#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании были нацелены на большие языковые модели (LLM) с использованием таких методов, как подделка запросов на стороне сервера (SSRF), которые используют функциональность извлечения модели Ollama с помощью введенных вредоносных URL-адресов. Злоумышленники провели разведку более чем на 73 конечных точках LLM с двух IP-адресов, сгенерировав 80 469 сеансов для выявления неправильно настроенных прокси-серверов, которые могут привести к утечке доступа к коммерческим API. Этот повышенный риск эксфильтрации данных указывает на критические уязвимости в инфраструктуре LLM.
-----

Злоумышленники недавно нацелили большие языковые модели (LLM) с помощью специальных кампаний атак. Один из известных методов включал кампанию по подделке запросов на стороне сервера (SSRF), которая использовала функциональность извлечения модели Ollama путем внедрения вредоносных URL-адресов реестра. Это позволило злоумышленникам манипулировать потоком запросов, заставляя серверы выполнять несанкционированные HTTP-запросы к своей инфраструктуре. Кроме того, кампания включала интеграцию Twilio SMS webhook, где вредоносные параметры в mediaUrl приводили к исходящим подключениям к местоположениям, контролируемым злоумышленниками.

Начиная с 28 декабря 2025 года, другая кампания была сосредоточена на разведке, в ходе которой было исследовано более 73 конечных точек модели LLM. Эта систематическая работа по перечислению была проведена по двум IP-адресам, которые сгенерировали ошеломляющие 80 469 сеансов всего за одиннадцать дней. Цель состояла в том, чтобы выявить неправильно настроенные прокси-серверы, которые могли привести к утечке доступа к коммерческим API, увеличивая риск эксфильтрации данных или несанкционированного использования моделей.

Для смягчения угроз, создаваемых инфраструктуре LLM, рекомендуется несколько защитных мер. Организациям следует ограничить использование моделей, настроив Ollama на прием моделей только из доверенных реестров. Реализация фильтрации на выходе может помочь заблокировать доступ обратных вызовов SSRF к инфраструктуре злоумышленника. Также крайне важно обнаруживать и предупреждать о шаблонах, указывающих на перечисление, в частности о быстрых запросах, нацеленных на несколько конечных точек модели, а также о конкретных запросах на снятие отпечатков пальцев, таких как запросы о количестве штатов в Соединенных Штатах.

В дальнейшем укреплять оборону, такие меры, как блокирование исходящего сеанса приложения трафик (Ост) на уровне DNS может отсечь каналы, подтверждающие успешные попытки эксплуатации. Лимитирующей связи с подозрительной номера автономной системы (ASN), специально AS152194, AS210558, и AS51396, которые были заметны в атаке дорожного движения, также имеет важное значение. Наконец, мониторинг JA4 отпечатков пальцев поможет в выявлении и блокировании средств автоматизации таргетинга обучение инфраструктуры, тем самым повышая общий уровень безопасности против этих новых угроз.

#ParsedReport #CompletenessLow
11-01-2026

Fake "Fast Ray VPN" Site on Cloudflare Pages Leading to PUA Downloads

https://malwr-analysis.com/2026/01/11/fake-fast-ray-vpn-site-on-cloudflare-pages-leading-to-pua-downloads/

Report completeness: Low

Actors/Campaigns:
Fast_ray_vpn (motivation: financially_motivated)

Threats:
Pixelsee

Victims:
Consumers

IOCs:
Url: 6
Domain: 8
File: 2
Hash: 1

Soft:
Opera, TikTok, Google Play

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен мошеннический веб-сайт, выдающий себя за "Fast Ray VPN", использующий страницы Cloudflare для распространения потенциально нежелательных приложений (PUA). Ориентируясь на пользователей, пользующихся услугами VPN, он использует тактику обмана, чтобы создать ложное ощущение безопасности, одновременно способствуя установке рекламного ПО и аналогичного нежелательного программного обеспечения. Использование законных инфраструктур, таких как Cloudflare, усложняет обнаружение, поскольку киберпреступники используют это для повышения доверия к сайту.
-----

Был идентифицирован мошеннический веб-сайт, Маскировка под "Fast Ray VPN", размещенный на страницах Cloudflare, который используется для распространения потенциально нежелательных приложений (PUA). Этот сайт, по-видимому, ориентирован на людей, ищущих услуги виртуальной частной сети, но в конечном итоге приводит их к загрузке нежелательного программного обеспечения.

Анализ этого сайта, посвященного VPN, показывает его роль в заманивании пользователей обещаниями повышенной конфиденциальности и безопасности - распространенная тактика, используемая злоумышленниками для повышения доверия к вредоносным платформам. Пользователи, заходящие на сайт, могут непреднамеренно установить PUAS, которые могут включать рекламное ПО или другое не вредоносное, но нежелательное программное обеспечение, которое может нарушить производительность системы или изменить настройки браузера.

Операция использует инфраструктуру Cloudflare, что затрудняет обнаружение и смягчение последствий из-за общего использования платформы для законных сервисов. Злоумышленники часто используют такие инфраструктуры, чтобы придать своим операциям видимость подлинности, тем самым повышая свои шансы на успешное взаимодействие с пользователями.

Этот случай иллюстрирует сохраняющуюся тенденцию злоумышленниками с помощью VPN имперсонация как вектор для распространения вредоносных программ, подчеркивая важность бдительности пользователей для проверки подлинности поставщиков программного обеспечения. Пользователям рекомендуется быть осторожными любую нежелательную популярность, в частности, с сайтов, которые появляются подозрения или отсутствие проверяемые учетные данные.

#ParsedReport #CompletenessLow
11-01-2026

MuddyWater: When Your Build System Becomes an IOC "Jacob"

https://blog.synapticsystems.de/muddywater-when-your-build-system-becomes-an-ioc/

Report completeness: Low

Actors/Campaigns:
Muddywater (motivation: script_kiddie)

Threats:
Rusty_stealer

Industry:
Government, Critical_infrastructure, Telco

Geo:
Middle east, Iran, Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 2
File: 16
Path: 4
Command: 1

Soft:
Linux, Docker

Algorithms:
base64, sha256, aes-gcm

Functions:
WriteHexToFile, main

Languages:
rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, связанный с иранскими злоумышленниками, содержит усовершенствованное вредоносное ПО, адаптированное для систем Windows, использующее пользовательский стек HTTP, созданный с помощью Rust, вместо стандартных сетевых библиотек, таких как WinInet. Модульная архитектура вредоносного ПО указывает на стратегический подход к гибкости и закреплению в корпоративных сетях, в то время как его разработчики демонстрируют осведомленность о методах уклонения от обнаружения, включив строки, относящиеся к антивирусным решениям. Анализ показывает продуманный подход к операциям, который адаптируется к строгим условиям безопасности, улучшая понимание эволюционирующих методологий борьбы с киберугрозами.
-----

MuddyWater, приписываемый иранским злоумышленникам, демонстрирует сложное вредоносное ПО, которое работает в основном в средах Windows. Проанализированный образец с хэшем "f38a56b8dc0e8a581999621eef65ef497f0ac0d35e953bd94335926f00e9464f" позволяет получить представление о его архитектуре и схемах работы. Примечательно, что вредоносное ПО не полагается на базовые сетевые библиотеки Windows, такие как WinInet; скорее, оно использует пользовательский стек HTTP, построенный на библиотеках Rust, что подчеркивает тенденцию к современным методам программирования среди разработчиков вредоносного ПО.

Анализ показывает, что это вредоносное ПО предназначено для нацеливания на корпоративные сети, подчеркивая модульную архитектуру, которая обеспечивает гибкость в его работе. Это говорит о том, что акторы, стоящие за MuddyWater, возможно, применяют сложную тактику для поддержания закрепления и адаптивности в среде жертв. Более того, использование компилятора Rust подразумевает хорошо продуманный процесс разработки, при котором разработчики заботятся об оптимизации методов обеспечения безопасности на этапе программирования.

С точки зрения операционной безопасности (OPSEC) наличие строк, относящихся к антивирусным решениям, указывает на то, что авторы вредоносного ПО осведомлены о тактике обнаружения конечных точек и реагирования на них (EDR). Эти знания предполагают продуманный подход к тому, чтобы избежать обнаружения и в то же время предвидеть потенциальные контрмеры, применяемые службами безопасности. Кроме того, вредоносное ПО работает в условиях использования прокси-серверов, что указывает на его развертывание в сетях, характеризующихся строгим контролем безопасности и брандмауэрами.

Значение этих артефактов выходит за рамки традиционных индикаторов компрометации (IOC), таких как доменные имена; они дают бесценную информацию о наборе инструментов и методологиях работы злоумышленников, позволяя более эффективно выявлять угрозы и определять их атрибуцию. Таким образом, анализ MuddyWater не только проливает свет на его технические характеристики, но и улучшает понимание ландшафта иранских угроз, демонстрируя эволюцию стратегий кибератак в ответ на современные меры кибербезопасности.

#ParsedReport #CompletenessLow
08-01-2026

Breaking Down an Access-Code-Gated Malware Delivery Chain

https://www.joesecurity.org/blog/8930920806197220285

Report completeness: Low

Threats:
Timebomb_technique
Vidar_stealer

Victims:
Users of electronic signature services

Geo:
China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1106, T1204, T1497.003, T1566.001

IOCs:
Url: 7
File: 2
Hash: 2

Algorithms:
md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибер-атака начинается фишинг электронной почты олицетворение компания DocuSign, призванная завлечь жертв на выполнение вредоносного контента. Атака использует многоступенчатый вредоносное ПО доставка услуги, с бинарная полезная нагрузка со встроенным Time Bomb, который выполняется после задержки или, при определенных условиях, чтобы избежать обнаружения. Как статические, так и динамические методы анализа были использованы для изучения поведения вредоносного ПО, вредоносное ПО, которые подчеркивают сложность современного вредоносное ПО обеспечением.
-----

Кибератака начинается с изощренного фишинга по электронной почте, который выдает себя за хорошо известный сервис электронной подписи DocuSign. Эта тактика предназначена для того, чтобы заманить жертв к просмотру вредоносного контента. В основе атаки лежит многоэтапная цепочка доставки вредоносного ПО, начинающаяся с этого обманчивого сообщения.

Второй этап Атака включает в себя бинарная полезная нагрузка, которая выполняется после первичной приманки берется. Анализ с помощью таких инструментов, как Джо реверсом выявил заметных характеристик этой полезной нагрузки, в том числе наличие встроенного Time Bomb. Такая особенность указывает на то, что вредоносное ПО предназначен для выполнения своих вредоносных действий, после заданной задержки или при определенных условиях, что затрудняет обнаружение.

Аналитические методы, использованные в этом исследовании, подчеркивают эффективность как инструментов статического, так и динамического анализа. Статический анализ позволил исследователям реконструировать всю цепочку доставки вредоносного ПО без необходимости инициировать какие-либо условия, которые привели бы к запуску вредоносного ПО. Тем временем динамический анализ подтвердил поведение конечной полезной нагрузки вредоносного ПО после ее запуска. Интеграция этих двух подходов демонстрирует проблемы современных Вредоносных Кампаний, подчеркивая важность использования комплексных аналитических методов для полного понимания и смягчения угроз, создаваемых такими продвинутыми кибератаками.

#ParsedReport #CompletenessLow
07-01-2026

A phishing campaign with QR codes rendered using an HTML table

https://isc.sans.edu/diary/32606

Report completeness: Low

Threats:
Qshing_technique

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1598

IOCs:
Domain: 2
Url: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние фишинг приемы использовать QR-коды, встроенные в HTML-таблицы, чтобы перенаправлять пользователей на вредоносные сайты, эксплуатируя их растущее использование в цифровых взаимодействий. Эта стратегия скрывает URL-адрес назначения, часто заманивают жертв на сканирование, казалось бы, законных коды, которые направляют их на мошеннические сайты, нацеленные на захват конфиденциальных сведений. Этот сдвиг в фишинг тактика моменты уязвимости среди пользователей, которые могут забыть о рисках, связанных с QR-кодами.
-----

Последние разработки в области методов фишинга подчеркивают использование QR-кодов, которые могут быть легко встроены в HTML-таблицы, чтобы направлять пользователей на вредоносные веб-сайты. Этот метод использует растущее знакомство с QR-кодами и зависимость от них при различных цифровых взаимодействиях, что делает его мощным средством для атак фишинга. Функциональность QR-кодов позволяет злоумышленникам, чтобы скрыть URL-адрес назначения, что часто приводит пользователей на фишинг-страницу без предупреждения или контроля они могут применяться в традиционных ссылки в сообщениях электронной почты.

В контексте этой кампании по фишингу злоумышленники, вероятно, используют привлекательность QR-кодов, соблазняя жертв сканировать коды, которые кажутся законными. После сканирования кодов привести пользователей на мошеннические сайты, предназначенные для кражи конфиденциальной информации. Размещение QR-кодов, таким образом, не только иллюстрирует сдвиг в фишинг стратегий, но и иллюстрирует уязвимость ничего не подозревающих пользователей, которые не могут анализировать коды и их сопровождающие информацию критически.

#ParsedReport #CompletenessMedium
11-01-2026

North Korean APT malware attack campaign analysis targeting macOS users

https://www.ctfiot.com/291611.html

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Realtekmac

Threats:
Go-stealer
Steganography_technique

Victims:
Macos users

Geo:
North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002

IOCs:
Domain: 3
Hash: 8
File: 5
IP: 1
Url: 3

Soft:
macOS, Chrome, WeChat

Algorithms:
base64, zip, md5, gzip, sha256, rc4

Functions:
main, Run_DLL_Func, procesInfo, processInfo, procesOsShell, cChromeLoginData, processExit

Platforms:
arm, intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская хакерская группа запустила Вредоносную Кампанию, нацеленную на пользователей macOS, развившуюся из более ранней атаки Contagious Interview. Эта новая стратегия использует уведомления о фишинге, замаскированные под запросы на обновление драйверов Realtek, используя доверие пользователей к законным обновлениям программного обеспечения. Вредоносное ПО, соответствующее тактике, используемой северокорейскими APT-группировками, вероятно, нацелено на шпионаж и кражу данных, подчеркивая сохраняющуюся угрозу среде macOS со стороны спонсируемых государством кибер-акторов.
-----

Было замечено, что северокорейская хакерская группа проводит кампанию по атаке вредоносного ПО, специально предназначенную для пользователей macOS, что является продолжением предыдущих методов использования этой платформы. Кампания появилась в апреле 2025 года и представляет собой эволюцию ранее задокументированной атаки на Contagious Interview, которая включала использование убедительных предложений о работе для заманивания жертв. Однако в этой недавней итерации используется другая тактика: уведомления о фишинге, предназначенные для того, чтобы ввести пользователей в заблуждение, заставив их поверить, что им необходимо обновить свои драйверы Realtek.

Использование обновлений драйверов Realtek в качестве приманки предполагает значительный сдвиг в тактике, поскольку повышает доверие, которое пользователи обычно проявляют к законным обновлениям программного обеспечения. Представляя знакомый запрос, который, по-видимому, исходит от хорошо известного драйвера для Аппаратного обеспечения, злоумышленники пытаются увеличить вероятность успеха в своих попытках фишинга. Такой подход подчеркивает адаптивность злоумышленников в совершенствовании своих стратегий использования человеческого поведения и присущее пользователям доверие к системным уведомлениям, связанным с производительностью и безопасностью программного обеспечения.

В рамках этой кампании вредоносное ПО, доставляемое с помощью этих уведомлений о фишинге, вероятно, обладает возможностями, аналогичными тем, которые ранее были связаны с северокорейскими APT-группировками, которые часто включают шпионаж, кражу данных и доступ к конфиденциальной информации. Хотя конкретные подробности о функциональности вредоносного ПО еще предстоит раскрыть, метод Маскировки под законные обновления программного обеспечения вызывает серьезные опасения относительно уязвимостей безопасности в средах macOS. Эволюция этой тактики подчеркивает постоянную угрозу, исходящую от спонсируемых государством кибер-акторов, и их целенаправленные усилия по нацеливанию на конкретные базы пользователей для достижения своих оперативных целей.

#ParsedReport #CompletenessLow
12-01-2026

The Ransomware Ground Game: How A Christmas Scanning Campaign Will Fuel 2026 Attacks

https://www.greynoise.io/blog/christmas-scanning-campaign-fuel-2026-attacks

Report completeness: Low

Threats:
Interactsh_tool
Nuclei_tool

Victims:
Multiple sectors

Industry:
Critical_infrastructure, Petroleum, E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1071.004, T1190, T1205, T1210, T1566.002, T1583.001, T1583.004, T1583.006, T1585, have more...

IOCs:
IP: 2

Soft:
Slack, FUNNULL

Links:
https://github.com/GreyNoise-Intelligence/gn-research-supplemental-data/blob/main/2025-12-30-iab-campaign/LABScon-2024\_Jarocki\_OAST2OAST\_final.pdf
https://github.com/GreyNoise-Intelligence/gn-research-supplemental-data/tree/main/2025-12-30-iab-campaign
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье рассматриваются брокеры первоначального доступа (IAB), которые фокусируются на использовании уязвимостей в системах для создания списков доступа для операторов программ-вымогателей, а не на выполнении самих атак. Рождественская кампания по сканированию выявила 11 методов использования эксплойтов с запросами к целевым системам каждые 1-5 секунд, подтверждая уязвимости с помощью внеполосного тестирования безопасности приложений (OAST). Кроме того, инфраструктура кампании, связанная с CDN FUNNULL, указывает на значительную вредоносную деятельность и подчеркивает, что как криминальные, так и государственные акторы используют данные IAB для стратегических киберопераций.
-----

В статье рассматривается кампания, запущенная в канун Рождества, которая направлена на создание условий для будущего нападения в 2026 году. Лаборатории специализируются на выявление и использование уязвимостей системы не занимаясь шифрования файлов или данных эксфильтрация себя. Вместо этого они собирают списки уязвимых системах и продать доступ к вымогатели операторы, которые осуществляют фактический атак.

Подробности кампании показывают, что злоумышленники выполняли частые запросы, которые выполнялись каждые 1-5 секунд в каждой целевой системе, используя около 11 различных методов эксплойта. Для проверки уязвимостей они использовали домены внешнего тестирования безопасности приложений (OAST), что позволило им подтвердить успешную эксплуатацию с помощью исходящих запросов к своим серверам. Этот метод вызывает опасения относительно масштабов и эффективности таких попыток киберпреступников.

Кроме того, была выделена инфраструктура кампании, отметив, что предыдущее исследование выявило AS152194 как важную организацию, занимающуюся размещением доменов для фишинга, связанных с инфраструктурой CDN FUNNULL. Эта сеть не только отслеживает подозрительную активность, объявляя маршруты bogon, что указывает на плохую гигиену сети, но и несколько ее диапазонов IP—адресов также занесены в черные списки злоупотреблений, сигнализируя о потенциальном злонамеренном использовании.

Для организаций, стремящихся защититься от подобных угроз, крайне важно отслеживать журналы DNS на предмет запросов, направленных на домены OAST, поскольку такие запросы могут указывать на то, что их системы нацелены на эксплуатацию. Кроме того, в статье содержится намек на более широкий контекст, в котором связанные с государством группы ранее получали аналогичные данные разведки либо путем закупок у брокеров, либо своими независимыми усилиями, как правило, преследуя долгосрочные стратегические цели, такие как получение доступа к критически важной инфраструктуре или проведение разведывательных операций. Это подчеркивает все более изощренный ландшафт киберугроз, в котором как криминальные, так и государственные акторы используют деятельность IABS в различных злонамеренных целях.

#ParsedReport #CompletenessLow
09-01-2026

Doomsday for Cybercriminals Data Breach of Major Dark Web Forum

https://www.resecurity.com/blog/article/doomsday-for-cybercriminals-data-breach-of-major-dark-web-foru

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
Yukari (motivation: cyber_criminal)
Baphomet
Scattered_lapsus_hunters
Gnosticplayer (motivation: cyber_criminal)
Cyberniggers
Indra
0ktapus
Lapsus

Threats:
Sim_swapping_technique

Industry:
Telco, Healthcare

Geo:
Germany, Netherlands, France, Jordan, Russian, Egypt, United kingdom, Chinese, Mena, Turkish, Morocco, Africa, French, Middle east, Turkey

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.004, T1589

IOCs:
Domain: 3
Email: 7
Registry: 1
IP: 2

Soft:
Instagram, Whatsapp, MySQL, MyBB, Salesforce, Salesloft Drift, Telegram

Win Services:
bits

Links:
https://pastebin.com/yjgXNNUB
https://pastebin.com/raw/iL4mecAg
https://pastebin.com/raw/qUp9Ax9M

#ParsedReport #GeneratedSchema
Generated with GPT-4