#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
При атаке с использованием программы-вымогателя Akira злоумышленник получил доступ к гипервизору для создания новой виртуальной машины (VM), используя её в качестве промежуточной площадки для обхода средств защиты. Он выполнил перечисление ресурсов Active Directory, архивировал данные с помощью WinRAR и использовал WinSCP для эксфильтрации данных после отключения Microsoft Defender. Атакующий передал зашифрованные файлы через Easyupload.io, что указывает на тенденцию злоумышленников эксплуатировать общедоступные сервисы для облегчения своей злонамеренной деятельности, отражая эволюцию ландшафта киберугроз.
-----

В ходе недавнего инцидента с программой-вымогателем Akira злоумышленник использовал среду жертвы, получив доступ к гипервизору для создания новой виртуальной машины (VM). Эта VM служила промежуточной площадкой для запуска программы-вымогателя Akira, что представляет собой интересный пример того, как атакующие используют виртуализацию для обхода мер безопасности. Согласно криминалистическому анализу, на этой вновь созданной VM отсутствовали какие-либо существующие средства защиты, такие как агент Huntress, что облегчило действия злоумышленника.

Злоумышленник тщательно перечислил пользователей и компьютеры Active Directory, используя Блокнот для просмотра конкретных выходных файлов, включая AdUsers.txt и AdComp.txt. После этого они перешли к файловому серверу организации, применяя широко доступные инструменты, такие как WinRAR, для архивирования содержимого папок. Затем был использован WinSCP, файловый менеджер с открытым исходным кодом, предположительно для эксфильтрации архивированных данных.

Значимым фактом стало то, что злоумышленник отключил Microsoft Defender вскоре после входа в виртуальную машину, что позволило ему запускать вредоносные программы без помех. Он переименовал кроссплатформенную версию исполняемого файла шифровальщика Akira в "akira.exe", прежде чем искать в интернете способ передачи подготовленных данных. Анализ показал, что для этой эксфильтрации данных использовался сервис Easyupload.io — сервис обмена файлами, связанный с историческим приложением LimeWire. Это отражает более широкую тенденцию, при которой злоумышленники используют кажущиеся безобидными сервисы в злонамеренных целях, что согласуется с другими наблюдаемыми методами, такими как использование платформ облачного хранения и утилит резервного копирования.

Переход на новую виртуальную машину не только предоставил злоумышленнику расширенные возможности, но и оставил четкий след его действий, поскольку отсутствие модификаций в виртуальной машине позволило провести прозрачный аудит событий, предшествовавших развертыванию программы-вымогателя. Отсутствие других техник обхода защиты дополнительно подчеркивает уверенность злоумышленника в контроле, который он осуществляет над скомпрометированной средой. Этот инцидент демонстрирует эволюцию тактик, используемых аффилиатами программ-вымогателей, а также сохраняющиеся риски, связанные с виртуализованными средами при отсутствии надлежащих мер безопасности.

#ParsedReport #CompletenessHigh
14-06-2026

Analysis of APT37 NarwhalRAT based on MS Impersonation Phishing and Dead-drop C2

https://www.genians.co.kr/blog/threat_intelligence/narwhalrat

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)

Threats:
Narwhalrat
Dead_drop_technique
Spear-phishing_technique
Rokrat
Sandbox_evasion_technique
Lolbin_technique

Victims:
South korean users

Geo:
South korean, South korea, Korea, Korean

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 5
Command: 1
File: 16
Path: 1
Url: 2
Hash: 4
IP: 6

Soft:
curl, Windows security, Windows Task Scheduler, VirtualBox, hyperv, macOS, Internet Explorer, task scheduler

Algorithms:
md5, zip, aes, xor, base64, aes-128, sha256

Functions:
chr, inside, RtlMoveMemory, SHGetFolderPathA

Win API:
VirtualAlloc, CreateMutexW, GetLastError, GetFileAttributesA, CreateDirectoryA, SetFileAttributesA, SHGetFolderPathA, SHCreateDirectoryExA, CryptDeriveKey, GetForegroundWindow, have more...

Languages:
powershell, python

Links:
https://github.com/LOLBAS-Project/LOLBAS

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 2, code: 2, dump: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания NarwhalRAT APT37 нацелена на пользователей Южной Кореи с использованием сложных методов целевого фишинга, опираясь на вредоносные LNK-файлы, доставляемые через ZIP-архивы. ВПО, запускаемое с помощью команд PowerShell и Batch, использует расширенные функции, такие как регистрация нажатий клавиш, захват экрана и сбор данных с USB-устройств, а также имеет двойной механизм управления, который скрывает его работу через API pCloud. Усовершенствованные техники уклонения, включая выполнение в памяти и динамическое изменение команд, позволяют ему избегать обнаружения и обеспечивать закрепление через Планировщик задач Windows, усложняя усилия по анализу и реагированию.
-----

APT37, известный как кампания NarwhalRAT, нацелен на пользователей в Южной Корее с использованием сложных методов проникновения.

Атака начинается с целевого фишингового письма, которое выглядит как предупреждение безопасности от команды Microsoft Account, содержащее вредоносный LNK-файл в ZIP-архиве.

NarwhalRAT устанавливается с помощью последовательности команд PowerShell и Batch, полученных из скомпилированного Python-скрипта.

После запуска NarwhalRAT обеспечивает регистрацию нажатий клавиш, захват экрана, сбор данных с USB и выполнение удалённых команд.

Вредоносное ПО использует двойной механизм управления (C2), в основном связываясь через южнокорейские веб-сайты и API pCloud.

Используется резолвер мёртвой точки для маскировки адресов C2-серверов и усложнения обнаружения.

NarwhalRAT маскирует свою деятельность, загружая компоненты Python из легитимных источников.

Он использует различные техники обфускации, включая динамическое изменение команд выполнения и использование легитимных инструментов Windows, таких как curl.exe, для скрытых загрузок.

Временное хранилище и рабочая директория с именем "naverwhale" служат для маскировки его присутствия среди распространённых южнокорейских приложений.

Закрепление обеспечивается через Планировщик заданий Windows, что гарантирует выполнение ВПО после перезагрузки системы.

Создаются зашифрованные конфигурационные файлы для хранения адресов командных серверов и операционных параметров, что повышает устойчивость.

NarwhalRAT может динамически переключать каналы C2 для повышения живучести против обнаружения.

Стратегии выполнения в памяти позволяют ему избегать обнаружения по файлам, а модуль ctypes языка Python обеспечивает прямой вызов API Windows.

Операционная архитектура поддерживает множество командных префиксов, предоставляя злоумышленникам всесторонний удалённый контроль над функциональностью.

Зашифрованные коммуникации дополнительно усложняют усилия по анализу и обнаружению, отражая тенденцию в продвинутых постоянных угрозах к эффективной эксплуатации и эксфильтрации данных.

#ParsedReport #CompletenessHigh
15-06-2026

The Quarry: Inside the PhaaS Operation Behind Hundreds of IRS and SSA Phishing Campaigns

https://socradar.io/blog/the-quarry-phaas-irs-ssa-phishing/

Report completeness: High

Actors/Campaigns:
The_quarry (motivation: financially_motivated)
Rockybelling

Threats:
Cloaking_technique
Screenconnect_tool
Adspect_tool
Uac_bypass_technique
Credential_harvesting_technique
Evilginx_tool
Violet_rat
Madoo_blaster_tool
Credential_dumping_technique
Centrastage_tool
Tiflux_tool
Fleetdeck_tool

Victims:
United states taxpayers, Organizations with cloud credentials

Industry:
Telco, Healthcare, Entertainment, Government, Ngo, Education, E-commerce, Financial, Retail, Logistic

Geo:
Germany, Japan, Brazil, Egypt, Canada, United states

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.001, T1059.005, T1070.004, T1071.001, T1083, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 8
Hash: 7

Soft:
Telegram, Dropbox, Gmail, macOS, Linux, Chrome

Algorithms:
rsa-4096, md5, base64, aes

Functions:
safe_cleanup

Win API:
pie, Stream

Languages:
powershell, php, javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Quarry — это операция Фишинг как услуга, возглавляемая злоумышленником RockyBelling, предоставляющая набор инструментов для фишинговых кампаний, нацеленных на такие организации, как IRS. В ней используются модульные компоненты для фишинга, маскировки и удалённого доступа, при этом для обеспечения скрытности применяется легитимное программное обеспечение RMM. Операция включает каплю на Visual Basic Script, представленную в апреле 2026 года, которая выполняет вредоносные нагрузки без взаимодействия с пользователем, а также автоматизированные процессы, облегчающие нацеливание на жертв и эксфильтрацию данных, с связями на деятельность брокеров первоначального доступа.
-----

The Quarry — это операция Фишинг как услуга, возглавляемая актором, известным как RockyBelling.

Почти 200 аффилированных лиц используют этот набор инструментов для фишинговых кампаний, имитирующих деятельность Налоговой службы США (IRS) и Администрации социального обеспечения.

Операция началась не позднее апреля 2025 года и использует Телеграм для управления.

Набор инструментов включает фишинговые наборы, средства маскировки, ПО для удаленного доступа и скрипты постэксплуатации.

Он эксплуатирует текущие события, особенно в период налогового сезона в США.

Легитимное программное обеспечение RMM, в основном ScreenConnect, используется для обхода обнаружения с помощью обычных сигнатур вредоносного ПО.

Маскировка трафика через Adspect отводит автоматизированные сканеры от фишинговых страниц, направляя их только на реальных жертв.

Жизненный цикл атаки включает сбор и массовую рассылку электронных писем с приманками в виде документов по налогам США.

Первичная фильтрация проверяет операционные системы и включает маскировку после того, как жертва взаимодействует с полезной нагрузкой.

Жертвы получают целевой фишинговый контент и загружают вредоносный установщик RMM для предоставления доступа оператору.

В апреле 2026 года был представлен VBS-дроппер, обходящий взаимодействие с браузером и выполняющий полезную нагрузку при открытии вложения.

Этот дроппер стремится получить повышенные права для загрузки как установщика RMM, так и файлов-приманок.

Инструменты постэксплуатации включают скрипты для эксфильтрации данных, такие как сбор истории браузера и поиск конфиденциальных документов.

Операция может быть связана с деятельностью брокеров первоначального доступа, при которой украденные учетные данные перепродаются для дальнейшей эксплуатации.

Индикаторы компрометации включают доменные имена, сочетающие финансовые термины с дескрипторами порталов, и уникальные имена файлов PHP, связанные с инструментарием.

Нестандартные установки инструментов RMM на конечных точках служат IoC для выявления операций The Quarry.

Для снижения рисков организациям следует ограничить несанкционированные инструменты RMM, контролировать трафик API Телеграм и обучать сотрудников распознаванию фишинга.

Непрерывное наблюдение и адаптация стратегий защиты необходимы для противодействия этой меняющейся угрожающей среде.

#ParsedReport #CompletenessMedium
14-06-2026

Inside the Miasma Software Supply Chain Attack Toolkit

https://safedep.io/inside-the-miasma-supply-chain-attack-toolkit

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Miasma
Credential_harvesting_technique
Typosquatting_technique
Shai-hulud
Tanium_tool

Victims:
Software development, Open source projects, Package registries, Github repositories, Github actions, Ai coding tools users, Cloud environments

Geo:
Russian

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 20

Soft:
Claude, Kubernetes, HashiCorp Vault, 1Password, Bitwarden, VSCode, sudo, docker, alpine, Microsoft Defender for Endpoint, have more...

Algorithms:
pbkdf2, aes-256-gcm, sha256, base64, aes-256-cbc, rsa-4096, aes, aes-128-gcm

Functions:
main, gatherQuickResults, getTokenMetadata, createEnvelope, always, handlePypiTokens, hasHostileEDR, c2Checkin, eval, buildSelfExtractingPayload, have more...

Win API:
MD

Win Services:
sentinelagent

Languages:
ruby, javascript, python, php, typescript

Links:
https://github.com/YangYongAn/Miasma-Open-Source-Release
have more...
https://github.com/safedep/pmg/blob/main/docs/sandbox.md
https://github.com/safedep/pmg

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор инструментов Miasma с открытым исходным кодом нацелен на цепочки поставок программного обеспечения, эксплуатируя скомпрометированные учетные записи разработчиков в таких экосистемах, как npm и GitHub, используя украденные токены GitHub для выполнения атак без традиционной инфраструктуры C2. Его архитектура включает сбор учетных записей, распространение и эксфильтрацию информации, используя передовые методы, такие как переключатели мертвого человека и методы инъекции, для поддержания скрытности. Набор инструментов интегрируется с инструментами программирования на основе ИИ, облегчая эксплуатацию уязвимостей, одновременно применяя полиморфные полез
-----

Miasma — это набор инструментов для атак на цепочку поставок с открытым исходным кодом, который использует скомпрометированные учетные записи разработчиков и программные экосистемы.

Он управляет публичными реестрами программного обеспечения, такими как PyPI, npm и RubyGems, а также взаимодействует с репозиториями и действиями GitHub.

Набор инструментов использует украденные персональные токены доступа GitHub (PAT) для обхода мер безопасности без традиционной инфраструктуры управления (C2).

Miasma включает операционные слои для сбора учетных записей, распространения и эксфильтрации конфиденциальной информации.

Он использует GitHub для поддержания оперативной скрытности и обхода сетевой детекции.

Расширенные техники включают переключатели «мертвой руки», которые очищают домашний каталог жертвы при отзыве токена, а также генерацию действительных пакетов происхождения Sigstore для троянизированных пакетов npm.

Архитектура имеет манипуляторы для внедрения в среды разработки и поддерживает как быстрые, так и медленные маршруты распространения.

Быстрый путь обеспечивает быструю эксфильтрацию учетных данных, тогда как медленный путь использует незаметные методы, такие как внедрение в существующие файлы проекта или использование сиротских коммитов.

Miasma включает режим типографской мутации для отправки вредоносных пакетов.

Она интегрируется с инструментами программирования на базе ИИ и может перехватывать GitHub Actions, обходя правила защиты репозиториев.

Сбор учетных данных создает категоризированное хранилище токенов, активируя эксфильтрацию при достижении порога.

Элемент-оркестратор отслеживает учетные данные на предмет возможностей эксфильтрации, усиливая самораспространение.

Полиморфные полезная нагрузка обладают уникальной обфускацией для каждой сборки, чтобы избежать обнаружения.

Дизайн набора инструментов ориентирован на автоматизацию, закрепление и стратегическое уклонение, что указывает на сдвиг в сторону использования таких платформ, как GitHub, для атак.

Эта эволюция сигнализирует о возросшей сложности угроз в Цепочка поставок программного обеспечения и подчеркивает необходимость мер безопасности, направленных на устранение уязвимостей приложений и учетных данных.

#ParsedReport #CompletenessMedium
15-06-2026

Dark Web Profile: Fox Kitten

https://socradar.io/blog/dark-web-profile-fox-kitten/

Report completeness: Medium

Actors/Campaigns:
Fox_kitten (motivation: cyber_espionage)
Irgc

Threats:
Chinachopper
Chunkytuna
Hanifnet
Hxlibrary
Neoexpressrat
Shadow_copies_delete_technique
Credential_harvesting_technique
Procdump_tool
Angry_ip_scanner_tool
Putty_tool
Plink_tool
Tightvnc_tool
Frpc_tool
Ngrok_tool
Reversesocks5_tool
Sshminion_tool
Timestomp_technique
Chisel_tool
Meshcentral_tool
Noescape
Ransomhouse
Blackcat
Pay2key
Psexec_tool
Credential_dumping_technique

Victims:
Oil and gas, Technology, Government, Defense, Healthcare, Manufacturing, Engineering, Finance, Education, Telecommunications, have more...

Industry:
Government, Critical_infrastructure, Telco, Petroleum, Education, Healthcare, Financial

Geo:
America, Israeli, Middle east, China, Africa, Australia, Iranian, Israel, United states, Azerbaijan, Arab emirates, United arab emirates

CVEs:
CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum_spark_firmware (r80.40)

CVE-2019-11510 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (8.2, 8.3, 9.0)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)

CVE-2019-19781 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix application_delivery_controller_firmware (10.5, 11.1, 12.0, 12.1, 13.0)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_advanced_firewall_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_acceleration_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_security_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...
CVE-2020-5902 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, le15.0.1.4)
- f5 big-ip_advanced_firewall_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_advanced_web_application_firewall (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_analytics (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
- f5 big-ip_application_acceleration_manager (<11.6.5.2, <12.1.5.2, <13.1.3.4, <14.1.2.6, <15.0.1.4)
have more...

TTPs:
Tactics: 10
Technics: 47

IOCs:
File: 6

Soft:
BIG-IP, PAN-OS, PsExec, prodump, Active Directory, KeePass, WizTree, Chrome, TightVNC, Twitter, have more...

Algorithms:
base64

Languages:
perl, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fox Kitten — иранская хакерская группировка, спонсируемая государством, активная с 2017 года, нацеленная на организации США, Израиля и Ближнего Востока в различных секторах, включая критическую инфраструктуру. Эта группировка эксплуатирует уязвимости в VPN-концентраторах и межсетевых экранах, используя для проникновения в системы недавно раскрытые CVE. Они применяют методы кражи учетных данных, встроенные инструменты Windows, собственное ВПО и продвинутые стратегии перемещения внутри компании для поддержания постоянного доступа и проведения шпионажа, действуя под псевдонимами Pioneer Kitten и UNC757.
-----

Fox Kitten — иранская хакерская группировка, спонсируемая государством, известная своими гибридными операциями, соответствующими целям иранской разведки. Активна как минимум с 2017 года, она нацелена на организации в различных секторах, включая критическую инфраструктуру, технологии, здравоохранение и государственные структуры, преимущественно в США, Израиле и на Ближнем Востоке. Группа действует под несколькими псевдонимами, включая Pioneer Kitten и UNC757, и использует ник в подпольном форуме Br0k3r, который к 2024 году эволюционировал в xplfinder. ФБР подтвердило, что Fox Kitten помогает в операциях вымогателей, предоставляя первоначальный доступ и учетные данные в обмен на часть доходов от выкупа.

Тактика Fox Kitten строится на эксплуатации уязвимостей в устройствах периметра, доступных из интернета, в частности в VPN-концентраторах и межсетевых экранах. Они быстро превращают в оружие недавно раскрытые CVE, такие как CVE-2024-3400 и CVE-2023-3519, для проникновения в системы. После получения доступа они применяют широкий спектр техник для выполнения задач, закрепления и перемещения внутри компании, используя нативные инструменты Windows наряду с собственным ВПО. Группа сильно полагается на кражу учетных данных, часто применяя такие инструменты, как prodump, и скриптовое взаимодействие для сбора учетных данных из различных источников, включая LSASS и Active Directory.

Для закрепления Fox Kitten использует такие методы, как веб-оболочки и запланированные задачи, маскирующиеся под легитимные системные процессы, дополненные инструментами, такими как HanifNet и NeoExpressRAT, для обеспечения долгосрочного доступа. Их инфраструктура управления использует техники туннелирования с инструментами, такими как ngrok и FRPC, чтобы скрыть сетевой трафик, а также облачные сервисы, такие как AWS, для скрытого размещения своих C2-окружений.

Операционный почерк Fox Kitten также включает методичные техники перемещения внутри компании, эксплуатирующие RDP, SMB-шары и VNC-соединения. Наблюдались случаи использования ими продвинутых методов разведки для тщательного исследования внутренних сетей, что способствует эксфильтрации данных из различных источников, включая архивы электронной почты и внутренние документы.

В рамках значимых операций, таких как многолетняя кампания, направленная на критическую инфраструктуру на Ближнем Востоке с мая 2023 года по февраль 2025 года, Fox Kitten установили постоянный доступ, эксплуатируя уязвимости, и сохранили сочетание разведывательных и оперативных возможностей. Кроме того, во время кампании с использованием программ-вымогателей против израильских организаций в 2020 году они использовали креативные каналы связи для переговоров о выкупе, отдав предпочтение таким платформам, как KeyBase и Twitter.

Для снижения рисков, связанных с Fox Kitten, организациям следует приоритизировать установку исправлений для незащищенных устройств, доступных через интернет, мониторинг несанкционированных инструментов туннелирования, защиту хранимых учетных данных и обеспечение многофакторной аутентификации (MFA) на всех точках доступа. Регулярные аудиты механизмов постоянного доступа и аномальных шаблонов перемещения внутри компании необходимы для защиты от этого сложного злоумышленника, который использует уязвимости систем и слабые средства защиты.

#ParsedReport #CompletenessMedium
14-06-2026

New Data Extortion Group “Pink” Goes Big Game Hunting With Evasive Phishing Kits

https://socradar.io/blog/pink-data-extortion-group-phishing-kits/

Report completeness: Medium

Actors/Campaigns:
Pink (motivation: cyber_criminal, financially_motivated)
Cordial_spider (motivation: cyber_criminal, financially_motivated)
Luna_moth
Shinyhunters
0ktapus

Threats:
Qtox_tool
Credential_harvesting_technique
Aitm_technique
Spear-phishing_technique

Victims:
Healthcare, Technology, Financial services, Biotechnology, United states corporations, Europe, Asia

Industry:
Aerospace, Foodtech, Retail, Entertainment, Healthcare, Financial, Energy, Logistic, Transport

Geo:
America, United states, American, Japan, Ireland, Asia

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 8
Domain: 35

Soft:
Okta, Microsoft Entra, Discord, Telegram, virtualbox, Chrome, HubSpot

Functions:
WebAuthn, hostKey, hb, cr, poll, hide, show

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 8, windows: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Pink Data Extortion использует передовые техники фишинга и голосового фишинга, нацеленные на высокоценные организации, делая упор на эксфильтрацию данных, а не на шифрование. Их сложные фишинговые наборы для Okta и Microsoft Entra ID проводят обширные проверки окружения для уклонения от обнаружения, эффективно собирая учетные данные, включая обход многофакторной аутентификации (MFA) через социальную инженерию. Преимущественно активная в таких секторах, как здравоохранение и финансы в США, Pink адаптирует свои операции для максимального воздействия и скрытности благодаря надежной инфраструктуре и имитации брендинга.
-----

Группа Pink Data Extortion Group стала значимым игроком на ландшафте киберугроз, используя передовые тактики фишинга и голосового фишинга (vishing) для нацеливания на высокоценные организации. В отличие от традиционных операций с вымогательством, Pink применяет подход, основанный на учетных данных, сфокусированный на эксфильтрации данных, а не на шифровании. Группа, по-видимому, является ребрендингом существующих злоумышленников, связанных с сетью Com, делая акцент на скрытных операциях для максимизации воздействия.

Pink использует сложные фишинговые наборы, разработанные специально для сред Okta и Microsoft Entra ID. Эти наборы обладают многослойной методологией атаки, которая начинается с тщательной проверки окружения для уклонения от обнаружения исследователями безопасности. Они используют управляемые бэкендом фильтры, чтобы гарантировать, что только легитимные цели могут продолжить, в то время как автоматические сканеры немедленно блокируются. Это позволяет Pink бесшовно собирать учетные данные через адаптированный динамический пользовательский интерфейс, имитирующий реальные страницы аутентификации.

В частности, фишинговые наборы спроектированы для обхода многофакторной аутентификации (MFA) с помощью тактик социальной инженерии. Например, наборы направляют жертв на ввод кодов MFA или информации о passkey, которые они воспринимают как подлинные запросы. Первый набор, нацеленный на Microsoft Entra ID, включает функциональность, позволяющую злоумышленникам динамически манипулировать процессом передачи учетных данных, используя подключения в реальном времени для адаптации к действиям жертв. Аналогичные техники обнаружены в их наборе, специфичном для Okta, который обеспечивает бесшовный процесс сбора данных, одновременно применяя скрытые методы коммуникации для эксфильтрации.

Их операционный фокус указывает на сильную предпочтительность для таких отраслей, как здравоохранение, технологии и финансовые услуги, преимущественно в Соединенных Штатах, с целью реализации стратегии, называемой «Охота на крупных китов». Этот выбор целей соответствует потенциально высокой прибыльности организации, учитывая чувствительный характер данных, обрабатываемых этими секторами. Инфраструктура, лежащая в основе операций Pink, также демонстрирует высокую зависимость от надежных услуг хостинга и тактик регистрации доменов, включая регистрацию поддоменов, которые зеркально отражают брендинг их жертв.