#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО новой версии ClickFix использует передовые методы доставки полезной нагрузки, используя утилиты Windows cmdkey и regsvr32. Инициированный с помощью социальной инженерии, он использует цепочку команд для выполнения вредоносных команд без удаления файлов, извлекая удаленную библиотеку DLL из инфраструктуры SMB, контролируемой злоумышленником. Операция генерирует запланированную задачу для поддержания скрытности, выходя за рамки традиционных методов за счет использования надежных двоичных файлов Windows для повышения скрытности и показателей успешности выполнения.
-----

В исследовании подробно описан новый вариант ВПО ClickFix, идентифицированный CyberProof, который демонстрирует передовые методы доставки полезной нагрузки с использованием встроенных утилит Windows, в частности cmdkey и regsvr32. Этот вариант инициируется с помощью социальной инженерии, когда жертв обманом заставляют выполнить вредоносную команду через диалоговое окно запуска Windows. Эта команда эффективно объединяет несколько действий, включая сбор учетных данных, извлечение удаленной библиотеки DLL и автоматическое выполнение, избегая при этом обычных удалений ВПО, которые обычно отслеживаются системами безопасности.

Атака начинается с фишинг-страницы, которая маскируется под капчу, побуждая пользователя выполнить, казалось бы, безобидное действие. Выполняемая команда не загружает какие-либо файлы на компьютер жертвы, а скорее использует цепочку команд, которая позволяет выполнять несколько операций за одно действие. Утилита cmdkey используется для хранения учетных данных для удаленного доступа, в то время как regsvr32 используется для загрузки и выполнения библиотеки DLL из UNC-пути. Примечательно, что фактическая полезная нагрузка извлекается из инфраструктуры SMB, контролируемой злоумышленником, и не хранится локально, что повышает скрытность операции. Запланированная задача, получившая название "RunNotepadNow", создается таким образом, чтобы казаться неопасной, и работает под видом обычной активности Windows.

Инфраструктура для этой операции основана на удаленном XML-файле, содержащем определение задачи, что подчеркивает эволюцию методологии атаки за счет выхода за рамки традиционных утилит PowerShell и rundll32. Сочетая промежуточное использование учетных данных, удаленное выполнение и использование исключительно надежных двоичных файлов Windows, атака ClickFix снижает риск обнаружения и повышает вероятность успешного выполнения.

Возможности обнаружения для этого варианта включают мониторинг cmd.exe операций, в которых используются связанные операторы, отслеживание использования cmdkey для адресации внешних IP-адресов и наблюдение за загрузкой regsvr32 библиотек DLL из UNC-путей. Кроме того, обнаружение создания запланированных задач, использующих удаленные определения XML, может дать представление о потенциальных вредоносных действиях.

#ParsedReport #CompletenessLow
27-04-2026

Defending Critical Infrastructure in a Hyperconnected Society

https://outpost24.com/blog/defending-critical-infrastructure-hyperconnected-society/

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Stuxnet
Industoyer2
Supply_chain_technique

Victims:
Critical infrastructure, Energy, Aviation, Public services, Retail, Banking, Industry, Skilled trades, Transportation

Industry:
Critical_infrastructure, Energy, Financial, Ics, Petroleum, Aerospace, Retail

Geo:
Ukrainian, Portugal, Berlin, France, Spain, London, Iran

ChatGPT TTPs:
do not use without manual check
T0831, T0832, T1078, T1091, T1486

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние отключения электроэнергии на Пиренейском полуострове и юго-востоке Берлина выявили уязвимости в критически важной инфраструктуре, вызванные поджогами и сбоями в электросетях, хотя расследования не выявили подтвержденных кибератак. Исторические киберинциденты, такие как Stuxnet, BlackEnergy и атака Colonial Pipeline, демонстрируют потенциал ВПО для разрушения инфраструктуры. Спонсируемые государством акторы и брокеры первоначального доступа все чаще нацеливаются на эти системы, что требует законодательных мер, таких как директива ЕС NIS2, для обеспечения соблюдения требований и управления рисками в критически важных секторах инфраструктуры.
-----

Недавние отключения электроэнергии на Пиренейском полуострове и юго-востоке Берлина подчеркнули критическую уязвимость инфраструктурных систем в нашем взаимосвязанном обществе. Перебои, вызванные такими инцидентами, как поджог и сбой в электросети, свидетельствуют о потенциальных последствиях компрометации критически важных служб, начиная от смертельных исходов и заканчивая значительными перебоями в работе в различных секторах, таких как транспорт, банковское дело и промышленность. Несмотря на первоначальные опасения по поводу кибератак, расследования этих инцидентов не подтвердили злонамеренное цифровое вмешательство в качестве основной причины; однако близость киберугроз остается насущной проблемой для системы безопасности.

Исторические события служат ярким фоном для понимания текущей обстановки с угрозами. Печально известная атака Stuxnet в 2010 году продемонстрировала реальность физического ущерба, вызванного ВПО, когда она была нацелена на ядерные объекты Ирана. Кроме того, атаки на электросети в Украине с использованием ВПО, таких как BlackEnergy и Industroyer, продемонстрировали, как цифровое вторжение может манипулировать промышленными системами управления, приводя к массовым отключениям. Инцидент с Colonial Pipeline в 2021 году показал, как распространенные нарушения безопасности могут привести к серьезным сбоям, подчеркнув важность строгих мер по Кибербезопасности, таких как надежный контроль доступа и Многофакторная аутентификация.

Спонсируемые государством кибер-акторы и брокеры первоначального доступа (IAB) все чаще несут ответственность за нанесение ударов по критически важной инфраструктуре, используя шпионаж, саботаж и широко распространенную тактику дезинформации. Директива Европейского союза NIS2 представляет собой законодательный ответ на растущий уровень угроз. Этот регламент предписывает принимать строгие меры по соблюдению требований для объектов критически важной инфраструктуры, уделяя особое внимание управлению рисками и отчетности об инцидентах.

В свете этих эволюционирующих угроз организациям жизненно важно укреплять свои оборонительные возможности путем повышения устойчивости с помощью постоянной разведки угроз и стратегических методов обеспечения безопасности. Создание комплексной программы анализа киберугроз (CTI) имеет важное значение для обеспечения обоснованной защиты от потенциальных злоумышленников, предоставляя информацию о спонсируемых государством действиях, инициативах по распространению программ-вымогателей и препятствиях, создаваемых акторами Dark Web. Акцент на понимании существующих уязвимостей в сочетании с использованием данных в режиме реального времени имеет первостепенное значение для адаптации к быстро меняющемуся ландшафту киберугроз и укрепления безопасности систем критически важной инфраструктуры.

#ParsedReport #CompletenessLow
24-04-2026

TGR-STA-1030: New Activity in Central and South America

https://unit42.paloaltonetworks.com/new-activity-central-south-america/

Report completeness: Low

Actors/Campaigns:
Unc6619

Victims:
Central america, South america

Industry:
Healthcare, Iot

Geo:
America

Soft:
PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С февраля TGR-STA-1030 демонстрирует постоянную активность в области угроз в Центральной и Южной Америке, используя методы кибератак, такие как фишинг, использование уязвимостей программного обеспечения и внедрение ВПО. Их деятельность свидетельствует о стратегическом фокусе на этих регионах, что создает такие риски, как утечка данных и перебои в обслуживании. Более глубокое понимание их тактики и расширение обмена информацией о региональных угрозах имеют важное значение для устранения киберрисков, которые они представляют.
-----

С февраля TGR-STA-1030 продолжает проявлять значительную и непрекращающуюся активность в отношении угроз, особенно в различных странах Центральной и Южной Америки. Деятельность этой группы свидетельствует о целенаправленном подходе, предполагающем стратегический интерес к этим регионам. Конкретные методы, используемые TGR-STA-1030, хотя и не детализированы в резюме, обычно включают в себя сочетание методов кибератак, которые могут включать кампании фишинга, использование уязвимостей в широко используемом программном обеспечении или развертывание ВПО, предназначенных для компрометации систем.

Появление повышенной активности TGR-STA-1030's в Центральной и Южной Америке указывает на меняющийся ландшафт угроз, где локализованные киберугрозы требуют повышенной бдительности. Организации в пределах этих географических зон могут сталкиваться с различными рисками, начиная от утечки данных и заканчивая нарушением работы служб, что подчеркивает необходимость принятия надежных мер по Кибербезопасности для защиты от таких вторжений.

Поскольку эта группа продолжает свою деятельность, понимание их тактики, методов и процедур (TTP) будет иметь решающее значение для смягчения их потенциального воздействия. Мониторинг аномальной сетевой активности, обеспечение исправлений известных уязвимостей и обучение персонала распознаванию попыток Целевого фишинга являются ключевыми стратегиями в устранении рисков, создаваемых этим активным злоумышленником. Постоянное внимание TGR-STA-1030 к этим регионам подчеркивает важность регионального обмена информацией об угрозах и сотрудничества для лучшей защиты инфраструктуры и конфиденциальных данных от киберпреступников.

#ParsedReport #CompletenessHigh
24-04-2026

Chaos is a ladder : Vidar's recent rise to the top

https://www.intrinsec.com/wp-content/uploads/2026/04/TLP_CLEAR-20260424-New_Vidar.pdf

Report completeness: High

Actors/Campaigns:
0ktapus
Loadbaks

Threats:
Vidar_stealer
Dead_drop_technique
Paranoidchecker_tool
Lumma_stealer
Rhadamanthys
Acreed
Chaos_ransomware
Clickfix_technique
Stealc
Redline_stealer
Riseprostealer
Spear-phishing_technique
Polymorphism_technique

Victims:
Corporate employees, Corporate networks, Users worldwide, Enterprises, Non corporate users

Industry:
E-commerce

Geo:
Georgia, Russian, Russia

TTPs:
Tactics: 6
Technics: 35

IOCs:
File: 22
Domain: 26
IP: 11
Url: 17
Hash: 3
BrowserExtension: 9

Soft:
Telegram, Steam, Unix, Linux, WinZip, Microsoft Edge, Gmail, protonmail, Chrome, Firefox, Opera, have more...

Wallets:
metamask, tronlink, binancechain, yoroi, math_wallet, coinbase, guarda_wallet, jaxx, iwallet, wombat, have more...

Algorithms:
base64, zip, md5, sha256

Functions:
GetInstallDetailsPayload

Win API:
BuildTrusteeWithSidW, CheckTokenMembership, ConvertStringSidToSidW, GetLengthSid, GetNamedSecurityInfoW, LoadLibrary, GetProcAddress, AddVectoredExceptionHandler, CloseHandle, CreateEventA, have more...

Platforms:
amd64, x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vidar, вредоносная программа-стиллер ВПО, получившая известность в российской среде киберугроз, использует сложные методы доставки, такие как Целевой фишинг и скачивание с диска, замаскированное под законное программное обеспечение. ВПО вредоносной программы использует 'NeoHub.exe " исполняемый файл и "msedge_elf.dll "работать, скрывая свои коммуникации управления с помощью dead drop Resolvers, таких как Steam и Телеграм. Vidar автоматизирует эксфильтрацию конфиденциальных данных, ориентируясь на браузеры для получения учетных данных и информации о криптовалюте, используя при этом методы уклонения, такие как зашифрованная связь и фрагментированная передача данных.
-----

В последнее время ВПО Vidar заняло видное место в сфере киберугроз, позиционируясь как ведущий стиллер информации на российском рынке с ноября 2025 года. Этот сдвиг в экосистеме stealer последовал за значительными сбоями, вызванными операциями по уничтожению таких крупных игроков, как Lumma и Rhadamanthys, в результате чего образовался вакуум, на котором Vidar извлек выгоду. Появление Vidar 2.0, выпущенного в октябре 2025 года, внесло усовершенствования, которые повысили его привлекательность среди киберпреступников. Распространение ВПО еще более усилилось благодаря сотрудничеству с каналами Телеграм, которые служат платформами для обмена украденными данными и их рекламы, что способствует росту числа отдельных злоумышленников, ищущих выгодные возможности.

Vidar использует сложную цепочку уничтожения для доставки своих полезных данных, часто инициируя атаки с помощью таких тактик, как Целевой фишинг со ссылками и скачивание с диска, часто замаскированное под законное программное обеспечение. После успешной установки Vidar запускает серию вредоносных процессов, которые основаны на хорошо документированных тактиках, техниках и процедурах (TTP). Примечательно, что использование 'NeoHub.exe "исполняемый файл вместе со вредоносным ПО "msedge_elf.dll "который маскируется под законный компонент Microsoft Edge и облегчает работу ВПО. Эта библиотека DLL упакована с использованием GO packer, включающего сглаживание потока управления, чтобы затруднить анализ.

Важной особенностью Vidar является использование dead drop Resolvers, часто использующих такие платформы, как Steam и Телеграм, для скрытия связи по управлению (C2). Способность ВПО размещаться и координироваться с помощью этих платформ обеспечивает высокий уровень устойчивости к попыткам удаления. Дополнительные возможности включают Автоматизированную эксфильтрацию конфиденциальных данных с возможностью таргетинга на браузеры и извлечения сохраненных учетных данных, информации о криптовалютном кошельке и сеансовых файлах cookie для перехвата учетной записи.

Архитектура ВПО демонстрирует попытки избежать обнаружения, используя зашифрованные каналы связи и фрагментированную передачу данных для тонкого управления большими отфильтрованными наборами данных. Появились ключевые признаки компрометации, включая конкретные доменные имена, связанные с инфраструктурой C2, а также различные модификации реестра, свидетельствующие о методах закрепления.

Поскольку Vidar продолжает адаптироваться к меняющемуся ландшафту угроз, его зрелость в качестве инструмента для злонамеренных инсайдеров или оппортунистических акторов вызывает серьезные опасения у организаций по всему миру. Компаниям рекомендуется усилить свою защиту от таких угроз путем внедрения многоуровневых мер безопасности, как описано в различных рекомендациях по безопасности, нацеленных на эти новые методы атак.

#ParsedReport #CompletenessMedium
22-04-2026

Malicious Checkmarx Artifacts Found in Official KICS Docker Repository and Code Extensions

https://socket.dev/blog/checkmarx-supply-chain-compromise

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique

Victims:
Checkmarx, Trivy, Litellm, Software development teams, Ci cd environments

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1059.001, T1059.007, T1072, T1078, T1105, T1140, T1195.001, have more...

IOCs:
File: 9
Command: 9
Url: 1
Hash: 17
IP: 1

Soft:
Docker, Open VSX, alpine, Kubernetes, debian, OpenVSX, Trivy, LiteLLM, VSCode, Claude, have more...

Algorithms:
base64, gzip, zip, md5, sha1, sha256

Functions:
Get-AzAccessToken, Write-Output

Languages:
powershell, javascript, golang, python

Platforms:
amd64, arm

Links:
https://github.com/Checkmarx/ast-vscode-extension/commit/68ed490b575a57ef51a419f43b2b087e8ce16a46

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена значительная Компрометация цепочки поставок, связанная с TeamPCP - престпной группировкой, которая манипулировала изображениями Checkmarx KICS Docker и расширениями VS Code для внедрения вредоносных функций. Образ KICS, подвергнутый компрометации, облегчает несанкционированную эксфильтрацию данных, в то время как расширение VS Code активирует полезную нагрузку, которая собирает конфиденциальные учетные данные и использует токены GitHub для внедрения вредоносных рабочих процессов. Такие методы, как манипулирование историей Git и запутывание полезных данных, позволяют выполнять скрытые операции, усложняя обнаружение и расширяя зону досягаемости злоумышленника.
-----

Недавние расследования выявили наличие вредоносных изображений Checkmarx KICS и подозрительных расширений кода в значительной Компрометации цепочки поставок, атрибутированной с TeamPCP престпной группировкой. Внутренний мониторинг Docker выявил необычные действия в официальном репозитории checkmarx/kics Docker Hub, выявив, что злоумышленники перезаписали существующие теги, в том числе законные, и внедрили вредоносные варианты. Образ KICS, подвергшийся компрометации, был изменен для встраивания функций несанкционированного сбора данных и эксфильтрации, что повышает серьезные риски для пользователей, сканирующих файлы инфраструктуры в виде кода. Этот модифицированный двоичный файл KICS может генерировать отчеты о сканировании без цензуры, шифровать их и передавать данные на внешние конечные точки, потенциально раскрывая конфиденциальные данные конфигурации.

Расследование вышло за рамки изображений Docker и включило вредоносную активность в инструментах разработчика Checkmarx, в частности, в выпусках расширений VS Code. Эти расширения для компрометации активировали функцию, которая загружала скрытую полезную нагрузку JavaScript, mcpAddon.js , с жестко закодированного URL-адреса GitHub при активации. Эта полезная нагрузка способна собирать различные конфиденциальные учетные данные, такие как токены аутентификации GitHub, учетные данные AWS и токены аутентификации Microsoft Azure, и впоследствии отправлять их на внешние конечные точки или в общедоступные хранилища GitHub, контролируемые жертвами. Использование токенов GitHub также используется для внедрения вредоносных рабочих процессов GitHub Actions, предназначенных для захвата секретов из репозиториев, что еще больше усугубляет угрозу.

Критический прием в этой операции включал манипулирование историей Git, чтобы замаскировать внедрение вредоносных полезных нагрузок, при этом фиксация задним числом казалась законной, но затрудняла анализ. Файл JavaScript, mcpAddon.js , выполняемый с использованием среды выполнения Bun, включает методы запутывания, позволяющие избежать обнаружения, и имеет встроенные функциональные возможности для целого ряда действий по эксфильтрации. Это включает в себя многоэтапную атаку, которая может беспрепятственно распространяться по каналам supply chain, используя украденные учетные данные как для кражи данных, так и в качестве средства расширения доступа злоумышленника к экосистеме разработчиков.

Более того, репозитории, созданные для эксфильтрации ВПО, следовали обманчивой схеме именования, что еще больше запутывало злой умысел, стоящий за их созданием. Злоумышленник эффективно использовал украденные учетные данные GitHub для обнаружения подходящих репозиториев, специально нацеливаясь на тех, у кого есть секреты действий GitHub, чтобы внедрить вредоносные рабочие процессы, которые извлекут конфиденциальные данные и удалят все следы после эксфильтрации.

#ParsedReport #CompletenessHigh
24-04-2026

Inside Vidar (2026): From Infection to Memory Execution via JPEG and TXT Payloads

https://www.pointwild.com/threat-intelligence/inside-vidar-2026-from-infection-to-memory-execution-via-jpeg-and-txt-payloads/

Report completeness: High

Threats:
Vidar_stealer
Arkei_stealer
Clickfix_technique
Process_injection_technique
Lolbin_technique
Goloader
Process_hollowing_technique
Runpe_tool
Jump_cloud_tool
Nautilus
Credential_harvesting_technique

Victims:
Software developers, Gaming communities, Cryptocurrency users, Organizations, Individual users

Industry:
Entertainment, Petroleum

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1027.007, T1027.010, T1036.008, T1055.012, T1059.001, T1059.005, T1071.001, T1090, have more...

IOCs:
IP: 2
File: 10
Domain: 1
BrowserExtension: 219
Coin: 25
Hash: 8
Url: 3

Soft:
Telegram, Claude, WordPress, Discord, Process Explorer, Visual Studio, Chrome, Google Chrome, Microsoft Edge, Bitwarden, have more...

Wallets:
metamask, enkrypt, math_wallet, braavos_wallet, tronlink, yoroi, coinbase, iwallet, ronin_wallet, neoline, have more...

Crypto:
binance, solana, casper, bitcoin, ethereum, multiversx, aptos, uniswap, dogecoin, starcoin, have more...

Algorithms:
exhibit, md5, base64, xor

Functions:
Debug

Win API:
CreateProcess, WriteProcessMemory, CreateRemoteThread, IsDebuggerPresent, IsProcessorFeaturePresent

Win Services:
WebClient

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
К 2026 году Vidar превратился из простого средства для кражи учетных данных в сложный фреймворк для ВПО, использующий методы многоэтапных атак и стратегии ВПО как услуги (MaaS). Он использует тактику социальной инженерии, используя сайты компрометации и поддельные страницы, чтобы заманить пользователей на выполнение ВПО, которое выполняется с помощью запутанных скриптов и доверенных компонентов Windows для выполнения без файлов. Вредоносное ПО ВПО нацелено на расширения браузера для более широкого сбора данных и взаимодействует с каналом управления через Телеграм, подчеркивая его продвинутые операции по запутыванию и скрытности.
-----

В 2018 году Vidar превратился в сложный фреймворк для ВПО, изначально предназначенный для кражи учетных данных. К 2026 году она интегрировала методы многоэтапных атак, методологии "ВПО как услуга" (MaaS) и инновационные стратегии уклонения, доказав, что является серьезной угрозой в киберпространстве.

Внедрение Vidar все больше опиралось на тактику социальной инженерии. Злоумышленники используют сайты WordPress с компрометацией, лживые репозитории GitHub и поддельные страницы с капчей, чтобы заманить пользователей на выполнение ВПО. Этот метод отошел от традиционного использования к более управляемым пользователем цепочкам выполнения, подчеркивая значительную роль обмана в первоначальных переносчиках инфекции.

Одной из отличительных особенностей реализации 2026 года является использование запутанных сценариев и доверенных компонентов Windows для облегчения пути выполнения без файлов. Первоначальное заражение часто начинается со сценариев, выполняемых с помощью WScript или PowerShell. После злоупотребления этими компонентами скрипт JavaScript или PowerShell динамически восстанавливает команду, которая нацелена на определенный IP-адрес, в конечном итоге загружая полезную нагрузку, замаскированную под изображение в формате JPEG. Дизайн ВПО включает в себя встраивание вредоносных данных Base64 в пользовательские маркеры, которые извлекаются и декодируются во время выполнения, демонстрируя передовые методы обфускации.

Последующие этапы включают фазу выполнения на основе .NET с использованием RegAsm.exe в качестве прокси—сервера, позволяющего выполнять дополнительные полезные нагрузки без записи на диск - метод, характеризуемый как "Living Off the Land". Этот механизм распространения использует законные двоичные файлы для обеспечения скрытой работы. После выполнения полезные нагрузки могут впоследствии взаимодействовать с контролируемым каналом управления (C2), часто через инфраструктуру Телеграм, дополнительно используя Cloudflare в качестве прикрытия для вредоносных операций в домене. Благодаря этим механизмам Vidar не только извлекает конфиденциальную информацию, но и органично вписывается в обычную работу системы.

В дополнение к своим возможностям уклонения, Vidar специально нацелен на браузерные расширения на основных платформах, тем самым расширяя возможности сбора данных, выходящие за рамки простой кражи учетных данных. Этот сдвиг в сторону нацеливания на более широкий спектр браузерных расширений увеличивает потенциальное воздействие ВПО.

Обнаружение и смягчение угрозы, исходящей от Vidar, требует обновленных стратегий защиты, в которых приоритет отдается раннему обнаружению файлов начальной стадии, особенно тех, которые доставляются через авторитетные платформы, такие как GitHub, и веб-сайты с компрометацией. Наблюдаемая эволюция и изощренность Vidar подчеркивает критическую тенденцию в современных киберугрозах, подчеркивая необходимость усовершенствованных мер безопасности против многоплановых фреймворков, ориентированных на скрытность атак. Следовательно, Vidar представляет собой насущную проблему для Кибербезопасности, заявляя о себе как о модульной, адаптивной платформе, способной к краже данных и их закреплению.

#technique

Linux ELF Malware Generator Evades ML Detection With Semantic-Preserving Changes

https://arxiv.org/pdf/2604.22639

#ParsedReport #CompletenessLow
28-04-2026

✅ Report Title: Threat Group Profile: Silver Fox

https://s2w.inc/en/resource/detail/1050

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: cyber_espionage)
Atlascross

Threats:
Typosquatting_technique
Valleyrat
Winos
Nidhogg
Holdinghands
Cleversoar
Cringe
Pngplug
Catena
Gh0st_rat
Byovd_technique
Spear-phishing_technique
Seo_poisoning_technique

Victims:
Individual users, Medical, Financial, Corporate, China, Taiwan, Japan, Southeast asia, Malaysia, Indonesia, have more...

Industry:
Healthcare

Geo:
Singapore, Asia, Philippines, Taiwan, China, Japan, Malaysia, Indonesia, Thailand

ChatGPT TTPs:
do not use without manual check
T1036, T1055.001, T1105, T1204.001, T1204.002, T1219, T1560, T1563.002, T1566.001, T1567, have more...

IOCs:
File: 4

Soft:
Telegram, Zoom, Microsoft Teams, WeChat

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Silver Fox, китайский злоумышленник, эволюционировала от кампаний, мотивированных финансовой выгодой, до включения шпионажа, нацеленного на Тайвань и Японию с использованием техник фишинга и тайпсквоттинга. Их арсенал включает передовое ВПО, такое как ValleyRAT и AtlasCross, с акцентом на психологическое манипулирование в своих TTPs. Они эксплуатируют доверие через тактики Имперсонация и используют метод Bring Your Own Vulnerable Driver (BYOVD) для обхода мер безопасности, что обеспечивает непрерывный доступ и эксфильтрацию данных.
-----

Группа Silver Fox, китайский злоумышленник, активна как минимум с 2022 года, изначально сосредоточившись на кампаниях, мотивированных финансовой выгодой. По состоянию на 2024 год их операции эволюционировали, чтобы охватить как оппортунистические, так и шпионские активности, расширив диапазон целей от Китая, чтобы включить Тайвань и Японию. На Тайване они особенно использовали фишинг-кампании, имитируя Национальное налоговое бюро для эксплуатации местных налоговых периодов, и применяли техники тайпсквоттинга для отражения местных предпочтений программного обеспечения. К 2025 году, используя улучшенный ValleyRAT, Silver Fox расширил свою зону атак по всей Юго-Восточной Азии, нацеливаясь на такие отрасли, как медицинские, финансовые и корпоративные сектора в странах, включая Малайзию, Индонезию, Сингапур, Таиланд и Филиппины.

Группа разработала сложный арсенал, включающий различные ПО для удаленного доступа (RAT), такие как ValleyRAT и AtlasCross, а также другое ВПО, например Nidhogg и CleverSoar. В настоящее время они не используют общедоступно известные уязвимости в своих атаках. Тактика, техники и процедуры (TTPs) Silver Fox сосредоточены на психологическом манипулировании и технической уклончивости. Их основные векторы атаки — фишинг и Имперсонация, а также метод, известный как Bring Your Own Vulnerable Driver (BYOVD).

Фишинг является ключевой стратегией Silver Fox, где они используют высококастомные фишинговые письма, соответствующие сезонным вопросам, актуальным для их целей. Эти письма часто маскируются под налоговые уведомления или обновления программного обеспечения для финансового управления, с целью заставить получателей загрузить ВПО. Недавние кампании включали многоэтапную доставку полезной нагрузки, где нажатие ссылок в фишинговом письме приводило к загрузке RAT или инструмента Remote Monitoring and Management (RMM), что обеспечивало непрерывный доступ и эксфильтрацию данных из скомпрометированной сети.

В рамках тактик имперсонации Silver Fox маскирует ВПО под доверенное программное обеспечение, включая популярные приложения и отраслевые документы. Они использовали SEO-отравление, чтобы их поддельные страницы загрузки занимали высокие позиции в результатах поиска, заманивая пользователей на загрузку ВПО, такого как AtlasCross RAT, которое обладает возможностями, такими как перехват сессий RDP и внедрение вредоносных DLL в легитимные приложения, например WeChat, для дальнейшего распространения во внутренних сетях.

Техника BYOVD, используемая Silver Fox, опирается на легитимные, но уязвимые драйверы для отключения современных средств защиты, эффективно обходя антивирусные решения и средства обнаружения на конечных точках. Для снижения угрозы, создаваемой данной группой, организациям необходимо ужесточить контроль за электронной почтой и поддельными доменами, внедрить политики, запрещающие использование уязвимых драйверов, усилить механизмы защиты на уровне ядра, а также применять стратегии контроля приложений для ограничения возможностей запуска вредоносного ПО.

#ParsedReport #CompletenessLow
28-04-2026

Kimsuky Malware Targets Specialty Pharmaceutical Companies-White Life Sciences ERP Specification Sheet

https://wezard4u.tistory.com/429764

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
Specialty pharmaceutical companies

Industry:
Healthcare, Telco

Geo:
North korean, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1027, T1033, T1036.005, T1041, T1053.005, T1057, T1059.001, T1059.003, T1059.007, have more...

IOCs:
File: 21
Hash: 3
Command: 1

Soft:
Task Scheduler, Dropbox

Algorithms:
sha256, sha1, xor, md5, base64, rc4

Functions:
Seek, Get-Process

Languages:
powershell, javascript