#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Nomad Leopard нацелена на афганских государственных служащих с помощью Целевого фишинга с использованием обманчивых ISO-файлов, имитирующих официальные документы. Атака начинается с ISO-файла, который при запуске открывает ярлык, ведущий к внедрению вредоносного ПО, известного как FALSECUB, двоичный исполняемый файл C++ с временной меткой 2025 года. Злоумышленники также используют такие платформы, как GitHub, для размещения Вредоносных файлов, что указывает на текущие оперативные стратегии по использованию правительственных контекстов в будущих кампаниях.
-----

Команда SEQRITE Labs APT отслеживала киберкампанию, получившую название Operation Nomad Leopard, которая направлена на Целевой фишинг афганских правительственных служащих с помощью обманчивой приманки, имитирующей официальный правительственный документ. В этой операции используется тщательно разработанный поддельный документ, нацеленный на министерства и административные учреждения, подчеркивающий важность оперативной безопасности и подчеркивающий внимание злоумышленников к деталям при представлении документов.

Атака начинается с ISO файл с названием "AfghanistanIslamiEmirates.iso," что было отмечено в команды телеметрии на 23 декабря и позднее нашли на VirusTotal. Этот файл ISO является первоначальный доступ доступ, используя поведение окон обрабатывать файлы ISO в качестве виртуальных дисков, тем самым обойти типичные электронной почты и меры по обеспечению безопасности конечных точек, которые могут ограничить выполнение вредоносного кода. Путем внедрения вредоносных компонентов в рамках этого формата, злоумышленники стремятся избежать обнаружения.

Как только ISO-файл запущен, второй этап включает в себя файл быстрого доступа с именем "Doc.pdf.lnk", который запускает загрузку и выполнение конечной полезной нагрузки - имплантата вредоносного ПО, называемого FALSECUB. В ходе анализа FALSECUB было определено, что это двоичный исполняемый файл на C++ с временной меткой, указывающей на то, что злоумышленник потенциально планирует будущие действия, учитывая его дату, установленную на 2025 год.

На протяжении всей кампании злоумышленники используют известные платформы, такие как GitHub, для размещения своих Вредоносных файлов, пользуясь доверием, которое обычно вызывают эти платформы. Вредоносное ПО пытается подключиться к различным IP-адресам и доменам, что указывает на более широкую инфраструктуру, используемую злоумышленниками, хотя общая изощренность злоумышленника представляется ограниченной. Вместо этого они полагаются на ряд шаблонов документов, связанных с правительством, что свидетельствует о стратегическом намерении провести аналогичные операции в других регионах за пределами Афганистана.

Таким образом, операция Nomad Leopard представляет собой наглядный пример использования социально сконструированных документов для распространения вредоносного ПО, иллюстрирующий как техническую методологию, включающую файлы ISO и LNK, так и оперативную стратегию, которая использует правительственный контекст для использования конкретных целей.

#ParsedReport #CompletenessHigh
19-01-2026

COMmand & Evade: Turla's Kazuar v3 Loader

https://r136a1.dev/2026/01/14/command-and-evade-turlas-kazuar-v3-loader/

Report completeness: High

Actors/Campaigns:
Turla
Gamaredon

Threats:
Kazuar
Amsi_bypass_technique
Native_loader
Dll_sideloading_technique

Victims:
Multiple sectors

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1059.005, T1106, T1218, T1559.001, T1562.001, T1574.002, T1620, T1622, have more...

IOCs:
Url: 5
File: 21
Registry: 10
Path: 12
IP: 1
Hash: 10
Domain: 1

Soft:
Component Object Model, Event Tracing for Windows, Windows COM, Windows Registry, NET Framework, Windows Defender, WordPress

Algorithms:
cbc, md5, sha256, aes, xor

Functions:
CreateObject, CreateFolder, SetRequestHeader, GetFolder, GetModuleHandle, GetDelegateForFunctionPointer

Win API:
GetObject, SymInitialize, SymCleanup, SafeArrayAccessData, SafeArrayUnaccessData, StringFromCLSID, CLSIDFromProgID, CLSIDFromString, CoUninitialize, EnumWindows, have more...

Languages:
php, python

Platforms:
x64

YARA: Found

Links:
https://github.com/TheEnergyStory/LoadLibraryControlFlowRedirection
https://github.com/TheEnergyStory/PatchlessEtwAndAmsiBypass
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Turla's Kazuar v3 loader использует сложный многоступенчатый процесс заражения, который повышает скрытность и позволяет уклоняться от решений безопасности. Первоначально он запускает законно подписанный установщик драйверов принтера для дополнительной загрузки native Loader, который расшифровывает и загружает основные полезные данные. Конструкция загрузчика позволяет ему приостанавливать незамерзающие потоки и использовать запутанные .Сетевые сборки, в то время как полезная нагрузка Kazuar, включая компоненты для выполнения задач и Регистрации нажатий клавиш, тщательно продумана, чтобы избежать обнаружения благодаря сложной архитектуре и манипулированию потоками управления.
-----

Turla's Kazuar v3 loader представляет усовершенствованный многоступенчатый процесс заражения, разработанный для скрытности и обхода современных мер безопасности. Эта версия, которая впервые была представлена в начале 2024 года, использует COM-модель объектов (COM) наряду со сложными методами обхода для отслеживания событий для Windows (ETW) и интерфейсом проверки на наличие вредоносных программ (AMSI). Загрузчик использует метод перенаправления потока управления и различные другие тактики уклонения, чтобы максимально повысить свою устойчивость к обнаружению и анализу, что потенциально связывает его с предыдущими кампаниями с участием Turla и Gamaredon.

Начальный этап начинается с запуска законно подписанного установщика драйвера принтера, hpbprndi.exe . Этот исполняемый файл дополнительно загружает native loader, hpbprndiLOC.dll , который выполняет задачи дешифрования для полезных нагрузок Kazuar. Native Loader расшифровывает и загружает в память несколько зашифрованных компонентов, ориентируясь, в частности, на полезные нагрузки, называемые KERNEL, WORKER и BRIDGE, которые имеют решающее значение для работы вредоносного ПО.

Примечательной характеристикой загрузчика Kazuar v3 является его способность приостанавливать все потоки, кроме одного, выполняющего вредоносный код. Этот метод помогает избежать механизмов обнаружения, которые могут отслеживать другие процессы, а также сводит к минимуму конкуренцию между процессорами, что приводит к снижению вероятности прерывания законными процессами. Он использует ряд функций, которые управляют потоком управления, включая получение ближайших адресов для перенаправления, сохранение состояния и выполнение своего основного кода с помощью специальных перехватчиков в последовательности загрузки библиотек Windows.

На втором этапе загрузчик передает управление командной строке.NET assembly, jtjdypzmb.yqg, который действует как посредник, соединяющий native loader и полезные нагрузки Kazuar. Эта сборка сильно запутана, что затрудняет анализ и разведку аналитиками безопасности.

На третьем этапе вводится модульная полезная нагрузка Kazuar, состоящая из различных компонентов, которые выполняют различные функции, сохраняя при этом единую функциональность. Компонент ЯДРА управляет основными действиями вредоносного ПО, которые включают выполнение задач и Регистрацию нажатий клавиш, сконфигурированный для хранения данных в определенном каталоге. Все полезные нагрузки сконструированы таким образом, чтобы противостоять обнаружению с помощью обфускации и сложной архитектуры, которая позволяет им работать слаженно, одновременно усложняя усилия по идентификации и смягчению последствий со стороны средств защиты от кибербезопасности. Наличие определенной метки агента —AGN-RR-01 — указывает на текущие угрозы, исходящие от этого продвинутого вредоносного ПО.

#ParsedReport #CompletenessHigh
19-01-2026

Dissecting CrashFix: KongTuke's New Toy

https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke

Report completeness: High

Threats:
Crashfix
Kongtuke
Modelorat
Mintsloader
Clickfix_technique
Typosquatting_technique
Socgholish_loader
Process_hacker_tool
Junk_code_technique
Amsi_bypass_technique
Credential_harvesting_technique
Lolbin_technique

Victims:
Browser users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1112, T1140, T1204, T1218, T1574.002

IOCs:
Email: 1
File: 12
Domain: 1
Url: 7
IP: 3
Command: 1
Path: 1
Registry: 2
Hash: 4

Soft:
GateKeeper, Chrome, Active Directory, VirtualBox, QEMU, Windows Remote Access, Windows Registry, Discord, curl, Dropbox, have more...

Algorithms:
rc4, base64, md5, aes-256, gzip, cbc, aes, sha256, aes-256-cbc, pbkdf2, xor

Functions:
makeBatch, Remove-Item, GetTypes, GetMethod, Get-MpComputerStatus, GetModuleHandle, GetGroups, GetPermissions, Main

Win API:
Decompress, GetProcAddress, VirtualProtectEx, AmsiScanBuffer, IsWindowVisible

Languages:
powershell, php, python

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/KongTuke/gatekeeper\_payload.yar
have more...
https://github.com/uBlockOrigin/uBOL-home

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года хакерская группировка KongTuke выпустила вредоносное расширение для браузера под названием "CrashFix", которое использует социальную инженерию, чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell. Расширение задерживает свои вредоносные действия на 60 минут и проводит атаку типа "отказ в обслуживании" на браузер пользователя каждые 10 минут. Кроме того, KongTuke использует бэкдор под названием ModeloRAT, использующий методы уклонения, такие как запутывание и уникальную систему снятия отпечатков пальцев, чтобы избежать обнаружения и обеспечить закрепление в зараженной системе.
-----

В январе 2026 года была обнаружена новая киберугроза, связанная с вредоносным расширением для браузера, получившим название "CrashFix", которое было разработано хакерской группировкой KongTuke. Это расширение отображало вводящее в заблуждение предупреждение системы безопасности, указывающее на то, что браузер "аварийно остановился", тем самым побуждая пользователей инициировать поддельный процесс сканирования якобы для устранения обнаруженных проблем. Следуя инструкциям, пользователи непреднамеренно выполняют команду PowerShell, которую расширение ранее скопировало в их буфер обмена, используя тактику социальной инженерии для первоначального выполнения.

Чтобы скрыть свои действия и избежать обнаружения, расширение использует механизм отложенного выполнения через API-интерфейс Chrome Alarms, инициирующий вредоносные операции после 60-минутной задержки. Эта стратегия позволяет злоумышленникам свести к минимуму непосредственную связь между установкой расширения и его вредоносной полезной нагрузкой, которая включает атаку типа "отказ в обслуживании", нацеленную на ресурсы собственного браузера жертвы. Вредоносное поведение срабатывает каждые 10 минут после первоначального выполнения.

KongTuke также использовал законную утилиту Windows, finger.exe , чтобы продвинуть их вектор атаки. Переименовав эту утилиту в ct.exe и, развернув его из системного каталога, они устанавливают соединение с удаленным сервером (199.217.98.108) для выполнения возвращаемых команд. Эта тактика иллюстрирует метод извлечения данных с удаленных серверов, который может обойти механизмы обнаружения.

Кампания представляет собой сложный бэкдор, названный ModeloRAT, созданный в Python. Этот троян удаленного доступа включает различные методы ухода, такие как запутывание благодаря сообщают классов и переменных и алгоритм шифрования RC4 для Управление связи. Он обеспечивает закрепление в реестре Windows и может предоставлять несколько типов полезной нагрузки, что еще больше усложняет анализ с помощью функций junk code, предназначенных для запутывания усилий по статическому анализу.

Дополнительные уровни сложности добавляются благодаря уникальной системе снятия отпечатков пальцев, используемой вредоносным ПО, которая выполняет серию проверок антианализа, прежде чем сгенерировать большое количество данных, однозначно идентифицирующих компьютер жертвы. Эта функциональность помогает предотвратить обнаружение в виртуальных средах.

Подход KongTuke демонстрирует непрерывную эволюцию тактики борьбы с киберугрозами, демонстрируя, как они используют разочарование пользователей в разработанных решениях, которые кажутся заслуживающими доверия. Выдавая Маскировку за законный сервис и используя самоподдерживающийся цикл заражения, они извлекают выгоду из обычного поведения пользователей для достижения своих вредоносных целей.

#ParsedReport #CompletenessLow
19-01-2026

Planned failure: Gootloaders malformed ZIP actually works perfectly

https://expel.com/blog/gootloaders-malformed-zip/

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Gootkit
Rhysida

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.007, T1204.002, T1547.009

IOCs:
File: 4
Hash: 1

Algorithms:
7zip, zip, xor, crc-32

Languages:
jscript, cscript, powershell

Platforms:
intel

Links:
https://github.com/expel-io/expel-intel/blob/main/2026/01/gootloader\_zip\_archive\_2025\_11\_17
have more...
https://github.com/WerWolv/ImHex

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Gootloader использует уникальный ZIP-архив, содержащий файл JScript, который инициирует заражение при запуске, используя преднамеренные искажения, чтобы обойти обнаружение обычными средствами разархивирования. Вредоносное ПО запускается через PowerShell для обеспечения закрепления, напрямую запуская JScript из временной папки без традиционного извлечения. Обнаружение может включать правила YARA, нацеленные на аномальную файловую структуру ZIP, характеризующуюся множеством идентичных заголовков локальных файлов и специфическими атрибутами в конце центрального каталога, что помогает идентифицировать атаки Gootloader.
-----

Вредоносное ПО Gootloader представляет собой сложную задачу для специалистов по кибербезопасности из-за своего уникального механизма доставки, включающего специально созданный ZIP-архив. Этот архив содержит файл JScript, который инициирует заражение при выполнении. Что отличает Gootloader от других, так это намеренное искажение ZIP-файла, что приводит к обходу обнаружения обычными средствами разархивирования. Хотя этот метод усложняет анализ, защитники могут использовать аномальные характеристики этих ZIP-файлов для разработки стратегий обнаружения.

Основной вектор угрозы начинается, когда пользователи загружают ZIP-архив, содержащий файл JScript с определенным именем "Indiana_Animal_Protection_Laws_Guide.js ." Процесс выполнения вредоносного ПО начинается с этого JScript, который использует PowerShell для закрепления в зараженной системе. Когда пользователи дважды щелкают ZIP-архив, он обычно открывается в проводнике Windows, и после выбора файла JScript Windows Script Host (WScript) выполняет сценарий непосредственно из временной папки, не извлекая его в традиционное расположение, что приводит к уникальному потоку выполнения.

Практический метод обнаружения включает в себя использование Яра правила, чтобы определить эти архивы искаженной молнии в зависимости от своей структуры файла. Ключевые идентификаторы содержат более 100 экземпляров одинаковых местные заголовки файлов и конкретными атрибутами в конце Центрального каталога. Эти характеристики могут быть эффективно контролироваться для флага присутствия gootloader Gootloader.

Чтобы снизить риск таких заражений, рекомендуемые профилактические меры включают повторную привязку расширений файлов JScript с использованием объектов групповой политики (GPO) для перенаправления приложения, открывающегося по умолчанию, с Windows Script Host на Notepad. Кроме того, организациям следует рассмотреть возможность блокировки выполнения скриптовых движков, таких как wscript.exe и cscript.exe , особенно если JScript не является необходимым для выполнения операций. Стратегии обнаружения должны быть сосредоточены на ненормальном поведении, связанном с ZIP-файлами, и схемах их выполнения. Командам безопасности настоятельно рекомендуется отслеживать случаи, когда wscript.exe запускает сценарии из временного каталога и для деревьев аномальных процессов, включая cscript.exe выполнение команд PowerShell.

В конечном счете, понимание методов работы Gootloader, начиная с дизайна ZIP-архива и заканчивая процессами заражения, повышает способность обнаруживать и предотвращать атаки, тем самым сводя к минимуму риски, связанные с этой и потенциально подобными будущими угрозами.

#ParsedReport #CompletenessMedium
13-01-2026

deVixor: An Evolving Android Banking RAT with Ransomware Capabilities Targeting Iran

https://cyble.com/blog/devixor-android-banking-rat-ransomware-iran/

Report completeness: Medium

Threats:
Devixor
Credential_harvesting_technique

Victims:
Mobile users, Banking users

Industry:
Transport, Financial

Geo:
Middle east, Iran, Iranian

TTPs:
Tactics: 19
Technics: 22

IOCs:
Url: 8
File: 4

Soft:
Android, Google Play, Telegram

Wallets:
tron

Crypto:
binance

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/devixor\_evolving\_android\_banking\_rat\_ransomware\_capabilities

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
deVixor - это банковское вредоносное ПО для Android, нацеленное на пользователей в Иране, использующее методы фишинга для распространения вредоносных приложений, замаскированных под законные сервисы. Он функционирует как инструмент удаленного доступа (RAT) с возможностями программ-вымогателей, способный красть конфиденциальные финансовые данные, включая одноразовые пароли и данные кредитной карты, посредством внедрения JavaScript на основе WebView. Кроме того, он использует Firebase для доставки команд и Telegram-бота для управления заражениями, совершенствуя тактику уклонения и поддерживая постоянный контроль над зараженными устройствами.
-----

deVixor - это усовершенствованное банковское вредоносное ПО для Android, нацеленное на пользователей в Иране, использующее методы фишинга для распространения вредоносных приложений, замаскированных под легальные автомобильные компании. Вредоносное ПО способно к масштабной краже финансовых данных и слежке за устройствами, функционируя как инструмент удаленного доступа (RAT) с возможностями программ-вымогателей.

После установки с помощью обманчивых APK-файлов deVixor запрашивает разрешения на доступ к SMS-сообщениям, контактам и файлам. В последних версиях добавлены запросы на получение разрешений службы специальных возможностей, что усиливает ее контроль над зараженными устройствами. Его основная функциональность заключается в сборе конфиденциальной финансовой информации, включая одноразовые пароли (OTP), остатки на счетах, данные кредитной карты и SMS-контент, связанный с банковским делом и криптовалютой. Вредоносное ПО использует внедрение JavaScript на основе WebView для атаки на банковские учетные данные, загружая аутентичные банковские сайты в изолированной среде, чтобы напрямую перехватывать вводимые пользователем данные.

В дополнение к краже финансовых данных deVixor оснащен удаленно запускаемым модулем программы-вымогателя, который может блокировать устройства и требовать оплаты в криптовалюте, усиливая свою угрозу для жертв. Механизм командования и контроля (C2) использует Firebase для доставки команд, в то время как инфраструктура Telegram-ботов служит для управления заражениями. Такое сочетание позволяет злоумышленникам сохранять контроль над вредоносным ПО и эффективно обходить традиционные системы обнаружения.

Технический профиль deVixor распознает множество тактик и приемов из платформы MITRE ATT&CK, иллюстрирующих ее многогранный подход к киберугрозам. Первоначальный доступ достигается с помощью фишинга, в то время как закрепление поддерживается путем регистрации широковещательных приемников и использования служб переднего плана. Более того, deVixor использует различные методы обхода защиты, такие как скрытие значка своего приложения, предотвращение удаления и запутывание зашифрованного URL-адреса сервера C2.

Методы получения учетных данных включают сбор уведомлений, Регистрацию нажатий клавиш и захват входных данных при взаимодействии с графическим интерфейсом, тем самым обеспечивая значительную эксфильтрацию данных. Вредоносное ПО также собирает информацию об устройстве и приложении и компилирует эти данные для передачи обратно на свой сервер C2, используя зашифрованный протокол HTTPs. Наконец, deVixor демонстрирует свое воздействие, получая контроль над SMS, что позволяет ему отправлять сообщения со взломанного устройства.

#ParsedReport #CompletenessMedium
18-01-2026

RustyStealer: Your Compiler Is Snitching on You

https://blog.synapticsystems.de/rustystealer-your-compiler-is-snitching-on-you/

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Rusty_stealer
Rustywater
Rustric

Industry:
Healthcare, Transport

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1082

IOCs:
Hash: 5
Path: 2
File: 1

Soft:
Windows Defender

Algorithms:
xor, sha256, base64, aes, aes-gcm

Win API:
ReadFile, NtReadFile, GetOverlappedResult, CancelIo, WaitForMultipleObjects, SHGetKnownFolderPath, CoTaskMemFree, GetComputerNameExW, GetUserNameW, NetGetJoinInformation, have more...

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RustyStealer - это разновидность вредоносного ПО, которая эволюционировала по меньшей мере в четырех версиях, демонстрируя систематические улучшения функциональности и скрытности. Первоначальные версии были легко обнаружены благодаря строкам открытого текста, включая ссылки на программное обеспечение безопасности, но более поздние версии, в частности 1.1 и 2.0, удалили эти идентификаторы и включили передовые методы запутывания, такие как декодирование на основе XOR, для повышения скрытности. В последней версии особое внимание уделяется профилированию жертв и операционной эффективности, что отражает нацеленность разработчиков на адаптацию к мерам обнаружения и совершенствование стратегий скрытых атак.
-----

RustyStealer, вариант вредоносного ПО, проанализированный с точки зрения его разработки и эволюционирования, демонстрирует прохождение через несколько структурированных версий, что указывает на сложный подход к повышению его функциональности и скрытности. Анализ сосредоточен на понимании изменений и улучшений, внесенных его разработчиками, раскрывая историю, состоящую по меньшей мере из четырех важных этапов сборки, от ранней базовой версии (версия 0.9) до более совершенных итераций (вплоть до версии 2.0).

Каждая версия RustyStealer демонстрирует различные методы разработки, что указывает на методическую эволюцию, а не на случайные изменения. Первоначальные версии были легко обнаружены благодаря наличию строк открытого текста, включая конкретные ссылки на Защитник Windows, которые можно было использовать для статического обнаружения. Однако по мере того, как вредоносное ПО прогрессировало до версии 1.1, рефакторинг производительности привел к удалению этих идентифицируемых строк. Разработчики внедрили методы восстановления во время выполнения, используя несколько процедур декодирования на основе XOR с различными ключевыми константами, тем самым повышая скрытность вредоносного ПО и снижая его видимость для средств безопасности.

По версии 2.0, архитектурный сдвиг произошел, консолидирующего предыдущие усилия и расширения оперативной скрытности. Эта версия подчеркивает профилирования жертвы, корреляция кампании, и backend атрибуция, предлагая все большее внимание на эффективность атаки и сбор разведданных о цели. Удаление строк открытого текста не только цели жизни, но также отражает стратегическое направление, направленная на снижение шума, что позволяет более секретных операций.

Подводя итог, можно сказать, что разработка RustyStealer представляет собой непрерывный процесс обучения его разработчиков, с существенным акцентом на усовершенствование механизмов скрытности и повышение способности вредоносного ПО к нацеленным операциям. Наблюдаемые тенденции указывают на зрелость методов разработки вредоносного ПО, проливая свет на эволюционирующую тактику, применяемую хакерскими группировками по мере того, как они адаптируются к мерам обнаружения и стремятся повысить эффективность своих кампаний.

#ParsedReport #CompletenessLow
19-01-2026

New Infostealer Campaign Targets Users via Spoofed Software Installers

https://blog.virustotal.com/2026/01/malicious-infostealer-january-26.html

Report completeness: Low

Threats:
Dll_sideloading_technique

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 40

Algorithms:
sha256, zip

YARA: Found

泄露 Telegram 真实 IP 1-click 漏洞
通过重设代理暴露真实 IP
• Telegram 在添加代理之前会自动 ping 代理。
• 该请求绕过了所有已配置的代理
• 你的真实 IP 地址会被立即记录
只需点击一下即可显示你的真实 IP 地址。
会影响安卓和iOS版本的Telegram客户端
用户名后隐藏的链接示例：
[ @nickname ]( t.iss.one/proxy?server=1… )

#poc #威胁情报

#ParsedReport #CompletenessHigh
20-01-2026

Inside a Multi-Stage Windows Malware Campaign

https://www.fortinet.com/blog/threat-research/inside-a-multi-stage-windows-malware-campaign

Report completeness: High

Threats:
Defendnot_tool
Tsunami_botnet
Hakuna_matata
Clipbanker
Windows_locker
Uac_bypass_technique
Shadow_copies_delete_technique

Victims:
Users in russia

Geo:
Russian, Russia

TTPs:
Tactics: 12
Technics: 26

IOCs:
File: 17
Path: 3
Url: 5
Registry: 3
Command: 1
Hash: 11

Soft:
Telegram, Windows Defender, Windows Security Center, Microsoft Defender, Dropbox, Windows Shell, Microsoft Visual C++, PyInstaller, Chrome, Chromium, have more...

Wallets:
metamask, zcash, jaxx, exodus_wallet, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
rc4, base64

Languages:
python, powershell