#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-8837, Китая связаны АПТ объектам критической инфраструктуры в Северной Америке, применяя различные методы, включая использование N-ый день и zero-day уязвимостей, таких как недавний ViewState Deserialization использовать в Sitecore товаров (уязвимость CVE-2025-53690). Они используют такие инструменты, как GoTokenTheft для кражи токенов доступа, Earthworm для сетевого туннелирования и DWAgent для удаленного администрирования. Их деятельность сопряжена с большими активная разведка разведка, используя SharpHound и Certipy, а также поддержание закрепление через backdooring счета.
-----

UAT-8837, идентифицированный как связанная с Китаем сложная целенаправленная угроза (APT), в настоящее время нацелен на критически важные секторы инфраструктуры в Северной Америке. Cisco Talos оценивает эту группу со средней степенью уверенности, основываясь на их тактике, техниках и процедурах (TTP), которые демонстрируют совпадения с известными китайскими акторами APT. Операции UAT-8837's продолжаются по крайней мере с 2025 года, при этом основное внимание уделяется получению первоначального доступа к ценным организациям. Несмотря на кажущийся спорадическим характер их атак, намерения, по-видимому, носят систематический и стратегический характер.

Чтобы получить доступ к целевым средам, UAT-8837 использует уязвимости как n-го дня, так и zero-day. Недавним примечательным примером является использование ими уязвимости ViewState Deserialization zero-day в продуктах SiteCore, идентифицированной как CVE-2025-53690. Как только доступ получен, они используют целый ряд инструментов на протяжении всей своей деятельности по вторжению, часто перебирая различные варианты в ответ на обнаружения средствами безопасности.

Ключевые инструменты, используемые UAT-8837, включают GoTokenTheft, который крадет токены доступа для выполнения команд с повышенными привилегиями, и Earthworm, утилиту сетевого туннелирования, распространенную среди китайскоязычных злоумышленников, которая предоставляет доступ к внутренним системам удаленным серверам, контролируемым злоумышленниками. Группа также внедряет DWAgent, инструмент удаленного администрирования, для облегчения доступа к скомпрометированным конечным точкам и удаления дополнительного вредоносного ПО.

Для разведки Active Directory UAT-8837 использует SharpHound для сбора информации об объявлениях и пытается загрузить различные двоичные файлы на основе Impacket. В одном случае они прибегли к средству удаленного выполнения GoExec, позволяющему выполнять команды на подключенных конечных точках в сети жертвы. Кроме того, они используют Rubeus, набор инструментов для борьбы со злоупотреблениями Kerberos, и Certipy, который помогает обнаруживать рекламу и предотвращать злоупотребления.

UAT-8837 выполняет действия с помощью клавиатуры для извлечения конфиденциальной информации, включая учетные данные. Их методы разведки включают использование команды setspn для перечисления имен участников службы (SPN) в Active Directory в сочетании с такими инструментами, как SharpHound, Certipy, и встроенными командами Windows, такими как dsget и dsquery, для сбора конкретных данных из среды AD. Известно также, что они используют бэкдор для существующих учетных записей пользователей, добавляя их в Локальные группы для поддержания постоянного доступа.

#ParsedReport #CompletenessLow
14-01-2026

Analyzing the MonetaStealer macOS Threat

https://the-sequence.com/monetastealer-threat

Report completeness: Low

Threats:
Monetastealer
Clickfix_technique

Victims:
Macos users, Windows users, Financial platforms, Cryptocurrency platforms

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1074.001, T1083, T1115, T1204.002, T1497.003, T1552.004, T1555.001, have more...

IOCs:
File: 2
Hash: 4

Soft:
macOS, PyInstaller, Chrome, Google Chrome, telegram

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
zip, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MonetaStealer это вредоносное вредоносное ПО определены 6 января 2026,, замаскированный исполняемый файл Windows, используя Маха-О'бинарных составлен с PyInstaller. Он нацелен на данные браузера Chrome, извлекая пароли и сеансовые файлы cookie, а также крадя учетные данные Wi-Fi и конфиденциальные файлы на основе определенных ключевых слов. Самое вредоносное ПО пакеты украденных данных в zip-файл для эксфильтрация через Телеграмм API и имеет нулевой уровень обнаружения, что указывало на ее скрытый характер.
-----

MonetaStealer - это вредоносное ПО для macOS, идентифицированное 6 января 2026 года, маскирующееся под Windows .exe-файл. Он использует PyInstaller для скрытия вредоносного кода в файле .pyc и не использует продвинутые методы антианализа. Уровень обнаружения вредоносного ПО в VirusTotal равен нулю, что указывает на скрытность. Он создает неподписанный двоичный файл Mach-O с расширением .exe, чтобы обмануть пользователей. Основная полезная нагрузка включает в себя сжатый архив PyInstaller, примечательным содержимым которого является portfolio_app.pyc.

Методы кражи данных фокусируются на данных браузера Chrome путем доступа к копиям базы данных SQLite, использования "security find-generic-password" для извлечения паролей и определения ключевых слов для эксфильтрации файлов cookie сеанса. MonetaStealer также собирает учетные данные Wi-Fi с помощью "networksetup -listpreferredwirelessnetworks en0" и собирает данные Связки ключей macOS с помощью нескольких вызовов "security find-generic-password". Он сканирует пользовательские каталоги на наличие конфиденциальных документов с определенными ключевыми словами и захватывает Закрытые ключи SSH из каталога .ssh. Данные из буфера обмена собираются с помощью утилиты pbpaste и содержат 5000 символов.

Украденные данные сжимаются в zip-файл с именем "STOLEN{SessionID}.zip" для передачи через Telegram API. Вариант для Windows, "Portfolio_review.exe ," включает полезную нагрузку на Python, но является нефункциональной, возможно, предназначенной для введения пользователей в заблуждение.

#ParsedReport #CompletenessLow
14-01-2026

React2Shell Reflections: Cloud Insights, Finance Sector Impacts, and How Threat Actors Moved So Quickly

https://www.darktrace.com/blog/react2shell-reflections-cloud-insights-finance-sector-impacts-and-how-threat-actors-moved-so-quickly

Report completeness: Low

Actors/Campaigns:
Contagious_interview

Threats:
React2shell_vuln
Xmrig_miner
Beavertail
Etherrat

Victims:
Financial organizations, Cloud hosted services, Next.js applications

Industry:
Financial

Geo:
North korean, Qatar, Nigeria, Korea, United kingdom, Dprk, Sweden, Kenya, Chile, Portugal, Spain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.004, T1090.003, T1105, T1190, T1219, T1496, T1583.006, T1595.001

IOCs:
File: 1
IP: 1

Soft:
Azure virtual machine, Linux, Microsoft Defender, curl, Node.js

Crypto:
ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE 2025-55812, известная как React2Shell, была быстро использована злоумышленниками в облачных средах, в частности, для виртуальной машины Azure, на которой запущен Next.js применение. Они добились удаленного выполнения команд в течение нескольких часов и развернули RAT на базе Go наряду с полезными нагрузками для криптомайнинга с первоначальным доступом через скомпрометированную инфраструктуру VPN. Злоумышленники продемонстрировали изощренную тактику, включая использование Вредоносного файла, имитирующего двоичный файл "vim", для уклонения и выявили прямые действия по управлению, указывающие на продолжающуюся эксплуатацию для монетизации, особенно против финансовых учреждений, с возможными связями с северокорейскими акторами.
-----

Раскрытие CVE 2025-55812, также известного как React2Shell, высветило быстрое использование уязвимостей современными злоумышленниками, особенно в облачных средах, где сервисы часто доступны через Интернет по умолчанию. Отсутствие защитных уровней в облачных архитектурах позволяет злоумышленникам быстро использовать незащищенные сервисы, не прибегая к традиционным тактикам, таким как фишинг или кража учетных данных.

Примечательный случай был связан с тем, что злоумышленники скомпрометировали виртуальную машину Azure, подключенную к Интернету, под управлением Next.js применение. В течение нескольких часов после обнаружения уязвимости они добились удаленного выполнения команд, используя React/Next.js уязвимость. Впоследствии злоумышленники внедрили троян удаленного доступа на базе Go (RAT) наряду с полезными для криптомайнинга программами, включая XMrig. Первоначальный доступ к системе был получен из скомпрометированной инфраструктуры VPN, при этом исходный IP-адрес был идентифицирован как связанный с Surfshark.

Процесс выполнения полезной нагрузки начались вскоре после использования, с Darktrace идентификации подозрительного файла имитируя "ВИМ" бинарный. Эта тактика является распространенным способом, чтобы избежать обнаружения в среде Linux, что свидетельствует о наличии прямой связи между нагрузкой и взломанные приложения. Кроме того, сетевой поток журналы предусмотрено представление в управление деятельности (С2), раскрывая исходящие подключения на тот же внешний IP-адрес, участвующим в начальной компромисс. Такое поведение, характеризующееся постоянными исходящими обратными вызовами, является сильным показателем контроля после эксплуатации.

Получив контроль над скомпрометированной системой, злоумышленники быстро перешли к монетизации своего доступа, развернув операции по криптомайнингу. Защитник Microsoft зафиксировал данные о команде оболочки, направленной на получение двоичного файла с именем "x", демонстрируя гибкость в выборе между curl или wget для выполнения в зависимости от доступности виртуальной машины Azure.

На этом этапе эксплуатации деятельность по угрозам была особенно направлена против финансовых учреждений в нескольких странах, включая Великобританию, Швецию и Испанию, с потенциальными связями с северокорейскими акторами. Этот инцидент подчеркивает угрозы, исходящие от опытных, хорошо обеспеченных ресурсами злоумышленников, которые могут использовать автоматическое сканирование и заранее подготовленную инфраструктуру для быстрого использования, о чем свидетельствует случай, когда Darktrace honeypot был скомпрометирован всего за две минуты после настройки. Такое быстрое реагирование иллюстрирует насущную необходимость в усиленной защите в облачных средах от такой гибкой тактики злоумышленников.

#ParsedReport #CompletenessMedium
14-01-2026

Hiding in Plain Sight: Deconstructing the Multi-Actor DLL Sideloading Campaign abusing ahost.exe

https://www.trellix.com/blogs/research/hiding-in-plain-sight-multi-actor-ahost-exe-attacks/

Report completeness: Medium

Threats:
Dll_sideloading_technique
Lumma_stealer
Agent_tesla
Formbook
Vidar_stealer
Cryptbot_stealer
Remcos_rat
Quasar_rat
Dcrat
Xworm_rat
Tedy
Process_injection_technique
Process_hollowing_technique

Victims:
Software development tools users, General windows users

Industry:
Financial, Petroleum

Geo:
Egypt, Spanish, Portuguese

TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 13
Hash: 7
Url: 1

Soft:
NET framework

Algorithms:
sha256, zip, md5

Languages:
dotnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания использует уязвимость DLL sideloading в ahost.exe утилита, входящая в состав библиотеки c-ares, часто входит в состав приложений Git. Злоумышленники объединяют вредоносную библиотеку DLL, libcares-2.dll , с различными подписанными версиями ahost.exe чтобы выполнить их код, избегая обнаружения. Кампания, связанная с DCRat и XWorm, использует переименованные ahost.exe файлы для закрепления, и было замечено взаимодействие с вредоносными доменами, что свидетельствует о продолжающейся эволюции тактики использования надежного программного обеспечения.
-----

Продолжающаяся Вредоносная Кампания, использующая уязвимость DLL sideloading в законном ahost.exe полезность была определена Центром перспективных исследований Trellix. Эта утилита, являющаяся частью библиотеки c-ares, часто входит в состав Git для Windows и таких приложений, как GitKraken и GitHub Desktop. Злоумышленники используют технику боковой загрузки для сопряжения вредоносной библиотеки, libcares-2.dll , с различными подписанными версиями ahost.exe , обычно переименованные, чтобы выполнить свой код и избежать обнаружения традиционными мерами безопасности.

Уязвимость в ahost.exe возникает из-за использования libcares-2.dll, что позволяет злоумышленникам размещать вредоносную версию этой библиотеки DLL в том же каталоге, что и исполняемый файл. Этот метод использования позволяет переопределить законную библиотеку DLL и выполнить несанкционированный код в доверенном контексте. Этот метод вызывает особое беспокойство, поскольку он позволяет обойти защиту на основе сигнатур, обычно используемую многими организациями.

Данные телеметрии указывают на то, что этот конкретный ahost.exe исполняемый файл был замечен в нескольких Вредоносных Кампаниях, в том числе с участием XWorm и DCRat, о чем свидетельствуют многочисленные материалы на VirusTotal. Исполняемый файл, подписанный GitKraken, был связан с обширными усилиями по распространению в разных географических регионах, начиная с Соединенных Штатов и заканчивая такими местами, как Египет.

Вредоносное ПО DCRat было заметно в рамках этой кампании. Сообщалось, что злоумышленники переименовали ahost.exe файл с вводящими в заблуждение именами, такими как 1DOC-PDF.exe . После выполнения этот переименованный файл вызывает вредоносную библиотеку DLL, активируя таким образом функциональные возможности DCRat.

Кампания свидетельствует о сложном подходе к распространению вредоносного ПО, который использует надежное программное обеспечение с открытым исходным кодом в сочетании с передовыми методами атак, обеспечивающими широкое проникновение и закрепление. Были предложены многочисленные стратегии обнаружения, включая поведенческие методы обнаружения, используемые инструментами advanced endpoint detection and response (EDR). Эти стратегии отслеживают нетипичные модели поведения, такие как необычная загрузка библиотеки DLL, создание ненормального процесса и подозрительный сетевой трафик, которые могут сигнализировать о продолжающейся киберугрозе.

Кроме того, в отчете подчеркивается распространенность связи C2 с доменами, классифицированными как вредоносные, включая указанный адрес, связывающийся с hxxp://dgflex.duckdns.org. Это подчеркивает динамичный характер угрозы, поскольку злоумышленники развивают свои стратегии использования законного программного обеспечения для вредоносных действий, подчеркивая необходимость надежного мониторинга и защитных мер против таких адаптивных угроз.

#ParsedReport #CompletenessLow
13-01-2026

Microsoft login page abused as phishing redirector

https://research.eye.security/microsoft-login-page-abused-as-phishing-redirector/

Report completeness: Low

Threats:
Nakedpages_tool
Aitm_technique

Victims:
Microsoft 365 users

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1583.004

IOCs:
Domain: 3

Soft:
ADFS

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют страницу входа в систему Microsoft для фишинг-атак, перенаправляя пользователей на вредоносные сайты. Исследователь безопасности Киану Найс продемонстрировал метод, использующий рабочий домен Cloudflare, который показывает вызов CAPTCHA для повышения доверия. Злоумышленники создают мультитенантное приложение в Microsoft 365, настраивая URI перенаправления на свои сайты фишинга, подчеркивая продолжающуюся тенденцию использования законных платформ для мошеннических схем, которая была задокументирована как минимум с 2021 года.
-----

Недавние сообщения указывают на то, что злоумышленники используют страницу входа в систему Microsoft в качестве средства для проведения фишинг-атак. Во время презентации на DEFCON33 исследователь безопасности Киану Найс продемонстрировал, как login.microsoftonline.com страницей можно было манипулировать, чтобы перенаправить ничего не подозревающих пользователей на вредоносные веб-сайты для фишинга. Этот прием теперь был замечен в атаках в реальном времени.

В конкретном случае, подробно описанном в отчете клиента, пользователи получали электронные письма с фишингом, содержащие ссылки, при нажатии на которые они переходили на рабочий домен Cloudflare, настроенный как URL-адрес перенаправления. Рабочий домен был использован для отображения пользователям запроса с помощью CAPTCHA, что еще больше повысило доверие к попытке фишинга.

Репликация это нападение является особенно простым. Злоумышленники создать мультитенантное приложение в Майкрософт 365 среды и настроить URI перенаправления, чтобы прямо их фишинг сайта. Этот метод подчеркивает изысканность этих фишинг схемы могут быть спроектирована, демонстрируя, как законную платформа может быть использована для внушения доверия к мошеннической деятельности.

Использование подобных подходов не является чем-то совершенно новым; ранее сообщалось о методах, связанных с перенаправлением на фишинг-сайты через различные службы, включая инфраструктуру Microsoft. Примечательно, что еще в 2021 году Proofpoint описала аналогичную тактику, а более поздние анализы, проведенные Push Security, выявили другие варианты, связанные со службами федерации Active Directory (ADFS) и разрешениями приложений для проведения аналогичных атак перенаправления. Это подчеркивает сохраняющуюся тенденцию и эволюционирующий ландшафт методов фишинга, использующих законные домены и сервисы для обмана пользователей.

#ParsedReport #CompletenessLow
13-01-2026

SmarterMail Version Enumeration: Threat Actors Building Target Lists Post-CVE-2025-52691

https://www.labs.greynoise.io/grimoire/2026-01-13-smartermail-version-enumeration/

Report completeness: Low

Victims:
Smartermail users

Geo:
Spain, India, Indonesia

CVEs:
CVE-2025-52691 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9413)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1592.004, T1595, T1595.001, T1596

IOCs:
IP: 14

Soft:
url -s, Ubuntu, Linux, Fedora, Debian, Chrome, Firefox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
После раскрытия CVE-2025-52691, критической уязвимости для загрузки произвольных файлов в SmarterMail, активность разведки резко возросла: более 5500 сеансов были нацелены на SmarterMail API для получения информации о версии. Злоумышленники используют вводящие в заблуждение строки пользовательского агента, используя как сфабрикованные, так и законные идентификаторы, чтобы избежать обнаружения, используя при этом различные отпечатки TCP, связанные с Unix-подобными системами. Эта разведка направлена на каталогизацию уязвимых установок, а не на немедленное выполнение атак.
-----

После раскрытия CVE-2025-52691, критической уязвимости при загрузке произвольных файлов, влияющей на SmarterMail, GreyNoise Labs обнаружила скоординированные усилия по разведке, направленные на выявление уязвимых экземпляров программного обеспечения. Начиная с 12 января 2026 года глобальная сеть наблюдений GreyNoise сообщила о 5541 сеансах, нацеленных на конечную точку SmarterMail API /api/v1/licensing/about, которая используется для получения информации о версии. Это действие убедительно свидетельствует о том, что злоумышленники составляют списки целей, прежде чем приступить к потенциальной эксплуатации.

Кампания по разведке выявила специфические инфраструктурные сигнатуры, при этом были обнаружены три отличительных отпечатка JA4T TCP, указывающих на использование Unix-подобных операционных систем. Первичный отпечаток соответствует средам WSL Ubuntu 22.04, в то время как вторичный вариант намекает на гигантские фреймы или пользовательские конфигурации MTU, которые, вероятно, используются в виртуализированных или облачных установках.

Поведение злоумышленников характеризуется использованием вводящих в заблуждение строк пользовательского агента, циклически используя как сфабрикованные идентификаторы, включая несуществующие дистрибутивы Linux, так и законные, такие как Fedora, CentOS, Debian и Knoppix. Эта тактика, по-видимому, направлена на то, чтобы избежать обнаружения путем имитации трафика браузера, хотя использование вымышленных названий дистрибутивов несколько подрывает эту маскировку. Строки пользовательского агента также включают версии Chrome и Firefox, которые варьируются от 118 до 135, что указывает на программное обеспечение для автоматического сканирования.

Примечательно, что эта деятельность классифицируется как разведка, а не прямая эксплуатация. Никаких последующих действий, нацеленных на другие конечные точки SmarterMail, или попыток загрузить файлы с идентифицированных IP-адресов замечено не было. Основной целью, по-видимому, является определение ландшафта установок SmarterMail и их соответствующих версий, а не выполнение немедленных атак.

В ответ на эти выводы GreyNoise работает над созданием меток обнаружения как для действий по разведке, связанных с CVE-2025-52691, так и для любых потенциальных попыток эксплуатации. Для немедленных защитных мер командам безопасности рекомендуется использовать специальные запросы GNQL для отслеживания такого поведения при разведке в своих данных GreyNoise, тем самым улучшая свои стратегии проактивной защиты.

#ParsedReport #CompletenessMedium
13-01-2026

APT PROFILE KIMSUKI

https://www.cyfirma.com/research/apt-profile-kimsuki/

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)

Threats:
Babyshark
Appleseed
Kgh_spy
Alphaseed
Gold_dragon
Bitsadmin_tool
Credential_harvesting_technique
Spear-phishing_technique
Lolbin_technique
Timestomp_technique
Process_injection_technique
Process_hollowing_technique
Passthehash_technique
Aitm_technique
Credential_dumping_technique
Dead_drop_technique

Victims:
Government agencies, Academia, Think tanks, Diplomatic sector

Industry:
Financial, Government

Geo:
Thailand, Vietnam, Norway, Denmark, Montenegro, Canada, Italy, Portugal, Usa, Greece, Luxembourg, North macedonia, Croatia, Romania, Netherlands, Czech, Lithuania, France, Latvia, Germany, Slovakia, Albania, Japan, Finland, Slovenia, Hungary, Estonia, Poland, Korea, North korea, Asia-pacific, Asia, Korean, Bulgaria, Belgium, America, Iceland

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)


TTPs:
Tactics: 9
Technics: 72

Soft:
Android, Microsoft Office, Remote Desktop Services

Languages:
javascript, python, visual_basic, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuki, северокорейская APT-группировка, перешла к шпионажу, ориентированному на идентификацию, используя Целевой фишинг на основе QR-кодов и вредоносные приложения для Android для сбора учетных данных, в том числе из систем Многофакторной аутентификации. В своей деятельности группа делает упор на компрометацию учетной записи, а не на полный контроль над конечными точками, используя легкие бэкдоры, такие как BabyShark, для разведки, Регистрации нажатий клавиш и эксфильтрации данных. Тактика Kimsuki's включает в себя фишинг, использование общедоступных приложений, выполнение команд с помощью скриптовых инструментов и передовые методы уклонения, такие как Внедрение кода в процесс и запутывание, а также нацелена на Кражу денежных средств для поддержки своих разведывательных целей.
-----

Kimsuki, APT-группировка, связанная с Северной Кореей, нацелена на южнокорейские и американские организации по меньшей мере с 2012 года, уделяя особое внимание правительству, академическим кругам и аналитическим центрам. Их тактика включает социальную инженерию с переходом к шпионажу, ориентированному на идентификацию, и сбору учетных записей. Недавние методы включают Целевой фишинг на основе QR-кодов, перенаправляющий пользователей на поддельные страницы входа в систему. Kimsuki также использовала вредоносные приложения для Android с веб-сайтов фишинга для захвата учетных данных пользователей, в том числе защищенных MFA. Легкие бэкдоры, такие как BabyShark и AppleSeed, облегчают разведку системы, Регистрацию нажатий клавиш, захват скриншотов и эксфильтрацию данных. Стратегия группы делает упор на компрометацию учетной записи, а не на контроль конечных точек, проникновение в электронную почту и облачные идентификаторы для получения конфиденциальной информации. Их операции происходят в условиях низкой видимости, с использованием многоканальных методов социальной инженерии и тактики living-off-the-land. Основные методы разведки включают сбор идентификационной информации о жертвах и использование общедоступных приложений с помощью фишинга. Выполнение обычно достигается с помощью Интерпретаторов командных строк и сценариев, таких как PowerShell и JavaScript. Получение учетных данных связано с атаками Злоумышленника посередине, Регистрацией нажатий клавиш и перехватом токена MFA. Для командования и контроля они используют Протоколы прикладного уровня и скомпрометированные легитимные серверы. Тактика обхода защиты включает Внедрение кода в процесс, запутывание и Маскировку. Большое внимание уделяется Краже денежных средств, сочетающей шпионаж с киберпреступностью для поддержки усилий по сбору разведывательных данных.

#ParsedReport #CompletenessHigh
15-01-2026

LOTUSLITE: Targeted espionage leveraging geopolitical themes

https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Lotuslite
Dll_sideloading_technique
Spear-phishing_technique
Claimloader

Victims:
Us government entities, Government and policy related entities

Industry:
Government

Geo:
Chinese, Venezuela, Dutch, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1071.001, T1112, T1547.001, T1566.001, T1574.002

IOCs:
File: 4
Path: 2
IP: 2
Domain: 1
Hash: 2

Soft:
twitter

Algorithms:
sha256, zip

Functions:
GetComputerName, GetUserName

Win API:
LoadLibraryW, GetProcAddress, TerminateProcess, CreateDirectoryA, SHSetValueA, EvtNext, EvtQuery