#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговый набор под названием GHOST STADIUM нацелен на болельщиков Чемпионата мира, создавая около 3 079 мошеннических доменов, многие из которых выдают себя за продавцов билетов на английском, китайском и индийских языках. Набор использует идентифицируемые строки, такие как "2026TOfficial", и содержит артефакты JavaScript на китайском языке, что указывает на связь с конкретными злоумышленниками. Домены используют Cloudflare для обфускации и часто отклоняются от легитимных соглашений об именовании, демонстрируя тактики, такие как массовая регистрация, фронтинг через CDN и быстрая смена доменов для избежания обнаружения.
-----

Группа-ИБ выявила фишинговый набор под названием GHOST STADIUM, который целенаправленно ориентирован на болельщиков Чемпионата мира и покупателей билетов. Анализ выявил значительное количество активных доменов, в общей сложности около 3 079, при этом многие из них имитируют англоязычных продавцов билетов, а большинство — на других языках, в частности китайском и индийском. Эта активность совпадает по времени с официальными соглашениями FIFA о трансляции в этих регионах, что указывает на оппортунистический подход, применяемый злоумышленниками.

Фишинговый набор использует определенные строки, которые служат сильными индикаторами его присутствия. Например, строка "2026TOfficial" и плохо структурированная маркетинговая фраза, связанная с Чемпионатом мира, служат отличительными отпечатками. Эти аномалии маловероятны для появления в легитимных коммуникациях FIFA, что делает их полезными для выявления мошеннических доменов. Дополнительный анализ подтвердил наличие артефактов китайского языка в JavaScript набора, предоставляя дополнительные доказательства, связывающие набор с конкретными злоумышленниками из определенного географического региона.

Большинство обнаруженных доменов используют Cloudflare для доставки контента, что скрывает их исходные IP-адреса и усложняет анализ инфраструктуры стандартными методами. Интересно, что часть активных доменов отклоняется от ожидаемых соглашений об именовании сайтов для продажи билетов ФИФА, что указывает на сочетание прямого злоупотребления брендом с различными фишинговыми схемами для уклонения от обнаружения с помощью базовых эвристик доменов.

Исследование использовало комбинацию инструментов, включая Python SDK от Validin, что облегчало анализ данных разрешения DNS и регистрации. Этот метод позволил аналитикам отличать активные домены от неактивных, усиливая идентификацию текущих фишинговых кампаний. Результаты указывают на общую закономерность в фишинговой инфраструктуре, характеризующуюся тактиками, такими как массовая регистрация доменов, выборочная активация, повторное использование фишинговых наборов, использование CDN для маскировки и быстрая смена доменных имен для опережения систем обнаружения.

Ключевыми индикаторами для защитников являются аномальные HTML-строки, некорректные маркетинговые фразы, часто повторяющиеся URL-адреса, связанные с мероприятиями Чемпионата мира по футболу, и распространённость комментариев на китайском языке. Фишинговые домены также характеризовались изменениями в DNS после регистрации, что указывает на стратегию, использующую термины, связанные с ФИФА, для повышения своей легитимности и заманивания неосведомлённых жертв. Это подчёркивает необходимость постоянной бдительности и мониторинга аналогичных тактик среди организаций в ожидании подобных фишинговых схем, особенно во время крупных мероприятий, таких как Чемпионат мира по футболу.

#ParsedReport #CompletenessMedium
11-06-2026

The Anubis Ransomware Attack on the Adriatic Port Authority

https://www.resecurity.com/blog/article/the-anubis-ransomware-attack-on-the-adriatic-port-authority

Report completeness: Medium

Threats:
Anubis
Supply_chain_technique
Eternal_petya
Ryuk
Lockbit
Citrix_bleed2_vuln
Spear-phishing_technique
Smuggling_technique

Victims:
Port authorities, Maritime operators, Critical infrastructure, Supply chains, Adriatic region

Industry:
Iot, Government, Healthcare, Transport, Aerospace, E-commerce, Maritime, Critical_infrastructure, Logistic, Financial

Geo:
Israeli, Spain, Australia, Japan, Canada, Iran, Russian, Portugal, Peru

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1078, T1133, T1190, T1204.002, T1486, T1566.001

Soft:
QEMU, Android, Office 365

Crypto:
bitcoin

Algorithms:
exhibit

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя Anubis на Адриатическую портовую администрацию нарушила работу инфраструктуры, используя уязвимости в критических компонентах, и была инициирована через целевой фишинг, доставивший вредоносное ПО. Злоумышленники использовали повышение привилегий и незакрытые уязвимости для шифрования большого количества файлов и потребовали выкуп в размере 10 миллионов долларов в Bitcoin, угрожая утечкой конфиденциальных данных. Этот инцидент подчеркивает растущий тренд использования программ-вымогателей против портов и сложные методы, применяемые злоумышленниками, включая кражу учетных данных и продвинутую социальную инженерию.
-----

Атака с использованием вымогательского ПО Anubis на Адриатическую портовую администрацию значительно нарушила работу и морскую логистику в регионе, подчеркнув уязвимости критической инфраструктуры. Эта атака, приписываемая сложной группе, известной тем, что она нацеливается на государственные и корпоративные структуры, выделяет растущий тренд вымогательского ПО, специально направленного против портовых администраций. Вымогательское ПО Anubis характеризуется своими возможностями шифровать файлы, эксфильтровать конфиденциальные данные и использовать тактики двойного вымогательства, где угрозы утечки данных усиливают давление на жертв. Атака использует передовые техники, такие как фишинг, кража учетных данных и эксплуатация уязвимостей системы, для получения первоначального доступа.

Проникновение в Порт Adriatic началось с целевого фишингового письма, которое доставило программу-вымогатель в его сеть. Оказавшись внутри, злоумышленники использовали повышение привилегий для перемещения по сети и эксплуатировали не исправленные уязвимости для захвата контроля над критическими системами. Они зашифровали тысячи файлов, сделав недоступными такие важные функции, как отслеживание грузов и таможенное оформление, и потребовали выкуп в размере 10 миллионов долларов США в биткоинах, угрожая раскрыть украденные конфиденциальные данные.

Последствия атаки вышли за рамки непосредственных операционных сбоев, вызвав значительные экономические потери и подорвав репутационное доверие к способности порта защищать свою инфраструктуру. Инцидент продемонстрировал, что критическая инфраструктура, такая как порты, сталкивается со значительными угрозами со стороны групп вымогателей из-за их часто устаревших ИТ-систем и недостаточных мер кибербезопасности. Примечательно, что нацеливание на учетные записи сотрудников, управляющих этими системами, подчеркнуло аспект социальной инженерии в стратегии злоумышленников.

Группа вымогательского ПО Anubis активно продвигает свои операции на форумах киберкриминала и управляет аффилиатной сетью, характеризующейся значительным объемом генерируемой выручки и сложными структурами монетизации. Такой модульный подход к вымогательскому ПО, наряду с акцентом на двойное вымогательство, отражает способность группы адаптироваться в рамках развивающейся экосистемы вымогательского ПО, что соответствует растущим тенденциям в сфере киберкриминала.

Инцидент вызвал масштабные реакции, включая изоляцию затронутых систем, криминалистический анализ и переговоры о выплатах выкупа, хотя и в рамках рекомендаций не выполнять требования, чтобы не стимулировать дальнейшие атаки. Рекомендации по будущему смягчению последствий подчеркивают необходимость надежных практик кибербезопасности, включая внедрение моделей безопасности с нулевым доверием, регулярное обновление программного обеспечения, обучение сотрудников защите от фишинг, улучшение стратегий резервного копирования и сотрудничество с экспертами по кибербезопасности для упреждающего устранения уязвимостей.

#ParsedReport #CompletenessLow
12-06-2026

Akira, LimeWire, and the Sour Taste of Data Exfiltration

https://www.huntress.com/blog/akira-ransomware-limewire-data-exfiltration

Report completeness: Low

Threats:
Akira_ransomware
Limewire_tool
Restic_tool
S5cmd_tool
Megasync_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1048, T1087.002, T1486, T1560.001, T1562.001, T1567

IOCs:
File: 4
Hash: 1

Soft:
LimeWire, Microsoft Defender, WinRAR, Microsoft Edge, Active Directory, WinSCP

Algorithms:
sha256

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
При атаке с использованием программы-вымогателя Akira злоумышленник получил доступ к гипервизору для создания новой виртуальной машины (VM), используя её в качестве промежуточной площадки для обхода средств защиты. Он выполнил перечисление ресурсов Active Directory, архивировал данные с помощью WinRAR и использовал WinSCP для эксфильтрации данных после отключения Microsoft Defender. Атакующий передал зашифрованные файлы через Easyupload.io, что указывает на тенденцию злоумышленников эксплуатировать общедоступные сервисы для облегчения своей злонамеренной деятельности, отражая эволюцию ландшафта киберугроз.
-----

В ходе недавнего инцидента с программой-вымогателем Akira злоумышленник использовал среду жертвы, получив доступ к гипервизору для создания новой виртуальной машины (VM). Эта VM служила промежуточной площадкой для запуска программы-вымогателя Akira, что представляет собой интересный пример того, как атакующие используют виртуализацию для обхода мер безопасности. Согласно криминалистическому анализу, на этой вновь созданной VM отсутствовали какие-либо существующие средства защиты, такие как агент Huntress, что облегчило действия злоумышленника.

Злоумышленник тщательно перечислил пользователей и компьютеры Active Directory, используя Блокнот для просмотра конкретных выходных файлов, включая AdUsers.txt и AdComp.txt. После этого они перешли к файловому серверу организации, применяя широко доступные инструменты, такие как WinRAR, для архивирования содержимого папок. Затем был использован WinSCP, файловый менеджер с открытым исходным кодом, предположительно для эксфильтрации архивированных данных.

Значимым фактом стало то, что злоумышленник отключил Microsoft Defender вскоре после входа в виртуальную машину, что позволило ему запускать вредоносные программы без помех. Он переименовал кроссплатформенную версию исполняемого файла шифровальщика Akira в "akira.exe", прежде чем искать в интернете способ передачи подготовленных данных. Анализ показал, что для этой эксфильтрации данных использовался сервис Easyupload.io — сервис обмена файлами, связанный с историческим приложением LimeWire. Это отражает более широкую тенденцию, при которой злоумышленники используют кажущиеся безобидными сервисы в злонамеренных целях, что согласуется с другими наблюдаемыми методами, такими как использование платформ облачного хранения и утилит резервного копирования.

Переход на новую виртуальную машину не только предоставил злоумышленнику расширенные возможности, но и оставил четкий след его действий, поскольку отсутствие модификаций в виртуальной машине позволило провести прозрачный аудит событий, предшествовавших развертыванию программы-вымогателя. Отсутствие других техник обхода защиты дополнительно подчеркивает уверенность злоумышленника в контроле, который он осуществляет над скомпрометированной средой. Этот инцидент демонстрирует эволюцию тактик, используемых аффилиатами программ-вымогателей, а также сохраняющиеся риски, связанные с виртуализованными средами при отсутствии надлежащих мер безопасности.

#ParsedReport #CompletenessHigh
14-06-2026

Analysis of APT37 NarwhalRAT based on MS Impersonation Phishing and Dead-drop C2

https://www.genians.co.kr/blog/threat_intelligence/narwhalrat

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)

Threats:
Narwhalrat
Dead_drop_technique
Spear-phishing_technique
Rokrat
Sandbox_evasion_technique
Lolbin_technique

Victims:
South korean users

Geo:
South korean, South korea, Korea, Korean

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 5
Command: 1
File: 16
Path: 1
Url: 2
Hash: 4
IP: 6

Soft:
curl, Windows security, Windows Task Scheduler, VirtualBox, hyperv, macOS, Internet Explorer, task scheduler

Algorithms:
md5, zip, aes, xor, base64, aes-128, sha256

Functions:
chr, inside, RtlMoveMemory, SHGetFolderPathA

Win API:
VirtualAlloc, CreateMutexW, GetLastError, GetFileAttributesA, CreateDirectoryA, SetFileAttributesA, SHGetFolderPathA, SHCreateDirectoryExA, CryptDeriveKey, GetForegroundWindow, have more...

Languages:
powershell, python

Links:
https://github.com/LOLBAS-Project/LOLBAS

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 2, code: 2, dump: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания NarwhalRAT APT37 нацелена на пользователей Южной Кореи с использованием сложных методов целевого фишинга, опираясь на вредоносные LNK-файлы, доставляемые через ZIP-архивы. ВПО, запускаемое с помощью команд PowerShell и Batch, использует расширенные функции, такие как регистрация нажатий клавиш, захват экрана и сбор данных с USB-устройств, а также имеет двойной механизм управления, который скрывает его работу через API pCloud. Усовершенствованные техники уклонения, включая выполнение в памяти и динамическое изменение команд, позволяют ему избегать обнаружения и обеспечивать закрепление через Планировщик задач Windows, усложняя усилия по анализу и реагированию.
-----

APT37, известный как кампания NarwhalRAT, нацелен на пользователей в Южной Корее с использованием сложных методов проникновения.

Атака начинается с целевого фишингового письма, которое выглядит как предупреждение безопасности от команды Microsoft Account, содержащее вредоносный LNK-файл в ZIP-архиве.

NarwhalRAT устанавливается с помощью последовательности команд PowerShell и Batch, полученных из скомпилированного Python-скрипта.

После запуска NarwhalRAT обеспечивает регистрацию нажатий клавиш, захват экрана, сбор данных с USB и выполнение удалённых команд.

Вредоносное ПО использует двойной механизм управления (C2), в основном связываясь через южнокорейские веб-сайты и API pCloud.

Используется резолвер мёртвой точки для маскировки адресов C2-серверов и усложнения обнаружения.

NarwhalRAT маскирует свою деятельность, загружая компоненты Python из легитимных источников.

Он использует различные техники обфускации, включая динамическое изменение команд выполнения и использование легитимных инструментов Windows, таких как curl.exe, для скрытых загрузок.

Временное хранилище и рабочая директория с именем "naverwhale" служат для маскировки его присутствия среди распространённых южнокорейских приложений.

Закрепление обеспечивается через Планировщик заданий Windows, что гарантирует выполнение ВПО после перезагрузки системы.

Создаются зашифрованные конфигурационные файлы для хранения адресов командных серверов и операционных параметров, что повышает устойчивость.

NarwhalRAT может динамически переключать каналы C2 для повышения живучести против обнаружения.

Стратегии выполнения в памяти позволяют ему избегать обнаружения по файлам, а модуль ctypes языка Python обеспечивает прямой вызов API Windows.

Операционная архитектура поддерживает множество командных префиксов, предоставляя злоумышленникам всесторонний удалённый контроль над функциональностью.

Зашифрованные коммуникации дополнительно усложняют усилия по анализу и обнаружению, отражая тенденцию в продвинутых постоянных угрозах к эффективной эксплуатации и эксфильтрации данных.

#ParsedReport #CompletenessHigh
15-06-2026

The Quarry: Inside the PhaaS Operation Behind Hundreds of IRS and SSA Phishing Campaigns

https://socradar.io/blog/the-quarry-phaas-irs-ssa-phishing/

Report completeness: High

Actors/Campaigns:
The_quarry (motivation: financially_motivated)
Rockybelling

Threats:
Cloaking_technique
Screenconnect_tool
Adspect_tool
Uac_bypass_technique
Credential_harvesting_technique
Evilginx_tool
Violet_rat
Madoo_blaster_tool
Credential_dumping_technique
Centrastage_tool
Tiflux_tool
Fleetdeck_tool

Victims:
United states taxpayers, Organizations with cloud credentials

Industry:
Telco, Healthcare, Entertainment, Government, Ngo, Education, E-commerce, Financial, Retail, Logistic

Geo:
Germany, Japan, Brazil, Egypt, Canada, United states

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.001, T1059.005, T1070.004, T1071.001, T1083, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 8
Hash: 7

Soft:
Telegram, Dropbox, Gmail, macOS, Linux, Chrome

Algorithms:
rsa-4096, md5, base64, aes

Functions:
safe_cleanup

Win API:
pie, Stream

Languages:
powershell, php, javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Quarry — это операция Фишинг как услуга, возглавляемая злоумышленником RockyBelling, предоставляющая набор инструментов для фишинговых кампаний, нацеленных на такие организации, как IRS. В ней используются модульные компоненты для фишинга, маскировки и удалённого доступа, при этом для обеспечения скрытности применяется легитимное программное обеспечение RMM. Операция включает каплю на Visual Basic Script, представленную в апреле 2026 года, которая выполняет вредоносные нагрузки без взаимодействия с пользователем, а также автоматизированные процессы, облегчающие нацеливание на жертв и эксфильтрацию данных, с связями на деятельность брокеров первоначального доступа.
-----

The Quarry — это операция Фишинг как услуга, возглавляемая актором, известным как RockyBelling.

Почти 200 аффилированных лиц используют этот набор инструментов для фишинговых кампаний, имитирующих деятельность Налоговой службы США (IRS) и Администрации социального обеспечения.

Операция началась не позднее апреля 2025 года и использует Телеграм для управления.

Набор инструментов включает фишинговые наборы, средства маскировки, ПО для удаленного доступа и скрипты постэксплуатации.

Он эксплуатирует текущие события, особенно в период налогового сезона в США.

Легитимное программное обеспечение RMM, в основном ScreenConnect, используется для обхода обнаружения с помощью обычных сигнатур вредоносного ПО.

Маскировка трафика через Adspect отводит автоматизированные сканеры от фишинговых страниц, направляя их только на реальных жертв.

Жизненный цикл атаки включает сбор и массовую рассылку электронных писем с приманками в виде документов по налогам США.

Первичная фильтрация проверяет операционные системы и включает маскировку после того, как жертва взаимодействует с полезной нагрузкой.

Жертвы получают целевой фишинговый контент и загружают вредоносный установщик RMM для предоставления доступа оператору.

В апреле 2026 года был представлен VBS-дроппер, обходящий взаимодействие с браузером и выполняющий полезную нагрузку при открытии вложения.

Этот дроппер стремится получить повышенные права для загрузки как установщика RMM, так и файлов-приманок.

Инструменты постэксплуатации включают скрипты для эксфильтрации данных, такие как сбор истории браузера и поиск конфиденциальных документов.

Операция может быть связана с деятельностью брокеров первоначального доступа, при которой украденные учетные данные перепродаются для дальнейшей эксплуатации.

Индикаторы компрометации включают доменные имена, сочетающие финансовые термины с дескрипторами порталов, и уникальные имена файлов PHP, связанные с инструментарием.

Нестандартные установки инструментов RMM на конечных точках служат IoC для выявления операций The Quarry.

Для снижения рисков организациям следует ограничить несанкционированные инструменты RMM, контролировать трафик API Телеграм и обучать сотрудников распознаванию фишинга.

Непрерывное наблюдение и адаптация стратегий защиты необходимы для противодействия этой меняющейся угрожающей среде.

#ParsedReport #CompletenessMedium
14-06-2026

Inside the Miasma Software Supply Chain Attack Toolkit

https://safedep.io/inside-the-miasma-supply-chain-attack-toolkit

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Miasma
Credential_harvesting_technique
Typosquatting_technique
Shai-hulud
Tanium_tool

Victims:
Software development, Open source projects, Package registries, Github repositories, Github actions, Ai coding tools users, Cloud environments

Geo:
Russian

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 20

Soft:
Claude, Kubernetes, HashiCorp Vault, 1Password, Bitwarden, VSCode, sudo, docker, alpine, Microsoft Defender for Endpoint, have more...

Algorithms:
pbkdf2, aes-256-gcm, sha256, base64, aes-256-cbc, rsa-4096, aes, aes-128-gcm

Functions:
main, gatherQuickResults, getTokenMetadata, createEnvelope, always, handlePypiTokens, hasHostileEDR, c2Checkin, eval, buildSelfExtractingPayload, have more...

Win API:
MD

Win Services:
sentinelagent

Languages:
ruby, javascript, python, php, typescript

Links:
https://github.com/YangYongAn/Miasma-Open-Source-Release
have more...
https://github.com/safedep/pmg/blob/main/docs/sandbox.md
https://github.com/safedep/pmg

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор инструментов Miasma с открытым исходным кодом нацелен на цепочки поставок программного обеспечения, эксплуатируя скомпрометированные учетные записи разработчиков в таких экосистемах, как npm и GitHub, используя украденные токены GitHub для выполнения атак без традиционной инфраструктуры C2. Его архитектура включает сбор учетных записей, распространение и эксфильтрацию информации, используя передовые методы, такие как переключатели мертвого человека и методы инъекции, для поддержания скрытности. Набор инструментов интегрируется с инструментами программирования на основе ИИ, облегчая эксплуатацию уязвимостей, одновременно применяя полиморфные полез
-----

Miasma — это набор инструментов для атак на цепочку поставок с открытым исходным кодом, который использует скомпрометированные учетные записи разработчиков и программные экосистемы.

Он управляет публичными реестрами программного обеспечения, такими как PyPI, npm и RubyGems, а также взаимодействует с репозиториями и действиями GitHub.

Набор инструментов использует украденные персональные токены доступа GitHub (PAT) для обхода мер безопасности без традиционной инфраструктуры управления (C2).

Miasma включает операционные слои для сбора учетных записей, распространения и эксфильтрации конфиденциальной информации.

Он использует GitHub для поддержания оперативной скрытности и обхода сетевой детекции.

Расширенные техники включают переключатели «мертвой руки», которые очищают домашний каталог жертвы при отзыве токена, а также генерацию действительных пакетов происхождения Sigstore для троянизированных пакетов npm.

Архитектура имеет манипуляторы для внедрения в среды разработки и поддерживает как быстрые, так и медленные маршруты распространения.

Быстрый путь обеспечивает быструю эксфильтрацию учетных данных, тогда как медленный путь использует незаметные методы, такие как внедрение в существующие файлы проекта или использование сиротских коммитов.

Miasma включает режим типографской мутации для отправки вредоносных пакетов.

Она интегрируется с инструментами программирования на базе ИИ и может перехватывать GitHub Actions, обходя правила защиты репозиториев.

Сбор учетных данных создает категоризированное хранилище токенов, активируя эксфильтрацию при достижении порога.

Элемент-оркестратор отслеживает учетные данные на предмет возможностей эксфильтрации, усиливая самораспространение.

Полиморфные полезная нагрузка обладают уникальной обфускацией для каждой сборки, чтобы избежать обнаружения.

Дизайн набора инструментов ориентирован на автоматизацию, закрепление и стратегическое уклонение, что указывает на сдвиг в сторону использования таких платформ, как GitHub, для атак.

Эта эволюция сигнализирует о возросшей сложности угроз в Цепочка поставок программного обеспечения и подчеркивает необходимость мер безопасности, направленных на устранение уязвимостей приложений и учетных данных.

#ParsedReport #CompletenessMedium
15-06-2026

Dark Web Profile: Fox Kitten

https://socradar.io/blog/dark-web-profile-fox-kitten/

Report completeness: Medium

Actors/Campaigns:
Fox_kitten (motivation: cyber_espionage)
Irgc

Threats:
Chinachopper
Chunkytuna
Hanifnet
Hxlibrary
Neoexpressrat
Shadow_copies_delete_technique
Credential_harvesting_technique
Procdump_tool
Angry_ip_scanner_tool
Putty_tool
Plink_tool
Tightvnc_tool
Frpc_tool
Ngrok_tool
Reversesocks5_tool
Sshminion_tool
Timestomp_technique
Chisel_tool
Meshcentral_tool
Noescape
Ransomhouse
Blackcat
Pay2key
Psexec_tool
Credential_dumping_technique

Victims:
Oil and gas, Technology, Government, Defense, Healthcare, Manufacturing, Engineering, Finance, Education, Telecommunications, have more...

Industry:
Government, Critical_infrastructure, Telco, Petroleum, Education, Healthcare, Financial

Geo:
America, Israeli, Middle east, China, Africa, Australia, Iranian, Israel, United states, Azerbaijan, Arab emirates, United arab emirates

CVEs:
CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum_spark_firmware (r80.40)

CVE-2019-11510 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (8.2, 8.3, 9.0)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)

CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_advanced_firewall_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_acceleration_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_security_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...
CVE-2020-5902 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, le15.0.1.4)
- f5 big-ip_advanced_firewall_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_advanced_web_application_firewall (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_analytics (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_application_acceleration_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
have more...

TTPs:
Tactics: 10
Technics: 47

IOCs:
File: 6

Soft:
BIG-IP, PAN-OS, PsExec, prodump, Active Directory, KeePass, WizTree, Chrome, TightVNC, Twitter, have more...

Algorithms:
base64

Languages:
perl, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, table: 1, schema: 1