#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это скрытый загрузчик вредоносного ПО, нацеленный на государственные секторы и критически важные инфраструктуры и действующий как первая точка входа в многоуровневую атаку. Используя установщик Inno Setup и сильно запутанный скрипт AutoIt, он интегрирует передовые методы уклонения, включая JScript.СЕТКА для CLOAKING и Внедрения в пустой процесс для манипуляций. Его средства связи для управления включают в себя конкретные IP-адреса и сложные методы выполнения и обхода защиты, что требует бдительного контроля со стороны служб безопасности.
-----

CastleLoader идентифицируется как скрытый загрузчик вредоносного ПО, предназначенный в первую очередь для государственных секторов и различных критически важных инфраструктур. Он служит точкой первоначального доступа в цепочке атак, предназначенных для доставки и установки дополнительных вредоносных компонентов. Способность CastleLoader's обходить традиционные механизмы обнаружения создает серьезные проблемы для служб безопасности, требуя использования современных источников информации об угрозах для эффективного противодействия его тактике.

Анализ CastleLoader включал как статические, так и динамические методы, чтобы понять его поведение и возможности. Первоначальный анализ в изолированной среде выявил подозрительные процессы и сетевые действия, связанные с их выполнением. Вредоносное ПО использует установщик Inno Setup, который при вскрытии оказался контейнером, содержащим вспомогательные файлы, необходимые для его работы. Ключевые компоненты включают исполняемый файл с именем AutoIt3.exe вместе со скриптом (свободно.a3x), который сильно запутан, что затрудняет прямой анализ.

Динамический анализ показал, что CastleLoader использует JScript.Компилятор NET, привлекающий внимание к своему механизму cloaking, не передавая дополнительные данные в `lpCommanLine'. Тщательное изучение сценария AutoIt показало, что, хотя некоторые его части могут быть декомпилированы, логика остается скрытой из-за значительного обтекания вызовов WinAPI. Для дальнейшего анализа был создан пользовательский синтаксический анализатор, автоматизирующий извлечение строк из вредоносного ПО путем использования известных шаблонов в коде CastleLoader's, в частности, идентифицирующий повторяемый механизм извлечения байтов XOR, который работает на основе фиксированного адреса с шаблоном UTF-16LE DWORD.

Индикаторы компрометации (МНК), связанные с CastleLoader раскрыть сложный подход к выполнению, обход защиты, обнаружения, сбора учетных данных и управление коммуникациями. Специфические методы включают в себя использование клавиатуры и методам выполнения программы, обфусцированные скрипты и внедрение в пустой процесс, чтобы манипулировать существующими процессами. Кроме того, сеть связи документируются, связывания HTTP-запросы к определенным IP-адресам, что говорит о вполне определенных управление инфраструктурой.

Как этот погрузчик развивается и адаптируется, постоянный мониторинг изменений в поведении и возникающих моделей будет иметь важное значение для эффективного противодействия угрозам, исходящим от CastleLoader и похожие вредоносное ПО.

#ParsedReport #CompletenessLow
13-01-2026

Kimwolf Howls from Inside the Enterprise

https://www.infoblox.com/blog/threat-intelligence/kimwolf-howls-from-inside-the-enterprise/

Report completeness: Low

Threats:
Kimwolf
Residential_proxy_technique
Aisuru

Industry:
Education, Telco, Healthcare, Media

ChatGPT TTPs:
do not use without manual check
T1190, T1204

IOCs:
Domain: 6

Soft:
Android

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Kimwolf значительно расширился за счет использования уязвимых устройств в локальных сетях Wi-Fi и манипулирования службами residential proxy для выполнения вредоносных команд. Исследования показывают, что мобильные приложения могут непреднамеренно способствовать эту проблему путем добавления устройства в прокси-сетей. Анализ телеметрии DNS показывает, что Kimwolf активно проверяет различные предприятия на наличие подобных уязвимостей, вызывая опасения по поводу безопасности прокси-сервисов и подключенных устройств.
-----

Недавние исследования свидетельствуют о значительном расширении ботнете Kimwolf, в первую очередь благодаря его способности использовать уязвимые устройства в локальных сетях Wi-Fi. Ботнет использует тактику, которая включает манипулирование службами residential proxy, позволяющую ему передавать вредоносные команды на эти устройства. Примечательно, что мобильные приложения могут непреднамеренно способствовать возникновению проблемы, добавляя устройства в прокси-сети, эффективно превращая их в переносчиков инфекции без ведома пользователей.

Данные телеметрии DNS показали, что Kimwolf активно проводит поиск уязвимых устройств на различных предприятиях и в учреждениях по всему миру. Масштабы этой угрозы подчеркиваются выводами о том, что примерно 25% клиентов, использующих Infoblox Threat Defense Cloud, инициировали запросы к доменам, связанным с Kimwolf. Это наводит на мысль о тревожном присутствии прокси-конечных точек в этих сетях, вызывая тревогу по поводу потенциальных уязвимостей в системе безопасности, которые могут быть использованы злоумышленниками.

Эти изменения указывают на то, что организации должны сохранять бдительность и проактивность при оценке состояния сетевой безопасности, особенно в отношении целостности прокси-сервисов и потенциальной уязвимости подключенных устройств.

#ParsedReport #CompletenessHigh
14-01-2026

Inside RedVDS: How a single virtual desktop provider fueled worldwide cybercriminal operations

https://www.microsoft.com/en-us/security/blog/2026/01/14/inside-redvds-how-a-single-virtual-desktop-provider-fueled-worldwide-cybercriminal-operations/

Report completeness: High

Actors/Campaigns:
Storm-2470
Storm-0259 (motivation: cyber_criminal)
Storm-2227 (motivation: cyber_criminal)
Storm-1575 (motivation: cyber_criminal)
Storm-1747 (motivation: cyber_criminal)

Threats:
Bec_technique
Socksescort
Anydesk_tool
Spear-phishing_technique
Homoglyph_technique
Password_spray_technique

Victims:
Legal sector, Construction sector, Manufacturing sector, Real estate sector, Healthcare sector, Education sector

Industry:
E-commerce, Education, Financial, Healthcare

Geo:
Netherlands, Canada, United kingdom, Germany, Australia, France

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1056.003, T1071.003, T1078, T1105, T1204.001, T1204.002, T1539, T1556.006, T1566.001, have more...

IOCs:
Domain: 4
Url: 1

Soft:
Microsoft Defender, QEMU, ChatGPT, OpenAI, Waterfox, grammarly, Telegram, Microsoft Exchange, Office 365, Microsoft Teams, have more...

Wallets:
tron

Crypto:
bitcoin, litecoin, monero, binance, dogecoin

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft угроз разведка выяснила, RedVDS в качестве поставщика инфраструктуры, используемых финансово мотивированными злоумышленниками для различных мероприятий, включая деловые, напишите компромисс, масса фишинг и взлом счетов. В RedVDS сервера, используя стандартизированный образ Windows сервер 2022, позволяют злоумышленникам проводить фишинг-кампании, используя инструменты, такие как фишинг-наборов и автоматизированные скрипты для доставки электронной почты. Эта инфраструктура поддерживает имперсонация олицетворения через homoglyph доменов, содействия социальной инженерии атак и несанкционированного перевода средств.
-----

Microsoft Threat Intelligence выявила RedVDS, поставщика виртуальных выделенных серверов (VDS), который стал ключевым инструментом для различных финансово мотивированных киберпреступников. За прошедший год эта инфраструктура способствовала широкому спектру киберпреступных действий, включая взлом деловой электронной почты (BEC), массовый фишинг, захват учетных записей и финансовое мошенничество во многих секторах, особенно в регионах с надежной банковской инфраструктурой, таких как США, Великобритания, Канада и европейские страны.

Инфраструктура RedVDS характеризуется уникальной операционной моделью. Оно предоставляет виртуальных витринах облачные серверы, которые копируются из одного стандартного образ 2022, в результате чего во всех случаях, используя то же имя компьютера, который представляет собой значительную аномалию. Это единообразие может быть ключевым показателем вредоносной активности. Злоумышленники воспользоваться этим предсказуемой среды за счет его низкой стоимости и разрешительного характера, используя его для проведения разведка для цели организации, стадии фишинг-кампании, и выполнить имперсонация на основе финансовых схем.

Расследование операций RedVDS выявило наличие согласованного инструментария у злоумышленников, которые арендовали его серверы. К ним относились наборы для фишинга, сборщики адресов электронной почты и инструменты массовой рассылки, позволяющие проводить масштабные кампании по фишингу. Киберпреступники использовали автоматизированные скрипты для импорта списков адресатов и управления доставкой электронных писем с фишингом, что способствовало быстрому развертыванию атак. Как только первоначальный доступ был получен с помощью фишинга, они извлекли и сохранили сеансовые файлы cookie, чтобы обойти Многофакторную аутентификацию (MFA), обеспечивая непрерывный доступ к скомпрометированным учетным записям.

Инфраструктура также поддерживала разработку схем Имперсонации с помощью доменов- homoglyph, которые очень напоминают законные коммерческие организации. Это способствовало атакам социальной инженерии, таким как отправка поддельных счетов-фактур с целью ввести цели в заблуждение и заставить их осуществлять несанкционированные переводы средств. Простота развертывания массовых операций фишинга с помощью RedVDS еще раз подчеркивает ее роль в расширении масштабов киберпреступной деятельности.

Несмотря на то, что RedVDS является поставщиком инфраструктуры, а не вредоносным ПО само по себе, это пример того, как киберпреступники используют такие ресурсы для запуска сложных операций с минимальным контролем. Microsoft Defender XDR отметил широкий спектр подозрительных действий, связанных с серверами RedVDS, и задокументировал различные связанные с ними методы атак, чтобы помочь организациям, подверженным риску, обнаруживать и смягчать их последствия.

#ParsedReport #CompletenessHigh
12-01-2026

Analyzing a Multi-Stage AsyncRAT Campaign via Managed Detection and Response

https://www.trendmicro.com/en_us/research/26/a/analyzing-a-a-multi-stage-asyncrat-campaign-via-mdr.html

Report completeness: High

Threats:
Asyncrat
Lolbin_technique
Apc_injection_technique
Polymorphism_technique
Donut
Doghousepower

Victims:
Users targeted via phishing

Geo:
German

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.004, T1059.001, T1059.003, T1105, T1204.001, T1204.002, T1547.001, T1564.003, have more...

IOCs:
File: 26
Path: 19
Url: 5
Domain: 5
IP: 3
Command: 10
Hash: 1

Soft:
TryCloudflare, Dropbox, Outlook

Algorithms:
zip

Functions:
DavSetCookie

Win Services:
WebClient

Languages:
python, powershell, javascript

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, schema: 5, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование многоэтапной Вредоносной Кампании с использованием троянца удаленного доступа AsyncRAT выявило продвинутую тактику уклонения, включая использование инфраструктуры Cloudflare и законных сред Python. Первоначальный доступ был получен в результате фишингов -атаки с использованием вредоносного архива, замаскированного под счет-фактуру, что привело к выполнению скриптов, которые обеспечивали закрепление и облегчали эксплуатацию. Атака использовала такие методы, как Polymorphic APC Injection, и включала в себя тактику обмана, такую как вводящие в заблуждение имена файлов, чтобы скрыть вредоносные действия.
-----

Расследование многоэтапной кампании с использованием троянца удаленного доступа AsyncRAT выявило изощренную тактику уклонения злоумышленников, которые использовали инфраструктуру Cloudflare наряду с законными средами Python для вредоносных целей. AsyncRAT завоевал популярность благодаря своему широкому набору функций, таких как Регистрация нажатий клавиш, Захват экрана и удаленное выполнение команд, чему способствует модульная архитектура, написанная на Python.

Вектор первоначального доступа для этой кампании был идентифицирован как атака фишинга, в ходе которой целям предлагалось загрузить вредоносный архив, замаскированный под счет-фактуру (Rechnung zu Auftrag W19248960825.pdf.zip ). Выполнение включало в себя серию интернет-файлов быстрого доступа, которые облегчали загрузку и выполнение вредоносных скриптов, размещенных на бесплатном сервисе Cloudflare. Примечательно, что один из таких ярлыков привел к выполнению скрипта PowerShell для продолжения атаки.

На этапе выполнения было задействовано несколько пакетных файлов, в частности vio.bat и xeno.bat. Оба скрипта имели перекрывающиеся функциональные возможности, включая скрытую установку Python 3.14.0 и закрепление путем удаления дополнительных пакетных файлов в папку автозагрузки. В частности, vio.bat загрузил пакетный файл с именем olsm.bat, в то время как xeno.bat использовал ahke.bat. Отличительной особенностью xeno.bat была его попытка обмануть жертв, открыв законный PDF-документ во время казни.

Центральное место в нападении занимало ne.py Скрипт на Python, разработанный для внедрения Polymorphic Асинхронного вызова процедуры (APC), позволяющий выполнять код в адресном пространстве отдельного процесса. Он принимает параметры, которые определяют ввод двоичной полезной нагрузки (new.bin) и ключевой файл (a.txt ), по умолчанию выполняющий explorer.exe в качестве мишени для инъекции. Двоичная полезная нагрузка new.bin была распакована, чтобы показать шеллкод, сгенерированный фреймворком Donut, что указывает на структурированный подход к доставке полезной нагрузки.

Кроме того, кампания использовала обманную тактику с такими файлами, как new.html, которые маскировались под CAPTCHA, чтобы ввести пользователей в заблуждение и заставить их загрузить файл JavaScript, который смешивался с законным контентом. Завершающий шаг перенаправлял пользователей на URL-адрес Dropbox, даже обеспечивая неработоспособность ссылки, чтобы еще больше скрыть злой умысел.

Эта кампания иллюстрирует разнообразные методы и многоуровневые стратегии, используемые киберпреступниками, использующими AsyncRAT, подчеркивая необходимость надежных мер обнаружения и реагирования для эффективного противодействия этим развивающимся угрозам.

#ParsedReport #CompletenessLow
14-01-2026

Sicarii Ransomware: Truth vs Myth

https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/

Report completeness: Low

Actors/Campaigns:
Sicarii
Skibcum
Mosesstaff

Threats:
Sicarii
Lockbit
Qilin_ransomware
Clop

Victims:
Saudi arabian entities, Arab or muslim targets

Industry:
Government

Geo:
Israel, Russian, Greece, Saudi arabian, Iranian, Russia, Israeli

CVEs:
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1049, T1480, T1486, T1497

IOCs:
Hash: 41
File: 4

Soft:
Telegram, DirectX, Discord, Slack, Roblox, WhatsApp

Wallets:
atomicwallet

Algorithms:
zip, aes-gcm, aes

Win API:
MessageBox, BCryptEncrypt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sicarii - это новая программа-вымогатель "Программа-услуга", появившаяся в конце 2025 года, унесшая жизни одной жертвы и демонстрирующая уникальную израильскую/еврейскую идентичность. Программа-вымогатель использует машинный перевод на иврит, использует методы защиты от виртуальных машин, обеспечивает выполнение в одном экземпляре и использует шифрование AES-GCM, и все это нацелено на конкретных идеологических противников. Его операционная методология, включающая эксфильтрацию данных и сбор учетных записей, указывает на сочетание функционального вредоносного ПО и идеологической программы, отличающейся от традиционного поведения программ-вымогателей.
-----

Sicarii - это недавно выявленная операция "Программа-вымогатель как услуга" (RaaS), которая появилась в конце 2025 года и пока унесла жизни только одной жертвы. Группа представляет себя с ярко выраженной израильской/еврейской идентичностью, используя ивритский язык и исторические символы наряду с правыми идеологическими отсылками - черты, редко встречающиеся в традиционных попытках вымогателей, мотивированных финансами. Несмотря на провозглашенную идентичность, подпольные операции Sicarii's в значительной степени опираются на русский язык как для вербовки, так и для онлайн-общения. Лингвистический анализ показывает, что их использование иврита является машинным переводом или неродным языком, отмеченным различными грамматическими ошибками. Это несоответствие ставит под сомнение подлинность их заявленной идентичности как зрелой преступной организации.

Программа-вымогатель обладает рядом технических особенностей, типичных для вредоносного программного обеспечения, включая меру геозащиты, которая останавливает ее выполнение в израильских системах, а также возможности для эксфильтрации данных, сбора учетных записей и разведки сети. Sicarii также использует шифрование AES-GCM для файлов, помеченных расширением .sicarii. Процесс выполнения начинается с методов защиты от виртуальных машин, которые определяют, запущено ли вредоносное ПО в виртуализированной среде, и в этом случае выводят сообщение об ошибке-приманке. После этого программа-вымогатель обеспечивает выполнение в одном экземпляре посредством создания мьютекса и сохраняет себя во временном каталоге под случайным именем файла.

Основной фигурой операции известен через учетную запись телеграммы и изображает себя в качестве ведущих sicarii's сикариев это. Тем не менее, они также утверждают, что другие ответственны за техническую сторону вымогателей, которая отражает потенциальные стратегии для запутывания. Их подход идеологизированным подчеркивает атаки против определенных целей, например, арабских или мусульманских организаций, в то время как потенциально развертывание чужим флагом тактика, предполагая экстремистской Еврейской персоной.

На протяжении всей своей деятельности Sicarii демонстрирует сочетание функциональных возможностей вредоносного ПО и очевидной идеологической программы. Бренд группы включает в себя явные ассоциации с еврейским экстремизмом, что значительно отличается от типичного поведения программ-вымогателей, направленного на поддержание правдоподобного отрицания. Примечательно, что предыдущие кампании, связанные с антиизраильскими группировками, использовали аналогичную тактику, создавая путаницу в отношении истинного происхождения таких нападений. В целом, программа-вымогатель Sicarii обладает заслуживающей доверия функциональностью, однако ее необычный бренд, сигнальное поведение и выдающийся идеологический компонент предполагают уникальное отклонение от установленных норм в отношении программ-вымогателей.

#ParsedReport #CompletenessMedium
14-01-2026

How real software downloads can hide remote backdoors

https://www.malwarebytes.com/blog/threat-intel/2026/01/how-real-software-downloads-can-hide-remote-backdoors

Report completeness: Medium

Threats:
Winos
Rustdesk_tool
Seo_poisoning_technique
Typosquatting_technique

Victims:
Rustdesk users

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056, T1106, T1195, T1204, T1547, T1584

IOCs:
Domain: 1
File: 2
IP: 2
Hash: 8
Url: 1

Soft:
Windows registry, Instagram, Android

Algorithms:
sha256

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен обманчивый веб-сайт, имитирующий законный проект RustDesk, где пользователи непреднамеренно устанавливают вредоносное ПО, известное как Winos4.0, бэкдор, который использует поэтапный процесс заражения для поддержания закрепления и избежания обнаружения. После установки Winos4.0 подключается к серверу управления, используя методы уклонения, чтобы смешаться с законным трафиком, одновременно выполняя дополнительные компоненты для повышения его скрытности. Этот инцидент подчеркивает риски, связанные с вредоносным программным обеспечением, замаскированным под законные приложения.
-----

Недавние исследования обнаружили вредоносный веб-сайт маскировка в качестве законного rustdesk RustDesk, известный как rustdesk.работы. Это мошеннический сайт эффективно имитирует подлинный домена rustdesk.com в комплекте с многоязычным контентом и сообщают предупреждения, утверждая, что rustdesk.работа только на официальном сайте. Пользователи, которые поддались на этот обман и установить программное обеспечение от подделки сайт бессознательно активировать бэкдор, связанные с обеспечением вредоносное ПО звонил Winos4.0.

Процесс заражения вредоносным ПО является сложным и выполняется с использованием поэтапной методологии, направленной на то, чтобы избежать обнаружения и обеспечить закрепление в зараженных системах. После установки Winos4.0, также называемый WinosStager, устанавливает платформу удаленного доступа, которая была связана с различными кампаниями, специально ориентированными на пользователей в Азии. Вредоносное ПО использует различные методы уклонения, особенно в своей сетевой деятельности, чтобы смешаться с законным трафиком и ускользнуть от механизмов обнаружения безопасности.

После установки на устройство жертвы Winos4.0 немедленно подключается к серверу управления, которым управляют злоумышленники, позволяя им сохранять контроль над скомпрометированной системой. Используемая тактика уклонения свидетельствует о более широкой тенденции в области киберугроз, когда законное программное обеспечение используется в качестве оружия для маскировки вредоносных действий.

Анализ также предоставил хэши файлов SHA256 для компонентов атаки, выделив троянский установщик, вредоносные исполняемые файлы, связанные с Winos4.0, и законный двоичный файл RustDesk. Примечательно, что во время выполнения Winos4.0 распаковывает несколько дополнительных компонентов непосредственно в память, повышая ее скрытность и эксплуатационные возможности. Эта атака подчеркивает значительные риски, связанные с обманчивыми методами распространения программного обеспечения в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
13-01-2026

Key Insights on SHADOW-AETHER-015 and Earth Preta from the 2025 MITRE ATT&CK Evaluation with TrendAI Vision One

https://www.trendmicro.com/en_us/research/26/a/shadow-aether-015-earth-preta-mitre.html

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_criminal, financially_motivated, cyber_espionage, information_theft)
0ktapus (motivation: cyber_criminal, financially_motivated, cyber_espionage, information_theft)

Threats:
Credential_harvesting_technique
Hermes
Aitm_technique
Mfa_bombing_technique
Sim_swapping_technique
Orpheus
Plugx_rat
Dll_sideloading_technique
Spear-phishing_technique
Hodur_rat
Doplugs
Pubload
Starproxy
Toneshell
Faketls_tool
Snakedisk_tool
Yokai

Victims:
Political sector, Military sector, Communities

Industry:
Financial, Aerospace, Military, Critical_infrastructure, Transport, Ngo, Government, Telco, Entertainment, Maritime, Bp_outsourcing, Energy

Geo:
Canada, Asian, Thailand, Australia, China, Asia, India, Singapore, Brazil

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1039, T1046, T1069.002, T1078, T1087, T1087.002, T1140, T1202, have more...

Soft:
Active Directory, Linux

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4