#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MLTBackdoor — это семейство ВПО, выявленное Zscaler ThreatLabz в мае 2026 года, связанное с деятельностью, связанной с вымогательством, и использующее многоэтапную цепочку заражения. Оно применяет передовые техники обфускации, такие как Смешанная булево-арифметическая (MBA) и Сглаживание потока управления (CFF), для усложнения реверс-инжиниринга, а также динамическое разрешение API и меры противодействия анализу для уклонения от обнаружения. Кроме того, MLTBackdoor имеет загрузчик Beacon Object File (BOF) для дополнительных функций, безопасную связь через собственный зашифрованный протокол и алгоритм генерации доменов (DGA) для закрепления.
-----

MLTBackdoor — это новое семейство ВПО, связанное с деятельностью, связанной с вымогательством, обнаруженное Zscaler ThreatLabz в мае 2026 года. Это ВПО использует сложную многоэтапную цепочку заражения, включающую приманку ClickFix, в основном нацеленную на пользователей через контент, связанный с автомобилями. После выполнения MLTBackdoor выполняет самообновление и работает как загруженный в обход компонент через легитимное приложение Microsoft, повышая свою скрытность во время заражения.

Вредоносное ПО использует ряд передовых техник обфускации, включая Смешанную Булево-Арифметическую (MBA) и Плоское Управление Потоком (CFF), что значительно усложняет обратную разработку. Примерно 95% кода MLTBackdoor составляют ненужные вычисления, сгенерированные через MBA, которые добавляют сложность без функциональной необходимости. CFF изменяет традиционный поток управления, преобразуя условные ветвления в формат конечного автомата, что затрудняет понимание логики кода. Кроме того, MLTBackdoor конструирует строковые значения во время выполнения в стеке, что приводит к фрагментированным данным, анализ которых затруднен, особенно в сочетании с вышеупомянутыми стратегиями обфускации.

Разрешение API выполняется динамически во время выполнения с использованием хеширования DJB2, что позволяет обходить типичные методы обнаружения за счёт избегания обычных вызовов API в пользовательском режиме и использования прямых системных вызовов. ВПО применяет технику, называемую «Hell’s Gate», позволяющую ему строить таблицу времени выполнения на основе нативных вызовов, дополнительно скрывая свою деятельность от стандартных средств защиты.

MLTBackdoor реализует различные меры противодействия анализу, включая проверки на наличие сред отладки или песочницы. Вместо прекращения работы он собирает результаты нескольких проверок для определения контекста выполнения, отправляя эту информацию во время первоначального взаимодействия с сервером управления (C2).

Возможности вредоносного ПО значительно расширены за счёт загрузчика Beacon Object File (BOF), который позволяет динамически загружать дополнительные функции во время эксплуатации после взлома. Этот загрузчик совместим с BOF, созданными сообществом, и имеет специфические модификации, которые перенаправляют вызовы через собственные обёртки для косвенных системных вызовов.

Сетевые коммуникации защищены с использованием собственного зашифрованного бинарного протокола поверх TLS, имеющего уникальную структуру, которая маскирует его трафик под легитимные коммуникации. MLTBackdoor использует обмен ключами Elliptic-Curve Diffie-Hellman (ECDH) для установления общего сеансового ключа AES-256-GCM для шифрования сообщений. Он также применяет детерминированный алгоритм генерации доменов (DGA) для создания ежедневных доменов, что усиливает его закрепление и затрудняет усилия по обнаружению.

Провели еще 23 мая вместе с INSECA уже 5тый митап!

Всем привет!

23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз.


🎥 Презентации и запись выступлений CTI meetup №5 можно посмотреть на странице митапа.

📸 Фотоотчет с митапа здесь.

Спасибо всем, кто был с нами на митапе.


Когда будет следующая встреча? - по мере формирования программы митапа.
Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!

#ParsedReport #CompletenessLow
10-06-2026

ServiceNow Breach: Customer Data Exposed Through Unauthenticated API Access

https://socradar.io/blog/servicenow-breach-customer-api-access/

Report completeness: Low

Victims:
Servicenow customers

Industry:
E-commerce

Geo:
Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1213

IOCs:
IP: 1

Soft:
ServiceNow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года ServiceNow подвергся взлому, который позволил несанкционированный доступ к данным клиентских инстансов из-за уязвимости в конечной точке API, не имеющей надлежащих средств контроля аутентификации. Затронутые инстансы в основном относились к платформенному релизу для Австралии и некоторым более старым конфигурациям, хотя конкретные сведения о доступе к данным и задействованной конечной точке остаются частично не раскрытыми. Злоумышленная активность, связанная с этой уязвимостью, побудила команды безопасности оповестить затронутых клиентов и внедрить обновление безопасности вскоре после обнаружения инцидента.
-----

В июне 2026 года компания ServiceNow сообщила о нарушении, связанном с несанкционированным доступом к данным клиентских инстансов из-за уязвимости, позволяющей злоумышленникам эксплуатировать конечную точку API без стандартных средств контроля аутентификации. Этот инцидент, обнаруженный примерно 2–3 июня, побудил ServiceNow уведомить затронутых клиентов 5 июня и привел к внедрению обновления безопасности вскоре после этого.

Нарушение в первую очередь затронуло клиентские инстансы на платформе Australia release и некоторых более старых релизах, которые имели специфические изменения конфигурации. Однако точные критерии для затронутых и незатронутых инстансов остаются не раскрытыми, и клиентам рекомендуется проверять свой статус через поддержку ServiceNow, а не полагаться на публичную информацию.

ServiceNow не раскрыла точный API-эндпоинт, вовлеченный в инцидент. Тем не менее, сообщается, что эндпоинт, связанный с этой злонамеренной активностью, находится по адресу /api/now/related_list_edit/create. Уязвимость была связана с вредоносным поведением, которое вызвало тревогу у команд безопасности ServiceNow, хотя детали о доступе к данным — такие как количество затронутых инстансов, содержание скомпрометированных данных и факт их выгрузки или появления на криминальных маркетплейсах — не полностью раскрыты.

Для снижения дальнейших рисков организациям рекомендуется проверять журналы на наличие подозрительной активности API, уделяя особое внимание запросам, выполненным из неаутентифицированных контекстов или исходящим из необычных шаблонов трафика. В частности, следует обращать внимание на попытки доступа с незнакомых IP-адресов, активность вне обычного рабочего времени или любое поведение, похожее на перечисление, которое может указывать на систематическое зондирование системы.

Кроме того, организациям рекомендуется провести аудит своих контролей API и ACL. Это включает в себя обзор пользовательских Scripted REST API, политик доступа REST и поведения списков управления доступом (ACL) в контексте неаутентифицированного доступа. Собственная документация ServiceNow по аутентификации API и политикам доступа REST API может помочь в этом процессе проверки.

В заключение, инцидент с ServiceNow подчеркивает критические уязвимости, связанные с неправильными мерами аутентификации в публичных API, и требует усиленного контроля за управлением доступом и надежной практики ведения журналов у клиентов, чтобы предотвратить потенциальную эксплуатацию в будущем.

#ParsedReport #CompletenessMedium
11-06-2026

A living fossil, or how the ProxyCB botnet survived

https://rt-solar.ru/solar-4rays/blog/6652/

Report completeness: Medium

Threats:
Proxycb
Virut
Teamspy
Ponystealer
Nssm_tool
Teamviewer_tool

Victims:
Russian online services, Email platforms, Marketplaces, Social networks, Telecom services, Gaming services, Russian federation

Industry:
Telco, Financial, Entertainment, E-commerce

Geo:
Russian federation, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.004, T1036.005, T1055, T1059.007, T1090, T1105, T1204.002, T1218.011, have more...

IOCs:
IP: 1
Domain: 20
File: 11
Hash: 75

Soft:
Telegram, VKontakte, Node.js, winlogon, uTorrent

Algorithms:
md5, sha256, sha1, zip

Functions:
GetConfig, SetConfig

Win API:
CreateRemoteThread

Languages:
jscript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет ProxyCB представляет собой сложную киберугрозу, использующую зараженные хосты в качестве прокси-серверов для незаконной деятельности. Его архитектура включает клиентский бот и серверное ядро, известное как PCBServer 7. Ботнет функционирует через фиксированные TCP-порты для управления и выполнения задач, применяет уникальные идентификаторы для зараженных узлов и использует различные режимы работы, такие как SOCKS4 и SOCKS5, для эксфильтрации данных. Ботнет тесно связан с группой шпионажа TeamSpy и демонстрирует передовые тактики, включая упаковку ВПО с легальным программным обеспечением и поддержание закрепления с помощью методов обфускации.
-----

Ботнет ProxyCB использует заражённые хосты в качестве прокси для вредоносной деятельности.

Его архитектура включает клиентский бот, каналы управления и данных, веб-панель, а также использует PCBServer 7.

Управление связью осуществляется через TCP-порт 1001, тогда как операционные задачи используют порт 1002.

Ботнет имеет панель авторизации, доступ к которой осуществляется через порты 80 и 443.

ProxyCB генерирует уникальные идентификаторы для зараженных узлов и обеспечивает закрепление для предотвращения перезагрузок.

Это обеспечивает связь для управления через выделенные потоки для логики управления и операционной логики.

Веб-интерфейс скрывает основные механизмы управления, встроенные в ядро сервера, с использованием проприетарного бинарного протокола.

В более старых образцах использовались домены, такие как gogogobaby12.com; в новых итерациях они обнаруживаются под доменами, такими как kilo-torrent.org.

ProxyCB работает в связке с другими угрозами, такими как ботнет Virut, который использует сложные техники внедрения.

Он поддерживает такие режимы работы, как SOCKS4, SOCKS5 и HTTP-туннелирование для эксфильтрации и перехвата данных.

Взаимодействие между прокси-узлами и сервером структурировано вокруг сообщений фиксированной длины для эффективной обработки команд.

Ботнет использует установщики, маскирующиеся под легальное программное обеспечение, такое как uTorrent, применяя Inno Setup для обфускации.

Деятельность ProxyCB продолжалась до конца января 2025 года, что свидетельствует о высоком уровне автоматизации и имитации поведения пользователей.

Существуют исторические связи между ProxyCB и группой кибершпионажа TeamSpy, что указывает на общую инфраструктуру и цели.

Координация между ProxyCB и TeamSpy указывает на долгосрочную стратегию создания надежной сети распространения.

ProxyCB характеризуется как зрелая киберугроза, способная эволюционировать в тактиках и техниках уклонения.

#ParsedReport #CompletenessHigh
11-06-2026

[Op Report\] From SSA Phish to AdaptixC2: A Multi-RAT Intrusion

https://blog.deception.pro/blog/xworm-sc-hok-may-2026

Report completeness: High

Threats:
Adaptixc2_tool
Xworm_rat
Screenconnect_tool
Right-to-left_override_technique
Typosquatting_technique
Phantom_stealer
Pingcastle_tool
Mimikatz_tool
Tinba
Spear-phishing_technique
Credential_dumping_technique

Victims:
Healthcare

Industry:
Healthcare

Geo:
Polish, United states

TTPs:
Tactics: 3
Technics: 9

IOCs:
Domain: 9
File: 15
IP: 3
Url: 10
Hash: 5
Path: 3
Registry: 2
Command: 2

Soft:
WordPress, Active Directory, Telegram, Windows Powershell

Algorithms:
zip, sha256

Functions:
RPC

Languages:
php, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года многоуровневая кибератака нацелилась на сектор здравоохранения с использованием сложных методов, включая фишинговое письмо, замаскированное под переписку от Администрации социального обеспечения. Атака включала использование ВПО, такого как AdaptixC2 для управления, XWorm для доступа и эксфильтрации через Телеграм, а также ScreenConnect для интерактивного контроля. Методы включали использование замаскированного исполняемого файла PE32 с помощью RTLO для обхода обнаружения, в сочетании с обширной разведкой среды Active Directory Microsoft для облегчения перемещения внутри компании и стратегий закрепления.
-----

В середине мая 2026 года была осуществлена сложная атака с использованием стандартных средств вторжения, реализованная многоуровневым подходом с применением ВПО и ПО для удаленного доступа в среде Microsoft Active Directory в секторе здравоохранения. Процесс атаки начался с тщательно составленного фишингового письма, имитирующего Управление социального обеспечения (SSA), которое содержало ссылку на архив RAR, размещенный на взломанном сайте WordPress. Этот архив содержал исполняемый файл PE32, замаскированный под PDF-документ с использованием трюка с именем файла через символ правого-левого переопределения (RTLO), что позволило ему избежать обнаружения.

Атакующий использовал AdaptixC2 в качестве основной инфраструктуры управления (C2), применяя дополнительные инструменты, такие как XWorm для избыточного доступа и Телеграм для эксфильтрации, а также два независимых экземпляра ScreenConnect для интерактивного контроля. Первоначальная компрометация произошла через фишинговое письмо, которое привело к доставке вредоносной DLL (jli.dll), размещенной в публичных документах пользователя. Оператор затем использовал команду Windows certutil для загрузки компонентов AdaptixC2 с указанного URL, что способствовало установлению закрепления и запуску дополнительных полезной нагрузки. В ходе инцидента было запущено несколько вариантов Staging AdaptixC2, демонстрирующих беконинг на определенные IP-адреса через HTTPS.

Использование проверки TLS предоставило информацию о трафике C2, раскрывая реальные URL-адреса и маячки в открытом виде, что способствовало эффективной атрибуции активности. Фаза разведки включала картирование домена с использованием SAMR и LSAD, что позволило злоумышленнику собрать подробную информацию о пользователях домена, группах и доверительных отношениях, что критически важно для перемещения внутри компании.

Основной фреймворк C2, AdaptixC2, демонстрировал характерный паттерн беконинга, выражавшийся в специфических HTTP POST-запросах к таким конечным точкам, как /updates/check.php. XWorm, развернутый в виде DLL, предоставлял дополнительные возможности доступа и использовал Bot API Телеграм для эксфильтрации, что указывает на четко определенную оперативную методологию. Тем временем ScreenConnect обеспечивал интерактивный доступ с устойчивостью за счет развертывания на нескольких доменах, усложняя попытки прервать доступ злоумышленников.

Учитывая сложность атаки, она отражает адаптивную стратегию вторжения, при которой первоначальный доступ осуществляется с помощью социальной инженерии, а не продвинутых технических эксплойтов. Использование RTLO для маскировки исполняемых файлов остается надежной тактикой для обхода бдительности пользователей, а наличие недетектируемых хешей для полезной нагрузки в VirusTotal подчеркивает необходимость поведенческого обнаружения и сетевого мониторинга вместо опоры на традиционные отпечатки файловых хешей. Этот случай подчеркивает важность тщательного мониторинга легитимных инструментов, используемых в рамках злонамеренных кампаний, особенно в отношении утилит сертификатов, механизмов закрепления и поведения C2, связанного с известными семействами ВПО.

#ParsedReport #CompletenessMedium
11-06-2026

Home Ground Disadvantage: AiTM, QR Code Phishing, and Information Theft Malware at the 2026 FIFA World Cup

https://arcticwolf.com/resources/blog-ja/atm-qrc-code-phishing-infostealer-malware-at-2026-fifa-world-cup/

Report completeness: Medium

Threats:
Qshing_technique
Aitm_technique
Supply_chain_technique
Putty_tool

Victims:
Fans, Organizers, Host cities, Sponsors, Vendors, Organizations using google workspace, Staff in philadelphia

Industry:
Government

Geo:
Mexico, India, Brazil, United states, Canada, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.002, T1036, T1041, T1056.007, T1059.003, T1078.004, T1102, T1111, have more...

IOCs:
Domain: 16
File: 4
Hash: 7

Soft:
WhatsApp, Telegram, Discord, Android, Steam, WinSCP, KeePass, 1Password

Languages:
javascript

Platforms:
x64

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/aitm-qr-code-phishing-infostealers-at-the-2026-fifa-world-cup

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения Чемпионата мира по футболу 2026 года киберзлоумышленники используют популярность мероприятия для применения передовых техник фишинга, вредоносного ПО и более чем 10 000 зарегистрированных доменов, тематически связанных с Чемпионатом мира, при этом основная цель — мобильные устройства. Такие техники, как фишинг через QR-коды, вводят жертв в заблуждение, в то время как атаки «противник посередине» в реальном времени подрывают работу многофакторной аутентификации, позволяя злоумышленникам перехватывать одноразовые коды. Вредоносное ПО, замаскированное под предложения по продаже билетов, крадет конфиденциальные данные с компьютеров под управлением Windows, что подчеркивает необходимость для организаций пересмотреть свои меры безопасности в отношении сложных киберугроз.
-----

Злоумышленники в киберпространстве используют передовые техники фишинга и ВПО для атак на Чемпионат мира по футболу 2026 года.

С начала 2026 года было зарегистрировано более 10 000 доменов, тематически связанных с Чемпионатом мира, при этом ежемесячно создается около 2 000 новых сайтов.

Мобильные устройства являются основными целями для этих киберугроз.

Мошенники используют социальные сети для маскировки ссылок, которые перенаправляют пользователей на менее защищённые мессенджеры, такие как WhatsApp, Телеграм или Discord.

Распространённые мошеннические схемы включают поддельные предложения бесплатных потоковых ссылок непосредственно перед матчами, использующие срочность фанатов.

Атаки фишинга используют QR-код фишинг, или «quishing», чтобы обмануть организаторов и нацелиться на сотрудников.

Один из случаев фишинга включал поддельный PDF-файл «Справочник сотрудника», чтобы побудить сотрудников отсканировать вредоносный QR-код.

Методы фишинга в режиме реального времени с атакой «человек посередине» (AiTM) могут перехватывать одноразовые коды многофакторной аутентификации (MFA), что позволяет быстро получить несанкционированный доступ к учетным записям.

Настольное ВПО распространяется под видом предложений билетов на чемпионат мира, предназначенных для кражи конфиденциальных данных с машин под управлением Windows.

Это ВПО осуществляет выгрузку данных в каналы, такие как Телеграм и Discord, маскируя при этом свою деятельность.

Поведение ВПО включает доступ к файлам cookie, сохраненным паролям, данным сеанса и учетным данным чувствительных приложений.

Организациям, связанным с Чемпионатом мира по футболу ФИФА, рекомендуется использовать более надежные методы аутентификации, выходящие за рамки простой многофакторной аутентификации (MFA).

Рекомендуется переход на аппаратные решения, такие как ключи FIDO2/WebAuthn.

Пользователям следует проявлять осторожность при получении нежелательных предложений бесплатных билетов или потокового вещания, рассматривая их как потенциально вредоносные.

Ожидается усиление киберактивности по мере приближения турнира, что побуждает болельщиков и организаторов сохранять бдительность.

Киберпреступники могут использовать генеративный ИИ для улучшения своих стратегий атак в ходе мероприятия.

#ParsedReport #CompletenessHigh
10-06-2026

Iranian Cyber Operations Enter Sustained Pre-Positioning Phase: What CISOs Must Know Now

https://www.anomali.com/blog/iranian-cyber-operations-enter-sustained-pre-positioning-phase-what-cisos-must-know-now

Report completeness: High

Actors/Campaigns:
Pinchy_spider
Handala-hacking-team
Fancy_bear
Playful_taurus
Fox_kitten
Charming_kitten
Cyberav3nger
Muddywater
Apt33
Apt42
Oilrig
Unc5855
Cyber_av3ngers
Rusty_boots
Mokhargosh
Tortoiseshell

Threats:
Remcos_rat
Cobalt_strike_tool
Bumblebee
Revil
Credential_harvesting_technique
Raton
Bibi-wiper
Seo_poisoning_technique
Supply_chain_technique

Victims:
Financial services, Energy, Healthcare, Government, Aviation, Logistics, Chemical sector, Maritime, Building management, Substation automation, have more...

Industry:
Critical_infrastructure, Logistic, Healthcare, Transport, Chemical, Energy, Aerospace, Ics, Financial, Government, Maritime

Geo:
Israeli, Iran, Iranian

CVEs:
CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2026-29116 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-42271 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- litellm (<1.83.7)

CVE-2021-41773 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (2.4.49)

CVE-2026-7473 [Vulners]
CVSS V3.1: 5.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arista eos (*)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit_project phpunit (le4.8.27, <5.6.3)


TTPs:

IOCs:
IP: 12
Hash: 1

Soft:
LiteLLM, Ivanti

Algorithms:
md5

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибероперации, спонсируемые государством, в настоящее время находятся на фазе предварительного размещения, характеризующейся расширением инфраструктуры и поиском уязвимостей, особенно в отношении промышленных систем управления (ICS). Значимые уязвимости, включая CVE-2026-42271, позволяющую выполнять произвольные команды на шлюзах ИИ, повышают риски для организаций в критических секторах, таких как энергетика и здравоохранение. Активность групп, таких как Pinchy-Spider, известных своими программами-вымогателями, наряду с использованием ВПО, такого как Remcos RAT, свидетельствует об увеличении сложности угроз и потенциале для деструктивных атак.
-----

Иранские кибероперации перешли в методичную фазу предварительного позиционирования, характеризующуюся расширением инфраструктуры, поиском уязвимостей и организованными подготовительными мероприятиями, направленными на будущие деструктивные атаки. Несмотря на отсутствие немедленных разрушительных действий, иранские спонсируемые государством акторы, как сообщается, усиливают свои кибервозможности и поддерживают значительное присутствие, что указывает на готовность к будущим агрессивным операциям. Разведданные свидетельствуют о том, что эти приготовления совпадают с возрождением активности в целевых секторах, особенно в системах промышленной автоматизации (ICS), при этом недавно опубликованные рекомендации повышают риск эксплуатации.

Критический узел иранской кибердеятельности был выявлен в автономной системе (ASN) 213790, которая служит площадкой для различных операций, включая прокси-ретрансляцию и доставку вредоносного программного обеспечения (ВПО). Эта инфраструктура связана с несколькими группами сложной целенаправленной угрозы (APT), такими как APT28 и APT33, что указывает на совместный фреймворк, усложняющий атрибуцию и представляющий собой мощное сочетание ресурсов. Особую обеспокоенность вызывает появление группы Pinchy-Spider, известной своими возможностями в области программ-вымогателей, на иранских серверах, что сигнализирует о потенциальных двойных угрозах для организаций.

Обнаружение уязвимостей, в частности CVE-2026-42271 и CVE-2026-7473, ставит под угрозу инфраструктуру ИИ и сегментацию сетей OT. Первая позволяет аутентифицированным пользователям выполнять произвольные команды на шлюзах ИИ, что подчеркивает срочную необходимость для организаций, использующих такие технологии, усилить протоколы безопасности против тактик сбора учетных записей, разработанных иранскими акторами. Вторая может потенциально привести к компрометации систем сегментации сетей OT, подвергая их атакам.

Недавний всплеск консультативных сообщений ИБ от CISA — семь за пять дней — тревожно ускорил темп уязвимостей, которые иранские злоумышленники исторически эксплуатируют вскоре после их раскрытия. В основном в зоне риска находятся сектора энергетики, здравоохранения и государственного управления, при этом угрозы проявляются через целевое ВПО, такое как Remcos RAT и Cobalt Strike, на их инфраструктуре. Организации, работающие в этих областях, сталкиваются со значительными операционными рисками, если не будут приняты немедленные контрмеры, такие как блокировка диапазонов IP-адресов, связанных с иранской деятельностью, и устранение критических уязвимостей.

#ParsedReport #CompletenessHigh
10-06-2026

Behind Khmer Shadow: Targeted espionage against Cambodian government entities

https://www.acronis.com/en/tru/posts/behind-khmer-shadow-targeted-espionage-against-cambodian-government-entities/

Report completeness: High

Actors/Campaigns:
Khmer_shadow (motivation: cyber_espionage)
Apt29
Red_delta (motivation: cyber_espionage)
Donot (motivation: cyber_espionage)

Threats:
Nightforge
Havoc
Hellsgate_technique
Spear-phishing_technique
Dll_sideloading_technique
Kaynldr

Victims:
Cambodian government, Information collection bureau, Ministry of public works and transport, Defense, Military intelligence, Public works

Industry:
Military, Government

Geo:
China, Ukraine, United states, Cambodian, Cambodia, Asia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027.007, T1027.013, T1036.004, T1036.007, T1053.005, T1055, T1070.004, T1071.001, T1106, have more...

IOCs:
File: 5
Coin: 1
Domain: 3
IP: 2
Hash: 4

Soft:
twitter, vmtools, Task Scheduler, Chrome

Algorithms:
sha256, xor

Functions:
FindEmbeddedPE

Win API:
CreateFileMappingW, MapViewOfFile, GetFileSize, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtWaitForSingleObject, NtCreateThreadEx, GetProcAddress, CoInitialize, CoCreateInstance, have more...

Languages:
python

Links:
https://github.com/HavocFramework/Havoc
https://github.com/Cracked5pider/KaynLdr/tree/main

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 8, code: 30, dump: 2