#ParsedReport #CompletenessLow
12-05-2026

GhostLock Tool Leverages Windows API to Lock File Access Like Ransomware

https://cybersecuritynews.com/ghostlock-attack/

Report completeness: Low

Threats:
Ghostlock

Victims:
Organizations, Corporate environments

ChatGPT TTPs:
do not use without manual check
T1059.006, T1078.002, T1106, T1499

Soft:
Microsoft Office, Microsoft Word, Active Directory, Twitter, Telegram

Win API:
CreateFileW

Languages:
python

Links:
https://github.com/kimd155/GhostLock

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostLock — это новый метод атаки на отказ в обслуживании, использующий поведение файлового обмена Windows для блокировки доступа к файлам без традиционного шифрования, что делает его значительной угрозой, сопоставимой с программой-вымогателем. Инструмент работает за счёт эксплуатации API CreateFileW с определённым параметром, позволяя пользователям с правами только на чтение нарушать работу корпоративных систем, при этом избегая обнаружения стандартными средствами защиты, поскольку не выполняет операций записи. Его способность накапливать множество эксклюзивных дескрипторов файлов и находиться в активных сессиях в течение длительного времени дополнительно усложняет обнаружение угрозы, повышая потенциал эксплуатации.
-----

GhostLock — это инновационный инструмент, представляющий новый метод атаки на доступность, аналогичный ransomware, но без типичного шифрования файлов. Обнаруженный Ким Двашем, этот метод использует поведение файлового обмена Windows для нарушения доступа к файлам, эффективно делая их недоступными для пользователей. В отличие от традиционного ransomware, который шифрует данные и удерживает их в качестве залога за выкуп, GhostLock блокирует файлы таким образом, что стандартный пользователь домена, имея только права на чтение, может использовать это для парализации корпоративных операций. Это приводит к воздействию, неотличимому от события ransomware с точки зрения жертвы.

GhostLock использует функцию API CreateFileW с параметром dwShareMode, установленным в 0, — метод, применяемый Microsoft Office при открытии документов для редактирования. Этот подход не связан с какими-либо дефектами программного обеспечения, требующими патчей, поэтому соответствующие CVE отсутствуют. Инструмент реализован через обёртку Python ctypes, которая не требует административных прав или внешних зависимостей, что повышает его угрозу.

Эффективность GhostLock заключается в его способности обходить механизмы обнаружения традиционных программ-вымогателей. Оценки показали, что он избегает обнаружения на нескольких уровнях корпоративной безопасности, включая honeypots и canary-файлы, при этом не генерируя никаких оповещений, поскольку GhostLock не выполняет никаких операций записи. Детекторы аномалий скорости записи также не регистрировали никаких оповещений, поскольку ожидаемое отсутствие операций записи делает обнаружение невозможным. Движки программ-вымогателей на основе поведенческого искусственного интеллекта не смогли выявить угрозу, так как поведение GhostLock тесно напоминает легитимные процессы, такие как индексация поиска или предварительное сканирование резервных копий. Кроме того, коммерческие системы обнаружения и реагирования на конечных точках (EDR) не срабатывали, поскольку шаблоны системных вызовов имитировали стандартные действия по открытию документов.

Дальнейшее усложнение обнаружения связано с тем, что GhostLock накапливает значительное количество эксклюзивных дескрипторов файлов, потенциально достигающее десятков тысяч, — статистика, которую типичные корпоративные системы управления информационной безопасностью и событиями (SIEM) не отслеживают. Кроме того, даже если учетные данные Active Directory атакующего будут отозваны, существующие аутентифицированные сеансы и соответствующие им блокировки могут оставаться активными в течение 15–60 минут в зависимости от конфигурации платформы.

Для тех, кто заинтересован, исходный код GhostLock публично доступен на GitHub, наряду с выделенным исследовательским сайтом. Эта открытость подчеркивает его готовность к потенциальному использованию в различных средах, представляя значительный риск для кибербезопасности организаций.

#ParsedReport #CompletenessHigh
12-05-2026

Seedworm: Iran-Linked Hackers Breached Korean Electronics Maker in Global Spying Campaign

https://www.security.com/threat-intelligence/iran-seedworm-electronics

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Chromelevator_tool
Credential_dumping_technique

Victims:
Electronics manufacturing, Industrial manufacturing, Education, Public sector, Financial services, Professional services, Government agencies, Airport

Industry:
Government, Aerospace, Education

Geo:
Asia, Iranian, Korean, Tehran, Asian, Latin american, Middle east, Iran

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1016.001, T1036.008, T1056.002, T1059.001, T1059.003, T1059.007, T1069.001, T1069.002, T1090, have more...

IOCs:
File: 12
Hash: 9
Domain: 2
IP: 6
Command: 2
Url: 6

Soft:
Node.js, Windows security, curl

Algorithms:
sha256

Win API:
CredUIPromptForWindowsCredentialsW

Win Services:
WebClient

Languages:
powershell

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская связанная с государством группа Seedworm (MuddyWater) провела сложную кампанию шпионажа в феврале 2026 года, нацеленную на крупную южнокорейскую электронную компанию и другие организации, используя передовые тактики, такие как подгрузка DLL легитимных бинарных файлов для сокрытия вредоносной активности. Атакующие применяли инструменты для сбора учетных записей, используя стандартные запросы Windows, и обеспечивали эксфильтрацию данных через публичные облачные сервисы. Эта операция отражает значительную эволюцию в методологиях Seedworm, указывая на расширение их целей за пределы Ближнего Востока и Южной Азии.
-----

В рамках сложной кампании шпионажа, приписываемой связанной с Ираном группе Seedworm (также известной как MuddyWater), злоумышленники в феврале 2026 года скомпрометировали крупного южнокорейского производителя электроники, а также восемь других организаций в различных секторах и на разных континентах. Эта активность продемонстрировала сдвиг в тактике и инструментах, подчеркивая зрелый подход к кибероперациям.

Методология Seedworm включала основную опору на подгрузку DLL с использованием легитимных, подписанных бинарных файлов от доверенного программного обеспечения — в частности, драйвера аудио Fortemedia (fmapp.exe) и компонента от SentinelOne (sentinelmemoryscanner.exe). Эти бинарные файлы использовались для загрузки вредоносных динамических библиотек (DLL), что позволяло злоумышленникам скрывать свою деятельность и обходить механизмы обнаружения. Среди вредоносных DLL присутствовал ChromElevator — инструмент, предназначенный для эксфильтрации конфиденциальной информации, такой как пароли, файлы cookie и платежные данные, из браузеров.

Операционная цепочка началась с внедрения на основе node.exe, которое использовалось для размещения скриптов PowerShell, выполняющих команды для разведки, захвата скриншотов и повышения привилегий. Злоумышленники активно использовали PowerShell, но координировали эти команды через скрипты Node.js, что указывает на тактическую эволюцию. Например, скрипт Node.js, обнаруженный внутри XML-файла на скомпрометированном хосте, значительно облегчил рабочий процесс атаки.

Во время операции злоумышленники применяли методы сбора учетных записей, отображая стандартные системные запросы безопасности Windows для захвата имен пользователей и паролей, которые затем сохранялись локально. Эксфильтрация данных проводилась с использованием публичного сервиса передачи файлов sendit.sh, что указывает на тенденцию, при которой злоумышленники все чаще размывают операционные сигналы, используя потребительские облачные сервисы для маскировки вредоносного трафика. Этот метод подчеркивает их адаптацию для обхода стандартных стратегий обнаружения на основе сетевого анализа.

Атака началась с первоначальной разведки с помощью PowerShell и перешла к загрузке дополнительных вредоносных компонентов. Злоумышленники поддерживали скрытность за счет периодической активности, используя такие инструменты, как curl.exe, для получения компонентов, минимизируя при этом обнаруживаемые сетевые артефакты. Они также продолжали заниматься выгрузкой учетных данных и разведкой на протяжении всей кампании, особенно с 22 по 27 февраля, обеспечивая постоянный доступ к скомпрометированной среде.

Эта кампания отмечает заметную диверсификацию в целях Seedworm, ранее сосредоточенных на Ближнем Востоке и Южной Азии. Успешные новые цели указывают на потенциальное расширение задач иранской разведки. Сложное использование подгрузки DLL, облачных сервисов для эксфильтрации данных и общее повышение оперативной дисциплины сигнализируют о существенном совершенствовании тактики Seedworm, что свидетельствует о значительной эволюции их прошлой оперативной деятельности.

#ParsedReport #CompletenessMedium
12-05-2026

TeamPCP hits 160+ packages including OpenSearch and Mistral AI

https://opensourcemalware.com/blog/teampcp-mistralai-opensearch-compromised

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Supply_chain_technique
Typosquatting_technique
Lolbin_technique
Shai-hulud

Victims:
Software development, Artificial intelligence, Search and observability, Robotics process automation, Aviation, Commerce and point of sale, Authentication, Machine learning, Cloud services, Continuous integration environments, have more...

Industry:
Aerospace

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.006, T1059.007, T1070.004, T1105, T1195.001, T1497.001, T1528, have more...

IOCs:
File: 11
Hash: 7

Soft:
OpenSearch, TanStack, Kubernetes, HashiCorp Vault, Claude, mistralai, Linux, nSearch publ

Algorithms:
sha1, zip, md5, sha256

Functions:
createCommitOnBranch, fetch

Win API:
lockfile

Languages:
python, javascript

Links:
have more...
https://github.com/TanStack/router/issues/7383
https://github.com/opensourcemalware/osm-claude-automation/blob/main/reports/mini-shai-hulud-2026-05-12.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь npm Mini Shai-Hulud скомпрометировал более 170 пакетов в экосистемах npm и PyPI, что приписывается TeamPCP, которая использовала Кражу токена OIDC из рабочего процесса CI. Атака обошла двухфакторную аутентификацию, позволив создавать вредоносные токены npm и внедрять вредоносные предварительные установки в скомпрометированные пакеты. Используя одноранговую сеть обмена сообщениями для эксфильтрации данных, червь маскирует свои операции, что указывает на сложный подход к уклонению от обнаружения и усилению угроз Цепочки поставок.
-----

Самораспространяющийся npm-червь, идентифицированный как Mini Shai-Hulud, поразил более 170 пакетов npm и расширил свое присутствие в Индексе пакетов Python (PyPI), оказав влияние на высокопрофильных клиентов, таких как официальный JavaScript-клиент OpenSearch и пакеты Mistral AI. Получивший название в честь вымышленного существа из серии «Дюна», этот инцидент был приписан группе, называющей себя TeamPCP, которая публично взяла на себя ответственность через домен, использующий метод тайпсквоттинга и связанный с пакетами npm.

Начальная компрометация произошла в результате кражи OIDC-токена из автоматизированного CI-процесса, связанного с репозиторием TanStack. Этот эксплойт обошел двухфакторную аутентификацию, позволив злоумышленнику выпускать новые токены публикации npm без прямой аутентификации сопровождающего. В результате установки скомпрометированных пакетов стали точками повторной публикации, реплицируя вредоносный код через цепочку хуков preinstall. Примечательно, что вредоносная нагрузка доставляется через легитимную среду выполнения под названием Bun, которая загружается и используется как бинарный файл living-off-the-land, тем самым избегая обнаружения типичными средствами защиты.

Атака включает сложные механизмы кражи учетных данных, которые включают сбор конфиденциальных данных из CI-раннеров, таких как секреты GitHub Actions и метаданные AWS. Каждый скомпрометированный пакет также содержал действительные аттестации происхождения Sigstore, стратегически используя сигналы доверия, чтобы выглядеть правдоподобно для CI-конвейеров пользователей. После установки червь внедряет несколько файлов в репозитории, маскируя свои действия путем подделки коммитов с открытой авторством.

В отличие от других, механизм эксфильтрации червя использует одноранговую сеть обмена сообщениями под названием Session, применяя зашифрованные каналы связи вместо стандартных HTTP-команд, что позволяет ему выглядеть как обычные мгновенные сообщения для сетевых наблюдателей. Это указывает на сложный подход к эксфильтрации данных, снижающий вероятность обнаружения с помощью традиционных инструментов сетевого мониторинга.

Кампания продемонстрировала кросс-экосистемный подход, используя уязвимости как npm, так и PyPI для максимизации воздействия атаки. Особую обеспокоенность вызывают скомпрометированные версии JavaScript-клиента OpenSearch, который имеет около 1,3 миллиона загрузок в неделю, а также несколько версий клиентов Mistral AI на обоих пакетных менеджерах.

Для эффективного смягчения последствий пользователям рекомендуется незамедлительно зафиксировать зависимости на версиях, не подверженных воздействию, изменить любые учетные данные, которые взаимодействовали с зараженными этапами CI, а также внедрить меры контроля, такие как отключение скриптов npm install в средах CI. Тщательное исследование на наличие признаков отравления репозитория имеет решающее значение, в частности, поиск внедренных файлов и подозрительной истории коммитов. Эта атака подчеркивает растущую сложность угроз Цепочка поставок, где возможности автономной публикации усугубляют риски, связанные с традиционными практиками управления зависимостями.

#ParsedReport #CompletenessHigh
12-05-2026

Threat Intelligence \| Analysis of a Fake TronLink Chrome Extension Phishing Campaign

https://slowmist.medium.com/threat-intelligence-analysis-of-a-fake-tronlink-chrome-extension-phishing-campaign-768e8c0e8fb6

Report completeness: High

Threats:
Homoglyph_technique

Victims:
Tron wallet users, Cryptocurrency users

Industry:
Financial, Government

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.002, T1567, T1656

IOCs:
File: 4
Domain: 2
Url: 6
BrowserExtension: 1
Hash: 5

Soft:
Chrome, SlowMist, Telegram, TronGrid

Wallets:
tronlink, tron

Crypto:
binance

Algorithms:
sha1, md5, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на пользователей кошелька TRON через обманное расширение Chrome, предназначенное для имитации легитимного инструмента кошелька. Это расширение использует юникод- и кириллические омографы для сокрытия своих злонамеренных намерений и загружает удаленный фишинговый интерфейс для сбора конфиденциальных данных, таких как мнемонические фразы и закрытые ключи. Данные эксфильтруются с использованием API одного источника на сервер через JSON-запросы, в то время как сложные механизмы отслеживания и географическая таргетинг повышают эффективность атаки, позволяя избегать обнаружения и адаптировать пользовательский опыт.
-----

Недавний анализ системы MistEye компании SlowMist выявил сложную фишинговую кампанию, направленную против пользователей кошельков TRON через обманное расширение для Chrome. Это расширение, маскирующееся под легитимный инструмент кошелька TRON, использует передовые методы для имперсонации бренда и удаленно настраиваемой загрузки интерфейса, чтобы организовать комплексную операцию по краже учетных данных.

Первый этап атаки включает поддельное расширение Chrome TronLink, которое использует управляющие символы Unicode и кириллические омографы для имитации названия бренда, тем самым скрывая его вредоносный характер. После установки расширение специально загружает удаленный фишинговый интерфейс во фрейм iframe, что позволяет злоумышленникам собирать конфиденциальные данные, такие как мнемонические фразы, закрытые ключи, файлы keystore и пароли, не вызывая подозрений у пользователя. Эти данные выводятся через API с тем же источником и через бота Телеграм, что затрудняет обнаружение вредоносного поведения традиционными средствами безопасности после установки.

Чтобы дополнительно скрыть свою деятельность, злоумышленники унаследовали данные репутации от легитимного расширения, что создало иллюзию надежности для фишингового инструмента благодаря заявлениям о миллионах пользователей и высоких оценках. Механизм загрузки расширения проверяет удаленную конечную точку перед выполнением любых дальнейших действий. Если конечная точка доступна, он настраивает фишинговый интерфейс соответствующим образом; если нет — переходит к локальному интерфейсу запросов.

Кража учетных данных выполняется с помощью функции, которая захватывает конфиденциальные пользовательские данные при попытке импорта информации кошелька. Собранная информация упаковывается в формат JSON и отправляется на сервер, контролируемый злоумышленником, через API-запросы. Примечательно, что инфраструктура злоумышленника включает домены, которые служат как конечными точками для загрузки удаленного пользовательского интерфейса, так и бэкенд-поддержкой для сбора учетных данных, например, tronfind-api.tronfindexplorer.com.

Кроме того, атака включает несколько механизмов противодействия анализу и отслеживания посетителей. Она использует файлы cookie для идентификации и блокировки автоматизированных исследовательских систем, перенаправляя их в обход фишингового интерфейса. Также применяются инструменты гео-таргетинга, создающие разный пользовательский опыт в зависимости от обнаруженной географической информации, особенно для пользователей русскоязычных регионов.

#ParsedReport #CompletenessHigh
13-05-2026

When IT Support Calls: Dissecting a ModeloRAT Campaign from Teams to Domain Compromise

https://www.rapid7.com/blog/post/tr-it-support-dissecting-modelorat-campaign-microsoft-teams-compromise

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: cyber_criminal)
Dragonfish

Threats:
Modelorat
Lolbin_technique
Dumpit_tool
Kongtuke
Exobot
Sim_swapping_technique
Crashfix
Process_injection_technique
Winrm_tool
Nmap_tool
Credential_harvesting_technique
Kerberoasting_technique
Spear-phishing_technique
Pid_spoofing_technique
Credential_dumping_technique
Kyber_ransomware
Chrysalis
Empire_loader

Industry:
Ics

Geo:
Russian

CVEs:
CVE-2021-31969 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10 (20h2, 21h1, 1909, 2004)
- microsoft windows_server_2016 (20h2, 2004)
- microsoft windows_server_2019 (-)

CVE-2023-36036 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20308)
- microsoft windows_10_1607 (<10.0.14393.6452)
- microsoft windows_10_1809 (<10.0.17763.5122)
- microsoft windows_10_21h2 (<10.0.19041.3693)
- microsoft windows_10_22h2 (<10.0.19045.3693)
have more...

TTPs:
Tactics: 7
Technics: 42

IOCs:
Domain: 2
File: 21
Url: 1
IP: 15
Hash: 5
Command: 3
Registry: 1
Path: 1

Soft:
Microsoft Teams, Windows lock screen, Dropbox, Windows Cloud Files Mini Filter Driver, Active Directory, Microsoft Edge, ESXi

Algorithms:
sha256, zip

Functions:
Get-Process, Get-Service, Get-NetTCPConnection

Win API:
FilterSendMessage, WriteFile, CreatePipe, CreateProcessA, NtCreateWnfStateName, NtUpdateWnfStateData, NtDeleteWnfStateData, NtQueryWnfStateData, SeDebugPrivilege

Languages:
powershell, python

Links:
https://github.com/rapid7/Rapid7-Labs/tree/main/IOCs/ModeloRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года кибератака была инициирована через поддельное сообщение Microsoft Teams от аккаунта, имитирующего службу поддержки ИТ, с использованием социальной инженерии и техник Living-off-the-Land. Атакующий выполнил команду PowerShell для загрузки вредоносного ПО на базе Python, `collector.py`, которое установило соединение с управлением и использовало CVE-2023-36036 для повышения привилегий. Операция включала кражу учетных данных через поддельный экран блокировки Windows, использование скомпрометированных паролей для доступа к системам по RDP и эксфильтрацию данных через анонимные сервисы обмена файлами.
-----

В апреле 2026 года Rapid7 расследовала сложную кибератаку, которая началась с мошеннического взаимодействия в Microsoft Teams, имитирующего аккаунт технической поддержки ИТ. Этот инцидент подчеркивает растущие уязвимости, создаваемые платформами для совместной работы, поскольку они становятся векторами атак в кибератаках. Злоумышленник использовал социальную инженерию в сочетании с техниками Living-off-the-Land для получения первоначального доступа и повышения привилегий внутри затронутого предприятия.

Внедрение началось с того, что злоумышленник использовал функцию внешнего доступа Teams для отправки сообщения жертве. Вскоре после этого выполнилась встроенная команда PowerShell, которая загрузила вредоносный Python-пакет с Dropbox. Этот загрузчик установил соединение управления (C2) и развернул первый этап полезной нагрузки — Python-скрипт под названием `collector.py`, предназначенный для разведки. Он профилировал среду хоста и передавал результаты обратно на сервер управления злоумышленника, используя 8-символьный отпечаток для идентификации.

Дальнейшие действия злоумышленника продемонстрировали связь с ModeloRAT, фреймворком, ранее связанным с группой KongTuke. Атака использовала уязвимость CVE-2023-36036, переполнение буфера на основе кучи, затрагивающее драйвер мини-фильтра облачных файлов Windows. Эта уязвимость позволила злоумышленнику повысить привилегии до SYSTEM с помощью пользовательских методов эксплуатации, адаптировав предыдущие методики для вызова повреждения памяти ядра.

После получения доступа к защищённой системе злоумышленник выполнил ряд инструментов, включая дополнительные модули Python, которые обеспечивали обратные оболочки и HTTP-маяки для непрерывного контроля над скомпрометированной системой. Примечательной особенностью атаки стала возможность злоумышленника делать скриншоты и отслеживать действия пользователей, что дополнительно укрепляло его позиции в сети.

Кража учетных данных стала значимым этапом операции, в ходе которого злоумышленник использовал поддельный экран блокировки Windows для сбора доменных паролей, а затем применял эти учетные данные для доступа к другим системам через Протокол удаленного рабочего стола (RDP). Злоумышленник выполнил дополнительную сборку данных из памяти с помощью легитимного инструмента DumpIt для извлечения конфиденциальной информации, такой как пароли и билеты Kerberos. Стратегии эксфильтрации включали использование анонимных сервисов обмена файлами для передачи украденных данных.

Этот инцидент демонстрирует растущую сложность киберугроз, поскольку злоумышленники сочетают традиционные эксплойты, такие как использование уязвимых компонентов программного обеспечения, с современными векторами атак через платформы социально-инженерной коммуникации. Он подчеркивает необходимость бдительного мониторинга, надежных средств защиты от кражи идентичности и контроля над внешним доступом для предотвращения подобных вторжений. Развитие этой атаки от первоначального контакта до полной компрометации домена за примерно два дня служит критическим напоминанием об уязвимостях, проистекающих из доверенных каналов связи, и подчеркивает сохраняющуюся эффективность некоторых эксплойтов, несмотря на наличие доступных исправлений.

#ParsedReport #CompletenessHigh
13-05-2026

FamousSparrow APT Targets Azerbaijani Oil and Gas Industry

https://www.bitdefender.com/en-us/blog/businessinsights/famoussparrow-apt-targets-azerbaijani-oil-gas-industry

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)
Webworm

Threats:
Dll_sideloading_technique
Poisonplug
Terndoor
Proxynotshell_vuln
Proxyshell_vuln
Logmein_tool
Atexec_tool
Impacket_tool
Mofu_loader
Cobalt_strike_tool
Ratels
Microdown
Smbexec_tool

Victims:
Oil and gas, Energy, South caucasus

Industry:
Telco, Petroleum, Government, Energy

Geo:
Austria, Ukraine, China, Chinese, South africa, Asia, Germany, Middle east, Asia-pacific, Azerbaijan, Qatar, Russia, Azerbaijani

CVEs:
CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2022-41082 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 18
Coin: 1
Hash: 3
Path: 13
Domain: 5
Url: 3
Registry: 3

Soft:
Microsoft Exchange server, Microsoft Exchange, Windows Service, Unix, Internet Explorer, Linux

Algorithms:
aes, xor, exhibit, lzma, aes-128-cbc, zip, rc4, gzip, lznt1, cbc, aes-cbc, prng, aes-128, deflate, md5

Win API:
StartServiceCtrlDispatcherW, winMain, NtCreateFile, CreateProcessW, LdrLoadDll, VirtualAlloc, VirtualFree, VirtualProtect, RtlDecompressBuffer

Languages:
python, powershell

Platforms:
x86

Links:
https://github.com/bitdefender/malware-ioc/blob/master/2026\_05\_13-famoussparrow-iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Labs Bitdefender сообщили о кибервторжении против азербайджанской нефтяной и газовой компании со стороны китайской хакерской группировки FamousSparrow, использующей передовые методы атак, направленные на энергетическую инфраструктуру. Атакующие применили новый метод подгрузки DLL для обхода обнаружения и эксплуатировали не исправленные уязвимости Microsoft Exchange через цепочки эксплойтов ProxyShell и ProxyNotShell для получения первоначального доступа. Они использовали два бэкдора, Deed RAT и Terndoor, демонстрируя оперативное закрепление, адаптируя свои тактики на протяжении многоволновой кампании атаки.
-----

Китайская хакерская группировка FamousSparrow провела многоволновую кибератаку на азербайджанскую нефтяную и газовую компанию в период с декабря 2025 года по февраль 2026 года. Они использовали новую технику подгрузки DLL, которая позволила обойти традиционные механизмы обнаружения. Этот метод изменял экспортируемые функции в вредоносной библиотеке для создания двухэтапной активации, позволяя загрузчику Deed RAT выполняться после определенных последовательностей. Атакующие применили два семейства бэкдоров, Deed RAT и Terndoor, и продемонстрировали закрепление путем многократного доступа к уязвимому серверу Microsoft Exchange. Первоначальный доступ был получен с использованием цепочек эксплойтов ProxyShell и ProxyNotShell, нацеленных на незакрытые уязвимости и развертывающих веб-оболочки. Вариант Deed RAT показал непрерывную адаптацию, применяя два криптографических подхода — AES-CBC и RC4 — для ограничения обнаружения во время анализа. Перемещение внутри компании осуществлялось с использованием RDP и PowerShell, за которым последовало развертывание Terndoor в качестве вторичного бэкдора. Атакующие вели дисциплинированную операцию, часто настраивая конфигурации ВПО и стратегии закрепления. Приписывание атаки FamousSparrow подтверждалось идентифицируемыми TTPs, связанными с их операционным фреймворком. Стратегии защиты должны сосредоточиться на сканировании памяти и обнаружении пользовательских техник подгрузки DLL.

#ParsedReport #CompletenessMedium
13-05-2026

Dark Web Profile: Keymous+

https://socradar.io/blog/dark-web-profile-keymous/

Report completeness: Medium

Actors/Campaigns:
Keymous (motivation: hacktivism)
Opisrael
Ddos-for-hire (motivation: hacktivism)
Rippersec
Mr_hamza
Moroccan_dragons
Noname057
Anonsec

Threats:
Elitestress_tool
Dns_amplification_technique
Udpflood_technique
Icmpflood_technique
Megamedusa_tool
Mirai
Godzilla_webshell
Synflood_technique

Victims:
Government, Telecommunications, Financial services, Transportation and logistics, Hospitality, Healthcare, Education, Energy, Africa, Asia, have more...

Industry:
Healthcare, Logistic, Entertainment, Military, Telco, Energy, Transport, Iot, Education, Financial, Government

Geo:
Africa, Netherlands, Israeli, Palestinians, Iranian, India, African, Chinese, Pakistan, Malaysian, Italy, Israel, France, Saudi, Algeria, Denmark, Morocco, Jordan, Sudan, Spain, Belgium, Asia, Palestine, United kingdom, Bangladesh, Ukraine, Germany, Kuwait, Saudi arabia, Sweden

TTPs:
Tactics: 7
Technics: 11

Soft:
Telegram, egram chan, elegram ch, Discord

Win API:
NetBIOS

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4