#ParsedReport #CompletenessMedium
13-01-2026

Key Insights on SHADOW-AETHER-015 and Earth Preta from the 2025 MITRE ATT&CK Evaluation with TrendAI Vision One

https://www.trendmicro.com/en_us/research/26/a/shadow-aether-015-earth-preta-mitre.html

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_criminal, financially_motivated, cyber_espionage, information_theft)
0ktapus (motivation: cyber_criminal, financially_motivated, cyber_espionage, information_theft)

Threats:
Credential_harvesting_technique
Hermes
Aitm_technique
Mfa_bombing_technique
Sim_swapping_technique
Orpheus
Plugx_rat
Dll_sideloading_technique
Spear-phishing_technique
Hodur_rat
Doplugs
Pubload
Starproxy
Toneshell
Faketls_tool
Snakedisk_tool
Yokai

Victims:
Political sector, Military sector, Communities

Industry:
Financial, Aerospace, Military, Critical_infrastructure, Transport, Ngo, Government, Telco, Entertainment, Maritime, Bp_outsourcing, Energy

Geo:
Canada, Asian, Thailand, Australia, China, Asia, India, Singapore, Brazil

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1039, T1046, T1069.002, T1078, T1087, T1087.002, T1140, T1202, have more...

Soft:
Active Directory, Linux

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается оценка двух хакерских группировок: SHADOW-AETHER-015, которая использует сложную социальную инженерию, такую как вишинг, для получения учетных данных с высокими привилегиями, обеспечивающих доступ к RDP и внутреннюю разведку, и Earth Preta, базирующаяся в Китае APT-группировка, использующая тактику фишинга для развертывания сети. ORPHEUS loader для сбора разведывательной информации. Обе группы иллюстрируют распространенные методологии атак, которые используют уязвимости организации, подчеркивая важность постоянного мониторинга и адаптации методов обеспечения безопасности в условиях меняющихся угроз.
-----

Текст детально выводы из 2025 Митре АТТ&СК оценки в отношении двух конкретных киберугроза опасный, Shadow-Aether-015 и Earth Preta, основываясь на результатах исследования TrendAI. Shadow-Aether-015 характеризуется как агрессивный злоумышленник организации, которая использует изощренную тактику социальной инженерии, в частности с помощью голосовой фишинг (вишинг) и число имперсонация. Их атаки методики предполагают начало вторжения фишинг высокой привилегией учетные данные с помощью единого входа (SSO) комплект, позволяющий злоумышленникам получить протокол удаленного рабочего стола (RDP) на доступ, выполните внутренняя разведка, и перечислять активный каталог, чтобы раскрыть общим сетевым ресурсам.

В отчете описывается конкретный сценарий, классифицированный как "Деметра", когда злоумышленники компрометируют неуправляемую рабочую станцию, что приводит к нарушению в облачной среде, в частности в AWS. Этот сценарий подчеркивает, как распространенные методы фишинга могут способствовать более глубокому доступу к инфраструктурам организации посредством законно выглядящих взаимодействий, которые могут маскироваться под поддержку первой линии.

Второй оценивали хакерская группировка, Earth Preta, выявлен в Китае на основе apt-группировка операций с приводом от государства-соответствие целей разведки. В случае атаки, связанные с earth Preta, называют "Hermes," начинается с фишинг письмо, содержащее вредоносный документ, который запрашивает скачивание архива, защищенного паролем. Последующее выполнение вредоносных файлов LNK результатов в развертывании Orpheus loader, демонстрирует направленность этой группы по обеспечению устойчивого сбора разведывательной информации, а не немедленной финансовой эксплуатации.

Оба сценария подчеркивают необходимость того, чтобы предприятия регулярно сравнивали свою инфраструктуру безопасности с методами реальных атак, осознавая важность возможностей обнаружения и реагирования в условиях быстро меняющегося ландшафта угроз. Постоянный мониторинг методов и тенденций злоумышленников имеет важное значение для организаций, стремящихся эффективно защитить свою среду. Более того, использование инструментов анализа угроз, таких как TrendAI Vision One, позволяет организациям получать представление о возникающих угрозах и способах укрепления своих защитных позиций.

#ParsedReport #CompletenessLow
14-01-2026

Reprompt: The Single-Click Microsoft Copilot Attack that Silently Steals Your Personal Data

https://www.varonis.com/blog/reprompt

Report completeness: Low

Threats:
Echoleak_vuln

Victims:
Ai assistant users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566

Soft:
ChatGPT, Twitter

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Reprompt нацелена на уязвимости в инструментах искусственного интеллекта, таких как Microsoft Copilot, для облегчения необнаруженной эксфильтрации данных. Манипулируя "параметром q" в URL-адресах, связанных с запросами искусственного интеллекта, злоумышленники могут последовательно осуществлять утечку конфиденциальной информации с помощью динамически создаваемых запросов, которые адаптируются на основе предыдущих результатов. Такой скрытный подход позволяет злоумышленникам собирать обширные данные, избегая обнаружения стандартными инструментами мониторинга.
-----

Атака Reprompt - это недавно выявленная угроза, которая использует уязвимости в инструментах на базе искусственного интеллекта, таких как Microsoft Copilot, для облегчения эксфильтрации данных без обнаружения. Этот метод позволяет злоумышленникам осуществлять скрытую кражу данных, используя технологию цепных запросов, которая приводит к последовательной утечке информации в обход мер безопасности предприятия.

Суть атаки заключается в манипулировании "параметром q", который обычно используется в платформах искусственного интеллекта для передачи пользовательских запросов через URL-адреса. Внедряя вредоносные запросы в этот параметр, злоумышленники могут обманом заставить системы искусственного интеллекта выполнять вредоносные инструкции одним щелчком мыши. Это создает сценарий, при котором искусственный интеллект продолжает реагировать постепенно, используя предыдущие выходные данные для формулирования дальнейших вредоносных запросов, эффективно скрывая природу утечки данных.

Одной из ключевых уязвимостей этой атаки является ее динамический характер. Сервер может адаптировать свои запросы на основе ранее отфильтрованных данных, что позволяет ему искать все более конфиденциальную информацию, соответствующую отрасли или роли жертвы. В результате глубина и объем данных, которые могут быть собраны, практически безграничны, а поскольку вредоносные инструкции скрыты в последующих запросах, они остаются необнаружимыми стандартными средствами мониторинга на стороне клиента, которые анализируют только первоначальное приглашение.

Чтобы снизить риск, связанный с такими атаками, поставщикам рекомендуется рассматривать все вводимые URL-адреса как ненадежные и внедрять надежные средства проверки и контроля безопасности. Меры безопасности должны соблюдаться на протяжении всего процесса выполнения, а не только во время первоначального взаимодействия. Кроме того, крайне важно разрабатывать системы с пониманием внутренних угроз, включая такие принципы, как доступ с наименьшими привилегиями, тщательный аудит и обнаружение аномалий для защиты от изощренных методов, используемых злоумышленниками.

Таким образом, атака Reprompt представляет собой продвинутую угрозу, использующую инструменты искусственного интеллекта для непосредственного доступа к данным. Ее зависимость от динамики пользовательских запросов и выполнения команд на стороне сервера делает ее особенно коварной тактикой, требующей тщательных мер безопасности для предотвращения использования.

#ParsedReport #CompletenessLow
14-01-2026

German Manufacturing UnderPhishingAttacks: Tracking a StealthyAsyncRAT Campaign

https://any.run/cybersecurity-blog/german-manufacture-attack/

Report completeness: Low

Threats:
Asyncrat
Xworm_rat

Victims:
Manufacturing companies, German industrial firms

Geo:
Germany, German

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1210, T1566, T1566.001

IOCs:
Email: 1
File: 2
Hash: 1

Soft:
Dropbox

Algorithms:
sha256, zip

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования указывают на значительный рост киберугроз производственному сектору Германии, с повышенным уровнем атак, особенно со стороны программ-вымогателей и продвинутых кампаний, использующих приманки, специфичные для региона. Примечательный пример связан с развертыванием AsyncRAT, выделяющей тактику, использующую названия компаний и уязвимости, такие как WebDAV и CVE-2024-43451. Анализ вредоносных действий с помощью инструментов анализа угроз выявил критические поведенческие индикаторы и сеть подозрительных доменов, связанных с производством, что свидетельствует о настоятельной необходимости расширения возможностей обнаружения угроз.
-----

Последние исследования подчеркивают заметное увеличение кибер-угроз, ориентированных на производственный сектор, в частности в Германии. Данные, собранные с помощью любых.Запуск показывает, что компании-производители испытывают всплеск нападений, с тарифами, превысив средний видел в других отраслях. Это делает сектор главной мишенью для программ-вымогателей и других продвинутых кампаний, часто использующих приманки, специфичные для региона, для использования уязвимостей этих организаций.

Приводится конкретный пример рассмотрен сложный вредоносная кампания использования AsyncRAT, троян удаленного Trojan. Анализ использования опасная охота методов, с помощью любой.Опасный поиска ведении разведки, что позволяет аналитикам определять и изучать реальные теракты против немецких промышленных фирм. Такой подход допускается для более полного понимания происхождения и методы атаки.

Расследование также выявило сеть связанных с этим вредоносных действий. Анализируя закономерности в электронных письмах и содержимом, относящемся к конкретным компаниям, исследователи смогли отследить вредоносные документы и распознать поведенческие индикаторы, связанные с атаками. Поиск информации об угрозах оказался бесценным, выявив более сотни анализов и несколько подозрительных доменов, связанных с производственными процессами. Поисковые запросы, специально нацеленные на домены с такими фрагментами, как "manufacturer", связанными с известными вредоносными действиями, продемонстрировали четкую корреляцию между этими доменами и стратегиями атак.

Основные выводы указывают на то, что тактика, использующая названия компаний, наряду с использованием уязвимостей, таких как WebDAV и CVE-2024-43451, является распространенным методом привлечения фирм-производителей. Эта тенденция подчеркивает необходимость принятия организациями производственного сектора более активных мер по выявлению угроз. Учитывая уникальные операционные риски отрасли, включая сложные ландшафты ИТ и операционных технологий (OT) и высокую терпимость к простоям, производители становятся все более привлекательными объектами для киберпреступников, стремящихся быстро получить выгоду.

Меняющийся ландшафт угроз требует более строгих мер безопасности на производстве, что подчеркивает важность постоянной бдительности и адаптивных стратегий против возникающих киберугроз.

#ParsedReport #CompletenessLow
14-01-2026

Gamaredon: Now Downloading via Windows Updates Best Friend "BITS"

https://blog.synapticsystems.de/gamaredon-now-downloading-via-windows-updates-best-friend/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Gamaload
Litterdrifter
Lolbin_technique
Bitsadmin_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1218.005

IOCs:
Hash: 1
File: 3

Win Services:
BITS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon изменил свои скрипты GamaLoad, теперь в основном используя фоновую службу интеллектуальной передачи (BITS) для загрузки полезных данных, отказавшись от предыдущих методов, которые основывались на двоичных файлах Living-off-the-Land (LOLbins), таких как mshta.exe . Этот метод облегчает скрытный поиск вредоносных полезных данных, позволяя им обходить существующие средства защиты от традиционных методов доставки. Эта эволюция указывает на адаптивную стратегию Gamaredon's, направленную на противодействие усилиям по обнаружению, продолжая при этом использовать уязвимости в ландшафте угроз.
-----

Gamaredon внесла заметные изменения в свои скрипты GamaLoad, теперь используя фоновую интеллектуальную службу передачи данных (BITS) в качестве основного метода загрузки полезных данных. Этот переход знаменует собой отход от ранее предпочитаемых Living-off-the-Land двоичных файлов (LOLbins), таких как mshta.exe и MSXML2.XMLHTTP. BITS - это утилита для Windows, предназначенная для надежной фоновой загрузки, которую злоумышленники используют для скрытного извлечения вредоносных полезных файлов без необходимости использования дополнительных инструментов на диске.

Эволюция методов Gamaredon's подчеркивает постепенную, но эффективную стратегию развития, при которой их зависимость от известной резервной структуры остается неизменной, несмотря на используемые ими инструменты. Интеграция BITS позволяет им обходить средства защиты, которые были установлены против более традиционных методов доставки полезной нагрузки. Такая адаптивность предполагает, что злоумышленник способен эволюционировать в ответ на усилия по обнаружению и смягчению последствий, демонстрируя продуманный подход к поддержанию своей деятельности.

Переход к использованию BITS указывает на то, что Gamaredon работает над усовершенствованием своего подхода, оставаясь в тени. В то время как их предыдущие методы, возможно, стали менее эффективными из-за повышенной осведомленности и защитных мер, их постепенное развитие предполагает приверженность выявлению и использованию любых имеющихся уязвимостей. По мере развития ландшафта угроз растет и необходимость в адаптивных защитных стратегиях для противодействия новым методам, используемым злоумышленниками, такими как Gamaredon.

#ParsedReport #CompletenessMedium
14-01-2026

Free Converter Software - Convert Any System from Clean to Infected in Seconds

https://www.nextron-systems.com/2026/01/14/free-converter-software-convert-any-system-from-clean-to-infected-in-seconds/

Report completeness: Medium

Actors/Campaigns:
Convertmate

Threats:
Timestomp_technique

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1053.005, T1105, T1553.002, T1583.001, T1608.006

IOCs:
Domain: 17
File: 7
Hash: 154
Path: 5
Url: 3
Registry: 1

Soft:
Google Chrome, Task Scheduler

Algorithms:
zip, sha256, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье исследуются Вредоносные Кампании с использованием троянов удаленного доступа (RAT), распространяемых с помощью вредоносной рекламы, которые приводят к появлению поддельных приложений-конвертеров, таких как ConvertMate.exe . Эти приложения используют отозванные Сертификаты подписи кода, чтобы казаться легитимными, и работают как дропперы, развертывая полезные нагрузки, которые подключаются к серверам управления, оставаясь скрытыми. Метод заражения включает в себя создание запланированных задач для вредоносных исполняемых файлов в каталогах, доступных для записи пользователем, подчеркивая необходимость мониторинга связанных событий Windows для обнаружения.
-----

В статье рассматриваются различные Вредоносные Кампании, обычно включающие трояны удаленного доступа (RAT), и методы их распространения, в первую очередь с помощью вредоносной рекламы. В нем описано, как пользователи могут непреднамеренно загружать вредоносное ПО, нажимая на рекламу, которая ведет к поддельным приложениям-конвертерам. Эти приложения часто маскируются под законное программное обеспечение, используя Сертификаты подписи кода, чтобы казаться заслуживающими доверия, даже несмотря на то, что многие из этих сертификатов были отозваны.

Вредоносное ПО, после загрузки, обычно функционирует как дроппер, развертывая дополнительные полезные нагрузки, которые устанавливают связь с сервером управления, оставаясь незаметным для пользователя. В статье приводится конкретный пример, ConvertMate.exe , указывающий на то, что он распространяется через conmateapp.com домен и в конечном счете попадает в данные локального приложения пользователя. Выделена природа задействованных файлов и операционная структура цепочки заражения, при этом многие компоненты закодированы на C#, которые могут быть декомпилированы для дальнейшего анализа.

Ключевым аспектом метода заражения является создание запланированных задач, которые указывают на вредоносные исполняемые файлы в каталогах, доступных для записи пользователем, что делает важным для организаций отслеживать события Windows, связанные с созданием задачи, такие как идентификатор события 4698, и применять решения безопасности, такие как Sysmon, для более подробного ведения журнала событий. Меры контроля приложений, такие как внесение в разрешенный список с помощью таких технологий, как AppLocker или Windows Defender Application Control (WDAC), подчеркиваются в качестве превентивных стратегий против запуска такого вредоносного ПО, особенно из каталогов профилей пользователей.

В статье представлен THOR, инструмент, который можно использовать для оптимизации обнаружения и анализа этих типов инфекций. Это иллюстрирует, как этот инструмент упрощает рабочий процесс расследования, помогая аналитикам быстро выявлять первоначальные признаки компрометации без тщательной ручной проверки журнала. В целом, основное внимание уделяется распознаванию моделей заражения вредоносным ПО с помощью приложений на основе конверторов и внедрению надежных средств защиты для снижения рисков.

#ParsedReport #CompletenessMedium
12-01-2026

"Unsafe Fund": UAC-0190 targeted cyberattacks against CMAs using PLUGGYAPE (CERT-UA#19092)

https://cert.gov.ua/article/6286942

Report completeness: Medium

Actors/Campaigns:
Void_blizzard

Threats:
Pluggyape

Victims:
Ukrainian defense forces

Industry:
Military

Geo:
Ukrainian, Ukraine

IOCs:
Hash: 46
File: 13
IP: 8
Url: 14
Domain: 7
Path: 1
Registry: 1

Soft:
PyInstaller

Algorithms:
base64, sha256

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Период с октября по декабрь 2025, серия нацелен кибератак, помечены UAC-0190, были казнены против украинских Сил обороны, используя вредоносное ПО вредоносных программ, известный как PLUGGYAPE, маскировались под благотворительные фонды. Нападения указывают на стратегическое использование обман, чтобы завоевать доверие и проникнуть военных структур, отражающих геополитические мотивации к срыву операций и сбора разведданных. Операции кибер выделить постоянные угрозы, с которыми сталкиваются военные организации в условиях региональных конфликтов.
-----

В период с октября по декабрь 2025 года сообщалось о серии нацеленных кибератак, обозначенных как UAC-0190, против украинских сил обороны. Эти атаки проводились под предлогом благотворительных фондов и использовали вариант вредоносного ПО, известный как PLUGGYAPE. Национальная группа реагирования на киберинциденты (CERT-UA) и Группа реагирования на киберинциденты Вооруженных сил Украины (воинская часть A0334) сотрудничали в расследовании этих инцидентов.

Вредоносное ПО PLUGGYAPE использовалось для облегчения этих киберопераций, используя прикрытие гуманитарной и благотворительной деятельности в качестве мишени для военнослужащих. Эта тактика отражает стратегический выбор, направленный на завоевание доверия потенциальных жертв, позволяя злоумышленникам проникать в сети, не вызывая немедленных подозрений. Конкретные возможности и функционал вредоносного ПО PLUGGYAPE не были подробно описаны в отчетах, но его использование указывает на сложный уровень оперативного планирования злоумышленниками.

Фокус на украинские силы противовоздушной обороны предполагает, что нападавшие, скорее всего, продиктовано геополитической напряженности или конфликтов, прежде всего в интересах военной инфраструктуры и персонала. Характер нападений, указывает на более широких усилий, чтобы сорвать или скомпрометировать военных операций через обманным путем, возможно с целью сбора разведданных или вызвать функциональные нарушения в украинской оборонной сфере.

Расследование этих атак высвечивает сохраняющиеся киберугрозы, с которыми сталкиваются военные структуры, особенно в регионах конфликтов, и подчеркивает необходимость повышенной бдительности и усовершенствованных мер кибербезопасности для противодействия такой изощренной тактике.