CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 ShinyHunters’ 0-day attacks: After patching, find out if you were breached https://www.intel471.com/blog/shinyhunters-0-day-attacks-after-patching-find-out-if-you-were-breached Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters эксплуатировали уязвимость несанкционированного удаленного выполнения кода (RCE) CVE-2026-35273 в системах PeopleSoft, затронувшую более 110 образовательных учреждений США и нацеленную на дополнительные сектора даже после выпуска патча Oracle. Группа использовала техники living-off-the-land, применяя MeshCentral, замаскированный под Microsoft Azure, для операций C2, и маскировала вредоносную активность под легитимный трафик, уклоняясь от обнаружения на этапе начальной эксплуатации. Расследования выявили истории команд, связанные с установками и SSH-перемещениями, подчеркивая важность ретроспективного обнаружения для выявления предыдущих нарушений, связанных с этим злоумышленником.
-----

ShinyHunters эксплуатирует критическую уязвимость удаленного выполнения кода (Удаленное Выполнение Кода) без аутентификации в PeopleSoft Enterprise PeopleTools, отслеживаемую как CVE-2026-35273, с конца мая 2026 года, продолжая свои атаки даже после того, как Oracle устранил уязвимость 10 июня 2026 года. По сообщениям, группа осуществила компрометацию 110 образовательных организаций США и нацелилась на дополнительные жертвы в государственном и коммерческом секторах, включая Европейский совет. Это подчеркивает необходимость для организаций быстро блокировать индикаторы компрометации (IOCs) и проверять исторические журналы на предмет предыдущих взаимодействий с этими IOCs.

Группа применяла тактику living-off-the-land для уклонения от обнаружения, используя такие инструменты, как MeshCentral, инструмент удаленного администрирования, замаскированный под службы Microsoft Azure для операций command-and-control. Их деятельность, вероятно, оставалась незамеченной на начальной фазе эксплуатации, поскольку они маскировали вредоносный трафик под легитимные облачные операции. Расследования, связанные с раскрытыми каталогами, привязанными к ShinyHunters, выявили имена файлов, такие как .bash_history, что указывает на использование предварительно сконфигурированных бинарных файлов агента Windows и истории команд, включавших установку сервера MeshCentral, попытки перемещение внутри компании по SSH и подготовку к возможной эксфильтрация данных.

Для помощи в выявлении любых исторических инцидентов, связанных с ShinyHunters, инструменты ретроспективного обнаружения угроз (Retroactive Threat Detection, RTD) могут автоматизировать создание запросов на основе индикаторов компрометации (IoC) для более чем 20 платформ, фокусируясь на индикаторах критической инфраструктуры. Пример включает проверку сетевых подключений к определенным IP-адресам, связанным с кампанией ShinyHunters, включая IP-адреса в диапазоне 142.11.200.186-190 и домен azurenetfiles.net. Мониторинг этих индикаторов может помочь определить, происходили ли какие-либо взаимодействия с известной инфраструктурой C2.

В ситуациях, когда запросы не выявляют никаких результатов, организации могут сделать вывод, что они, возможно, не пострадали. Однако активные меры обнаружения и реагирования, включая поведенческие охоты, остаются жизненно важными. Такие пакеты, разработанные охотниками за угрозами, позволяют аналитикам распознавать поведение ShinyHunters, несмотря на вариации индикаторов в разных атаках. Например, такие паттерны, как нестандартная SMB-коммуникация, были связаны с несколькими группами злоумышленников, что подчеркивает необходимость комплексного поведенческого подхода к пониманию и смягчению таких угроз.

Устранение уязвимостей решает непосредственные риски, но не проясняет факт предыдущих нарушений. Акцент на ретроспективном обнаружении позволяет организациям установить, подвергались ли они компрометации до устранения уязвимостей, и понять масштаб любого нарушения. Команды CTI и SOC, испытывающие нехватку ресурсов, получают выгоду от инструментов, которые упрощают анализ угроз, обеспечивая более быстрое реагирование на кампании, такие как ShinyHunters.
#ParsedReport #CompletenessHigh
25-06-2026

ESET takes part in Operation Endgame to disrupt Amadey and Stealc

https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/

Report completeness: High

Actors/Campaigns:
Plymouth

Threats:
Amadey
Stealc
Lumma_stealer
Danabot
Hvnc_tool
Supply_chain_technique
Process_injection_technique

Industry:
Entertainment, Energy

Geo:
United states, Italy, Poland, Turkey, America, Mexico, Spain, India, Egypt

TTPs:
Tactics: 10
Technics: 43

IOCs:
File: 2
Hash: 9
IP: 10
Domain: 1

Soft:
Telegram, Outlook, WinSCP

Crypto:
bitcoin

Algorithms:
rc4, base64, zip

Win API:
decompress

Links:
https://github.com/eset/malware-ioc/tree/master/amadey\_stealc
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 ESET takes part in Operation Endgame to disrupt Amadey and Stealc https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET внесли вклад в операцию Operation Endgame, эффективно нарушив работу ботнета Amadey и стиллера Stealc, оба из которых функционируют по модели ВПО как услуга. Amadey действует как модульный загрузчик ВПО для доставки дополнительного вредоносного ПО и поддерживает эксфильтрацию данных, тогда как Stealc нацелен на чувствительную информацию, используя модель подписки для своих аффилиатов. Обе семьи вредоносного ПО используют различные протоколы связи; Amadey полагается на HTTP и трехэтапный жизненный цикл, тогда как Stealc применяет JSON в зашифрованных RC4-передачах, что усложняет усилия по нарушению работы из-за их взаимосвязанной инфраструктуры.
-----

Исследователи ESET сыграли ключевую роль в операции Endgame — глобальной инициативе, направленной на ликвидацию ботнета Amadey и стиллера Stealc, оба из которых используют модель ВПО как услуга (MaaS). Благодаря всестороннему техническому анализу и отслеживанию ESET смогло предоставить жизненно важную информацию, включая данные серверов управления (C&C), ключи шифрования и другие индикаторы угроз. В результате операции было прервано функционирование примерно 50 доменов и почти 200 активных серверов C&C, связанных с этими семействами ВПО, что значительно повлияло на их операционные возможности.

Amadey — это модульный загрузчик ВПО, предназначенный в первую очередь для распространения дополнительного ВПО, и обладающий возможностями эксфильтрации данных и удалённого доступа. Он работает по модели оплаты за пересборку, требуя от аффилированных лиц оплаты лицензий и дополнительных сборов при создании новых сборок, что подчёркивает индивидуальный контроль, которым каждый аффилированный участник обладает над своими методами заражения, которые обычно включают поддельные обновления программного обеспечения и загрузчики ВПО.

С другой стороны, Stealc — это более традиционный стиллер, нацеленный на чувствительные учетные данные и файлы на основе предопределенных шаблонов. Он предлагает своим аффилированным лицам модель подписки, позволяющую создавать неограниченное количество сборок, что снижает операционные затраты и упрощает процесс управления заражениями.

Протоколы связи обеих семей вредоносного ПО также выявляют различные операционные методологии. Amadey использует HTTP для взаимодействия с C&C, опираясь на трехэтапный жизненный цикл, включающий начальные маяки, регистрацию и получение задач, с использованием структурированных командных строк для инструкций. Stealc применяет модель связи на основе JSON, инкапсулированную в RC4-зашифрованные передачи, реагируя на конкретные команды, определяемые его конфигурацией.

Ключевым достижением ESET стала разработка метода кластеризации, позволяющего группировать образцы ВПО для улучшения отслеживания и выявления уязвимых мест для пресечения деятельности. Этот подход выявил различные взаимосвязанные кластеры в деятельности Amadey и Stealc, при этом некоторые кластеры демонстрировали высокий уровень координации между своими инфраструктурами. Важно отметить, что ESET отследила значительное количество кластеров в обеих экосистемах, что усложняет усилия по пресечению, поскольку отсутствует единая точка отказа.

Долгосрочное отслеживание и техническая экспертиза, предоставленные ESET, а также сотрудничество с правоохранительными органами и партнерами, внесли значительный вклад в пресечение операций, обеспечивающих функционирование Amadey и Stealc. Текущее наблюдение в рамках операции Operation Endgame направлено на мониторинг попыток потенциального возрождения этих семейств ВПО и предоставление своевременной разведывательной информации для противодействия будущим угрозам.
#ParsedReport #CompletenessMedium
25-06-2026

KimJongRAT Continues to Evolve by Leveraging LOTS

https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Scarcruft

Threats:
Kimjongrat
Meshagent_tool
Meshcentral_tool

Victims:
Users

Geo:
North korea, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1059.005, T1102.001, T1105, T1140, T1204.002, T1218.005, T1218.011, have more...

IOCs:
File: 8
Command: 7
Url: 4
IP: 2
Hash: 4

Soft:
Windows Defender, curl, Twitter

Algorithms:
aes, rc4, zip, base64

Win Services:
WinDefend

Languages:
powershell, vbscript, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 KimJongRAT Continues to Evolve by Leveraging LOTS https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/ Report completeness: Medium Actors/Campaigns: Kimsuky Scarcruft Threats: Kimjongrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года северокорейская хакерская группировка Kimsuky запустила кампанию с использованием ВПО KimJongRAT, которое сочетает в себе функциональность стиллера и Троянской программы. Эта варианта использует GitHub для распространения своей полезной нагрузки через вредоносные URL-адреса, ведущие к ZIP-архивам, содержащим LNK-файлы, которые загружают HTA-файлы для дальнейшего выполнения ВПО. Примечательно, что теперь она динамически извлекает адреса серверов управления из внешних источников и может устанавливать инструмент удаленного мониторинга и управления MeshAgent для поддержания доступа даже в случае удаления основного ВПО, что иллюстрирует устойчивую эволюцию в стратегиях угроз.
-----

В мае 2026 года была выявлена новая кампания атак, в которой использовалась KimJongRAT — вредоносное ПО, связанное с северокорейской хакерской группировкой Kimsuky. Этот новейший вариант использует GitHub и другие платформы для распространения своей полезной нагрузки. KimJongRAT функционирует как гибридное ВПО, сочетающее в себе функции стиллера и Троянской программы (RAT), с момента своего первого появления в 2013 году. Атака характеризовалась многоэтапным потоком выполнения, который инициировался, когда целевой пользователь нажимал на вредоносную сокращенную ссылку в электронном письме, что приводило к загрузке ZIP-архива из GitHub Releases.

ZIP-файл содержит вредоносный LNK-файл, который при запуске использует легитимную команду Windows mshta для загрузки и выполнения HTA-файла с GitHub. HTA-файл затем запускает зашифрованный VBScript, который продолжает процесс заражения, загружая дополнительные компоненты вредоносного ПО с контролируемого аккаунта Google Drive. Если Windows Defender не работает, он загружает скрытые файлы, такие как user.txt и sys.log; в противном случае он извлекает зашифрованный ZIP-файл. Вредоносное ПО использует команды PowerShell для обработки расшифровки и выполнения последующих компонентов, включая полезную нагрузку, известную как KimJongRAT, которая имеет как DLL, так и PowerShell варианты.

Кроме того, вариант мая 2026 года вносит значительные изменения, динамически извлекая адреса серверов управления (управление) из внешних источников вместо их жёсткой привязки в коде, что повышает его устойчивость к блокировкам. Такая динамическая связь позволяет злоумышленникам адаптироваться без необходимости пересборки ВПО каждый раз при изменении адреса управления. Кроме того, обновлённая версия KimJongRAT получила возможность устанавливать инструмент удалённого мониторинга и управления (RMM) под названием MeshAgent, что направлено на обеспечение постоянного доступа к заражённым хостам даже в случае изоляции основного ВПО средствами защиты.

Несмотря на удаление с GitHub репозитория, содержащего эксплойт, 27 мая 2026 года злоумышленники оперативно создали новый репозиторий для продолжения своей деятельности, что указывает на устойчивую угрозу. В целом, эти эволюции демонстрируют стратегический сдвиг в сторону эксплуатации легитимных сервисов для размещения вредоносного программного обеспечения и выполнения атак — техника, которая всё чаще встречается в кампаниях, связанных с различными акторами, представляющими государства, особенно из Северной Кореи. Поскольку эти угрозы остаются актуальными, бдительность и проактивные стратегии защиты необходимы для потенциальных целей.
#ParsedReport #CompletenessLow
25-06-2026

Miasma Worm Infects Multiple LeoPlatform npm Packages

https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages

Report completeness: Low

Threats:
Miasma

Victims:
Leoplatform, Leoinsights, Software development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1059.007, T1078, T1195.001, T1550.001

IOCs:
File: 6
Hash: 7

Soft:
Dependabot, Kubernetes, HashiCorp Vault, curl, 1Password, OPENSSH

Algorithms:
ed25519, sha256, aes-128-gcm, sha1

Functions:
getBunPath, CreateEvent

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 Miasma Worm Infects Multiple LeoPlatform npm Packages https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages Report completeness: Low Threats: Miasma Victims: Leoplatform, Leoinsights, Software development…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
24 июня 2026 года экосистема npm LeoPlatform была скомпрометирована вариантом червя Miasma после того, как злоумышленник получил доступ к токенам npm и GitHub одного из сопровождающих, что привело к выпуску вредоносных версий 20 пакетов. Зараженные пакеты выполняли полезную нагрузку во время установки, используя зашифрованные методы и маскированные рабочие процессы, которые эксплуатировали повышенные права для потенциального кражи учетных данных. Атака выявила уязвимости в управлении пакетами и рабочих процессах GitHub, позволив несанкционированное распространение кода и создав широкую угрозу для различных платформ.
-----

24 июня 2026 года экосистема npm LeoPlatform подверглась атаке с использованием варианта червя Miasma. Инцидент начался с того, что злоумышленник скомпрометировал токены npm и GitHub одного из сопровождающих, что привело к быстрой публикации зараженных версий 20 пакетов npm. Кроме того, в качестве оружия были использованы рабочие процессы GitHub Actions, замаскированные под Dependabot, которые были внедрены как минимум в три репозитория, связанные с скомпрометированной учетной записью.

Вредоносные обновления затронули 20 пакетов организации LeoPlatform / LeoInsights, идентифицированных по файлу binding.gyp, который инициировал загрузку вредоносного кода в процессе установки, тем самым избегая обнаружения сканерами скриптов жизненного цикла. Все зараженные пакеты имели одинаковый хеш SHA256, и хотя их полезная нагрузка была зашифрована с использованием уникальных значений шифра ROT и ключей AES-128-GCM, базовая функциональность оставалась согласованной во всех пакетах. К числу наиболее загружаемых затронутых пакетов относились leo-logger, leo-sdk и leo-aws, которые в совокупности имели около 13 600 загрузок в неделю. Напротив, четыре других пакета, поддерживаемых тем же оператором, остались нетронутыми, вероятно, из-за отсутствия стабильной версии релиза.

Метод заражения опирался на несколько ключевых тактик. Зараженные файлы package.json содержали зависимость от Bun, конкретно версии ^1.3.13, предназначенную для ситуаций, когда первоначальный процесс установки завершался неудачей. Такой подход указывает на стратегию обеспечения выполнения несанкционированного кода независимо от среды установки. В репозиториях GitHub скомпрометированных сопровождающих содержались поддельные рабочие процессы, которые использовали легитимные действия, одновременно извлекая несанкционированный код. Рабочий процесс эксплуатировал широкие разрешения, включая возможность записи id-token, что могло позволить злоумышленнику получить учетные данные для публикации в npm.

При анализе полезная нагрузка червя продемонстрировала возможности, аналогичные тем, что были задокументированы в более ранних исследованиях, что указывает на потенциальную возможность кражи учетных данных и других вредоносных действий. Примечательно, что регулярные выражения в полезной нагрузке предполагали, что она может извлекать конфиденциальную информацию, такую как токены аутентификации и закрытые ключи, усиливая свой самораспространяющийся характер на нескольких платформах, включая GitHub, AWS и различные инструменты конфигурации кода.

Это событие подчеркивает значительные риски, связанные с компрометацией учетных записей разработчиков, и необходимость строгих практик безопасности в управлении пакетами и рабочих процессах GitHub для снижения воздействия таких сложных атак.
#ParsedReport #CompletenessLow
25-06-2026

AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key

https://nsfocusglobal.com/ai-security-incident-case-jetbrains-plugin-supply-chain-attack-stealing-ai-key/

Report completeness: Low

Threats:
Supply_chain_technique
Glassworm

Victims:
Software developers, Jetbrains plugin market users, Ai service providers

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1071.001, T1195.002, T1528

IOCs:
File: 2
IP: 1

Soft:
Jetbrains, DeepSeek, OpenAI

Functions:
save, FindBugs
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key https://nsfocusglobal.com/ai-security-incident-case-jetbrains-plugin-supply-chain-attack-stealing-ai-key/ Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года был обнаружен инцидент безопасности, связанный с 15 вредоносными плагинами на рынке плагинов JetBrains, которые были предназначены для эксфильтрации API-ключей пользователей на сервер, контролируемый злоумышленником, при сохранении. Атака использовала общую кодовую базу и стандартные процессы инициализации, эксплуатируя HTTP-протокол с открытым текстом для передачи ключей, что делало её незаметной и уязвимой для перехвата. Этот инцидент подчеркивает тревожную тенденцию атак на Цепочку поставок в инструментах разработки, обусловленную ростом инструментов на базе ИИ и необходимостью улучшения безопасности внутри экосистем плагинов.
-----

В июне 2026 года был выявлен значительный инцидент безопасности, связанный с коллекцией из 15 вредоносных плагинов на рынке плагинов JetBrains, суммарно насчитывающей около 70 000 установок. Эти плагины, ложно рекламировавшие такие функции, как автоматическое завершение кода с помощью ИИ и обнаружение ошибок, были разработаны для скрытой эксфильтрации API-ключей пользователей. После сохранения API-ключа плагин без уведомления отправлял эту конфиденциальную информацию на сервер, контролируемый злоумышленником. Эта вредоносная активность берёт начало в первоначальной версии данных плагинов, которая датируется октябрем 2025 года, при этом обновления продолжали выходить даже после их обнаружения.

Методология атаки опиралась на общую кодовую базу среди плагинов, предлагая не подозревающим ничего пользователям обычный процесс инициализации для ввода API-ключей от популярных сервисов, таких как OpenAI. В момент, когда пользователь нажимал «Применить» для сохранения своего API-ключа, ключ проверялся на соответствие формату и затем отправлялся через синхронный HTTP POST-запрос на жестко закодированный IP-адрес, что означало, что операция оставалась незаметной для пользователя. Этот подход эффективно позволял избегать традиционных аудитов безопасности за счет объединения операции кражи ключей со стандартными процессами конфигурации. Использование незашифрованного HTTP вместо HTTPS оставляло украденные ключи уязвимыми для перехвата в сетях, включая корпоративные интранеты.

Кроме того, злоумышленники создали систему распространения украденных API-ключей, что позволило им продавать нелегитимный доступ к ИИ-сервисам платящим клиентам. Эта модель представляет собой самодостаточную экосистему, в которой API-ключи, полученные от жертв, используются для обеспечения несанкционированного доступа к возможностям ИИ со стороны третьих лиц, тем самым создавая подпольную торговлю украденными учетными данными.

Риск, создаваемый плагинами для IDE, усиливается их встроенными правами безопасности; они работают в высокодоверенной среде, часто без песочницы и с широким доступом к файловой системе и сети. Отсутствие ограничивающих контролей делает их особенно уязвимыми для атак на Цепочка поставок. Хотя рынок плагинов JetBrains внедряет процесс ручного обзора, сложность вредоносного кода может легко избежать обнаружения, поскольку он может быть встроен в нормально функционирующие функции.

Последствия этого инцидента отражают более широкую тенденцию в экосистеме инструментов разработки, характеризующуюся серией атак на Цепочку поставок на различных платформах, включая npm и VS Code. По мере распространения использования ИИ-инструментов критически важной становится необходимость усиления проверки безопасности внутри экосистем плагинов и повышения осведомленности разработчиков об этих угрозах.
#ParsedReport #CompletenessHigh
26-06-2026

When Three Threats Meet One Inbox Against Japan

https://ransom-isac.org/blog/three-threats-one-inbox-japan

Report completeness: High

Actors/Campaigns:
Smishing_triad (motivation: cyber_espionage)
Mirrorface (motivation: cyber_espionage)
Stone_panda (motivation: cyber_espionage)

Threats:
Cogui
Darcula_tool
Spear-phishing_technique
Noopdoor
Supply_chain_technique
Anel
Lodeinfo
Dll_sideloading_technique
Aitm_technique
Lighthouse_tool
Smishing_technique
Roamingmouse
Asyncrat

Victims:
Japan, Financial services, Electronic commerce, Payments, Logistics, Utilities, Government, Defense, Think tanks, Research institutions, have more...

Industry:
Semiconductor_industry, E-commerce, Logistic, Financial, Government

Geo:
China, Singapore, Japan, Tokyo, Chinese, Japanese

TTPs:
Tactics: 2
Technics: 3

IOCs:
Domain: 382
IP: 4
Hash: 77
File: 68

Soft:
Telegram, iMessage, Chrome

Algorithms:
zip, sha256

Functions:
getState

Languages:
javascript

Platforms:
apple

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 26-06-2026 When Three Threats Meet One Inbox Against Japan https://ransom-isac.org/blog/three-threats-one-inbox-japan Report completeness: High Actors/Campaigns: Smishing_triad (motivation: cyber_espionage) Mirrorface (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иск по закону RICO, поданный Google в конце 2025 года, выявил китайскую киберпреступную сеть, использующую модель фишинг как услуга (PhaaS), нацеленную на японских пользователей и связанную с компрометацией около 115 миллионов кредитных карт. Сеть состоит из трех кластеров злоумышленников: CoGUI, специализирующегося на фишинге по электронной почте; Smishing Triad, использующего платформы SMS для атак, нацеленных на конкретные бренды; и MirrorFace, связанной с государственной шпионской деятельностью через продвинутый целевой фишинг. Эти угрозы указывают на сложную картину, эксплуатирующую экономические уязвимости Японии, что требует улучшения мониторинга атак.
-----

В конце 2025 года федеральный иск по закону RICO, поданный Google, раскрыл китайскую киберпреступную сеть, работающую по модели Фишинг как услуга (PhaaS), в которой фигурируют несколько злоумышленников, нацеленных на японских пользователей через различные каналы. Эта сеть была связана с компрометацией примерно 115 миллионов кредитных карт в numerous странах, что вызвало обеспокоенность в отношении системных киберугроз, направленных против экономической ситуации в Японии, особенно в ее финансовом и производственном секторах.

Япония стала фокусом киберпреступной активности из-за своей значительной экономики, обширной потребительской базы и культурных особенностей, которые препятствуют публичным раскрытиям инцидентов. Схождение трех различных кластеров киберакторов — CoGUI, Smishing Triad и MirrorFace — подчеркивает сложную угрожающую среду. CoGUI проводит высокообъемные кампании целевого фишинга по электронной почте, направленные на кражу учетных данных и номеров кредитных карт, используя сложные техники уклонения путем профилирования жертв на основе геолокации, типа браузера и характеристик устройства. Smishing Triad эксплуатирует платформы SMS, в основном iMessage, применяя фишинговые тактики, специфичные для брендов, для доставки вредоносного контента. Ее операции, подкрепленные подписной моделью для функций анти-обнаружения, позволяют быстро изменять инфраструктуру в ответ на меры безопасности. MirrorFace, в свою очередь, связана с китайской государственной шпионской деятельностью, нацеленной на высокоценные объекты, такие как оборонные подрядчики и исследовательские институты, через продвинутые техники целевого фишинга, которые используют местный язык и контекст.

С точки зрения защиты существует острая необходимость в устойчивости к этим многослойным угрозам, действующим одновременно, поскольку сотрудники таких секторов, как финансы, могут столкнуться с попытками со стороны всех трех акторов в течение одной недели, часто не осознавая наличия пересекающихся кампаний. В дальнейшем аналитики подозревают наличие элемента «локализация как услуга» (LaaS), влияющего на эти операции, где японская языковая экспертиза и стратегии контента разделяются между различными операторами, что усиливает уязвимость Японии. Следовательно, организациям необходимо сосредоточиться на выявлении поведенческих индикаторов, а не полагаться исключительно на эфемерные домены и IP-адреса, которые часто меняются в рамках наступательных стратегий этих киберпреступников. Это включает мониторинг специфических шаблонов трафика и предназначенных механизмов фильтрации, которые выделяют операционные архитектуры и намерения злоумышленников.
#ParsedReport #CompletenessHigh
26-06-2026

Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT Deployment

https://www.seqrite.com/blog/operation-dragonreturn-china-nexus-cyber-espionage-campaign-targeting-govt-of-india-mof-tax-infrastructure-via-multi-stage-dcrat-deployment/

Report completeness: High

Actors/Campaigns:
Dragonreturn (motivation: financially_motivated, information_theft, cyber_espionage)
Silver_fox

Threats:
Dcrat
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Uac_bypass_technique

Victims:
Government tax infrastructure, Indian taxpayers, Tax professionals, Corporate finance teams

Industry:
Telco, Government, Financial

Geo:
India, Burma, Asian, Indian, China

TTPs:
Tactics: 8
Technics: 27

IOCs:
Url: 1
File: 20
IP: 6
Domain: 3
Hash: 34

Soft:
Windows Service, Windows Media Player, Windows Defender, NET Framework

Algorithms:
aes, zip, xor

Functions:
injection_initialize, injection_terminate, fgetc_nolock, sub_1800015A0, sub_180001000, sub_1400011E0, CLRCreateInstance

Win API:
WinMain, VirtualAlloc, CheckTokenMembership, ShellExecuteW, GetTickCount64, LoadLibraryA, GetProcAddress, CreateToolhelp32Snapshot, WTSEnumerateSessionsW, GetModuleHandleA, have more...