#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инфраструктура Device Code Lab (DCL) способствует проведению сложных фишинговых атак, предоставляя модули инструментов, которые позволяют операторам похищать электронные письма и манипулировать скомпрометированными учетными записями. Ключевые возможности модуля почтового ящика позволяют выполнять такие операции, как поиск и управление правилами входящих сообщений, а генератор SVG-вложений может внедрять JavaScript для обхода обнаружения. Такой подход не только придает фишинговым письмам легитимность, но и поддерживает гибридные рабочие процессы атак, демонстрируя скоординированные усилия по эксплуатации уязвимостей корпоративной среды.
-----

Инфраструктура Device Code Lab (DCL) заметно расширилась, что выявило несколько открытых модулей инструментов, облегчающих различные вредоносные действия. Ключевые возможности включают модуль почтового ящика, позволяющий операторам выполнять эксфильтрацию электронных писем с использованием захваченных токенов жертв. Этот модуль напоминает Outlook Web App и поддерживает расширенные функции, такие как навигация по папкам, массовые операции, создание правил входящих сообщений и даже перечисление ролей Azure AD. Подобная глубина функциональности указывает на сложную методологию, применяемую операторами для манипуляции скомпрометированными учетными записями.

Среда DCL связана через несколько доменов с использованием общих сертификатов TLS, что указывает на централизованный подход к управлению их операциями. Постоянное обновление индикаторов компрометации (IOCs) подчеркивает изменчивый характер этой инфраструктуры по мере выявления новых уязвимостей и инструментов.

Важно отметить, что открытый пользовательский интерфейс почтового ящика по определенным путям позволяет операторам беспрепятственно взаимодействовать с электронной почтой жертв, выполняя такие действия, как поиск, составление и удаление сообщений. Кроме того, были выявлены инструменты для управления списками адресов электронной почты и их проверки на предмет использования в фишинге, что повышает эффективность их кампаний за счет обеспечения лучшей доставляемости и точности таргетинга. Инфраструктура DCL поддерживает гибридные рабочие процессы атак, использующие фишинг с кодом устройства для первоначального доступа, за которым следует рассылка фишинговых писем непосредственно с скомпрометированных учетных записей, добавляя дополнительный уровень легитимности последующим атакам.

Кроме того, генератор SVG-вложений DCL известен своей способностью обходить механизмы обнаружения Microsoft Defender for Endpoint. Этот инструмент позволяет создавать SVG-файлы, которые могут встраивать JavaScript, что позволяет злоумышленникам эксплуатировать контексты браузера, избегая при этом распространенных методов обнаружения.

Операционный ландшафт DCL также включает различные фишинговые страницы, предназначенные для сбора учетных данных по множеству тем, с использованием скомпрометированной инфраструктуры для обмана жертв. Такое разнообразие тактик и инструментов указывает на скоординированные усилия по эксплуатации уязвимостей в корпоративных средах и уклонению от обнаружения благодаря тщательному проектированию и инструментам с богатым функционалом.

#ParsedReport #CompletenessMedium
11-06-2026

Solana FakeFix: 25 Malicious npm and PyPI Packages Lure Developers With Fake Stable Builds

https://research.jfrog.com/post/solana-fakefix/

Report completeness: Medium

Actors/Campaigns:
Solana_fakefix

Threats:
Typosquatting_technique
Deno_loader

Victims:
Solana developers, Developers, Ci pipelines, Software development, Cryptocurrency

Industry:
Healthcare, Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1033, T1036, T1053.003, T1053.005, T1059.001, T1059.006, T1059.007, T1070.004, T1071.001, have more...

IOCs:
File: 24
Url: 17
IP: 1
Path: 3

Soft:
Telegram, ETHERSCAN, Unix crontab, macOS, Windows scheduled task, Windows Registry

Crypto:
solana

Algorithms:
base58

Functions:
Set-ExecutionPolicy, setTimeout, Set-ItemProperty

Languages:
javascript, typescript, python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Solana FakeFix нацелена на разработчиков Solana посредством распространения 25 вредоносных пакетов npm и PyPI, использующих тайпсквоттинг и поддельное брендинг. Атакующие выполняют JavaScript-код во время установки npm для создания канала C2 в Телеграм, тогда как пакеты Python запускают ВПО при импорте; обе техники предназначены для кражи конфиденциальной информации, такой как ключи кошельков и учетные данные облачных сервисов. Кампания сочетает прямую эксплуатацию уязвимостей пакетов с фишинговыми тактиками, чтобы заманить жертв на раскрытие учетных данных.
-----

Кампания Solana FakeFix, выявленная исследовательской группой JFrog Security, связана с распространением 25 вредоносных пакетов npm и PyPI, нацеленных конкретно на разработчиков Solana. В рамках кампании используются тактики, такие как тайпсквоттинг, поддельное брендинг для SDK Solana и хуки выполнения жизненного цикла, что способствует краже данных. Эти пакеты призваны извлекать конфиденциальную информацию, включая ключи кошельков, учетные данные облачных сервисов, токены систем контроля версий и различные секреты среды.

Основным обманным подходом, использованным в этой кампании, была реклама этих опасных пакетов в качестве исправлений совместимости для проблем сборки Solana. Кампания осуществлялась путем спама в вопросах GitHub от имени пользователя PassWord1337, который выдавал себя за участника сообщества, эффективно нацеливаясь на разработчиков, испытывающих проблемы с зависимостями. Первый этап атаки требовал выполнения JavaScript-кода, контролируемого злоумышленником, во время установки npm-пакета. Этот исполняемый полезный код немедленно настраивал канал управления (C2) через Телеграм и инициировал поиск секретов разработчика.

Для пакетов Python вредоносное ПО активировалось в ходе стандартного процесса импорта, что подчеркивает различия в методах выполнения между npm и PyPI. Каждый тип пакетов имел общие характеристики полезной нагрузки, что указывает на скоординированные усилия по проникновению в системы. Более поздние варианты npm эволюционировали, изменив вектор атаки путем внедрения вредоносного кода в JavaScript-библиотеки Solana, имитирующие функциональность, что позволяло им действовать незамеченными при сканировании конфиденциальной информации, такой как ключевые пары Solana и учетные данные AWS.

В другом аспекте кампании загрузчик с тематикой CMS использовал пакеты npm, загруженные пользователем по имени thermonuclear. Хотя они не были напрямую связаны с Solana, эти пакеты содержали механизмы для выполнения удаленных Windows-загрузчиков с помощью сценариев PowerShell и JavaScript, выполняемых в контексте среды выполнения Deno. Эти методы включали скрытые установки, динамическое получение загрузчиков второго этапа и попытки закрепления с использованием различных функций Windows, таких как запланированные задачи и изменения реестра.

Злоумышленники также использовали концепцию ботов MEV (извлекаемая майнерами ценность) для того, чтобы заманить жертв предоставить конфиденциальные учетные данные под ложным обещанием пассивного дохода. Это представляет собой сочетание эксплуатации технических пакетов и классических тактик фишинга.

Шаги по устранению включают удаление затронутых пакетов, ротацию всех конфиденциальных учетных данных и аудит на наличие потенциальных индикаторов закрепления, которые могут позволить злоумышленникам сохранить доступ. Расследование должно сосредоточиться на признаках трафика Telegram API и других конкретных IoC, связанных с кампанией. Сложность использованных методов, переход от простых бэкдоров к сложным троянизированным библиотекам, подчеркивает быструю эволюцию и растущую сложность таких киберугроз, нацеленных на экосистемы разработчиков.

#ParsedReport #CompletenessLow
13-06-2026

152 Chrome Live Wallpaper Extensions Hid Ad Tracking and Faked Google Search Traffic

https://socket.dev/blog/152-chrome-live-wallpaper-extensions-hid-ad-tracking

Report completeness: Low

Threats:
Bumblebee

Victims:
Advertising, Ad technology, Affiliate marketing, Chrome users

Industry:
Transport, Education, Telco

Geo:
Turkey, Turkish, Tokyo, Ankara

TTPs:
Tactics: 1
Technics: 5

IOCs:
Domain: 4
File: 9
Email: 6
IP: 2
Coin: 11
BrowserExtension: 141

Soft:
Chrome, IndexedDB, Outlook, WordPress, Kitty, Minecraft

Functions:
setUninstallURL, deleteDatabase

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сеть из 152 расширений Chrome Web Store, в основном приложений с живыми обоями для нового вкладки, занимается мошеннической деятельностью, связанной с рекламой. Эти расширения были установлены примерно 105 000 раз через 38 аккаунтов издателей. Они используют техники фальсификации трафика для искажения статистики взаимодействия пользователей и сбора данных в нарушение своих политик конфиденциальности. Их инфраструктура спроектирована для уклонения от обнаружения: применяется множественная регистрация для распространения идентичного кода, что усложняет выявление и удаление, одновременно увеличивая рекламные доходы за счет мошеннической деятельности.
-----

Существует сеть из 152 расширений Chrome Web Store, в основном приложений с живыми обоями для нового вкладки, связанных с мошенничеством с рекламой.

Эти расширения распространяются через 38 аккаунтов издателей и имеют общую кодовую базу.

В совокупности эти расширения имеют около 105 000 установок.

Несмотря на заявления об отсутствии сбора данных, политика конфиденциальности допускает ведение журналов IP-адресов, данных провайдера (ISP), количества кликов и информации о рефералах для рекламных платформ, таких как Google AdSense и DoubleClick.

54 расширения используют отмывку трафика, манипулируя URL-адресами, чтобы замаскировать трафик, генерируемый расширениями, под настоящие веб-поисковые запросы.

Эта манипуляция завышает показатели вовлеченности пользователей, повышая прибыльность за счет рекламных доходов.

Служебный воркер отправляет поддельные сигналы органической атрибуции при установке и маскирует процесс удаления, чтобы отправлять ложные данные аналитики.

Установленные расширения занимаются перечислением и удалением баз данных IndexedDB, нацеливаясь только на свои незначительные базы данных.

Инфраструктура спроектирована для уклонения от обнаружения, используя несколько аккаунтов издателей для распространения идентичного кода через различные расширения.

Если один аккаунт удалён, остальные остаются незамеченными из-за этой стратегии распределения.

Монетизация за счёт рекламы опирается на увеличение трафика с этих вредоносных расширений для повышения доходов на связанных веб-сайтах.

В исследовании подчеркиваются проблемы неточного сбора пользовательских данных и атрибуции в экосистеме Chrome.

Неточные раскрытия информации о конфиденциальности нарушают политики Chrome Web Store, требующие предоставления правдивой информации.

Пользователям следует удалить расширения, связанные с доменами, такими как tabplugins.com, yowgames.com или chromewallpaper.com.

Специалистам по безопасности рекомендуется выявлять коллективные характеристики этих семейств расширений, а не фокусироваться на отдельных случаях.

#ParsedReport #CompletenessHigh
14-06-2026

Dark Web Profile: Tengu Ransomware (Shisa)

https://socradar.io/blog/dark-web-profile-tengu-ransomware-shisa/

Report completeness: High

Threats:
Tengu_ransomware
Stealtengu_tool
Stealtg_tool
Rclone_tool
Edr-killer
Salatstealer
Residential_proxy_technique
Spear-phishing_technique
Fortirdp_tool
Shadow_copies_delete_technique
Zerologon_vuln
Netexec_tool
Wevtutil_tool
Lolbin_technique
Screenconnect_tool
Credential_dumping_technique
Password_spray_technique

Victims:
Technology, Manufacturing, Construction and real estate, Automotive, Hospital sector, Agriculture and food production

Industry:
Transport, Foodtech, Entertainment

Geo:
Russia, Thailand, Africa, United states, Brazil, Middle east, Asia, Iran, India, Morocco, Japanese, Italy, Poland, Iranian, America, Indonesia, Mexico, African, Qatar, Spain

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...

TTPs:
Tactics: 13
Technics: 26

IOCs:
File: 13
Hash: 1
Email: 1
IP: 8

Soft:
Linux, ESXi, WinSCP, PixelDrain, Active Directory, Windows Defender, Windows Security Center, Windows Update service, wuauserv

Algorithms:
sha256

Win API:
README

Win Services:
wscsvc, wuauserv

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tengu Ransomware, ребрендированный как Shisa Ransomware, работает как Программа-вымогатель как услуга (RaaS), используя тактику двойного вымогательства, которая шифрует файлы и эксфильтрует данные для оказания давления на жертв с целью получения выкупа. Группа применяет такие техники, как эксплуатация учетных данных и брутфорс-атаки, используя уязвимости, такие как ZeroLogon (CVE-2020-1472), для получения сетевого доступа. Их ВПО, эффективно шифрующее данные, избегает обнаружения путем отключения мер безопасности и маскировки своей деятельности среди легитимного трафика.
-----

Tengu Ransomware, сменивший название на Shisa Ransomware в марте 2026 года, является финансово мотивированной организацией Ransomware-as-a-Service (RaaS), впервые выявленной в конце 2025 года. Эта группа использует стратегию двойного вымогательства, похищая конфиденциальные данные и шифруя системные файлы, тем самым оказывая давление на жертв для выполнения требований выкупа. Tengu, как правило, нацелен на организации в широком географическом диапазоне, изначально сосредоточившись на Ближнем Востоке и Северной Африке, а затем расширив географию, включив жертв в Северной Америке, Европе и Азии.

Программа RaaS работает по структурированной модели, предусматривающей разделение доходов 80/20 в пользу аффилированных лиц, использование зашифрованной связи через TOX и предоставление сборок, совместимых с системами Windows, Linux и ESXi. Их ВПО функционирует с применением прерывистой техники шифрования, которая нацелена на заголовки файлов, что позволяет осуществлять быстрое шифрование больших массивов данных. Заметный инцидент включал шифрование 22,9 ТБ данных всего за 14 часов, что демонстрирует их эффективность.

Для эксфильтрации данных Tengu использует собственные инструменты, такие как StealTENGU и StealTG, а также приложения общего назначения, такие как Rclone и WinSCP. Кроме того, они используют MEGA для основного хранения и различные другие сервисы для вторичного использования. Злоумышленники спроектировали свой операционный фреймворк для поддержания низкой заметности, используя распространенные инструменты и методы для имитации легитимной деятельности, тем самым усложняя усилия по обнаружению.

Методы первоначального доступа Tengu в значительной степени сосредоточены на эксплуатации учетных данных, проведении брутфорс-атак против слабо защищенных интерфейсов RDP и SMB, а также на кампаниях Целевой фишинг. Они также используют известные уязвимости, такие как ZeroLogon (CVE-2020-1472), для повышения привилегий. После этого они осуществляют перемещение внутри компании в скомпрометированных сетях с использованием таких инструментов, как NetExec через SMB и RDP, маскируя свою деятельность под нормальный административный трафик.

Важным аспектом методологии Tengu являются тактики обхода защиты, при которых они отключают средства безопасности, такие как Windows Defender, и очищают журналы событий, чтобы избежать обнаружения перед выполнением своего шифровальщика. Эта стратегия обеспечивает эксфильтрацию данных без обнаружения перед началом полного шифрования системы, при этом затронутые файлы помечаются расширением .tengu.

Для снижения угроз со стороны Tengu Ransomware организациям рекомендуется внедрять многофакторную аутентификацию для служб удаленного доступа, устранять известные уязвимости и усиливать мониторинг подозрительных попыток аутентификации. Командам безопасности также следует отслеживать инфраструктуру, связанную с Tengu, и общие индикаторы в базах данных разведки угроз, настраивая оповещения о необычных шаблонах использования инструментов, указывающих на активность программ-вымогателей. Сосредоточив внимание на этих направлениях, организации могут эффективнее защищаться от этой новой угрозы.

#ParsedReport #CompletenessLow
12-06-2026

Fake verification pages are stealing Steam accounts from players

https://www.malwarebytes.com/blog/threat-intel/2026/06/fake-verification-pages-are-stealing-steam-accounts-from-players

Report completeness: Low

Threats:
Bitm_technique

Victims:
Online gamers, Faceit players, Steam users

Industry:
E-commerce, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003

IOCs:
Domain: 3

Soft:
Steam, Discord

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая мошенническая схема, нацеленная на игроков FACEIT, использует поддельные страницы верификации для кражи аккаунтов Steam путем имитации легитимного процесса входа. Злоумышленники применяют технику Browser-in-the-Browser для создания обманчивого интерфейса входа, что позволяет им получать доступ к аккаунтам жертв с целью кражи предметов или обмана друзей. Схема распространяется через знакомые игровые платформы и использует вводящие в заблуждение индикаторы, такие как противоречивая информация об авторских правах и размытые QR-коды, чтобы повысить свою эффективность.
-----

Новая мошенническая схема, нацеленная на онлайн-игроков, в частности на пользователей конкурентной игровой платформы FACEIT, использует поддельные страницы верификации для кражи учетных записей Steam. Эти мошеннические страницы prominently используют официальное брендинг и имитируют подлинные процессы входа, убеждая жертв в своей подлинности. Целевой подход фокусируется на пользователях FACEIT, поскольку им обычно требуется связать свои учетные записи Steam для доступа к платформе, что делает их учетные записи высоко ценными для киберпреступников.

Получив доступ к аккаунту жертвы в Steam, злоумышленники могут похищать внутриигровые предметы, обманывать друзей или продавать аккаунты на нелегальных торговых площадках. Эффективность мошенничества обусловлена его конструкцией: оно включает имитацию окна входа, которая выглядит как переход к реальному процессу авторизации в Steam, но на самом деле представляет собой поддельную версию, отображаемую в рамках собственного интерфейса сайта. Это так называемая атака Browser-in-the-Browser, при которой злоумышленники создают среду, обманывающую пользователей и заставляющую их верить, что они всё ещё находятся на легитимной платформе.

Процесс начинается с распространения этих мошеннических страниц через платформы, знакомые геймерам, такие как сообщества, социальные сети и сервисы чата. Одним из заметных индикаторов фальшивого характера сайта является наличие противоречивых годов авторских прав, чего обычно избегают легитимные компании. Кроме того, QR-код на странице намеренно размыт, чтобы побудить пользователей нажать на более привлекательную опцию «Войти через Steam».

Тактика мошенников особенно успешна, поскольку она эксплуатирует рутинное поведение пользователей, которые часто связывают аккаунты в целях верификации. Большинство пользователей могут пропустить тревожные признаки из-за убедительности брендинга и процесса входа в систему. Исследователи рекомендуют геймерам проявлять осторожность в отношении любых окон входа, которые появляются встроенными на веб-сайтах, и советуют использовать официальные каналы для доступа к своим аккаунтам Steam. Эта повышенная осведомленность и бдительность являются ключевыми для того, чтобы избежать попадания в такие ловушки.

#ParsedReport #CompletenessHigh
12-06-2026

Interlock and Rhysida within the Ransomware Ecosystem

https://www.ibm.com/think/x-force/interlock-and-rhysida-within-the-ransonware-ecosystem

Report completeness: High

Actors/Campaigns:
Hive0163
Kongtuke
Fin12
Interlock
Vice_society
Unc2565
Storm-0494
Fox_tempest
Storm-0249
Itg25

Threats:
Interlock
Rhysida
Nodesnake
Interlockrat
Junkfiction
Supper_backdoor
Zapcat
Kongtuke
Pkr_mtsi_tool
Endico
Oyster
Textshell
Latrodectus
Inc_ransomware
Gootkit
Socgholish_loader
Clickfix_technique
Mintsloader
Dave_loader
Modelorat
Trickbot
Conti
Emotet
Icedid
Ryuk
Cornflake
Windytwist
Berserkstealer
Ntlmthief_tool
Portstarter
Systembc
Junk_code_technique
Antidebugging_technique
Api_hammering_technique
Vidar_stealer
Dead_drop_technique
Nltest_tool
Donut
Azcopy_tool
Winpmem_tool
Printnightmare_vuln
Advanced-port-scanner_tool
Screenconnect_tool
Sliver_c2_tool
Credphish_tool

Victims:
United states

CVEs:
CVE-2026-20131 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco secure_firewall_management_center (6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.4.0.17)

CVE-2023-36036 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20308)
- microsoft windows_10_1607 (<10.0.14393.6452)
- microsoft windows_10_1809 (<10.0.17763.5122)
- microsoft windows_10_21h2 (<10.0.19041.3693)
- microsoft windows_10_22h2 (<10.0.19045.3693)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1027.002, T1027.016, T1036, T1041, T1053.005, T1059.001, T1068, T1070.004, have more...

IOCs:
Hash: 72
File: 8
Command: 7
Url: 9
Domain: 89
IP: 73

Soft:
Linux, yInstaller, PyInstaller, Microsoft Teams, Microsoft Edge, TryCloudflare, Steam, Telegram, MSSQL, Windows Defender Application Control, have more...

Algorithms:
xor, zip, aes-256, lzma, sha256, rc4, cbc

Functions:
Write-Output

Win API:
VirtualProtect, RefreshPolicy

Languages:
python, javascript, powershell, java, php

Platforms:
x64, arm

Links:
have more...
https://github.com/GhostPack/Certify
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption/tree/main
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследования групп вымогателей Interlock (Hive0163) и Rhysida показывают, что они используют собственное ВПО, такое как NodeSnake, InterlockRAT и Supper, а также пересекающиеся функциональные возможности, указывающие на общую кодовую базу или совместные усилия. Первоначальный доступ обычно осуществляется через брокеров с использованием методов, таких как Gootloader и SocGholish, а развертывание обеспечивается загрузчиками, такими как Endico и JunkFiction. ВПО использует продвинутые поведения с постоянными бэкдорами, использующими обратные оболочки, а инновации в области криптеров, включая криптер Tomb, улучшают тактики уклонения от обнаружения.
-----

Interlock, идентифицированный как Hive0163, использует собственное ВПО, включая NodeSnake, InterlockRAT и Supper, а также свои варианты ransomware.

Rhysida работает по модели Программа-вымогатель как услуга (RaaS) с 2023 года и использует загрузчик Endico, Broomstick и криптер Tomb.

Наблюдается корреляция с TAG-124, что указывает на возможное сотрудничество между различными злоумышленниками.

Вредоносное ПО NodeSnake служит загрузчиком для получения дополнительных полезной нагрузки и подключается к различным серверам управления (C2).

Первоначальный доступ часто обеспечивается брокерами первоначального доступа (IAB) с использованием таких методов, как Gootloader или SocGholish, которые перенаправляют пользователей на сайты, выглядящие легитимными.

Interlock связан с кампаниями загрузчика JunkFiction, тогда как Rhysida использовала троянизированные установщики для развертывания ransomware с помощью загрузчика Endico.

Поведение ВПО включает многоуровневые методы, при которых загрузчики создают плацдармы и развертывают бэкдор-ВПО для действий после компрометации.

Загрузчик JunkFiction отличается своими универсальными функциями и техниками обфускации.

Supper и InterlockRAT обеспечивают закрепление с использованием обратных оболочек и туннелирования SOCKS5 для скрытных операций.

Supper имеет более широкое применение в различных инцидентах, тогда как InterlockRAT в основном используется для операций Interlock.

Специализированные шифровальщики, такие как Tomb crypter, были разработаны для обхода обнаружения средствами защиты.

Операционные возможности этих угроз относительно сложны, что отражает постоянные инновации в выполнении вредоносного ПО.

#ParsedReport #CompletenessLow
12-06-2026

News - Malware & Hoax - TG Soft Cyber Security Specialist

https://www.tgsoft.it/news/news_archivio.asp?id=1746

Report completeness: Low

Industry:
Financial

Geo:
Italy, Aruba

IOCs:
Email: 5

#ParsedReport #CompletenessLow
09-06-2026

Phishing attacks leverage TikTok, Instagram Reels

https://www.reversinglabs.com/blog/social-media-attacks-phishing

Report completeness: Low

Threats:
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1105, T1204.001, T1204.002, T1204.004, T1585.001

IOCs:
File: 3
Url: 6
Domain: 4
Hash: 1

Soft:
TikTok, Instagram, Microsoft Word, CapCut

Languages:
powershell