#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковское вредоносное ПО Astaroth в настоящее время нацелено на Бразилию с помощью новой кампании, которая распространяет вредоносные ZIP-файлы через WhatsApp. Эти файлы содержат запутанный загрузчик скриптов Visual Basic (VBS), который при выполнении инициирует процесс заражения вредоносным ПО. Вредоносное ПО использует законный интерпретатор AutoIt для развертывания, использует закодированный загрузчик для основной полезной нагрузки и включает модуль Python для саморепликации через WhatsApp, расширяющий возможности его распространения.
-----

Банковское вредоносное ПО Astaroth получило развитие благодаря новой кампании, нацеленной на Бразилию, в которой для облегчения распространения используется новая технология через WhatsApp. Цепочка заражения начинается с того, что жертвы получают сообщения WhatsApp, содержащие вредоносный ZIP-архив. Имена файлов в этих архивах имеют определенный шаблон, состоящий из цифр и шестнадцатеричных символов, что помогает избежать обнаружения.

Внутри ZIP-файла находится запутанный загрузчик скриптов Visual Basic (VBS), обычно размером от 50 до 100 КБ, предназначенный для усложнения анализа. Этот скрипт VBS играет решающую роль в процессе заражения, инициируя выполнение вредоносного ПО, как только оно извлекается и запускается жертвой.

Astaroth использует особый шаблон развертывания, который включает в себя законный интерпретатор AutoIt, который включен вместе с закодированным загрузчиком. Этот загрузчик жизненно важен для расшифровки и загрузки основной полезной нагрузки Astaroth, повышая способность вредоносного ПО обходить статические методы обнаружения. Модульный характер этой архитектуры позволяет вредоносному ПО адаптироваться и сохранять эффективность в отношении мер безопасности.

Кроме того, кампания включает в себя механизм распространения, облегчаемый загрузчиком. Он устанавливает встроенный интерпретатор Python вместе с вредоносным модулем Python с именем zapbiu.py . Этот модуль позволяет вредоносному ПО реплицироваться через WhatsApp, используя функции обмена сообщениями платформы для дальнейшего распространения среди контактов жертв.

#ParsedReport #CompletenessMedium
08-01-2026

An In-Depth Analysis of AuraStealer-MaaS Obfuscation and Countermeasure Techniques

https://mp.weixin.qq.com/s/g6Jp46nUANJj6bTOGNTrug

Report completeness: Medium

Threats:
Aurastealer
Steganography_technique
Dll_sideloading_technique
Glassworm
Clickfix_technique
Lumma_stealer
Stealc
Vidar_stealer
Heavens_gate_technique
Rhadamanthys
Sandbox_evasion_technique
Antivm_technique
Antidebugging_technique
Anydesk_tool

Geo:
Estonia, Lithuania, Russian, Latvia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1059.001, T1204.002

IOCs:
File: 2
Path: 1
Hash: 12

Soft:
TikTok, Microsoft Defender, Discord, Telegram, Steam, KeePass, Bitwarden, 1Password, LastPass

Algorithms:
aes-cbc, exhibit, base64, fnv-1a, murmur3, mersenne_twister, xor

Functions:
NTDLL, IDA, AuraStealer

Win API:
WinMain, VirtualAlloc, MapFileAndCheckSumW, GetUserDefaultLCID, GetSystemDefaultLCID, GetLocaleInfoA, GetSystemTimePreciseAsFileTime, GetUserNameW, GetComputerNameW, GetComputerNameW GetComputerNameW, have more...

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer - это вредоносное ПО по принципу "как услуга" (MaaS), стиллер информации, предназначенный для ОС Windows (от 7 до 11), способный извлекать данные из более чем 110 браузеров и 70 приложений, используя передовые методы запутывания и антианализа, чтобы избежать обнаружения. Распространяемый с помощью обманных кампаний "Сам себя обмани", он оснащен механизмом защиты от несанкционированного доступа и выполняет различные проверки для выявления защищенных сред, в конечном счете внедряя вредоносный код в браузеры для доступа к конфиденциальной информации. Его методичное сетевое поведение включает в себя взаимодействие с инфраструктурой управления для настройки и эксфильтрации данных.
-----

AuraStealer, появляющийся стиллер информации "Вредоносное ПО как услуга" (MaaS), продвигаемый с июля 2025 года, разработан таким образом, чтобы уклоняться как от статического, так и от динамического анализа с помощью передовых методов запутывания и антианализа. Разработанный на C++, он ориентирован на операционные системы Windows, от Windows 7 до Windows 11, с возможностями кражи данных из более чем 110 браузеров, 70 приложений (включая кошельки и инструменты 2FA) и более 250 расширений браузера. Несмотря на то, что программа рекламируется как сложная, существуют присущие ей недостатки, которые можно использовать для обнаружения.

Самое вредоносное ПО основном распространяется через "Афера по-себе" кампании, используя обманные видео, которые претендуют на руководство пользователя посредством активации программного обеспечения, но вместо этого дать пользователям возможность выполнять команды, которые загружают вредоносное содержимое. После развертывания AuraStealer использует различные стратегии запутывания, в том числе и непрямые запутывание потока управления, который заменяет прямые переходы и вызовы с косвенным звонки, усложняя статического анализа. Дополнительные методы включают шифрование строк и исключений-управляемый API для хэширования, которая скрывает ее вызова Windows API функции путем создания хэш-таблиц подстановки для ссылки на функции.

Реализация AuraStealer выходит за рамки базового запутывания и включает в себя методы антианализа. Он проверяет, выполняется ли он из защищенной среды, выполняя серию проверок, которые могут остановить выполнение при обнаружении отклонений. Примечательно, что он включает в себя механизм защиты от несанкционированного доступа, который проверяет целостность своего исполняемого файла с помощью контрольных сумм, и проверку геолокации, фильтрующую потенциальных жертв на основе кодов стран, гарантируя, что вредоносное ПО не запускается в регионах, перечисленных в его черном списке.

Другим важным аспектом AuraStealer является его тактика защиты от "песочницы", которая проверяет, были ли нарушены важные функции Windows, такие как режим ожидания. Подробная настройка и последовательности антианализа еще больше расширяют его возможности уклонения, включая проверку виртуализированных сред и средств отладки.

Процесс выполнения вредоносного ПО начинается с установки пользовательского обработчика исключений. После нескольких проверок он переходит к созданию мьютекса для предотвращения одновременного выполнения. Чтобы извлечь конфиденциальную информацию из браузеров на базе Chromium, AuraStealer обходит шифрование, привязанное к приложению (ABE), запуская браузер в безголовом режиме и внедряя вредоносный код для доступа к расшифрованным данным, таким как пароли и файлы cookie.

Он проверяет возможность подключения к определенной конечной точке DNS и, в случае успеха, общается с ее управление (С2) инфраструктуры, для получения файла конфигурации, который руководит ее деятельностью. Собранные данные тщательно разбиваются на более мелкие части и отправляются партиями, чтобы скрыть усилия по эксфильтрации. В целом, AuraStealer представляет серьезную угрозу через сложный использования приемов уклонения и широкие возможности таргетинга.

#ParsedReport #CompletenessHigh
08-01-2026

Under Medusas Gaze: How Darktrace Uncovers RMM Abuse in Ransomware Campaigns

https://www.darktrace.com/blog/under-medusas-gaze-how-darktrace-uncovers-rmm-abuse-in-ransomware-campaigns

Report completeness: High

Actors/Campaigns:
Spearwing (motivation: cyber_criminal)
Unc7885 (motivation: cyber_criminal)

Threats:
Medusa_ransomware
Fortra_tool
Simplehelp_tool
Screenconnect_tool
Atera_tool
Pdq_deploy_tool
Anydesk_tool
Ehorus_tool
N-able_tool
Splashtop_tool
Teamviewer_tool
Ninjaone_tool
Meshagent_tool
Rclone_tool
Robocopy_tool
Ngrok_tool
Byovd_technique
Burntcigar
Abyssworker
Passthehash_technique

Victims:
Healthcare, Multiple organizations

Industry:
Transport, Entertainment, Ics, Financial, Healthcare

Geo:
Russia, Japan, Emea, Middle east, Moscow, Russian, Americas, Africa, Asia-pacific

CVEs:
CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57727 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57726 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57728 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 13
Technics: 13

IOCs:
Domain: 3
IP: 12
Path: 3
Command: 1
Url: 2
File: 1

Soft:
GoAnywhere, JWrapper, Navicat, PDQ Deploy, Component Object Model

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Medusa как услуга (RaaS), действующая с 2025 года, использует сложную стратегию тройного вымогательства, включающую шифрование данных, угрозы утечки данных и DDoS-атаки, воздействии на более чем 500 организаций. Злоумышленники получают доступ через скомпрометированные учетные данные, приобретенные у брокеров первоначального доступа, используя уязвимости в неправильно сконфигурированных системах и используя инструменты удаленного мониторинга и управления, такие как JWrapper. Признаки компрометации включают подключения к серверам, контролируемым злоумышленниками, что указывает на тенденцию использования законных технологий при атаках программ-вымогателей.
-----

В 2025 году программа-вымогатель Medusa как услуга (RaaS) стала серьезной угрозой, признанной Агентством США по кибербезопасности и инфраструктурной безопасности (CISA) и Федеральным бюро расследований (ФБР) из-за ее воздействия на более чем 500 организаций к началу 2026 года. Группа действует под различными псевдонимами, включая Storm-1175 и Spearwing, и сотрудничает с брокерами первоначального доступа (IABs) и другими киберпреступными группировками, такими как Frozen Spider и UNC7885, для осуществления своих атак.

Medusa ransomware нацелена на широкий спектр секторов без разбора, включая здравоохранение. Он использует сложную стратегию тройного вымогательства, которая включает в себя не только шифрование данных и угрозу утечки данных, но и усиление давления с помощью распределенных атак типа "Отказ в обслуживании" (DDoS) и прямой связи с клиентами жертв. Чтобы получить первоначальный доступ, акторы Medusa обычно приобретают скомпрометированные учетные данные или учетные записи в IAB, которые используют фишинг, Подстановку украденных учетных данных или методы грубой силы. Они также используют уязвимости в неправильно сконфигурированных системах, подключенных к Интернету.

Darktrace сообщила о многочисленных случаях попыток шифрования файлов, связанных с Medusa, среди своих клиентов в период с декабря 2023 по ноябрь 2025 года, в некоторых случаях с успешными вмешательствами благодаря их способности автономного реагирования. Примечательной особенностью атак Medusa является злоупотребление инструментами удаленного мониторинга и управления (RMM), в частности JWrapper, который используется для управления приложениями Java. Развертывание JWrapper было связано с подключениями с серверов, контролируемых злоумышленниками, таких как SimpleHelp, и потенциальными сигнатурами скомпрометированных сред.

Во время фазы эксфильтрация данных Medusa Ransomware вымогателей, свидетельство эксфильтрация эксфильтрации направлены на определенные конечные точки, такие как erp.ranasons.com и каждый день.pintacuario.МХ, используя порты 443, 445, и 80. Согласно сообщениям последнего домен был ранее связан с simplehelp SimpleHelp, предлагая стратегический эксплуатации законные инструменты актеры опасным.

В одном инциденте, о котором сообщалось в четвертом квартале 2025 года, Darktrace оказала поддержку европейской организации, пострадавшей от Medusa, выявив проблемы с определением точки первоначального доступа из-за частичной видимости сети. Этот инцидент привлек внимание более широкой тенденции вымогателей групп, в том числе тех, которые связаны с национально-государственными субъектами, используя законные РММ инструменты для злонамеренных целях, а не традиционных троянов удаленного доступа.

Индикаторы компрометации (IOCs), наблюдаемые во время этих атак, включают IP-адреса, связанные с вредоносными серверами SimpleHelp. Это продолжающееся злоупотребление законными технологиями знаменует собой изменение тактики по сравнению с традиционными методами вымогательства, вызывая обеспокоенность по поводу растущей сложности киберугроз, таких как Medusa ransomware.

#ParsedReport #CompletenessHigh
05-01-2026

Analyzing PHALT#BLYX: How Fake BSODs and Trusted Build Tools Are Used to Construct a Malware Infection

https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/

Report completeness: High

Actors/Campaigns:
Phaltblyx

Threats:
Clickfix_technique
Dcrat
Process_hollowing_technique
Meta_stealer
Redline_stealer
Vidar_stealer
Clipboard_injection_technique
Asyncrat
Dead_drop_technique
Lolbin_technique
Process_injection_technique
Spear-phishing_technique
Runpe_tool

Victims:
Hospitality sector, European organizations

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 6
Technics: 8

IOCs:
File: 21
Url: 2
Domain: 8
Command: 2
Path: 2
IP: 3
Hash: 16

Soft:
Windows Defender, Active Directory, NET Framework

Algorithms:
aes-256-cbc, sha256, base64, exhibit, pbkdf2, aes-256, hmac

Functions:
Set-MpPreference, DeleteApp, ComputerInfo, ReadServertData

Win API:
GetCurrentProcess

Win Services:
BITS

Languages:
javascript, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PHALT#BLYX нацелена на гостиничный сектор с помощью фишинга, имитирующего Booking.com сообщения для распространения вредоносного ПО. Атака использует социальную инженерию, перенаправляя пользователей на поддельный сайт, где происходит clipboard Injection скрипта PowerShell, что приводит к запуску вредоносного ПО через MSBuild.exe . Вредоносное ПО, названное `staxs.exe `, использует тактику повышения привилегий, избегает обнаружения с помощью списков исключений и поддерживает закрепление до конца .url-адреса файлов в папке автозагрузки, выделяющие передовые методы в методах заражения.
-----

Кампания PHALT#BLYX, выявленная Securonix, представляет собой сложную атаку, нацеленную на гостиничный сектор, с использованием передовых методов социальной инженерии для распространения вредоносного ПО. Злоумышленники используют подход к фишингу, имитирующий Booking.com коммуникации, создающие ощущение срочности с помощью поддельных отмен бронирования, сопровождающихся значительными финансовыми расходами. При взаимодействии с вредоносным электронным письмом пользователи перенаправляются по ряду ссылок на поддельный Booking.com страница, убедительно имитирующая законный сайт. На этой странице представлено поддельное сообщение об ошибке, предназначенное для провоцирования действий пользователя при одновременном выполнении clipboard injection скрипта PowerShell.

Последовательность заражения усиливается, когда жертва вручную вставляет скопированный сценарий в диалоговое окно запуска Windows, непреднамеренно запуская вредоносное ПО. Этот метод, который является формой “ClickFix”, эффективно использует взаимодействие с пользователем для обхода средств защиты от автоматического выполнения. Сценарий PowerShell впоследствии загружает файл проекта с именем "v .proj", структурированный как проект MSBuild на основе XML, и выполняется через доверенный `MSBuild.exe - полезность, эффективно обходящая меры безопасности.

Решающее значение для этой кампании имеет первоначальная стратегия обхода защиты вредоносного ПО, в которой оно добавляет `C:\ProgramData ` каталог в списке исключений защитника Windows. Это облегчает автоматическую установку вредоносных компонентов и предотвращает их обнаружение антивирусным программным обеспечением. Вредоносное ПО проверяет уровень привилегий пользователя, используя стандартные методы .NET для попытки повышения привилегий. Если процесс запущен от имени администратора, он непосредственно приступает к установке; в противном случае он использует тактику рассылки спама UAC (контроль учетных записей пользователей) для получения повышенных прав.

На данный момент полезная нагрузка, названная `staxs.exe `, доставлено. Этот исполняемый файл .NET функционирует как загрузчик, способный вводить свою конечную полезную нагрузку в законные системные процессы, чтобы избежать обнаружения. Инфекция использует передовые методы шифрования, используя AES-256 и PBKDF2 для защиты своих конфигурационных данных, и устанавливает закрепление с помощью файлов интернет-ярлыков (.url), размещенных в папке автозагрузки пользователя, что еще больше маскирует ее присутствие.

Кампания иллюстрирует эволюцию методов доставки вредоносного ПО, использующих человеческие ошибки и надежные системные процессы для закрепления в системах-жертвах. Это отражает сочетание мастерства социальной инженерии и технических стратегий избегания, позиционируя PHALT#BLYX как заслуживающую внимания угрозу в нынешних условиях. Использование злоумышленниками надежных утилит в сочетании с психологическими манипуляциями подчеркивает важность бдительности в отношении многогранных векторов атак.

#ParsedReport #CompletenessLow
08-01-2026

North Korean Kimsuky Actors Leverage Malicious QR Codes in Spearphishing Campaigns Targeting U.S. Entities

https://www.ic3.gov/CSA/2026/260108.pdf

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique
Qshing_technique
Credential_harvesting_technique

Victims:
Ngos, Think tanks, Academia, Foreign policy experts, Government entities

Industry:
Government, Education, Ngo

Geo:
North korean, Korean, North korea

TTPs:
Tactics: 1
Technics: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская хакерская группировка Kimsuky начала использовать вредоносные QR-коды в кампаниях Целевого фишинга, специально нацеленных на американские организации, такие как аналитические центры и академические институты. Эта тактика, называемая "Quishing", обманывает получателей, заставляя их сканировать коды, что приводит их на сайты фишинга, предназначенные для сбора конфиденциальной информации или установки вредоносного ПО. Эволюционирующие методы Kimsuky's указывают на растущую изощренность их тактики социальной инженерии, создавая постоянную угрозу для нацеленных объектов.
-----

Kimsuky, спонсируемая государством северокорейская хакерская группировка, применила новую тактику, включающую использование встроенных вредоносных кодов быстрого реагирования (QR) в кампаниях Целевого фишинга, нацеленных на американские организации. ФБР опубликовало экстренный отчет, чтобы предупредить неправительственные организации, аналитические центры, академические институты и экспертов по внешней политике, связанных с Северной Кореей, об этих развивающихся методах атаки.

Эти атаки, обозначенные как "Quishing", связаны с тем, что акторы Kimsuky встраивают вредоносные QR-коды в электронные письма с фишингом, направленные на принуждение получателей к сканированию кодов. После сканирования эти коды могут направлять ничего не подозревающих пользователей на сайты фишинга, предназначенные для сбора конфиденциальной информации или развертывания вредоносного ПО. В число нацеленных организаций обычно входят аналитические центры, академические институты, а также государственные органы как США, так и международных организаций.

Переход Kimsuky's к этому методу подчеркивает растущую изощренность их подхода к социальной инженерии и кибератакам, использование технологий, пользующихся всеобщим доверием, для повышения эффективности их операций. Эта адаптация предполагает наличие постоянной угрозы, поскольку группа стремится использовать уязвимости в киберзащите своих целей с помощью инновационных тактик, таких как Quishing.

ФБР подчеркивает важность этой разведывательной информации для специалистов по кибербезопасности и системных администраторов. Это служит важным напоминанием о необходимости сохранять бдительность в отношении подобных попыток Целевого фишинга и принимать защитные меры против изощренных методов, используемых Kimsuky.

#ParsedReport #CompletenessHigh
06-01-2026

The Ghost in the Machine: Unmasking CrazyHunter's Stealth Tactics

https://www.trellix.com/blogs/research/the-ghost-in-the-machine-crazyhunters-stealth-tactics/

Report completeness: High

Threats:
Crazyhunter_ransomware
Prince_ransomware
Sharpgpoabuse_tool
Byovd_technique
Zemana_tool
Av-killer
Donut
Credential_dumping_technique

Victims:
Companies in taiwan

Industry:
Healthcare

Geo:
Taiwan

TTPs:
Tactics: 10
Technics: 11

IOCs:
File: 14
Url: 1
Email: 1
Domain: 1
Hash: 7

Soft:
Active Directory, nuget, vscode, Telegram

Algorithms:
chacha20, sha256

Functions:
getDrives, EncryptDirectory, setWallpaper, main_getDrives

Languages:
powershell, dotnet

Platforms:
intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель CrazyHunter, производная от кодовой базы Prince ransomware и разработанная в Go, нацелена на системы Windows, используя передовые тактики для компрометации системы и обхода мер безопасности. Он использует многоэтапную стратегию атаки, включая отключение безопасности перед развертыванием полезной нагрузки, использование SharpGPOAbuse для использования объектов групповой политики и гибридное шифрование для защиты файлов. Атака включает в себя различные методы MITRE ATT&CK, включая использование учетных данных и закрепление с помощью модификаций объектов групповой политики, при этом переговоры происходят по электронной почте с идентифицируемыми каналами, привязанными к злоумышленникам.
-----

CrazyHunter вымогателей стала сложной и тревожной киберугроза, уходит корнями в Prince Ransomware кода, и усиливается с передовой тактики для сети компромисса и уклонения от кибербезопасность кибербезопасность. Это вымогателей, созданное в Go, в первую очередь ориентирован на Windows-систем и использует стратегический подход как атаковать, так и эксфильтрации эксфильтрация, используя специальный утечка данных сайта жертвам давления, которые не соблюдают требования.

Жизненный цикл атаки CrazyHunter характеризуется многоэтапной операцией, где первоначальные действия целенаправленно разрабатываются для отключения мер безопасности перед развертыванием полезной нагрузки программы-вымогателя. Аналитики определили подробные стратегии выполнения, включая использование специальных пакетных сценариев, которые систематически компрометируют системы. Центральное место в этих операциях занимает использование объектов групповой политики (GPO) с использованием общедоступного инструмента, известного как SharpGPOAbuse.СЕТЕВОЕ приложение, которое позволяет злоумышленникам манипулировать объектами групповой политики в различных вредоносных целях.

С технической точки зрения программа-вымогатель использует гибридный метод шифрования, использующий как симметричные, так и асимметричные алгоритмы, что обеспечивает надежную защиту файлов. Атака включает в себя сложные методы выполнения; например, CrazyHunter использует зашифрованный шелл-код (crazyhunter.sys ), который расшифровывается и выполняется в памяти с помощью загрузчика с именем bb.exe , таким образом избегая обнаружения традиционным программным обеспечением безопасности. В процессе развертывания также используются дополнительные исполняемые компоненты, такие как file.exe , который может работать с различными аргументами командной строки для облегчения таких функций, как эксфильтрация данных.

Переговоры о выкупе, как правило, происходит через электронную почту, с указанием контактной каналы связаны с нападавшими, с указанием структурированный процесс вымогательства. Методика атаки включает в себя широкий спектр методов Митре АТТ&КФК, выделяя первоначальный доступ по эксплуатации учетных данных, выполнение по инициативе пользователя вредоносные файлы, закрепление через изменения политики домена и перемещение внутри компании с использованием скомпрометированных активные учетные данные учетные данные.

В ответ на растущую угрозу, исходящую от CrazyHunter, были рекомендованы упреждающие меры защиты. Организациям следует укрепить свои среды Active Directory с помощью Многофакторной аутентификации (MFA) и ограниченных прав на изменение объектов групповой политики, чтобы уменьшить потенциальное использование с помощью таких инструментов, как SharpGPOAbuse. Охранные фирмы внедрили расширенный мониторинг и комплексные сигнатуры обнаружения для выявления и защиты от характеристик программ-вымогателей CrazyHunter, стремясь свести к минимуму риски заражения и последующего сбоя в работе.

#ParsedReport #CompletenessLow
05-01-2026

CNCERT: Risk Warning Regarding the "Black Cat" Gang's Use of Search Engines to Spread Counterfeit Notepad++ Download Remote Control Backdoors

https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247515424&idx=2&sn=d07dc41546fd6db93f14582cea697821&poc_token=HMFfYmmjPID9iFf7ZAm5VM7e3vTVBCEV81T7nR6v

Report completeness: Low

Actors/Campaigns:
Black_cat (motivation: information_theft)

Industry:
Ngo

Geo:
China

IOCs:
Domain: 24
IP: 7
Hash: 10

Soft:
Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CNCERT выпустила предупреждение о банде киберпреступников "Black Cat", которая распространяет поддельную версию Notepad++, встроенную с бэкдорами дистанционного управления. Эта операция использует оптимизацию в поисковых системах, чтобы повысить видимость и обманом заставить пользователей загрузить вредоносное программное обеспечение. Встроенные бэкдоры позволяют злоумышленникам получать контроль над системами жертв, облегчая эксфильтрацию данных, манипулирование системой и развертывание дополнительных вредоносных программ.
-----

В CNCERT выпустило предупреждение в отношении рисков, связанных с хакерской бандой "черная кошка", известной по распространению поддельных версия Notepad++, который обеспечивает дистанционное управление ПК. Такая тактика предполагает использование поисковой оптимизации, чтобы эффективно распространять вредоносное программное обеспечение, что делает его более вероятно, что пользователи неосознанно скачать взломанные приложения из пораженных мест.

"Черная кошка" была связана с различными кибератаками и принимает все более изощренные методы, чтобы сконцентрировать свои усилия в киберугроза пейзаж. В настоящее время их работа мишенями доверчивых пользователей, которые ищут законные Блокнот++ приложение, выдающее себя за его доставку вредоносное ПО. Эта стратегия не только эксплуатирует доверие пользователей, но и использует поисковые системы, чтобы увеличить видимость их загрузки вредоносного программного обеспечения.

Вредоносная версия Notepad++ оснащена ПО для удаленного доступа, позволяющим злоумышленникам удаленно управлять системой жертвы. Использование таких бэкдоров позволяет банде выполнять целый ряд действий, включая эксфильтрацию данных, манипулирование системой и потенциальное развертывание дополнительных полезных нагрузок по желанию, тем самым ставя под угрозу целостность и конфиденциальность целевых систем.

Предупреждение о риске служит важным предупреждением для пользователей о необходимости сохранять бдительность при загрузке программного обеспечения, подчеркивая необходимость получения приложений исключительно из официальных и проверенных источников. Кроме того, организациям и частным лицам рекомендуется применять передовые методы обеспечения безопасности, такие как использование решений для защиты конечных точек, постоянное обновление программного обеспечения и проведение регулярных аудитов безопасности для снижения рисков, связанных с такой тактикой обмана. Появление этой конкретной атаки подчеркивает эволюционирующий ландшафт угроз, в котором злоумышленники продолжают совершенствовать свои методологии взлома систем с помощью социальной инженерии и манипулирования законными путями распространения программного обеспечения.

#ParsedReport #CompletenessLow
09-01-2026

Maduro Arrest Used as a Lure to Deliver Backdoor

https://www.darktrace.com/blog/maduro-arrest-used-as-a-lure-to-deliver-backdoor

Report completeness: Low

Actors/Campaigns:
Red_delta

Threats:
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Geo:
Taiwan, Chinese, Ukrainian, Ukraine, China, Tibet

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1566.001

IOCs:
Path: 2
File: 1
Registry: 1
IP: 1
Hash: 3

Algorithms:
zip

Win API:
LoadLibraryW

#ParsedReport #GeneratedSchema
Generated with GPT-4