#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На Ближнем Востоке наблюдается всплеск кибератак на фоне продолжающихся конфликтов, особенно с участием спонсируемых государством группировок, таких как иранские группировки, и хактивистов, нацеленных на критически важные объекты инфраструктуры, такие как энергетика и финансы. Известные операции, включая инициативы США и Израиля против Ирана, использовали обширную кибератаку, такую как фишинг и внедрение вредоносного ПО. Кроме того, эксплуатируются уязвимости в таких технологиях, как VPN и Microsoft Exchange, что приводит к увеличению числа угроз, которые также ставят под угрозу глобальные supply Chains.
-----

На Ближнем Востоке наблюдается рост числа кибератак со стороны спонсируемых государством организаций и групп хактивистов, нацеленных на критически важную инфраструктуру. Деятельность, спонсируемая иранским государством, включает в себя нарушение распределения топлива в Иордании и вмешательство в морские навигационные системы. Операции США и Израиля "Эпическая ярость" и "Ревущий лев" были нацелены на ядерные и военные объекты Ирана с помощью военных ударов и киберопераций. Иранские группировки противостояли кампаниям фишинга, в которых использовалось вредоносное ПО, включая поддельное приложение для предупреждения о ракетном нападении, для кражи конфиденциальной информации. Иранские киберподразделения, такие как Charming Kitten (APT35), APT33, MuddyWater, OilRig и Pioneer Kitten, занимаются кибершпионажем и разрушением инфраструктуры, используя уязвимости в VPN и Microsoft Exchange. Применяемая тактика включает фишинг с помощью искусственного интеллекта и использование документов в качестве оружия. Связанные с Ираном хактивисты проводят DDoS-атаки и действуют в системах промышленного контроля. Более семидесяти групп хактивистов активно участвуют в подрывной деятельности, такой как утечка данных и пропаганда. Существуют опасения по поводу сотрудничества между этими хактивистами и связанными с Россией группами. Значительная кибератака со стороны Израиля 28 февраля 2026 года привела к масштабным перебоям в работе Интернета в Иране. Иранские группировки атакуют энергетические системы и финансовые сети с помощью программ-вымогателей и эксфильтрации данных. Эти киберинциденты создают риски для глобальных Цепочек поставок и стран за пределами региона, таких как Индия. Организациям рекомендуется усилить меры по Кибербезопасности, включая стратегии реагирования на инциденты и Многофакторную аутентификацию.

#ParsedReport #CompletenessMedium
17-03-2026

When Reality Diverges from the Playbook: Darktrace Identifies Encryption in a World Leaks Ransomware Attack

https://www.darktrace.com/blog/when-reality-diverges-from-the-playbook-darktrace-identifies-encryption-in-a-world-leaks-ransomware-attack

Report completeness: Medium

Actors/Campaigns:
Unc6148

Threats:
Hunters_international
Hive_ransomware
Secp0
Rclone_tool
Lolbin_technique
Winrm_tool

Victims:
Healthcare sector, Industrial manufacturing sector, Technology sector, Industries with valuable intellectual property, Organizations in the united states, Organizations in canada, Organizations in europe

Industry:
Healthcare

Geo:
Canada

TTPs:
Tactics: 11
Technics: 20

IOCs:
Domain: 6
IP: 2
File: 3

Soft:
PsExec, Chrome, OpenSSH

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The World Leaks ransomware group, ребрендинг Hunters International, приняла модель "Вымогательство как услуга" (EAAs), ориентированную на кражу данных и вымогательство, а не на традиционное шифрование. Ориентируясь на такие секторы, как здравоохранение и технологии, они используют учетные данные для компрометации VPN, фишинг и используют интернет-приложения для первоначального доступа. Их оперативная тактика включает в себя перемещение внутри компании с использованием SMB, RDP, SSH и использование облачного туннелирования для передачи данных управления, что затрудняет обнаружение, демонстрируя при этом значительную адаптивность в ответ на усилия правоохранительных органов.
-----

В статье обсуждается появление и деятельность World Leaks ransomware group, ребрендинга бывшей Hunters International group, которая перешла на модель "Вымогательство как услуга" (EAAs), делая упор на краже данных и вымогательстве, а не на традиционном шифровании программ-вымогателей. Этот переход означает более широкую тенденцию среди киберпреступников, когда кража данных становится более важной, чем шифрование, используемое при атаках программ-вымогателей, что способствует более скрытному оперативному подходу, который нацелен на репутацию организации и оказывает давление на жертв без сложностей шифрования.

World Leaks использует модель, основанную на партнерстве, которая предоставляет различные инструменты, включая проприетарное программное обеспечение для хранения данных для эксфильтрации, при управлении операциями с помощью инфраструктуры из четырех частей, состоящей из сайта утечки данных, портала переговоров, платформы управления партнерством и платформы для журналистов-инсайдеров. Их деятельность сосредоточена в первую очередь на промышленном секторе, организациях здравоохранения и технологических фирмах, использующих учетные данные для компрометации виртуальной частной сети (VPN), фишинг и использование интернет-приложений для первоначального доступа.

Оказавшись внутри целевой сети, World Leaks использует такие методы перемещения внутри компании, как SMB, RDP, SSH, PsExec и Rclone, что позволяет им перемещаться внутри сети незамеченными. Они были особо отмечены за использование устройств Fortigate и проведение атак методом "грубой силы" на учетные данные для компрометации. Группа использует облачные сервисы туннелирования, такие как Cloudflare Tunnel, для обмена данными по управлению (C2), что затрудняет обнаружение за счет использования законной инфраструктуры в злонамеренных целях.

Было замечено, что группа проводит обширную эксфильтрацию данных с использованием Облачных сервисов, таких как MEGA и Backblaze. В ходе важного инцидента Darktrace обнаружил эксфильтрацию более 80 ГБ данных незадолго до начала фактической фазы шифрования. Хотя World Leaks утверждала, что отказалась от шифрования, инцидент в январе 2026 года опроверг это утверждение, когда наблюдалась как эксфильтрация данных, так и шифрование.

Отличительной чертой тактики World Leaks является их адаптивность и способность изменять свои методы в ответ на пристальное внимание правоохранительных органов, что говорит о необходимости принятия упреждающих мер по Кибербезопасности. Их использование методов living-off-the-land и распространенных инструментов удаленного управления не только позволяет избежать обнаружения, но и подчеркивает эволюционирующие методологии в рамках киберпреступности, отражая заметный сдвиг в сторону операций EAAs. Последствия их тактики и стратегий подчеркивают потенциальное увеличение оперативных проблем для организаций, на которые нацелены такие злоумышленники.

#ParsedReport #CompletenessMedium
17-03-2026

Operation GhostMail: Russian APT exploits Zimbra Webmail to Target Ukraine State Agency

https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/

Report completeness: Medium

Actors/Campaigns:
Ghostmail
Fancy_bear
Apt29
Winter_vivern
Roundpress

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Ukrainian government, Public sector, Critical national infrastructure, Hydrology and maritime services

Industry:
Maritime, Transport, Government

Geo:
Russian, Ukraine, Ukrainian

CVEs:
CVE-2025-66376 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 21

IOCs:
Domain: 3
File: 7
Hash: 1

Soft:
Zimbra, Chrome, Zimbra Collaboration Suite, Roundcube, MDaemon

Algorithms:
xor, base32, base64

Functions:
atob, SOAP, GetIdentitiesRequest, GetInfoRequest, GetScratchCodesRequest, CreateAppSpecificPasswordRequest, GetDeviceStatusRequest, GetOAuthConsumersRequest

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция GhostMail, атрибутируемая с российской APT, нацелена на украинское государственное учреждение с помощью кампании фишинга, использующей сохраненную уязвимость XSS CVE-2025-66376 в веб-почте Zimbra. Атака внедряет вредоносный JavaScript в электронное письмо, замаскированное под запрос о стажировке, которое активируется, когда жертва открывает его, захватывая учетные данные, токены сеанса и содержимое почтового ящика по протоколам DNS и HTTPS. Эта кампания иллюстрирует переход к тактике "резидентного" браузера, позволяющей обойти традиционное обнаружение вредоносного ПО, избегая удаления файлов, что подчеркивает необходимость усиленных мер безопасности в среде веб-почты.
-----

Операция GhostMail включает в себя целенаправленную кампанию фишинга, в ходе которой российский APT использует уязвимость в веб-почте Zimbra для атаки на украинское правительственное учреждение. Атака использует уязвимость хранимого межсайтового скриптинга (XSS) CVE-2025-66376, которая возникает из-за неадекватной очистки директив CSS @import в HTML-коде веб-почты Zimbra. Эта уязвимость эффективно используется в рамках фишинг-рассылки, Маскировки под запрос о прохождении стажировки, встраивая полезную нагрузку JavaScript, которая выполняется при открытии письма жертвой.

Электронное письмо с фишингом не содержит никаких подозрительных ссылок или вложений. Вместо этого он размещает вредоносный код непосредственно в HTML, используя уязвимость, когда ничего не подозревающий пользователь получает к нему доступ через активный сеанс веб-почты. Полезная нагрузка JavaScript скрытно собирает конфиденциальную информацию, такую как учетные данные, токены сеанса, резервные коды 2FA и содержимое из почтового ящика жертвы, извлекая эти данные с использованием протоколов DNS и HTTPS.

Инфраструктура атаки была создана незадолго до отправки электронного письма с фишингом, и показатели указывают на то, что она согласуется с операциями спонсируемых российским государством групп, особенно тех, которые ранее были нацелены на украинские организации. Закодированная полезная нагрузка является сложной, использующей многоуровневые методы запутывания, и способна выполнять несколько одновременных операций, поддерживая постоянное соединение с атакующими по каналам командования и контроля (C2).

После выполнения JavaScript сначала проверяет, запущен ли уже определенный скрипт, чтобы предотвратить множественные экземпляры. Затем он декодирует полезную нагрузку base64 для развертывания окончательного вредоносного кода, предназначенного для проникновения в сеанс веб-почты и сбора учетных данных пользователей, контактов, электронной почты и других важных сведений. Кампания также использует запросы SOAP API, присущие среде Zimbra, что позволяет затем выполнять операции, неотличимые от законных действий с веб-почтой, и предоставляет широкие возможности сбора данных.

Отнесение атаки к APT28 основано на техническом сходстве с предыдущими российскими кибероперациями, которые включали использование Zimbra против целей в Восточной Европе. Эта кампания представляет собой заметную эволюцию в стратегиях кибератак, переход от обычного вредоносного ПО к чисто браузерным методам, которые не требуют удаления файлов или макросов, что позволяет обойти многие традиционные фреймворки обнаружения. Последствия подчеркивают необходимость строгих методов очистки и быстрого развертывания исправлений в службах веб-почты, наряду с усилением мониторинга необычных действий API в таких средах.

#ParsedReport #CompletenessHigh
17-03-2026

Glassworm Strikes Popular React Native Phone Number Packages

https://www.aikido.dev/blog/glassworm-strikes-react-packages-phone-numbers

Report completeness: High

Threats:
Glassworm
Supply_chain_technique

Victims:
Software development, Open source ecosystem, React native developers

Geo:
Russia, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.009, T1059, T1059.007, T1071.001, T1102, T1102.003, T1104, T1105, have more...

IOCs:
Email: 1
File: 12
Url: 2
Registry: 1
IP: 2
Hash: 1
Domain: 3

Soft:
Node.js, Firefox, chrome

Wallets:
metamask, exodus_wallet, coinomi, daedalus, braavos_wallet, electrum, guarda_wallet, mainnet, coinbase, rabby, have more...

Crypto:
solana

Algorithms:
aes, base64, aes-256-cbc, sha256

Functions:
getSignaturesForAddress

Languages:
powershell, javascript

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака supply chain 16 марта 2026 года привела к компрометации двух пакетов React Native npm от разработчика AstrOOnauta, используя предустановленный хук для выполнения многоэтапной полезной нагрузки вредоносного ПО, нацеленной на кражу учетных данных Windows и криптовалютных данных. Вредоносное ПО предназначено для запуска только в определенных географических регионах, отражая типичное поведение российских злоумышленников, и использует Google Calendar для запутывания при загрузке дополнительных вредоносных компонентов. Оба вредоносных пакета содержат загрузчик, идентичный по байтам, что указывает на скоординированную атаку, а не на изолированные инциденты, подчеркивая уязвимости в системах управления пакетами.
-----

Скоординированная атака по Цепочке поставок 16 марта 2026 года была направлена против двух пакетов npm: react-native-country-select@0.3.91 и react-native-international-phone-number@0.11.8 . Атака использовала запутанный предустановочный хук для загрузки и выполнения многоэтапной полезной нагрузки вредоносного ПО при установке npm, направленной на кражу учетных данных Windows и информации, связанной с криптовалютой. Он использовал предустановочный хук для запуска вредоносного ПО перед обычной установкой, используя обычную установку пакетов. Вредоносное ПО нацеливалось на определенные среды, проверяя настройки русского языка или часового пояса, используя фильтры, такие как ru_RU, для предотвращения выполнения за пределами целевых регионов, что указывает на российских злоумышленников. Далее он извлек компоненты из памятки Solana, причем полезная нагрузка третьего этапа функционировала как загрузчик и похититель данных для систем Windows. Эта полезная нагрузка использовала Google Calendar для запутывания, чтобы получить больше скриптов. Вредоносные пакеты использовали общий загрузчик, идентичный по байтам, что наводит на мысль о единой скоординированной атаке. Изменения, внесенные в пакеты, указывали на преднамеренное использование бэкдора, а не на случайное включение вредоносного ПО. Вредоносное ПО устанавливает полный Node.js среда выполнения выполняется независимо от конфигурации системы жертвы, нацеливаясь на каталоги основных веб-браузеров для извлечения конфиденциальных данных из расширений криптокошелька. Этот инцидент выявил уязвимости в управлении пакетами и потенциал использования атак по Цепочке поставок.

#ParsedReport #CompletenessMedium
17-03-2026

MITRE ATT&CK Mapping

https://labs.k7computing.com/index.php/fake-telegram-malware-campaign-analysis-of-a-multi-stage-loader-delivered-via-typosquatted-websites/

Report completeness: Medium

Threats:
Typosquatting_technique

Victims:
Consumers

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 5
Registry: 1
Hash: 2
IP: 1
Domain: 2
Url: 1
Command: 1
Path: 1

Soft:
Telegram, Windows Defender, Twitter, Windows installer, Embarcadero

Algorithms:
md5

Win API:
DllRegisterServer

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В вредоносной кампании используется многоэтапная стратегия заражения, инициируемая с помощью веб-сайта с typosquatted, выдающего себя за портал загрузки Телеграм. Вредоносный исполняемый файл, "tsetup-x64.6.exe ," использует запутанный PowerShell для изменения настроек защитника Windows при выполнении полезных нагрузок полностью в памяти посредством Отражающей загрузки кода, избегая традиционных методов обнаружения. Он устанавливает подключение C2 для динамических обновлений, выделяя передовые методы социальной инженерии и уклонения.
-----

Обсуждаемая вредоносная кампания использует сложную многоэтапную стратегию заражения, инициируемую через веб-сайт с typosquatted, выдающий себя за официальный портал загрузки Телеграм. Этот сайт, в частности, использует домен "telegrgam.com ," представляет пользователям, казалось бы, законный установщик, предназначенный для заражения их систем вредоносным ПО. Узнаваемый как "tsetup-x64.6.exe , " этот вредоносный исполняемый файл реализует различные тактики и приемы, определенные в рамках фреймворка MITRE ATT&CK.

После запуска вредоносное ПО использует запутанные команды PowerShell для изменения настроек защитника Windows, добавляя все разделы диска в свой список исключений. Такая тактика значительно снижает возможности обнаружения, позволяя вредоносному ПО работать без помех при стандартном антивирусном сканировании. Более того, он создает запись в реестре, которая функционирует как индикатор компрометации, проверяя наличие предыдущих заражений, чтобы избежать повторных заражений, и потенциально помогая в обновлениях.

Одним из ключевых наблюдаемых действий является механизм развертывания полезной нагрузки, при котором вредоносные компоненты не записываются непосредственно на диск, а вместо этого восстанавливаются в памяти. Вредоносное ПО использует метод, известный как Отражающая загрузка кода, сочетающий в себе законный rundll32.exe утилита с закодированной полезной нагрузкой, хранящейся в формате XML. Этот метод позволяет вредоносному коду выполняться полностью в памяти, обходя традиционные механизмы обнаружения на основе файлов, тем самым повышая его скрытность.

При установлении соединения command and control (C2) вредоносное ПО инициирует TCP-связь с удаленными серверами, обеспечивая динамическое обновление своей полезной нагрузки. Анализ сетевого трафика показывает, что вредоносное ПО постоянно подключается к серверу C2 для загрузки обновленных компонентов, что позволяет злоумышленникам обновлять функциональные возможности без повторного распространения исходного установочного файла.

Таким образом, эта вредоносная кампания демонстрирует высокий уровень изощренности благодаря использованию тактик социальной инженерии, методов запутывания и хитроумных механизмов, позволяющих избежать обнаружения. Это подчеркивает сохраняющуюся важность мер безопасности, таких как загрузка программного обеспечения исключительно из проверенных источников и использование решений безопасности, способных блокировать доступ к вредоносным доменам.

#ParsedReport #CompletenessHigh
17-03-2026

Boggy Serpens Threat Assessment

https://unit42.paloaltonetworks.com/boggy-serpens-threat-assessment/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Oilrig
Siamesekitten
Darkbit
Olalampo

Threats:
Spear-phishing_technique
Udpgangster
Blackbeard
Lolbin_technique
Atera_tool
Screenconnect_tool
Simplehelp_tool
Lazagne_tool
Crackmapexec_tool
Supply_chain_technique
Ghostbackdoor
Http_vip
Muddyrot
Process_hollowing_technique
Runpe_tool
Pe_injection_technique
Process_injection_technique

Victims:
Diplomatic sector, Critical infrastructure, Energy sector, Maritime sector, Finance sector, Government sector, Military sector, Aviation sector, Telecommunications sector, It vendors, have more...

Industry:
Government, Military, Telco, Aerospace, Logistic, Maritime, Critical_infrastructure, Financial, Energy

Geo:
Turkmenistan, Asia, Saudi, Azerbaijan, Turkey, America, Israeli, Middle east, Iranian, Egypt, Tehran, Hungary, Saudi arabia, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1020, T1027, T1033, T1036.005, T1041, T1047, T1055.012, T1057, T1059.003, have more...

IOCs:
IP: 5
File: 8
Path: 19
Command: 1
Hash: 31
Domain: 9
Registry: 1

Soft:
Telegram, Microsoft Word, Microsoft Office

Algorithms:
aes-256-gcm, sha256, xor

Functions:
Windows

Win API:
ShellExecuteA, ShellExecuteEx

Languages:
rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Boggy Serpens - преступная хакерская группировка, также известная как MuddyWater, является спонсируемым иранским государством актором, занимающимся изощренным кибершпионажем, нацеленным на дипломатическую и критически важную инфраструктуру, особенно на Ближнем Востоке. Они используют такие тактики, как захват доверенных внутренних учетных записей и развертывание продвинутого вредоносного ПО, такого как BlackBeard на базе Rust и бэкдоры Nuso, используя социальную инженерию для усиления своих атак. Их недавние кампании демонстрируют акцент на долгосрочном доступе и интеграции генеративного искусственного интеллекта для разработки вредоносного ПО, что указывает на значительное развитие их операционных возможностей.
-----

Boggy Serpens - преступная хакерская группировка, также известная как MuddyWater, является спонсируемым иранским государством актором, активно занимающимся кибершпионажем, нацеленным на дипломатические учреждения и сектора критической инфраструктуры по всему миру, особенно на Ближнем Востоке. Их операции значительно эволюционировали с момента их создания в 2017 году, перейдя от крупномасштабных кампаний фишинга низкой сложности к более стойким и изощренным методам атак.

Центральное место в их тактике занимает захват доверенных внутренних учетных записей для обхода автоматических фильтров электронной почты. Эта тактика позволяет им распространять вредоносное ПО под видом законных сообщений, успешно внедрив вредоносное ПО в более чем 15 глобальных атаках за последний год. Группа усилила свое внимание к долгосрочному доступу за счет использования пользовательских наборов инструментов и продвинутого вредоносного ПО, включая код, улучшенный с помощью искусственного интеллекта. Известные инструменты включают в себя бэкдор BlackBeard на базе Rust и бэкдор UDPGangster, которые работают с использованием нетрадиционных методов коммуникации и используют методы социальной инженерии для первоначального доступа.

Их кампании демонстрируют постоянное внимание к важнейшей инфраструктуре в энергетическом и морском секторах. Масштабная кампания против энергетической и морской сервисной компании ОАЭ сопровождалась многочисленными волнами целенаправленных атак с использованием документов, разработанных для различных внутренних подразделений, с использованием отраслевых формулировок для максимальной эффективности. В этих атаках часто использовались вредоносные документы Microsoft Office, встроенные с помощью макросов VBA, которые при выполнении инициируют дальнейшую полезную нагрузку, такую как GhostBackDoor и недавно идентифицированный бэкдор Nuso. Nuso характеризуется своей связью на основе HTTP, использующей коды состояния для выполнения команд, тем самым повышая скрытность и уклонение.

Другой появляющийся инструмент, LampoRAT, маскируется под легальное программное обеспечение и обменивается данными через API Телеграм, смешиваясь с обычным HTTPS-трафиком. Этот RAT в сочетании со сложной структурой командования и механизмами закрепления иллюстрирует усовершенствованные оперативные возможности группы.

Группа продемонстрировала гибкость в нацеливании на различные секторы, участвуя в кампаниях во многих странах, включая Израиль, Турцию и Азербайджан, сохраняя при этом способность адаптировать свой подход, чтобы избежать обнаружения. Недавние операции указывают на сдвиг в сторону интеграции генеративного искусственного интеллекта в разработку вредоносного ПО, что способствует скорости и эффективности их эксплойтов.

Таким образом, Boggy Serpens является примером сложного и многогранного злоумышленника, умеющего использовать социальную инженерию, Доверительные отношения и передовые технологические инструменты для проведения сложных кампаний кибершпионажа. Их эволюционирующая тактика требует переоценки традиционных мер безопасности, фокусирующихся на поведенческих аномалиях, а не исключительно на репутации отправителя или автоматической фильтрации.

#technique

VMkatz

Extract Windows credentials directly from VM memory snapshots and virtual disks

https://github.com/nikaiw/VMkatz