#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания LOTUSLITE, связанная с хакерской группировкой Mustang Panda, нацелена на правительственные структуры США, используя геополитические темы, в частности ZIP-архив, который, как утверждается, содержит соответствующую информацию о Венесуэле. Вредоносное ПО использует DLL sideloading, выполняя вредоносную DLL-библиотеку с именем kugou.библиотека dll рядом с законным исполняемым файлом. Бэкдор LOTUSLITE устанавливает постоянную связь с сервером управления через HTTP-сеансы и поддерживает доступ, создавая запись в реестре для автоматического выполнения при входе пользователя в систему.
-----

Вредоносная Кампания LOTUSLITE, приписываемая хакерской группировке Mustang Panda, нацелена на правительственные структуры США, используя геополитические темы, связанные с недавними событиями в отношениях между Соединенными Штатами и Венесуэлой. Вектор атаки использовал ZIP-архив политической тематики под названием "МЫ сейчас решаем, что делать дальше". Venezuela.zip ," который содержал законный исполняемый файл и скрытую библиотеку динамических ссылок (DLL). Исполняемый файл предназначен для дополнительной загрузки и выполнения библиотеки DLL, которая действует как основной бэкдор, идентифицируемый как LOTUSLITE.

Механизм атаки использовал DLL sideloading - метод, при котором вредоносная библиотека DLL (называемая kugou.dll ) тайно выполняется вместе с законным двоичным файлом. Наличие этой библиотеки DLL изначально скрывалось до тех пор, пока атрибуты файла не были изменены, раскрывая ее истинную природу. После запуска бэкдор LOTUSLITE облегчает взаимодействие с сервером управления с помощью Windows WinHTTP API, что помогает ему сочетаться с законным веб-трафиком. Эта настройка HTTP-сеанса включает значения длительного тайм-аута, которые помогают установить постоянное соединение с удаленным сервером, отправляя POST-запросы определенным конечным точкам.

Для закрепления вредоносное ПО переименовывает исходный исполняемый файл программы запуска в "DataTechnology.exe " и использует флаг командной строки "–DATA" для внутренних операций. Это также обеспечивает закрепление путем создания записи реестра под ключом запуска текущего пользователя, что позволяет бэкдору автоматически запускаться при входе пользователя в систему.

Библиотека DLL LOTUSLITE обеспечивает минимальный, но функциональный экспорт, включая фиктивные функции, которые служат для выполнения не вредоносных задач. Однако его основная функция заключается в установлении маяка и поддержании постоянного доступа для злоумышленников. Сообщения от вредоносного ПО были прослежены до сервера управления, расположенного по адресу 172.81.60.97, который управляется хостинговой службой, известной предоставлением динамического DNS и услуг хостинга.

Анализ позволяет с умеренной уверенностью отнести эту кампанию к Mustang Panda, поскольку она демонстрирует знакомые навыки и поведенческие модели, соответствующие исторической деятельности группы. Хотя бэкдору LOTUSLITE не хватает продвинутых методов обхода, он опирается на хорошо зарекомендовавшие себя методы выполнения и командного управления, демонстрируя акцент на эксплуатационной надежности, а не на сложности. Эта кампания подчеркивает эффективность использования современных геополитических приманок в сочетании с простой, но эффективной тактикой вредоносного ПО.

#ParsedReport #CompletenessHigh
16-01-2026

HUMINT Operations Uncover Cryptojacking Campaign: Discord-Based Distribution of Clipboard Hijacking Malware Targeting Cryptocurrency Communities

https://www.cloudsek.com/blog/humint-operations-uncover-cryptojacking-campaign-discord-based-distribution-of-clipboard-hijacking-malware-targeting-cryptocurrency-communities

Report completeness: High

Threats:
Redlinecyber
Redline_stealer
Credential_harvesting_technique
Clipbanker
Spear-phishing_technique

Victims:
Cryptocurrency communities

Industry:
E-commerce, Financial, Entertainment, Education

Geo:
Australia, United kingdom, New zealand

TTPs:
Tactics: 6
Technics: 5

IOCs:
File: 12
Hash: 2
Registry: 2
Coin: 2
Path: 2

Soft:
Discord, PyInstaller, Windows Registry, Telegram, OpenSSL

Wallets:
tron

Crypto:
bitcoin, ethereum, solana, dogecoin, litecoin

Algorithms:
sha256, base64

Functions:
SetClipboardText

Win API:
OpenClipboard, GetClipboardData

Languages:
python

Platforms:
intel

Links:
https://github.com/extremecoders-re/pyinstxtractor

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года злоумышленник "RedLineCyber" запустил расширенную кампанию по криптоджекингу, нацеленную на трейдеров криптовалют через Discord. Эта кампания использует вредоносное ПО для перехвата и изменения скопированных адресов криптовалютных кошельков, что приводит к краже средств без ведома жертв. Инцидент подчеркивает тенденцию киберпреступников использовать установленные коммуникационные платформы для нацеленных атак, что все больше затрудняет обнаружение.
-----

В декабре 2025 года команда CloudSEK выявила продвинутую кампанию по криптозащите, возглавляемую злоумышленником, известным как "RedLineCyber". Этот актор использует репутацию признанного семейства стиллеров RedLine, чтобы завоевать доверие криптовалютных сообществ, демонстрируя тактический обман в своих операциях. Кампания в основном использует Discord для распространения вредоносного ПО для перехвата буфера обмена, специально предназначенного для лиц, участвующих в торговле криптовалютами и транзакциях.

Природа перехвата буфера обмена вредоносным ПО заключается в перехвате Данных из буфера обмена и манипулировании ими, часто изменяя адреса криптовалютных кошельков, скопированные пользователями. Когда жертвы непреднамеренно копируют законный адрес кошелька для транзакции, вредоносное ПО заменяет его адресом, контролируемым злоумышленником, способствуя краже средств без ведома жертвы. Этот метод особенно опасен, поскольку он подрывает доверие пользователей к чистому копированию адресов из источников, которые они считают безопасными.

Кампания подчеркивает растущую тенденцию среди киберпреступников адаптировать инструменты и стратегии, использующие устоявшиеся коммуникационные платформы, такие как Discord, для более эффективного охвата нацеленных сообществ. Внедряясь в эти сети и вовлекая базу пользователей, злоумышленники могут усовершенствовать свои методы доставки и уклонения, что усложняет обнаружение и смягчение последствий для жертв и специалистов по безопасности. В целом, этот инцидент свидетельствует о настоятельной необходимости повышенной бдительности и защитных мер в криптовалютных сообществах, особенно против изощренной тактики социальной инженерии и вредоносного ПО, которые напрямую манипулируют поведением пользователей.

#ParsedReport #CompletenessHigh
14-01-2026

Detailed Analysis of DragonForce Ransomware

https://medium.com/s2wblog/detailed-analysis-of-dragonforce-ransomware-25d1a91a4509

Report completeness: High

Actors/Campaigns:
Dragonforce
Ransomhub
Qilin
Meow

Threats:
Dragonforce_ransomware
Conti
Lockbit
Ransombay_raas
Eldorado_ransomware
Ransomhub
Qilin_ransomware
Cobalt_strike_tool
Systembc
Mimikatz_tool
Adfind_tool
Shadow_copies_delete_technique
Byovd_technique
Rentdrv2_tool

TTPs:
Tactics: 11
Technics: 17

IOCs:
File: 17
Hash: 5
Registry: 2
Path: 3
Command: 1

Soft:
ESXi, BinDiff, Active Directory, firefox, onenote, outlook, steam, thebat, wordpad, Windows Service, have more...

Algorithms:
rsa-4096, base32, md5, murmur2, sha256

Functions:
W32TimeSyncNow, SystemParametersInfo, scandir, unlink, rename

Win API:
DeviceIoControl, NtQuerySystemInformation, TerminateProcess, GetIpNetTable, NetShareEnum, arc, CryptGenRandom, CreateProcess, CryptImportKey, CreateFileW, have more...

Win Services:
MsMpEng, ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, have more...

Languages:
powershell

YARA: Found

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/251223\_Detailed%20Analysis%20of%20DragonForce%20Ransomware/DragonForce.yara
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/251223\_Detailed%20Analysis%20of%20DragonForce%20Ransomware/IoC.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DragonForce ransomware, появившаяся в декабре 2023 года, использует сложную полезную нагрузку для шифрования, используя алгоритм ChaCha8 и пользовательские методы запутывания. Он нацелен на файлы на основе расширений и выполняет обход каталогов для шифрования как локальных, так и сетевых файлов, в частности, ищет SMB-соединения на общих дисках. Примечательно, что DragonForce изменяет внешний вид зашифрованных файлов, удаляет shadow copies томов и завершает процессы, использующие уязвимые драйверы, подчеркивая свои расширенные возможности по поддержанию контроля во время атак.
-----

Группа DragonForce ransomware, идентифицированная как потомок LockBit 3.0 и кода Conti, появилась в декабре 2023 года, предлагая услуги через платформу под названием "Ransombay", где филиалы могут настраивать свои полезные нагрузки. Группа имеет связи с другими злоумышленниками, включая BlackLock и RansomHub, совместно использующими инфраструктуру и элементы кода. В рамках своей операционной модели DragonForce использует сложную полезную нагрузку, которая использует пользовательские алгоритмы для запутывания строк, расшифровываемых во время выполнения. В процессе шифрования используется алгоритм ChaCha8, добавляющий 534 байта метаданных к каждому зашифрованному файлу.

Программа-вымогатель поддерживает пять аргументов командной строки, которые определяют ее рабочие параметры, включая режим шифрования, с особой возможностью шифрования либо локальных файлов, либо сетевых путей. Вредоносное ПО специально нацелено на файлы в зависимости от их расширений и выполняет обход каталога, чтобы определить подходящие файлы для шифрования. Для сетевых атак DragonForce ищет SMB-соединения, применяя свое шифрование к общим дискам, придерживаясь списка исключений для определенных типов путей.

Одним из важных аспектов функциональности DragonForce's является его способность изменять внешний вид зашифрованных файлов, меняя их значки и обои, что служит как гнусным намерениям, так и потенциально является формой социальной инженерии. Чтобы усилить свою работу, программа-вымогатель удаляет shadow copies томов с помощью запросов WQL, препятствуя усилиям по восстановлению после атаки.

DragonForce также разрабатывает методы завершения процессов на пораженных компьютерах путем использования уязвимых драйверов, демонстрируя расширенные возможности по поддержанию контроля во время атаки. Эти операции напоминают действия традиционных программ-вымогателей, но DragonForce демонстрирует тщательно продуманный механизм, направленный не только на шифрование данных, но и на обеспечение надежного контроля за выполнением и тактикой уклонения.

Что касается защиты, Центр исследований угроз и разведки S2W разработал дешифратор для DragonForce ransomware, способный восстанавливать файлы, зашифрованные таким образом. Многогранный дешифратор работает как для сред Windows, так и для ESXi, строго ориентируясь на файлы, помеченные символом .Расширение RNP для восстановления. Процесс расшифровки включает в себя извлечение сеансового ключа из зашифрованных метаданных, которые защищены с помощью шифрования RSA, прежде чем использовать его для расшифровки самих файлов.

Учитывая последствия оперативной тактики DragonForce's — в частности, первоначальное проникновение через незащищенные службы удаленных рабочих столов — внедрение надежных мер безопасности, таких как ограничение доступа к этим службам или применение строгих протоколов аутентификации, жизненно важно для снижения рисков, связанных с такими атаками программ-вымогателей.

#ParsedReport #CompletenessLow
16-01-2026

SOLYXIMMORTAL : PYTHON MALWARE ANALYSIS

https://www.cyfirma.com/research/solyximmortal-python-malware-analysis/

Report completeness: Low

Threats:
Solyximmortal

Victims:
Windows users

Geo:
Turkish

TTPs:
Tactics: 8
Technics: 10

IOCs:
Hash: 1

Soft:
Discord, Chrome, Telegram

Algorithms:
aes-gcm, md5, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SolyxImmortal - это сложное вредоносное ПО для кражи информации Windows, закодированное на Python, способное похищать учетные данные, регистрировать нажатия клавиш, Захват экрана и сбор документов, оставаясь при этом незамеченным. Он обеспечивает закрепление и управляет несколькими потоками для наблюдения без пользовательского интерфейса, фокусируясь на сборе данных из скомпрометированных систем, а не на самораспространении. Распространение вредоносного ПО было связано с подпольным Telegram-каналом, нацеленным на злоумышленников с низким и средним уровнем сложности.
-----

SolyxImmortal - это усовершенствованное вредоносное ПО для кражи информации Windows, реализованное на Python и предназначенное для осуществления непрерывного наблюдения и сбора данных, не вызывая подозрений. Его возможности включают в себя кражу учетных данных, регистрацию нажатий клавиш, Захват экрана и сбор документов, и все это упаковано в постоянный имплантат, который работает в пространстве пользователя. Архитектура вредоносного ПО позволяет ему использовать законные системные API и доступные сторонние библиотеки, повышая его скрытность и снижая риск обнаружения во время его работы.

После выполнения SolyxImmortal устанавливает закрепление и инициирует несколько потоков для одновременного наблюдения и сбора данных, работая бесшумно в фоновом режиме без какого-либо видимого пользовательского интерфейса или консольных выходов. Выполнение вредоносного ПО начинается автоматически при запуске скрипта, без зависимости от аргументов командной строки или конфигураций. Отсутствие функций самораспространения указывает на то, что основное внимание уделяется максимальному сбору данных с скомпрометированных конечных точек, а не распространению на другие системы. Злоумышленник, стоящий за этим вредоносным ПО, использует методологию, основанную на непрерывном мониторинге и выборочном оповещении о ключевых действиях, таких как события аутентификации пользователя.

Распространение образца SolyxImmortal было прослежено до подпольного Telegram-канала, связанного с распространением товарного вредоносного ПО и вариантов стиллеров. Активность в рамках этого канала предполагает, что он обслуживает злоумышленников с низким или средним уровнем сложности, а не хорошо организованные преступные организации, что указывает на более оппортунистическую оперативную модель.

#ParsedReport #CompletenessLow
15-01-2026

5 Malicious Chrome Extensions Enable Session Hijacking in Enterprise HR and ERP Systems

https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking

Report completeness: Low

Victims:
Enterprise hr platforms, Enterprise erp platforms, Workday, Netsuite, Successfactors, Security administrators

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 4
Url: 3
Coin: 4
File: 10

Soft:
Chrome, Outlook

Functions:
removeRuleIds, setTimeout, getDomainFromURL, removeSpecially, setCookie, getAuthTokenFromCookie, setInterval, getSession

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены пять вредоносных расширений Chrome, которые облегчают захват сеанса, нацеливаясь на токены аутентификации в файлах cookie с именем "__session" в системах управления персоналом и ERP, включая Workday и NetSuite. Расширения маскируются под инструменты повышения производительности, используя скрытые разрешения, чтобы избежать обнаружения, и отключая критические функции безопасности, чтобы затруднить усилия по администрированию безопасности. Их архитектура демонстрирует скоординированный злонамеренный умысел, а также наличие общих шаблонов обнаружения и механизмов антианализа, которые усложняют информирование пользователей и судебно-медицинское расследование.
-----

Пять вредоносных расширений Chrome облегчают перехват сеанса и отключают средства контроля безопасности в корпоративных системах управления персоналом и ERP. Они продаются как инструменты повышения производительности и запрашивают стандартные разрешения во время установки для повышения воспринимаемой легитимности. Расширения используют механизм эксфильтрации файлов cookie для нацеливания токенов аутентификации конкретно на файлы cookie с именем "__session". Эта функциональность согласована между несколькими расширениями, что указывает на скоординированные усилия злоумышленников.

Вредоносные акторы обнаруживают ориентированные на безопасность расширения Chrome и сообщают о находках и украденных учетных данных обратно на свои серверы управления (C2). Некоторые расширения утверждают, что повышают безопасность пользователей, но на самом деле препятствуют администрированию безопасности, предотвращая доступ к критическим настройкам и средствам управления реагированием на инциденты. Механизм внедрения файлов cookie использует данные в формате JSON и функцию chrome.cookies.set() для перехвата аутентифицированных сеансов.

Эти расширения работают с одноразовой инфраструктурой и не имеют подлинных сервисных веб-сайтов, что отражает типичные схемы вредоносных операций. Механизмы защиты от анализа улучшают тактику уклонения, включая мониторинг полей паролей, чтобы усложнить усилия по обнаружению. Идентичные списки обнаружения во всех расширениях предполагают, что они, скорее всего, были разработаны одним и тем же актором или группой.

Стратегии смягчения последствий включают удаление уязвимых расширений, просмотр истории аутентификации на предмет подозрительной активности, внедрение списков разрешений для расширений Chrome Enterprise, блокировку известных доменов C2 и аудит журналов на наличие аномалий. Также рекомендуется принудительный сброс пароля в чистых системах и тщательная проверка доверенных устройств. Необходим постоянный мониторинг на наличие подобных вредоносных расширений.

#ParsedReport #CompletenessMedium
16-01-2026

TamperedChef serves bad ads, with infostealers as the main course

https://www.sophos.com/en-us/blog/tamperedchef-serves-bad-ads-with-infostealers-as-the-main-course

Report completeness: Medium

Threats:
Tamperedchef
Evilai
Appsuite
Epibrowser
Seo_poisoning_technique

Victims:
General users, Enterprises

Geo:
France, Malaysia, United kingdom, Germany

TTPs:
Tactics: 5
Technics: 9

IOCs:
Url: 6
File: 4
Domain: 29
Registry: 13
Path: 15
Command: 1
Hash: 16

Algorithms:
sha256

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/TamperedChef\_IOCs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Вредоносной рекламе TamperedChef использует Google Ads для распространения вредоносного ПО для утаивания информации, первоначально запущенная с помощью PUAs в 2024 году, а затем подвергшаяся крупной атаке в июне 2025 года. Жертв обманом заставляют загрузить скомпрометированный установщик для PDF-редактора AppSuite, который остается бездействующим в течение 56 дней перед активацией, собирая учетные данные и конфиденциальную информацию, сохраняя при этом закрепление с помощью запланированных задач и записей реестра. Кампания включает в себя запутанные компоненты вредоносного ПО и использует злоупотребления Подписью исполняемого кода для дальнейшего уклонения.
-----

Кампания по Вредоносной рекламе TamperedChef представляет собой сложную операцию, которая использует рекламу Google для распространения вредоносного ПО, скрывающего информацию. Первоначально появившись в августе 2024 года, злоумышленники начали с развертывания потенциально нежелательных приложений (PUA) для тестирования методов их доставки, прежде чем начать полномасштабную атаку в июне 2025 года. Они зарегистрировали несколько похожих сайтов-утилит для работы с PDF-файлами и использовали поисковую систему SEO poisoning ( employedo employed), чтобы заманить жертв к загрузке скомпрометированного установщика для редактора PDF AppSuite.

Как только вредоносное ПО было установлено, оно поддерживало спящее состояние примерно в течение 56 дней, чтобы максимально увеличить частоту заражения. Эта задержка способствовала скрытому сбору учетных данных браузера и конфиденциальных данных при активации 21 августа 2025 года. Вредоносное ПО добилось закрепления путем манипуляций с запланированными задачами и записями системного реестра, чтобы гарантировать повторную активацию даже после перезагрузки системы. К началу сентября Sophos обнаружила более 300 скомпрометированных хостов, что привело к скоординированному реагированию, включавшему поиск вредоносной инфраструктуры и доменов.

Цепочка атак обычно начиналась с того, что жертвы нажимали на рекламу или результаты поиска руководств по эксплуатации и инструментов редактирования PDF, которые перенаправляли их на URL-адрес, содержащий Вредоносную рекламу. Жертвы загружали то, что казалось законными PDF-файлами, которые на самом деле были установщиком вредоносного ПО (AppSuite-PDF.msi). После запуска этот установщик загрузил дополнительные вредоносные компоненты, включая сильно запутанный файл JavaScript, помеченный Sophos Next Generation Antivirus как вредоносный. Примечательно, что методы обфускации, возможно, использовали искусственный интеллект для создания уникальных вариантов, способных избежать обнаружения на основе сигнатур.

Вредоносное ПО устанавливает записи и задачи автозапуска в системе для поддержания постоянного доступа. Это также связано со вторичными полезными нагрузками, которые еще больше расширяют контроль над зараженными системами, включая подключения к доменам управления для эксфильтрации данных. В кампании использовались злоупотребления с Подписью исполняемого кода, распространялись различные варианты вредоносного ПО, подписанные учетными данными организаций, зарегистрированных в Малайзии и США.

В целях смягчения последствий рекомендуется избегать установки программного обеспечения из онлайн-рекламы и приобретать программное обеспечение исключительно из официальных источников. Организациям следует внедрять строгий контроль приложений, обучать пользователей распознаванию Вредоносной рекламы и применять Многофакторную аутентификацию (MFA) для повышения общей безопасности. После любого инцидента следует провести тщательное сканирование конечных точек, повторно настроить скомпрометированные системы и выполнить немедленный сброс учетных данных для устранения постоянных угроз.

#ParsedReport #CompletenessHigh
16-01-2026

New Remcos Campaign Distributed Through Fake Shipping Document

https://www.fortinet.com/blog/threat-research/new-remcos-campaign-distributed-through-fake-shipping-document

Report completeness: High

Threats:
Remcos_rat
Process_hollowing_technique
Agent_tesla
Drakcloud

Victims:
Shipping sector

Industry:
Transport

Geo:
Vietnamese, Vietnam

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1049, T1053.005, T1056.001, T1059.001, T1059.005, T1071.001, T1105, T1112, have more...

IOCs:
File: 12
Url: 6
Command: 1
Path: 1
Hash: 4

Soft:
Windows Task Scheduler, Microsoft Word, Microsoft Visual C++

Algorithms:
base64, sha256

Functions:
VAI, URLDownloadToFileW, TaskScheduler-related, TaskService

Win API:
ShellExecuteW, ShowWindow, MessageBox

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, dump: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4