#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование многоэтапной Вредоносной Кампании с использованием троянца удаленного доступа AsyncRAT выявило продвинутую тактику уклонения, включая использование инфраструктуры Cloudflare и законных сред Python. Первоначальный доступ был получен в результате фишингов -атаки с использованием вредоносного архива, замаскированного под счет-фактуру, что привело к выполнению скриптов, которые обеспечивали закрепление и облегчали эксплуатацию. Атака использовала такие методы, как Polymorphic APC Injection, и включала в себя тактику обмана, такую как вводящие в заблуждение имена файлов, чтобы скрыть вредоносные действия.
-----

Расследование многоэтапной кампании с использованием троянца удаленного доступа AsyncRAT выявило изощренную тактику уклонения злоумышленников, которые использовали инфраструктуру Cloudflare наряду с законными средами Python для вредоносных целей. AsyncRAT завоевал популярность благодаря своему широкому набору функций, таких как Регистрация нажатий клавиш, Захват экрана и удаленное выполнение команд, чему способствует модульная архитектура, написанная на Python.

Вектор первоначального доступа для этой кампании был идентифицирован как атака фишинга, в ходе которой целям предлагалось загрузить вредоносный архив, замаскированный под счет-фактуру (Rechnung zu Auftrag W19248960825.pdf.zip ). Выполнение включало в себя серию интернет-файлов быстрого доступа, которые облегчали загрузку и выполнение вредоносных скриптов, размещенных на бесплатном сервисе Cloudflare. Примечательно, что один из таких ярлыков привел к выполнению скрипта PowerShell для продолжения атаки.

На этапе выполнения было задействовано несколько пакетных файлов, в частности vio.bat и xeno.bat. Оба скрипта имели перекрывающиеся функциональные возможности, включая скрытую установку Python 3.14.0 и закрепление путем удаления дополнительных пакетных файлов в папку автозагрузки. В частности, vio.bat загрузил пакетный файл с именем olsm.bat, в то время как xeno.bat использовал ahke.bat. Отличительной особенностью xeno.bat была его попытка обмануть жертв, открыв законный PDF-документ во время казни.

Центральное место в нападении занимало ne.py Скрипт на Python, разработанный для внедрения Polymorphic Асинхронного вызова процедуры (APC), позволяющий выполнять код в адресном пространстве отдельного процесса. Он принимает параметры, которые определяют ввод двоичной полезной нагрузки (new.bin) и ключевой файл (a.txt ), по умолчанию выполняющий explorer.exe в качестве мишени для инъекции. Двоичная полезная нагрузка new.bin была распакована, чтобы показать шеллкод, сгенерированный фреймворком Donut, что указывает на структурированный подход к доставке полезной нагрузки.

Кроме того, кампания использовала обманную тактику с такими файлами, как new.html, которые маскировались под CAPTCHA, чтобы ввести пользователей в заблуждение и заставить их загрузить файл JavaScript, который смешивался с законным контентом. Завершающий шаг перенаправлял пользователей на URL-адрес Dropbox, даже обеспечивая неработоспособность ссылки, чтобы еще больше скрыть злой умысел.

Эта кампания иллюстрирует разнообразные методы и многоуровневые стратегии, используемые киберпреступниками, использующими AsyncRAT, подчеркивая необходимость надежных мер обнаружения и реагирования для эффективного противодействия этим развивающимся угрозам.

#ParsedReport #CompletenessLow
14-01-2026

Sicarii Ransomware: Truth vs Myth

https://research.checkpoint.com/2026/sicarii-ransomware-truth-vs-myth/

Report completeness: Low

Actors/Campaigns:
Sicarii
Skibcum
Mosesstaff

Threats:
Sicarii
Lockbit
Qilin_ransomware
Clop

Victims:
Saudi arabian entities, Arab or muslim targets

Industry:
Government

Geo:
Israel, Russian, Greece, Saudi arabian, Iranian, Russia, Israeli

CVEs:
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1049, T1480, T1486, T1497

IOCs:
Hash: 41
File: 4

Soft:
Telegram, DirectX, Discord, Slack, Roblox, WhatsApp

Wallets:
atomicwallet

Algorithms:
zip, aes-gcm, aes

Win API:
MessageBox, BCryptEncrypt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sicarii - это новая программа-вымогатель "Программа-услуга", появившаяся в конце 2025 года, унесшая жизни одной жертвы и демонстрирующая уникальную израильскую/еврейскую идентичность. Программа-вымогатель использует машинный перевод на иврит, использует методы защиты от виртуальных машин, обеспечивает выполнение в одном экземпляре и использует шифрование AES-GCM, и все это нацелено на конкретных идеологических противников. Его операционная методология, включающая эксфильтрацию данных и сбор учетных записей, указывает на сочетание функционального вредоносного ПО и идеологической программы, отличающейся от традиционного поведения программ-вымогателей.
-----

Sicarii - это недавно выявленная операция "Программа-вымогатель как услуга" (RaaS), которая появилась в конце 2025 года и пока унесла жизни только одной жертвы. Группа представляет себя с ярко выраженной израильской/еврейской идентичностью, используя ивритский язык и исторические символы наряду с правыми идеологическими отсылками - черты, редко встречающиеся в традиционных попытках вымогателей, мотивированных финансами. Несмотря на провозглашенную идентичность, подпольные операции Sicarii's в значительной степени опираются на русский язык как для вербовки, так и для онлайн-общения. Лингвистический анализ показывает, что их использование иврита является машинным переводом или неродным языком, отмеченным различными грамматическими ошибками. Это несоответствие ставит под сомнение подлинность их заявленной идентичности как зрелой преступной организации.

Программа-вымогатель обладает рядом технических особенностей, типичных для вредоносного программного обеспечения, включая меру геозащиты, которая останавливает ее выполнение в израильских системах, а также возможности для эксфильтрации данных, сбора учетных записей и разведки сети. Sicarii также использует шифрование AES-GCM для файлов, помеченных расширением .sicarii. Процесс выполнения начинается с методов защиты от виртуальных машин, которые определяют, запущено ли вредоносное ПО в виртуализированной среде, и в этом случае выводят сообщение об ошибке-приманке. После этого программа-вымогатель обеспечивает выполнение в одном экземпляре посредством создания мьютекса и сохраняет себя во временном каталоге под случайным именем файла.

Основной фигурой операции известен через учетную запись телеграммы и изображает себя в качестве ведущих sicarii's сикариев это. Тем не менее, они также утверждают, что другие ответственны за техническую сторону вымогателей, которая отражает потенциальные стратегии для запутывания. Их подход идеологизированным подчеркивает атаки против определенных целей, например, арабских или мусульманских организаций, в то время как потенциально развертывание чужим флагом тактика, предполагая экстремистской Еврейской персоной.

На протяжении всей своей деятельности Sicarii демонстрирует сочетание функциональных возможностей вредоносного ПО и очевидной идеологической программы. Бренд группы включает в себя явные ассоциации с еврейским экстремизмом, что значительно отличается от типичного поведения программ-вымогателей, направленного на поддержание правдоподобного отрицания. Примечательно, что предыдущие кампании, связанные с антиизраильскими группировками, использовали аналогичную тактику, создавая путаницу в отношении истинного происхождения таких нападений. В целом, программа-вымогатель Sicarii обладает заслуживающей доверия функциональностью, однако ее необычный бренд, сигнальное поведение и выдающийся идеологический компонент предполагают уникальное отклонение от установленных норм в отношении программ-вымогателей.

#ParsedReport #CompletenessMedium
14-01-2026

How real software downloads can hide remote backdoors

https://www.malwarebytes.com/blog/threat-intel/2026/01/how-real-software-downloads-can-hide-remote-backdoors

Report completeness: Medium

Threats:
Winos
Rustdesk_tool
Seo_poisoning_technique
Typosquatting_technique

Victims:
Rustdesk users

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056, T1106, T1195, T1204, T1547, T1584

IOCs:
Domain: 1
File: 2
IP: 2
Hash: 8
Url: 1

Soft:
Windows registry, Instagram, Android

Algorithms:
sha256

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен обманчивый веб-сайт, имитирующий законный проект RustDesk, где пользователи непреднамеренно устанавливают вредоносное ПО, известное как Winos4.0, бэкдор, который использует поэтапный процесс заражения для поддержания закрепления и избежания обнаружения. После установки Winos4.0 подключается к серверу управления, используя методы уклонения, чтобы смешаться с законным трафиком, одновременно выполняя дополнительные компоненты для повышения его скрытности. Этот инцидент подчеркивает риски, связанные с вредоносным программным обеспечением, замаскированным под законные приложения.
-----

Недавние исследования обнаружили вредоносный веб-сайт маскировка в качестве законного rustdesk RustDesk, известный как rustdesk.работы. Это мошеннический сайт эффективно имитирует подлинный домена rustdesk.com в комплекте с многоязычным контентом и сообщают предупреждения, утверждая, что rustdesk.работа только на официальном сайте. Пользователи, которые поддались на этот обман и установить программное обеспечение от подделки сайт бессознательно активировать бэкдор, связанные с обеспечением вредоносное ПО звонил Winos4.0.

Процесс заражения вредоносным ПО является сложным и выполняется с использованием поэтапной методологии, направленной на то, чтобы избежать обнаружения и обеспечить закрепление в зараженных системах. После установки Winos4.0, также называемый WinosStager, устанавливает платформу удаленного доступа, которая была связана с различными кампаниями, специально ориентированными на пользователей в Азии. Вредоносное ПО использует различные методы уклонения, особенно в своей сетевой деятельности, чтобы смешаться с законным трафиком и ускользнуть от механизмов обнаружения безопасности.

После установки на устройство жертвы Winos4.0 немедленно подключается к серверу управления, которым управляют злоумышленники, позволяя им сохранять контроль над скомпрометированной системой. Используемая тактика уклонения свидетельствует о более широкой тенденции в области киберугроз, когда законное программное обеспечение используется в качестве оружия для маскировки вредоносных действий.

Анализ также предоставил хэши файлов SHA256 для компонентов атаки, выделив троянский установщик, вредоносные исполняемые файлы, связанные с Winos4.0, и законный двоичный файл RustDesk. Примечательно, что во время выполнения Winos4.0 распаковывает несколько дополнительных компонентов непосредственно в память, повышая ее скрытность и эксплуатационные возможности. Эта атака подчеркивает значительные риски, связанные с обманчивыми методами распространения программного обеспечения в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
13-01-2026

Key Insights on SHADOW-AETHER-015 and Earth Preta from the 2025 MITRE ATT&CK Evaluation with TrendAI Vision One

https://www.trendmicro.com/en_us/research/26/a/shadow-aether-015-earth-preta-mitre.html

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_criminal, financially_motivated, cyber_espionage, information_theft)
0ktapus (motivation: cyber_criminal, financially_motivated, cyber_espionage, information_theft)

Threats:
Credential_harvesting_technique
Hermes
Aitm_technique
Mfa_bombing_technique
Sim_swapping_technique
Orpheus
Plugx_rat
Dll_sideloading_technique
Spear-phishing_technique
Hodur_rat
Doplugs
Pubload
Starproxy
Toneshell
Faketls_tool
Snakedisk_tool
Yokai

Victims:
Political sector, Military sector, Communities

Industry:
Financial, Aerospace, Military, Critical_infrastructure, Transport, Ngo, Government, Telco, Entertainment, Maritime, Bp_outsourcing, Energy

Geo:
Canada, Asian, Thailand, Australia, China, Asia, India, Singapore, Brazil

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1039, T1046, T1069.002, T1078, T1087, T1087.002, T1140, T1202, have more...

Soft:
Active Directory, Linux

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается оценка двух хакерских группировок: SHADOW-AETHER-015, которая использует сложную социальную инженерию, такую как вишинг, для получения учетных данных с высокими привилегиями, обеспечивающих доступ к RDP и внутреннюю разведку, и Earth Preta, базирующаяся в Китае APT-группировка, использующая тактику фишинга для развертывания сети. ORPHEUS loader для сбора разведывательной информации. Обе группы иллюстрируют распространенные методологии атак, которые используют уязвимости организации, подчеркивая важность постоянного мониторинга и адаптации методов обеспечения безопасности в условиях меняющихся угроз.
-----

Текст детально выводы из 2025 Митре АТТ&СК оценки в отношении двух конкретных киберугроза опасный, Shadow-Aether-015 и Earth Preta, основываясь на результатах исследования TrendAI. Shadow-Aether-015 характеризуется как агрессивный злоумышленник организации, которая использует изощренную тактику социальной инженерии, в частности с помощью голосовой фишинг (вишинг) и число имперсонация. Их атаки методики предполагают начало вторжения фишинг высокой привилегией учетные данные с помощью единого входа (SSO) комплект, позволяющий злоумышленникам получить протокол удаленного рабочего стола (RDP) на доступ, выполните внутренняя разведка, и перечислять активный каталог, чтобы раскрыть общим сетевым ресурсам.

В отчете описывается конкретный сценарий, классифицированный как "Деметра", когда злоумышленники компрометируют неуправляемую рабочую станцию, что приводит к нарушению в облачной среде, в частности в AWS. Этот сценарий подчеркивает, как распространенные методы фишинга могут способствовать более глубокому доступу к инфраструктурам организации посредством законно выглядящих взаимодействий, которые могут маскироваться под поддержку первой линии.

Второй оценивали хакерская группировка, Earth Preta, выявлен в Китае на основе apt-группировка операций с приводом от государства-соответствие целей разведки. В случае атаки, связанные с earth Preta, называют "Hermes," начинается с фишинг письмо, содержащее вредоносный документ, который запрашивает скачивание архива, защищенного паролем. Последующее выполнение вредоносных файлов LNK результатов в развертывании Orpheus loader, демонстрирует направленность этой группы по обеспечению устойчивого сбора разведывательной информации, а не немедленной финансовой эксплуатации.

Оба сценария подчеркивают необходимость того, чтобы предприятия регулярно сравнивали свою инфраструктуру безопасности с методами реальных атак, осознавая важность возможностей обнаружения и реагирования в условиях быстро меняющегося ландшафта угроз. Постоянный мониторинг методов и тенденций злоумышленников имеет важное значение для организаций, стремящихся эффективно защитить свою среду. Более того, использование инструментов анализа угроз, таких как TrendAI Vision One, позволяет организациям получать представление о возникающих угрозах и способах укрепления своих защитных позиций.

#ParsedReport #CompletenessLow
14-01-2026

Reprompt: The Single-Click Microsoft Copilot Attack that Silently Steals Your Personal Data

https://www.varonis.com/blog/reprompt

Report completeness: Low

Threats:
Echoleak_vuln

Victims:
Ai assistant users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566

Soft:
ChatGPT, Twitter

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Reprompt нацелена на уязвимости в инструментах искусственного интеллекта, таких как Microsoft Copilot, для облегчения необнаруженной эксфильтрации данных. Манипулируя "параметром q" в URL-адресах, связанных с запросами искусственного интеллекта, злоумышленники могут последовательно осуществлять утечку конфиденциальной информации с помощью динамически создаваемых запросов, которые адаптируются на основе предыдущих результатов. Такой скрытный подход позволяет злоумышленникам собирать обширные данные, избегая обнаружения стандартными инструментами мониторинга.
-----

Атака Reprompt - это недавно выявленная угроза, которая использует уязвимости в инструментах на базе искусственного интеллекта, таких как Microsoft Copilot, для облегчения эксфильтрации данных без обнаружения. Этот метод позволяет злоумышленникам осуществлять скрытую кражу данных, используя технологию цепных запросов, которая приводит к последовательной утечке информации в обход мер безопасности предприятия.

Суть атаки заключается в манипулировании "параметром q", который обычно используется в платформах искусственного интеллекта для передачи пользовательских запросов через URL-адреса. Внедряя вредоносные запросы в этот параметр, злоумышленники могут обманом заставить системы искусственного интеллекта выполнять вредоносные инструкции одним щелчком мыши. Это создает сценарий, при котором искусственный интеллект продолжает реагировать постепенно, используя предыдущие выходные данные для формулирования дальнейших вредоносных запросов, эффективно скрывая природу утечки данных.

Одной из ключевых уязвимостей этой атаки является ее динамический характер. Сервер может адаптировать свои запросы на основе ранее отфильтрованных данных, что позволяет ему искать все более конфиденциальную информацию, соответствующую отрасли или роли жертвы. В результате глубина и объем данных, которые могут быть собраны, практически безграничны, а поскольку вредоносные инструкции скрыты в последующих запросах, они остаются необнаружимыми стандартными средствами мониторинга на стороне клиента, которые анализируют только первоначальное приглашение.

Чтобы снизить риск, связанный с такими атаками, поставщикам рекомендуется рассматривать все вводимые URL-адреса как ненадежные и внедрять надежные средства проверки и контроля безопасности. Меры безопасности должны соблюдаться на протяжении всего процесса выполнения, а не только во время первоначального взаимодействия. Кроме того, крайне важно разрабатывать системы с пониманием внутренних угроз, включая такие принципы, как доступ с наименьшими привилегиями, тщательный аудит и обнаружение аномалий для защиты от изощренных методов, используемых злоумышленниками.

Таким образом, атака Reprompt представляет собой продвинутую угрозу, использующую инструменты искусственного интеллекта для непосредственного доступа к данным. Ее зависимость от динамики пользовательских запросов и выполнения команд на стороне сервера делает ее особенно коварной тактикой, требующей тщательных мер безопасности для предотвращения использования.

#ParsedReport #CompletenessLow
14-01-2026

German Manufacturing UnderPhishingAttacks: Tracking a StealthyAsyncRAT Campaign

https://any.run/cybersecurity-blog/german-manufacture-attack/

Report completeness: Low

Threats:
Asyncrat
Xworm_rat

Victims:
Manufacturing companies, German industrial firms

Geo:
Germany, German

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1210, T1566, T1566.001

IOCs:
Email: 1
File: 2
Hash: 1

Soft:
Dropbox

Algorithms:
sha256, zip

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования указывают на значительный рост киберугроз производственному сектору Германии, с повышенным уровнем атак, особенно со стороны программ-вымогателей и продвинутых кампаний, использующих приманки, специфичные для региона. Примечательный пример связан с развертыванием AsyncRAT, выделяющей тактику, использующую названия компаний и уязвимости, такие как WebDAV и CVE-2024-43451. Анализ вредоносных действий с помощью инструментов анализа угроз выявил критические поведенческие индикаторы и сеть подозрительных доменов, связанных с производством, что свидетельствует о настоятельной необходимости расширения возможностей обнаружения угроз.
-----

Последние исследования подчеркивают заметное увеличение кибер-угроз, ориентированных на производственный сектор, в частности в Германии. Данные, собранные с помощью любых.Запуск показывает, что компании-производители испытывают всплеск нападений, с тарифами, превысив средний видел в других отраслях. Это делает сектор главной мишенью для программ-вымогателей и других продвинутых кампаний, часто использующих приманки, специфичные для региона, для использования уязвимостей этих организаций.

Приводится конкретный пример рассмотрен сложный вредоносная кампания использования AsyncRAT, троян удаленного Trojan. Анализ использования опасная охота методов, с помощью любой.Опасный поиска ведении разведки, что позволяет аналитикам определять и изучать реальные теракты против немецких промышленных фирм. Такой подход допускается для более полного понимания происхождения и методы атаки.

Расследование также выявило сеть связанных с этим вредоносных действий. Анализируя закономерности в электронных письмах и содержимом, относящемся к конкретным компаниям, исследователи смогли отследить вредоносные документы и распознать поведенческие индикаторы, связанные с атаками. Поиск информации об угрозах оказался бесценным, выявив более сотни анализов и несколько подозрительных доменов, связанных с производственными процессами. Поисковые запросы, специально нацеленные на домены с такими фрагментами, как "manufacturer", связанными с известными вредоносными действиями, продемонстрировали четкую корреляцию между этими доменами и стратегиями атак.

Основные выводы указывают на то, что тактика, использующая названия компаний, наряду с использованием уязвимостей, таких как WebDAV и CVE-2024-43451, является распространенным методом привлечения фирм-производителей. Эта тенденция подчеркивает необходимость принятия организациями производственного сектора более активных мер по выявлению угроз. Учитывая уникальные операционные риски отрасли, включая сложные ландшафты ИТ и операционных технологий (OT) и высокую терпимость к простоям, производители становятся все более привлекательными объектами для киберпреступников, стремящихся быстро получить выгоду.

Меняющийся ландшафт угроз требует более строгих мер безопасности на производстве, что подчеркивает важность постоянной бдительности и адаптивных стратегий против возникающих киберугроз.

#ParsedReport #CompletenessLow
14-01-2026

Gamaredon: Now Downloading via Windows Updates Best Friend "BITS"

https://blog.synapticsystems.de/gamaredon-now-downloading-via-windows-updates-best-friend/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Gamaload
Litterdrifter
Lolbin_technique
Bitsadmin_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1218.005

IOCs:
Hash: 1
File: 3

Win Services:
BITS

#ParsedReport #GeneratedSchema
Generated with GPT-4