#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
M3rx — это новый вариант ransomware, который работает на основе Windows-шифровальщика и выделенного сайта утечек. Он нацелен на пользовательские файлы, переименовывая их с расширением .8hmlsewu и используя методы шифрования, такие как обмен ключами X25519 для управления ключами, AES-CTR для шифрования содержимого файлов и AES-GCM для инкапсуляции ключей. Ransomware демонстрирует уникальное поведение, включая саморазрушение через PowerShell и запись зашифрованной заметки для восстановления, при этом его происхождение и связи с известными злоумышленниками остаются неподтвержденными.
-----

M3rx — это новый вариант ransomware-программы, который инкапсулирует свою деятельность в рамках выделенного сайта утечек и использует шифровальщик на базе Windows. По состоянию на 27 апреля 2026 года актор опубликовал шесть публичных сообщений, описывающих его деятельность, что указывает на активное участие M3rx в атаках с использованием ransomware. Значительная активность наблюдалась 23 и 26 апреля, с заявлениями о нацеливании на жертв в США, Канаде, Австралии, Великобритании и Швейцарии, хотя атрибуция к какому-либо известному злоумышленнику или группе остается неподтвержденной.

Технический анализ вредоносного ПО M3rx показывает, что оно использует бинарный файл PE32+ x64, написанный на языке Go, который был передан на анализ 25 апреля 2026 года. Поведение вредоносного ПО включает запись зашифрованного сообщения о восстановлении в файл RECOVERY_NOTES.TXT, переименование затронутых файлов в случайные 16-символьные строки, состоящие из букв и цифр, с добавлением специфического расширения .8hmlsewu, очистку Корзины и выполнение команды PowerShell для удаления самого себя после завершения работы, если не указано иное.

С точки зрения криптографии M3rx использует сложную стратегию управления ключами. Шифровальщик применяет обмен ключами X25519 при каждом запуске, AES-CTR для шифрования содержимого файлов и AES-GCM для инкапсуляции индивидуальных AES-ключей для каждого файла, с добавлением фиксированного хвоста размером 0x400 байт для проверки целостности файлов. Наличие восстанавливаемой конфигурации внутри бинарного файла позволяет аналитикам исследовать детали его операционных параметров, хотя его базовый блок данных хранится в формате, который становится узнаваемым после обработки.

Анализированный образец указывает, что M3rx нацелен на пользовательские файлы, шифруя их и оставляя их с указанным выше расширением файла, а также выполняя процедуры очистки, направленные на затруднение процессов восстановления. Структура и операции бинарного файла подчеркивают потенциальные возможности для обнаружения и смягчения, такие как распознавание расширения файла и конкретного шаблона футера, который он использует. Тем не менее, связь M3rx с какой-либо установленной киберпреступной организацией или тактиками остается неопределенной на данный момент, что делает его уникальной сущностью в развивающемся ландшафте угроз программ-вымогателей.

#ParsedReport #CompletenessHigh
20-04-2026

Nightmare-Eclipse Tooling Moves From Public PoC to Real-World Intrusion

https://www.huntress.com/blog/nightmare-eclipse-intrusion

Report completeness: High

Threats:
Nightmare_eclipse_tool
Bluehammer_tool
Redsun_tool
Undefend_tool
Beigeburrow_tool
Yamux_tool
Toctou_vuln
Shadow_copies_delete_technique
Dirty_cow_vuln
Credential_harvesting_technique

Victims:
Organizations using fortigate ssl vpn, Windows environments

Geo:
Singapore, Switzerland, Russian, Russian federation, Russia

CVEs:
CVE-2026-33825 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft defender_antimalware_platform (<4.18.26030.3011)


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Path: 6
IP: 3
Domain: 1
Hash: 1

Soft:
Windows Defender, Linux, indows Defender wi

Algorithms:
sha256

Functions:
runAgent, DefaultConfig

Win Services:
WinDefend

Platforms:
intel

YARA: Found

Links:
https://github.com/hashicorp/yamux
https://github.com/RussianPanda95/Yara-Rules/blob/main/BeigeBurrow/win\_mal\_BeigeBurrow.yar
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Huntress сообщил об использовании набора инструментов Nightmare-Eclipse, который эксплуатирует уязвимости в Windows Defender с помощью таких инструментов, как BlueHammer и RedSun, для повышения привилегий на локальном уровне. BlueHammer манипулирует уязвимостью TOCTOU для доступа к базе данных диспетчера учетных записей безопасности (SAM), в то время как RedSun обеспечивает доступ на уровне SYSTEM посредством состояния гонки. Расследование также связало атаки с агентом туннелирования BeigeBurrow на базе Go, вредоносным бинарным файлом, обеспечивающим постоянное обратное подключение к серверу управления (command-and-control) по протоколам HTTP/S.
-----

Huntress сообщил об использовании набора инструментов Nightmare-Eclipse в ходе расследования реальной атаки. Эта активность включала эксплуатацию уязвимостей в Windows Defender с использованием трёх основных инструментов: BlueHammer, RedSun и UnDefend, которые основаны на публичных доказательствах концепции (PoC) эксплойтов. Атаки были прослежены до скомпрометированного доступа к SSL VPN FortiGate, связанного с несколькими подозрительными исходными IP-адресами, особенно с одним, идентифицированным как находящийся в России. Примечательно, что артефакты этих атак часто обнаруживались в директориях, доступных для записи пользователями, особенно в папках «Изображения» и «Загрузки».

Основу угрозы составляли эксплойты BlueHammer и RedSun для повышения привилегий на локальном уровне. BlueHammer использует уязвимость Time Of Check, Time Of Use (TOCTOU), манипулируя поведением Windows Defender для получения доступа к базе данных диспетчера учетных записей безопасности (SAM). В частности, он приостанавливает работу Defender во время создания теневой копии тома, что позволяет злоумышленнику эксплуатировать момент обращения к базе данных. В сравнении с этим, RedSun получает доступ на уровне SYSTEM через другую гонку условий в процессе восстановления файлов Windows Defender, эффективно размещая свой вредоносный файл в системных каталогах, которые обычно защищены.

UnDefend служит инструментом противодействия Windows Defender путём блокировки файлов определений и предотвращения корректной загрузки обновлений службой после события выполнения. Этот инструмент эффективно лишает Defender доступа в критические моменты, но не обеспечивает постоянной защиты, поскольку блокировки удерживаются только до тех пор, пока UnDefend работает.

В ходе расследования были обнаружены доказательства, связывающие атаку с подозрительным бинарным файлом под названием BeigeBurrow, который идентифицируется как туннелирующий агент на базе Go, предоставляющий злоумышленникам удаленный доступ через HTTP/S-коммуникацию по порту 443. Его функциональная архитектура позволяет устанавливать постоянное обратное туннельное соединение с сервером управления (C2). BeigeBurrow принимает настраиваемые параметры командной строки, включая настройки сервера и опции для визуальных элементов, таких как видимость консоли, хотя некоторые параметры, например -chain, по-видимому, не функционируют в проанализированном образце.

Рекомендации по смягчению последствий для организаций включают немедленные действия по реагированию на инциденты при обнаружении любых признаков выполнения BlueHammer, RedSun или UnDefend. Мониторинг телеметрии конечных точек на предмет необычных запусков из записываемых путей, анализ предупреждений безопасности, связанных с активностью BlueHammer, выявление команд разведки, таких как "whoami /priv," и аномальных шаблонов доступа через VPN являются обязательными. Эти меры направлены на защиту систем от эксплуатации с использованием инструментов из арсенала Nightmare-Eclipse, которые представляют собой развивающийся ландшафт угроз, использующих ранее раскрытые уязвимости в системах Windows.

#ParsedReport #CompletenessMedium
28-04-2026

TeamPCP Injects Two-Stage Credential Stealer into xinference PyPI Package

https://www.stepsecurity.io/blog/teampcp-injects-two-stage-credential-stealer-into-xinference-pypi-package

Report completeness: Medium

Actors/Campaigns:
Xinference_compromise
Teampcp

Threats:
Credential_stealing_technique
Supply_chain_technique

Victims:
Artificial intelligence, Machine learning operations, Software development, Cloud services, Cryptocurrency

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.006, T1070.004, T1071.001, T1083, T1140, T1195.001, T1526, T1552.001, have more...

IOCs:
File: 17
Hash: 3

Soft:
curl, litellm, Kubernetes, Docker, travis, slack, discord

Crypto:
bitcoin, ethereum, cardano, solana

Algorithms:
rsa-4096, aes-256-cbc, sha256, base64

Functions:
_install, exec, Popen, start, run, IMDS

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 апреля 2026 года пакеты xinference версий 2.6.0–2.6.2 на PyPI были скомпрометированы, в них был внедрен двухэтапный payload для кражи учетных данных, который выполнялся при импорте, захватывая конфиденциальные данные, такие как SSH-ключи и учетные данные AWS, перед их эксфильтрацией на сервер управления. Злоумышленник TeamPCP продемонстрировал тактику высокого уровня, скрывая вредоносный код внутри легитимных функций, эволюционируя от предыдущих методов. Примечательно, что malware эксфильтровал данные без шифрования, что сигнализирует о возможном изменении стратегии или актора, в то время как процесс эксфильтрации был перехвачен системами мониторинга.
-----

22 апреля 2026 года в версиях 2.6.0, 2.6.1 и 2.6.2 открытого пакета xinference на PyPI был обнаружен двухэтапный вредоносный код для кражи учетных данных. Этот код встроен в файл xinference/__init__.py, который автоматически выполняется при импорте пакета. После активации он декодирует сборщик второго этапа, который захватывает конфиденциальную информацию, включая SSH-ключи, облачные учетные данные, переменные окружения и данные криптокошельков. Эти данные впоследствии эксфильтруются в виде файла tar.gz с именем love.tar.gz на сервер управления (управление) по адресу whereisitat.lucyatemysuperbox.space с использованием POST-запроса curl. Целостность этих скомпрометированных версий была нарушена в достаточной степени, чтобы вызвать их немедленное удаление из PyPI.

Злоумышленник, идентифицированный как TeamPCP, ранее был связан с другими атаками на цепочку поставок, демонстрируя паттерн операционного совершенствования в своих методах. Примечательно, что они изменили место инъекции кода с простой инъекции на уровне модуля в версии 2.6.0 на скрытие её внутри легитимной функции в версии 2.6.2, что указывает на эволюционировавшую тактику для повышения скрытности. ВПО ведет себя как двухэтапный полезный груз, где начальный этап содержит сборщик, который при выполнении маскируется под безвредный код до тех пор, пока не начнется его разведка.

Оперативное поведение сборщика учетных данных включает масштабное сканирование целевых элементов в облачных средах. Он пытается собрать учетные данные AWS путем инспекции файловой системы, анализа переменных окружения и прямых вызовов API к службе метаданных экземпляра (IMDS). Кроме того, он проводит глубокий поиск по различным системным каталогам для выявления файлов окружения, которые могут содержать конфиденциальные ключи. Далее, сборщик также предназначен для нацеливания на данные криптографических кошельков, что соответствует его развертыванию в сферах, ориентированных на искусственный интеллект, где такая инфраструктура совпадает с интересами пользователей.

Процесс эксфильтрации примечателен полным отсутствием шифрования — отклонением от прошлых операций, связанных с TeamPCP. Учетные данные передаются в открытом виде внутри сжатого архива, а отсутствие специфических артефактов шифрования указывает либо на участие другого актора, либо на более упрощенный подход к процессу эксфильтрации. HTTP-трафик, генерируемый попытками ВПО, был перехвачен и заблокирован существующими защитными механизмами, что иллюстрирует важность проактивного мониторинга в защищенных средах.

Шаги по устранению подчеркивают острую необходимость ротации всех доступных учетных данных на любых затронутых системах — от ключей доступа AWS до различных токенов облачных служб и переменных окружения. Компрометация продемонстрировала потенциальную опасность атак через цепочку поставок и спровоцировала автоматические проверки безопасности на предмет любых существующих конфигураций рабочих процессов, использующих эти версии пакета xinference. Быстрый выпуск этих скомпрометированных пакетов в короткий промежуток времени подчеркивает критическую необходимость повышения бдительности в цепочках поставок программного обеспечения, обращая внимание на эволюционирующие стратегии, применяемые преступными группировками.

#ParsedReport #CompletenessLow
28-04-2026

“Chaos is a ladder”: Vidar’s recent rise to the top

https://www.intrinsec.com/chaos-is-a-ladder-vidar-rise-to-the-top/

Report completeness: Low

Threats:
Chaos_ransomware
Vidar_stealer
Lumma_stealer
Rhadamanthys
Dead_drop_technique
Aurastealer
Redsun_tool

Victims:
Corporate employees, Organisations

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1102.001, T1204.002, T1587.001

Soft:
Telegram, Microsoft Defender

Algorithms:
des

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года вредоносное ПО Vidar усилило свои позиции в экосистеме стиллеров, используя сбои в инфраструктуре конкурентов. Последняя версия, Vidar 2.0, использует поддельные загрузки программного обеспечения для начала атак путем распаковки стиллера и продажи украденных учетных данных на российских рынках. Оно оснащено продвинутой инфраструктурой с разрешителями мертвых дропов и выравниванием потока управления, в то время как появление AuraStealer сигнализирует о продолжающейся эволюции в ландшафте инфостиллеров после действий правоохранительных органов. Кроме того, уязвимость REDSUN подчеркивает проблемы в обнаружении, требующие инновационных стратегий криминалистического анализа, несмотря на ограниченную телеметрию конечных точек.
-----

В начале 2026 года ВПО Vidar стало заметным игроком в экосистеме стиллеров, воспользовавшись сбоями, вызванными операциями правоохранительных органов против конкурирующих инфраструктур, таких как Lumma и Rhadamanthys, в 2025 году. Последняя версия, Vidar 2.0, значительно способствовала этому росту, поддерживаемая стратегическими сотрудничествами через каналы Cloud Телеграм. Аналитики изучили конкретный вектор атаки, выполненный Vidar, который включал kill-chain, нацеленный на сотрудников корпораций. Атака началась с того, что жертвы скачивали поддельное программное обеспечение, рекламируемое на таких платформах, как YouTube, что способствовало распаковке стиллера Vidar и последующей продаже украденных учетных данных на российских киберпреступных рынках.

Инфраструктура Vidar была тщательно проанализирована, что выявило сложный механизм восстановления управления (управление), использующий dead drop resolvers. Кроме того, его архитектура включает уплощение потока выполнения для усложнения усилий по анализу ВПО. Интересное открытие было сделано на основе распакованного образца, возможно, загруженного российским злоумышленником на VirusTotal, демонстрирующего классические возможности кражи конфиденциальной информации.

Что касается операционной среды, связанной с угрозами, такими как Vidar, после пресечения деятельности Lumma наблюдается заметное появление AuraStealer. Это указывает на продолжающуюся эволюцию в ландшафте стиллеров, где злоумышленники адаптируются и внедряют инновации в ответ на действия правоохранительных органов.

Кроме того, в ходе недавних расследований внимание было привлечено к уязвимости REDSUN. Анализ практических стратегий обнаружения показывает, что даже при ограниченной телеметрии конечных точек последовательности эксплуатации могут быть восстановлены с использованием операционных журналов Microsoft Defender и различных артефактов файловой системы. Это подчеркивает критическую необходимость для организаций внедрять проактивные методы обнаружения, способные противостоять тактикам противника, таким как переименование и переупаковка вредоносных инструментов.

#ParsedReport #CompletenessMedium
21-04-2026

DinDoor's Caddy Problem: How One HTTP Header Exposed 20 Active C2 Servers

https://hunt.io/blog/dindoor-deno-runtime-backdoor-msi-analysis

Report completeness: Medium

Actors/Campaigns:
Muddywater
Graybravo

Threats:
Dindoor
Tsundere
Castleloader
Chainshell
Nightshade

Victims:
Financial services, Organizations in the united states, Financial services in the russian federation

Industry:
Healthcare, Telco

Geo:
Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1036.007, T1059.001, T1059.007, T1071.001, T1082, T1090, T1105, T1140, have more...

IOCs:
Domain: 17
File: 13
Path: 2
IP: 20
Hash: 2

Soft:
Caddy, Node.js

Crypto:
ethereum

Algorithms:
base64, sha256

Functions:
Get-WmiObject

Languages:
javascript, powershell, python

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DinDoor — это ВПО, которое использует среду выполнения Deno для запуска вредоносного JavaScript в доверенных средах, применяя доставку через MSI-файлы для обхода стандартных методов обнаружения. Оно связано с иранской группировкой APT MuddyWater и ботнетом Tsundere. К заметным особенностям относится уникальный алгоритм отпечатков для отслеживания скомпрометированных хостов, а также варианты, такие как "migcredit.pdf.msi" и "installer_v1.21.66.msi", которые используют различные методы выполнения для подключения к серверам управления и поддержания оперативной скрытности.
-----

DinDoor — это киберугроза, в первую очередь использующая среду выполнения Deno, что знаменует собой значительный сдвиг в работе вредоносного ПО за счет использования доверенных сред для выполнения вредоносного кода JavaScript. Механизмы доставки в основном включают MSI-файлы, что позволяет ему обходить типичные методы обнаружения, которые могут быть больше ориентированы на PowerShell или Node.js. Этот вариант вредоносного ПО связан с ботнетом Tsundere Botnet и ассоциируется с иранской группировкой APT MuddyWater. Сложности возникают из-за способности вредоносного ПО запускать скрипты, которые менее узнаваемы для систем мониторинга безопасности, что создает пробел в обнаружении.

Согласно недавнему анализу, DinDoor использует ненадежный метод заголовков HTTP для раскрытия активных серверов управления (управление). В частности, он применяет уникальный алгоритм отпечатков, который генерирует уникальный идентификатор для каждого скомпрометированного хоста и добавляет его к каждому запросу C2. Один из проанализированных образцов, installer_v1.21.66.msi, содержит жестко закодированный токен JSON Web Token (JWT) в своем URL-адресе C2, который раскрывает операционные детали, включая ссылки на домен "serialmenot.com" — известный центр для акторов программ-вымогателей и спонсируемых государствами.

Оба проанализированных образца DinDoor демонстрируют общность в модели выполнения, но существенно различаются по поведению. Например, «migcredit.pdf.msi» маскируется под PDF-файл и использует скрипт PowerShell для загрузки среды выполнения Deno. Скрипт проверяет наличие «deno.exe», устанавливает его при отсутствии и затем декодирует JavaScript-код для выполнения. В свою очередь, «installer_v1.21.66.msi» использует скрытый загрузчик, который напрямую выполняет JavaScript-код в памяти, демонстрируя более скрытный подход, исключающий запись файлов на диск.

При запуске полезной нагрузки она оценивает свою C2-среду, ожидая конкретных HTTP-ответов для подтверждения непрерывности работы. Критическим техническим элементом является механизм двойного скользящего хэш-отпечатка, который собирает системные данные для создания уникального шестнадцатеричного идентификатора для отслеживания скомпрометированных хостов. Этот идентификатор повышает способность оператора устранять дублирование записей на стороне сервера, одновременно обеспечивая уникальное отслеживание зараженных целей.

Оперативная разведка выявила в общей сложности 20 активных серверов, связанных с DinDoor, в ходе конкретного запроса к HTTP-трафику, с указаниями на общую многопользовательскую инфраструктуру, позволяющую различным злоумышленникам эксплуатировать её. Наличие согласованных шаблонов HTTP-ответов на этих серверах позволяет проводить дальнейшую разведку их инфраструктуры, что предполагает, что они могут быть частью более обширной сети операций вредоносного ПО.

Стратегии смягчения включают внедрение строгих ограничений на выполнение «deno.exe» вне утверждённых фреймворков, использование политик контроля приложений для ограничения выполнения файлов MSI и мониторинг сетевых журналов на наличие идентифицируемых заголовков HTTP, которые могут указывать на активность DinDoor. Обеспечение бдительности в обнаружении неожиданных процессов, связанных с «deno.exe», может оказаться решающим для предотвращения заражений.

#ParsedReport #CompletenessHigh
28-04-2026

BlueNoroff Uses ClickFix, Fileless PowerShell, and AI-Generated Fake Zoom Meetings to Target Web3 Sector

https://arcticwolf.com/resources/blog-uk/bluenoroff-uses-clickfix-fileless-powershell-ai-generated-fake-zoom-meetings-to-target-web3-sector/

Report completeness: High

Actors/Campaigns:
Bluenoroff (motivation: information_theft, financially_motivated)
Lazarus (motivation: financially_motivated)
Ghosthire
Snatchcrypto

Threats:
Clickfix_technique
Process_injection_technique
Credential_harvesting_technique
Antidebugging_technique
Uac_bypass_technique
Typosquatting_technique
Spear-phishing_technique
Clipboard_injection_technique
Meteor_wiper
Donut_loader
Donut
Downtroy

Victims:
Web3, Cryptocurrency, Blockchain finance, Finance and investment, Artificial intelligence and technology, News media, Venture capital

Industry:
Entertainment, Financial, Game_industry, Education

Geo:
Switzerland, France, American, Sweden, Korea, Norway, Asia-pacific, Oceania, Portugal, Emirates, America, Netherlands, United kingdom, Canada, Germany, Korean, China, Dprk, Italy, Spain, Israel, Japan, Middle east, Asia, Australia, Singapore, Taiwan, North korea, Arab emirates, Hong kong

TTPs:
Tactics: 4
Technics: 0

IOCs:
Command: 4
Url: 10
File: 25
Registry: 2
IP: 6
Hash: 6
Domain: 19

Soft:
Zoom, Telegram, curl, Google Chrome, Microsoft Edge, BraveSoftware Brave-Browser, Opera, Mozilla Firefox, Clipchamp, OpenAI, have more...

Algorithms:
base64, aes-256-cbc, aes, chacha20, aes-256-gcm, zip, bcrypt, xor, sha256

Functions:
Get-Content, Remove-Item, getUserMedia, Zoom, Teams, Get-CimInstance, Get-Process, WriteProcessMemory, CreateRemoteThread, Send-ScreenshotToTelegram, have more...

Win API:
OpenProcess, WriteProcessMemory, CreateRemoteThread, VirtualAllocEx, irtualAllocEx →, teProcessMemory → Cr, eRemoteThread inject, orSingleObject called, CoCreateInstance, yptGenerateSymmetricKey → BC, have more...

Win Services:
bits

Languages:
powershell, javascript

Platforms:
apple, x64, arm, intel, x86

Links:
https://github.com/rtkwlf
have more...
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/bluenoroff-fake-zoom-clickfix

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 2, windows: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlueNoroff, подгруппа северокорейской группы Lazarus Group, проводила кибератаки на сектор криптовалют, используя передовые методы, такие как безфайловые методы PowerShell и социальная инженерия. Начальные атаки включали целевой фишинг через поддельные приглашения, ведущие к поддельному интерфейсу Zoom, способному захватывать видеопотоки с веб-камер и выполнять скрипты PowerShell для связи с управлением. Операция включала извлечение учетных данных, нацеленных на веб-браузеры, использование дипфейк-медиа для социальной инженерии и сосредоточение внимания на высокопоставленных лидерах отрасли для доступа к значительным финансовым активам.
-----

BlueNoroff, финансово мотивированная подгруппа северокорейской группы Lazarus Group, недавно осуществила серию сложных кибератак, направленных на сектор Web3/криптовалют. Эти атаки использовали инновационные методы, включая безфайловые методы PowerShell и тактики социальной инженерии, такие как имперсонация уважаемых лиц в сфере финансовых технологий для доставки манипулированных приглашений на поддельные встречи Zoom.

Начальный этап часто включал атаку с использованием целевого фишинга. Жертвы получали поддельное приглашение Calendly, которое перенаправляло их на ссылку Zoom с зарегистрированным опечаткой (typo-squatting). При переходе по ссылке жертвы попадали на HTML-страницу, имитирующую легитимный интерфейс Zoom. Эта страница могла захватывать видеопоток с веб-камеры жертвы в реальном времени, который затем мог быть использован для будущих мошеннических схем. Приманка функционировала за счет различных встроенных JavaScript-приложений, предназначенных для выполнения нескольких вредоносных действий, включая загрузку и выполнение PowerShell-скрипта, который устанавливал соединение с каналом управления (C2).

Скрипт-загрузчик PowerShell, применявшийся в этих атаках, демонстрировал техники обфускации, используя кодирование Base64 в сочетании с XOR-шифрованием для сокрытия его истинного назначения. Этот загрузчик взаимодействовал с сервером C2 для получения дополнительных полезной нагрузки, одновременно проводя профилирование системы и собирая данные из браузера жертвы и установленного программного обеспечения. Он был настроен на постоянную отправку информации, что указывает на поток, предназначенный для непрерывной эксфильтрации данных в течение длительных периодов времени.

Значимым аспектом этих атак является многоэтапный конвейер извлечения учетных данных. Этот конвейер был направлен на популярные веб-браузеры и их расширения, при этом скрипты обеспечивали сбор учетных данных для входа, файлов cookie и другой конфиденциальной информации. Модули пост-эксплуатации внедрялись оперативно, что свидетельствует о высоком уровне автоматизации выполнения атаки.

BlueNoroff также интегрировал медиафайлы с глубокими подделками, созданными с помощью ИИ, на этапе подготовки к атаке. Они создавали синтетические идентичности, используя реальные и сгенерированные ИИ видео и изображения, что добавляло слой аутентичности их атакам социальной инженерии. Это включало использование ранее захваченных изображений жертв из предыдущих атак и применение продвинутого программного обеспечения для редактирования с целью создания правдоподобного контента с глубокими подделками.

Географическая и демографическая целевая аудитория выявила сосредоточенные усилия в отношении высокопоставленных лидеров в секторах криптовалют и блокчейна, при этом более половины выявленных жертв являлись генеральными директорами или основателями. Это предполагает стратегический подход, направленный на доступ к значительным активам криптовалют, подчеркивая оперативный фокус группы на краже денежных средств.

#ParsedReport #CompletenessLow
27-04-2026

The Meta 2FA Trap: From Verified Badge to Account Takeover

https://cofense.com/blog/the-meta-2fa-trap-from-verified-badge-to-account-takeover

Report completeness: Low

Victims:
Meta users, Individual users, Businesses

ChatGPT TTPs:
do not use without manual check
T1036, T1111, T1566.002, T1583.006, T1585.002

IOCs:
Url: 2
IP: 3

Soft:
Instagram, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, нацеленная на пользователей Meta, использует систему верификации компании и токены 2FA, отправляя письма, имитирующие Meta и утверждающие о срочной верификации аккаунта. Эти письма направляют пользователей на поддельную Google Форму, имитирующую официальный процесс Meta, где жертвам предлагается ввести свои учетные данные и токены 2FA. Сложный характер этой атаки демонстрирует наличие продвинутой угрозы, использующей доверенный брендинг для обмана пользователей с целью получения конфиденциальной информации.
-----

Выявлена новая фишинговая кампания, нацеленная на пользователей Meta путем эксплуатации системы верификации компании и токенов двухфакторной аутентификации (2FA). Эта сложная схема направлена на обман как отдельных пользователей, так и организаций с целью получения их учетных данных для входа и конфиденциальной информации. Кампания использует электронное письмо, маскирующееся под запрос на верификацию от Meta, содержащее призыв к срочному действию под предлогом одобрения учетной записи, что перенаправляет пользователей на поддельную Google Форму.

Фишинговые письма используют темы, призванные привлечь внимание получателя, указывая на то, что верификация его аккаунта была одобрена. Эти письма отправляются с аккаунта Gmail с отображаемым именем, имитирующим «Meta Verified», что призвано повысить восприятие легитимности. После того как пользователи нажимают на встроенную фишинговую ссылку, они перенаправляются на тщательно составленную Google Форму, которая воспроизводит внешний вид официального процесса верификации Meta. Использование шаблона, максимально приближенного к брендингу Meta, имеет решающее значение для убеждения пользователей вступить в контакт с фишинговой попыткой.

Фишинговая страница представляется как первый шаг верификации аккаунта, обещая преимущества пользователям, которые завершат этот процесс. Эта стратегия призвана побудить пользователей неосознанно предоставлять свои учетные данные без колебаний. После отправки личной информации форма предлагает пользователям ввести свои пароли, а затем запрашивает их токены 2FA. Включение сбора токенов 2FA особенно примечательно, так как это необычный шаг в фишинговых атаках, указывающий на более продвинутую и оперативную угрозу в реальном времени.

Эффективность фишинговой кампании заключается в её способности имитировать доверенные источники и использовать тревогу, связанную с легитимным управлением аккаунтами. В результате пользователи могут потерять доступ к своим аккаунтам в реальном времени, если станут жертвами этой схемы. Это подчеркивает необходимость для пользователей оставаться бдительными и информированными о развивающихся тактиках фишинга. Осведомленность о таких сложных техниках имеет решающее значение, поскольку злоумышленники продолжают совершенствовать свои стратегии для эксплуатации слабостей в поведении пользователей и доверии к устоявшимся брендам.

#ctt

Перевод переехал на Qwen 3.6 + наш обвес из глоссария ИБ терминов, названий группировок и ВПО.