#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Dragon Weave — это кампания кибершпионажа, связанная с актором из Китая, нацеленным на организации в Чехии и на Тайване. Атака использует целевой фишинг с вредоносными ZIP-архивами для доставки ВПО по двум путям заражения: один включает ярлык Windows, запускающий скрипт PowerShell, а другой использует исполняемый файл на базе Rust. Основные компоненты, RuntimeBroker_update.exe и агент C2 AZUREVEIL, применяют сложные техники уклонения и облачную инфраструктуру для поддержания скрытности, одновременно обеспечивая обширный контроль над скомпрометированными системами.
-----

Операция Dragon Weave — это сложная кампания кибершпионажа, направленная против организаций в Чехии и Тайване, потенциально связанная с китайским злоумышленником. Атака использует стратегию целевого фишинга с применением вредоносных ZIP-архивов, имитирующих официальные документы, для запуска структурированной цепочки заражения. ZIP-архив содержит различные файлы, выглядящие легитимно, в частности ярлык, имитирующий PDF-файл, который при запуске приводит к развёртыванию ВПО.

Основной метод заражения состоит из двух путей: путь A и путь B. В пути A пользователя обманом заставляют щёлкнуть по ярлыку Windows, что запускает VBScript, который затем выполняет сценарий PowerShell, отвечающий за расшифровку полезной нагрузки и запуск вредоносного исполняемого файла. Путь B, в свою очередь, предполагает запуск исполняемого файла на базе Rust, который напрямую извлекает и выполняет все необходимые компоненты, включая финальную полезную нагрузку.

Оба пути приводят к выполнению основного компонента с именем RuntimeBroker_update.exe, который подгружает вредоносную DLL, обозначаемую как RUSTCLOAK. RUSTCLOAK — это загрузчик на базе Rust, обладающий навыками Обход песочницы для уклонения от обнаружения. Он использует техники противодействия анализу, такие как проверки на наличие песочницы на основе жестко закодированного списка распространенных имен машин аналитиков. После успешного выполнения RUSTCLOAK расшифровывает финальный полезный груз, идентифицируемый как AZUREVEIL, применяя многослойный подход к расшифровке с использованием различных алгоритмов, и выполняет его в памяти для избежания обнаружения.

AZUREVEIL — высокоэффективный агент управления Adaptix (C2), примечательный своим методом связи через хранилище Microsoft Azure Blob. Этот подход искусно маскирует вредоносный трафик под легитимную облачную активность, усложняя усилия по обнаружению. Агент спроектирован для работы без традиционного сервера управления, выполняя операции посредством обмена данными в общем контейнере хранилища Azure. Команды загружаются в Azure Blob, откуда AZUREVEIL извлекает, расшифровывает и выполняет их, а также отправляет результаты обратно в виде зашифрованных блоков.

В целом, AZUREVEIL поддерживает широкий набор команд постэксплуатации, обеспечивая полный контроль над системой, эксфильтрацию данных и перемещение внутри компании в рамках сети. Его возможности включают операции с файлами, сетевую энумерацию и даже способность функционировать в качестве прокси, что демонстрирует обширный контроль и гибкость, предоставляемые злоумышленникам.

Кампания демонстрирует высокий уровень сложности благодаря многоуровневому шифрованию для защиты полезной нагрузки, ориентации на целевые геополитические интересы и использованию облачной инфраструктуры для поддержания скрытности в своих операциях. Технические инновации, применяемые в ходе кампании, особенно использование Azure для C2, существенно подчеркивают эволюцию тактик современных киберугроз, что делает усилия по смягчению последствий более сложными.

#ParsedReport #CompletenessLow
29-05-2026

Rapid7 Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability (CVE-2026-0257)

https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257

Report completeness: Low

Victims:
Organizations using pan os, Organizations using prisma access, Enterprise vpn appliances

CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)


ChatGPT TTPs:
do not use without manual check
T1133, T1190, T1550.004, T1606.001

IOCs:
IP: 4

Soft:
PAN-OS, Linux

Algorithms:
base64

Platforms:
intel

Links:
https://github.com/sfewer-r7/CVE-2026-0257

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
13 мая 2026 года компания Palo Alto Networks сообщила об уязвимости обхода аутентификации средней степени тяжести (CVE-2026-0257) в PAN-OS и Prisma Access, которая позволяет удаленным неаутентифицированным злоумышленникам устанавливать VPN-соединения через шлюзы GlobalProtect. После ее раскрытия компания Rapid7 обнаружила попытки эксплуатации, связанные с входами в учетные записи администраторов на основе файлов cookie, проследив активность до хостинг-провайдеров Vultr и Dromatics Systems. Уязвимость позволяет злоумышленникам подделывать действительные файлы cookie путем манипуляции значениями форм HTTP, что приводит к несанкционированному доступу к внутренним сетям, несмотря на несогласованность установления сеансов на целевых системах.
-----

13 мая 2026 года была раскрыта уязвимость обхода аутентификации средней степени тяжести, идентифицированная как CVE-2026-0257, затрагивающая PAN-OS и Prisma Access.

Эта уязвимость позволяет удалённым неаутентифицированным злоумышленникам устанавливать VPN-соединения через шлюз GlobalProtect.

Rapid7 начала расследование эксплуатации 18 мая 2026 года после обнаружения предупреждения «Подозрительная аутентификация VPN».

Были обнаружены подозрительные входы в локальные административные учетные записи на основе файлов cookie, исходящие от хостинг-провайдера Vultr.

Затронутые сервисы имели отключенную службу облачной аутентификации (Cloud Authentication Service, CAS) и включенные файлы cookie для переопределения аутентификации, что указывает на эксплуатацию уязвимости CVE-2026-0257.

Подтверждение эксплуатации уязвимости было достигнуто благодаря анализу proof-of-concept, проведенному Rapid7 Labs.

Вторая волна эксплуатации была зафиксирована 21 мая, приписывается тому же злоумышленнику, но исходит от другого провайдера, Dromatics Systems.

Атакующие выполнили назначение IP-адресов VPN после успешной аутентификации по cookie, получив несанкционированный доступ к внутренним сетям.

Не все попытки эксплуатации привели к успешному установлению VPN-сессии; у 8 из 10 клиентов возникли проблемы с валидацией cookie, что не привело к созданию сессий.

Куки обхода аутентификации могут быть изменены при определённых условиях работы службы GlobalProtect, что требует наличия определённого значения поля HTTP-формы в POST-запросах.

Атакующие могут использовать открытый ключ определённых сертификатов для подделки валидных файлов cookie, что приводит к обходу аутентификации.

Скрипт proof-of-concept из Rapid7 Labs позволяет пользователям проверить уязвимость к CVE-2026-0257 путем подделки аутентификационных cookies.

Организациям рекомендуется применять соответствующие обновления от Palo Alto Networks и использовать такие инструменты, как Exposure Command, InsightVM и Nexpose, для оценки уязвимостей.

#ParsedReport #CompletenessHigh
30-05-2026

Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks in Thousands of Compromised Sites

https://www.silentpush.com/blog/drivesurge/

Report completeness: High

Actors/Campaigns:
Drivesurge

Threats:
Clickfix_technique
Socgholish_loader

Victims:
Professional services, Healthcare, Business organizations, Local organizations

Industry:
Healthcare, Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.004, T1059.007, T1070.004, T1105, T1140, T1189, T1204.004, have more...

IOCs:
Domain: 15
File: 21
IP: 2
Url: 12
Hash: 6
Email: 2

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex Browser, Vivaldi, Mozilla Firefox, Firefox, WordPress, macOS, curl, have more...

Algorithms:
base64, zip, sha256

Functions:
atob

Languages:
php, javascript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DriveSurge — это продвинутый брокер первоначального доступа (IAB), использующий автоматизацию для доставки ВПО через атаки FakeUpdate и ClickFix. Работая по модели Pay-Per-Install, он компрометирует легитимные веб-сайты для перенаправления пользователей на вредоносные payloads, применяя такие инструменты, как open-source Система распределения трафика (TDS) zTDS для профилирования посетителей и доставки ВПО. Их техники включают социальную инженерию для обмана пользователей с целью выполнения вредоносных команд, в то время как их ВПО использует сильную обфускацию для таргетинга на конкретные операционные системы и манипуляции с пользовательскими вводами.
-----

DriveSurge — это новый, сложный злоумышленник, идентифицированный как специализированный брокер первоначального доступа (IAB), занимающийся автоматизацией доставки ВПО с использованием таких техник, как атаки ClickFix и FakeUpdate. Сообщается, что этот актор работает по модели Pay-Per-Install (PPI), компрометируя тысячи легитимных веб-сайтов для перенаправления пользователей на вредоносные payloads без их ведома. DriveSurge в основном использует открытую Систему распределения трафика (TDS) под названием zTDS для перехвата этих веб-сайтов, запуская скрытый вредоносный код, который профилирует посетителей и доставляет ВПО на основе этого профилирования.

Атаки, выполняемые DriveSurge, характеризуются двумя основными методами: FakeUpdates и ClickFix. FakeUpdates маскируются под легитимные уведомления об обновлении браузеров, таких как Google Chrome и Mozilla Firefox, убеждая пользователей загрузить вредоносное ПО, замаскированное под обновления. В одном из конкретных случаев вредоносный домен предоставил поддельную страницу обновления Firefox с взломанного веб-сайта, что привело к загрузке ZIP-архива, содержащего вредоносные DLL-файлы. ClickFix использует тактики социальной инженерии, показывая поддельные сообщения об ошибках, которые инструктируют пользователей выполнять вредоносные команды в терминале или PowerShell, тем самым облегчая прямую установку вредоносного ПО.

Исследования показывают, что операции DriveSurge сильно зависят от вредоносной инфраструктуры, которую можно идентифицировать с помощью набора технических отпечатков, выявляющих различные шаблоны и конфигурации. Например, один из отпечатков включает JavaScript-файлы с уникальными идентификаторами, указывающими на скомпрометированный сайт, с которого извлекаются данные. Кроме того, закономерности в регистрации доменов свидетельствуют о приверженности к обфускации и стратегическому сокрытию операций, поскольку многие домены регистрируются с использованием временных почтовых служб.

Поведение вредоносного ПО демонстрирует продвинутые техники обфускации, позволяющие злоумышленникам беспрепятственно выполнять команды, нацеленные на конкретные операционные системы, такие как macOS, одновременно обходя обнаружение. Скрипты, внедряемые в системы жертв, содержат логику для определения операционной среды, что гарантирует контекстуальную корректность выполняемых вредоносных команд. Существуют компоненты, перехватывающие активность буфера обмена и манипулирующие вводом пользователя для дальнейшей скрытой установки ВПО.

Продолжающийся анализ со стороны специалистов по безопасности направлен на отслеживание и противодействие эволюционирующим тактикам DriveSurge. Будущие усилия по сбору разведданных будут сосредоточены на выявлении новых инфраструктурных разработок и потенциальных совместных действий с организациями, сталкивающимися с аналогичными угрозами.

#ParsedReport #CompletenessMedium
30-05-2026

Malicious npm packages abuse dependency confusion to profile developer environments

https://www.microsoft.com/en-us/security/blog/2026/05/29/33-malicious-npm-packages-abuse-dependency-confusion-profile-developer-environments/

Report completeness: Medium

Threats:
Supply_chain_technique
Capibar
Trojan:js/obfusnpmjs.sa
Trojan:js/obfusnpmjs

Victims:
Developer environments, Financial services

Industry:
Logistic, E-commerce

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 3
File: 14
Url: 6
Coin: 1
Domain: 4

Soft:
Microsoft Defender, macOS, Linux, Node.js, , Microsoft Defender for Endpoint

Algorithms:
base64

Functions:
require

Win API:
lockfile

Languages:
typescript, javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сообщено о сложной атаке на цепочку поставок, связанной с вредоносными пакетами npm, которые использовали технику путаницы зависимостей, публикуясь под псевдонимами для имитации легитимных корпоративных пространств имен. Вредоносные пакеты выполняли зашифрованный JavaScript-стаджер при установке, который проводил разведку, собирая информацию о системе, оставаясь при этом скрытым. Атака использовала техники противодействия анализу для уклонения от обнаружения и была приписана одному злоумышленнику, который эксплуатировал уязвимости в системах управления пакетами для потенциальной будущей эксплуатации.
-----

Сложная атака на цепочку поставок (Supply Chain) включала вредоносные пакеты npm, использующие технику путаницы зависимостей (dependency confusion) для выполнения зашифрованного payloadа разведки (Reconnaissance). Атака произошла 28–29 мая 2026 года, при этом один злоумышленник опубликовал вредоносные пакеты, имитирующие легитимные корпоративные пространства имен в рамках девяти организационных масштабов. Вредоносные пакеты были предназначены для загрузки и выполнения сильно зашифрованного JavaScript-стаджера, разработанного для разведки. При установке пакеты активировались автоматически через хуки жизненного цикла npm, выполняя скрипт postinstall для подключения к серверу управления (управление). JavaScript-стаджер размером около 17 КБ выполнял отпечатывание среды, захватывая системную информацию, оставаясь при этом скрытным во время установки. Флаг RECON_ONLY управлял функцией разведки, позволяя включить эксплуатацию позже со стороны сервера. Атака использовала тактики, типичные для путаницы зависимостей, такие как завышенные номера версий и имитация внутренних служб. Злоумышленник использовал преувеличенные номера версий, такие как 100.100.100, чтобы доминировать над легитимными пакетами. Стаджер реализовал техники противодействия анализу, включая проверку переменных среды CI и дедупликацию на основе кэша для избежания обнаружения. Многофазная архитектура атаки позволила провести разведку без оповещения систем безопасности, проложив путь для будущей эксплуатации. Криминалистический анализ связал вредоносные пакеты с одним и тем же оператором через общий токен аутентификации, используемый для коммуникаций с C2. Общая инфраструктура и шаблоны публикации в разных учетных записях усилили эту атрибуцию. Продукты Microsoft Defender оказались эффективными в обнаружении и блокировке этих угроз, идентифицируя и предотвращая выполнение payloadа. Рекомендуются продвинутые методы охоты для обнаружения аномального поведения Node.js и npm, исходящих соединений C2 и индикаторов вредоносных пакетов. Инцидент подчеркивает уязвимости в широко используемых системах управления пакетами и необходимость надежных мер безопасности в цепочках поставок программного обеспечения.

#ParsedReport #CompletenessHigh
27-05-2026

Exposing a Global Smishing Operation Across 19 Countries: Governments, Postal Services, and Telecoms Targeted

https://hunt.io/blog/massive-smishing-campaign-governments-postal-telecoms

Report completeness: High

Threats:
Smishing_technique
Credential_harvesting_technique
Tactical_rmm_tool
Cobalt_strike_tool
Typosquatting_technique

Victims:
Government payment portals, Postal services, Telecommunications providers, Tax authorities, Traffic police portals, Road police portals, Parcel delivery services

Industry:
Financial, Logistic, Retail, Transport, Government, E-commerce, Telco

Geo:
Ireland, Romanian, Romania, Kosovo, Asian, Moldova, Latvia, Slovenia, Albania, Germany, Bulgaria, Greece, Armenia, American, Singapore, France, Montenegro, North macedonia, Spain, United kingdom, Lithuania, Americas, Chinese, Georgia, Estonia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.007, T1204.001, T1583.001, T1583.003, T1583.006, T1656, T1660

IOCs:
File: 4
Url: 14
Domain: 56
IP: 34

Soft:
Alibaba Cloud, nginx, OpenSSH, Linux, cPanel

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружена сложная операция смишинга, направленная против правительственных порталов платежей в 19 странах, в ходе которой с использованием поддельных SMS-сообщений собирались конфиденциальные данные пользователей. В рамках кампании использовались 1 628 вредоносных URL-адресов, имеющих общий хеш метаданных, а также распределенная бэкенд-инфраструктура с 32 уникальными IP-адресами от крупных облачных провайдеров. Злоумышленники применяли убедительные шаблоны фишинга и тактики тайпсквоттинга, эксплуатируя чувство срочности в правительственных уведомлениях для вовлечения жертв.
-----

Комплексное расследование выявило сложную операцию смишинга, направленную против различных правительственных порталов оплаты в 19 странах, включая Румынию, Великобританию, США, Грецию и Болгарию. Эта нелегитимная кампания, которая привлекла внимание после сообщений о мошеннических SMS-сообщениях, имитирующих официальную румынскую платформу оплаты Ghișeul.ro в мае 2026 года, продемонстрировала трансграничную стратегию фишинга, в первую очередь направленную на получение конфиденциальной информации от пользователей. Ключевые выводы этого расследования включали выявление 1 628 вредоносных URL-адресов, связанных с операцией, все из которых имели общий хеш метаданных, что облегчило отслеживание в нескольких секторах.

Расследование выявило зависимость операции от распределенной бэкенд-инфраструктуры, состоящей из 32 уникальных IP-адресов, полученных от крупных облачных провайдеров, таких как Tencent Cloud, Alibaba Cloud и Cloudflare. Каждый провайдер обслуживал отдельные домены, что усложняло идентификацию и усилия по блокировке. Примечательно, что кампания использовала два фишинговых шаблона, разработанных на Vue.js и Bootstrap, что позволяло создавать убедительные копии легитимных сайтов, в частности Ghișeul.ro, для обмана пользователей. Путем анализа языковых паттернов и перечисления доменов расследователи выявили намеренные тактики тайпсквоттинга — использование вариаций оригинального имени домена — для эксплуатации пользователей, которые ошибочно вводили легитимный URL.

Кампания использовала срочность, связанную с правительственными уведомлениями, часто утверждая о неоплаченных штрафах или платежных обязательствах через SMS, тем самым вызывая панику среди жертв. Было замечено, что злоумышленники распространяли сообщения, требующие немедленных действий, используя аутентичность имитируемых брендов, при этом физически не подделывая доменные имена. Продвигая эти мошеннические ссылки, они направляли потенциальных жертв на сайты, предназначенные для сбора личных и финансовых данных.

Выводы также подчеркивают операционную устойчивость этой смишинговой инфраструктуры, которая включала методичное распределение по нескольким географическим регионам для повышения отказоустойчивости. Злоумышленники занимались непрерывной регистрацией доменов, что дополнительно усложняло усилия по защите от них. Последовательное использование единого 128-символьного хеша во всех фишинговых URL-адресах стало значительной ошибкой, которую команды безопасности могли бы использовать для обнаружения.

Для лиц и организаций, подвергшихся воздействию таких кампаний, были предложены тактики смягчения последствий. Пользователям рекомендовалось тщательно проверять URL-адреса и сохранять осторожность при получении правительственных сообщений через SMS, содержащих запросы личных данных или ссылок для оплаты. Специалистам по безопасности было рекомендовано отслеживать общий хеш метаданных как первичный индикатор компрометации, что могло бы предоставить информацию об активных вредоносных URL-адресах, связанных с кампанией.

#ParsedReport #CompletenessHigh
28-05-2026

APT Activity Report. Conflict-Informed Espionage: Monitoring Oil Shipments, Targeting Drone Makers

https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2025-q1-2026.pdf

Report completeness: High

Actors/Campaigns:
Quietcrabs
Negativeglimmer
Scarcruft (motivation: cyber_espionage)
Rusty_boots (motivation: cyber_espionage)
Mokhargosh (motivation: cyber_espionage)
Andariel (motivation: financially_motivated, cyber_espionage)
Dream_job (motivation: cyber_espionage)
Axios_compromise (motivation: financially_motivated)
Cryptocore
Famous_chollima
Fancy_bear
Sandworm
Ghostemperor
Lazarus
Kimsuky
Konni
Unc6619
Muddywater
Bluenoroff
Badpilot

Threats:
Philikit
Supply_chain_technique
Rook
Tiger_rat
Covenant_c2_tool
Beardshell_tool
Bitm_technique
Shadowpad
Spear-phishing_technique
Coolclient
Curlydoor
Rudegull
Mktdownloader
Spawnnant
Spawnmole
Spawnsnail
Cobalt_strike_tool
Adaptixc2_tool
Gokhargosh
Filecoder
Scoringmathtea
Blindingcan
Plain-crypto-js_tool
Wavesharper
Curlyveiltea
Vmprotect_tool
Beavertail
Ottercookie
Flexibleferret
Invisibleferret
Birdcall
Rokrat
Koalaloader
Ransomtuga
Shadowlink_tool
Zerorays
Sdelete_tool
Nikowiper
Naughtywipe
Dynowiper
Industoyer2
Evilginx_tool
Aitm_technique

Victims:
Government, Maritime affairs, Energy, Ai and robotics, Engineering and manufacturing, Defense, Drone manufacturers, Military, Logistics, Transportation, have more...

Industry:
Government, Retail, Logistic, Entertainment, Education, Energy, Financial, Healthcare, Military, Petroleum, Maritime, Telco, Foodtech, Transport, Critical_infrastructure, Ngo

Geo:
China, Middle east, New zealand, Israel, Polish, Morocco, Panama, Pakistan, Asian, United arab emirates, Korean, Poland, North korean, Sudan, Canada, Ukraine, America, Israeli, India, Arab emirates, Moscow, Venezuela, Koreans, Turkish, Syrian, Mongolian, Iraq, Dprk, Yemen, Americas, Iranian, Korea, Tehran, Ukrainian, Africa, Saudi arabia, Russian, Apac, Cambodia, Syria, Russia, Japanese, France, Mongolia, Latin america, Asia-pacific, North korea, Chinese, Egypt, Pakistani, Asia, Iran

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1340 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-26229 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6218 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-1281 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-21509 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1005, T1021.004, T1027, T1027.002, T1027.003, T1036, T1059, T1059.001, T1059.004, have more...

IOCs:
File: 32
Domain: 5
Email: 1
Url: 2
IP: 11

Soft:
Android, Ivanti, SELinux, Visual Studio, MACOSX, Microsoft Defender, Slack, Microsoft Teams, macOS, Linux, have more...

Wallets:
zcash

Crypto:
solana

Algorithms:
sha1, rc4

Win Services:
EventLog

Languages:
rust, perl, javascript, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с конца 2025 по начало 2026 года несколько злоумышленников из числа государственных акторов продемонстрировали заметные кибероперации. Китайские группы, такие как FamousSparrow и SteppeDriver, нацелились на правительственные и энергетические сектора, представляющие интерес, используя внедрение PhiliKit против устройств Ivanti VPN. Иранские акторы, такие как Rusty Boots и MoKhargosh, проявили повышенную активность с возможностями шпионажа и деструктивного воздействия, в то время как северокорейские группы, такие как Lazarus, сосредоточились на атаках на криптовалюту и цепочку поставок программного обеспечения, что подчеркивает глобально динамичный ландшафт угроз.
-----

В последнем отчете о деятельности подчеркиваются значительные киберугрозы и операции различных государственных злоумышленников в период с конца 2025 по начало 2026 года. Группы, связанные с Китаем, в частности FamousSparrow и SteppeDriver, проявили высокий уровень шпионской активности, нацеленной на правительственные и энергетические организации в контексте геополитических интересов Китая. Новый имплант под названием PhiliKit, связанный с инструментарием SPAWN, был идентифицирован как нацеленный на устройства Ivanti VPN, в то время как группа NegativeGlimmer скомпрометировала государственные структуры в Камбодже и Панаме, а также ИИ-компанию в Южной Корее, что согласуется со стратегией Китая «Made in China 2025».

Напротив, иранские угрозы, такие как Rusty Boots и MoKhargosh, продемонстрировали необычные всплески активности на фоне войны, однако это сопровождалось снижением операций со стороны устоявшихся APT, что было связано с интернет-ограничениями в Иране. Эти группы продемонстрировали как шпионские, так и деструктивные возможности: Rusty Boots использовал буткит-стиратель, а MoKhargosh применял модифицированные бинарные файлы Go для кибершпионажа, сохраняя деструктивные опции для будущего использования.

Северокорейские злоумышленники оставались активными, особенно нацеливаясь на сообщество разработчиков и сектор криптовалют. Lazarus и DeceptiveDevelopment сосредоточились на культивировании отношений с высокоценными целями, тогда как возвращение Andariel ознаменовалось развертыванием программ-вымогателей против южнокорейской инженерной фирмы, что представляет интерес из-за ее участия в технологиях, связанных с ядерной сферой. Эксплуатация популярной библиотеки axios JavaScript для публикации троянизированного кода стала еще одним значимым событием, приписываемым северокорейской группе, что подчеркивает риски в цепочках поставок программного обеспечения.

Деятельность, связанная с Россией, в первую очередь была сосредоточена на Украине, при этом такие группы, как Sednit и Sandworm, нацеливались на военные, беспилотные и логистические структуры. Sandworm усилила деструктивные операции, развернув новые программы-стиратели как против украинских целей, так и, в уникальном случае, атаку на стирание данных против энергетической компании в Польше, что сигнализирует об эскалации киберконфликта через границы.

Несколько других неидентифицированных групп злоумышленников продемонстрировали тактики, характерные для APT, такие как фишинг через браузер в браузере (browser-in-the-browser) против японского аналитического центра и развертывание шпионского ПО для Android, нацеленного на пользователей, говорящих на арабском языке. Компрометация компании по обороне в ОАЭ была достигнута за счет использования уязвимостей в SmartOffice CRM и развертывания пользовательских инструментов пост-эксплуатации.

В совокупности эти события подчеркивают картину международных киберугроз, обусловленных геополитической динамикой, и указывают на сохраняющиеся риски, создаваемые действующими в интересах государств акторами в различных регионах и секторах.

#ParsedReport #CompletenessLow
29-05-2026

ChatGPhish: The Page Is the Payload

https://permiso.io/blog/chatgpt-markdown-rendering-vulnerability

Report completeness: Low

Actors/Campaigns:
Chatgphish

Threats:
Qshing_technique

Victims:
Chatgpt users, Browser integrated summarization systems, Artificial intelligence platforms

Geo:
Kosovo

ChatGPT TTPs:
do not use without manual check
T1036, T1590.005

IOCs:
Url: 3
Domain: 1

Soft:
ChatGPT, Firefox, OpenAI

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Угроза «ChatGPhish» использует возможности суммаризации ИИ-ассистентов, позволяя злоумышленникам манипулировать выводом путем внедрения вредоносного контента через ссылки и изображения в формате Markdown. Используя автоматическую загрузку и отображение изображений по URL-адресам, злоумышленники могут собирать конфиденциальную информацию и облегчать фишинг через кажущиеся легитимными выходные данные. Эта угроза выходит за рамки любого конкретного браузера, что означает, что любая система, использующая функции суммаризации, может быть уязвимой, подчеркивая риски, связанные с контентом, сгенерированным ИИ.
-----

В анализе подробно описывается киберугроза под названием «ChatGPhish», которая использует возможности суммаризации искусственного интеллекта, такие как у ChatGPT. Основная проблема заключается в доверии, которое пользователи оказывают сгенерированным ИИ ответам, что может быть использовано для внедрения контролируемого злоумышленником контента. Такая ситуация возникает, когда пользователь запрашивает суммаризацию веб-страницы, позволяя злоумышленнику внедрить вредоносные ссылки, изображения или уведомления в вывод ассистента.

Атака осуществляется за счёт использования рендеринга ссылок и изображений в формате Markdown в интерфейсе ИИ. Ассистент автоматически загружает изображения из сторонних URL-адресов, включённых в сводный контент, что способствует утечке информации. В частности, изображения, размещённые злоумышленниками, могут фиксировать такие данные, как IP-адрес жертвы, значение User-Agent и заголовок Referer, что критически важно для профилирования потенциальных целей для последующих атак. Кроме того, вредоносные ссылки в формате Markdown отображаются без чёткого визуального отличия, создавая живые кликабельные возможности для фишинга, которые выглядят аутентично для пользователя.

В документе описываются различные сценарии, демонстрирующие реализацию подобных атак. Один из случаев включает внедрение QR-кодов, которые ведут на вредоносный контент, тем самым обходя типичные меры веб-безопасности, на которые полагаются пользователи, поскольку QR-коды не предоставляют видимых URL-адресов до сканирования. Кроме того, злоумышленники могут использовать сокращатели URL-адресов для маскировки трекерных пикселей, встроенных в изображения, обеспечивая непрерывный сбор данных каждый раз при отображении ответа.

В исследовании отмечается, что, хотя во время тестирования использовался Firefox, уязвимость не ограничивается этим браузером; любая система, интегрирующая функцию суммаризации, которая обрабатывает недоверенный контент, находится под угрозой. Этот переход от атак через электронную почту к атакам на основе браузеров значительно расширяет ландшафт потенциальных эксплойтов, подчеркивая важность бдительности во взаимодействии между пользовательскими интерфейсами и выводами ИИ.

В конечном итоге, «ChatGPhish» демонстрирует, как внедрение контролируемого злоумышленником контента может эксплуатировать воспринимаемую безопасность доверенных ИИ-систем, подчеркивая необходимость надежных механизмов безопасности для поддержания четких границ между пользовательским контентом и выводами, генерируемыми ассистентом. По мере роста использования ИИ в повседневных операциях защита от таких тактик социальной инженерии становится все более критически важной.

#ParsedReport #CompletenessHigh
28-05-2026

Greyvibe. A Russia-nexus group leveraging AI across state-aligned operations.

https://labs.withsecure.com/content/dam/labs/docs/WithSecure_GREYVIBE.pdf

Report completeness: High

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, financially_motivated)
Princessclub
Dronelink
Phantomcaptcha
Uac-0244
Ta578
Ta579
Fin12 (motivation: cyber_criminal)

Threats:
Phantomrelayv1
Phantomrelayv2
Legionrelay
Phantomrelaylite
Phantomclick_tool
Clickfix_technique
Spear-phishing_technique
Phantomrelay
Kongtuke
Fallspy
Teasoupjs
Lookvaljs
Lookvalps
Teasoup
Canfail
Zapixdesk
Smuggling_technique
Aeroadmin_tool
Xworm_rat
Supremo_tool
Rustdesk_tool
Lolbin_technique
Asyncrat
Impacket_tool
Powersploit_tool
Trickbot
Sawdust_tool
Crudedust_tool
Junk_code_technique
Amsi_bypass_technique
Dead_drop_technique
Uac_bypass_technique
Chromelevator_tool
Chisel_tool
Bloat_technique
Netsupportmanager_rat
Matanbuchus_maas
Microsoft_quick_assist_tool
Anydesk_tool
Teamviewer_tool
Xmrig_miner

Victims:
Ukraine related entities, Military, Government, Civilian entities, Business entities, Non governmental organizations, Regional government entities, Personal email accounts

Industry:
Government, Healthcare, Military, Education, Ngo, Entertainment, Energy

Geo:
Romanian, Ukrainian, Mexico, Venezuela, France, Russian, Brazil, Moscow, Guinea, Ukraine, Russia, Latvian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 73
Command: 7
Domain: 11
Email: 4
Url: 12
IP: 5

Soft:
Microsoft Teams, Zoom, Android, WebRTC, Telegram, WireGuard, WhatsApp, SoftEther, ChatGPT, visual studio, have more...

Algorithms:
xor, exhibit, base64, zip

Functions:
TaskName, TaskDesc, Write-Log, Zoom, Set-PSReadlineOption, Remove-Module, Write-Error, createImageFile, createVideoFile, taskDef, have more...

Win API:
PsEtwLogProvider, GetHostName

Win Services:
WebClient

Languages:
javascript, python, powershell

Platforms:
intel, x64, apple

YARA: Found

Links:
https://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe\_iocs.csv
https://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe.yara