#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, code: 8, windows: 7, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО VIP Keylogger представляет собой значительную угрозу с многоэтапным процессом заражения, который часто начинается со скриптов-загрузчиков (.vbs, .js, .bat), использующих социальную инженерию для доставки. Оно применяет сложные техники уклонения, включая обфускацию и Стеганографию, чтобы скрыть свой полезный груз в легитимных файлах изображений, и использует PowerShell для хранения и выполнения дальнейших скриптов ВПО. После активации оно систематически захватывает конфиденциальные данные, такие как учетные данные и нажатия клавиш, одновременно обеспечивая закрепление через манипуляции с реестром и используя несколько серверов управления для эксфильтрации данных.
-----

ВПО VIP Keylogger представляет собой значительную угрозу в меняющемся ландшафте киберкриминала. Оно часто развертывается с использованием тактик социальной инженерии, замаскированных под легитимные коммуникации, что приводит к тому, что жертвы неосознанно запускают вредоносное ПО. ВПО использует сложные техники уклонения для обхода обнаружения, включая обфускацию и Стеганографию. Исследования показывают, что ВПО доставляется с использованием различных загрузчиков скриптов (.vbs, .js и .bat), что повышает его способность избегать мер безопасности.

Анализ выявляет многоэтапный процесс заражения. Первый загрузчик, как правило, представляет собой .vbs-скрипт, содержащий мусор для затруднения обнаружения. Затем PowerShell используется для хранения и выполнения дополнительных вредоносных скриптов скрытым образом через переменную среды пользователя, что минимизирует его следы. Примечательно, что вредоносное ПО использует стеганографию для сокрытия своей полезной нагрузки в легитимных файлах изображений. Второй этап включает загрузку дополнительных скриптов для более глубокого проникновения в систему.

После установки VIP Keylogger систематически собирает конфиденциальную информацию. Он способен извлекать учетные данные, хранящиеся в различных веб-браузерах и приложениях, включая уникальные идентификаторы из Discord и других широко используемых сервисов. ВПО перехватывает нажатия клавиш, делает снимки экрана и извлекает сетевые учетные данные, используя такие методы, как запрос к утилитам Windows для получения сохраненных паролей Wi-Fi.

Для поддержания закрепления VIP Keylogger перехватывает определенные ключи реестра, чтобы обеспечить свое выполнение при входе пользователя в систему. Он также использует зашифрованные скрипты PowerShell для динамического выполнения дополнительных полезной нагрузки, усложняя усилия по анализу и обнаружению. Коммуникации вредоносного ПО с управлением (C2) используют несколько серверов, включая ботов Телеграм, для эксфильтрации собранных данных и поддержания видимости на скомпрометированных системах.

Полученные результаты подчеркивают необходимость для команд безопасности создавать надежные механизмы обнаружения для выявления различных этапов работы VIP Keylogger. Постоянная бдительность имеет решающее значение, поскольку этот класс вредоносного ПО меняет тактики для эффективного обхода развивающихся протоколов безопасности. В целом, стратегические знания, полученные при анализе VIP Keylogger, могут помочь в совершенствовании передовых практик обнаружения угроз и усилении проактивных усилий по поиску угроз.

#ParsedReport #CompletenessLow
16-05-2026

Fast16: Pre-Stuxnet Sabotage Tool Was Built to Subvert Nuclear Weapons Simulations

https://www.security.com/threat-intelligence/fast16-nuclear-sabotage

Report completeness: Low

Threats:
Fast16
Stuxnet

Victims:
Nuclear weapons research organizations, Defense research organizations

Industry:
Petroleum

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.002, T1059, T1070.006, T1134.001, T1135, T1480, T1480.002, T1518.001, T1543.003, have more...

IOCs:
File: 5

Soft:
Windows service

Win API:
beep

Languages:
lua

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fast16 — это сложный фреймворк ВПО, предназначенный для манипуляции симуляциями ядерного оружия, в частности нацеленный на программное обеспечение LS-DYNA и AUTODYN, используемое для симуляций высокоэнергетических взрывов. Он активируется при моделировании плотных материалов, таких как уран, и использует различные механизмы для радикального изменения результатов симуляции, подрывая достоверность критических оценок безопасности. Fast16 обеспечивает закрепление в локальных сетях и избегает обнаружения, маскируясь под легитимную Служба Windows, а также сканируя наличие антивирусного программного обеспечения перед установкой.
-----

Fast16 — это сложный фреймворк для саботажа, предназначенный для манипуляции симуляциями ядерного оружия, в частности, нацеленный на симуляции высокоэнергетических взрывов в программном обеспечении LS-DYNA и AUTODYN. Его функциональность сосредоточена вокруг механизма хуков, который активируется на основе плотности моделируемого материала, конкретно активируясь, когда плотность превышает 30 г/см³ — что указывает на уран в условиях ударной компрессии, характерных для ядерных взрывов. Это ВПО обеспечивает закрепление в сети путем перечисления общих ресурсов и методов Имперсонация, при этом намеренно избегая распространения за пределы целевой среды.

Обнаружен в апреле 2026 года, архитектура Fast16 включает сервисный бинарный файл, содержащий раннюю версию виртуальной машины Lua, а также драйвер файловой системы, запускаемый при загрузке, который перехватывает исполняемый код. Он использует набор предопределенных правил — 101 правило по образцу байтов — для выполнения модификаций на лету целевых приложений, в частности LS-DYNA и AUTODYN, которые используются для симуляции поведения при высоком давлении и ударных нагрузках.

Фреймворк использует три различные атаки, обозначенные как Механизм A, B и C. Механизм A снижает значения выходных данных симуляции до 10% от их нормальных значений, если выполняются определенные диапазоны входных данных, тем самым искажая результаты симуляций, критически важных для проверки безопасности и функциональности взрывчатых веществ. Механизм B вносит манипуляции в выходные данные тензора напряжений Коши, радикально изменяя значения давления в зависимости от условий симуляции, особенно нацеливаясь на уникальные характеристики урана при моделировании под высокими плотностями. Механизм C аналогичным образом работает с AUTODYN, проверяя определенные атрибуты и корректируя выходные значения в зависимости от сжатия материала.

Fast16 предназначен для поддержания низкой заметности при распространении по локальной сети. Он устанавливается через процесс, замаскированный под легитимную Служба Windows, используя различные аргументы командной строки для выполнения разных функций, включая запуск скриптов Lua, которые управляют основными операциями. Важно отметить, что перед установкой он сканирует и избегает сред с антивирусным программным обеспечением, тем самым обеспечивая собственное выживание от обнаружения.

Значимое последствие Fast16 заключается в его целевом подходе к моделированию ядерных взрывов, демонстрирующем высокий уровень квалификации как в области программной инженерии, так и в физических науках, связанных с взрывчатыми веществами. Подобное специализированное ВПО может вызвать серьезные сбои в разработке и тестировании ядерных технологий, аналогично концепции червя Stuxnet, который был направлен на промышленные системы управления. В свете потенциальных будущих угроз стратегии устойчивости включают регулярную инвентаризацию загруженных драйверов, строгие контроль приложений и развертывание передовых решений безопасности конечных точек для снижения рисков.

#ParsedReport #CompletenessMedium
12-05-2026

Tycoon 2FA Operators Adopt OAuth Device Code Phishing

https://www.esentire.com/blog/tycoon-2fa-operators-adopt-oauth-device-code-phishing

Report completeness: Medium

Threats:
Device_code_phishing_technique
Tycoon_2fa
Barracuda_tool
Luminati_tool
Aitm_technique

Victims:
Microsoft 365 accounts

Industry:
Media, Telco

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1140, T1497.001, T1497.003, T1528, T1550.001, T1566.002, T1573.001, T1583.001, have more...

IOCs:
Url: 4
File: 9
IP: 2

Soft:
Alibaba Cloud, CryptoJS, Node.js, Unix, Selenium, PhantomJS, ChatGPT, OpenAI, Claude, Anthropic, have more...

Algorithms:
aes-gcm, aes-cbc, aes, base64, cbc, xor

Functions:
preventDefault, WPTKdZGTUf, encryptData, decryptData, count

Languages:
javascript

Links:
https://github.com/eSentire/iocs/tree/main/Tycoon2FA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года фишинговая кампания использовала потоки OAuth Device Authorization Grant для компрометации учетных записей Microsoft 365 с помощью эволюционировавшего варианта набора инструментов Tycoon 2FA. Злоумышленники эксплуатировали легитимные процессы входа в Microsoft, используя URL-адреса отслеживания кликов Trustifi для получения OAuth-токенов от жертв, а также применяли техники антиотладки и фильтрации по User-Agent для уклонения от обнаружения. Такой подход демонстрирует злоупотребление легитимными клиентами OAuth при фишинге, позволяя злоумышленникам получать токены доступа во всей экосистеме Microsoft 365 без прямого обхода многофакторной аутентификации.
-----

В апреле 2026 года появилась фишинговая кампания, которая использовала потоки OAuth Device Authorization Grant для компрометации учетных записей Microsoft 365, применяя эволюционировавший вариант набора инструментов Tycoon 2FA. Эта кампания ознаменовала сдвиг в сторону наборов Phishing-as-a-Service (PhaaS) и включала метод атаки, который эксплуатирует легитимные механизмы входа Microsoft, в частности нацеливаясь на пользователей через приманки, содержащие URL-адреса отслеживания кликов Trustifi. Жертвы, взаимодействовавшие с этими URL-адресами, непреднамеренно предоставляли токены OAuth устройствам, контролируемым злоумышленниками, тем самым обходя традиционные проверки аутентификации.

Операторы Tycoon 2FA продолжали использовать свой устоявшийся набор PhaaS, адаптируя его для фишинга с использованием OAuth device-code без изменения основных элементов набора. Например, исходный код включает различные технические отпечатки, такие как архитектура Check Domain, зашифрованный слой AES-CBC с жестко закодированным ключом и шаблон обертки HTML с использованием Base64 XOR. В отличие от более ранних версий, этот вариант device-code защищает метаданные сеанса, а не учетные данные, не запрашивая у жертв их пароли, а вместо этого направляя их через серию законных шагов авторизации Microsoft.

Операторы преимущественно действовали из адресного пространства Alibaba Cloud (AS45102), при этом механизмы обнаружения были оптимизированы для обхода решений безопасности за счет расширения блэк-листа фильтрации на основе ASN, который включает различных поставщиков безопасности и облачных провайдеров. Они адаптировали инфраструктуру доставки, используя уникальный шаблон URL и легкую обфускацию для маскировки вредоносных полезной нагрузки, завершив четырехуровневую цепочку доставки в браузере.

Ключевыми техническими факторами в этой фишинг-технике стали меры антиотладки и фильтрация строк User-Agent для блокировки известных средств защиты. Например, фишинг-фреймворк проводил проверки против известных инструментов и сервисов, перенаправляя нежелательных посетителей на безвредные страницы. Кроме того, при успешном согласии жертв злоумышленники получали токены доступа не только к отдельным сервисам, но и комплексно во всей экосистеме Microsoft 365.

Эксплуатация OAuth 2.0 Device Authorization Grant представляет собой новый подход к обходу многофакторной аутентификации (MFA) без прямого его обхода, поскольку позволяет злоумышленникам убедить пользователей предоставить согласие на выдачу токенов для устройств, контролируемых злоумышленниками, под видом легитимных приложений. Эта особенность подчеркивает риск использования легитимных OAuth-клиентов в фишинговых кампаниях, как это было продемонстрировано при имперсонации Microsoft Authentication Broker, который выглядел как стандартное приложение Microsoft, собирающее телеметрию.

#ParsedReport #CompletenessMedium
16-05-2026

Hunting Lazarus Part VIII: OtterCookie

https://redasgard.com/blog/hunting-lazarus-part8-ottercookie

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Ottercookie
Beavertail
Supply_chain_technique
Invisibleferret

Victims:
Developers, Developer workstations, Blockchain

Industry:
Financial

Geo:
Dprk, North-korea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1048.003, T1056.001, T1059, T1071.001, T1083, T1105, T1113, T1115, T1195.001, have more...

IOCs:
IP: 1
Domain: 1

Soft:
Node.js, macOS

Functions:
Write-Only

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OtterCookie — это Троянская программа для удаленного доступа (RAT) на JavaScript/Node.js, входящая в состав операции Contagious Interview, использующая Socket.IO поверх Engine.IO v4 для мониторинга разработчиков в реальном времени. Она захватывает активность, включая содержимое буфера обмена, нажатия клавиш и секреты браузера, работая с серверами управления на портах 6931 и 6101. Распространение ВПО через npm и Vercel, с примерно 197 вредоносными пакетами, приведшими к 31 000 загрузок, подчеркивает его широкое распространение и угрозу.
-----

OtterCookie — это отдельная JavaScript/Node.js троянская программа для удалённого доступа (RAT), функционирующая независимо от BeaverTail в рамках более широкой операции Contagious Interview. В отличие от BeaverTail, который использует методологию управления через HTTP и загрузку, OtterCookie применяет Socket.IO поверх Engine.IO v4 и поддерживает живой реестр подключённых жертв, транслируя эту информацию каждые тридцать секунд, а не ожидая запросов для предоставления обновлений. Этот метод представляет собой переход от традиционного кражи хранимых данных к мониторингу в реальном времени машин разработчиков.

Плоскость управления Socket.IO означает, что OtterCookie может постоянно отслеживать действия разработчиков, захватывая содержимое буфера обмена, нажатия клавиш, скриншоты и конфиденциальную информацию, такую как секреты браузера и учетные данные кошельков. Этот непрерывный сбор данных существенно отличается от подхода BeaverTail, который в первую очередь стремился эксплуатировать сохраненные данные на машинах. Идентификаторы, используемые OtterCookie, называемые uid и userKey, не позволяют однозначно идентифицировать отдельные машины. Вместо этого они действуют как индикаторы кампании, позволяя многим устройствам использовать одни и те же идентификаторы на основе пакета развертывания, что усложняет усилия по атрибуции.

Операционная инфраструктура OtterCookie также включает несколько примечательных компонентов. Сервер управления прослушивает порт 6931 для трансляции информации о том, кто из подключенных жертв находится в сети. В то же время дополнительный порт 6101 используется для установления соединений без функции трансляции. Эта двойственность позволяет более детально понимать вовлеченность жертв с течением времени. Кроме того, механизмы доставки ВПО через npm и Vercel были отмечены в отчетах, согласно которым примерно 197 вредоносных пакетов, связанных с OtterCookie, обеспечили около 31 000 загрузок, что указывает на широкую схему распространения, нацеленную на разработчиков.

В статье описывается четкое операционное разделение в рамках кампании Contagious Interview: BeaverTail занимается первоначальным доступом и кражей данных, OtterCookie сосредоточен на мониторинге в реальном времени, а другой компонент, называемый InvisibleFerret, поддерживает операции с бэкдором. Закрепление OtterCookie усиливает его способность непрерывно отслеживать и выводить данные, позволяя злоумышленникам использовать возможности реального времени, а не просто накапливать ранее сохраненную конфиденциальную информацию.

Тревожный параллельный случай с OtterCookie — появление связанного внедрения, помеченного как npoint. Этот вариант, использующий другой язык команд, но аналогичную инфраструктуру, нацелен на сохранённые учётные данные как на системах macOS, так и Windows, что указывает на возможное расширение ландшафта угроз, связанного с этой кампанией.

Для обнаружения и устранения последствий аналитикам рекомендуется тщательно проверять высокопортовые соединения, используемые Socket.IO, отслеживать необычные процессы Node.js и обращать внимание на подозрительное поведение, такое как частые чтения буфера обмена без контекста пользователя. Эволюционирующие тактики OtterCookie подчеркивают важность проактивных мер по защите от все более сложных угроз, основанных на слежке и нацеленных на среды разработки.

#ParsedReport #CompletenessHigh
15-05-2026

PureLogs: Delivery via PawsRunner Steganography

https://www.fortinet.com/blog/threat-research/purelogs-delivery-via-pawsrunner-steganography

Report completeness: High

Actors/Campaigns:
Purecoder

Threats:
Purelogs
Pawsrunner
Steganography_technique
Dotnet_reactor_tool
Ngrok_tool

Geo:
Japanese, Chinese, Korean, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1027.010, T1041, T1047, T1059.001, T1059.007, T1071.001, T1082, T1105, T1140, have more...

IOCs:
File: 1
Command: 1
IP: 1
Url: 1
Hash: 6

Soft:
NET Reactor, Google Chrome, Chrome, Chrome SxS, Chrome, Chrome Canary, Chromium, Epic Privacy Browser, Amigo, Vivaldi, Kometa, have more...

Wallets:
dashcore, wassabi, electron_cash, iocoin, bbqcoin, freicoin, goldcoin, mainnet, mymonero, mycrypto, have more...

Crypto:
ethereum, bitcoin, dogecoin, monero, litecoin, mincoin, yacoin, binance, terracoin

Algorithms:
aes-256, rc4, sha256, gzip, cbc, 3des, base64, aes

Win Services:
WebClient

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 11, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники всё чаще используют Стеганографию для доставки ВПО, как это было продемонстрировано в фишинговой кампании с использованием .NET стиллера PureLogs. Атака начинается с вредоносного архива TXZ, содержащего зашифрованный JavaScript, который запускает conhost.exe и вызывает скрипт PowerShell для расшифровки зашифрованных полезной нагрузки, включая загрузчик PawsRunner, который дополнительно скрывает свою полезную нагрузку внутри изображений PNG. PureLogs, конечная полезная нагрузка, работает асинхронно для сбора конфиденциальных данных и взаимодействует со своим сервером управления через HTTP-запросы, применяя шифрование для передачи данных.
-----

Злоумышленники всё чаще используют Стеганографию для доставки вредоносных загрузок, как это наблюдалось в недавней фишинг-кампании с .NET стиллером под названием PureLogs. Атака начинается с фишингового письма, содержащего архив TXZ, который заманивает потенциальных жертв сообщением на тему счёта-фактуры. После извлечения архив раскрывает файл JavaScript, наполненный функциями, которые включают вводящие в заблуждение комментарии на нескольких языках для сокрытия их намерений.

JavaScript выполняется путем объявления множества переменных окружения, заполненных бессмысленным текстом, после чего запускается conhost.exe в безголовом режиме для сокрытия своей активности. Вызывается скрытый PowerShell-скрипт, который извлекает переменные окружения и использует шифрование AES для расшифровки своей полезной нагрузки, за которой следует распаковка Gzip. Такая динамическая запуск ВПО позволяет избежать традиционных методов обнаружения путем загрузки .NET-сборки без использования файлов.

Загрузчик, идентифицированный как PawsRunner, дополнительно усиливает скрытность атаки, маскируя свой полезный груз внутри кажущихся безобидными PNG-изображений, которые используют Стеганографию для сокрытия данных в своей структуре. Загрузчик PawsRunner продемонстрировал прогресс в своих методах, эволюционировав от простого скачивания PE-файла до извлечения и выполнения зашифрованных полезной нагрузки, скрытых внутри файлов изображений.

Финальный полезный код PureLogs представляет собой стиллер, разработанный PureCoder, и является наиболее сложным в семействе Pure. Он использует .NET Reactor для защиты и Protobuf для сериализации при управлении конфигурацией. После запуска PureLogs извлекает критически важную информацию, включая данные сервера управления (C2) и настройки конфигурации. Его асинхронная работа позволяет эффективно выполнять различные действия, включая проверку доступности связи и сбор данных жертвы.

Для связи с C2 PureLogs использует HTTP-запросы вместо традиционных сокетов, с различными конечными точками для разных операций, такими как /ping и /plugin. Такая структура позволяет осуществлять систематическую эксфильтрацию данных, при которой собранная информация о жертве передается по зашифрованным каналам. Обработка данных следует схеме шифрования AES в сочетании со сжатием Gzip, защищая информацию от перехвата во время передачи.

#ParsedReport #CompletenessLow
14-05-2026

YouTube DMCA Phishing Infrastructure: Six Months Later

https://www.validin.com/blog/dmca_phishing_revisited/

Report completeness: Low

Actors/Campaigns:
Dmca_takedown

Threats:
Bitm_technique
Credential_harvesting_technique

Victims:
Youtube creators, Content creators

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.002, T1583.001, T1583.004

IOCs:
IP: 7
Domain: 222

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании фишинга через DMCA на YouTube демонстрируют эволюцию тактик, включая использование метода «Браузер в браузере» для имперсонации входа в Google. Инфраструктура, связанная с этими атаками, отличается высокой волатильностью с неактивными IP-адресами, однако согласованные отпечатки управления позволяют отслеживать злоумышленников. Основные фишинговые домены, такие как dmca-notification.info и blacklivesmattergood4.com, применяют сложные приманки и техники кластеризации, что подчеркивает устойчивый характер этих угроз по сбор учетных записей.
-----

Анализ фишинговых кампаний на YouTube, связанных с тематикой DMCA, выявляет эволюционирующие тактики и устойчивые угрозы. После первоначального расследования в ноябре 2025 года, в ходе которого были выявлены IP-адреса и простые хеш-индикаторы, связанные со схемой DMCA Takedown, последующий анализ в апреле 2026 года обнаружил альтернативный поток фишинга, использующий сложную технику Browser-in-the-Browser для имперсонации входа в Google. Этот новый метод представляет собой значительный шаг в сторону повышения сложности, подчеркивая необходимость как для пользователей, так и для аналитиков более пристального изучения потенциальных фишинговых попыток.

Изначальная кампания была разработана, чтобы обманом заставить создателей YouTube загрузить ВПО под предлогом решения проблем с жалобами на нарушение авторских прав. Инфраструктура, связанная с этой атакой, демонстрировала высокую изменчивость; IP-адреса, связанные с фишинговой активностью, быстро становились неактивными, что указывает на стратегию сокрытия атакующей инфраструктуры. Однако такие индикаторы, как уникальные отпечатки ответов C2 (управление), продолжали появляться, что позволяло отслеживать связанную инфраструктуру. Эта непрерывность в поведении подчеркивает потенциал для более широкой идентификации связанных злонамеренных активностей.

Заметные IP-адреса, связанные с инфраструктурой C2, демонстрировали согласованные паттерны, такие как самоподписанные сертификаты с единообразными соглашениями об именовании, что позволяло устанавливать дополнительные связи между разрозненными фишинговыми кампаниями. Конкретный хеш баннера, наблюдаемый на нескольких IP-адресах, дополнительно подтверждал эти связи, предоставляя надежный индикатор для исследователей, отслеживающих данный ландшафт угроз.

В последних кампаниях prominently фигурировали домены, такие как dmca-notification.info, которые служили основным фишинговым вектором, в то время как домен для сбора учетных записей — blacklivesmattergood4.com — функционировал как конечная точка для похищенных учетных данных. Путем обхода этих сайтов были выявлены связанные домены и инфраструктура, что указывает на то, как злоумышленники используют техники кластеризации для максимизации своего воздействия.

Фишинговая приманка, используемая кампаниями, включала специфические теги заголовков, которые были связаны с множеством других доменов в попытке избежать обнаружения. Постоянный этап разведки продолжает подчеркивать важность использования исторических данных DNS, хешей заголовков и наблюдаемых шаблонов перенаправления для связывания временных индикаторов с активными угрозами. Исследователи утверждают, что такой динамичный и проактивный сканирование доменов имеет критическое значение для выявления полного масштаба фишинговых инфраструктур, что способствует более быстрому реагированию на эти постоянные угрозы.

По сути, хотя технические детали этих фишинговых кампаний эволюционируют, фундаментальные тактики Имперсонации и сбора учетных записей остаются неизменными, что указывает на устойчивую угрозу, требующую бдительного мониторинга и адаптивных средств защиты.

#ParsedReport #CompletenessMedium
15-05-2026

SHADOW-EARTH-053 Uses Legacy Exchange Exploitation to Target Asia-Pacific Governments

https://blog.polyswarm.io/shadow-earth-053-uses-legacy-exchange-exploitation-to-target-asia-pacific-governments

Report completeness: Medium

Actors/Campaigns:
Shadow-earth-053 (motivation: cyber_espionage)
Shadow-earth-054 (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Shadowpad
Godzilla_webshell
Nood_rat
Iox_tool
Wstunnel_tool
Ringq_tool
Vshell
Proxylogon_exploit
Dll_sideloading_technique
Anydesk_tool
Powerview_tool
Mimikatz_tool
Evil-createdump_tool
Sharp-smbexec_tool
Lsadump_tool
Credential_harvesting_technique
Supply_chain_technique

Victims:
Government, Defense contractors, Critical infrastructure, Transportation organizations, Technology consulting firms, Government it contractors, Ministry of defense suppliers, Strategic technology firms

Industry:
E-commerce, Government, Critical_infrastructure, Transport

Geo:
Malaysia, Thailand, Myanmar, China, India, Poland, Chinese, Sri lanka, Pakistan, Asian, Asia, Taiwan, Asia-pacific

CVEs:
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.002, T1003.006, T1018, T1021.001, T1021.002, T1046, T1047, T1069.002, T1087.002, have more...

IOCs:
File: 14
Hash: 13

Soft:
Microsoft Exchange, Microsoft Exchange Server, Active Directory, Windows Registry

Win API:
VirtualAlloc, EnumDesktopsA

#ParsedReport #GeneratedSchema
Generated with GPT-4