#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Diamotrix — это ВПО, ориентированное на криптовалюту, выявленное в середине 2024 года, функционирующее преимущественно как Crypto Clipper, который заменяет адреса кошельков в буфере обмена на вредоносные. Оно часто развертывается вместе с другим ВПО, таким как SVCStealer и загрузчики, используя общую инфраструктуру и отраженную инъекцию DLL для мониторинга и манипуляции данными из буфера обмена. ВПО внедряет себя в процесс explorer.exe, проверяя и изменяя криптовалютные адреса с помощью регулярных выражений, а также применяет техники закрепления, такие как модификации реестра, для поддержания своего присутствия.
-----

Diamotrix — это ВПО, ориентированное на криптовалюту, классифицируемое как Crypto Clipper.

Оно заменяет адреса кошельков криптовалют в буфере обмена на заранее определённые вредоносные адреса.

Diamotrix часто разворачивается вместе с другим ВПО, таким как SVCStealer, Lumma и Rhadamanthys.

ВПО обычно распространяется через фишинговые атаки, поддельные установщики программного обеспечения или взломанные приложения.

Diamotrix действует в многоэтапных цепочках заражения, часто начиная с кряков или скомпрометированного программного обеспечения.

ВПО внедряется в процесс explorer.exe и отслеживает буфер обмена на наличие адресов криптовалюты.

Он использует отражённую инъекцию DLL и включает проверки 64-битной версии explorer.exe.

Многие образцы Diamotrix создают записи в реестре для закрепления в общих расположениях Windows.

ВПО включает механизмы повышения привилегий для уклонения от обнаружения.

Diamotrix использует регулярные выражения для динамической проверки и замены криптографических адресов в буфере обмена.

Его операционная структура разделяет компоненты с SVCStealer, что указывает на переплетенную инфраструктуру и методы эксфильтрации.

ВПО демонстрирует общие паттерны инфраструктуры среди злоумышленников, усложняя идентификацию сигнатур для специалистов по безопасности.

#ParsedReport #CompletenessLow
03-06-2026

We found this fake-invoice campaign while scammers were still building it

https://www.malwarebytes.com/blog/threat-intel/2026/06/we-found-this-fake-invoice-campaign-while-scammers-were-still-building-it

Report completeness: Low

Industry:
Retail, Financial

IOCs:
Domain: 6

#ParsedReport #CompletenessHigh
04-06-2026

From Malspam to DesckVB RAT Deployment

https://www.huntress.com/blog/malspam-to-deskcvb-rat-delivery-chain-analysis

Report completeness: High

Threats:
Desckvb
Runpe_tool
Process_injection_technique
Venomrat
Process_hollowing_technique

Victims:
Organizations

Geo:
Portuguese, German

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 29
Url: 12
Command: 9
Hash: 5
Domain: 6
Path: 1

Soft:
VirtualBox, Hyper-V, QEMU, Microsoft Defender, Internet Explorer, NET framework, Active Directory

Algorithms:
base64, 3des, pbkdf2, aes, gzip, cbc, xor, zip, sha256

Functions:
downloadFile, setupEmailAndUI, fetchLocationAndTime, vjwNvhDoHz

Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, GetThreadContext, ResumeThread, ZwUnmapViewOfSection, GetProcAddress, SetThreadContext, ReadProcessMemory, CloseHandle, have more...

Win Services:
WebClient, MBAMService, InfoPath

Languages:
powershell, javascript, jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Дистройвер DesckVB Троянская программа (RAT) использует набор вредоносных спамерских инструментов, который кастомизирует приманки в письмах с использованием конкретных логотипов компаний, одновременно маскируя свои ссылки через домен DoubleClick от Google. Цепочка заражения начинается с JavaScript-лоадера, доставляемого через malspam, который выполняется в памяти с помощью JScript и PowerShell для обхода обнаружения, и использует техники отражательной загрузки (reflective loading) и Внедрение кода в процессы, нацеленные на легитимные бинарные файлы. Его связь с C2-серверами защищена шифрованием AES, и он включает в себя меры антианализа и механизмы закрепления, что повышает его устойчивость к обнаружению и удалению.
-----

DesckVB Троянская программа (RAT) появилась в начале 2026 года, используя сложный пакет для распространения через фишинговые письма.

Набор для рассылки вредоносной почты (malspam kit) динамически настраивает приманки на основе адреса электронной почты цели, используя конкретные логотипы и информацию компаний.

Ссылки в malspam-перенаправлении проходят через домен Google DoubleClick, чтобы избежать обнаружения шлюзами безопасности электронной почты.

Процесс заражения начинается с загрузчика на основе JavaScript в минимальном HTML-вложении.

Загрузчик использует комбинацию JScript, PowerShell и компонентов .NET, в основном выполняясь в памяти для избежания обнаружения.

ВПО выполняет проверки на наличие сред песочницы и средств защиты, инициируя перезагрузку системы при обнаружении индикаторов.

Загрузчик использует PowerShell для подключения к внешнему серверу и извлечения полезной нагрузки без записи её на диск.

DesckVB RAT распространяется с использованием техник отражательной загрузки и внедрения кода в процессы, нацеленных на легитимные бинарные файлы Microsoft, такие как Утилита InstallUtil.exe и MSBuild.exe.

RAT связывается с серверами управления (C2) через необработанные TCP-сокеты, используя шифрование AES и сериализацию protobuf для сообщений.

При подключении он собирает системную информацию, включая аппаратные идентификаторы и антивирусные продукты, чтобы информировать дальнейшие действия злоумышленника.

DesckVB RAT включает меры противодействия анализу, такие как патчинг AMSI и ETW в Windows.

Обеспечивает закрепление посредством модификаций реестра и запланированных задач, сохраняя своё присутствие после попыток завершения работы.

RAT может выполнять дополнительные полезную нагрузку с помощью внедрения в пустой процесс (Process Hollowing) непосредственно в памяти.

Оно использует собственные механизмы саморазрушения для уклонения от обнаружения, завершая процессы или удаляя себя по мере необходимости.

Меры защиты включают внедрение объектов групповой политики для управления выполнением скриптов и использование протоколов безопасности электронной почты, таких как DMARC, DKIM и SPF.

Продвинутые решения песочницы могут анализировать вложения электронной почты и ссылки до взаимодействия с пользователем для повышения безопасности.

Мониторинг подозрительного выполнения скриптов или команд PowerShell может способствовать раннему обнаружению.

#ParsedReport #CompletenessHigh
04-06-2026

ReliaQuest's Agentic AI Uncovers New China-Linked Cluster OP-512

https://reliaquest.com/blog/threat-spotlight-reliaquests-agentic-ai-uncovers-new-china-linked-cluster-op-512/

Report completeness: High

Actors/Campaigns:
Op-512 (motivation: cyber_espionage, financially_motivated)
Cl-sta-0048
Ghostredirector (motivation: financially_motivated)
Dragonrank (motivation: financially_motivated)
Flax_typhoon

Threats:
Ghostkit_tool
Badpotato_tool
Sweetpotato_tool
Cobalt_strike_tool
Plugx_rat
Timestomp_technique
Meterpreter_tool
Potato_tool

Geo:
China

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 2
File: 3
IP: 3
Url: 3

Soft:
EfsPotato, NET Framework, ASP.NET

Algorithms:
base64, rc4

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кластерная группировка, связанная с Китаем, OP-512, нацелена на серверы Internet Information Services (IIS), используя сложные методы атак, в частности развертывая криптографически защищенные веб-шеллы, которые обходят обнаружение на основе сигнатур. Злоумышленники эксплуатируют устаревшие установки .NET Framework для получения доступа и поддержания контроля через закодированные DNS-запросы и различные каналы управления, демонстрируя устойчивые долгосрочные стратегии шпионажа, характерные для акторов, поддерживаемых государствами. Оперативные техники включают использование продвинутых возможностей ВПО, таких как подделка времени (timestomping), и инструментов из известных эксплойт-китов, что указывает на потенциальные общие ресурсы с предыдущими инцидентами.
-----

Выявлен новый кластер шпионажа, связанный с Китаем, OP-512, нацеленный на серверы служб информационных служб Интернета (IIS).

OP-512 развертывает уникальные веб-шеллы, защищённые криптографически, которые обходят традиционное обнаружение на основе сигнатур.

Эта группа является четвертой задокументированной китайской группировкой, атакующей серверы IIS за последний год, отличающейся продвинутым инструментарием.

Кастомный фреймворк веб-шелла включает несколько вредоносных файлов для удаленного доступа через веб-браузер.

Каждый веб-шелл уникально генерируется с использованием криптографических средств контроля для централизованного управления скомпрометированными серверами.

Атакующие проявляли закрепление в доступе к скомпрометированному серверу более 75 дней, что указывает на мотивы, связанные с государством.

Атака использовала устаревшую версию .NET Framework 4.0 на машине с Windows Server 2016 для первоначального доступа.

Векторы первоначального доступа не установлены, но подозрительные DNS-запросы были связаны с атакой.

Атакующие развернули веб-шеллы почти сразу после получения первоначального доступа и установили несколько каналов управления (C2).

Один веб-шелл может выполнять вредоносные операции с файлами и самостоятельно сообщать о своем местоположении с помощью закодированных DNS-запросов с резервным переходом на HTTP.

Фреймворк включает передовые техники, такие как подмена времени (timestomping) и различные инструменты повышения привилегий из эксплойт-китов, включая Potato Suite.

Поведение при выполнении команд из OP-512 имеет сходство с предыдущими инцидентами, связанными с Китаем, что указывает на использование общих наборов инструментов.

Организациям настоятельно рекомендуется устранить устаревшие фреймворки .NET на серверах, доступных извне.

Реализация строгой сегментации, межсетевых экранов приложений и эффективного мониторинга каталогов компиляции имеет критическое значение.

Создание правил обнаружения для уникального фреймворка веб-шелла OP-512 может повысить защиту от аналогичных угроз.

OP-512 отражает тревожную тенденцию: акторы, связанные с государствами, совершенствуют тактики с использованием сложного ВПО, обходящего традиционные средства обнаружения.

#ParsedReport #CompletenessHigh
04-06-2026

FSB’s matryoshka #3/3 – Gamaredon’s gifts that keeps unpacking – GammaSteel

https://blog.sekoia.io/fsbs-matryoshka-3-3-gamaredons-gifts-that-keeps-unpacking-gammasteel/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: information_theft, cyber_espionage)

Threats:
Gammasteel
Gammaphish
Gammaworm
Gammaload
Pteranodon
Gammawipe
Dead_drop_technique
Supply_chain_technique
Junk_code_technique
Invisimole

Victims:
Government, Military, Critical infrastructure

Industry:
Government, Military, Telco, Critical_infrastructure

Geo:
Moscow, Russian, Ukrainian, Russia, Ukraine, Crimea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1008, T1012, T1020, T1025, T1027, T1039, T1041, T1047, T1059.001, have more...

IOCs:
Registry: 5
File: 5
Command: 1
Path: 3
Url: 6
IP: 1
Domain: 3
Email: 1

Soft:
Telegram, Mac OS, Mastodon, TryCloudflare, Supabase, Windows COM, Windows registry

Algorithms:
base64, xor, zip, md5

Functions:
Get-PSDrive, Get-CimInstance, Remove-Item, Get-FileHash

Win API:
DriveType, GetTempFileName

Languages:
powershell

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, связанная с Россией группа кибершпионажа, атакует украинское правительство и инфраструктуру, используя эволюционировавший арсенал вредоносного ПО. Их недавняя нагрузка GammaSteel использует Windows Data Protection API для шифрования и работает преимущественно в памяти для скрытой эксфильтрации пользовательских документов через различные механизмы, одновременно поддерживая закрепление через скрытые процессы PowerShell. Тактика группы включает сложную обфускацию, использование легитимных платформ для управления и демонстрирует адаптивность в своих оперативных методах.
-----

Gamaredon, группа кибершпионажа, связанная с ФСБ России, специализируется на продвинутых и длительных атаках, нацеленных на сети украинского правительства, военных и критической инфраструктуры. Группа эволюционировала свой арсенал ВПО на протяжении более чем десятилетия, внедряя различные соглашения об именах и модульные техники. Их подход использует легитимные функции Windows и платформы, такие как Телеграм и Cloudflare, для поддержания скрытности, обеспечивая минимальные следы на скомпрометированных системах.

Недавняя полезная нагрузка GammaSteel демонстрирует их метод, работающий преимущественно в памяти с использованием Windows Data Protection API (DPAPI) для шифрования функций, хранящихся в реестре HKCU Printers. Этот стиллер предназначен для эксфильтрации пользовательских документов через три механизма: сканирование локальных и сетевых дисков, мониторинг активности USB-устройств и отслеживание изменений в реальном времени в файлах, над которыми ведется работа. Функция-оркестратор управляет этими механизмами, обеспечивая непрерывный надзор и поддерживая закрепление путем создания скрытого процесса PowerShell.

Процессы сбора данных тонко настроены для избежания обнаружения и максимизации эффективности. Стиллер использует дедупликацию для снижения сетевого шума и загружает украденные данные в легитимное облачное хранилище, возвращаясь к серверам, контролируемым оператором, если это необходимо. Как основной метод, так и резервные каналы обеспечивают двунаправленную связь, позволяя злоумышленнику выполнять удаленный код после успешной передачи данных.

Gamaredon внес заметные изменения в тактику, особенно в отношении использования DPAPI для шифрования функций ВПО, что перекликается с методологиями, применяемыми в предыдущих операциях, связанных с ФСБ, таких как InvisiMole. Их использование Dead Drop Resolvers (DDRs) и легитимных облачных платформ для инфраструктуры управления (C2) демонстрирует значительную приверженность обеспечению операционной устойчивости и уклонению от механизмов обнаружения.

Опора группы на техники обфускации усложняет усилия по реверс-инжинирингу, поскольку их код VBScript содержит массивную подложку и изменения переменных для сокрытия функциональности. Этот путь заражения интегрирует множество слоев, включая хранение ВПО в реестре Windows и использование Альтернативных потоков данных, демонстрируя уровень сложности, направленный на обход мер безопасности.

#ParsedReport #CompletenessMedium
04-06-2026

Miasma npm Supply Chain Attack: Self-Spreading Worm via Phantom Gyp

https://www.stepsecurity.io/blog/binding-gyp-npm-supply-chain-attack-spreads-like-worm

Report completeness: Medium

Threats:
Supply_chain_technique
Phantom_gyp_technique
Miasma
Blight_botnet
Shai-hulud
Dead_drop_technique
Credential_harvesting_technique

Victims:
Software development, Open source package ecosystem, Continuous integration and continuous delivery environments, Cloud services, Ai coding assistants

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1059.006, T1059.007, T1083, T1087, T1102.001, T1105, T1140, T1195.001, have more...

IOCs:
File: 8
Email: 1
Hash: 7

Soft:
sudo, Node.js, 1Password, TanStack, Anthropic Claude, Claude, Visual Studio Code, curl, HashiCorp Vault, Kubernetes, have more...

Algorithms:
base64, sha256, zip

Functions:
eval, createCommitOnBranch

Win API:
lockfile

Languages:
python, javascript, ruby

Links:
have more...
https://github.com/jagreehal/autotel/issues/197
https://github.com/jagreehal/ai-sdk-ollama/issues/975
https://github.com/liuende501?tab=repositories

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
04-06-2026

Bait for the Commander: Examining SiribClone cyber spy group's attacks on the Russian military

https://www.f6.ru/blog/siribclone/

Report completeness: High

Actors/Campaigns:
Siribclone (motivation: cyber_criminal, cyber_espionage)

Threats:
Rclone_tool
Siribgrabber
Safelovestealer

Victims:
Russian armed forces, Military personnel, Russian users

Industry:
Military

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.008, T1056.003, T1059.001, T1070.004, T1105, T1111, T1550.001, T1566.002, have more...

IOCs:
File: 13
Url: 12
Domain: 33
Path: 2
IP: 5
Hash: 15

Soft:
Telegram, Android

Algorithms:
cbc, sha1, aes, base64

Functions:
Down

Win API:
LoadLibrary

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа кибершпионажа SiribClone, активная с конца 2025 года, нацелена на Вооруженные Силы России, используя передовые методы социальной инженерии и распространения ВПО. Они развертывают вредоносное ПО SiribGrabber, которое выполняется через PowerShell как .NET-сборка для эксфильтрации файлов с использованием rclone, а также шпионское ПО SafeLoveStealer через APK-файлы для сбора конфиденциальных данных. Их тактики включают фишинг через поддельные профили в Социальных сетях, подталкивая жертв к вредоносным ссылкам, которые собирают учетные данные, что подчеркивает постоянную угрозу кибербезопасности военных.
-----

Группа кибершпионажа SiribClone стала серьезной угрозой, нацеленной на военнослужащих российских вооруженных сил с помощью сложных методов социальной инженерии и распространения вредоносного ПО. Выявленная экспертами по кибербезопасности из F6 Threat Intelligence в начале 2026 года, группа действует как минимум с декабря 2025 года. Их первоначальная фишинговая деятельность, направленная против военнослужащих, началась летом 2025 года с использованием таких платформ, как Telegram и защищенные приложения для обмена фотографиями, чтобы заманить жертв.

В основе операций SiribClone лежат вредоносные инструменты, которые они развертывают, в частности, вредоносное ПО SiribGrabber и шпионское ПО SafeLoveStealer. SiribGrabber, реализованный с помощью скриптов PowerShell и разработанный как сборка .NET, предназначен для эксфильтрации файлов с скомпрометированных систем с использованием rclone — утилиты командной строки для управления облачными хранилищами. Он проверяет локальные каталоги на наличие существующих экземпляров rclone и, если они отсутствуют, загружает необходимые компоненты для установления соединений между зараженным хостом и облачной средой атакующего. Это вредоносное ПО дополнительно реализует проверки по черному списку, который завершает его выполнение, если идентификатор машины найден, что дополнительно указывает на стратегию целевого воздействия.

Еще один инструмент, SafeLoveStealer, классифицируемый как шпионское ПО, распространялся в виде APK-файлов. Он собирает конфиденциальные данные и поддерживает белый список идентификаторов пользователей, что демонстрирует методичный подход группы к сбору данных. Группа использует техники социальной инженерии, маскируясь под привлекательных людей на платформах знакомств, чтобы начать разговоры и в конечном итоге обманом заставить военных сотрудников перейти по вредоносным ссылкам. Эти ссылки часто перенаправляют пользователей на фишинговые сайты, предназначенные для сбора учетных данных для входа в Телеграм и кодов двухфакторной аутентификации, что позволяет злоумышленникам получать несанкционированный доступ к учетным записям пользователей.

Сетевая инфраструктура, используемая SiribClone, включает несколько серверов управления (C2), с конкретными IP-адресами, связанными с фишинг-операциями. Группа использовала эти технологии для реализации различных кампаний социальной инженерии, включая веб-страницы, которые обманом заставляют пользователей вводить личные данные под предлогами вроде тестирования приложений или ложных облачных сервисов.

При анализе технологических возможностей группы продолжающиеся угрозы указываются через их адаптивность и непрерывное развитие их ВПО, даже после периодов бездействия. Операции группы SiribClone отражают сфокусированную шпионскую инициативу, направленную на получение конфиденциальной военной информации через разнообразные векторы атак, включая мобильное шпионское ПО, обманные каналы связи и настойчивые фишинг тактики. Их деятельность подчеркивает постоянную киберугрозу, нацеленную на российских военных, иллюстрируя продолжающиеся вызовы в области кибербезопасности для чувствительных государственных секторов.

#ParsedReport #CompletenessLow
04-06-2026

The Job Hunt Trap: Unmasking the PUMA Careers Phishing Campaign

https://www.cyberproof.com/blog/the-job-hunt-trap-unmasking-the-puma-careers-phishing-campaign/

Report completeness: Low

Actors/Campaigns:
Puma_careers

Threats:
Credential_harvesting_technique
Typosquatting_technique

Victims:
Job seekers, Recruitment candidates

ChatGPT TTPs:
do not use without manual check
T1056.007, T1566.002, T1583.001, T1587.002, T1589, T1593.001

IOCs:
Domain: 2
Email: 1

Languages:
php