#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники вели пятимесячную кампанию шпионажа, нацеленную на учетную запись эл. почты высокопоставленного руководителя глобальной фондовой биржи, успешно похитив внутренние данные с использованием сложного подхода, включавшего эксфильтрацию данных через Dropbox и OneDrive. Они эксплуатировали скомпрометированные бинарные файлы, работающие с привилегиями SYSTEM, и использовали почтовый стиллер на базе Aspose для преобразования и извлечения данных Outlook, избегая обнаружения. Операция продемонстрировала высокий уровень дисциплины, при этом злоумышленники применяли различные техники закрепления и легитимные облачные сервисы для поддержания скрытого долгосрочного доступа к конфиденциальной информации.
-----

Неизвестные злоумышленники провели пятимесячную шпионскую кампанию, нацеленную на учетную запись эл. почты старшего руководителя глобальной фондовой биржи.

Из почтового ящика Outlook руководителя было похищено значительное количество информации, что подчеркивает ценность таких учетных записей для получения конфиденциальных разведывательных данных.

Злоумышленники инкрементально похищали данные, используя Dropbox и OneDrive Personal, чтобы избежать обнаружения.

Первоначальный вектор заражения не установлен; однако два бинарных файла (armsvc.exe и oneservice.exe) функционировали с привилегиями SYSTEM к 10 октября 2025 года.

Эти бинарные файлы были замаскированы в легитимных путях приложений, что указывает на то, что повышение привилегий было достигнуто быстро.

12 ноября злоумышленники завершили рукопожатие OAuth для получения токена API Dropbox, предназначенного для непрерывной загрузки и выгрузки данных.

О наличии одного постоянного приложения Dropbox свидетельствовало последовательное повторное использование одного и того же client_id и client_secret в ходе операций.

Основным инструментом, использованным злоумышленниками, стал стиллер почтовых ящиков на базе Aspose, который конвертировал файлы OST Outlook в формат PST с использованием легитимной библиотеки Aspose .NET.

Стиллер был замаскирован под innocuous file extensions и выполнен с параметрами для password protection и date ranges, что позволяло осуществлять систематическое кражу без предупреждения security software.

За пять месяцев было выполнено ещё восемь запусков извлечения, в результате которых был собран полный репозиторий электронной почты руководителя.

К концу ноября 2025 года каналы эксфильтрации были расширены за счёт OneDrive Personal, а для обхода DNS-логирования использовались жёстко закодированные IP-адреса Microsoft.

Наблюдалась краткая попытка использования публичного сервиса временного размещения файлов для эксфильтрации, однако она не была продолжена.

Злоумышленники внедрили различные механизмы закрепления, такие как регистрация изменённой службы синхронизации OneDrive для поддержания доступа.

Кампания продемонстрировала оперативную дисциплину, направленную на продолжительное и незаметное похищение почтового ящика одного руководителя.

Легитимные облачные сервисы использовались для эксфильтрации данных, что минимизировало след злоумышленников.

Операция подчеркивает постоянную угрозу конфиденциальным данным организаций через целевое использование учетных записей эл. почты.

#ParsedReport #CompletenessMedium
03-06-2026

Analysis of the APT-C-26 (Lazarus) group's attack operations using CVE-2025-55182 with Copperhedge components

https://www.ctfiot.com/309562.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Copperhedge
Uac_bypass_technique
Volgmer
React2shell_vuln
Etherrat

Victims:
Financial institutions, Cryptocurrency exchanges, Blockchain related infrastructure, Blockchain industry

Industry:
Financial

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1033, T1036, T1071.001, T1082, T1105, T1132.001, T1140, T1190, T1218.011, have more...

IOCs:
File: 5
Hash: 14
Url: 1
IP: 1

Soft:
WeChat

Algorithms:
chacha20, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-C-26 (Lazarus) нацелена на финансовые учреждения и криптовалютные биржи, используя передовые методы, такие как фишинг, ВПО-вымогатели и эксплуатация уязвимости CVE-2025-55182 в React для несанкционированного Удаленного Выполнения Кода. Они используют такие инструменты, как MultiRelay для перемещения внутри компании и Akagi64 для обхода UAC, развертывая вредоносное ПО Copperhedge, RAT, которое обеспечивает эксфильтрацию данных и контроль над системой, применяя при этом сложные методы шифрования, такие как ChaCha20-XOR. Операции группы демонстрируют фокус на скрытности и сборе разведывательных данных в секторе блокчейна.
-----

Группа APT-C-26 (Lazarus) известна своими постоянными сложными операциями кибератак, нацеленными преимущественно на финансовые учреждения и криптовалютные биржи. Используя передовые методы, такие как фишинг, программное-вымогательство и прямые киберпроникновения, группа стремится не только к финансовой выгоде, но и проводит масштабные операции по сбору разведданных. Недавняя активность продемонстрировала использование группой уязвимости CVE-2025-55182, представляющей собой ошибку небезопасной десериализации в React Codebase, для выполнения несанкционированного удаленного кода с помощью одного HTTP-запроса.

CVE-2025-55182 затрагивает React версии 19.x и фреймворки, построенные на его основе, такие как Next.js. Группа использовала несколько вредоносных инструментов вместе с этой уязвимостью, включая MultiRelay — инструмент для перемещения внутри компании во внутренних сетях, и Akagi64, который позволяет обходить контроль учётных записей пользователей Windows (UAC) для повышения привилегий. Группа Lazarus объединяет эти компоненты в исполняемый файл Windows, предназначенный для получения первоначального доступа к целевым инфраструктурам.

Процесс эксплуатации начинается с того, что злоумышленник сканирует цели, используя составленный список файлов, и использует уязвимость CVE-2025-55182 для проникновения. Оказавшись внутри сети, обход UAC позволяет развернуть ВПО Copperhedge. ВПО Copperhedge, входящее в семейство Manuscrypt, является инструментом удаленного доступа (RAT), который обеспечивает эксфильтрацию данных и контроль над системой. Его загрузчик маскирует свою функциональность, скрывая информацию о версии файла, что усложняет обнаружение системами безопасности.

Загрузчик Copperhedge использует циклический алгоритм шифрования для шифрования и расшифровки данных, обрабатывая при этом значительный объем информации. При запуске он создает мьютекс для предотвращения повторного выполнения и собирает критически важную системную информацию. Взаимодействие с серверами управления (управление) использует структуру, при которой вредоносное ПО отправляет закодированные HTTP-запросы и обрабатывает ответы через процесс обратной расшифровки. Это включает шифрование ChaCha20-XOR для обеспечения безопасности данных, что подчеркивает акцент группы на скрытности и уклонении от обнаружения.

Отмечалось, что группа Lazarus также использовала уязвимость React2Shell (CVE-2025-55182) для развертывания компонента EtherRAT в рамках косвенной атаки на блокчейн-сектор. Учитывая исторический контекст, технические детали уязвимостей, применяемые методологии и целевые отрасли, можно с уверенностью заключить, что эти недавние операции, а также связанные с ними инструменты и тактики действительно принадлежат группе Lazarus.

#ParsedReport #CompletenessHigh
03-06-2026

FSB’s matryoshka #2/3 – Gamaredon’s gifts that keeps unpacking – GammaLoad

https://blog.sekoia.io/fsbs-matryoshka-2-3-gamaredons-gifts-that-keeps-unpacking-gammaload/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)

Threats:
Gammaload
Gammaphish
Gammaworm
Gammasteel
Pteranodon
Gammawipe
Dead_drop_technique
Bitsadmin_tool

Victims:
Government, Military, Critical infrastructure

Industry:
Military, Government, Critical_infrastructure

Geo:
Ukraine, Russia, Russian, Ukrainian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036.004, T1053.005, T1059.001, T1059.005, T1071.001, T1082, T1091, T1102.001, have more...

IOCs:
Registry: 3
Hash: 3
Url: 8
IP: 2
Domain: 1
File: 1
Command: 1
Email: 1

Soft:
Telegram, Windows registry

Algorithms:
xor, md5, base64

Functions:
ExecuteGlobal

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon — российская кибершпионская группа, связанная с ФСБ, проводит целевые атаки против украинских организаций с использованием передовых методов вредоносного ПО. Их метод заражения включает использование многослойных загрузчиков на VBScript, в частности GammaLoad, которые обеспечивают скрытую доставку полезной нагрузки и коммуникацию с командным центром, маскируя свою деятельность. Вредоносное ПО использует легитимные функции Windows и может перехватывать документы, обеспечивая постоянное выполнение через планировщик задач и процедуры в памяти для эксфильтрации данных с помощью финальной полезной нагрузки GammaSteel.
-----

Gamaredon — это группа кибершпионажа, связанная с ФСБ России, известная проведением длительных и настойчивых операций вторжения, в основном направленных против украинского правительства, военных и критической инфраструктуры. В настоящее время она остается активной и продолжает совершенствовать свой арсенал ВПО. Их операции характеризуются использованием фоновых механизмов, скрывающих их деятельность, таких как использование легитимных функций Windows и доверенных платформ, например, Телеграм, что минимизирует обнаружение и позволяет ВПО распространяться по изолированным сетям через зараженные USB-накопители. Кроме того, ВПО способно перехватывать документы в различных состояниях — будь то сохраненные, передаваемые или активно редактируемые. Эту возможность обеспечивает структура бэкдора, которая не только позволяет управление, но и обеспечивает развертывание дополнительных полезной нагрузки.

Недавний анализ команды Sekoia.io по обнаружению угроз и исследованиям (TDR) был сосредоточен на определенном компоненте вредоносного ПО под названием GammaLoad, который представляет собой серию загрузчиков на VBScript, обеспечивающих доставку и выполнение финального полезного груза GammaSteel. GammaLoad функционирует через многослойный процесс заражения, где загрузчики размещают дополнительные загрузчики, усиливая свою скрытность и закрепление. Первый этап выполняет идентификацию хоста и использует метод резервного переключения для подключения к серверу управления (управление), проверяя ранее кэшированные URL-адреса перед тем, как вернуться к легитимным службам для получения последующих полезных грузов.

В ходе исследования стало очевидно, что GammaLoad хранит свою конфигурацию C2 в реестре Windows, что позволяет ему возобновлять связь после выполнения. Выявленный первый этап создает комплексную структуру HTTP-запроса, предназначенную для имитации легитимного трафика, дополнительно маскируя свое присутствие. В случае успеха он выполняет следующий этап в памяти, а в случае неудачи ищет новые URL-адреса C2, обновляя значения в реестре по мере необходимости.

Второй этап работает как дроппер, который использует кодировку Base64 и внедряет полезную нагрузку в Альтернативные потоки данных (ADS) во временных файлах системы. Этот дроппер дополнительно включает планировщик задач, который обеспечивает периодическое выполнение полезной нагрузки, укрепляя закрепление инфекции и способность оставаться незамеченной. Третий этап, который был идентифицирован как загрузчик PowerShell, выполняет зашифрованные команды через скрытые процессы, позволяя выполнить финальную полезную нагрузку GammaSteel в памяти, дополнительно эксфильтруя информацию как стиллер.

#ParsedReport #CompletenessMedium
03-06-2026

New Mac stealer SHub Reaper is spoofing Apple, Google, and Microsoft

https://moonlock.com/mac-stealer-shub-reaper

Report completeness: Medium

Threats:
Reaper
Clickfix_technique
Shubstealer
Typosquatting_technique
Amos_stealer

Victims:
Macos users, Cryptocurrency wallet users, Business users, Financial users

Industry:
Financial

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1036.005, T1041, T1056, T1059.002, T1059.004, T1071.001, T1083, T1105, have more...

IOCs:
Domain: 1
Url: 1

Soft:
macOS, WeChat, Telegram, Chrome, Firefox, Opera, Vivaldi, Ledger Live, curl

Wallets:
exodus_wallet, electrum, trezor

Algorithms:
base64, zip

Win API:
Arc

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SHub Reaper нацелено на пользователей macOS, используя обманные методы распространения, в частности через технику ClickFix, которая внедряет вредоносные скрипты в поддельные веб-страницы. Это вредоносное ПО способно красть данные, включая криптовалюту, путем модификации легитимных приложений, а не создания поддельных. Кроме того, Reaper может проверять определенные настройки клавиатуры, запрашивать системные пароли и устанавливать закрепление через бэкдоры, что обеспечивает постоянный доступ к скомпрометированным системам при одновременной эксфильтрации конфиденциальной информации.
-----

ВПО SHub Reaper появилось как новая угроза для пользователей macOS, использующая обманные тактики для распространения и выполнения вредоносного кода. Эта кампания является третьей за два месяца и применяет новый автоматизированный метод распространения под названием ClickFix, который затрудняет распознавание атаки пользователями. Злоумышленники наблюдались в подделке легитимных приложений, таких как WeChat и Miro, через поддельные веб-сайты для распространения вредоносного ПО. Большинство этих сайтов обмана недоступны; однако их способность создавать новые, похожие сайты держит пользователей в уязвимом положении.

В подходе ClickFix злоумышленники упрощают процесс установки, внедряя вредоносный код непосредственно в кнопку на поддельной веб-странице. При нажатии этой кнопки автоматически открывается Script Editor на компьютере Mac, предварительно загруженный вредоносным скриптом. Такая конструкция использует доверенный внешний вид Script Editor для обхода внимания пользователей, облегчая многоэтапную атаку, которая завершается кражей конфиденциальных данных, включая криптовалюту.

Вариант Reaper семейства SHub внедряет расширенные возможности, такие как проверка конфигураций клавиатуры для выявления настроек русского языка, что может привести к остановке операций при обнаружении такой конфигурации. Вредоносное ПО запрашивает у пользователей поддельный системный пароль, что дополнительно позволяет ему получать доступ к критически важным ресурсам Mac. Теперь оно включает функции, заимствованные из крадущего ПО AMOS, расширяя охват на дополнительные браузеры (Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Orion) и нацеливаясь на конкретные настольные криптовалютные кошельки, такие как Exodus и Ledger Live. Вместо создания поддельных кошельков Reaper модифицирует код легитимных приложений для извлечения криптовалюты непосредственно из учетных записей пользователей.

Собрав данные, такие как документы и финансовые файлы (нацеливаясь на известные форматы, такие как .docx, .xls, .csv и т. д.), Reaper упаковывает эту информацию и связывается с сервером управления (C2) для эксфильтрации украденных данных. Он также устанавливает закрепление через бэкдоры, замаскированные под легитимные ресурсы обновления Google, тем самым обеспечивая постоянный доступ к зараженным системам.

#ParsedReport #CompletenessMedium
03-06-2026

The HazyBeacon Protocol – How Malware Weaponizes Amazon Web Services (AWS) Lambda Function URLs

https://blog.qualys.com/qualys-insights/2026/06/02/hazybeacon-aws-lambda-function-url-command-control-abuse

Report completeness: Medium

Actors/Campaigns:
Cl-sta-1020

Threats:
Hazybeacon
Stealthc2_tool

Victims:
Government, Development teams, Smaller organizations, Southeast asia

Industry:
Government

Geo:
Asian

TTPs:
Tactics: 5
Technics: 5

Soft:
Node.js, Kubernetes

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая функции AWS Lambda Function URLs без аутентификации для скрытых операций управления. Злоумышленники эксплуатируют скомпрометированные учетные записи AWS и украденные учетные данные IAM для развертывания легких функций Lambda, которые ретранслируют коммуникации ВПО как легитимный трафик, усложняя усилия по обнаружению. Этот подход переносит инфраструктуру управления с традиционных серверов на облачные ресурсы, эффективно маскируя вредоносную деятельность и делая традиционные средства защиты неэффективными.
-----

HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая URL-адреса функций AWS Lambda, настроенные без аутентификации, в качестве скрытого механизма управления (C2). Эта модель атаки позволяет злоумышленникам использовать скомпрометированные учетные записи AWS, применяя украденные учетные данные IAM для развертывания легких функций Lambda. Эти функции действуют как посредники, пересылая коммуникации ВПО через доверенную инфраструктуру AWS, маскируя вредоносную активность под легитимный трафик.

Кампания HazyBeacon демонстрирует значительный сдвиг в инфраструктуре C2 от традиционных серверов к облачным ресурсам. Перенаправляя коммуникации вредоносного ПО через функции Lambda, размещенные на инфраструктуре Amazon, злоумышленники затрудняют для средств безопасности выявление и блокировку вредоносной активности, поскольку трафик выглядит как стандартные HTTPS-запросы к доверенному облачному сервису. Это делает традиционные стратегии защиты, основанные на видимости конечных точек и сетевой репутации, в значительной степени неэффективными.

В данном подходе злоумышленники осуществляют компрометацию облачных сред путем кражи учетных данных, которые могут поступать из различных источников, таких как публичные Репозитории кода, фишинг-атаки или неправильно настроенные параметры хранения. Получив доступ, злоумышленники развертывают функции Lambda с использованием легитимных API AWS, используя для полезной нагрузки имена, не вызывающие подозрений, чтобы избежать обнаружения. Конфигурация таких функций часто включает параметр AuthType со значением NONE, что создает публичные конечные точки, которые по своей природе получают доверие, связанное с доменами AWS.

После развертывания функции Lambda обеспечивают надежный и устойчивый канал команд, обрабатывая множество запросов и бесшовно сливаясь с нормальными шаблонами сетевого трафика. Такая конфигурация усложняет атрибуцию, поскольку жертвы вредоносного ПО наблюдают трафик, исходящий из легитимных ресурсов AWS, часто оставаясь в неведении относительно своего скомпрометированного состояния до тех пор, пока не столкнутся с неожиданным счетом или уведомлением об использовании ресурсов.

Для смягчения подобных угроз организациям необходимо сосредоточиться на усилении управления идентификацией и доступом (IAM) в своих облачных средах. Ключевые стратегии включают обеспечение строгого контроля над учетными данными IAM, такие как регулярная ротация ключей доступа, применение многофакторной аутентификации и отключение неиспользуемых ключей. Кроме того, развертывание инфраструктуры внутри виртуальных частных облаков (VPC) может помочь отслеживать и выявлять необычное поведение, похожее на прокси, обеспечивая лучшую видимость коммуникаций.

В заключение, кампания HazyBeacon демонстрирует риски, связанные с современными облачными архитектурами, когда управление идентификацией и управление конфигурацией недостаточны. Понимая и устраняя уязвимости в облачной идентификации и поведении, организации могут лучше защищаться от превращения легитимной облачной инфраструктуры в оперативные командные центры для киберугроз.

#ParsedReport #CompletenessMedium
03-06-2026

Error 524 Decoy: Unmasking a Global Smishing Operation Hiding Behind Error Pages

https://www.group-ib.com/blog/error-524-decoy-smishing/

Report completeness: Medium

Actors/Campaigns:
Error524

Threats:
Smishing_technique
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Telecommunications, Financial services, Consumer rewards programs, Government, Logistics

Industry:
Financial, Government, Telco, Retail, Education, Logistic

Geo:
America, Latam, Chile, Chinese, Australia, Apac, Latin america, Mexico, American, Asian, Netherlands, Colombia, Germany

TTPs:
Tactics: 3
Technics: 11

IOCs:
IP: 7
File: 2

Soft:
Caddy, Telegram

Algorithms:
exhibit, aes-256, base64

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружена сложная операция по смишингу и фишингу, нацеленная на Латинскую Америку и 72 другие страны, в ходе которой злоумышленники имитируют более 260 брендов, преимущественно в сфере телекоммуникаций и финансов. Атакующие используют поддельные страницы ошибок Cloudflare для обмана пользователей и применяют сложные методы противодействия анализу, раскрывая фишинговый контент только для определенных геолокаций и мобильных устройств, одновременно собирая конфиденциальную информацию о кредитных картах через зашифрованные одностраничные приложения (Single Page Applications). Кампания демонстрирует быструю смену доменов и использует такие фреймворки, как Vue.js, что значительно усиливает ее тактику уклонения от обнаружения.
-----

Исследователи Group-IB выявили сложную операцию смишинга и фишинга, которая активна с середины 2025 года и в первую очередь нацелена на Латинскую Америку, но также охватывает 72 страны. Эта кампания имитирует более 260 брендов в нескольких секторах, преимущественно телекоммуникациях и финансовых услугах, используя поддельные страницы ошибок Cloudflare для маскировки вредоносной деятельности. Операция сосредоточена на эксплуатации регионов со слабыми средствами защиты от подделки SMS, особенно в таких странах, как Мексика, Чили и Колумбия, где зарегистрировано значительное количество фишинговых доменов.

Атакующие используют сложную, многоуровневую архитектуру уклонения от анализа, которая опирается на имитацию легитимных страниц ошибок Cloudflare — в частности, сообщения об ошибке 524 (тайм-аут). Эта тактика приманки разработана стратегически: только жертвы, соответствующие определенным критериям геолокации и использования мобильных устройств, получают доступ к реальному фишинговому контенту. Фишинговая инфраструктура включает множество обфусцированных одностраничных приложений (SPA) и использует эксфильтрацию данных в реальном времени через зашифрованные каналы WebSocket. Group-IB выявила 4 389 фишинговых доменов, при этом около 30% инфраструктуры размещено на серверах Tencent Cloud и Alibaba, скрытых за сервисами Cloudflare для усложнения усилий по их блокировке.

При переходе по фишинговой ссылке нетаргетированные пользователи видят поддельную страницу ошибки, не содержащую вредоносных элементов, что позволяет избежать обнаружения системами безопасности. В то же время целевые пользователи перенаправляются на оптимизированное одностраничное приложение (SPA), которое собирает данные банковской карты, такие как номер карты, срок действия и CVV, при минимальной проверке. Этот метод максимизирует количество успешных отправок данных без вовлечения длительных процедур авторизации со стороны банков.

Кампания использует комбинацию поведенческого анализа и сложных веб-технологий, применяя такие фреймворки, как Vue.js, для обеспечения функциональности на стороне клиента, а также применяя обфускацию кода для предотвращения анализа. Её операционная инфраструктура характеризуется быстрой сменой доменов, при этом используются недорогие домены верхнего уровня (TLD), имитирующие названия брендов, что позволяет злоумышленникам оперативно заменять домены, заблокированные или удаленные.

По мере развития и сохранения этой операции она представляет значительные угрозы, особенно в средах, где потребительское доверие имеет первостепенное значение. Для противодействия таким угрозам организациям настоятельно рекомендуется принимать проактивные меры, включая интеграцию разведки угроз для раннего предупреждения о новых зарегистрированных фишинговых доменах, соответствующих установленным шаблонам, и обеспечение надежных стратегий защиты цифровых рисков. В свете факторов, позволяющих таким кампаниям смишинг процветать, повышенная осведомленность и обучение пользователей остаются критически важными для снижения рисков, связанных с атаками фишинг и смишинг.

#ParsedReport #CompletenessMedium
03-06-2026

From Token Bingo to MAX Takeover: Kali365 Operator Expands Operation Across Microsoft Outlook, Okta, Xerox DocuShare, and Other Services

https://arcticwolf.com/resources/blog/kali365-expands-into-aws-microsoft-okta-xerox-max-messenger/

Report completeness: Medium

Threats:
Kali365_tool
Device_code_phishing_technique

Victims:
Messaging platforms, Cloud services, Identity services, Document management services, Email services, Social networking services, Cloud storage services, Russian consumer internet platforms

Industry:
Government, Iot, Media

Geo:
Russia, German, China, Russian

ChatGPT TTPs:
do not use without manual check
T1056.003, T1071.001, T1078, T1102.003, T1111, T1528, T1566, T1583.006

IOCs:
Domain: 9
Url: 1
IP: 2
File: 1

Soft:
Microsoft Outlook, Okta, DocuShare, MAX Messenger, Telegram, WeChat, cPanel

Algorithms:
sha1

Functions:
fetch

Languages:
javascript

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/kali365-expands-into-aws-microsoft-okta-xerox-max-messenger

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Оператор Kali365 усилил свои возможности по предоставлению Фишинг как услуга, нацеливаясь на такие платформы, как Microsoft Outlook и MAX Messenger, через панель управления, предназначенную для захвата токенов через поддельные сайты. Используя технику фишинга с кодом устройства, злоумышленники эксплуатируют OAuth 2.0 для получения доступа к средам M365 жертв без паролей. Их хорошо структурированная инфраструктура состоит из 126 вращающихся вредоносных хостов, что позволяет осуществлять постоянный кражу учетных данных и обходить двухфакторную аутентификацию, одновременно собирая обширные данные пользователей.
-----

Оператор Kali365 расширил возможности своего сервиса фишинг как услуга (PhaaS), создав сложную фишинговую инфраструктуру, нацеленную на такие известные сервисы, как Microsoft Outlook, Okta и российские платформы, такие как MAX Messenger и Mail.ru. Наблюдается, что оператор использует живую панель управления (C2), которая обеспечивает захват токенов путем имперсонации различных легитимных сайтов. Это расширение включает фишинговую кампанию, специально разработанную для MAX Messenger, которая используется для эксплуатации пользователей с помощью поддельной тактики получения приза.

Kali365 использует уникальную технику атаки, известную как фишинг с кодом устройства, которая использует OAuth 2.0 Device Authorization Grant. Атакующий инициирует запрос на вход через вредоносное приложение и обманом заставляет жертву ввести код авторизации, что позволяет атакующему получить доступ к среде M365 жертвы без необходимости знать её пароль. Инфраструктура включает 126 вредоносных хостов, которые ротационно меняются, чтобы избежать обнаружения, демонстрируя устойчивый фокус на эксплуатации российских потребительских сервисов при сохранении существующих целей в западных корпоративных средах.

Страницы фишинга часто имитируют легитимные сайты и направляют жертв через многоступенчатый процесс для сбора конфиденциальной информации. Например, страница фишинга MAX Messenger требует от пользователей ввода их номеров телефонов, связанных с их учетными записями, под предлогом проверки приза. Этот подход не только собирает учетные данные для входа, но и обходит многофакторную аутентификацию (2FA), извлекая комплексные данные пользователя после того, как жертва завершит необходимые шаги.

Структура C2 использует механизм опроса для проверки того, были ли захвачены токены, что подчеркивает организованный подход к краже учетных данных. Отслеживание этой активности выявило конкретные IP-адреса, связанные с вредоносной инфраструктурой, раскрывая, насколько взаимосвязанными и оптимизированными стали действия оператора. Основа набора Kali365 позволяет легко развертывать и масштабировать систему, где скомпрометированные учетные записи могут быть использованы для дальнейшего распространения фишинговой схемы среди контактов, увеличивая охват угрозы.

#ParsedReport #CompletenessHigh
03-06-2026

KeyCat Stealer Uncovered: Inside a $40 Multi-Platform Infostealer with Telegram C2 and Active Staging Infrastructure

https://flare.io/learn/resources/blog/keycat-stealer-multi-platform-infostealer

Report completeness: High

Threats:
Keycat
Credential_dumping_technique
Lazagne_tool
Credential_harvesting_technique
Pxa_stealer
Dll_sideloading_technique

Victims:
Financial services, Banking, Postal services, Agriculture, Tunisia

Industry:
Financial

Geo:
Tunisia, Italian

TTPs:
Tactics: 8
Technics: 29

IOCs:
Url: 12
Domain: 2
File: 14
Command: 4
Registry: 1

Soft:
Telegram, Linux, Matkap, WordPress, Pastebin, Ubuntu, Limewire, QEMU, Windows service, ImageMagick, have more...

Algorithms:
zip, md5

Functions:
anti_debug, setsid, Send_telegram, send_flle, install_persistence, hide_process, become_daemon

Win API:
sendMessage, gethostname

Languages:
powershell, python

Platforms:
cross-platform