#ParsedReport #CompletenessHigh
29-05-2026

Universities and the energy industry are being attacked by an unknown group, active since at least 2024

https://securelist.ru/unknown-group-targets-maritime-universities/115765/

Report completeness: High

Threats:
Ravage_tool
Purerat
Redline_stealer
Cobalt_strike_tool
Vidar_stealer
Lumma_stealer
Stealc
Battoexe_tool
Putty_tool

Victims:
Educational institutions, Maritime and river transport education, Fishing industry education, Energy organizations, Financial organizations, Diplomatic services, Public authorities, Russian organizations

Industry:
Education, Energy, Maritime

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1027.002, T1036, T1047, T1055, T1059, T1059.001, T1059.003, T1105, have more...

IOCs:
Url: 14
File: 21
Hash: 21
Email: 1
Domain: 4
IP: 3

Soft:
Microsoft Excel, NSIS installer

Algorithms:
zip, md5

Languages:
powershell, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, нацеленная на образовательные учреждения, особенно морские, энергетический сектор и финансовые организации, активна с 2024 года. Они используют фишинговые письма с ZIP-архивами, содержащими вредоносные файлы XLL, которые загружают исполняемые файлы, такие как "Putty.exe", используемые для доставки различных ВПО, включая бэкдор PureRAT, и "Ps.exe", который запускает скрипты для манипуляции файлами через фреймворк Ravage. Их атаки демонстрируют колеблющиеся уровни активности, тактика эволюционирует, но неизменно включает вредоносные файлы XLL, связанные с легитимными инструментами.
-----

Хакерская группировка ведет активность как минимум с 2024 года, нацеливаясь преимущественно на образовательные учреждения, особенно те, что занимаются морскими исследованиями, а также на энергетический сектор и финансовые организации. Их метод работы включает эксплуатацию методов доставки ВПО с использованием фишинговых писем, содержащих ZIP-архивы с вредоносными файлами XLL, которые маскируются под легитимные надстройки Microsoft Excel.

В 2026 году злоумышленники использовали фишинг-стратегию, при которой файл XLL, связанный с загрузчиком, выполнял вредоносный код при открытии. Этот тип файлов, созданный с использованием фреймворка Excel-DNA, включает модуль, написанный на C#, который загружает два исполняемых файла с скомпрометированных URL-адресов, а именно https://venera-gimadieva.com/update/putty.exe и https://venera-gimadieva.com/update/ps.exe. Файл "Putty.exe" функционирует как биндер для консолидации различных бэкдоров и стиллеров, в частности известных элементов из домена MaaS, таких как Vidar и RedLine. При выполнении он распаковывает свои компоненты с помощью механизма самораспаковывающегося CAB-архива и использует скрипты AutoIt для внедрения ВПО в процесс RegAsm.exe. В результате этого действия доставляется бэкдор PureRAT.

Второй исполняемый файл, "Ps.exe", — это утилита, которая преобразует пакетные скрипты в самодостаточные исполняемые файлы. Он запускает PowerShell-скрипт, который действует как загрузчик для фреймворка Ravage, позволяющий манипулировать файлами, выполнять процессы и выполнять команды в локальной сети через SMB или WMI, но не обладает некоторыми расширенными возможностями, присутствующими в других ПО для удаленного доступа.

Атакующая группа демонстрирует переменную частоту активности, с периодами простоя, длящимися несколько месяцев, за которыми следуют всплески атак. Например, с сентября по декабрь 2025 года атаки включали распределенные XLL-файлы, которые маскировались под стандартные документы Excel, но при этом доставляли вредоносные payloads. Расследование предыдущих лет показало, что эти тактики применялись аналогичным образом с 2024 года, часто с упоминанием имени Putty в их файлах, что может быть отсылкой к легитимному инструменту удаленного доступа PuTTY.

#ParsedReport #CompletenessHigh
29-05-2026

Operation XENOFISCAL: SideCopy deploying persistent XenoRAT targeting the MoF, Afghanistan

https://www.seqrite.com/blog/operation-xenofiscal-sidecopy-deploying-persistent-xenorat-targeting-the-mof-afghanistan/

Report completeness: High

Actors/Campaigns:
Xenofiscal
Sidecopy
Transparenttribe

Threats:
Xenorat
Spear-phishing_technique
Lolbin_technique
Donut
Asyncrat
Typosquatting_technique
Lolbas_technique
Amsi_bypass_technique

Victims:
Ministry of finance afghanistan, Government, Provincial finance officials

Industry:
Education, Government, Financial

Geo:
Afghanistan, Pakistan, Afghan

TTPs:
Tactics: 9
Technics: 32

IOCs:
File: 18
Domain: 1
Url: 4
Command: 2
IP: 1
Hash: 9

Soft:
Microsoft Edge, Internet Explorer, NET Framework, Windows Scheduled Task, Windows Task Scheduler

Algorithms:
gzip, base64, aes, zip

Functions:
atob, openthefile, RunProcessWithHiddenCmd, RegWorkExePathFromPublic, BSDSD94, CopyExeToUsersPublic, decompressdata, GetAntivirus, RemoveStartup

Win API:
CreateDirectory, VirtualAlloc, CreateThread, WaitForSingleObject, VirtualProtect, GetProcAddress, AmsiScanBuffer, RtlDecompressBuffer

Win Services:
WebClient

Languages:
javascript, jscript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 3, code: 9, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция XENOFISCAL — это кампания кибершпионажа хакерской группировки SideCopy, направленная против Министерства финансов Афганистана, в ходе которой внедряется вредоносное ПО XenoRAT с использованием тактик целевого фишинга. Атака использует вредоносный LNK-файл для загрузки HTA-полезной нагрузки, применяющей безфайловые техники, что позволяет избегать обнаружения и выполнять команды в памяти. Вредоносное ПО обеспечивает удаленное управление, мониторинг действий пользователей и управление данными, а также гарантирует безопасную связь и поддерживает закрепление через запланированные задачи Windows и модификации реестра.
-----

Операция XENOFISCAL относится к целевой кампании атак, приписываемой хакерской группировке SideCopy, связанной с Пакистаном, которая нацелена конкретно на Министерство финансов Афганистана. Кампания начинается с тактики Целевой фишинг, использующей ZIP-архив, содержащий вредоносный LNK-файл. Этот файл имитирует легитимный документ на пушту, стратегически нацеливаясь на местных финансовых чиновников. При выполнении LNK-файл вызывает mshta.exe для загрузки HTA-полезной нагрузки с скомпрометированного афганского образовательного домена, после чего разворачивает ВПО XenoRAT.

Цепочка заражения работает через несколько сложных технических этапов. Сначала файл LNK запускает процесс выполнения, загружая удаленный полезный груз, одновременно применяя техники обфускации для уклонения от обнаружения. Он использует сильно обфусцированный файл HTA, содержащий код JavaScript, который динамически декодирует и выполняет вредоносные команды в памяти без создания постоянных файлов, тем самым применяя тактики fileless malware. Полезный груз HTA/JavaScript инициирует этот подход, обрабатывая кодирование таким образом, что усложняет статический анализ.

Загрузчик первой стадии (DLL) обеспечивает загрузку сопровождающих документов-приманок и устанавливает закрепление посредством модификаций реестра. Эта DLL координирует получение дополнительных полезной нагрузки, сохраняя скрытый профиль за счет использования временного хранилища в общедоступных каталогах. Примечательно, что загрузчик второй стадии (DLL) действует как загрузчик шеллкода, эффективно загружая и декодируя финальную полезную нагрузку XenoRAT полностью в памяти, тем самым вновь минимизируя артефакты на диске.

XenoRAT, открытая Троянская программа, выполняет различные функции после развертывания, такие как создание защищенных каналов управления (C2) и закрепление через задачи Планировщика Windows и ключи реестра. Она демонстрирует широкие возможности, включая управление файлами, мониторинг активности пользователей и возможность выполнения произвольных команд удаленно. ВПО обеспечивает зашифрованные каналы связи и включает механизмы для самостоятельного удаления, чтобы избежать обнаружения.

Инфраструктура, окружающая эту операцию, отражает преднамеренное смешение с легитимными афганскими онлайн-ресурсами, что помогает злоумышленникам избегать обнаружения. Использование домена, зарегистрированного в Афганистане, для вредоносной деятельности дополнительно подтверждает эту закономерность. Технические характеристики методологии атаки соответствуют историческим тактикам SideCopy, что усиливает атрибуцию этой кампании к группе с высокой степенью уверенности из-за его постоянного повторного использования идентифицируемых техник, включая закрепление в реестре и применение XenoRAT.

В заключение, операция XENOFISCAL является примером высокоцелевой и сложной кибершпионской кампании, основанной на детальном знании местных особенностей и реализованной через цепочку тщательно продуманных технических шагов, обеспечивающих как заражение, так и продолжительный несанкционированный доступ к чувствительным государственным сетям.

#ParsedReport #CompletenessHigh
29-05-2026

Operation Dragon Weave : Uncovering a China-Linked Campaign Targeting Czech Republic and Taiwan Using Azure Cloud C2

https://www.seqrite.com/blog/operation-dragon-weave-uncovering-a-china-linked-campaign-targeting-czech-republic-and-taiwan-using-azure-cloud-c2/

Report completeness: High

Actors/Campaigns:
Dragon_weave (motivation: cyber_espionage, information_theft)

Threats:
Spear-phishing_technique
Adaptixc2_tool
Dll_sideloading_technique
Rustcloak
Azureveil
Dead_drop_technique
Process_injection_technique

Victims:
Officials, Citizens

Industry:
Government, Education

Geo:
Czech, Taiwan, Chinese, China

TTPs:
Tactics: 4
Technics: 18

IOCs:
Domain: 1
File: 8
Hash: 12

Soft:
Azure Blob, Microsoft Edge

Algorithms:
cbc, rc4, xor, zip, base64

Win API:
VirtualAlloc, VirtualProtect, CreateFiberEx, SwitchToFiber

Languages:
rust, visual_basic, powershell

Platforms:
amd64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 6, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Dragon Weave — это кампания кибершпионажа, связанная с актором из Китая, нацеленным на организации в Чехии и на Тайване. Атака использует целевой фишинг с вредоносными ZIP-архивами для доставки ВПО по двум путям заражения: один включает ярлык Windows, запускающий скрипт PowerShell, а другой использует исполняемый файл на базе Rust. Основные компоненты, RuntimeBroker_update.exe и агент C2 AZUREVEIL, применяют сложные техники уклонения и облачную инфраструктуру для поддержания скрытности, одновременно обеспечивая обширный контроль над скомпрометированными системами.
-----

Операция Dragon Weave — это сложная кампания кибершпионажа, направленная против организаций в Чехии и Тайване, потенциально связанная с китайским злоумышленником. Атака использует стратегию целевого фишинга с применением вредоносных ZIP-архивов, имитирующих официальные документы, для запуска структурированной цепочки заражения. ZIP-архив содержит различные файлы, выглядящие легитимно, в частности ярлык, имитирующий PDF-файл, который при запуске приводит к развёртыванию ВПО.

Основной метод заражения состоит из двух путей: путь A и путь B. В пути A пользователя обманом заставляют щёлкнуть по ярлыку Windows, что запускает VBScript, который затем выполняет сценарий PowerShell, отвечающий за расшифровку полезной нагрузки и запуск вредоносного исполняемого файла. Путь B, в свою очередь, предполагает запуск исполняемого файла на базе Rust, который напрямую извлекает и выполняет все необходимые компоненты, включая финальную полезную нагрузку.

Оба пути приводят к выполнению основного компонента с именем RuntimeBroker_update.exe, который подгружает вредоносную DLL, обозначаемую как RUSTCLOAK. RUSTCLOAK — это загрузчик на базе Rust, обладающий навыками Обход песочницы для уклонения от обнаружения. Он использует техники противодействия анализу, такие как проверки на наличие песочницы на основе жестко закодированного списка распространенных имен машин аналитиков. После успешного выполнения RUSTCLOAK расшифровывает финальный полезный груз, идентифицируемый как AZUREVEIL, применяя многослойный подход к расшифровке с использованием различных алгоритмов, и выполняет его в памяти для избежания обнаружения.

AZUREVEIL — высокоэффективный агент управления Adaptix (C2), примечательный своим методом связи через хранилище Microsoft Azure Blob. Этот подход искусно маскирует вредоносный трафик под легитимную облачную активность, усложняя усилия по обнаружению. Агент спроектирован для работы без традиционного сервера управления, выполняя операции посредством обмена данными в общем контейнере хранилища Azure. Команды загружаются в Azure Blob, откуда AZUREVEIL извлекает, расшифровывает и выполняет их, а также отправляет результаты обратно в виде зашифрованных блоков.

В целом, AZUREVEIL поддерживает широкий набор команд постэксплуатации, обеспечивая полный контроль над системой, эксфильтрацию данных и перемещение внутри компании в рамках сети. Его возможности включают операции с файлами, сетевую энумерацию и даже способность функционировать в качестве прокси, что демонстрирует обширный контроль и гибкость, предоставляемые злоумышленникам.

Кампания демонстрирует высокий уровень сложности благодаря многоуровневому шифрованию для защиты полезной нагрузки, ориентации на целевые геополитические интересы и использованию облачной инфраструктуры для поддержания скрытности в своих операциях. Технические инновации, применяемые в ходе кампании, особенно использование Azure для C2, существенно подчеркивают эволюцию тактик современных киберугроз, что делает усилия по смягчению последствий более сложными.

#ParsedReport #CompletenessLow
29-05-2026

Rapid7 Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability (CVE-2026-0257)

https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257

Report completeness: Low

Victims:
Organizations using pan os, Organizations using prisma access, Enterprise vpn appliances

CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)


ChatGPT TTPs:
do not use without manual check
T1133, T1190, T1550.004, T1606.001

IOCs:
IP: 4

Soft:
PAN-OS, Linux

Algorithms:
base64

Platforms:
intel

Links:
https://github.com/sfewer-r7/CVE-2026-0257

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
13 мая 2026 года компания Palo Alto Networks сообщила об уязвимости обхода аутентификации средней степени тяжести (CVE-2026-0257) в PAN-OS и Prisma Access, которая позволяет удаленным неаутентифицированным злоумышленникам устанавливать VPN-соединения через шлюзы GlobalProtect. После ее раскрытия компания Rapid7 обнаружила попытки эксплуатации, связанные с входами в учетные записи администраторов на основе файлов cookie, проследив активность до хостинг-провайдеров Vultr и Dromatics Systems. Уязвимость позволяет злоумышленникам подделывать действительные файлы cookie путем манипуляции значениями форм HTTP, что приводит к несанкционированному доступу к внутренним сетям, несмотря на несогласованность установления сеансов на целевых системах.
-----

13 мая 2026 года была раскрыта уязвимость обхода аутентификации средней степени тяжести, идентифицированная как CVE-2026-0257, затрагивающая PAN-OS и Prisma Access.

Эта уязвимость позволяет удалённым неаутентифицированным злоумышленникам устанавливать VPN-соединения через шлюз GlobalProtect.

Rapid7 начала расследование эксплуатации 18 мая 2026 года после обнаружения предупреждения «Подозрительная аутентификация VPN».

Были обнаружены подозрительные входы в локальные административные учетные записи на основе файлов cookie, исходящие от хостинг-провайдера Vultr.

Затронутые сервисы имели отключенную службу облачной аутентификации (Cloud Authentication Service, CAS) и включенные файлы cookie для переопределения аутентификации, что указывает на эксплуатацию уязвимости CVE-2026-0257.

Подтверждение эксплуатации уязвимости было достигнуто благодаря анализу proof-of-concept, проведенному Rapid7 Labs.

Вторая волна эксплуатации была зафиксирована 21 мая, приписывается тому же злоумышленнику, но исходит от другого провайдера, Dromatics Systems.

Атакующие выполнили назначение IP-адресов VPN после успешной аутентификации по cookie, получив несанкционированный доступ к внутренним сетям.

Не все попытки эксплуатации привели к успешному установлению VPN-сессии; у 8 из 10 клиентов возникли проблемы с валидацией cookie, что не привело к созданию сессий.

Куки обхода аутентификации могут быть изменены при определённых условиях работы службы GlobalProtect, что требует наличия определённого значения поля HTTP-формы в POST-запросах.

Атакующие могут использовать открытый ключ определённых сертификатов для подделки валидных файлов cookie, что приводит к обходу аутентификации.

Скрипт proof-of-concept из Rapid7 Labs позволяет пользователям проверить уязвимость к CVE-2026-0257 путем подделки аутентификационных cookies.

Организациям рекомендуется применять соответствующие обновления от Palo Alto Networks и использовать такие инструменты, как Exposure Command, InsightVM и Nexpose, для оценки уязвимостей.

#ParsedReport #CompletenessHigh
30-05-2026

Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks in Thousands of Compromised Sites

https://www.silentpush.com/blog/drivesurge/

Report completeness: High

Actors/Campaigns:
Drivesurge

Threats:
Clickfix_technique
Socgholish_loader

Victims:
Professional services, Healthcare, Business organizations, Local organizations

Industry:
Healthcare, Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.004, T1059.007, T1070.004, T1105, T1140, T1189, T1204.004, have more...

IOCs:
Domain: 15
File: 21
IP: 2
Url: 12
Hash: 6
Email: 2

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex Browser, Vivaldi, Mozilla Firefox, Firefox, WordPress, macOS, curl, have more...

Algorithms:
base64, zip, sha256

Functions:
atob

Languages:
php, javascript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DriveSurge — это продвинутый брокер первоначального доступа (IAB), использующий автоматизацию для доставки ВПО через атаки FakeUpdate и ClickFix. Работая по модели Pay-Per-Install, он компрометирует легитимные веб-сайты для перенаправления пользователей на вредоносные payloads, применяя такие инструменты, как open-source Система распределения трафика (TDS) zTDS для профилирования посетителей и доставки ВПО. Их техники включают социальную инженерию для обмана пользователей с целью выполнения вредоносных команд, в то время как их ВПО использует сильную обфускацию для таргетинга на конкретные операционные системы и манипуляции с пользовательскими вводами.
-----

DriveSurge — это новый, сложный злоумышленник, идентифицированный как специализированный брокер первоначального доступа (IAB), занимающийся автоматизацией доставки ВПО с использованием таких техник, как атаки ClickFix и FakeUpdate. Сообщается, что этот актор работает по модели Pay-Per-Install (PPI), компрометируя тысячи легитимных веб-сайтов для перенаправления пользователей на вредоносные payloads без их ведома. DriveSurge в основном использует открытую Систему распределения трафика (TDS) под названием zTDS для перехвата этих веб-сайтов, запуская скрытый вредоносный код, который профилирует посетителей и доставляет ВПО на основе этого профилирования.

Атаки, выполняемые DriveSurge, характеризуются двумя основными методами: FakeUpdates и ClickFix. FakeUpdates маскируются под легитимные уведомления об обновлении браузеров, таких как Google Chrome и Mozilla Firefox, убеждая пользователей загрузить вредоносное ПО, замаскированное под обновления. В одном из конкретных случаев вредоносный домен предоставил поддельную страницу обновления Firefox с взломанного веб-сайта, что привело к загрузке ZIP-архива, содержащего вредоносные DLL-файлы. ClickFix использует тактики социальной инженерии, показывая поддельные сообщения об ошибках, которые инструктируют пользователей выполнять вредоносные команды в терминале или PowerShell, тем самым облегчая прямую установку вредоносного ПО.

Исследования показывают, что операции DriveSurge сильно зависят от вредоносной инфраструктуры, которую можно идентифицировать с помощью набора технических отпечатков, выявляющих различные шаблоны и конфигурации. Например, один из отпечатков включает JavaScript-файлы с уникальными идентификаторами, указывающими на скомпрометированный сайт, с которого извлекаются данные. Кроме того, закономерности в регистрации доменов свидетельствуют о приверженности к обфускации и стратегическому сокрытию операций, поскольку многие домены регистрируются с использованием временных почтовых служб.

Поведение вредоносного ПО демонстрирует продвинутые техники обфускации, позволяющие злоумышленникам беспрепятственно выполнять команды, нацеленные на конкретные операционные системы, такие как macOS, одновременно обходя обнаружение. Скрипты, внедряемые в системы жертв, содержат логику для определения операционной среды, что гарантирует контекстуальную корректность выполняемых вредоносных команд. Существуют компоненты, перехватывающие активность буфера обмена и манипулирующие вводом пользователя для дальнейшей скрытой установки ВПО.

Продолжающийся анализ со стороны специалистов по безопасности направлен на отслеживание и противодействие эволюционирующим тактикам DriveSurge. Будущие усилия по сбору разведданных будут сосредоточены на выявлении новых инфраструктурных разработок и потенциальных совместных действий с организациями, сталкивающимися с аналогичными угрозами.

#ParsedReport #CompletenessMedium
30-05-2026

Malicious npm packages abuse dependency confusion to profile developer environments

https://www.microsoft.com/en-us/security/blog/2026/05/29/33-malicious-npm-packages-abuse-dependency-confusion-profile-developer-environments/

Report completeness: Medium

Threats:
Supply_chain_technique
Capibar
Trojan:js/obfusnpmjs.sa
Trojan:js/obfusnpmjs

Victims:
Developer environments, Financial services

Industry:
Logistic, E-commerce

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 3
File: 14
Url: 6
Coin: 1
Domain: 4

Soft:
Microsoft Defender, macOS, Linux, Node.js, , Microsoft Defender for Endpoint

Algorithms:
base64

Functions:
require

Win API:
lockfile

Languages:
typescript, javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4