#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В вредоносной кампании используется многоэтапная стратегия заражения, инициируемая с помощью веб-сайта с typosquatted, выдающего себя за портал загрузки Телеграм. Вредоносный исполняемый файл, "tsetup-x64.6.exe ," использует запутанный PowerShell для изменения настроек защитника Windows при выполнении полезных нагрузок полностью в памяти посредством Отражающей загрузки кода, избегая традиционных методов обнаружения. Он устанавливает подключение C2 для динамических обновлений, выделяя передовые методы социальной инженерии и уклонения.
-----

Обсуждаемая вредоносная кампания использует сложную многоэтапную стратегию заражения, инициируемую через веб-сайт с typosquatted, выдающий себя за официальный портал загрузки Телеграм. Этот сайт, в частности, использует домен "telegrgam.com ," представляет пользователям, казалось бы, законный установщик, предназначенный для заражения их систем вредоносным ПО. Узнаваемый как "tsetup-x64.6.exe , " этот вредоносный исполняемый файл реализует различные тактики и приемы, определенные в рамках фреймворка MITRE ATT&CK.

После запуска вредоносное ПО использует запутанные команды PowerShell для изменения настроек защитника Windows, добавляя все разделы диска в свой список исключений. Такая тактика значительно снижает возможности обнаружения, позволяя вредоносному ПО работать без помех при стандартном антивирусном сканировании. Более того, он создает запись в реестре, которая функционирует как индикатор компрометации, проверяя наличие предыдущих заражений, чтобы избежать повторных заражений, и потенциально помогая в обновлениях.

Одним из ключевых наблюдаемых действий является механизм развертывания полезной нагрузки, при котором вредоносные компоненты не записываются непосредственно на диск, а вместо этого восстанавливаются в памяти. Вредоносное ПО использует метод, известный как Отражающая загрузка кода, сочетающий в себе законный rundll32.exe утилита с закодированной полезной нагрузкой, хранящейся в формате XML. Этот метод позволяет вредоносному коду выполняться полностью в памяти, обходя традиционные механизмы обнаружения на основе файлов, тем самым повышая его скрытность.

При установлении соединения command and control (C2) вредоносное ПО инициирует TCP-связь с удаленными серверами, обеспечивая динамическое обновление своей полезной нагрузки. Анализ сетевого трафика показывает, что вредоносное ПО постоянно подключается к серверу C2 для загрузки обновленных компонентов, что позволяет злоумышленникам обновлять функциональные возможности без повторного распространения исходного установочного файла.

Таким образом, эта вредоносная кампания демонстрирует высокий уровень изощренности благодаря использованию тактик социальной инженерии, методов запутывания и хитроумных механизмов, позволяющих избежать обнаружения. Это подчеркивает сохраняющуюся важность мер безопасности, таких как загрузка программного обеспечения исключительно из проверенных источников и использование решений безопасности, способных блокировать доступ к вредоносным доменам.

#ParsedReport #CompletenessHigh
17-03-2026

Boggy Serpens Threat Assessment

https://unit42.paloaltonetworks.com/boggy-serpens-threat-assessment/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Oilrig
Siamesekitten
Darkbit
Olalampo

Threats:
Spear-phishing_technique
Udpgangster
Blackbeard
Lolbin_technique
Atera_tool
Screenconnect_tool
Simplehelp_tool
Lazagne_tool
Crackmapexec_tool
Supply_chain_technique
Ghostbackdoor
Http_vip
Muddyrot
Process_hollowing_technique
Runpe_tool
Pe_injection_technique
Process_injection_technique

Victims:
Diplomatic sector, Critical infrastructure, Energy sector, Maritime sector, Finance sector, Government sector, Military sector, Aviation sector, Telecommunications sector, It vendors, have more...

Industry:
Government, Military, Telco, Aerospace, Logistic, Maritime, Critical_infrastructure, Financial, Energy

Geo:
Turkmenistan, Asia, Saudi, Azerbaijan, Turkey, America, Israeli, Middle east, Iranian, Egypt, Tehran, Hungary, Saudi arabia, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1020, T1027, T1033, T1036.005, T1041, T1047, T1055.012, T1057, T1059.003, have more...

IOCs:
IP: 5
File: 8
Path: 19
Command: 1
Hash: 31
Domain: 9
Registry: 1

Soft:
Telegram, Microsoft Word, Microsoft Office

Algorithms:
aes-256-gcm, sha256, xor

Functions:
Windows

Win API:
ShellExecuteA, ShellExecuteEx

Languages:
rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Boggy Serpens - преступная хакерская группировка, также известная как MuddyWater, является спонсируемым иранским государством актором, занимающимся изощренным кибершпионажем, нацеленным на дипломатическую и критически важную инфраструктуру, особенно на Ближнем Востоке. Они используют такие тактики, как захват доверенных внутренних учетных записей и развертывание продвинутого вредоносного ПО, такого как BlackBeard на базе Rust и бэкдоры Nuso, используя социальную инженерию для усиления своих атак. Их недавние кампании демонстрируют акцент на долгосрочном доступе и интеграции генеративного искусственного интеллекта для разработки вредоносного ПО, что указывает на значительное развитие их операционных возможностей.
-----

Boggy Serpens - преступная хакерская группировка, также известная как MuddyWater, является спонсируемым иранским государством актором, активно занимающимся кибершпионажем, нацеленным на дипломатические учреждения и сектора критической инфраструктуры по всему миру, особенно на Ближнем Востоке. Их операции значительно эволюционировали с момента их создания в 2017 году, перейдя от крупномасштабных кампаний фишинга низкой сложности к более стойким и изощренным методам атак.

Центральное место в их тактике занимает захват доверенных внутренних учетных записей для обхода автоматических фильтров электронной почты. Эта тактика позволяет им распространять вредоносное ПО под видом законных сообщений, успешно внедрив вредоносное ПО в более чем 15 глобальных атаках за последний год. Группа усилила свое внимание к долгосрочному доступу за счет использования пользовательских наборов инструментов и продвинутого вредоносного ПО, включая код, улучшенный с помощью искусственного интеллекта. Известные инструменты включают в себя бэкдор BlackBeard на базе Rust и бэкдор UDPGangster, которые работают с использованием нетрадиционных методов коммуникации и используют методы социальной инженерии для первоначального доступа.

Их кампании демонстрируют постоянное внимание к важнейшей инфраструктуре в энергетическом и морском секторах. Масштабная кампания против энергетической и морской сервисной компании ОАЭ сопровождалась многочисленными волнами целенаправленных атак с использованием документов, разработанных для различных внутренних подразделений, с использованием отраслевых формулировок для максимальной эффективности. В этих атаках часто использовались вредоносные документы Microsoft Office, встроенные с помощью макросов VBA, которые при выполнении инициируют дальнейшую полезную нагрузку, такую как GhostBackDoor и недавно идентифицированный бэкдор Nuso. Nuso характеризуется своей связью на основе HTTP, использующей коды состояния для выполнения команд, тем самым повышая скрытность и уклонение.

Другой появляющийся инструмент, LampoRAT, маскируется под легальное программное обеспечение и обменивается данными через API Телеграм, смешиваясь с обычным HTTPS-трафиком. Этот RAT в сочетании со сложной структурой командования и механизмами закрепления иллюстрирует усовершенствованные оперативные возможности группы.

Группа продемонстрировала гибкость в нацеливании на различные секторы, участвуя в кампаниях во многих странах, включая Израиль, Турцию и Азербайджан, сохраняя при этом способность адаптировать свой подход, чтобы избежать обнаружения. Недавние операции указывают на сдвиг в сторону интеграции генеративного искусственного интеллекта в разработку вредоносного ПО, что способствует скорости и эффективности их эксплойтов.

Таким образом, Boggy Serpens является примером сложного и многогранного злоумышленника, умеющего использовать социальную инженерию, Доверительные отношения и передовые технологические инструменты для проведения сложных кампаний кибершпионажа. Их эволюционирующая тактика требует переоценки традиционных мер безопасности, фокусирующихся на поведенческих аномалиях, а не исключительно на репутации отправителя или автоматической фильтрации.

#technique

VMkatz

Extract Windows credentials directly from VM memory snapshots and virtual disks

https://github.com/nikaiw/VMkatz

#technique

Elfina: A Multi-Architecture ELF Loader

https://github.com/iss4cf0ng/Elfina/

#technique

LnkMeMaybe
A .NET 8 toolkit for creating and analysing Windows Shell Link (.lnk) files. Includes a command-line builder (LnkMeMaybe) and a graphical editor (LnkUi). Intended for security research and penetration testing.

https://github.com/trustedsec/LnkMeMaybe

#ParsedReport #CompletenessMedium
18-03-2026

Transparent Tribe (APT36) sets its sights on the Indian startup ecosystem

https://www.ctfiot.com/302267.html

Report completeness: Medium

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage, information_theft)

Threats:
Crimson_rat
Spear-phishing_technique
Motw_bypass_technique
Gymrat

Victims:
Startup ecosystem, Government, Defense, Diplomatic institutions, Research institutions, Education sector, Military sector, Cybersecurity sector, Open source intelligence sector

Industry:
Military, Government

Geo:
Afghanistan, Asian, India, Indian, Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1036, T1059.001, T1059.003, T1074.001, T1095, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 8
IP: 1
Domain: 1

Soft:
WeChat

Algorithms:
zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Transparent Tribe, также известная как APT36, - шпионская группа, нацеленная в первую очередь на страны Южной Азии, теперь переключившая внимание на индийскую экосистему стартапов. Они используют тактику социальной инженерии, в частности spear phishing, распространяя вредоносные ISO-файлы, которые развертывают вредоносное ПО Crimson RAT, которое включает в себя такие методы уклонения, как запутывание и пользовательский протокол TCP для управления коммуникациями. Вредоносное ПО предназначено для обхода обнаружения при большом размере файла, что усложняет статический анализ при сохранении компактного основного вредоносного кода.
-----

Transparent Tribe, или APT36, нацелен на страны Южной Азии, в первую очередь Индию и Афганистан, уделяя особое внимание правительственным, военным и исследовательским институтам. Их тактика включает социальную инженерию и различное вредоносное ПО, в частности варианты Троянских программ для удаленного доступа, такие как Crimson RAT. Недавние операции сместились в сторону индийской экосистемы стартапов, особенно организаций OSINT. Они использовали электронные письма с spear phishing, доставляющие вредоносный ISO-файл, MeetBisht.iso , который содержал ярлык для вредоносного файла LNK и доставлял вредоносное ПО Crimson RAT. Полезная нагрузка RAT включала в себя документ-приманку и пакетный сценарий для закрепления. Размер файла Crimson RAT из-за встроенных данных о спаме достигает 34 МБ, что затрудняет статическое обнаружение, в то время как фактический вредоносный код оценивается в 80-150 КБ. Вредоносное ПО использует передовые методы запутывания, рандомизируя имена функций и идентификаторы, что затрудняет обнаружение. RAT взаимодействует по пользовательскому протоколу TCP, чтобы избежать мониторинга трафика HTTP/HTTPS. Инфраструктура C&C, связанная с Crimson RAT, была связана с предыдущими кампаниями, направленными против правительства, и идентифицирована по IP-адресу 93.127.133.9. Использование поддельных документов, связанных с законными продуктами OSINT, демонстрирует стратегическую эволюцию в ориентации на сектор стартапов, указывая на более широкий акцент на технологические отрасли.

#ParsedReport #CompletenessHigh
18-03-2026

FancyBear Exposed: Major OPSEC Blunder Inside Russian Espionage Ops

https://ctrlaltintel.com/threat%20research/FancyBear/

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, cyber_espionage)
Roundish
Roundpress

Threats:
Opendir_technique
Clickfix_technique
Typosquatting_technique
Spear-phishing_technique
Credential_harvesting_technique
Metasploit_tool

Victims:
Government, Military, Romanian air force

Industry:
Healthcare, Education, Telco, Government, Military, Energy, Aerospace

Geo:
Russian, Romanian, Ukrainian, Denmark, Russia, Bulgaria, Greece, Serbian, Ukranian, Serbia, Bulgarian, Spanish, Ukraine, North macedonia, Romania

CVEs:
CVE-2023-43770 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.4.14, <1.5.4, <1.6.3)


TTPs:
Tactics: 9
Technics: 18

IOCs:
Email: 6
File: 33
IP: 3
Domain: 4
Url: 4

Soft:
Roundcube, MDAEMON, ZIMBRA, oundcube JS, gmail

Algorithms:
base32, base64

Functions:
eval, getUserCredentials, delTwoAuth, getUserCredentialsOLD, getChromeCredentialsAndSend, getElementById, createElement, getAddressBook

Languages:
javascript, powershell, php, python

Links:
have more...
https://github.com/ctrlaltint3l/intelligence/tree/main/FancyBear/roundish
https://github.com/JohnHammond/recaptcha-phish

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, schema: 4, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская APT-компания FancyBear провела операцию Roundish, используя ошибки операционной безопасности, в результате которых в начале 2026 года был обнаружен открытый каталог с более чем 2800 электронными письмами и 240 наборами украденных учетных данных. Злоумышленники использовали такие методы, как создание Правил пересылки эл. почты и использование уязвимостей XSS на нескольких платформах веб-почты для скрытой переадресации сообщений и извлечения учетных данных, в том числе в обход двухфакторной аутентификации. Эта кампания была нацелена на правительственные и военные организации в Восточной Европе, выявив значительную инфраструктуру командования и контроля, которая оставалась активной более 500 дней после присвоения.
-----

В опубликованных выводах о FancyBear, российской сложной целенаправленной угрозе (APT), подробно описывается значительное нарушение оперативной безопасности в ходе кампании, известной как операция Roundish. Этот анализ был основан на открытом каталоге, опубликованном в январе 2026 года, в котором были обнаружены обширные данные, включая более 2800 электронных писем и 240 наборов украденных учетных данных. Методы эксфильтрации, используемые FancyBear, включали в себя создание правил пересылки в Учетных записях эл. почты жертв, что позволяло автоматически перехватывать и перенаправлять электронные письма в почтовые ящики, контролируемые злоумышленниками.

FancyBear был нацелен на правительственные и военные структуры в нескольких странах Восточной Европы, включая Украину и членов НАТО, таких как Румыния и Болгария. Оперативная ошибка позволила аналитикам получить беспрецедентный доступ к инфраструктуре командования и контроля (C2) FancyBear, размещенной на американском VPS, которая оставалась работоспособной более 500 дней после публичного приписывания операций, связанных с ГРУ. Разоблаченный C2 выявил критические компоненты, ответственные за различные вредоносные действия, включая ведение журнала телеметрии, распространение вредоносного ПО и кражу учетных данных.

Несколько платформ веб-почты были подвергнуты компрометации с помощью уязвимостей межсайтового скриптинга (XSS), а обнаружение новой полезной нагрузки SquirrelMail указывает на более широкий охват таргетинга, чем сообщалось ранее. Конкретные наблюдаемые методы включали использование модульных полезных нагрузок JavaScript для инициирования кражи учетных данных и эксфильтрации данных без взаимодействия с пользователем, просто жертвами, получающими вредоносные электронные письма. Особую тревогу вызвала возможность скрытого сбора больших объемов электронных писем и списков контактов, а также внедрение системы, которая могла обходить двухфакторную аутентификацию (2FA) путем извлечения секретов TOTP из настроек Roundcube.

Дальнейшее расследование привело к выявлению нескольких признаков компрометации, включая IP-адреса, привязанные к операциям C2, и псевдонимы, используемые для фишинга, которые выдавали себя за законные организации. Анализ показал структурированный подход к привлечению ресурсов и сосредоточение внимания на адаптации тактики в ответ на внешнюю проверку, демонстрируя как продвинутый набор навыков, лежащих в основе операций FancyBear's, так и их оперативную халатность, что позволило проанализировать их методы и профили жертв.

Геополитические последствия моделей нацеливания также были заметны, что соответствовало военным стратегиям в регионе, особенно в отношении государств НАТО и их участия в поддержке Украины. Собранные данные могли бы выявить обширные сети конфиденциальных коммуникаций внутри этих правительственных учреждений, подчеркивая критический характер защитных мер и мониторинг потенциальной деятельности APT в режиме реального времени.

#ParsedReport #CompletenessHigh
18-03-2026

Vidar Stealer 2.0 distributed via fake game cheats on GitHub and Reddit

https://www.acronis.com/en/tru/posts/vidar-stealer-20-distributed-via-fake-game-cheats-on-github-and-reddit/

Report completeness: High

Threats:
Vidar_stealer
Lumma_stealer
Rhadamanthys
Polymorphism_technique
Dead_drop_technique
Process_injection_technique
Arkei_stealer
Ps2exe_tool
Themida_tool
Dll_injection_technique

Victims:
Gamers, Gaming community

Industry:
Entertainment, Healthcare, E-commerce

Geo:
Korea, China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1033, T1036.005, T1041, T1055, T1055.012, T1059.001, T1059.003, have more...

IOCs:
File: 16
Hash: 12
Url: 6
Command: 1

Soft:
twitter, Telegram, Discord, Steam, Fortnite, Valorant, Windows Defender, Microsoft Defender, Outlook, Google Chrome, have more...

Crypto:
monero

Algorithms:
aes, zip

Win API:
CryptUnprotectData, LoadLibraryA, IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, GetTickCount, GetSystemMetrics

Languages:
autoit, powershell

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 4, code: 40, dump: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vidar Stealer 2.0 - это вредоносное ПО, нацеленное на геймеров с помощью поддельных игровых читов на таких платформах, как GitHub и Reddit, заполняя пробел, оставленный предыдущими стиллерами. Он извлекает конфиденциальную информацию, такую как учетные данные браузера, сведения о криптовалюте и данные из таких приложений, как Телеграм и Discord, используя сложные методы распространения, которые используют наивность пользователей. Технически он реализован на C, использует polymorphic сборки, чтобы избежать обнаружения, и использует расширенную обфускацию и многопоточность для расширения возможностей кражи данных.
-----

Vidar Stealer 2.0 стал серьезной угрозой в мире вредоносного ПО, особенно нацеленной на видеоигр, распространяясь с помощью поддельных игровых читов на различных платформах, включая GitHub и Reddit. После действий правоохранительных органов против предыдущих доминирующих стиллеров информации, таких как Lumma и Rhadamanthys, Vidar заполнил образовавшуюся пустоту, воспользовавшись спросом геймеров на читы. Это эффективно использует нежелание пользователей сообщать о подозрительных действиях из-за незаконного характера читов и потенциальной денежной стоимости игровых аккаунтов, подвергшихся компрометации.

Vidar Stealer 2.0 - это сложное вредоносное ПО, которое может извлекать широкий спектр конфиденциальной информации, включая учетные данные браузера, файлы cookie, данные автозаполнения, данные криптовалютного кошелька и локальные файлы. Его возможности также распространяются на кражу учетных данных из популярных приложений, таких как Телеграм и Discord, что делает его особенно привлекательным для киберпреступников, стремящихся использовать игровые платформы и платформы Социальных сетей. Методы распространения вредоносного ПО включают в себя сложные схемы, в которых Вредоносные ссылки часто маскируются под привлекательные предложения бесплатных читов, эксплуатируя жадность и наивность пользователей.

Технически, Vidar 2.0 демонстрирует полную переработку с C++ на C, вводя функции, которые повышают его производительность и позволяют избежать обнаружения. Включение polymorphic сборок гарантирует, что каждый экземпляр вредоносного ПО может выглядеть по-разному, что усложняет статический анализ. Многопоточное выполнение обеспечивает эффективную кражу данных, повышая скорость их работы. Передовые методы запутывания еще больше затрудняют анализ и обнаружение, в то время как инфраструктура управления (C2) умело использует ботов Телеграм и профили Steam для маскировки своих операций.

Вредоносное ПО распространяется по нескольким каналам, включая поддельные репозитории на GitHub, где зараженные двоичные файлы маскируются под игровые читы. Анализ исходной полезной нагрузки показывает, что она часто объединяет скомпилированные в нее скрипты PowerShell .Сетевые двоичные файлы, позволяющие ему обходить основные меры безопасности. После активации вредоносное ПО создает скрытые каталоги, добавляет исключения в Защитник Windows и извлекает дополнительную полезную нагрузку из различных источников.

В частности, процесс заражения начинается с того, что жертвы получают то, что, по их мнению, является законным программным обеспечением для обмана. После запуска вредоносное ПО использует передовые методы для сбора конфиденциальной информации из их систем. Например, он нацелен на современные веб-браузеры посредством прямой интеграции и выполняет инъекционные атаки для беспрепятственного извлечения сохраненных учетных данных. Дизайн Vidar's непосредственно соответствует меняющемуся ландшафту стиллеров информации, демонстрируя его устойчивость и адаптивность перед лицом контрмер.

Поскольку угроза, исходящая от стиллеров информации, таких как Vidar, сохраняется, это подчеркивает необходимость надежных стратегий защиты конечных точек, постоянного мониторинга и информирования пользователей о рисках, связанных с поиском несанкционированного программного обеспечения.

#ParsedReport #CompletenessLow
18-03-2026

Opportunistic threat actors using Ramadan coupon as a lure to target retail store customers in Middle East

https://www.cloudsek.com/blog/opportunistic-threat-actors-using-ramadan-coupon-as-a-lure-to-target-retail-store-customers-in-middle-east

Report completeness: Low

Victims:
Retail customers, Windows users

Industry:
Retail

Geo:
Egyptian, Saudi, Middle east

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.005, T1071.001, T1105, T1113, T1204.002, T1218.011, T1566.001, T1567.002, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4