#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
После раскрытия CVE-2025-52691, критической уязвимости для загрузки произвольных файлов в SmarterMail, активность разведки резко возросла: более 5500 сеансов были нацелены на SmarterMail API для получения информации о версии. Злоумышленники используют вводящие в заблуждение строки пользовательского агента, используя как сфабрикованные, так и законные идентификаторы, чтобы избежать обнаружения, используя при этом различные отпечатки TCP, связанные с Unix-подобными системами. Эта разведка направлена на каталогизацию уязвимых установок, а не на немедленное выполнение атак.
-----

После раскрытия CVE-2025-52691, критической уязвимости при загрузке произвольных файлов, влияющей на SmarterMail, GreyNoise Labs обнаружила скоординированные усилия по разведке, направленные на выявление уязвимых экземпляров программного обеспечения. Начиная с 12 января 2026 года глобальная сеть наблюдений GreyNoise сообщила о 5541 сеансах, нацеленных на конечную точку SmarterMail API /api/v1/licensing/about, которая используется для получения информации о версии. Это действие убедительно свидетельствует о том, что злоумышленники составляют списки целей, прежде чем приступить к потенциальной эксплуатации.

Кампания по разведке выявила специфические инфраструктурные сигнатуры, при этом были обнаружены три отличительных отпечатка JA4T TCP, указывающих на использование Unix-подобных операционных систем. Первичный отпечаток соответствует средам WSL Ubuntu 22.04, в то время как вторичный вариант намекает на гигантские фреймы или пользовательские конфигурации MTU, которые, вероятно, используются в виртуализированных или облачных установках.

Поведение злоумышленников характеризуется использованием вводящих в заблуждение строк пользовательского агента, циклически используя как сфабрикованные идентификаторы, включая несуществующие дистрибутивы Linux, так и законные, такие как Fedora, CentOS, Debian и Knoppix. Эта тактика, по-видимому, направлена на то, чтобы избежать обнаружения путем имитации трафика браузера, хотя использование вымышленных названий дистрибутивов несколько подрывает эту маскировку. Строки пользовательского агента также включают версии Chrome и Firefox, которые варьируются от 118 до 135, что указывает на программное обеспечение для автоматического сканирования.

Примечательно, что эта деятельность классифицируется как разведка, а не прямая эксплуатация. Никаких последующих действий, нацеленных на другие конечные точки SmarterMail, или попыток загрузить файлы с идентифицированных IP-адресов замечено не было. Основной целью, по-видимому, является определение ландшафта установок SmarterMail и их соответствующих версий, а не выполнение немедленных атак.

В ответ на эти выводы GreyNoise работает над созданием меток обнаружения как для действий по разведке, связанных с CVE-2025-52691, так и для любых потенциальных попыток эксплуатации. Для немедленных защитных мер командам безопасности рекомендуется использовать специальные запросы GNQL для отслеживания такого поведения при разведке в своих данных GreyNoise, тем самым улучшая свои стратегии проактивной защиты.

#ParsedReport #CompletenessMedium
13-01-2026

APT PROFILE KIMSUKI

https://www.cyfirma.com/research/apt-profile-kimsuki/

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_criminal, cyber_espionage)

Threats:
Babyshark
Appleseed
Kgh_spy
Alphaseed
Gold_dragon
Bitsadmin_tool
Credential_harvesting_technique
Spear-phishing_technique
Lolbin_technique
Timestomp_technique
Process_injection_technique
Process_hollowing_technique
Passthehash_technique
Aitm_technique
Credential_dumping_technique
Dead_drop_technique

Victims:
Government agencies, Academia, Think tanks, Diplomatic sector

Industry:
Financial, Government

Geo:
Thailand, Vietnam, Norway, Denmark, Montenegro, Canada, Italy, Portugal, Usa, Greece, Luxembourg, North macedonia, Croatia, Romania, Netherlands, Czech, Lithuania, France, Latvia, Germany, Slovakia, Albania, Japan, Finland, Slovenia, Hungary, Estonia, Poland, Korea, North korea, Asia-pacific, Asia, Korean, Bulgaria, Belgium, America, Iceland

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)


TTPs:
Tactics: 9
Technics: 72

Soft:
Android, Microsoft Office, Remote Desktop Services

Languages:
javascript, python, visual_basic, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuki, северокорейская APT-группировка, перешла к шпионажу, ориентированному на идентификацию, используя Целевой фишинг на основе QR-кодов и вредоносные приложения для Android для сбора учетных данных, в том числе из систем Многофакторной аутентификации. В своей деятельности группа делает упор на компрометацию учетной записи, а не на полный контроль над конечными точками, используя легкие бэкдоры, такие как BabyShark, для разведки, Регистрации нажатий клавиш и эксфильтрации данных. Тактика Kimsuki's включает в себя фишинг, использование общедоступных приложений, выполнение команд с помощью скриптовых инструментов и передовые методы уклонения, такие как Внедрение кода в процесс и запутывание, а также нацелена на Кражу денежных средств для поддержки своих разведывательных целей.
-----

Kimsuki, APT-группировка, связанная с Северной Кореей, нацелена на южнокорейские и американские организации по меньшей мере с 2012 года, уделяя особое внимание правительству, академическим кругам и аналитическим центрам. Их тактика включает социальную инженерию с переходом к шпионажу, ориентированному на идентификацию, и сбору учетных записей. Недавние методы включают Целевой фишинг на основе QR-кодов, перенаправляющий пользователей на поддельные страницы входа в систему. Kimsuki также использовала вредоносные приложения для Android с веб-сайтов фишинга для захвата учетных данных пользователей, в том числе защищенных MFA. Легкие бэкдоры, такие как BabyShark и AppleSeed, облегчают разведку системы, Регистрацию нажатий клавиш, захват скриншотов и эксфильтрацию данных. Стратегия группы делает упор на компрометацию учетной записи, а не на контроль конечных точек, проникновение в электронную почту и облачные идентификаторы для получения конфиденциальной информации. Их операции происходят в условиях низкой видимости, с использованием многоканальных методов социальной инженерии и тактики living-off-the-land. Основные методы разведки включают сбор идентификационной информации о жертвах и использование общедоступных приложений с помощью фишинга. Выполнение обычно достигается с помощью Интерпретаторов командных строк и сценариев, таких как PowerShell и JavaScript. Получение учетных данных связано с атаками Злоумышленника посередине, Регистрацией нажатий клавиш и перехватом токена MFA. Для командования и контроля они используют Протоколы прикладного уровня и скомпрометированные легитимные серверы. Тактика обхода защиты включает Внедрение кода в процесс, запутывание и Маскировку. Большое внимание уделяется Краже денежных средств, сочетающей шпионаж с киберпреступностью для поддержки усилий по сбору разведывательных данных.

#ParsedReport #CompletenessHigh
15-01-2026

LOTUSLITE: Targeted espionage leveraging geopolitical themes

https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Lotuslite
Dll_sideloading_technique
Spear-phishing_technique
Claimloader

Victims:
Us government entities, Government and policy related entities

Industry:
Government

Geo:
Chinese, Venezuela, Dutch, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1071.001, T1112, T1547.001, T1566.001, T1574.002

IOCs:
File: 4
Path: 2
IP: 2
Domain: 1
Hash: 2

Soft:
twitter

Algorithms:
sha256, zip

Functions:
GetComputerName, GetUserName

Win API:
LoadLibraryW, GetProcAddress, TerminateProcess, CreateDirectoryA, SHSetValueA, EvtNext, EvtQuery

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 26, dump: 2, table: 3, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания LOTUSLITE, связанная с хакерской группировкой Mustang Panda, нацелена на правительственные структуры США, используя геополитические темы, в частности ZIP-архив, который, как утверждается, содержит соответствующую информацию о Венесуэле. Вредоносное ПО использует DLL sideloading, выполняя вредоносную DLL-библиотеку с именем kugou.библиотека dll рядом с законным исполняемым файлом. Бэкдор LOTUSLITE устанавливает постоянную связь с сервером управления через HTTP-сеансы и поддерживает доступ, создавая запись в реестре для автоматического выполнения при входе пользователя в систему.
-----

Вредоносная Кампания LOTUSLITE, приписываемая хакерской группировке Mustang Panda, нацелена на правительственные структуры США, используя геополитические темы, связанные с недавними событиями в отношениях между Соединенными Штатами и Венесуэлой. Вектор атаки использовал ZIP-архив политической тематики под названием "МЫ сейчас решаем, что делать дальше". Venezuela.zip ," который содержал законный исполняемый файл и скрытую библиотеку динамических ссылок (DLL). Исполняемый файл предназначен для дополнительной загрузки и выполнения библиотеки DLL, которая действует как основной бэкдор, идентифицируемый как LOTUSLITE.

Механизм атаки использовал DLL sideloading - метод, при котором вредоносная библиотека DLL (называемая kugou.dll ) тайно выполняется вместе с законным двоичным файлом. Наличие этой библиотеки DLL изначально скрывалось до тех пор, пока атрибуты файла не были изменены, раскрывая ее истинную природу. После запуска бэкдор LOTUSLITE облегчает взаимодействие с сервером управления с помощью Windows WinHTTP API, что помогает ему сочетаться с законным веб-трафиком. Эта настройка HTTP-сеанса включает значения длительного тайм-аута, которые помогают установить постоянное соединение с удаленным сервером, отправляя POST-запросы определенным конечным точкам.

Для закрепления вредоносное ПО переименовывает исходный исполняемый файл программы запуска в "DataTechnology.exe " и использует флаг командной строки "–DATA" для внутренних операций. Это также обеспечивает закрепление путем создания записи реестра под ключом запуска текущего пользователя, что позволяет бэкдору автоматически запускаться при входе пользователя в систему.

Библиотека DLL LOTUSLITE обеспечивает минимальный, но функциональный экспорт, включая фиктивные функции, которые служат для выполнения не вредоносных задач. Однако его основная функция заключается в установлении маяка и поддержании постоянного доступа для злоумышленников. Сообщения от вредоносного ПО были прослежены до сервера управления, расположенного по адресу 172.81.60.97, который управляется хостинговой службой, известной предоставлением динамического DNS и услуг хостинга.

Анализ позволяет с умеренной уверенностью отнести эту кампанию к Mustang Panda, поскольку она демонстрирует знакомые навыки и поведенческие модели, соответствующие исторической деятельности группы. Хотя бэкдору LOTUSLITE не хватает продвинутых методов обхода, он опирается на хорошо зарекомендовавшие себя методы выполнения и командного управления, демонстрируя акцент на эксплуатационной надежности, а не на сложности. Эта кампания подчеркивает эффективность использования современных геополитических приманок в сочетании с простой, но эффективной тактикой вредоносного ПО.

#ParsedReport #CompletenessHigh
16-01-2026

HUMINT Operations Uncover Cryptojacking Campaign: Discord-Based Distribution of Clipboard Hijacking Malware Targeting Cryptocurrency Communities

https://www.cloudsek.com/blog/humint-operations-uncover-cryptojacking-campaign-discord-based-distribution-of-clipboard-hijacking-malware-targeting-cryptocurrency-communities

Report completeness: High

Threats:
Redlinecyber
Redline_stealer
Credential_harvesting_technique
Clipbanker
Spear-phishing_technique

Victims:
Cryptocurrency communities

Industry:
E-commerce, Financial, Entertainment, Education

Geo:
Australia, United kingdom, New zealand

TTPs:
Tactics: 6
Technics: 5

IOCs:
File: 12
Hash: 2
Registry: 2
Coin: 2
Path: 2

Soft:
Discord, PyInstaller, Windows Registry, Telegram, OpenSSL

Wallets:
tron

Crypto:
bitcoin, ethereum, solana, dogecoin, litecoin

Algorithms:
sha256, base64

Functions:
SetClipboardText

Win API:
OpenClipboard, GetClipboardData

Languages:
python

Platforms:
intel

Links:
https://github.com/extremecoders-re/pyinstxtractor

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года злоумышленник "RedLineCyber" запустил расширенную кампанию по криптоджекингу, нацеленную на трейдеров криптовалют через Discord. Эта кампания использует вредоносное ПО для перехвата и изменения скопированных адресов криптовалютных кошельков, что приводит к краже средств без ведома жертв. Инцидент подчеркивает тенденцию киберпреступников использовать установленные коммуникационные платформы для нацеленных атак, что все больше затрудняет обнаружение.
-----

В декабре 2025 года команда CloudSEK выявила продвинутую кампанию по криптозащите, возглавляемую злоумышленником, известным как "RedLineCyber". Этот актор использует репутацию признанного семейства стиллеров RedLine, чтобы завоевать доверие криптовалютных сообществ, демонстрируя тактический обман в своих операциях. Кампания в основном использует Discord для распространения вредоносного ПО для перехвата буфера обмена, специально предназначенного для лиц, участвующих в торговле криптовалютами и транзакциях.

Природа перехвата буфера обмена вредоносным ПО заключается в перехвате Данных из буфера обмена и манипулировании ими, часто изменяя адреса криптовалютных кошельков, скопированные пользователями. Когда жертвы непреднамеренно копируют законный адрес кошелька для транзакции, вредоносное ПО заменяет его адресом, контролируемым злоумышленником, способствуя краже средств без ведома жертвы. Этот метод особенно опасен, поскольку он подрывает доверие пользователей к чистому копированию адресов из источников, которые они считают безопасными.

Кампания подчеркивает растущую тенденцию среди киберпреступников адаптировать инструменты и стратегии, использующие устоявшиеся коммуникационные платформы, такие как Discord, для более эффективного охвата нацеленных сообществ. Внедряясь в эти сети и вовлекая базу пользователей, злоумышленники могут усовершенствовать свои методы доставки и уклонения, что усложняет обнаружение и смягчение последствий для жертв и специалистов по безопасности. В целом, этот инцидент свидетельствует о настоятельной необходимости повышенной бдительности и защитных мер в криптовалютных сообществах, особенно против изощренной тактики социальной инженерии и вредоносного ПО, которые напрямую манипулируют поведением пользователей.

#ParsedReport #CompletenessHigh
14-01-2026

Detailed Analysis of DragonForce Ransomware

https://medium.com/s2wblog/detailed-analysis-of-dragonforce-ransomware-25d1a91a4509

Report completeness: High

Actors/Campaigns:
Dragonforce
Ransomhub
Qilin
Meow

Threats:
Dragonforce_ransomware
Conti
Lockbit
Ransombay_raas
Eldorado_ransomware
Ransomhub
Qilin_ransomware
Cobalt_strike_tool
Systembc
Mimikatz_tool
Adfind_tool
Shadow_copies_delete_technique
Byovd_technique
Rentdrv2_tool

TTPs:
Tactics: 11
Technics: 17

IOCs:
File: 17
Hash: 5
Registry: 2
Path: 3
Command: 1

Soft:
ESXi, BinDiff, Active Directory, firefox, onenote, outlook, steam, thebat, wordpad, Windows Service, have more...

Algorithms:
rsa-4096, base32, md5, murmur2, sha256

Functions:
W32TimeSyncNow, SystemParametersInfo, scandir, unlink, rename

Win API:
DeviceIoControl, NtQuerySystemInformation, TerminateProcess, GetIpNetTable, NetShareEnum, arc, CryptGenRandom, CreateProcess, CryptImportKey, CreateFileW, have more...

Win Services:
MsMpEng, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, have more...

Languages:
powershell

YARA: Found

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/251223\_Detailed%20Analysis%20of%20DragonForce%20Ransomware/DragonForce.yara
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/251223\_Detailed%20Analysis%20of%20DragonForce%20Ransomware/IoC.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DragonForce ransomware, появившаяся в декабре 2023 года, использует сложную полезную нагрузку для шифрования, используя алгоритм ChaCha8 и пользовательские методы запутывания. Он нацелен на файлы на основе расширений и выполняет обход каталогов для шифрования как локальных, так и сетевых файлов, в частности, ищет SMB-соединения на общих дисках. Примечательно, что DragonForce изменяет внешний вид зашифрованных файлов, удаляет shadow copies томов и завершает процессы, использующие уязвимые драйверы, подчеркивая свои расширенные возможности по поддержанию контроля во время атак.
-----

Группа DragonForce ransomware, идентифицированная как потомок LockBit 3.0 и кода Conti, появилась в декабре 2023 года, предлагая услуги через платформу под названием "Ransombay", где филиалы могут настраивать свои полезные нагрузки. Группа имеет связи с другими злоумышленниками, включая BlackLock и RansomHub, совместно использующими инфраструктуру и элементы кода. В рамках своей операционной модели DragonForce использует сложную полезную нагрузку, которая использует пользовательские алгоритмы для запутывания строк, расшифровываемых во время выполнения. В процессе шифрования используется алгоритм ChaCha8, добавляющий 534 байта метаданных к каждому зашифрованному файлу.

Программа-вымогатель поддерживает пять аргументов командной строки, которые определяют ее рабочие параметры, включая режим шифрования, с особой возможностью шифрования либо локальных файлов, либо сетевых путей. Вредоносное ПО специально нацелено на файлы в зависимости от их расширений и выполняет обход каталога, чтобы определить подходящие файлы для шифрования. Для сетевых атак DragonForce ищет SMB-соединения, применяя свое шифрование к общим дискам, придерживаясь списка исключений для определенных типов путей.

Одним из важных аспектов функциональности DragonForce's является его способность изменять внешний вид зашифрованных файлов, меняя их значки и обои, что служит как гнусным намерениям, так и потенциально является формой социальной инженерии. Чтобы усилить свою работу, программа-вымогатель удаляет shadow copies томов с помощью запросов WQL, препятствуя усилиям по восстановлению после атаки.

DragonForce также разрабатывает методы завершения процессов на пораженных компьютерах путем использования уязвимых драйверов, демонстрируя расширенные возможности по поддержанию контроля во время атаки. Эти операции напоминают действия традиционных программ-вымогателей, но DragonForce демонстрирует тщательно продуманный механизм, направленный не только на шифрование данных, но и на обеспечение надежного контроля за выполнением и тактикой уклонения.

Что касается защиты, Центр исследований угроз и разведки S2W разработал дешифратор для DragonForce ransomware, способный восстанавливать файлы, зашифрованные таким образом. Многогранный дешифратор работает как для сред Windows, так и для ESXi, строго ориентируясь на файлы, помеченные символом .Расширение RNP для восстановления. Процесс расшифровки включает в себя извлечение сеансового ключа из зашифрованных метаданных, которые защищены с помощью шифрования RSA, прежде чем использовать его для расшифровки самих файлов.

Учитывая последствия оперативной тактики DragonForce's — в частности, первоначальное проникновение через незащищенные службы удаленных рабочих столов — внедрение надежных мер безопасности, таких как ограничение доступа к этим службам или применение строгих протоколов аутентификации, жизненно важно для снижения рисков, связанных с такими атаками программ-вымогателей.

#ParsedReport #CompletenessLow
16-01-2026

SOLYXIMMORTAL : PYTHON MALWARE ANALYSIS

https://www.cyfirma.com/research/solyximmortal-python-malware-analysis/

Report completeness: Low

Threats:
Solyximmortal

Victims:
Windows users

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 10

IOCs:
Hash: 1

Soft:
Discord, Chrome, Telegram

Algorithms:
aes-gcm, md5, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SolyxImmortal - это сложное вредоносное ПО для кражи информации Windows, закодированное на Python, способное похищать учетные данные, регистрировать нажатия клавиш, Захват экрана и сбор документов, оставаясь при этом незамеченным. Он обеспечивает закрепление и управляет несколькими потоками для наблюдения без пользовательского интерфейса, фокусируясь на сборе данных из скомпрометированных систем, а не на самораспространении. Распространение вредоносного ПО было связано с подпольным Telegram-каналом, нацеленным на злоумышленников с низким и средним уровнем сложности.
-----

SolyxImmortal - это усовершенствованное вредоносное ПО для кражи информации Windows, реализованное на Python и предназначенное для осуществления непрерывного наблюдения и сбора данных, не вызывая подозрений. Его возможности включают в себя кражу учетных данных, регистрацию нажатий клавиш, Захват экрана и сбор документов, и все это упаковано в постоянный имплантат, который работает в пространстве пользователя. Архитектура вредоносного ПО позволяет ему использовать законные системные API и доступные сторонние библиотеки, повышая его скрытность и снижая риск обнаружения во время его работы.

После выполнения SolyxImmortal устанавливает закрепление и инициирует несколько потоков для одновременного наблюдения и сбора данных, работая бесшумно в фоновом режиме без какого-либо видимого пользовательского интерфейса или консольных выходов. Выполнение вредоносного ПО начинается автоматически при запуске скрипта, без зависимости от аргументов командной строки или конфигураций. Отсутствие функций самораспространения указывает на то, что основное внимание уделяется максимальному сбору данных с скомпрометированных конечных точек, а не распространению на другие системы. Злоумышленник, стоящий за этим вредоносным ПО, использует методологию, основанную на непрерывном мониторинге и выборочном оповещении о ключевых действиях, таких как события аутентификации пользователя.

Распространение образца SolyxImmortal было прослежено до подпольного Telegram-канала, связанного с распространением товарного вредоносного ПО и вариантов стиллеров. Активность в рамках этого канала предполагает, что он обслуживает злоумышленников с низким или средним уровнем сложности, а не хорошо организованные преступные организации, что указывает на более оппортунистическую оперативную модель.

#ParsedReport #CompletenessLow
15-01-2026

5 Malicious Chrome Extensions Enable Session Hijacking in Enterprise HR and ERP Systems

https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking

Report completeness: Low

Victims:
Enterprise hr platforms, Enterprise erp platforms, Workday, Netsuite, Successfactors, Security administrators

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 4
Url: 3
Coin: 4
File: 10

Soft:
Chrome, Outlook

Functions:
removeRuleIds, setTimeout, getDomainFromURL, removeSpecially, setCookie, getAuthTokenFromCookie, setInterval, getSession

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4