#ParsedReport #CompletenessMedium
14-01-2026

Hiding in Plain Sight: Deconstructing the Multi-Actor DLL Sideloading Campaign abusing ahost.exe

https://www.trellix.com/blogs/research/hiding-in-plain-sight-multi-actor-ahost-exe-attacks/

Report completeness: Medium

Threats:
Dll_sideloading_technique
Lumma_stealer
Agent_tesla
Formbook
Vidar_stealer
Cryptbot_stealer
Remcos_rat
Quasar_rat
Dcrat
Xworm_rat
Tedy
Process_injection_technique
Process_hollowing_technique

Victims:
Software development tools users, General windows users

Industry:
Financial, Petroleum

Geo:
Egypt, Spanish, Portuguese

TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 13
Hash: 7
Url: 1

Soft:
NET framework

Algorithms:
sha256, zip, md5

Languages:
dotnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания использует уязвимость DLL sideloading в ahost.exe утилита, входящая в состав библиотеки c-ares, часто входит в состав приложений Git. Злоумышленники объединяют вредоносную библиотеку DLL, libcares-2.dll , с различными подписанными версиями ahost.exe чтобы выполнить их код, избегая обнаружения. Кампания, связанная с DCRat и XWorm, использует переименованные ahost.exe файлы для закрепления, и было замечено взаимодействие с вредоносными доменами, что свидетельствует о продолжающейся эволюции тактики использования надежного программного обеспечения.
-----

Продолжающаяся Вредоносная Кампания, использующая уязвимость DLL sideloading в законном ahost.exe полезность была определена Центром перспективных исследований Trellix. Эта утилита, являющаяся частью библиотеки c-ares, часто входит в состав Git для Windows и таких приложений, как GitKraken и GitHub Desktop. Злоумышленники используют технику боковой загрузки для сопряжения вредоносной библиотеки, libcares-2.dll , с различными подписанными версиями ahost.exe , обычно переименованные, чтобы выполнить свой код и избежать обнаружения традиционными мерами безопасности.

Уязвимость в ahost.exe возникает из-за использования libcares-2.dll, что позволяет злоумышленникам размещать вредоносную версию этой библиотеки DLL в том же каталоге, что и исполняемый файл. Этот метод использования позволяет переопределить законную библиотеку DLL и выполнить несанкционированный код в доверенном контексте. Этот метод вызывает особое беспокойство, поскольку он позволяет обойти защиту на основе сигнатур, обычно используемую многими организациями.

Данные телеметрии указывают на то, что этот конкретный ahost.exe исполняемый файл был замечен в нескольких Вредоносных Кампаниях, в том числе с участием XWorm и DCRat, о чем свидетельствуют многочисленные материалы на VirusTotal. Исполняемый файл, подписанный GitKraken, был связан с обширными усилиями по распространению в разных географических регионах, начиная с Соединенных Штатов и заканчивая такими местами, как Египет.

Вредоносное ПО DCRat было заметно в рамках этой кампании. Сообщалось, что злоумышленники переименовали ahost.exe файл с вводящими в заблуждение именами, такими как 1DOC-PDF.exe . После выполнения этот переименованный файл вызывает вредоносную библиотеку DLL, активируя таким образом функциональные возможности DCRat.

Кампания свидетельствует о сложном подходе к распространению вредоносного ПО, который использует надежное программное обеспечение с открытым исходным кодом в сочетании с передовыми методами атак, обеспечивающими широкое проникновение и закрепление. Были предложены многочисленные стратегии обнаружения, включая поведенческие методы обнаружения, используемые инструментами advanced endpoint detection and response (EDR). Эти стратегии отслеживают нетипичные модели поведения, такие как необычная загрузка библиотеки DLL, создание ненормального процесса и подозрительный сетевой трафик, которые могут сигнализировать о продолжающейся киберугрозе.

Кроме того, в отчете подчеркивается распространенность связи C2 с доменами, классифицированными как вредоносные, включая указанный адрес, связывающийся с hxxp://dgflex.duckdns.org. Это подчеркивает динамичный характер угрозы, поскольку злоумышленники развивают свои стратегии использования законного программного обеспечения для вредоносных действий, подчеркивая необходимость надежного мониторинга и защитных мер против таких адаптивных угроз.

#ParsedReport #CompletenessLow
13-01-2026

Microsoft login page abused as phishing redirector

https://research.eye.security/microsoft-login-page-abused-as-phishing-redirector/

Report completeness: Low

Threats:
Nakedpages_tool
Aitm_technique

Victims:
Microsoft 365 users

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1583.004

IOCs:
Domain: 3

Soft:
ADFS

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют страницу входа в систему Microsoft для фишинг-атак, перенаправляя пользователей на вредоносные сайты. Исследователь безопасности Киану Найс продемонстрировал метод, использующий рабочий домен Cloudflare, который показывает вызов CAPTCHA для повышения доверия. Злоумышленники создают мультитенантное приложение в Microsoft 365, настраивая URI перенаправления на свои сайты фишинга, подчеркивая продолжающуюся тенденцию использования законных платформ для мошеннических схем, которая была задокументирована как минимум с 2021 года.
-----

Недавние сообщения указывают на то, что злоумышленники используют страницу входа в систему Microsoft в качестве средства для проведения фишинг-атак. Во время презентации на DEFCON33 исследователь безопасности Киану Найс продемонстрировал, как login.microsoftonline.com страницей можно было манипулировать, чтобы перенаправить ничего не подозревающих пользователей на вредоносные веб-сайты для фишинга. Этот прием теперь был замечен в атаках в реальном времени.

В конкретном случае, подробно описанном в отчете клиента, пользователи получали электронные письма с фишингом, содержащие ссылки, при нажатии на которые они переходили на рабочий домен Cloudflare, настроенный как URL-адрес перенаправления. Рабочий домен был использован для отображения пользователям запроса с помощью CAPTCHA, что еще больше повысило доверие к попытке фишинга.

Репликация это нападение является особенно простым. Злоумышленники создать мультитенантное приложение в Майкрософт 365 среды и настроить URI перенаправления, чтобы прямо их фишинг сайта. Этот метод подчеркивает изысканность этих фишинг схемы могут быть спроектирована, демонстрируя, как законную платформа может быть использована для внушения доверия к мошеннической деятельности.

Использование подобных подходов не является чем-то совершенно новым; ранее сообщалось о методах, связанных с перенаправлением на фишинг-сайты через различные службы, включая инфраструктуру Microsoft. Примечательно, что еще в 2021 году Proofpoint описала аналогичную тактику, а более поздние анализы, проведенные Push Security, выявили другие варианты, связанные со службами федерации Active Directory (ADFS) и разрешениями приложений для проведения аналогичных атак перенаправления. Это подчеркивает сохраняющуюся тенденцию и эволюционирующий ландшафт методов фишинга, использующих законные домены и сервисы для обмана пользователей.

#ParsedReport #CompletenessLow
13-01-2026

SmarterMail Version Enumeration: Threat Actors Building Target Lists Post-CVE-2025-52691

https://www.labs.greynoise.io/grimoire/2026-01-13-smartermail-version-enumeration/

Report completeness: Low

Victims:
Smartermail users

Geo:
Spain, India, Indonesia

CVEs:
CVE-2025-52691 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- smartertools smartermail (<100.0.9413)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1592.004, T1595, T1595.001, T1596

IOCs:
IP: 14

Soft:
url -s, Ubuntu, Linux, Fedora, Debian, Chrome, Firefox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
После раскрытия CVE-2025-52691, критической уязвимости для загрузки произвольных файлов в SmarterMail, активность разведки резко возросла: более 5500 сеансов были нацелены на SmarterMail API для получения информации о версии. Злоумышленники используют вводящие в заблуждение строки пользовательского агента, используя как сфабрикованные, так и законные идентификаторы, чтобы избежать обнаружения, используя при этом различные отпечатки TCP, связанные с Unix-подобными системами. Эта разведка направлена на каталогизацию уязвимых установок, а не на немедленное выполнение атак.
-----

После раскрытия CVE-2025-52691, критической уязвимости при загрузке произвольных файлов, влияющей на SmarterMail, GreyNoise Labs обнаружила скоординированные усилия по разведке, направленные на выявление уязвимых экземпляров программного обеспечения. Начиная с 12 января 2026 года глобальная сеть наблюдений GreyNoise сообщила о 5541 сеансах, нацеленных на конечную точку SmarterMail API /api/v1/licensing/about, которая используется для получения информации о версии. Это действие убедительно свидетельствует о том, что злоумышленники составляют списки целей, прежде чем приступить к потенциальной эксплуатации.

Кампания по разведке выявила специфические инфраструктурные сигнатуры, при этом были обнаружены три отличительных отпечатка JA4T TCP, указывающих на использование Unix-подобных операционных систем. Первичный отпечаток соответствует средам WSL Ubuntu 22.04, в то время как вторичный вариант намекает на гигантские фреймы или пользовательские конфигурации MTU, которые, вероятно, используются в виртуализированных или облачных установках.

Поведение злоумышленников характеризуется использованием вводящих в заблуждение строк пользовательского агента, циклически используя как сфабрикованные идентификаторы, включая несуществующие дистрибутивы Linux, так и законные, такие как Fedora, CentOS, Debian и Knoppix. Эта тактика, по-видимому, направлена на то, чтобы избежать обнаружения путем имитации трафика браузера, хотя использование вымышленных названий дистрибутивов несколько подрывает эту маскировку. Строки пользовательского агента также включают версии Chrome и Firefox, которые варьируются от 118 до 135, что указывает на программное обеспечение для автоматического сканирования.

Примечательно, что эта деятельность классифицируется как разведка, а не прямая эксплуатация. Никаких последующих действий, нацеленных на другие конечные точки SmarterMail, или попыток загрузить файлы с идентифицированных IP-адресов замечено не было. Основной целью, по-видимому, является определение ландшафта установок SmarterMail и их соответствующих версий, а не выполнение немедленных атак.

В ответ на эти выводы GreyNoise работает над созданием меток обнаружения как для действий по разведке, связанных с CVE-2025-52691, так и для любых потенциальных попыток эксплуатации. Для немедленных защитных мер командам безопасности рекомендуется использовать специальные запросы GNQL для отслеживания такого поведения при разведке в своих данных GreyNoise, тем самым улучшая свои стратегии проактивной защиты.

#ParsedReport #CompletenessMedium
13-01-2026

APT PROFILE KIMSUKI

https://www.cyfirma.com/research/apt-profile-kimsuki/

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)

Threats:
Babyshark
Appleseed
Kgh_spy
Alphaseed
Gold_dragon
Bitsadmin_tool
Credential_harvesting_technique
Spear-phishing_technique
Lolbin_technique
Timestomp_technique
Process_injection_technique
Process_hollowing_technique
Passthehash_technique
Aitm_technique
Credential_dumping_technique
Dead_drop_technique

Victims:
Government agencies, Academia, Think tanks, Diplomatic sector

Industry:
Financial, Government

Geo:
Thailand, Vietnam, Norway, Denmark, Montenegro, Canada, Italy, Portugal, Usa, Greece, Luxembourg, North macedonia, Croatia, Romania, Netherlands, Czech, Lithuania, France, Latvia, Germany, Slovakia, Albania, Japan, Finland, Slovenia, Hungary, Estonia, Poland, Korea, North korea, Asia-pacific, Asia, Korean, Bulgaria, Belgium, America, Iceland

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)


TTPs:
Tactics: 9
Technics: 72

Soft:
Android, Microsoft Office, Remote Desktop Services

Languages:
javascript, python, visual_basic, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuki, северокорейская APT-группировка, перешла к шпионажу, ориентированному на идентификацию, используя Целевой фишинг на основе QR-кодов и вредоносные приложения для Android для сбора учетных данных, в том числе из систем Многофакторной аутентификации. В своей деятельности группа делает упор на компрометацию учетной записи, а не на полный контроль над конечными точками, используя легкие бэкдоры, такие как BabyShark, для разведки, Регистрации нажатий клавиш и эксфильтрации данных. Тактика Kimsuki's включает в себя фишинг, использование общедоступных приложений, выполнение команд с помощью скриптовых инструментов и передовые методы уклонения, такие как Внедрение кода в процесс и запутывание, а также нацелена на Кражу денежных средств для поддержки своих разведывательных целей.
-----

Kimsuki, APT-группировка, связанная с Северной Кореей, нацелена на южнокорейские и американские организации по меньшей мере с 2012 года, уделяя особое внимание правительству, академическим кругам и аналитическим центрам. Их тактика включает социальную инженерию с переходом к шпионажу, ориентированному на идентификацию, и сбору учетных записей. Недавние методы включают Целевой фишинг на основе QR-кодов, перенаправляющий пользователей на поддельные страницы входа в систему. Kimsuki также использовала вредоносные приложения для Android с веб-сайтов фишинга для захвата учетных данных пользователей, в том числе защищенных MFA. Легкие бэкдоры, такие как BabyShark и AppleSeed, облегчают разведку системы, Регистрацию нажатий клавиш, захват скриншотов и эксфильтрацию данных. Стратегия группы делает упор на компрометацию учетной записи, а не на контроль конечных точек, проникновение в электронную почту и облачные идентификаторы для получения конфиденциальной информации. Их операции происходят в условиях низкой видимости, с использованием многоканальных методов социальной инженерии и тактики living-off-the-land. Основные методы разведки включают сбор идентификационной информации о жертвах и использование общедоступных приложений с помощью фишинга. Выполнение обычно достигается с помощью Интерпретаторов командных строк и сценариев, таких как PowerShell и JavaScript. Получение учетных данных связано с атаками Злоумышленника посередине, Регистрацией нажатий клавиш и перехватом токена MFA. Для командования и контроля они используют Протоколы прикладного уровня и скомпрометированные легитимные серверы. Тактика обхода защиты включает Внедрение кода в процесс, запутывание и Маскировку. Большое внимание уделяется Краже денежных средств, сочетающей шпионаж с киберпреступностью для поддержки усилий по сбору разведывательных данных.

#ParsedReport #CompletenessHigh
15-01-2026

LOTUSLITE: Targeted espionage leveraging geopolitical themes

https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Lotuslite
Dll_sideloading_technique
Spear-phishing_technique
Claimloader

Victims:
Us government entities, Government and policy related entities

Industry:
Government

Geo:
Chinese, Venezuela, Dutch, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1071.001, T1112, T1547.001, T1566.001, T1574.002

IOCs:
File: 4
Path: 2
IP: 2
Domain: 1
Hash: 2

Soft:
twitter

Algorithms:
sha256, zip

Functions:
GetComputerName, GetUserName

Win API:
LoadLibraryW, GetProcAddress, TerminateProcess, CreateDirectoryA, SHSetValueA, EvtNext, EvtQuery

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 26, dump: 2, table: 3, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания LOTUSLITE, связанная с хакерской группировкой Mustang Panda, нацелена на правительственные структуры США, используя геополитические темы, в частности ZIP-архив, который, как утверждается, содержит соответствующую информацию о Венесуэле. Вредоносное ПО использует DLL sideloading, выполняя вредоносную DLL-библиотеку с именем kugou.библиотека dll рядом с законным исполняемым файлом. Бэкдор LOTUSLITE устанавливает постоянную связь с сервером управления через HTTP-сеансы и поддерживает доступ, создавая запись в реестре для автоматического выполнения при входе пользователя в систему.
-----

Вредоносная Кампания LOTUSLITE, приписываемая хакерской группировке Mustang Panda, нацелена на правительственные структуры США, используя геополитические темы, связанные с недавними событиями в отношениях между Соединенными Штатами и Венесуэлой. Вектор атаки использовал ZIP-архив политической тематики под названием "МЫ сейчас решаем, что делать дальше". Venezuela.zip ," который содержал законный исполняемый файл и скрытую библиотеку динамических ссылок (DLL). Исполняемый файл предназначен для дополнительной загрузки и выполнения библиотеки DLL, которая действует как основной бэкдор, идентифицируемый как LOTUSLITE.

Механизм атаки использовал DLL sideloading - метод, при котором вредоносная библиотека DLL (называемая kugou.dll ) тайно выполняется вместе с законным двоичным файлом. Наличие этой библиотеки DLL изначально скрывалось до тех пор, пока атрибуты файла не были изменены, раскрывая ее истинную природу. После запуска бэкдор LOTUSLITE облегчает взаимодействие с сервером управления с помощью Windows WinHTTP API, что помогает ему сочетаться с законным веб-трафиком. Эта настройка HTTP-сеанса включает значения длительного тайм-аута, которые помогают установить постоянное соединение с удаленным сервером, отправляя POST-запросы определенным конечным точкам.

Для закрепления вредоносное ПО переименовывает исходный исполняемый файл программы запуска в "DataTechnology.exe " и использует флаг командной строки "–DATA" для внутренних операций. Это также обеспечивает закрепление путем создания записи реестра под ключом запуска текущего пользователя, что позволяет бэкдору автоматически запускаться при входе пользователя в систему.

Библиотека DLL LOTUSLITE обеспечивает минимальный, но функциональный экспорт, включая фиктивные функции, которые служат для выполнения не вредоносных задач. Однако его основная функция заключается в установлении маяка и поддержании постоянного доступа для злоумышленников. Сообщения от вредоносного ПО были прослежены до сервера управления, расположенного по адресу 172.81.60.97, который управляется хостинговой службой, известной предоставлением динамического DNS и услуг хостинга.

Анализ позволяет с умеренной уверенностью отнести эту кампанию к Mustang Panda, поскольку она демонстрирует знакомые навыки и поведенческие модели, соответствующие исторической деятельности группы. Хотя бэкдору LOTUSLITE не хватает продвинутых методов обхода, он опирается на хорошо зарекомендовавшие себя методы выполнения и командного управления, демонстрируя акцент на эксплуатационной надежности, а не на сложности. Эта кампания подчеркивает эффективность использования современных геополитических приманок в сочетании с простой, но эффективной тактикой вредоносного ПО.

#ParsedReport #CompletenessHigh
16-01-2026

HUMINT Operations Uncover Cryptojacking Campaign: Discord-Based Distribution of Clipboard Hijacking Malware Targeting Cryptocurrency Communities

https://www.cloudsek.com/blog/humint-operations-uncover-cryptojacking-campaign-discord-based-distribution-of-clipboard-hijacking-malware-targeting-cryptocurrency-communities

Report completeness: High

Threats:
Redlinecyber
Redline_stealer
Credential_harvesting_technique
Clipbanker
Spear-phishing_technique

Victims:
Cryptocurrency communities

Industry:
E-commerce, Financial, Entertainment, Education

Geo:
Australia, United kingdom, New zealand

TTPs:
Tactics: 6
Technics: 5

IOCs:
File: 12
Hash: 2
Registry: 2
Coin: 2
Path: 2

Soft:
Discord, PyInstaller, Windows Registry, Telegram, OpenSSL

Wallets:
tron

Crypto:
bitcoin, ethereum, solana, dogecoin, litecoin

Algorithms:
sha256, base64

Functions:
SetClipboardText

Win API:
OpenClipboard, GetClipboardData

Languages:
python

Platforms:
intel

Links:
https://github.com/extremecoders-re/pyinstxtractor

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года злоумышленник "RedLineCyber" запустил расширенную кампанию по криптоджекингу, нацеленную на трейдеров криптовалют через Discord. Эта кампания использует вредоносное ПО для перехвата и изменения скопированных адресов криптовалютных кошельков, что приводит к краже средств без ведома жертв. Инцидент подчеркивает тенденцию киберпреступников использовать установленные коммуникационные платформы для нацеленных атак, что все больше затрудняет обнаружение.
-----

В декабре 2025 года команда CloudSEK выявила продвинутую кампанию по криптозащите, возглавляемую злоумышленником, известным как "RedLineCyber". Этот актор использует репутацию признанного семейства стиллеров RedLine, чтобы завоевать доверие криптовалютных сообществ, демонстрируя тактический обман в своих операциях. Кампания в основном использует Discord для распространения вредоносного ПО для перехвата буфера обмена, специально предназначенного для лиц, участвующих в торговле криптовалютами и транзакциях.

Природа перехвата буфера обмена вредоносным ПО заключается в перехвате Данных из буфера обмена и манипулировании ими, часто изменяя адреса криптовалютных кошельков, скопированные пользователями. Когда жертвы непреднамеренно копируют законный адрес кошелька для транзакции, вредоносное ПО заменяет его адресом, контролируемым злоумышленником, способствуя краже средств без ведома жертвы. Этот метод особенно опасен, поскольку он подрывает доверие пользователей к чистому копированию адресов из источников, которые они считают безопасными.

Кампания подчеркивает растущую тенденцию среди киберпреступников адаптировать инструменты и стратегии, использующие устоявшиеся коммуникационные платформы, такие как Discord, для более эффективного охвата нацеленных сообществ. Внедряясь в эти сети и вовлекая базу пользователей, злоумышленники могут усовершенствовать свои методы доставки и уклонения, что усложняет обнаружение и смягчение последствий для жертв и специалистов по безопасности. В целом, этот инцидент свидетельствует о настоятельной необходимости повышенной бдительности и защитных мер в криптовалютных сообществах, особенно против изощренной тактики социальной инженерии и вредоносного ПО, которые напрямую манипулируют поведением пользователей.