#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlueNoroff, подгруппа северокорейской группы Lazarus Group, проводила кибератаки на сектор криптовалют, используя передовые методы, такие как безфайловые методы PowerShell и социальная инженерия. Начальные атаки включали целевой фишинг через поддельные приглашения, ведущие к поддельному интерфейсу Zoom, способному захватывать видеопотоки с веб-камер и выполнять скрипты PowerShell для связи с управлением. Операция включала извлечение учетных данных, нацеленных на веб-браузеры, использование дипфейк-медиа для социальной инженерии и сосредоточение внимания на высокопоставленных лидерах отрасли для доступа к значительным финансовым активам.
-----

BlueNoroff, финансово мотивированная подгруппа северокорейской группы Lazarus Group, недавно осуществила серию сложных кибератак, направленных на сектор Web3/криптовалют. Эти атаки использовали инновационные методы, включая безфайловые методы PowerShell и тактики социальной инженерии, такие как имперсонация уважаемых лиц в сфере финансовых технологий для доставки манипулированных приглашений на поддельные встречи Zoom.

Начальный этап часто включал атаку с использованием целевого фишинга. Жертвы получали поддельное приглашение Calendly, которое перенаправляло их на ссылку Zoom с зарегистрированным опечаткой (typo-squatting). При переходе по ссылке жертвы попадали на HTML-страницу, имитирующую легитимный интерфейс Zoom. Эта страница могла захватывать видеопоток с веб-камеры жертвы в реальном времени, который затем мог быть использован для будущих мошеннических схем. Приманка функционировала за счет различных встроенных JavaScript-приложений, предназначенных для выполнения нескольких вредоносных действий, включая загрузку и выполнение PowerShell-скрипта, который устанавливал соединение с каналом управления (C2).

Скрипт-загрузчик PowerShell, применявшийся в этих атаках, демонстрировал техники обфускации, используя кодирование Base64 в сочетании с XOR-шифрованием для сокрытия его истинного назначения. Этот загрузчик взаимодействовал с сервером C2 для получения дополнительных полезной нагрузки, одновременно проводя профилирование системы и собирая данные из браузера жертвы и установленного программного обеспечения. Он был настроен на постоянную отправку информации, что указывает на поток, предназначенный для непрерывной эксфильтрации данных в течение длительных периодов времени.

Значимым аспектом этих атак является многоэтапный конвейер извлечения учетных данных. Этот конвейер был направлен на популярные веб-браузеры и их расширения, при этом скрипты обеспечивали сбор учетных данных для входа, файлов cookie и другой конфиденциальной информации. Модули пост-эксплуатации внедрялись оперативно, что свидетельствует о высоком уровне автоматизации выполнения атаки.

BlueNoroff также интегрировал медиафайлы с глубокими подделками, созданными с помощью ИИ, на этапе подготовки к атаке. Они создавали синтетические идентичности, используя реальные и сгенерированные ИИ видео и изображения, что добавляло слой аутентичности их атакам социальной инженерии. Это включало использование ранее захваченных изображений жертв из предыдущих атак и применение продвинутого программного обеспечения для редактирования с целью создания правдоподобного контента с глубокими подделками.

Географическая и демографическая целевая аудитория выявила сосредоточенные усилия в отношении высокопоставленных лидеров в секторах криптовалют и блокчейна, при этом более половины выявленных жертв являлись генеральными директорами или основателями. Это предполагает стратегический подход, направленный на доступ к значительным активам криптовалют, подчеркивая оперативный фокус группы на краже денежных средств.

#ParsedReport #CompletenessLow
27-04-2026

The Meta 2FA Trap: From Verified Badge to Account Takeover

https://cofense.com/blog/the-meta-2fa-trap-from-verified-badge-to-account-takeover

Report completeness: Low

Victims:
Meta users, Individual users, Businesses

ChatGPT TTPs:
do not use without manual check
T1036, T1111, T1566.002, T1583.006, T1585.002

IOCs:
Url: 2
IP: 3

Soft:
Instagram, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, нацеленная на пользователей Meta, использует систему верификации компании и токены 2FA, отправляя письма, имитирующие Meta и утверждающие о срочной верификации аккаунта. Эти письма направляют пользователей на поддельную Google Форму, имитирующую официальный процесс Meta, где жертвам предлагается ввести свои учетные данные и токены 2FA. Сложный характер этой атаки демонстрирует наличие продвинутой угрозы, использующей доверенный брендинг для обмана пользователей с целью получения конфиденциальной информации.
-----

Выявлена новая фишинговая кампания, нацеленная на пользователей Meta путем эксплуатации системы верификации компании и токенов двухфакторной аутентификации (2FA). Эта сложная схема направлена на обман как отдельных пользователей, так и организаций с целью получения их учетных данных для входа и конфиденциальной информации. Кампания использует электронное письмо, маскирующееся под запрос на верификацию от Meta, содержащее призыв к срочному действию под предлогом одобрения учетной записи, что перенаправляет пользователей на поддельную Google Форму.

Фишинговые письма используют темы, призванные привлечь внимание получателя, указывая на то, что верификация его аккаунта была одобрена. Эти письма отправляются с аккаунта Gmail с отображаемым именем, имитирующим «Meta Verified», что призвано повысить восприятие легитимности. После того как пользователи нажимают на встроенную фишинговую ссылку, они перенаправляются на тщательно составленную Google Форму, которая воспроизводит внешний вид официального процесса верификации Meta. Использование шаблона, максимально приближенного к брендингу Meta, имеет решающее значение для убеждения пользователей вступить в контакт с фишинговой попыткой.

Фишинговая страница представляется как первый шаг верификации аккаунта, обещая преимущества пользователям, которые завершат этот процесс. Эта стратегия призвана побудить пользователей неосознанно предоставлять свои учетные данные без колебаний. После отправки личной информации форма предлагает пользователям ввести свои пароли, а затем запрашивает их токены 2FA. Включение сбора токенов 2FA особенно примечательно, так как это необычный шаг в фишинговых атаках, указывающий на более продвинутую и оперативную угрозу в реальном времени.

Эффективность фишинговой кампании заключается в её способности имитировать доверенные источники и использовать тревогу, связанную с легитимным управлением аккаунтами. В результате пользователи могут потерять доступ к своим аккаунтам в реальном времени, если станут жертвами этой схемы. Это подчеркивает необходимость для пользователей оставаться бдительными и информированными о развивающихся тактиках фишинга. Осведомленность о таких сложных техниках имеет решающее значение, поскольку злоумышленники продолжают совершенствовать свои стратегии для эксплуатации слабостей в поведении пользователей и доверии к устоявшимся брендам.

#ctt

Перевод переехал на Qwen 3.6 + наш обвес из глоссария ИБ терминов, названий группировок и ВПО.

#ParsedReport #CompletenessMedium
28-04-2026

Tall Tales

https://citizenlab.ca/research/how-chinese-actors-use-impersonation-and-stolen-narratives-to-perpetuate-digital-transnational-repression/

Report completeness: Medium

Actors/Campaigns:
Glitter_carp (motivation: disinformation)
Sequin_carp
I-soon_leak (motivation: cyber_espionage)
Earth_empusa
Chengdu_404_leak
Uta0388
Taoth

Threats:
Credential_harvesting_technique
Aitm_technique
Healthkick
Govershell

Industry:
Military, Government, Telco, E-commerce, Semiconductor_industry

Geo:
Chinese, China, Taiwanese, Switzerland, Taiwan, Japan, New york, United kingdom, Asia-pacific, America, Tibet, Japanese, Spanish, Hong kong, Vietnamese, Vietnam, Asia, Tibetan

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 119
File: 4
Url: 12

Soft:
WhatsApp, Gmail, Twitter

Algorithms:
base64

Functions:
createElement, setInterval

Languages:
javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 4, chats: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLITTER CARP и SEQUIN CARP, хакерские группировки, связанные с Китаем, атакуют журналистов и активистов с помощью сложных фишинговых кампаний. GLITTER CARP использует имперсонацию по электронной почте для сбора учетных записей, тогда как SEQUIN CARP применяет потоки согласия OAuth для получения постоянного доступа к учетным записям без необходимости использования паролей. Обе группировки демонстрируют операционные недостатки в своих тактиках, что подчеркивает их зависимость от автоматизированных процессов и более широкие последствия для гражданских свобод через целенаправленное цифровое подавление.
-----

В отчете подробно описываются две хакерские группировки, связанные с Китайской Народной Республикой, идентифицированные как GLITTER CARP и SEQUIN CARP, которые занимаются преимущественно цифровой трансграничной репрессией, направленной против журналистов и активистов. GLITTER CARP с апреля 2025 года проводит масштабные кампании фишинга, используя тактики Имперсонации через целевые электронные письма. Эти письма имитируют сообщения от уважаемых лиц и систем безопасности технологических компаний для сбора учетных данных активистов из диаспор уйгуров, тибетцев, тайваньцев и жителей Гонконга, а также международных журналистов. Основной фокус группы заключается в получении первоначального доступа к Учетным записям эл. почты, вероятно, для достижения более широких оперативных целей в рамках фреймворка «Военно-гражданская интеграция», который позволяет частным подрядчикам проводить операции, спонсируемые государством.

Начиная с июня 2025 года SEQUIN CARP инициировала целевые фишинговые кампании, направленные на журналистов, занимающихся расследованиями, связанными с репрессивными действиями Китая. Группа использует социальную инженерию через убедительные нарративы, что позволяет ей использовать существующие медиа-нарративы для создания фишинговых приманок. Одна из заметных тактик включает побуждение целей авторизовать доступ к сторонним приложениям через потоки согласия OAuth, что позволяет злоумышленникам получать постоянный доступ к учетным записям без необходимости в паролях. Использование легитимных запросов OAuth обходит традиционную многофакторную аутентификацию (MFA), что повышает риск, если пользователь непреднамеренно предоставит разрешения.

Обе группы демонстрируют специфические технические поведения, которые раскрывают их операционные характеристики. GLITTER CARP в основном использует сбор учетных записей через поддельные порталы входа, применяя трекерные пиксели для мониторинга взаимодействия с их фишинговыми письмами. Напротив, продвинутые методы SEQUIN CARP включают фишинг с согласия OAuth, что предоставляет им более устойчивый доступ к скомпрометированным учетным записям. Обе группы также проявляют операционные недостатки, особенно в управлении персонами и усилиях социальной инженерии, что указывает либо на автоматизированные процессы атак, либо на ограниченное человеческое наблюдение.

В отчете подчеркиваются последствия этих атак для гражданского общества, с акцентом на то, как цифровая транснациональная репрессия расширяет контроль китайского правительства за пределами его границ, нацеливаясь как на прямых диссидентов, так и на союзников, таких как журналисты. Этот шаблон атак отражает систематические усилия китайского правительства по запугиванию и замалчиванию критических голосов по всему миру. Аутсорсинг киберопераций подрядчикам позволяет достигать более высоких объемов работы при меньших затратах, расширяя масштаб и эффективность этих кампаний цифрового нацеливания. В конечном итоге исследование выявляет масштабы использования Китаем цифровых тактик для укрепления контроля над своим нарративом и подавления инакомыслия, а также присущие этим операциям риски для гражданских свобод.

#ParsedReport #CompletenessMedium
27-04-2026

New Malware SLOTAGENT for BOF Execution, etc.

https://sect.iij.ad.jp/blog/2026/04/slotagent/

Report completeness: Medium

Threats:
Cobalt_strike_tool
Timestomp_technique
Slotagent

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.007, T1041, T1057, T1070.004, T1070.006, T1082, T1083, T1095, have more...

IOCs:
File: 2
IP: 1
Hash: 4

Soft:
Twitter

Algorithms:
sha256, xor, rc4, zip

Win API:
NtCreateFile, NtCreateThreadEx

YARA: Found

Links:
https://github.com/mopisec/research/blob/main/decrypt\_slotagent\_string.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года исследователи выявили SLOTAGENT, многофункциональную Троянскую программу (RAT), содержащуюся в ZIP-архиве, с возможностями выполнения разнообразных команд, таких как создание снимков экрана и запуск удаленной оболочки. Она использует техники криминалистический анализ, такие как time-stomping, и применяет XOR-кодированный shellcode с жестко закодированным C2-сервером для связи, маскируя свою деятельность через API Hashing и шифрование внутренних строк. Сложная функциональность SLOTAGENT согласуется с известными фреймворк пост-эксплуатации, такими как Cobalt Strike.
-----

В начале 2026 года IIJ выявила недавно обнаруженное ВПО под названием SLOTAGENT, найденное в ZIP-архиве, загруженном из Японии в публичный репозиторий вредоносного ПО. Данное ВПО функционирует как многофункциональная Троянская программа (RAT), обладающая возможностью выполнять различные команды, отправляемые злоумышленником. Примечательно, что SLOTAGENT способен выполнять Payloads в формате Beacon Object File (BOF), что сближает его с некоторыми известными фреймворками для пост-эксплуатации, включая Cobalt Strike. Вредоносное ПО также включает механизмы противодействия криминалистическому анализу, такие как time-stomping, для сокрытия своей активности.

SLOTAGENT запускается через шеллкод, закодированный с помощью XOR, который при выполнении декодируется с использованием 16-байтового ключа, расположенного по определенному смещению, а затем загружается рефлексивно. После запуска вредоносное ПО инициирует TCP-коммуникации через собственный протокол с жестко заданным сервером управления (C2), расположенным по адресу 43.156.59.110:699. После установления соединения оно отправляет информацию обратно на сервер C2 в формате JSON, что знаменует начало обмена командами и управлением. Команды, которые может выполнять SLOTAGENT, включают функции для создания скриншотов, загрузки или выгрузки файлов, запуска удаленной оболочки, сбора системной информации, манипулирования файлами и атрибутами, выполнения BOF-пэйлоадов и многое другое.

SLOTAGENT также использует несколько техник для затруднения анализа. Он применяет хеширование API, что позволяет ему динамически разрешать адреса функций Windows API во время выполнения с использованием алгоритма на основе DJB2. Кроме того, большинство внутренних строк, включая имена команд, зашифрованы методом, напоминающим Алгоритм шифрования Tiny (TEA), что ограничивает статический анализ, поскольку строки должны быть расшифрованы во время выполнения. Для содействия эффективному анализу был разработан и опубликован скрипт IDAPython для статической расшифровки этих строк.

Учитывая его сложные возможности и универсальность, SLOTAGENT, как ожидается, будет представлять собой постоянную угрозу в кибероперациях. В контексте его распространения и потенциального использования хеши файлов и соответствующие конечные точки связи были переданы для содействия обнаружению и укреплению защиты от этого ВПО.

#ParsedReport #CompletenessHigh
28-04-2026

VECT: Ransomware by design, Wiper by accident

https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/

Report completeness: High

Actors/Campaigns:
Vect
Teampcp

Threats:
Supply_chain_technique
Lockbit
Windows_locker
Shadow_copies_delete_technique
Wevtutil_tool
Rclone_tool
Restic_tool

Victims:
Software, Virtualization platforms, Cloud storage services, Downstream software consumers

Industry:
Healthcare

Geo:
Ukraine

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 61
Command: 3
Hash: 6

Soft:
ESXi, Linux, Trivy, LiteLLM, Linux ESXi, outlook, firefox, Windows Service, bcdedit, Windows registry, have more...

Wallets:
harmony_wallet

Algorithms:
sha256, xor, poly1305, chacha20, chacha20-poly1305

Functions:
randombytes, getrandom, safe_read, Set-MpPreference

Win API:
RtlGenRandom, NtQueryInformationProcess

Win Services:
VeeamDeploymentSvc

Languages:
powershell

Platforms:
x86, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО VECT 2.0 имеет существенные недостатки в архитектуре, из-за которых оно функционирует скорее как инструмент для уничтожения данных, чем как эффективное шифровальщик, особенно из-за неправильной обработки nonce при шифровании, что приводит к потере данных для файлов размером более 128 КБ. Работая в средах Windows, Linux и VMware ESXi, оно обладает сложным пользовательским интерфейсом для создания полезной нагрузки, но страдает от неэффективного использования процессора и ошибочных методов антианализа. Группа, стоящая за VECT, по-видимому, эксплуатирует уязвимости цепочки поставок для распространения, что указывает на сохраняющуюся угрозу, несмотря на технические недостатки вредоносного ПО.
-----

Шифровальщик VECT 2.0 имеет существенные недостатки в архитектуре, из-за которых он функционирует скорее как инструмент для уничтожения данных, чем как средство для вымогательства.

Он работает на платформах Windows, Linux и VMware ESXi, используя скомпрометированную кодовую базу и шифр ChaCha20-IETF.

Критическая уязвимость в схеме шифрования приводит к потере необходимых nonce для файлов размером более 128 КБ, что вызывает необратимое Уничтожение данных.

Программное обеспечение-вымогатель отбрасывает три из четырёх значений nonce, необходимых для расшифровки больших файлов, что предотвращает восстановление данных как для злоумышленников, так и для жертв.

Интерфейс VECT позволяет аффилированным лицам создавать целевые для платформы полезную нагрузку, но не имеет режимов шифрования с правильной скоростью.

Неэффективное использование процессора и увеличенное время выполнения вызваны выполнением нескольких процессов шифрования.

Оно использует дефектные техники противодействия анализу, которые обнажают его незрелое понимание необходимых мер защиты.

VECT включает возможности перемещения внутри компании через SSH для расширения своего присутствия в сетях.

Группа использует уязвимости в системах цепочки поставок для распространения и сотрудничает с другими для расширения охвата атак.

Несмотря на фасад изощрённости, VECT 2.0 демонстрирует множество технических слабостей, ограничивающих его возможности как программы-вымогателя.

Все-таки нас спалили )))
https://secpost.ru/rejting-ib-kompanij-rossii-2026

#technique

Claude Code Backdoor (PoC)
A Proof of Concept demonstrating how Claude Code (Anthropic's CLI AI agent) hooks can be leveraged for Initial Access and Persistence.

https://github.com/s0ld13rr/claude-code-backdoor

#technique #hardware

Если интересует разбор не софтверных, а железных имплантов, то вотъ

Reverse Engineering a Ledger Nano X Hardware Implant

https://grandideastudio.com/portfolio/security/ledger-hardware-implant/

#ParsedReport #CompletenessMedium
29-04-2026

GachiLoader adopts AI skill lure

https://www.threatdown.com/blog/gachiloader-adopts-ai-skill-lure-from-fake-openclaw-readme-to-rhadamanthys-infostealer/

Report completeness: Medium

Threats:
Gachiloader
Rhadamanthys
Nsis_dropper
Themida_tool

Victims:
Openclaw users, Cryptocurrency users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1055, T1059.001, T1059.007, T1082, T1113, T1204.002, T1497.001, have more...

IOCs:
File: 8
Hash: 9
Coin: 1
Url: 1

Soft:
OpenClaw, Node.js, Electron, Telegram, Outlook, Windows Defender, Hyper-V

Algorithms:
sha256, aes-256-cbc, zip

Functions:
spawn

Win API:
Polygon

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4