#ParsedReport #CompletenessLow
28-04-2026

“Chaos is a ladder”: Vidar’s recent rise to the top

https://www.intrinsec.com/chaos-is-a-ladder-vidar-rise-to-the-top/

Report completeness: Low

Threats:
Chaos_ransomware
Vidar_stealer
Lumma_stealer
Rhadamanthys
Dead_drop_technique
Aurastealer
Redsun_tool

Victims:
Corporate employees, Organisations

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1102.001, T1204.002, T1587.001

Soft:
Telegram, Microsoft Defender

Algorithms:
des

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года вредоносное ПО Vidar усилило свои позиции в экосистеме стиллеров, используя сбои в инфраструктуре конкурентов. Последняя версия, Vidar 2.0, использует поддельные загрузки программного обеспечения для начала атак путем распаковки стиллера и продажи украденных учетных данных на российских рынках. Оно оснащено продвинутой инфраструктурой с разрешителями мертвых дропов и выравниванием потока управления, в то время как появление AuraStealer сигнализирует о продолжающейся эволюции в ландшафте инфостиллеров после действий правоохранительных органов. Кроме того, уязвимость REDSUN подчеркивает проблемы в обнаружении, требующие инновационных стратегий криминалистического анализа, несмотря на ограниченную телеметрию конечных точек.
-----

В начале 2026 года ВПО Vidar стало заметным игроком в экосистеме стиллеров, воспользовавшись сбоями, вызванными операциями правоохранительных органов против конкурирующих инфраструктур, таких как Lumma и Rhadamanthys, в 2025 году. Последняя версия, Vidar 2.0, значительно способствовала этому росту, поддерживаемая стратегическими сотрудничествами через каналы Cloud Телеграм. Аналитики изучили конкретный вектор атаки, выполненный Vidar, который включал kill-chain, нацеленный на сотрудников корпораций. Атака началась с того, что жертвы скачивали поддельное программное обеспечение, рекламируемое на таких платформах, как YouTube, что способствовало распаковке стиллера Vidar и последующей продаже украденных учетных данных на российских киберпреступных рынках.

Инфраструктура Vidar была тщательно проанализирована, что выявило сложный механизм восстановления управления (управление), использующий dead drop resolvers. Кроме того, его архитектура включает уплощение потока выполнения для усложнения усилий по анализу ВПО. Интересное открытие было сделано на основе распакованного образца, возможно, загруженного российским злоумышленником на VirusTotal, демонстрирующего классические возможности кражи конфиденциальной информации.

Что касается операционной среды, связанной с угрозами, такими как Vidar, после пресечения деятельности Lumma наблюдается заметное появление AuraStealer. Это указывает на продолжающуюся эволюцию в ландшафте стиллеров, где злоумышленники адаптируются и внедряют инновации в ответ на действия правоохранительных органов.

Кроме того, в ходе недавних расследований внимание было привлечено к уязвимости REDSUN. Анализ практических стратегий обнаружения показывает, что даже при ограниченной телеметрии конечных точек последовательности эксплуатации могут быть восстановлены с использованием операционных журналов Microsoft Defender и различных артефактов файловой системы. Это подчеркивает критическую необходимость для организаций внедрять проактивные методы обнаружения, способные противостоять тактикам противника, таким как переименование и переупаковка вредоносных инструментов.

#ParsedReport #CompletenessMedium
21-04-2026

DinDoor's Caddy Problem: How One HTTP Header Exposed 20 Active C2 Servers

https://hunt.io/blog/dindoor-deno-runtime-backdoor-msi-analysis

Report completeness: Medium

Actors/Campaigns:
Muddywater
Graybravo

Threats:
Dindoor
Tsundere
Castleloader
Chainshell
Nightshade

Victims:
Financial services, Organizations in the united states, Financial services in the russian federation

Industry:
Healthcare, Telco

Geo:
Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1036.007, T1059.001, T1059.007, T1071.001, T1082, T1090, T1105, T1140, have more...

IOCs:
Domain: 17
File: 13
Path: 2
IP: 20
Hash: 2

Soft:
Caddy, Node.js

Crypto:
ethereum

Algorithms:
base64, sha256

Functions:
Get-WmiObject

Languages:
javascript, powershell, python

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DinDoor — это ВПО, которое использует среду выполнения Deno для запуска вредоносного JavaScript в доверенных средах, применяя доставку через MSI-файлы для обхода стандартных методов обнаружения. Оно связано с иранской группировкой APT MuddyWater и ботнетом Tsundere. К заметным особенностям относится уникальный алгоритм отпечатков для отслеживания скомпрометированных хостов, а также варианты, такие как "migcredit.pdf.msi" и "installer_v1.21.66.msi", которые используют различные методы выполнения для подключения к серверам управления и поддержания оперативной скрытности.
-----

DinDoor — это киберугроза, в первую очередь использующая среду выполнения Deno, что знаменует собой значительный сдвиг в работе вредоносного ПО за счет использования доверенных сред для выполнения вредоносного кода JavaScript. Механизмы доставки в основном включают MSI-файлы, что позволяет ему обходить типичные методы обнаружения, которые могут быть больше ориентированы на PowerShell или Node.js. Этот вариант вредоносного ПО связан с ботнетом Tsundere Botnet и ассоциируется с иранской группировкой APT MuddyWater. Сложности возникают из-за способности вредоносного ПО запускать скрипты, которые менее узнаваемы для систем мониторинга безопасности, что создает пробел в обнаружении.

Согласно недавнему анализу, DinDoor использует ненадежный метод заголовков HTTP для раскрытия активных серверов управления (управление). В частности, он применяет уникальный алгоритм отпечатков, который генерирует уникальный идентификатор для каждого скомпрометированного хоста и добавляет его к каждому запросу C2. Один из проанализированных образцов, installer_v1.21.66.msi, содержит жестко закодированный токен JSON Web Token (JWT) в своем URL-адресе C2, который раскрывает операционные детали, включая ссылки на домен "serialmenot.com" — известный центр для акторов программ-вымогателей и спонсируемых государствами.

Оба проанализированных образца DinDoor демонстрируют общность в модели выполнения, но существенно различаются по поведению. Например, «migcredit.pdf.msi» маскируется под PDF-файл и использует скрипт PowerShell для загрузки среды выполнения Deno. Скрипт проверяет наличие «deno.exe», устанавливает его при отсутствии и затем декодирует JavaScript-код для выполнения. В свою очередь, «installer_v1.21.66.msi» использует скрытый загрузчик, который напрямую выполняет JavaScript-код в памяти, демонстрируя более скрытный подход, исключающий запись файлов на диск.

При запуске полезной нагрузки она оценивает свою C2-среду, ожидая конкретных HTTP-ответов для подтверждения непрерывности работы. Критическим техническим элементом является механизм двойного скользящего хэш-отпечатка, который собирает системные данные для создания уникального шестнадцатеричного идентификатора для отслеживания скомпрометированных хостов. Этот идентификатор повышает способность оператора устранять дублирование записей на стороне сервера, одновременно обеспечивая уникальное отслеживание зараженных целей.

Оперативная разведка выявила в общей сложности 20 активных серверов, связанных с DinDoor, в ходе конкретного запроса к HTTP-трафику, с указаниями на общую многопользовательскую инфраструктуру, позволяющую различным злоумышленникам эксплуатировать её. Наличие согласованных шаблонов HTTP-ответов на этих серверах позволяет проводить дальнейшую разведку их инфраструктуры, что предполагает, что они могут быть частью более обширной сети операций вредоносного ПО.

Стратегии смягчения включают внедрение строгих ограничений на выполнение «deno.exe» вне утверждённых фреймворков, использование политик контроля приложений для ограничения выполнения файлов MSI и мониторинг сетевых журналов на наличие идентифицируемых заголовков HTTP, которые могут указывать на активность DinDoor. Обеспечение бдительности в обнаружении неожиданных процессов, связанных с «deno.exe», может оказаться решающим для предотвращения заражений.

#ParsedReport #CompletenessHigh
28-04-2026

BlueNoroff Uses ClickFix, Fileless PowerShell, and AI-Generated Fake Zoom Meetings to Target Web3 Sector

https://arcticwolf.com/resources/blog-uk/bluenoroff-uses-clickfix-fileless-powershell-ai-generated-fake-zoom-meetings-to-target-web3-sector/

Report completeness: High

Actors/Campaigns:
Bluenoroff (motivation: information_theft, financially_motivated)
Lazarus (motivation: financially_motivated)
Ghosthire
Snatchcrypto

Threats:
Clickfix_technique
Process_injection_technique
Credential_harvesting_technique
Antidebugging_technique
Uac_bypass_technique
Typosquatting_technique
Spear-phishing_technique
Clipboard_injection_technique
Meteor_wiper
Donut_loader
Donut
Downtroy

Victims:
Web3, Cryptocurrency, Blockchain finance, Finance and investment, Artificial intelligence and technology, News media, Venture capital

Industry:
Entertainment, Financial, Game_industry, Education

Geo:
Switzerland, France, American, Sweden, Korea, Norway, Asia-pacific, Oceania, Portugal, Emirates, America, Netherlands, United kingdom, Canada, Germany, Korean, China, Dprk, Italy, Spain, Israel, Japan, Middle east, Asia, Australia, Singapore, Taiwan, North korea, Arab emirates, Hong kong

TTPs:
Tactics: 4
Technics: 0

IOCs:
Command: 4
Url: 10
File: 25
Registry: 2
IP: 6
Hash: 6
Domain: 19

Soft:
Zoom, Telegram, curl, Google Chrome, Microsoft Edge, BraveSoftware Brave-Browser, Opera, Mozilla Firefox, Clipchamp, OpenAI, have more...

Algorithms:
base64, aes-256-cbc, aes, chacha20, aes-256-gcm, zip, bcrypt, xor, sha256

Functions:
Get-Content, Remove-Item, getUserMedia, Zoom, Teams, Get-CimInstance, Get-Process, WriteProcessMemory, CreateRemoteThread, Send-ScreenshotToTelegram, have more...

Win API:
OpenProcess, WriteProcessMemory, CreateRemoteThread, VirtualAllocEx, irtualAllocEx →, teProcessMemory → Cr, eRemoteThread inject, orSingleObject called, CoCreateInstance, yptGenerateSymmetricKey → BC, have more...

Win Services:
bits

Languages:
powershell, javascript

Platforms:
apple, x64, arm, intel, x86

Links:
https://github.com/rtkwlf
have more...
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/bluenoroff-fake-zoom-clickfix

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 2, windows: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlueNoroff, подгруппа северокорейской группы Lazarus Group, проводила кибератаки на сектор криптовалют, используя передовые методы, такие как безфайловые методы PowerShell и социальная инженерия. Начальные атаки включали целевой фишинг через поддельные приглашения, ведущие к поддельному интерфейсу Zoom, способному захватывать видеопотоки с веб-камер и выполнять скрипты PowerShell для связи с управлением. Операция включала извлечение учетных данных, нацеленных на веб-браузеры, использование дипфейк-медиа для социальной инженерии и сосредоточение внимания на высокопоставленных лидерах отрасли для доступа к значительным финансовым активам.
-----

BlueNoroff, финансово мотивированная подгруппа северокорейской группы Lazarus Group, недавно осуществила серию сложных кибератак, направленных на сектор Web3/криптовалют. Эти атаки использовали инновационные методы, включая безфайловые методы PowerShell и тактики социальной инженерии, такие как имперсонация уважаемых лиц в сфере финансовых технологий для доставки манипулированных приглашений на поддельные встречи Zoom.

Начальный этап часто включал атаку с использованием целевого фишинга. Жертвы получали поддельное приглашение Calendly, которое перенаправляло их на ссылку Zoom с зарегистрированным опечаткой (typo-squatting). При переходе по ссылке жертвы попадали на HTML-страницу, имитирующую легитимный интерфейс Zoom. Эта страница могла захватывать видеопоток с веб-камеры жертвы в реальном времени, который затем мог быть использован для будущих мошеннических схем. Приманка функционировала за счет различных встроенных JavaScript-приложений, предназначенных для выполнения нескольких вредоносных действий, включая загрузку и выполнение PowerShell-скрипта, который устанавливал соединение с каналом управления (C2).

Скрипт-загрузчик PowerShell, применявшийся в этих атаках, демонстрировал техники обфускации, используя кодирование Base64 в сочетании с XOR-шифрованием для сокрытия его истинного назначения. Этот загрузчик взаимодействовал с сервером C2 для получения дополнительных полезной нагрузки, одновременно проводя профилирование системы и собирая данные из браузера жертвы и установленного программного обеспечения. Он был настроен на постоянную отправку информации, что указывает на поток, предназначенный для непрерывной эксфильтрации данных в течение длительных периодов времени.

Значимым аспектом этих атак является многоэтапный конвейер извлечения учетных данных. Этот конвейер был направлен на популярные веб-браузеры и их расширения, при этом скрипты обеспечивали сбор учетных данных для входа, файлов cookie и другой конфиденциальной информации. Модули пост-эксплуатации внедрялись оперативно, что свидетельствует о высоком уровне автоматизации выполнения атаки.

BlueNoroff также интегрировал медиафайлы с глубокими подделками, созданными с помощью ИИ, на этапе подготовки к атаке. Они создавали синтетические идентичности, используя реальные и сгенерированные ИИ видео и изображения, что добавляло слой аутентичности их атакам социальной инженерии. Это включало использование ранее захваченных изображений жертв из предыдущих атак и применение продвинутого программного обеспечения для редактирования с целью создания правдоподобного контента с глубокими подделками.

Географическая и демографическая целевая аудитория выявила сосредоточенные усилия в отношении высокопоставленных лидеров в секторах криптовалют и блокчейна, при этом более половины выявленных жертв являлись генеральными директорами или основателями. Это предполагает стратегический подход, направленный на доступ к значительным активам криптовалют, подчеркивая оперативный фокус группы на краже денежных средств.

#ParsedReport #CompletenessLow
27-04-2026

The Meta 2FA Trap: From Verified Badge to Account Takeover

https://cofense.com/blog/the-meta-2fa-trap-from-verified-badge-to-account-takeover

Report completeness: Low

Victims:
Meta users, Individual users, Businesses

ChatGPT TTPs:
do not use without manual check
T1036, T1111, T1566.002, T1583.006, T1585.002

IOCs:
Url: 2
IP: 3

Soft:
Instagram, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, нацеленная на пользователей Meta, использует систему верификации компании и токены 2FA, отправляя письма, имитирующие Meta и утверждающие о срочной верификации аккаунта. Эти письма направляют пользователей на поддельную Google Форму, имитирующую официальный процесс Meta, где жертвам предлагается ввести свои учетные данные и токены 2FA. Сложный характер этой атаки демонстрирует наличие продвинутой угрозы, использующей доверенный брендинг для обмана пользователей с целью получения конфиденциальной информации.
-----

Выявлена новая фишинговая кампания, нацеленная на пользователей Meta путем эксплуатации системы верификации компании и токенов двухфакторной аутентификации (2FA). Эта сложная схема направлена на обман как отдельных пользователей, так и организаций с целью получения их учетных данных для входа и конфиденциальной информации. Кампания использует электронное письмо, маскирующееся под запрос на верификацию от Meta, содержащее призыв к срочному действию под предлогом одобрения учетной записи, что перенаправляет пользователей на поддельную Google Форму.

Фишинговые письма используют темы, призванные привлечь внимание получателя, указывая на то, что верификация его аккаунта была одобрена. Эти письма отправляются с аккаунта Gmail с отображаемым именем, имитирующим «Meta Verified», что призвано повысить восприятие легитимности. После того как пользователи нажимают на встроенную фишинговую ссылку, они перенаправляются на тщательно составленную Google Форму, которая воспроизводит внешний вид официального процесса верификации Meta. Использование шаблона, максимально приближенного к брендингу Meta, имеет решающее значение для убеждения пользователей вступить в контакт с фишинговой попыткой.

Фишинговая страница представляется как первый шаг верификации аккаунта, обещая преимущества пользователям, которые завершат этот процесс. Эта стратегия призвана побудить пользователей неосознанно предоставлять свои учетные данные без колебаний. После отправки личной информации форма предлагает пользователям ввести свои пароли, а затем запрашивает их токены 2FA. Включение сбора токенов 2FA особенно примечательно, так как это необычный шаг в фишинговых атаках, указывающий на более продвинутую и оперативную угрозу в реальном времени.

Эффективность фишинговой кампании заключается в её способности имитировать доверенные источники и использовать тревогу, связанную с легитимным управлением аккаунтами. В результате пользователи могут потерять доступ к своим аккаунтам в реальном времени, если станут жертвами этой схемы. Это подчеркивает необходимость для пользователей оставаться бдительными и информированными о развивающихся тактиках фишинга. Осведомленность о таких сложных техниках имеет решающее значение, поскольку злоумышленники продолжают совершенствовать свои стратегии для эксплуатации слабостей в поведении пользователей и доверии к устоявшимся брендам.

#ctt

Перевод переехал на Qwen 3.6 + наш обвес из глоссария ИБ терминов, названий группировок и ВПО.

#ParsedReport #CompletenessMedium
28-04-2026

Tall Tales

https://citizenlab.ca/research/how-chinese-actors-use-impersonation-and-stolen-narratives-to-perpetuate-digital-transnational-repression/

Report completeness: Medium

Actors/Campaigns:
Glitter_carp (motivation: disinformation)
Sequin_carp
I-soon_leak (motivation: cyber_espionage)
Earth_empusa
Chengdu_404_leak
Uta0388
Taoth

Threats:
Credential_harvesting_technique
Aitm_technique
Healthkick
Govershell

Industry:
Military, Government, Telco, E-commerce, Semiconductor_industry

Geo:
Chinese, China, Taiwanese, Switzerland, Taiwan, Japan, New york, United kingdom, Asia-pacific, America, Tibet, Japanese, Spanish, Hong kong, Vietnamese, Vietnam, Asia, Tibetan

TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 119
File: 4
Url: 12

Soft:
WhatsApp, Gmail, Twitter

Algorithms:
base64

Functions:
createElement, setInterval

Languages:
javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, schema: 4, chats: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLITTER CARP и SEQUIN CARP, хакерские группировки, связанные с Китаем, атакуют журналистов и активистов с помощью сложных фишинговых кампаний. GLITTER CARP использует имперсонацию по электронной почте для сбора учетных записей, тогда как SEQUIN CARP применяет потоки согласия OAuth для получения постоянного доступа к учетным записям без необходимости использования паролей. Обе группировки демонстрируют операционные недостатки в своих тактиках, что подчеркивает их зависимость от автоматизированных процессов и более широкие последствия для гражданских свобод через целенаправленное цифровое подавление.
-----

В отчете подробно описываются две хакерские группировки, связанные с Китайской Народной Республикой, идентифицированные как GLITTER CARP и SEQUIN CARP, которые занимаются преимущественно цифровой трансграничной репрессией, направленной против журналистов и активистов. GLITTER CARP с апреля 2025 года проводит масштабные кампании фишинга, используя тактики Имперсонации через целевые электронные письма. Эти письма имитируют сообщения от уважаемых лиц и систем безопасности технологических компаний для сбора учетных данных активистов из диаспор уйгуров, тибетцев, тайваньцев и жителей Гонконга, а также международных журналистов. Основной фокус группы заключается в получении первоначального доступа к Учетным записям эл. почты, вероятно, для достижения более широких оперативных целей в рамках фреймворка «Военно-гражданская интеграция», который позволяет частным подрядчикам проводить операции, спонсируемые государством.

Начиная с июня 2025 года SEQUIN CARP инициировала целевые фишинговые кампании, направленные на журналистов, занимающихся расследованиями, связанными с репрессивными действиями Китая. Группа использует социальную инженерию через убедительные нарративы, что позволяет ей использовать существующие медиа-нарративы для создания фишинговых приманок. Одна из заметных тактик включает побуждение целей авторизовать доступ к сторонним приложениям через потоки согласия OAuth, что позволяет злоумышленникам получать постоянный доступ к учетным записям без необходимости в паролях. Использование легитимных запросов OAuth обходит традиционную многофакторную аутентификацию (MFA), что повышает риск, если пользователь непреднамеренно предоставит разрешения.

Обе группы демонстрируют специфические технические поведения, которые раскрывают их операционные характеристики. GLITTER CARP в основном использует сбор учетных записей через поддельные порталы входа, применяя трекерные пиксели для мониторинга взаимодействия с их фишинговыми письмами. Напротив, продвинутые методы SEQUIN CARP включают фишинг с согласия OAuth, что предоставляет им более устойчивый доступ к скомпрометированным учетным записям. Обе группы также проявляют операционные недостатки, особенно в управлении персонами и усилиях социальной инженерии, что указывает либо на автоматизированные процессы атак, либо на ограниченное человеческое наблюдение.

В отчете подчеркиваются последствия этих атак для гражданского общества, с акцентом на то, как цифровая транснациональная репрессия расширяет контроль китайского правительства за пределами его границ, нацеливаясь как на прямых диссидентов, так и на союзников, таких как журналисты. Этот шаблон атак отражает систематические усилия китайского правительства по запугиванию и замалчиванию критических голосов по всему миру. Аутсорсинг киберопераций подрядчикам позволяет достигать более высоких объемов работы при меньших затратах, расширяя масштаб и эффективность этих кампаний цифрового нацеливания. В конечном итоге исследование выявляет масштабы использования Китаем цифровых тактик для укрепления контроля над своим нарративом и подавления инакомыслия, а также присущие этим операциям риски для гражданских свобод.

#ParsedReport #CompletenessMedium
27-04-2026

New Malware SLOTAGENT for BOF Execution, etc.

https://sect.iij.ad.jp/blog/2026/04/slotagent/

Report completeness: Medium

Threats:
Cobalt_strike_tool
Timestomp_technique
Slotagent

Geo:
Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.007, T1041, T1057, T1070.004, T1070.006, T1082, T1083, T1095, have more...

IOCs:
File: 2
IP: 1
Hash: 4

Soft:
Twitter

Algorithms:
sha256, xor, rc4, zip

Win API:
NtCreateFile, NtCreateThreadEx

YARA: Found

Links:
https://github.com/mopisec/research/blob/main/decrypt\_slotagent\_string.py

#ParsedReport #GeneratedSchema
Generated with GPT-4