#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кластерная группировка, связанная с Китаем, OP-512, нацелена на серверы Internet Information Services (IIS), используя сложные методы атак, в частности развертывая криптографически защищенные веб-шеллы, которые обходят обнаружение на основе сигнатур. Злоумышленники эксплуатируют устаревшие установки .NET Framework для получения доступа и поддержания контроля через закодированные DNS-запросы и различные каналы управления, демонстрируя устойчивые долгосрочные стратегии шпионажа, характерные для акторов, поддерживаемых государствами. Оперативные техники включают использование продвинутых возможностей ВПО, таких как подделка времени (timestomping), и инструментов из известных эксплойт-китов, что указывает на потенциальные общие ресурсы с предыдущими инцидентами.
-----

Выявлен новый кластер шпионажа, связанный с Китаем, OP-512, нацеленный на серверы служб информационных служб Интернета (IIS).

OP-512 развертывает уникальные веб-шеллы, защищённые криптографически, которые обходят традиционное обнаружение на основе сигнатур.

Эта группа является четвертой задокументированной китайской группировкой, атакующей серверы IIS за последний год, отличающейся продвинутым инструментарием.

Кастомный фреймворк веб-шелла включает несколько вредоносных файлов для удаленного доступа через веб-браузер.

Каждый веб-шелл уникально генерируется с использованием криптографических средств контроля для централизованного управления скомпрометированными серверами.

Атакующие проявляли закрепление в доступе к скомпрометированному серверу более 75 дней, что указывает на мотивы, связанные с государством.

Атака использовала устаревшую версию .NET Framework 4.0 на машине с Windows Server 2016 для первоначального доступа.

Векторы первоначального доступа не установлены, но подозрительные DNS-запросы были связаны с атакой.

Атакующие развернули веб-шеллы почти сразу после получения первоначального доступа и установили несколько каналов управления (C2).

Один веб-шелл может выполнять вредоносные операции с файлами и самостоятельно сообщать о своем местоположении с помощью закодированных DNS-запросов с резервным переходом на HTTP.

Фреймворк включает передовые техники, такие как подмена времени (timestomping) и различные инструменты повышения привилегий из эксплойт-китов, включая Potato Suite.

Поведение при выполнении команд из OP-512 имеет сходство с предыдущими инцидентами, связанными с Китаем, что указывает на использование общих наборов инструментов.

Организациям настоятельно рекомендуется устранить устаревшие фреймворки .NET на серверах, доступных извне.

Реализация строгой сегментации, межсетевых экранов приложений и эффективного мониторинга каталогов компиляции имеет критическое значение.

Создание правил обнаружения для уникального фреймворка веб-шелла OP-512 может повысить защиту от аналогичных угроз.

OP-512 отражает тревожную тенденцию: акторы, связанные с государствами, совершенствуют тактики с использованием сложного ВПО, обходящего традиционные средства обнаружения.

#ParsedReport #CompletenessHigh
04-06-2026

FSB’s matryoshka #3/3 – Gamaredon’s gifts that keeps unpacking – GammaSteel

https://blog.sekoia.io/fsbs-matryoshka-3-3-gamaredons-gifts-that-keeps-unpacking-gammasteel/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: information_theft, cyber_espionage)

Threats:
Gammasteel
Gammaphish
Gammaworm
Gammaload
Pteranodon
Gammawipe
Dead_drop_technique
Supply_chain_technique
Junk_code_technique
Invisimole

Victims:
Government, Military, Critical infrastructure

Industry:
Government, Military, Telco, Critical_infrastructure

Geo:
Moscow, Russian, Ukrainian, Russia, Ukraine, Crimea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1008, T1012, T1020, T1025, T1027, T1039, T1041, T1047, T1059.001, have more...

IOCs:
Registry: 5
File: 5
Command: 1
Path: 3
Url: 6
IP: 1
Domain: 3
Email: 1

Soft:
Telegram, Mac OS, Mastodon, TryCloudflare, Supabase, Windows COM, Windows registry

Algorithms:
base64, xor, zip, md5

Functions:
Get-PSDrive, Get-CimInstance, Remove-Item, Get-FileHash

Win API:
DriveType, GetTempFileName

Languages:
powershell

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, связанная с Россией группа кибершпионажа, атакует украинское правительство и инфраструктуру, используя эволюционировавший арсенал вредоносного ПО. Их недавняя нагрузка GammaSteel использует Windows Data Protection API для шифрования и работает преимущественно в памяти для скрытой эксфильтрации пользовательских документов через различные механизмы, одновременно поддерживая закрепление через скрытые процессы PowerShell. Тактика группы включает сложную обфускацию, использование легитимных платформ для управления и демонстрирует адаптивность в своих оперативных методах.
-----

Gamaredon, группа кибершпионажа, связанная с ФСБ России, специализируется на продвинутых и длительных атаках, нацеленных на сети украинского правительства, военных и критической инфраструктуры. Группа эволюционировала свой арсенал ВПО на протяжении более чем десятилетия, внедряя различные соглашения об именах и модульные техники. Их подход использует легитимные функции Windows и платформы, такие как Телеграм и Cloudflare, для поддержания скрытности, обеспечивая минимальные следы на скомпрометированных системах.

Недавняя полезная нагрузка GammaSteel демонстрирует их метод, работающий преимущественно в памяти с использованием Windows Data Protection API (DPAPI) для шифрования функций, хранящихся в реестре HKCU Printers. Этот стиллер предназначен для эксфильтрации пользовательских документов через три механизма: сканирование локальных и сетевых дисков, мониторинг активности USB-устройств и отслеживание изменений в реальном времени в файлах, над которыми ведется работа. Функция-оркестратор управляет этими механизмами, обеспечивая непрерывный надзор и поддерживая закрепление путем создания скрытого процесса PowerShell.

Процессы сбора данных тонко настроены для избежания обнаружения и максимизации эффективности. Стиллер использует дедупликацию для снижения сетевого шума и загружает украденные данные в легитимное облачное хранилище, возвращаясь к серверам, контролируемым оператором, если это необходимо. Как основной метод, так и резервные каналы обеспечивают двунаправленную связь, позволяя злоумышленнику выполнять удаленный код после успешной передачи данных.

Gamaredon внес заметные изменения в тактику, особенно в отношении использования DPAPI для шифрования функций ВПО, что перекликается с методологиями, применяемыми в предыдущих операциях, связанных с ФСБ, таких как InvisiMole. Их использование Dead Drop Resolvers (DDRs) и легитимных облачных платформ для инфраструктуры управления (C2) демонстрирует значительную приверженность обеспечению операционной устойчивости и уклонению от механизмов обнаружения.

Опора группы на техники обфускации усложняет усилия по реверс-инжинирингу, поскольку их код VBScript содержит массивную подложку и изменения переменных для сокрытия функциональности. Этот путь заражения интегрирует множество слоев, включая хранение ВПО в реестре Windows и использование Альтернативных потоков данных, демонстрируя уровень сложности, направленный на обход мер безопасности.

#ParsedReport #CompletenessMedium
04-06-2026

Miasma npm Supply Chain Attack: Self-Spreading Worm via Phantom Gyp

https://www.stepsecurity.io/blog/binding-gyp-npm-supply-chain-attack-spreads-like-worm

Report completeness: Medium

Threats:
Supply_chain_technique
Phantom_gyp_technique
Miasma
Blight_botnet
Shai-hulud
Dead_drop_technique
Credential_harvesting_technique

Victims:
Software development, Open source package ecosystem, Continuous integration and continuous delivery environments, Cloud services, Ai coding assistants

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1059.006, T1059.007, T1083, T1087, T1102.001, T1105, T1140, T1195.001, have more...

IOCs:
File: 8
Email: 1
Hash: 7

Soft:
sudo, Node.js, 1Password, TanStack, Anthropic Claude, Claude, Visual Studio Code, curl, HashiCorp Vault, Kubernetes, have more...

Algorithms:
base64, sha256, zip

Functions:
eval, createCommitOnBranch

Win API:
lockfile

Languages:
python, javascript, ruby

Links:
have more...
https://github.com/jagreehal/autotel/issues/197
https://github.com/jagreehal/ai-sdk-ollama/issues/975
https://github.com/liuende501?tab=repositories

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
04-06-2026

Bait for the Commander: Examining SiribClone cyber spy group's attacks on the Russian military

https://www.f6.ru/blog/siribclone/

Report completeness: High

Actors/Campaigns:
Siribclone (motivation: cyber_criminal, cyber_espionage)

Threats:
Rclone_tool
Siribgrabber
Safelovestealer

Victims:
Russian armed forces, Military personnel, Russian users

Industry:
Military

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.008, T1056.003, T1059.001, T1070.004, T1105, T1111, T1550.001, T1566.002, have more...

IOCs:
File: 13
Url: 12
Domain: 33
Path: 2
IP: 5
Hash: 15

Soft:
Telegram, Android

Algorithms:
cbc, sha1, aes, base64

Functions:
Down

Win API:
LoadLibrary

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа кибершпионажа SiribClone, активная с конца 2025 года, нацелена на Вооруженные Силы России, используя передовые методы социальной инженерии и распространения ВПО. Они развертывают вредоносное ПО SiribGrabber, которое выполняется через PowerShell как .NET-сборка для эксфильтрации файлов с использованием rclone, а также шпионское ПО SafeLoveStealer через APK-файлы для сбора конфиденциальных данных. Их тактики включают фишинг через поддельные профили в Социальных сетях, подталкивая жертв к вредоносным ссылкам, которые собирают учетные данные, что подчеркивает постоянную угрозу кибербезопасности военных.
-----

Группа кибершпионажа SiribClone стала серьезной угрозой, нацеленной на военнослужащих российских вооруженных сил с помощью сложных методов социальной инженерии и распространения вредоносного ПО. Выявленная экспертами по кибербезопасности из F6 Threat Intelligence в начале 2026 года, группа действует как минимум с декабря 2025 года. Их первоначальная фишинговая деятельность, направленная против военнослужащих, началась летом 2025 года с использованием таких платформ, как Telegram и защищенные приложения для обмена фотографиями, чтобы заманить жертв.

В основе операций SiribClone лежат вредоносные инструменты, которые они развертывают, в частности, вредоносное ПО SiribGrabber и шпионское ПО SafeLoveStealer. SiribGrabber, реализованный с помощью скриптов PowerShell и разработанный как сборка .NET, предназначен для эксфильтрации файлов с скомпрометированных систем с использованием rclone — утилиты командной строки для управления облачными хранилищами. Он проверяет локальные каталоги на наличие существующих экземпляров rclone и, если они отсутствуют, загружает необходимые компоненты для установления соединений между зараженным хостом и облачной средой атакующего. Это вредоносное ПО дополнительно реализует проверки по черному списку, который завершает его выполнение, если идентификатор машины найден, что дополнительно указывает на стратегию целевого воздействия.

Еще один инструмент, SafeLoveStealer, классифицируемый как шпионское ПО, распространялся в виде APK-файлов. Он собирает конфиденциальные данные и поддерживает белый список идентификаторов пользователей, что демонстрирует методичный подход группы к сбору данных. Группа использует техники социальной инженерии, маскируясь под привлекательных людей на платформах знакомств, чтобы начать разговоры и в конечном итоге обманом заставить военных сотрудников перейти по вредоносным ссылкам. Эти ссылки часто перенаправляют пользователей на фишинговые сайты, предназначенные для сбора учетных данных для входа в Телеграм и кодов двухфакторной аутентификации, что позволяет злоумышленникам получать несанкционированный доступ к учетным записям пользователей.

Сетевая инфраструктура, используемая SiribClone, включает несколько серверов управления (C2), с конкретными IP-адресами, связанными с фишинг-операциями. Группа использовала эти технологии для реализации различных кампаний социальной инженерии, включая веб-страницы, которые обманом заставляют пользователей вводить личные данные под предлогами вроде тестирования приложений или ложных облачных сервисов.

При анализе технологических возможностей группы продолжающиеся угрозы указываются через их адаптивность и непрерывное развитие их ВПО, даже после периодов бездействия. Операции группы SiribClone отражают сфокусированную шпионскую инициативу, направленную на получение конфиденциальной военной информации через разнообразные векторы атак, включая мобильное шпионское ПО, обманные каналы связи и настойчивые фишинг тактики. Их деятельность подчеркивает постоянную киберугрозу, нацеленную на российских военных, иллюстрируя продолжающиеся вызовы в области кибербезопасности для чувствительных государственных секторов.

#ParsedReport #CompletenessLow
04-06-2026

The Job Hunt Trap: Unmasking the PUMA Careers Phishing Campaign

https://www.cyberproof.com/blog/the-job-hunt-trap-unmasking-the-puma-careers-phishing-campaign/

Report completeness: Low

Actors/Campaigns:
Puma_careers

Threats:
Credential_harvesting_technique
Typosquatting_technique

Victims:
Job seekers, Recruitment candidates

ChatGPT TTPs:
do not use without manual check
T1056.007, T1566.002, T1583.001, T1587.002, T1589, T1593.001

IOCs:
Domain: 2
Email: 1

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга PUMA Careers использует сложные тактики социальной инженерии, применяя профессиональные рекрутинговые нарративы и высококачественные дизайны, имитирующие легитимные процессы найма, с акцентом на удаленные старшие позиции для снижения подозрительности среди соискателей. Атакующие использовали OSINT для профилирования жертв в LinkedIn, создали мошеннический домен (pumacareerorbit.com) незадолго до атак и запустили вторичный поддельный карьерный сайт (puma.candidatesessionportal.com) для сбора учетных записей. Эта операция демонстрирует масштабируемую фишинговую инфраструктуру, которая эксплуатирует психологическую манипуляцию, связанную с нестабильностью занятости, применяя передовые методы для быстрого развертывания и убедительного пользовательского опыта.
-----

Кампания фишинга PUMA Careers нацелена на соискателей с использованием сложных техник социальной инженерии.

Злоумышленники имитируют легитимные процессы найма с высококачественными дизайнами, которые напоминают брендинг PUMA.

Кампания использует персонализированные электронные письма, созданные на основе разведки с использованием данных LinkedIn.

Он избегает распространённых признаков фишинга, представляя возможности для удалённых старших должностей, чтобы минимизировать подозрения жертвы.

Несоответствие идентичности в фишинговом письме указывало на использование Разведки с открытыми источниками (OSINT) для профилирования жертвы.

Домен фишинга pumacareerorbit.com был создан незадолго до начала кампании, что подтверждает его мошеннический характер.

Инфраструктура характеризуется коротким сроком действия TLS-сертификата, размещением на платформе Cloudflare и вариациями названия бренда PUMA для уклонения от обнаружения.

Атакующие создали вторичный портал puma.candidatesessionportal.com, предназначенный как поддельный сайт карьеры для сбора учетных записей.

Фальшивый сайт содержал убедительные вакансии и рабочие процессы, которые побуждали жертв предоставлять конфиденциальную информацию.

Операция демонстрирует масштабируемую фишинговую инфраструктуру с повторно используемыми фреймворками для быстрого развертывания.

Методы включали сложные способы сбора данных и легковесную архитектуру, похожую на SaaS.

Кампания опирается на психологическое манипулирование, эксплуатируя тревоги, связанные с нестабильностью на рабочем месте.

Проактивные меры для организаций включают мониторинг недавно зарегистрированных доменов, имитирующих корпоративные бренды.

Установление каналов связи для верификации и повышение уровня безопасности в отношении фишинга, связанного с наймом, является необходимым.

Командам безопасности следует использовать поведенческие индикаторы и корреляции возраста домена в процессах обнаружения.

Ожидается, что достижения в области генеративного искусственного интеллекта улучшат создание убедительного мошеннического контента, смещая фокус на эксплуатацию доверия пользователей.

#ParsedReport #CompletenessMedium
04-06-2026

VerdantBamboo: Just Another BRICKSTORM in the Firewall

https://www.volexity.com/blog/2026/06/04/verdantbamboo-just-another-brickstorm-in-the-firewall/

Report completeness: Medium

Actors/Campaigns:
Unc5221

Threats:
Brickstorm
Grimbolt
Agentpsd
Gobfuscate_tool
Slaystyle

Victims:
Managed services provider, Enterprise environments

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1021.004, T1027, T1053.003, T1059.004, T1070.004, T1071.001, T1071.004, T1078, T1078.001, have more...

IOCs:
File: 4
Hash: 16
Domain: 15
IP: 16

Soft:
NET Core, Linux, PyInstaller, sudo, Volexity Volcano, ESXi, vSphere

Algorithms:
base64, md5, sha256, sha1

Functions:
Volexity

Languages:
golang, rust, python

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/unixpickle/gobfuscate
have more...
https://github.com/dotnet/Nerdbank.Streams
https://github.com/Washi1337/ghidra-nativeaot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года Volexity расследовала инцидент компрометации, связанный с устройством Egnyte Storage Sync на базе Linux, которое было связано с китайским злоумышленником VerdantBamboo и вредоносным ПО BRICKSTORM. Актор использовал скомпрометированные учетные данные администратора для получения доступа к Microsoft 365 и применил повышение привилегий для развертывания исполняемых файлов бэкдора, включая BRICKSTORM и обратный шелл на Python. В ходе расследования было выявлено, что VerdantBamboo восстановил доступ после первоначального устранения последствий через скомпрометированный межсетевой экран, применяя сложные методы для поддержания скрытности в течение более 18 месяцев.
-----

В сентябре 2025 года Volexity расследовала инцидент компрометации, связанный с устройством Egnyte Storage Sync на базе Linux, которое было обнаружено подключенным к домену, контролируемому злоумышленником, вместо легитимного домена Egnyte. Этот инцидент был связан с китайским злоумышленником, известным как VerdantBamboo, который, как установлено, использует ВПО BRICKSTORM, задокументированное различными агентствами безопасности. Первоначальное проникновение произошло из-за скомпрометированных учетных данных администратора, которые позволили VerdantBamboo получить доступ к среде Microsoft 365 жертвы, маскируя вредоносную активность под легитимный трафик и тем самым избегая обнаружения.

В ходе расследования Volexity обнаружила, что VerdantBamboo взаимодействовала с системой Storage Sync через непривилегированную учетную запись с именем egnyteservice, используя локальную ошибку конфигурации повышения привилегий, которая позволила злоумышленнику записывать исполняемые файлы бэкдора. Среди них были BRICKSTORM на базе Golang и обратный шелл на Python под названием AGENTPSD, который служил резервным каналом в случае отказа основного бэкдора. Кроме того, дополнительный анализ показал, что VerdantBamboo ранее взломала провайдера управляемых услуг (MSP) жертвы, что указывает на то, что атака, вероятно, была организована оттуда.

Анализ продолжил выявлять, что после первоначального устранения уязвимостей VerdantBamboo восстановил доступ к сети жертвы, эксплуатируя скомпрометированный межсетевой экран. Злоумышленник настроил доступ через веб-SSL VPN, что позволило осуществлять непрерывное перемещение внутри сети, что в итоге привело к развертыванию PLENET — сложного кроссплатформенного бэкдора, созданного с использованием функций .NET Native AOT. Инфраструктура, поддерживающая эти атаки, была спроектирована для поддержания низкой заметности, с использованием ограниченного количества доменов и кастомных механизмов закрепления, адаптированных для избежания обнаружения решениями обнаружения и реагирования на конечных точках (EDR).

Криминалистический анализ Volexity скомпрометированных устройств привел к выявлению нескольких вариантов BRICKSTORM, все из которых демонстрировали значительную скрытность за счет развертывания на системах, обычно не имеющих покрытия EDR. К ним относились устаревшие или проприетарные устройства, такие как межсетевые экраны и устройства NAS, что дополнительно усиливало способность VerdantBamboo оставаться незамеченным в течение более 18 месяцев. Функциональность и методы коммуникации каждого варианта ВПО были тщательно разработаны для обеспечения этой низкой заметности, демонстрируя возможности операционной безопасности VerdantBamboo и знание целевых сред.

#ParsedReport #CompletenessHigh
05-06-2026

Seeking Counsel: Ongoing Targeted Campaign Against US Law Firms

https://cloud.google.com/blog/topics/threat-intelligence/targeted-campaign-us-law-firms/

Report completeness: High

Actors/Campaigns:
Luna_moth (motivation: financially_motivated, information_theft)
Unc2686

Threats:
Microsoft_quick_assist_tool
Zoho_assist_tool
Anydesk_tool
Bomgar_tool
Superops_tool
Rclone_tool
Bazarbackdoor
Trickbot
Gozi
Z_loader
Spear-phishing_technique
Credential_dumping_technique

Victims:
Law firms, Legal services, Professional services, Financial services

Industry:
Education

Geo:
Chad

TTPs:
Tactics: 10
Technics: 26

IOCs:
File: 1
Url: 1
IP: 7

Soft:
Zoom, Microsoft Teams, cURL, WinSCP, Windows Defender Application Control, Outlook

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4