирует проблемы, с которыми сталкиваются защитники при идентификации и смягчении этих продвинутых форм киберугроз.

#ParsedReport #CompletenessMedium
16-03-2026

PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem

https://www.derp.ca/research/purecrypter-loader-analysis/

Report completeness: Medium

Actors/Campaigns:
Purecoder (motivation: information_theft)
Serpentine_cloud

Threats:
Purecryptor
Confuserex_tool
Purelogs
Credential_harvesting_technique
Purehvnc_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat

Victims:
Multiple sectors

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1140, T1204.002, T1555.003, T1562.001, T1588.002, T1620

IOCs:
File: 40
Hash: 7

Algorithms:
md5, gzip, base64, xor, sha256, 3des

Functions:
SetWindowsHookEx, Main, Orchestrator, ArgumentException, CopyTo, SetDecider

Win API:
decompress, AddClipboardFormatListener

Languages:
powershell, autoit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureCrypter — это .NET криптер в рамках сервиса malware-as-a-service PureCoder, ассоциируемый с загрузчиками под именем Erqcke, используемыми в кампании SERPENTINE#CLOUD. Эти приложения PE32 .NET используют обфускацию ConfuserEx, чтобы скрыть свою вредоносную функциональность, и применяют техники загрузки в памяти вместе с агрессивными методами обфускации, такими как инъекция мертвого кода. Они способствуют доставке вредоносных полезных нагрузок, включая варианты PureLogs, предназначенные для кражи криптокошельков и сбора учетных данных, демонстрируя сложный ландшафт угроз с продолжающейся эволюцией тактик.
-----

PureCrypter — это коммерческий .NET криптер, интегрированный в экосистему PureCoder malware-as-a-service, в первую очередь используемый для доставки внутренних полезных нагрузок, связанных с вредоносной деятельностью. Этот анализ сосредоточен на двух загрузчиках, известных как Erqcke, которые были идентифицированы в кампании, отслеживаемой под названием SERPENTINE#CLOUD компанией Securonix. Сами загрузчики являются приложениями PE32 .NET (x86), использующими ConfuserEx для обфускации, прежде всего нацеливаясь на сокрытие вредоносной функциональности при обходе обнаружения.

Анализ образцов показывает, что, несмотря на низкие оценки на некоторых платформах обнаружения, они могут демонстрировать поведение, указывающее на злонамеренные намерения, особенно во время процесса доставки полезной нагрузки. Лоадеры имеют заметную структуру, позволяющую загружать сборки в памяти с помощью таких методов, как Assembly.Load(byte[\]), и используют рефлексию для вызова конкретных классов и методов из встроенных ресурсов. Более того, они включают агрессивные техники обфускации, такие как инъекция «мертвого» кода, чтобы запутать реверсивных инженеров, сохраняя при этом основную функциональность.

Поведенческие индикаторы загрузчиков подчеркивают использование 3DES для дешифрования и GZip для распаковки, что облегчает извлечение полезной нагрузки, предназначенной для различных вредоносных действий. Загрузчики эффективно доставляют варианты PureLogs, включая плагинный стаджер (Mvfsxog.dll), не обладающий встроенными наступательными способностями, но ожидающий команд от сервера командования и управления (C2), и более сложный толстый клиент (Qdjlj.dll), который интегрирует функции кражи крипто-кошельков, сбора учетных данных и эксфильтрации данных.

Работая в рамках PureCoder, эти загрузчики указывают на постоянно изменяющийся ландшафт угроз, с улучшениями, заметными между новейшей сборкой ноября по сравнению с предыдущими версиями. Конструкция кода, включая такие характеристики, как использование непрозрачных предикатов и выравнивание управляющего потока, свидетельствует о попытках усложнить анализ и увеличить долговечность злонамеренных начинаний через эффективные механизмы сохранения, такие как подход на основе AutoIt. В совокупности эта инфраструктура представляет собой значительную угрозу для кибербезопасности, учитывая её возможности по обфускации, модульной доставке зарядов и разнообразным наступательным возможностям.

#ParsedReport #CompletenessMedium
16-03-2026

Hacked sites deliver Vidar infostealer to Windows users

https://www.malwarebytes.com/blog/threat-intel/2026/03/hacked-sites-deliver-vidar-infostealer-to-windows-users

Report completeness: Medium

Threats:
Vidar_stealer
Clickfix_technique
Coruna_tool

Geo:
Brazil, France, United kingdom, Italy

IOCs:
File: 2
Path: 2
Domain: 3
Url: 4

Soft:
WordPress, Chrome

Algorithms:
xor

Win API:
CheckRemoteDebuggerPresent, IsDebuggerPresent, QueryPerformanceCounter, GetTickCount

Languages:
powershell, golang

Platforms:
apple

#ParsedReport #CompletenessLow
17-03-2026

Kimsuky malware using Dropbox API

https://sect.iij.ad.jp/blog/2026/03/dropbox-api-kimsuky-malware/

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
Users in south korea

Geo:
North korea, Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1059.005, T1071.001, T1102.002, T1105, T1204.002, T1567.002

IOCs:
File: 4
Path: 4
Hash: 3

Soft:
Dropbox, task scheduler, Twitter

Algorithms:
sha256

Win API:
GetTempFileName

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года образец вредоносного ПО, связанный с северокорейской APT-группировкой Kimsuky, был обнаружен встроенным в файл LNK, загруженный из Южной Кореи. Это вредоносное ПО использует Dropbox API для эксфильтрации данных, выполняя VBScript, который приводит к дальнейшему развертыванию вредоносного ПО, включая промежуточные ПО для удаленного доступа. Атака демонстрирует стратегию группы по использованию законных сервисов, таких как Dropbox, для улучшения своей деятельности, что указывает на устойчивую кампанию с начала 2026 года.
-----

В марте 2026 года анализ, проведенный IIJ, выявил образец вредоносного ПО, связанный с северокорейской APT-группировкой Kimsuky. Вредоносное ПО было обнаружено в файле LNK, который был загружен из Южной Кореи в общедоступное хранилище вредоносного ПО. Это конкретное вредоносное ПО характеризуется своей способностью извлекать информацию с помощью API Dropbox и выполнять последующие этапы вредоносного ПО, указанные злоумышленником.

После выполнения файла LNK вредоносное ПО инициирует команду, которая запускает VBScript (с именем www.ps1 ) находится в том же каталоге. Этот скрипт выполняет другой файл, 17.vbs, который работает совместно с XML-файлом планировщика задач (sch_ha.db), предназначенным для автоматического выполнения. Кроме того, вредоносное ПО генерирует документ-приманку, отформатированный специально для программного обеспечения Hancom Office.

Чтобы облегчить эксфильтрацию данных, вредоносное ПО использует жестко закодированные учетные данные Dropbox API. Первоначально он проверяет, существует ли определенная папка (идентификатор Zzz02_Client) в учетной записи Dropbox злоумышленника, создавая ее при необходимости. Впоследствии вредоносное ПО загружает системную информацию в эту папку через временный файл и пытается загрузить и запустить файл с именем date/time_info.ini. В случае успеха загруженный файл переименовывается в Zzz02_Client ID_ToKo_set в Dropbox. Эта последовательность предполагает, что злоумышленники оценивают, выполнила ли цель вредоносную полезную нагрузку на основе загруженной системной информации, прежде чем отправлять дополнительное вредоносное ПО, потенциально включающее ПО для удаленного доступа (RATs) с помощью пакетных файлов.

Этот инцидент является частью более широкой тенденции, наблюдаемой IIJ, когда с января 2026 года многочисленные нападения были атрибутированы с APT-группировкой, связанной с Северной Кореей. Эти атаки, в частности, используют законные сервисы, такие как GitHub и Dropbox, для облегчения своей работы. Учитывая закрепление этой тактики, постоянный мониторинг и бдительность в отношении такого использования законных платформ необходимы защитникам в сфере Кибербезопасности.

#ParsedReport #CompletenessLow
17-03-2026

Iranian Cyber Threat Evolution: From MBR Wipers to Identity Weaponization

https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/

Report completeness: Low

Actors/Campaigns:
Blackshadow (motivation: hacktivism)
Apt33
Oilrig
Irgc
Void_manticore (motivation: hacktivism)
Handala-hacking-team (motivation: hacktivism)
Muddywater (motivation: hacktivism)

Threats:
Disttrack
Supply_chain_technique
Lolbin_technique
Spear-phishing_technique
Zerocleare_wiper
Dustman_wiper
Apostle
Fantasy_wiper
Hatef
Hamsa
Bfg_agonizer

Victims:
Energy sector, Industrial sector, Global organizations, Middle eastern entities, Downstream victims across multiple global verticals

Industry:
Energy, Critical_infrastructure

Geo:
Iranian, Israeli, Iran

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1078, T1105, T1190, T1195, T1219, T1486, T1490, T1505.003, T1529, have more...

Soft:
Telegram, Outlook, Linux

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакерские группировки, занимающиеся киберугрозами, перешли от традиционных инструментов вредоносного ПО к изощренной тактике, использующей законные административные инструменты, уделяя особое внимание злоупотреблению личными данными, особенно с 2023 года. Примечательно, что такие группы, как Void Manticore, используют в системах управления мобильными устройствами идентификаторы с высокими привилегиями компрометации для выдачи команд, которые могут стирать данные в обширных сетях без использования традиционного вредоносного ПО, что затрудняет обнаружение. Этот сдвиг отражает более широкую тенденцию, делающую упор на оперативную эффективность и психологические операции, при этом будущие угрозы, вероятно, будут сосредоточены на использовании личных данных в качестве оружия и эксплуатации облачных платформ управления.
-----

Тактика иранской киберугрозы эволюционировала от традиционного вредоносного ПО к использованию законных административных инструментов. Этот сдвиг указывает на стратегическую адаптацию иранских злоумышленников к оперативной эффективности. IRGC и MOIS используют кибероперации в качестве недорогостоящего асимметричного возмездия, используя корпоративные фреймворки для сбоев. Недавние инциденты связаны с такими акторами, как Void Manticore, компрометирующими идентификационные данные пользователей с высокими привилегиями с помощью систем управления мобильными устройствами (MDM). Они могут выполнять законные команды для удаления данных в обширных сетях без использования традиционного вредоносного ПО, что затрудняет обнаружение. Исторически сложилось так, что такие группы, как Curious Serpens и Evasive Serpens, использовали вредоносное ПО для очистки дисков, такое как Shamoon, получая доступ с помощью spear phishing. Появление Agonizing Serpens привело к правдоподобному отрицанию, используя вредоносное ПО wiper, замаскированное под программу-вымогателя. Последние семейства вредоносных ПО, такие как BiBi, Hatef и Hamsa, нацелены на кроссплатформенность и переходят к перезаписи на уровне файлов. Такой подход снижает зависимость от сложного вредоносного ПО при максимальном воздействии. Будущее иранских киберугроз сосредоточено на использовании идентификационных данных в качестве оружия с использованием облачных платформ управления. Кампании нацелены на базовую инфраструктуру, подчеркивая, что безопасность предприятия зависит от защиты административных учетных данных. Специалисты по Кибербезопасности должны уделять приоритетное внимание защите, ориентированной на идентификацию, внедрять строгий контроль доступа, ограничивать постоянные привилегии и обеспечивать надежное управление учетными данными. Приоритетность облачных платформ управления в качестве критически важной инфраструктуры требует повышенных протоколов безопасности.

#ParsedReport #CompletenessLow
17-03-2026

CursorJack: weaponizing Deeplinks to exploit Cursor IDE

https://www.proofpoint.com/us/blog/threat-insight/cursorjack-weaponizing-deeplinks-exploit-cursor-ide

Report completeness: Low

Threats:
Cursorjack_technique
Metasploit_tool
Credential_harvesting_technique
Meterpreter_tool
Motw_bypass_technique

Industry:
E-commerce

CVEs:
CVE-2025-54133 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anysphere cursor (<1.3)

CVE-2025-54136 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- anysphere cursor (<1.3)


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4

Soft:
docker, Outlook, curl

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/EmergingThreats/threatresearch/tree/master/CursorJack
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CursorJack нацелен на уязвимости в Model Context Protocol (MCP) IDE Cursor, позволяющие злоумышленникам выполнять произвольные команды или устанавливать вредоносные серверы через манипулируемые глубинные ссылки. Используя социальную инженерию, злоумышленники могут обманом заставить пользователей, особенно разработчиков, выполнять вредоносные команды или устанавливать серверы компрометации с помощью, казалось бы, законных глубинных ссылок. Результатом атаки может стать обратная оболочка Meterpreter, предоставляющая злоумышленникам доступ к файловой системе жертвы и облегчающая дальнейшую эксплуатацию с использованием методов, позволяющих скрыть вредоносную полезную нагрузку и снизить риски обнаружения.
-----

CursorJack использует уязвимости в механизме глубокой привязки протокола Model Context Protocol (MCP) IDE Cursor. Злоумышленники могут выполнять произвольные команды или устанавливать вредоносные серверы с помощью социальной инженерии. Пользователи нажимают на ссылку и принимают приглашение к установке, при этом нет видимого различия между законными и вредоносными глубокими ссылками. Настроенные серверы MCP позволяют выполнять команды, включая команды npx и docker. Вредоносные глубинные ссылки могут запускать вредоносные команды или устанавливать серверы MCP с компрометацией. В качестве доказательства концепции показана кампания по фишингу, перенаправляющая пользователей на установку вредоносной конфигурации MCP, которая запускает выполнение команды. Обратная оболочка Meterpreter может быть развернута с помощью ссылки для фишинга, которая ведет на вредоносную целевую страницу с глубокой ссылкой MCP. Эта глубокая ссылка заполняет конфигурационный файл командами для загрузки пакетного сценария, который выполняет Metasploit payload, устанавливая обратное соединение с оболочкой. Уязвимость обеспечивает закрепление выполнения команды даже после перезапуска Cursor IDE. Глубинные ссылки MCP также могут способствовать атакам на удаленную установку сервера MCP, что приводит к межсерверным манипуляциям. Злоумышленники могут маскировать свою полезную нагрузку с помощью обычных команд разработчика, чтобы снизить риски обнаружения. Доставка полезной нагрузки может быть поэтапной или встроенной, при этом Встроенные полезные нагрузки могут обновляться на стороне сервера без изменения deeplink. Методы обфускации, такие как кодирование команд или использование длинных строк, могут маскировать вредоносные конфигурации во время утверждения пользователем, облегчая эксплуатацию.

#ParsedReport #CompletenessLow
17-03-2026

Middle East CyberWarfareIntensifies: Rising Attacks, Hacktivist Surge, and Global Risk Exposure

https://cyble.com/blog/middle-east-cyber-warfare-2026-hybrid-conflict/

Report completeness: Low

Actors/Campaigns:
Charming_kitten (motivation: hacktivism)
Fox_kitten (motivation: hacktivism)
Apt33 (motivation: hacktivism)
Muddywater (motivation: hacktivism)
Oilrig (motivation: hacktivism)
Cyberav3nger (motivation: hacktivism)
Handala-hacking-team (motivation: hacktivism)
Dienet (motivation: hacktivism)

Threats:
Supply_chain_technique
Spear-phishing_technique
Lotuslite

Victims:
Governments, Energy sector, Finance sector, Communications sector, Industrial systems, Nuclear infrastructure, Military infrastructure, Internet service providers, Media networks, Airports, have more...

Industry:
Critical_infrastructure, Aerospace, Government, Military, Telco, Petroleum, Financial, Energy

Geo:
Middle east, Israeli, Iranian, Iran, Russia, Jordan, India, Israel

ChatGPT TTPs:
do not use without manual check
T1041, T1059, T1071, T1105, T1110, T1190, T1203, T1204, T1480, T1486, have more...

Soft:
Microsoft Exchange

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На Ближнем Востоке наблюдается всплеск кибератак на фоне продолжающихся конфликтов, особенно с участием спонсируемых государством группировок, таких как иранские группировки, и хактивистов, нацеленных на критически важные объекты инфраструктуры, такие как энергетика и финансы. Известные операции, включая инициативы США и Израиля против Ирана, использовали обширную кибератаку, такую как фишинг и внедрение вредоносного ПО. Кроме того, эксплуатируются уязвимости в таких технологиях, как VPN и Microsoft Exchange, что приводит к увеличению числа угроз, которые также ставят под угрозу глобальные supply Chains.
-----

На Ближнем Востоке наблюдается рост числа кибератак со стороны спонсируемых государством организаций и групп хактивистов, нацеленных на критически важную инфраструктуру. Деятельность, спонсируемая иранским государством, включает в себя нарушение распределения топлива в Иордании и вмешательство в морские навигационные системы. Операции США и Израиля "Эпическая ярость" и "Ревущий лев" были нацелены на ядерные и военные объекты Ирана с помощью военных ударов и киберопераций. Иранские группировки противостояли кампаниям фишинга, в которых использовалось вредоносное ПО, включая поддельное приложение для предупреждения о ракетном нападении, для кражи конфиденциальной информации. Иранские киберподразделения, такие как Charming Kitten (APT35), APT33, MuddyWater, OilRig и Pioneer Kitten, занимаются кибершпионажем и разрушением инфраструктуры, используя уязвимости в VPN и Microsoft Exchange. Применяемая тактика включает фишинг с помощью искусственного интеллекта и использование документов в качестве оружия. Связанные с Ираном хактивисты проводят DDoS-атаки и действуют в системах промышленного контроля. Более семидесяти групп хактивистов активно участвуют в подрывной деятельности, такой как утечка данных и пропаганда. Существуют опасения по поводу сотрудничества между этими хактивистами и связанными с Россией группами. Значительная кибератака со стороны Израиля 28 февраля 2026 года привела к масштабным перебоям в работе Интернета в Иране. Иранские группировки атакуют энергетические системы и финансовые сети с помощью программ-вымогателей и эксфильтрации данных. Эти киберинциденты создают риски для глобальных Цепочек поставок и стран за пределами региона, таких как Индия. Организациям рекомендуется усилить меры по Кибербезопасности, включая стратегии реагирования на инциденты и Многофакторную аутентификацию.

#ParsedReport #CompletenessMedium
17-03-2026

When Reality Diverges from the Playbook: Darktrace Identifies Encryption in a World Leaks Ransomware Attack

https://www.darktrace.com/blog/when-reality-diverges-from-the-playbook-darktrace-identifies-encryption-in-a-world-leaks-ransomware-attack

Report completeness: Medium

Actors/Campaigns:
Unc6148

Threats:
Hunters_international
Hive_ransomware
Secp0
Rclone_tool
Lolbin_technique
Winrm_tool

Victims:
Healthcare sector, Industrial manufacturing sector, Technology sector, Industries with valuable intellectual property, Organizations in the united states, Organizations in canada, Organizations in europe

Industry:
Healthcare

Geo:
Canada

TTPs:
Tactics: 11
Technics: 20

IOCs:
Domain: 6
IP: 2
File: 3

Soft:
PsExec, Chrome, OpenSSH

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The World Leaks ransomware group, ребрендинг Hunters International, приняла модель "Вымогательство как услуга" (EAAs), ориентированную на кражу данных и вымогательство, а не на традиционное шифрование. Ориентируясь на такие секторы, как здравоохранение и технологии, они используют учетные данные для компрометации VPN, фишинг и используют интернет-приложения для первоначального доступа. Их оперативная тактика включает в себя перемещение внутри компании с использованием SMB, RDP, SSH и использование облачного туннелирования для передачи данных управления, что затрудняет обнаружение, демонстрируя при этом значительную адаптивность в ответ на усилия правоохранительных органов.
-----

В статье обсуждается появление и деятельность World Leaks ransomware group, ребрендинга бывшей Hunters International group, которая перешла на модель "Вымогательство как услуга" (EAAs), делая упор на краже данных и вымогательстве, а не на традиционном шифровании программ-вымогателей. Этот переход означает более широкую тенденцию среди киберпреступников, когда кража данных становится более важной, чем шифрование, используемое при атаках программ-вымогателей, что способствует более скрытному оперативному подходу, который нацелен на репутацию организации и оказывает давление на жертв без сложностей шифрования.

World Leaks использует модель, основанную на партнерстве, которая предоставляет различные инструменты, включая проприетарное программное обеспечение для хранения данных для эксфильтрации, при управлении операциями с помощью инфраструктуры из четырех частей, состоящей из сайта утечки данных, портала переговоров, платформы управления партнерством и платформы для журналистов-инсайдеров. Их деятельность сосредоточена в первую очередь на промышленном секторе, организациях здравоохранения и технологических фирмах, использующих учетные данные для компрометации виртуальной частной сети (VPN), фишинг и использование интернет-приложений для первоначального доступа.

Оказавшись внутри целевой сети, World Leaks использует такие методы перемещения внутри компании, как SMB, RDP, SSH, PsExec и Rclone, что позволяет им перемещаться внутри сети незамеченными. Они были особо отмечены за использование устройств Fortigate и проведение атак методом "грубой силы" на учетные данные для компрометации. Группа использует облачные сервисы туннелирования, такие как Cloudflare Tunnel, для обмена данными по управлению (C2), что затрудняет обнаружение за счет использования законной инфраструктуры в злонамеренных целях.

Было замечено, что группа проводит обширную эксфильтрацию данных с использованием Облачных сервисов, таких как MEGA и Backblaze. В ходе важного инцидента Darktrace обнаружил эксфильтрацию более 80 ГБ данных незадолго до начала фактической фазы шифрования. Хотя World Leaks утверждала, что отказалась от шифрования, инцидент в январе 2026 года опроверг это утверждение, когда наблюдалась как эксфильтрация данных, так и шифрование.

Отличительной чертой тактики World Leaks является их адаптивность и способность изменять свои методы в ответ на пристальное внимание правоохранительных органов, что говорит о необходимости принятия упреждающих мер по Кибербезопасности. Их использование методов living-off-the-land и распространенных инструментов удаленного управления не только позволяет избежать обнаружения, но и подчеркивает эволюционирующие методологии в рамках киберпреступности, отражая заметный сдвиг в сторону операций EAAs. Последствия их тактики и стратегий подчеркивают потенциальное увеличение оперативных проблем для организаций, на которые нацелены такие злоумышленники.