#ParsedReport #CompletenessLow
15-01-2026

5 Malicious Chrome Extensions Enable Session Hijacking in Enterprise HR and ERP Systems

https://socket.dev/blog/5-malicious-chrome-extensions-enable-session-hijacking

Report completeness: Low

Victims:
Enterprise hr platforms, Enterprise erp platforms, Workday, Netsuite, Successfactors, Security administrators

TTPs:
Tactics: 3
Technics: 5

IOCs:
Domain: 4
Url: 3
Coin: 4
File: 10

Soft:
Chrome, Outlook

Functions:
removeRuleIds, setTimeout, getDomainFromURL, removeSpecially, setCookie, getAuthTokenFromCookie, setInterval, getSession

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены пять вредоносных расширений Chrome, которые облегчают захват сеанса, нацеливаясь на токены аутентификации в файлах cookie с именем "__session" в системах управления персоналом и ERP, включая Workday и NetSuite. Расширения маскируются под инструменты повышения производительности, используя скрытые разрешения, чтобы избежать обнаружения, и отключая критические функции безопасности, чтобы затруднить усилия по администрированию безопасности. Их архитектура демонстрирует скоординированный злонамеренный умысел, а также наличие общих шаблонов обнаружения и механизмов антианализа, которые усложняют информирование пользователей и судебно-медицинское расследование.
-----

Пять вредоносных расширений Chrome облегчают перехват сеанса и отключают средства контроля безопасности в корпоративных системах управления персоналом и ERP. Они продаются как инструменты повышения производительности и запрашивают стандартные разрешения во время установки для повышения воспринимаемой легитимности. Расширения используют механизм эксфильтрации файлов cookie для нацеливания токенов аутентификации конкретно на файлы cookie с именем "__session". Эта функциональность согласована между несколькими расширениями, что указывает на скоординированные усилия злоумышленников.

Вредоносные акторы обнаруживают ориентированные на безопасность расширения Chrome и сообщают о находках и украденных учетных данных обратно на свои серверы управления (C2). Некоторые расширения утверждают, что повышают безопасность пользователей, но на самом деле препятствуют администрированию безопасности, предотвращая доступ к критическим настройкам и средствам управления реагированием на инциденты. Механизм внедрения файлов cookie использует данные в формате JSON и функцию chrome.cookies.set() для перехвата аутентифицированных сеансов.

Эти расширения работают с одноразовой инфраструктурой и не имеют подлинных сервисных веб-сайтов, что отражает типичные схемы вредоносных операций. Механизмы защиты от анализа улучшают тактику уклонения, включая мониторинг полей паролей, чтобы усложнить усилия по обнаружению. Идентичные списки обнаружения во всех расширениях предполагают, что они, скорее всего, были разработаны одним и тем же актором или группой.

Стратегии смягчения последствий включают удаление уязвимых расширений, просмотр истории аутентификации на предмет подозрительной активности, внедрение списков разрешений для расширений Chrome Enterprise, блокировку известных доменов C2 и аудит журналов на наличие аномалий. Также рекомендуется принудительный сброс пароля в чистых системах и тщательная проверка доверенных устройств. Необходим постоянный мониторинг на наличие подобных вредоносных расширений.

#ParsedReport #CompletenessMedium
16-01-2026

TamperedChef serves bad ads, with infostealers as the main course

https://www.sophos.com/en-us/blog/tamperedchef-serves-bad-ads-with-infostealers-as-the-main-course

Report completeness: Medium

Threats:
Tamperedchef
Evilai
Appsuite
Epibrowser
Seo_poisoning_technique

Victims:
General users, Enterprises

Geo:
France, Malaysia, United kingdom, Germany

TTPs:
Tactics: 5
Technics: 9

IOCs:
Url: 6
File: 4
Domain: 29
Registry: 13
Path: 15
Command: 1
Hash: 16

Algorithms:
sha256

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/TamperedChef\_IOCs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Вредоносной рекламе TamperedChef использует Google Ads для распространения вредоносного ПО для утаивания информации, первоначально запущенная с помощью PUAs в 2024 году, а затем подвергшаяся крупной атаке в июне 2025 года. Жертв обманом заставляют загрузить скомпрометированный установщик для PDF-редактора AppSuite, который остается бездействующим в течение 56 дней перед активацией, собирая учетные данные и конфиденциальную информацию, сохраняя при этом закрепление с помощью запланированных задач и записей реестра. Кампания включает в себя запутанные компоненты вредоносного ПО и использует злоупотребления Подписью исполняемого кода для дальнейшего уклонения.
-----

Кампания по Вредоносной рекламе TamperedChef представляет собой сложную операцию, которая использует рекламу Google для распространения вредоносного ПО, скрывающего информацию. Первоначально появившись в августе 2024 года, злоумышленники начали с развертывания потенциально нежелательных приложений (PUA) для тестирования методов их доставки, прежде чем начать полномасштабную атаку в июне 2025 года. Они зарегистрировали несколько похожих сайтов-утилит для работы с PDF-файлами и использовали поисковую систему SEO poisoning ( employedo employed), чтобы заманить жертв к загрузке скомпрометированного установщика для редактора PDF AppSuite.

Как только вредоносное ПО было установлено, оно поддерживало спящее состояние примерно в течение 56 дней, чтобы максимально увеличить частоту заражения. Эта задержка способствовала скрытому сбору учетных данных браузера и конфиденциальных данных при активации 21 августа 2025 года. Вредоносное ПО добилось закрепления путем манипуляций с запланированными задачами и записями системного реестра, чтобы гарантировать повторную активацию даже после перезагрузки системы. К началу сентября Sophos обнаружила более 300 скомпрометированных хостов, что привело к скоординированному реагированию, включавшему поиск вредоносной инфраструктуры и доменов.

Цепочка атак обычно начиналась с того, что жертвы нажимали на рекламу или результаты поиска руководств по эксплуатации и инструментов редактирования PDF, которые перенаправляли их на URL-адрес, содержащий Вредоносную рекламу. Жертвы загружали то, что казалось законными PDF-файлами, которые на самом деле были установщиком вредоносного ПО (AppSuite-PDF.msi). После запуска этот установщик загрузил дополнительные вредоносные компоненты, включая сильно запутанный файл JavaScript, помеченный Sophos Next Generation Antivirus как вредоносный. Примечательно, что методы обфускации, возможно, использовали искусственный интеллект для создания уникальных вариантов, способных избежать обнаружения на основе сигнатур.

Вредоносное ПО устанавливает записи и задачи автозапуска в системе для поддержания постоянного доступа. Это также связано со вторичными полезными нагрузками, которые еще больше расширяют контроль над зараженными системами, включая подключения к доменам управления для эксфильтрации данных. В кампании использовались злоупотребления с Подписью исполняемого кода, распространялись различные варианты вредоносного ПО, подписанные учетными данными организаций, зарегистрированных в Малайзии и США.

В целях смягчения последствий рекомендуется избегать установки программного обеспечения из онлайн-рекламы и приобретать программное обеспечение исключительно из официальных источников. Организациям следует внедрять строгий контроль приложений, обучать пользователей распознаванию Вредоносной рекламы и применять Многофакторную аутентификацию (MFA) для повышения общей безопасности. После любого инцидента следует провести тщательное сканирование конечных точек, повторно настроить скомпрометированные системы и выполнить немедленный сброс учетных данных для устранения постоянных угроз.

#ParsedReport #CompletenessHigh
16-01-2026

New Remcos Campaign Distributed Through Fake Shipping Document

https://www.fortinet.com/blog/threat-research/new-remcos-campaign-distributed-through-fake-shipping-document

Report completeness: High

Threats:
Remcos_rat
Process_hollowing_technique
Agent_tesla
Drakcloud

Victims:
Shipping sector

Industry:
Transport

Geo:
Vietnamese, Vietnam

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1049, T1053.005, T1056.001, T1059.001, T1059.005, T1071.001, T1105, T1112, have more...

IOCs:
File: 12
Url: 6
Command: 1
Path: 1
Hash: 4

Soft:
Windows Task Scheduler, Microsoft Word, Microsoft Visual C++

Algorithms:
base64, sha256

Functions:
VAI, URLDownloadToFileW, TaskScheduler-related, TaskService

Win API:
ShellExecuteW, ShowWindow, MessageBox

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, dump: 4, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная кампания по фишингу распространяет вариант Remcos RAT, используя уязвимость CVE-2017-11882 через вредоносный документ Word. Атака использует искаженный RTF-файл для запуска Удаленного Выполнения Кода, развертывая VBScript, который выполняет код PowerShell. Полезная нагрузка Remcos, разработанная для скрытности, обеспечивает широкий контроль над скомпрометированными системами, предлагая такие функции, как удаленный доступ, Регистрация нажатий клавиш и мониторинг сети, одновременно взаимодействуя с сервером управления.
-----

Недавно была выявлена кампания фишинга, направленная на распространение нового варианта троянца удаленного доступа Remcos (RAT). Эта кампания использует уязвимость CVE-2017-11882, известную тем, что она позволяет выполнять Удаленное Выполнение Кода через редактор Microsoft Equation Editor. Атака начинается с фишинг-письма, выдаваемого за сообщение от транспортной компании во Вьетнаме, в котором получателям предлагается открыть файл Word, помеченный как обновленный товаросопроводительный документ.

Вредоносный документ Word запускает использование уязвимости CVE-2017-11882 через RTF-файл, содержащий намеренно искаженные данные уравнения. При выполнении это приводит к развертыванию слегка запутанного файла VBScript, содержащего код PowerShell в кодировке Base64. Последующее .Модуль NET создан для обеспечения закрепления путем создания запланированной задачи в планировщике задач Windows.

Сама полезная нагрузка Remcos загружается в память, не оставляя следов на диске. Эта полезная нагрузка, 32-разрядный исполняемый файл, разработанный с помощью Microsoft Visual C++, остается незащищенной упаковщиками. Во время своего выполнения агент Remcos извлекает и сохраняет зашифрованный блок конфигурации, который определяет его операционные возможности. После подключения к серверу управления (C2) агент Remcos начинает передавать данные обратно злоумышленнику, включая системную информацию и различные показатели использования.

Вариант Remcos, используемый в этой кампании, оснащен обширными функциями, позволяющими полностью контролировать скомпрометированные системы. Он предоставляет функциональные возможности для управления системой, включая удаленный доступ к редактированию реестра, а также возможности наблюдения, такие как Регистрация нажатий клавиш и захват экрана. Кроме того, он включает в себя инструменты мониторинга сети, интерактивный коммуникационный интерфейс для общения с жертвой в режиме реального времени и различные команды, которые позволяют злоумышленнику дополнительно манипулировать выполнением агента, включая повышение привилегий и выполнение обновлений или деинсталляций.

#ParsedReport #CompletenessHigh
15-01-2026

DeadLock Ransomware: Smart Contracts for Malicious Purposes

https://www.group-ib.com/blog/deadlock-ransomware-polygon-smart-contracts/

Report completeness: High

Actors/Campaigns:
Unc5342

Threats:
Deadlock
Anydesk_tool
Dosvc
Winrm_tool
Etherhiding_technique
Shadow_copies_delete_technique

Industry:
Financial

Geo:
India, North korean, Dprk, Italy, Spain

TTPs:
Tactics: 3
Technics: 6

IOCs:
Url: 7
File: 3
Hash: 12
Coin: 3
IP: 2

Soft:
Wuauserv, Shopware, WordPress, cPanel, Ubuntu

Crypto:
ethereum

Algorithms:
md5, sha1, sha256

Functions:
setProxy

Win API:
Polygon, sendMessage

Win Services:
WinDefend, WaaSMedicSvc, Bits, BrokerInfrastructure, Diagtrack, Eventlog, NtlmSsp

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeadLock - это семейство программ-вымогателей, выявленное в июле 2025 года, которое использует передовые методы обхода традиционных средств защиты, включая использование смарт-контрактов Polygon для управления децентрализованными прокси-адресами, что повышает анонимность. Он шифрует файлы с помощью a .расширение dlock и изменяет системные визуальные эффекты, требуя выкуп, при этом используя скрипты PowerShell для завершения работы служб, не включенных в белый список. Включение вредоносным ПО AnyDesk для удаленного доступа и использование HTML-оболочки для зашифрованных сообщений указывают на сложную тактику, согласованную с платформой MITRE ATT&CK.
-----

DeadLock - это семейство программ-вымогателей, выявленное в июле 2025 года, которое работает с использованием инновационных методов, позволяющих оставаться незаметным и обходить традиционные средства защиты. Примечательно, что DeadLock использует смарт-контракты Polygon для управления адресами децентрализованных прокси-серверов, что повышает способность группы скрывать свою деятельность. Этот метод обеспечивает большую гибкость и безопасность за счет использования децентрализованной природы технологии блокчейн. Конкретное злоупотребление смарт-контрактами для хранения прокси-адресов отражает растущую тенденцию среди злоумышленников, ищущих изощренные способы действовать незамеченными.

Программа-вымогатель шифрует файлы жертв, добавляя расширение.dlock и изменение значков файлов вместе с обоями жертвы, чтобы заставить их заплатить выкуп за расшифровку. Хотя методы первоначального доступа, используемые DeadLock, остаются неясными, вредоносное ПО использует сценарий PowerShell, предназначенный для завершения работы служб, не включенных в белый список, в зараженных системах. Уникальное включение AnyDesk, стороннего инструмента удаленного мониторинга, в белый список скрипта указывает на его критическую роль в наборе инструментов злоумышленника для удаленного доступа и контроля.

Методология DeadLock's также демонстрирует использование HTML-файла, который действует как оболочка для Session, зашифрованной децентрализованной службы обмена сообщениями, с возможностями извлечения прокси-адресов из связанного смарт-контракта. Эта функция, называемая sendProxy, подчеркивает инновационную тактику обработки данных группы. Отслеживая транзакции по смарт-контракту, аналитики могут получить доступ к историческому списку используемых прокси-серверов, что потенциально помогает в защитных мерах от Ransomware.

Отчет об инциденте от ThreatScene также подтверждает, что AnyDesk используется группой DeadLock как для функциональности удаленного рабочего стола, так и для эффективного выполнения своих операций. Кроме того, тактика, методы и процедуры группы (TTP) соответствуют нескольким категориям в платформе MITRE ATT&CK, подробно описывая их методы выполнения через Командную оболочку Windows и PowerShell, их методы уклонения, включая Удаление файлов после выполнения, и их воздействие на целостность данных, восстановление системы и общее состояние. контроль.

Несмотря на свое нынешнее низкое воздействие и ограниченную уязвимость, DeadLock является примером меняющегося ландшафта угроз. Его инновационные методы сигнализируют о потенциальных будущих рисках, особенно если злоумышленники продолжат адаптировать и совершенствовать свои оперативные методы без адекватных контрмер со стороны организаций.

#ParsedReport #CompletenessLow
16-01-2026

Dark Web Profile: Orion Ransomware

https://socradar.io/blog/dark-web-profile-orion-ransomware/

Report completeness: Low

Threats:
Orion_ransomware
Babuk2
Lockbit
Blackcat
Babuk

Industry:
Healthcare

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Orion Ransomware, по-видимому, является в значительной степени рекламной организацией, а не сложной операцией вымогателей, в основном действующей на сайтах утечки данных без доказательств фактической разработки программ-вымогателей или подтвержденных нарушений. Его модель напоминает брокерское обслуживание доступа и вымогательство данных, а не классическую программу-вымогатель как услугу, в ней отсутствуют технические детали, типичные для известных Ransomware. Кроме того, связи Orion с предыдущей подпольной деятельностью и такими группами, как Babuk2, предполагают сосредоточение внимания на практике, основанной на репутации, а не на реальных оперативных возможностях.
-----

Orion Ransomware - это недавно выявленная операция, которая всплыла после обнаружения неизвестного сайта утечки данных программы-вымогателя (DLS), в котором перечислены 13 предполагаемых жертв. Несмотря на то, что Orion публично позиционирует себя как активного актора программ-вымогателей в экосистемах Dark Web, тщательный анализ показывает отсутствие доказательств, указывающих на подлинную разработку программ-вымогателей или независимо проверенные нарушения. Его присутствие, по-видимому, ограничивается деятельностью на местах утечек и рекламными сообщениями, а не демонстрацией реальных оперативных возможностей.

Операционная модель Orion предполагает "эксклюзивную партнерскую программу", которая подчеркивает потенциал высокой прибыли, анонимность и быстрые выплаты. Однако обмен сообщениями больше похож на брокерские услуги доступа и схемы вымогательства данных, а не на усовершенствованное предложение "Программа-вымогатель как услуга" (RaaS). Примечательно, что отсутствуют какие-либо технические характеристики полезной нагрузки вредоносного ПО, методов шифрования или функциональных возможностей панели, которые обычно выделяются известными группами вымогателей. Это отсутствие технических деталей говорит о том, что Orion, возможно, больше сосредоточена на привлечении партнеров с помощью маркетинга, а не на реальной надежности обслуживания.

Дальнейшее изучение инфраструктуры и коммуникаций Orion позволяет предположить наличие связей с предыдущей подпольной деятельностью, не связанной напрямую с самостоятельной операцией вымогателей. TOX-адрес, связанный с DLS, имеет историю на различных форумах Dark Web, известных продажей доступа, рекламными акциями панели программ-вымогателей и утечками данных. Обсуждения, связанные с этой идентификацией, указывают на такие практики, как перепродажа данных и связи с Babuk2, группой, признанной за подход, основанный на репутации, но технически несовершенный.

Заявления Orion о виктимизации охватывают разные страны и секторы, с заметной концентрацией в Соединенных Штатах. Эта схема больше соответствует общим стратегиям монетизации программ-вымогателей, чем предполагает какие-либо конкретные мотивы таргетинга. Оперативные совпадения с Babuk2 еще больше снижают уверенность в предполагаемых возможностях программы-вымогателя Orion, поскольку эти связи подчеркивают модели утилизации данных и репутационную тактику, а не оригинальные атаки.

Таким образом, Orion Ransomware является примером растущей формы вымогательства, основанного на репутации, которой не хватает технической изощренности, присущей обычным операциям с программами-вымогателями. Его стратегии вербовки, историческая принадлежность и виктимология указывают на то, что он полагается на унаследованную уязвимость, а не на законные вторжения, что поднимает вопросы о его операционной эффективности и авторитете в условиях киберугрозы.

#ParsedReport #CompletenessMedium
16-01-2026

Remcos RAT is distributing to domestic users

https://asec.ahnlab.com/ko/92135/

Report completeness: Medium

Threats:
Remcos_rat
Clipbanker
Passview_tool

Victims:
Domestic users, Illegal gambling site operators, Ordinary users

Industry:
Entertainment

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036, T1055, T1056.001, T1059.001, T1059.005, T1113, T1123, T1125, have more...

IOCs:
File: 9
Path: 3
IP: 3

Soft:
VeraCrypt, Telegram, Discord

Algorithms:
base64, md5

Languages:
dotnet, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец удаленного доступа Remcos (RAT) активно распространяется в Южной Корее, в основном нацеливаясь на пользователей посредством замаскированной установки таких программ, как VeraCrypt, и ссылок с нелегальных сайтов азартных игр. Это вредоносное ПО использует дроппер, который генерирует скрипты VBS для облегчения дальнейшего выполнения вредоносного ПО, используя методы запутывания, такие как ложные типы файлов и вводящие в заблуждение комментарии. Remcos RAT обеспечивает широкое дистанционное управление, включая выполнение команд, кражу информации и управление файлами и процессами, что создает значительный риск для конфиденциальных пользовательских данных.
-----

Центр разведки безопасности AhnLab подтвердил недавнее распространение троянца удаленного доступа Remcos (RAT), который, в частности, нацелен на внутренних пользователей в Южной Корее. Точный источник распространения остается неизвестным. Однако есть подозрения, что вредоносное ПО поставляется в комплекте с программами, выдающими себя за установочные файлы VeraCrypt или связанными с нелегальными веб-сайтами азартных игр.

Сообщается, что вредоносное ПО включает компонент dropper; оно идентифицируется как программа, потенциально функционирующая как инструмент поиска в базе данных под видом установщика VeraCrypt. Во время выполнения он генерирует два скрипта вредоносного ПО VBS, которые идентифицируются случайными именами и хранятся в каталоге %TEMP%. Функциональность, связанная с этим дроппером, может привести к последующим этапам выполнения вредоносного ПО.

Стратегия атаки использует несколько уровней запутывания с помощью скриптов VBS и PowerShell, предназначенных для загрузки и внедрения Remcos RAT. Эти скрипты часто содержат вводящие в заблуждение комментарии и фиктивные данные, чтобы скрыть их истинное назначение. Кроме того, в отчете указывается, что один вариант маскируется под файл JPG, в то время как на самом деле он содержит переносимый исполняемый файл в кодировке Base64 (PE), скрытый за определенными разделителями.

Сам Remcos RAT продается для законной удаленной поддержки, но активно используется злоумышленниками акторами из-за его обширных возможностей удаленного управления. Это позволяет злоумышленникам выполнять команды, управлять файлами и процессами, а также осуществлять кражу информации с помощью таких функций, как Регистрация нажатий клавиш, захват скриншотов, управление веб-камерами и микрофонами и извлечение учетных данных веб-браузера.

В настоящее время, по-видимому, основными целями являются операторы и пользователи нелегальных сайтов азартных игр; однако наличие другого вредоносного ПО, Маскировки под VeraCrypt, позволяет предположить, что обычные пользователи также могут непреднамеренно стать жертвами. Таким образом, пользователи, зараженные Remcos RAT, подвергаются высокому риску кражи их конфиденциальной информации, учитывая надежные возможности вредоносного ПО для эксфильтрации данных и контроля над скомпрометированными системами.

#ParsedReport #CompletenessLow
17-01-2026

UNO reverse card: stealing cookies from cookie stealers

https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers

Report completeness: Low

Threats:
Stealc
Clickfix_technique

Victims:
Youtube accounts

Industry:
Telco, Media

Geo:
Russian, Italian, Kazakhstan, Ukrainian, Russia, Asian

ChatGPT TTPs:
do not use without manual check
T1059.007, T1189, T1190

Soft:
Twitter, Photoshop

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4