#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PDFSIDER - это вариант вредоносного ПО, который использует DLL side-loading с помощью поддельного cryptbase.dll создать бэкдор с зашифрованными возможностями C2, эффективно обходящий системы AV и EDR. Он распространяется через электронные письма с Целевым фишингом, содержащие ZIP-файл с законным EXE-файлом, замаскированным под "Приложение PDF24", используя Выполнение с участием пользователя для первоначального доступа. Вредоносное ПО безопасно обменивается данными, используя пользовательское шифрование Winsock и AES-GCM, а также применяя различные методы обхода для поддержания своего присутствия и сбора системной информации.
-----

PDFSIDER - это недавно идентифицированный вариант вредоносного ПО, который использует методы DLL Side-loading для выполнения бэкдора с зашифрованными функциями управления (C2), избегая обнаружения антивирусными системами (AV) и системами обнаружения конечных точек и реагирования (EDR). Вредоносное ПО использует поддельную версию законного cryptbase.dll для достижения такой скрытности во время развертывания.

Метод распространения PDFSIDER включает в себя Целевой фишинг электронных писем, которые побуждают жертв загрузить ZIP-файл, содержащий законный EXE-файл, Маскировку под "PDF24 App". Это программное обеспечение, называемое PDF24 Creator, является известным приложением, разработанным Miron Geek Software GmbH, которое может создавать и конвертировать файлы в формат PDF..

Что касается методов атаки, вредоносное ПО PDFSIDER можно проанализировать с помощью платформы MITRE ATT&CK. Он устанавливает первоначальный доступ через DLL side-loading (T1574.002) путем перехвата законного cryptbase.dll , требующий Выполнения с участием пользователя для запуска родительского исполняемого файла, который загружает вредоносную библиотеку DLL (T1204). Процесс выполнения включает в себя скрытые команды, выполняемые через Командную оболочку Windows (T1059.003). Чтобы сохранить свое присутствие и избежать обнаружения, PDFSIDER использует тактику виртуализации и Обхода песочницы (T1497), проверяет наличие сред отладки (T1622) и собирает системную информацию, такую как имя пользователя и название компьютера (T1082).

Связь C2 для PDFSIDER отличается использованием пользовательских реализаций Winsock и шифрования AES-GCM (T1095), что позволяет безопасно фильтровать данные по каналу C2 (T1041). Кроме того, вредоносное ПО использует собственные Win32 API для управления процессами (T1106), что повышает его оперативную скрытность.

Важность вредоносного ПО PDFSIDER выявилась в ходе расследования после попытки сетевого вторжения в корпорацию из списка Fortune 100. Злоумышленник маскировался под службу технической поддержки и использовал тактику социальной инженерии, в частности, используя инструменты удаленной помощи, такие как QuickAssist, чтобы попытаться получить несанкционированный доступ к корпоративным конечным точкам. Это подчеркивает потенциальную угрозу вредоносного ПО для хорошо защищенных сред и подчеркивает важность осведомленности пользователей и надлежащих протоколов безопасности против таких изощренных попыток проникновения.

#ParsedReport #CompletenessMedium
17-01-2026

VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits

https://www.sysdig.com/blog/voidlink-threat-analysis-sysdig-discovers-c2-compiled-kernel-rootkits

Report completeness: Medium

Threats:
Voidlink
Krasue
Drovorub
Diamorphine_rootkit
Bpfdoor
Dynamic_linker_hijacking_technique

Victims:
Cloud environments, Linux servers, Containers, Kubernetes environments

Geo:
Chinese, China

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1057, T1068, T1070.003, T1083, T1095, T1105, T1106, T1219, have more...

IOCs:
File: 7
IP: 1

Soft:
Linux, aegis, Docker, Mac OS

Algorithms:
gzip, sha256, xor

Functions:
finit_module

Win Services:
SentinelAgent

Languages:
python

Platforms:
x64, intel

Links:
https://github.com/draios/sysdig

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink - это продвинутый фреймворк для вредоносного ПО Linux из Китая, который нацелен на облачные среды с использованием многоступенчатого загрузчика, чтобы избежать обнаружения. Он использует методы без файлов и использует обфускацию XOR, одновременно применяя тактику адаптивного уклонения для обхода решений безопасности. Кроме того, в VoidLink реализован серверный подход к компиляции руткитов для сборок, специфичных для ядра, механизмы скрытности от обычных системных инструментов и плагины для экранирования контейнеров и повышения привилегий Kubernetes, повышающие его оперативную скрытность и эффективность.
-----

VoidLink - это сложный фреймворк для вредоносного ПО Linux, разработанный в Китае и предназначенный для использования в облачных средах. Его многоступенчатая архитектура загрузки умело минимизирует объем памяти на диске, чтобы избежать статического анализа, начиная с начального dropper, который маскируется под процесс kworker, подключается к серверу управления (C2), чтобы загрузить последующий этап полностью в память. На этом начальном этапе для выполнения полезных нагрузок используются методы без файлов, использующие обфускацию XOR для своего адреса C2.

Время злоумышленник за VoidLink вобрал в себя адаптивную тактику уклонения, чтобы помешать выявлению основных решений безопасности, в том числе обнаружение облаков и ответ (ОКС), конечную точку обнаружения и реагирования (EDR и), и расширенного обнаружения и реагирования (ШЛУ) инструменты. Он активно сканирует процессы безопасности, используя процесс перебора и установка зонды пути, регулируя свое поведение и сроках маяк, чтобы уменьшить вероятность обнаружения.

VoidLink способен развертывать руткит несколькими способами, в зависимости от версии ядра и характеристик среды. Примечательно, что он использует подход компиляции руткитов на стороне сервера (SRC), запрашивая сборки для конкретного ядра с сервера C2, а не встраивая модули ядра напрямую. Этот метод решает проблемы переносимости, с которыми обычно сталкиваются руткиты загружаемого модуля ядра (LKM), обеспечивая совместимость с различными заголовками ядра.

Фреймворк также использует сложные механизмы скрытности, адаптированные к различным системным инструментам. Например, при нацеливании на команду 'netstat’ она использует определенные kretprobes, в то время как для утилиты ‘ss’ она использует eBPF для перехвата связи, что отражает продвинутый уровень разработки. Кроме того, VoidLink включает в себя функции, позволяющие скрыть его присутствие — такие как отключение ссылок на модули из списка загруженных модулей ядра и использование перехватчиков для фильтрации чувствительных строк на дисплеях.

Управление VoidLink многогранно, и одним из уникальных механизмов является скрытый канал ICMP, который позволяет осуществлять связь с помощью ping-пакетов. Имплантат прослушивает определенные пакеты для выполнения команд, повышая свою устойчивость к полной потере доступа. Он также включает в себя механизм самоуничтожения, способный стирать свидетельства его присутствия и активности.

Для эффективной работы в облачных средах VoidLink включает плагины, предназначенные для экранирования контейнеров и повышения привилегий Kubernetes. Эти плагины оценивают потенциальные неправильные настройки и уязвимости, которые могут способствовать несанкционированному доступу или выполнению.

Несмотря на расширенные возможности VoidLink, его все еще можно обнаружить с помощью правил обнаружения во время выполнения, адаптированных для таких систем, как Falco и Sysdig Secure. Вредоносное ПО является сложным, что отражает значительный опыт в разработке ядра, с собственной документацией на китайском языке, которая раскрывает глубокие технические знания и навыки эксплуатации. Построенный с использованием языка программирования Zig, VoidLink использует преимущества функций безопасности памяти, низкоуровневого управления и менее узнаваемой двоичной структуры, что еще больше усложняет обнаружение и анализ.

#ParsedReport #CompletenessHigh
18-01-2026

Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms

https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing

Report completeness: High

Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Endrat
Autoitrat

Victims:
Financial sector, Non profit organizations, Wordpress website operators

Industry:
Ngo, Financial

Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...

IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4

Soft:
WordPress, PHPMailer

Algorithms:
base64, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 1, dump: 1, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Poseidon - это spear phishing-кампания, приписываемая APT-группировке Konni, использующей скомпрометированные сайты WordPress для распространения вредоносного ПО и инфраструктуры командования и контроля. Атака в основном включает в себя spear phishing электронные письма с вводящими в заблуждение URL-адресами, что приводит пользователей к загрузке сжатых файлов, содержащих вредоносные LNK-файлы, которые запускают вредоносное ПО EndRAT с помощью сценариев AutoIt. Konni APT демонстрирует адаптивность, используя различные тактики Имперсонации, чтобы использовать доверие пользователей и обойти механизмы обнаружения.
-----

Operation Poseidon - это spear phishing-кампания, связанная с Konni APT-группировкой, которая использует сложные методы для обхода механизмов обнаружения. Эта кампания использует неправильно настроенные веб-сайты WordPress в качестве точек распространения вредоносного ПО и инфраструктуры командования и контроля (C2). Используя эти скомпрометированные сайты, злоумышленники могут обойти традиционные меры безопасности, основанные на блокировке URL-адресов и доменов, что позволяет быстро вносить изменения в их операционную инфраструктуру.

Первоначальный доступ в рамках этой кампании преимущественно включает в себя spear phishing электронные письма, содержащие замаскированные URL-адреса загрузки, которые вводят пользователей в заблуждение и заставляют загружать сжатые архивы. Эти архивы содержат вредоносные файлы LNK, которые запускают загрузку вредоносного ПО EndRAT с помощью сценариев автоматической загрузки, замаскированных под PDF-документы. Эта тактика направлена не только на использование доверия пользователей, но и на обход фильтров безопасности. В электронных письмах с фишингом используются дополнительные методы запутывания, путем вставки большого количества бессмысленного текста в невидимые области, чтобы еще больше избежать обнаружения.

Анализ поведения злоумышленников показывает, что программа Konni APT ранее использовала различные темы, включая Имперсонацию финансовых учреждений и некоммерческих организаций, чтобы увеличить свои шансы на успех. Например, недавние атаки включали приманки, связанные с некоммерческой НПО, которая стремилась повысить осведомленность о проблемах прав человека в Северной Корее, что иллюстрирует адаптивность группы в их стратегиях Имперсонации.

Тактика, методы и процедуры (TTP), использованные в Operation Poseidon, демонстрируют сильную согласованность с предыдущими операциями Konni, подтверждая модель использования аналогичной инфраструктуры и методов для доставки вредоносного ПО. Эта корреляция имеет решающее значение для понимания закрепления и эволюции их методов атаки.

Чтобы смягчить этот тип угроз, эксперты рекомендуют усовершенствовать механизмы обнаружения, основанные на поведении, вместо того, чтобы просто блокировать домены, используемые в законной рекламе. Шлюзы безопасности и прокси-серверы должны сосредоточиться на мониторинге конечных адресов назначения в перенаправленном трафике для выявления потенциально опасных загрузок. Системы обнаружения конечных точек и реагирования на них (EDR) становятся незаменимыми в таких контекстах, поскольку они предназначены для мониторинга поведения конечных точек и обнаружения аномалий, которые могут быть пропущены методами обнаружения на основе статических сигнатур. Этот многоуровневый подход к безопасности жизненно важен для защиты от эволюционирующих методологий, используемых такими группами, как APT Konni, в таких кампаниях, как Operation Poseidon.

#ParsedReport #CompletenessLow
17-01-2026

Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate

https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/

Report completeness: Low

Threats:
Mamba_2fa_tool
Aitm_technique
Mamba
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Cloud identity platforms, Microsoft 365 users, Multiple sectors

TTPs:
Tactics: 7
Technics: 13

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор Mamba phishing-as-a-service, появляющийся в 2023 году, расширяет возможности атак Злоумышленника посередине (AiTM), фокусируясь на обходе Многофакторной аутентификации (MFA) путем автоматизации и имитации законных процессов аутентификации. Его дизайн повышает эффективность работы и сводит к минимуму взаимодействие с пользователем, обеспечивая быстрый захват учетных данных и маскируя вредоносную активность под обычное поведение пользователя. Это отражает растущую тенденцию в сфере фишинга, ориентированную на облачные службы идентификации, особенно на такие платформы, как Microsoft 365, что указывает на стандартизацию методов фишинга различными злоумышленниками.
-----

Набор Mamba phishing-as-a-service представляет собой значительную эволюцию в области атак Злоумышленника посередине (AiTM), особенно в контексте растущих угроз кибербезопасности, ориентированных на облако. Mamba 2FA, появившаяся в 2023 году, означает переход от традиционных методов credential-harvesting к более сложным фреймворкам AiTM, нацеленным на обход защиты от Многофакторной аутентификации (MFA). Этот сдвиг свидетельствует о растущей тенденции в фишинге, когда злоумышленники используют автоматизацию и реалистичность для обмана пользователей и более эффективного обхода средств контроля безопасности.

Mamba основана на философии дизайна, которая подчеркивает эффективность работы и минимальное взаимодействие с пользователем. Он включает в себя передовые методы для эмуляции законных процессов аутентификации, управления пользовательскими сеансами и осуществления взаимодействия в режиме реального времени с серверными системами. Уменьшая трудности в процессе аутентификации, Mamba позволяет быстро получать учетные данные, сохраняя видимость обычной активности пользователя. Эти характеристики делают его мощным инструментом в экосистеме "фишинг как услуга", поскольку он способствует масштабируемым и повторяемым кампаниям атак, которые требуют меньших технических знаний от операторов.

Поведение при фишинге, демонстрируемое с помощью URL-адресов Mamba, согласуется с установленными шаблонами, наблюдаемыми в аналогичных фреймворках AiTM, демонстрируя такие методы, как высокоточное клонирование потоков облачной аутентификации. Эта среда усиливает угрозу, исходящую от Mamba 2FA, которая является не единичным случаем, а скорее проявлением стандартизированного подхода к разработке в рамках активного ландшафта PhaaS. Конвергенция возможностей AiTM означает, что множество акторов используют схожие методы для таргетирования облачных служб идентификации, особенно тех, которые связаны с широко используемыми платформами, такими как Microsoft 365.

По мере развития экосистемы фишинга традиционные средства защиты должны адаптироваться. Продолжающееся распространение Mamba и ее аналогов подчеркивает необходимость многоуровневого контроля безопасности идентификационных данных и способности эффективно обнаруживать аномалии аутентификации. Мониторинг более широких тенденций в экосистеме, а не сосредоточение внимания исключительно на отдельных инструментах, будет иметь важное значение для прогнозирования и выработки стратегии с учетом будущих изменений в методологиях фишинга. Ожидается, что риск, создаваемый такими платформами, как Mamba 2FA, сохранится, создавая постоянные проблемы для организаций, полагающихся на облачные службы идентификации в качестве основных векторов атак.

#technique

sliver-tor-bridge
tor-based transport bridge for sliver c2. creates a hidden service and proxies traffic to your sliver server so your real ip is never exposed.

https://github.com/Otsmane-Ahmed/sliver-tor-bridge

#technique

Obfusk8: C++17-Based Obfuscation Library
Obfusk8: lightweight Obfuscation library based on C++17 / Header Only for windows binaries

https://github.com/x86byte/Obfusk8

#technique

GhostWrite
Cross-platform scripts to edit files without leaving timestamp traces.

https://github.com/Logisek/GhostWrite

WhatsApp Session Hijack + Surveillance Kit

https://github.com/narimangharib/irgc-whatsapp-phishkit/blob/main/threat-report.md

#technique

Tangled

Tangled is a phishing platform designed from an offensive security perspective.
It automates many of the aspects of social engineering campaigns delivery and weaponizes iCalendar rendering features in Microsoft Outlook & Gmail (Google Workspace) to deliver spoofed meeting invites that are automatically added to a user's calendar without interaction.

https://github.com/ineesdv/Tangled

#ParsedReport #CompletenessHigh
19-01-2026

Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentinas Judicial Sector to Deploy a Covert RAT

https://www.seqrite.com/blog/operation-covert-access-weaponized-lnk-based-spear-phishing-targeting-argentinas-judicial-sector-to-deploy-a-covert-rat/

Report completeness: High

Actors/Campaigns:
Covert_accesss

Threats:
Covertrat
Spear-phishing_technique
Cobalt_strike_tool
Credential_harvesting_technique
Credential_dumping_technique

Victims:
Judicial sector

Industry:
Government, Healthcare

Geo:
Spanish, Argentina, America, Burma

TTPs:
Tactics: 12
Technics: 48

IOCs:
Path: 12
File: 24
Registry: 7
IP: 1
Hash: 5

Soft:
Microsoft Edge, Windows registry, VirtualBox, Hyper-V, qemu, task scheduler

Algorithms:
exhibit, xor, zip, base64

Functions:
exit

Win API:
IsDebuggerPresent, QueryPerformanceFrequency

Win Services:
WebClient

Languages:
powershell, rust

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Covert Access нацелена на судебный сектор Аргентины, используя методы Целевого фишинга и "оружейные" файлы ярлыков Windows (.LNK) в качестве переносчика инфекции. Тот самый .Файлы LNK запускают вредоносный пакетный файл, который развертывает скрытый троян удаленного доступа (RAT), предоставляя злоумышленникам постоянный доступ к скомпрометированным системам. Эта RAT облегчает эксфильтрацию данных и наблюдение за ними с помощью скрытных операций и тактики уклонения, что отражает глубокое понимание уязвимостей судебной системы.
-----

Operation Covert Access включает в себя сложную кампанию Целевого фишинга, направленную конкретно на судебный сектор Аргентины. В качестве исходного вектора заражения в атаке используются защищенные файлы ярлыков Windows (.LNK), демонстрирующие нацеленный подход к компрометации чувствительных правительственных учреждений.

На первом этапе инфекционной цепочки происходит .Файлы LNK служат приманкой для запуска вредоносного пакетного файла после его открытия. Этот метод умело маскирует злой умысел под видом законного запроса или документа, повышая вероятность успешного обмана. Пакетный файл выполняет ряд действий, которые облегчают развертывание скрытого троянца удаленного доступа (RAT), тем самым позволяя злоумышленникам получать постоянный доступ к зараженным системам.

Анализ covert RAT раскрывает ее возможности и поведение. После развертывания это вредоносное ПО может обеспечить несанкционированный контроль над зараженным компьютером, что может привести к потенциальной эксфильтрации данных и слежке за конфиденциальными сообщениями в рамках судебной системы. Конструкция RAT позволяет ему действовать скрытно и избегать обнаружения с помощью различных методов запутывания.

Кампания отражает четкое понимание операционной среды и уязвимостей, существующих в судебном секторе, подчеркивая необходимость принятия надежных мер по кибербезопасности. Были выявлены индикаторы компрометации (IOCs), связанные с этой операцией, которые предоставляют ключевую разведывательную информацию для принятия защитных мер. Кроме того, тактика, используемая в этой атаке, коррелирует со специфическими техниками из платформы MITRE ATT&CK, иллюстрируя процедурный метод, используемый злоумышленниками.

#ParsedReport #CompletenessLow
19-01-2026

How threat actors are using self-hosted GitHub Actions runners as backdoors

https://www.sysdig.com/blog/how-threat-actors-are-using-self-hosted-github-actions-runners-as-backdoors

Report completeness: Low

Threats:
Shai-hulud

Victims:
Software development, Open source focused companies

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1195

IOCs:
File: 10

Soft:
curl, linux, systemd

Functions:
setTimeout

Links:
https://resources.github.com/actions/2026-pricing-changes-for-github-actions/
https://docs.github.com/en/actions/how-tos/manage-runners/self-hosted-runners/configure-the-application
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4