#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют геополитические события, такие как арест президента Венесуэлы Николаса Мадуро, для распространения бэкдоров вредоносного ПО с помощью кампаний Целевого фишинга. Исследователи Darktrace сообщили, что хакерская группировка использовала zip-архив под названием "МЫ сейчас решаем, что делать дальше". Venezuela.zip " для доставки исполняемого файла и библиотеки DLL, обманом заставляя пользователей запускать вредоносное программное обеспечение. Эта тактика согласуется с более широкой тенденцией, когда киберугрозы переплетаются с текущими событиями для повышения эффективности атак.
-----

Злоумышленники постоянно изобретают новые способы использовать текущие события в злонамеренных целях, примером чему может служить недавний случай, связанный с арестом президента Венесуэлы Николаса Мадуро. Исследователи из Darktrace обнаружили хакерскую группировку, использующую это событие в качестве приманки для распространения бэкдоров вредоносного ПО. Хотя конкретный метод первоначального доступа остается неясным, вполне вероятно, что атака была инициирована с помощью Целевого фишинга электронных писем, направленных потенциальным жертвам. Сообщается, что эти электронные письма содержали zip-архив с надписью "МЫ сейчас решаем, что делать дальше Venezuela.zip ," что привело бы пользователей к запуску вредоносных файлов.

Содержимое zip-файла исполняемого файла под названием "Мадуро будет принято к новым York.exe" и библиотеки динамической компоновки (DLL) с именем "kugou.dll." Использование такой узнаваемый и своевременный прикорм блюда, чтобы повысить вероятность пользователи ошибочно выполнение вредоносного программного обеспечения, предоставляя злоумышленникам бэкдор доступ к системам жертв.

Эта тактика использования выдающихся геополитических событий для повышения доверия к вредоносному контенту не нова. Исторически сложилось так, что хакерские группировки часто ссылались на важные глобальные проблемы, включая войну на Украине, в своих кампаниях по Целевому фишингу. Китайская хакерская группировка Mustang Panda известна тем, что использует аналогичные стратегии, фокусируясь на текущих событиях, таких как украинский конфликт или проблемы, связанные с Тибетом, Южно-Китайским морем и Тайванем. Такие примеры отражают более широкую тенденцию, когда киберугрозы переплетаются с событиями реального мира, позволяя злоумышленникам манипулировать эмоциями и срочностью для достижения своих вредоносных целей.

#ParsedReport #CompletenessMedium
10-01-2026

Q4 2025 Malware Statistics Report for Windows Database Servers

https://asec.ahnlab.com/ko/91968/

Report completeness: Medium

Threats:
Clrshell
Coinminer
Gh0st_rat
Cobalt_strike_tool
Meterpreter_tool
Anydesk_tool
Rustdesk_tool
Trigona
Bitsadmin_tool
Juicypotato_tool
Loveminer
Mykings
Netcat_tool

Victims:
Ms sql server, Mysql server, Windows database servers

ChatGPT TTPs:
do not use without manual check
T1078, T1082, T1105, T1110, T1505.002

IOCs:
Command: 2
File: 3
Path: 2
Url: 7
Hash: 5
IP: 2

Soft:
MS-SQL, MySQL, Curl, Bat2Exe

Algorithms:
md5

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Отчет о статистике вредоносного ПО за 4 квартал 2025 года показывает, что Trigona group нацелена на общедоступные серверы MS-SQL, используя слабые учетные данные с помощью брутфорса или атак по словарю. После взлома этих серверов они используют оболочку CLR для развертывания вредоносных полезных нагрузок и выполнения команд для сбора обширной системной информации, способствующей дальнейшему использованию. Это подчеркивает необходимость повышенной бдительности и безопасности в отношении развивающихся киберугроз, нацеленных на серверы баз данных.
-----

В отчете о статистике вредоносного ПО для серверов баз данных Windows за 4 квартал 2025 года Аналитический центр безопасности AhnLab (ASEC) проанализировал атаки, нацеленные на серверы MS-SQL и MySQL, работающие на платформах Windows. В отчете раскрывается значительное количество скомпрометированных серверов с подробным описанием методов и вредоносного ПО, использованных при этих атаках.

Одним из наиболее заметных злоумышленников в этом квартале является Trigona group, которая продолжает проводить атаки, используя обновленное вредоносное ПО и методы. Основное внимание группы сосредоточено на серверах MS-SQL, которые являются общедоступными и уязвимыми для атак брутфорсом или по словарю, в первую очередь нацеленных на серверы со слабыми учетными данными учетной записи. После успешного взлома сервера злоумышленники Trigona используют оболочку CLR (Common Language Runtime) для развертывания дополнительных вредоносных программ. Это говорит об оптимизации их тактики, поскольку они адаптируют свои методы, сохраняя при этом неизменный профиль цели.

Получив доступ к серверу MS-SQL, злоумышленники из Trigona используют серию команд, предназначенных для извлечения подробной информации о скомпрометированной системе. Такой подход указывает на стратегический план, направленный на обеспечение того, чтобы они полностью понимали среду сервера, что облегчает дальнейшую эксплуатацию или установку стойкого вредоносного ПО. В отчете подчеркивается острая необходимость в усиленных механизмах проверки безопасности и защиты от таких нацеленных атак, особенно в средах, где SQL-серверы подключены к Интернету с недостаточной защитой.

По мере развития угроз акцент делается на понимании векторов атак, используемых такими группами, как Trigona, что подчеркивает важность поддержания надежных методов обеспечения безопасности для защиты от таких нацеленных киберугроз.

#ParsedReport #CompletenessHigh
08-01-2026

Reborn in Rust: Muddy Water Evolves Tooling with RustyWater Implant

https://www.cloudsek.com/blog/reborn-in-rust-muddywater-evolves-tooling-with-rustywater-implant

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Rustywater
Spear-phishing_technique
Rustric

Victims:
Diplomatic sector, Maritime sector, Financial sector, Telecom sector

Industry:
Education, Government, Maritime, Telco

Geo:
Middle east, Turkmenistan, Israeli

TTPs:
Tactics: 2
Technics: 6

IOCs:
File: 7
Path: 1
Hash: 10
Domain: 3
IP: 3

Soft:
nginx

Algorithms:
exhibit, base64, xor, sha256

Functions:
WriteHexToFile, Chr, CreateObject

Win API:
VirtualAllocEx, WriteProcessMemory, RegOpenKeyExW, GetUserNameW, GetComputerNameExW, CreateWaitableTimerExW

Languages:
rust, powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 6, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Muddy Water apt-группировка ввела RustyWater имплантата, используя целевой фишинг spearphishing в том, что использовать значок подмены и вредоносные документы Word в предназначенных для различных секторов на Ближнем Востоке. Имплантат поддерживает асинхронный командования и управления связи, включает в себя анти-анализа, и устанавливает сохранением закрепление сохранить свое присутствие. Кроме того, модульная конструкция RustyWater's позволяет проводить индивидуальные операции после компрометации, повышая адаптивность злоумышленника и оперативную эффективность.
-----

В Muddy Water apt-группировка в последнее время превратилась его тактика по реализации RustyWater имплант, после выявления целевой фишинг spearphishing в предназначенных для различных секторов на Ближнем Востоке, включая дипломатию, морское, финансов и телекоммуникаций. Эта кампания использует методы, такие как значок подмены и распространение вредоносных документов Word, чтобы облегчить доставку своего ржавчины на основе вредоносное ПО.

Имплантат RustyWater предназначен для асинхронной передачи команд и контроля (C2), что позволяет ему эффективно управлять взаимодействиями с зараженными системами, избегая обнаружения. В дополнение к своим возможностям C2, имплант включает в себя функции антианализа, что затрудняет исследователям безопасности анализ его поведения. Кроме того, он обеспечивает закрепление реестра, гарантируя, что вредоносное ПО сохранит свое присутствие в скомпрометированных системах даже после перезагрузки.

Более того, RustyWater поддерживает модульные операции после компрометации, позволяя злоумышленникам расширять свои возможности в сети жертвы. Такая модульность позволяет проводить индивидуальные операции в зависимости от конкретных целей атаки, повышая адаптивность и эффективность злоумышленника. Использование Rust для разработки этого импланта свидетельствует о тенденции к созданию более сложного, ориентированного на производительность вредоносного ПО в среде киберугроз.

#ParsedReport #CompletenessLow
08-01-2026

Threat Actors Actively Targeting LLMs

https://www.greynoise.io/blog/threat-actors-actively-targeting-llms

Report completeness: Low

Threats:
Nuclei_tool
React2shell_vuln

Victims:
Llm infrastructure, Llm model endpoints

Geo:
Netherlands, Sri lanka, Japan, Romania

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1046, T1102, T1190, T1210, T1212, T1552, T1592, T1595, T1595.002

IOCs:
IP: 7

Soft:
Slack, Ollama, OpenAI, Claude, DeepSeek, DeepSeek-R1, Ubuntu

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании были нацелены на большие языковые модели (LLM) с использованием таких методов, как подделка запросов на стороне сервера (SSRF), которые используют функциональность извлечения модели Ollama с помощью введенных вредоносных URL-адресов. Злоумышленники провели разведку более чем на 73 конечных точках LLM с двух IP-адресов, сгенерировав 80 469 сеансов для выявления неправильно настроенных прокси-серверов, которые могут привести к утечке доступа к коммерческим API. Этот повышенный риск эксфильтрации данных указывает на критические уязвимости в инфраструктуре LLM.
-----

Злоумышленники недавно нацелили большие языковые модели (LLM) с помощью специальных кампаний атак. Один из известных методов включал кампанию по подделке запросов на стороне сервера (SSRF), которая использовала функциональность извлечения модели Ollama путем внедрения вредоносных URL-адресов реестра. Это позволило злоумышленникам манипулировать потоком запросов, заставляя серверы выполнять несанкционированные HTTP-запросы к своей инфраструктуре. Кроме того, кампания включала интеграцию Twilio SMS webhook, где вредоносные параметры в mediaUrl приводили к исходящим подключениям к местоположениям, контролируемым злоумышленниками.

Начиная с 28 декабря 2025 года, другая кампания была сосредоточена на разведке, в ходе которой было исследовано более 73 конечных точек модели LLM. Эта систематическая работа по перечислению была проведена по двум IP-адресам, которые сгенерировали ошеломляющие 80 469 сеансов всего за одиннадцать дней. Цель состояла в том, чтобы выявить неправильно настроенные прокси-серверы, которые могли привести к утечке доступа к коммерческим API, увеличивая риск эксфильтрации данных или несанкционированного использования моделей.

Для смягчения угроз, создаваемых инфраструктуре LLM, рекомендуется несколько защитных мер. Организациям следует ограничить использование моделей, настроив Ollama на прием моделей только из доверенных реестров. Реализация фильтрации на выходе может помочь заблокировать доступ обратных вызовов SSRF к инфраструктуре злоумышленника. Также крайне важно обнаруживать и предупреждать о шаблонах, указывающих на перечисление, в частности о быстрых запросах, нацеленных на несколько конечных точек модели, а также о конкретных запросах на снятие отпечатков пальцев, таких как запросы о количестве штатов в Соединенных Штатах.

В дальнейшем укреплять оборону, такие меры, как блокирование исходящего сеанса приложения трафик (Ост) на уровне DNS может отсечь каналы, подтверждающие успешные попытки эксплуатации. Лимитирующей связи с подозрительной номера автономной системы (ASN), специально AS152194, AS210558, и AS51396, которые были заметны в атаке дорожного движения, также имеет важное значение. Наконец, мониторинг JA4 отпечатков пальцев поможет в выявлении и блокировании средств автоматизации таргетинга обучение инфраструктуры, тем самым повышая общий уровень безопасности против этих новых угроз.

#ParsedReport #CompletenessLow
11-01-2026

Fake "Fast Ray VPN" Site on Cloudflare Pages Leading to PUA Downloads

https://malwr-analysis.com/2026/01/11/fake-fast-ray-vpn-site-on-cloudflare-pages-leading-to-pua-downloads/

Report completeness: Low

Actors/Campaigns:
Fast_ray_vpn (motivation: financially_motivated)

Threats:
Pixelsee

Victims:
Consumers

IOCs:
Url: 6
Domain: 8
File: 2
Hash: 1

Soft:
Opera, TikTok, Google Play

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен мошеннический веб-сайт, выдающий себя за "Fast Ray VPN", использующий страницы Cloudflare для распространения потенциально нежелательных приложений (PUA). Ориентируясь на пользователей, пользующихся услугами VPN, он использует тактику обмана, чтобы создать ложное ощущение безопасности, одновременно способствуя установке рекламного ПО и аналогичного нежелательного программного обеспечения. Использование законных инфраструктур, таких как Cloudflare, усложняет обнаружение, поскольку киберпреступники используют это для повышения доверия к сайту.
-----

Был идентифицирован мошеннический веб-сайт, Маскировка под "Fast Ray VPN", размещенный на страницах Cloudflare, который используется для распространения потенциально нежелательных приложений (PUA). Этот сайт, по-видимому, ориентирован на людей, ищущих услуги виртуальной частной сети, но в конечном итоге приводит их к загрузке нежелательного программного обеспечения.

Анализ этого сайта, посвященного VPN, показывает его роль в заманивании пользователей обещаниями повышенной конфиденциальности и безопасности - распространенная тактика, используемая злоумышленниками для повышения доверия к вредоносным платформам. Пользователи, заходящие на сайт, могут непреднамеренно установить PUAS, которые могут включать рекламное ПО или другое не вредоносное, но нежелательное программное обеспечение, которое может нарушить производительность системы или изменить настройки браузера.

Операция использует инфраструктуру Cloudflare, что затрудняет обнаружение и смягчение последствий из-за общего использования платформы для законных сервисов. Злоумышленники часто используют такие инфраструктуры, чтобы придать своим операциям видимость подлинности, тем самым повышая свои шансы на успешное взаимодействие с пользователями.

Этот случай иллюстрирует сохраняющуюся тенденцию злоумышленниками с помощью VPN имперсонация как вектор для распространения вредоносных программ, подчеркивая важность бдительности пользователей для проверки подлинности поставщиков программного обеспечения. Пользователям рекомендуется быть осторожными любую нежелательную популярность, в частности, с сайтов, которые появляются подозрения или отсутствие проверяемые учетные данные.

#ParsedReport #CompletenessLow
11-01-2026

MuddyWater: When Your Build System Becomes an IOC "Jacob"

https://blog.synapticsystems.de/muddywater-when-your-build-system-becomes-an-ioc/

Report completeness: Low

Actors/Campaigns:
Muddywater (motivation: script_kiddie)

Threats:
Rusty_stealer

Industry:
Government, Critical_infrastructure, Telco

Geo:
Middle east, Iran, Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 2
File: 16
Path: 4
Command: 1

Soft:
Linux, Docker

Algorithms:
base64, sha256, aes-gcm

Functions:
WriteHexToFile, main

Languages:
rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, связанный с иранскими злоумышленниками, содержит усовершенствованное вредоносное ПО, адаптированное для систем Windows, использующее пользовательский стек HTTP, созданный с помощью Rust, вместо стандартных сетевых библиотек, таких как WinInet. Модульная архитектура вредоносного ПО указывает на стратегический подход к гибкости и закреплению в корпоративных сетях, в то время как его разработчики демонстрируют осведомленность о методах уклонения от обнаружения, включив строки, относящиеся к антивирусным решениям. Анализ показывает продуманный подход к операциям, который адаптируется к строгим условиям безопасности, улучшая понимание эволюционирующих методологий борьбы с киберугрозами.
-----

MuddyWater, приписываемый иранским злоумышленникам, демонстрирует сложное вредоносное ПО, которое работает в основном в средах Windows. Проанализированный образец с хэшем "f38a56b8dc0e8a581999621eef65ef497f0ac0d35e953bd94335926f00e9464f" позволяет получить представление о его архитектуре и схемах работы. Примечательно, что вредоносное ПО не полагается на базовые сетевые библиотеки Windows, такие как WinInet; скорее, оно использует пользовательский стек HTTP, построенный на библиотеках Rust, что подчеркивает тенденцию к современным методам программирования среди разработчиков вредоносного ПО.

Анализ показывает, что это вредоносное ПО предназначено для нацеливания на корпоративные сети, подчеркивая модульную архитектуру, которая обеспечивает гибкость в его работе. Это говорит о том, что акторы, стоящие за MuddyWater, возможно, применяют сложную тактику для поддержания закрепления и адаптивности в среде жертв. Более того, использование компилятора Rust подразумевает хорошо продуманный процесс разработки, при котором разработчики заботятся об оптимизации методов обеспечения безопасности на этапе программирования.

С точки зрения операционной безопасности (OPSEC) наличие строк, относящихся к антивирусным решениям, указывает на то, что авторы вредоносного ПО осведомлены о тактике обнаружения конечных точек и реагирования на них (EDR). Эти знания предполагают продуманный подход к тому, чтобы избежать обнаружения и в то же время предвидеть потенциальные контрмеры, применяемые службами безопасности. Кроме того, вредоносное ПО работает в условиях использования прокси-серверов, что указывает на его развертывание в сетях, характеризующихся строгим контролем безопасности и брандмауэрами.

Значение этих артефактов выходит за рамки традиционных индикаторов компрометации (IOC), таких как доменные имена; они дают бесценную информацию о наборе инструментов и методологиях работы злоумышленников, позволяя более эффективно выявлять угрозы и определять их атрибуцию. Таким образом, анализ MuddyWater не только проливает свет на его технические характеристики, но и улучшает понимание ландшафта иранских угроз, демонстрируя эволюцию стратегий кибератак в ответ на современные меры кибербезопасности.

#ParsedReport #CompletenessLow
08-01-2026

Breaking Down an Access-Code-Gated Malware Delivery Chain

https://www.joesecurity.org/blog/8930920806197220285

Report completeness: Low

Threats:
Timebomb_technique
Vidar_stealer

Victims:
Users of electronic signature services

Geo:
China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1106, T1204, T1497.003, T1566.001

IOCs:
Url: 7
File: 2
Hash: 2

Algorithms:
md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибер-атака начинается фишинг электронной почты олицетворение компания DocuSign, призванная завлечь жертв на выполнение вредоносного контента. Атака использует многоступенчатый вредоносное ПО доставка услуги, с бинарная полезная нагрузка со встроенным Time Bomb, который выполняется после задержки или, при определенных условиях, чтобы избежать обнаружения. Как статические, так и динамические методы анализа были использованы для изучения поведения вредоносного ПО, вредоносное ПО, которые подчеркивают сложность современного вредоносное ПО обеспечением.
-----

Кибератака начинается с изощренного фишинга по электронной почте, который выдает себя за хорошо известный сервис электронной подписи DocuSign. Эта тактика предназначена для того, чтобы заманить жертв к просмотру вредоносного контента. В основе атаки лежит многоэтапная цепочка доставки вредоносного ПО, начинающаяся с этого обманчивого сообщения.

Второй этап Атака включает в себя бинарная полезная нагрузка, которая выполняется после первичной приманки берется. Анализ с помощью таких инструментов, как Джо реверсом выявил заметных характеристик этой полезной нагрузки, в том числе наличие встроенного Time Bomb. Такая особенность указывает на то, что вредоносное ПО предназначен для выполнения своих вредоносных действий, после заданной задержки или при определенных условиях, что затрудняет обнаружение.

Аналитические методы, использованные в этом исследовании, подчеркивают эффективность как инструментов статического, так и динамического анализа. Статический анализ позволил исследователям реконструировать всю цепочку доставки вредоносного ПО без необходимости инициировать какие-либо условия, которые привели бы к запуску вредоносного ПО. Тем временем динамический анализ подтвердил поведение конечной полезной нагрузки вредоносного ПО после ее запуска. Интеграция этих двух подходов демонстрирует проблемы современных Вредоносных Кампаний, подчеркивая важность использования комплексных аналитических методов для полного понимания и смягчения угроз, создаваемых такими продвинутыми кибератаками.