#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор ShadowRelay, связанный с вариантом Shadowpad Light (Deed RAT), представляет значительную угрозу в государственном секторе, используя уязвимости в серверах Microsoft Exchange через ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Модульная конструкция вредоносного ПО позволяет добавлять плагины, отражающие расширенные возможности злоумышленников. Это подчеркивает сохраняющиеся риски, связанные с непатентованными системами, особенно в средах, использующих серверы Exchange, поскольку злоумышленники используют эти уязвимости для сложных операций.
-----

Бэкдор ShadowRelay был идентифицирован как серьезная угроза в государственном секторе, демонстрирующая изощренный метод эксплуатации. Расследования выявили множество зараженных пользовательских систем, связанных с этим вредоносным ПО, в частности вариант Shadowpad Light, широко известный как Deed RAT. Первоначальная точка заражения была прослежена до скомпрометированного сервера Microsoft Exchange, который был использован с помощью серии уязвимостей, известных как ProxyShell. К ним относятся CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, все из которых по-прежнему активно нацелены на злоумышленников, несмотря на то, что первоначально о них сообщалось в 2021 году.

Эксплуатация этих уязвимостей подчеркивает устойчивый опасность, исходящую от устаревших системах, особенно в серверах Exchange, которые часто служат привлекательным объектом для злоумышленников. Текущие уязвимости является средством многочисленными злоумышленниками для выполнения различных атак, подчеркивая необходимость комплексного управления исправлениями в организационной среде.

В ShadowRelay бэкдор, обнаруженный наряду с другими известными уязвимостями на удаленном сервере Exchange, имеет модульную конструкцию, что позволяет злоумышленникам загрузить различные плагины, которые расширяют его функциональность. Данная модель показывает уровень сложности в возможности злоумышленника, предполагая, что они имеют значительный опыт в вредоносное ПО и развертывания вредоносных программ. Такие передовые технологии позволяют вредоносному ПО адаптироваться к различным операционным требованиям или уклоняться от обнаружения, демонстрируя эволюционирующий характер угроз кибербезопасности, нацеленных на инфраструктуру государственного сектора.

#ParsedReport #CompletenessHigh
20-01-2026

Don't Judge a PNG by Its Header: PURELOGS Infostealer Analysis

https://www.swisspost-cybersecurity.ch/news/purelogs-infostealer-analysis-dont-judge-a-png-by-its-header

Report completeness: High

Actors/Campaigns:
Hive0131
Purecoder

Threats:
Purelogs
Polyglot_ransomware
Vmdetectloader
Process_injection_technique
Runpe_tool
Process_hollowing_technique
Dotnet_reactor_tool
Purerat
Blueloader
Purecryptor
Confuserex_tool
Clickfix_technique
Ngrok_tool

Victims:
General users, Browsers, Cryptocurrency wallet users

Industry:
Education, Petroleum, Healthcare

Geo:
American, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.012, T1059.001, T1059.007, T1105, T1140, T1566.001, T1620

IOCs:
File: 3
Url: 3
IP: 2
Hash: 5

Soft:
Windows scripting engine, NET Framework, NET-Reactor, Telegram, NET Reactor, Chromium, Google Chrome, Microsoft Edge, Opera, Firefox, Yandex Browser, have more...

Wallets:
bitcoincore, electrum, exodus_wallet, metamask

Crypto:
monero, binance

Algorithms:
gzip, base64, des, 3des, xor, md5, aes, zip, aes-256-gcm, sha256

Functions:
DownloadString, DownloadFile, CreateDecryptor

Win API:
decompress, CryptUnprotectData

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания стиллера PURELOGS запускается с помощью фишингов электронного письма с файлом JavaScript, замаскированным под счет-фактуру, что позволяет доставлять вредоносное ПО через ZIP-архив. Он использует скрипт PowerShell для загрузки доброкачественного файла PNG с archive.org , использующий загрузчик на базе .NET, VMDetectLoader, с методами Внедрения в пустой процесс для ввода полезной нагрузки. Последний компонент стиллера, который использует устаревшее шифрование 3DES, работает без файлов для сбора конфиденциальных данных из веб-браузеров и криптовалютных кошельков, подчеркивая широкую доступность товарного вредоносного ПО в киберпреступности.
-----

Кампания стиллера PURELOGS - это изощренный вектор атаки, который начинается с фишинга электронного письма, содержащего файл JavaScript, замаскированный под счет-фактуру. Это служит точкой первоначального доступа для вредоносного ПО, которое поставляется в ZIP-архиве. Затем вредоносное ПО использует скрипт PowerShell для загрузки, казалось бы, безобидного изображения в формате PNG, размещенного на авторитетном сайте, archive.org , чтобы избежать обнаружения.

Процесс продолжается с использованием модульного загрузчика на базе .NET, называемого VMDetectLoader. Он отвечает за запуск следующих этапов вредоносного ПО, которые управляются с помощью определенных аргументов на начальном этапе PowerShell. Одним из примечательных аспектов атаки является реализация хорошо известной техники, называемой RunPE, или Внедрение в пустой процесс, которая позволяет загрузчику вводить полезную нагрузку в легитимный процесс.

Вводят полезная нагрузка представляет собой образец .Чистая распаковщика, который предназначен для расшифровки и выполнения окончательной Стиллер программы в памяти. Этот окончательной сборки используются устаревшие тройной DES (3DES, то) алгоритм шифрования, вероятно, чтобы избежать обнаружения с помощью современных средств безопасности, что в первую очередь сосредоточиться на более современных стандартов, таких как АЭС. После полной расшифровки вредоносное ПО работают .Чистая рефлексия на выполнение, достижение модель выполнения fileless.

После ввода в эксплуатацию стиллер PURELOGS способен собирать конфиденциальную информацию, в частности, ориентируясь на различные веб-браузеры и криптовалютные приложения. В нем используется модульный подход со специализированными модулями, предназначенными для извлечения данных из таких браузеров, как Chrome и Edge, а также более 30 различных настольных криптовалютных кошельков. Стиллер систематически проверяет общие каталоги установки и расположения реестра на наличие файлов кошелька, чтобы извлечь ценные данные.

PURELOGS демонстрирует адаптивность товарной вредоносное ПО в текущий ландшафт угроз, используя практические способы уклонения от уплаты на протяжении всей своей многоступенчатой инфекционного процесса. Несмотря на отсутствие инновационных функций, она работает на высокой громкости модели, затрагивающих многочисленными жертвами, а не конкретных высокопоставленных лиц. Эта акция подчеркивает экономический аспект киберпреступности, где успех полностью зависит от огромного числа инфекций, нежели качество каждого отдельного нарушения. При доступной цене примерно $150 в месяц для субъектов опасный, PURELOGS демонстрирует тревожную тенденцию в наличии и эффективность кибер-угроз, созданных для широкого воздействие.

#ParsedReport #CompletenessMedium
20-01-2026

Dark Web Profile: APT28

https://socradar.io/blog/dark-web-profile-apt28/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: information_theft, cyber_espionage, financially_motivated)

Threats:
Spear-phishing_technique
Password_spray_technique
Lamehug_tool
Credential_harvesting_technique
Authentic_antics
Com_hijacking_technique
Timestomp_technique
Credential_dumping_technique
Eviltwin_technique
Aitm_technique
Passthehash_technique

Victims:
Government, Research, Critical services, Logistics entities, Technology companies, Parliament

Industry:
Transport, Education, Logistic, Energy, Military, Government, Aerospace

Geo:
France, Georgia, Norway, Germany, America, German, Ukraine, Russia, Poland, Ukrainian, Canada, French, United kingdom, Kazakhstan, Asia, Russian

CVEs:
CVE-2017-6742 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (le12.4, le15.6)
- cisco ios_xe (le3.17)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)


TTPs:
Tactics: 14
Technics: 97

Soft:
Component Object Model

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28, спонсируемая государством группа кибершпионажа, связанная с российским ГРУ, фокусируется на странах НАТО и украинских объектах, используя ряд методов вторжения для получения долгосрочного доступа к конфиденциальным данным. Их операции включали развертывание вредоносного ПО LAMEHUG, оснащенного искусственным интеллектом для динамической разведки, и кампании по сбору учетных записей против украинских пользователей посредством фишинга. Использование уязвимостей, таких как CVE-2023-23397 и CVE-2017-6742, а также различных методов фишинга и получения учетных данных, подчеркивает их изощренный подход к компрометации целей.
-----

APT28, также известная как Fancy Bear, является спонсируемой российским государством группой кибершпионажа, связанной с ГРУ, нацеленной на страны НАТО, организации, поддерживающие Украину, и критически важные секторы в Европе и Северной Америке. Их операции против Украины активизировались с 2021 года, затронув сотни жертв в различных секторах. APT28 использует как традиционные методы шпионажа, так и инновационные технические маневры для получения долгосрочного доступа к конфиденциальной информации. Они внедрили платформу для разработки вредоносного ПО LAMEHUG с интеграцией искусственного интеллекта для генерации команд динамической разведки, о которой сообщалось в 2025 году. Кампания по сбору учетных записей против украинских пользователей UKR.net был проведен с использованием фишинга для получения учетных данных и кодов 2FA. Они также использовали вредоносное ПО "AUTHENTIC ANTICS" для захвата облачных учетных данных Microsoft и токенов OAuth для постоянного доступа. С 2022 года APT28 нацелен на логистические и технологические фирмы, связанные с оказанием помощи Украине, используя методы фишинга и получения учетных данных. Вторжения с участием французских организаций с 2021 года включали фишинг, использование CVE-2023-23397 и атаки методом грубой силы на учетные записи веб-почты. APT28 часто использует арендованные серверы, VPN и бесплатный хостинг для сокрытия операций. Они использовали уязвимости в маршрутизаторах Cisco, в частности CVE-2017-6742, уделяя особое внимание маршрутизаторам с низкой степенью безопасности. Первоначальная разведка выявила 250 жертв в Украине, с последующим использованием вредоносного ПО для извлечения информации об устройствах и сети. Их тактика соответствует платформе MITRE ATT&CK, охватывающей фишинг, использование общедоступных приложений и продвинутые стратегии манипулирования учетными данными.

#ParsedReport #CompletenessMedium
20-01-2026

Threat Actors Expand Abuse of Microsoft Visual Studio Code

https://www.jamf.com/blog/threat-actors-expand-abuse-of-visual-studio-code/

Report completeness: Medium

Actors/Campaigns:
Contagious_interview

Threats:
Clickfix_technique

Victims:
Software development, Developers

Geo:
Dprk, North korea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1204

IOCs:
File: 34
Hash: 7
IP: 1

Soft:
Microsoft Visual Studio Code, Visual Studio Code, curl, macOS, Node.js

Algorithms:
sha256

Functions:
Mp, jo, stopAllProcesses, resolve

Win API:
getSystemInfo

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанный с Северной Кореей злоумышленник расширил свою кампанию Contagious Interview, используя код Microsoft Visual Studio и вредоносные репозитории Git на таких платформах, как GitHub и GitLab, чтобы заманить жертв к клонированию зараженного кода. Основным вредоносным компонентом является JavaScript- бэкдор, характеризующийся избыточным кодом, который не препятствует его эффективности и выполняется через Node.js , обеспечивающий Удаленное Выполнение Кода и связь C2. После первоначального заражения были выполнены дополнительные полезные загрузки JavaScript для поддержания закрепления и продолжения взаимодействия с инфраструктурой C2.
-----

Недавнее исследование Jamf Threat Labs выявило расширение масштабов злоупотребления кодом Microsoft Visual Studio (VS Code) со стороны связанного с Северной Кореей злоумышленника, участвующего в кампании Contagious Interview. Эта кампания, которая ранее привлекала внимание своими методами обмана при наборе персонала, эволюционировала, чтобы использовать вредоносные репозитории Git, размещенные на таких платформах, как GitHub и GitLab, в качестве источника первоначального заражения. Жертв заманивают к клонированию и запуску этих хранилищ под видом предложений о работе или технических заданий.

Основным вредоносным компонентом является полезная нагрузка JavaScript, которая после выполнения действует как бэкдор. Примечательно, что эта полезная нагрузка характеризуется большим количеством постороннего кода, включая неиспользуемые функции и избыточную логику, что усложняет сценарий, не влияя на его эффективность работы. Конкретный хэш для этой полезной нагрузки - SHA256: 932a67816b10a34d05a2621836cdf7fbf0628bbfdf66ae605c5f23455de1e0bc. Полезная нагрузка выполняется с использованием Node.js , где он передается как один большой аргумент, позволяя основным подпрограммам бэкдора предоставлять такие функциональные возможности, как Удаленное Выполнение Кода, системная дактилоскопия и непрерывная связь с серверами командования и контроля (C2).

Наблюдение за скомпрометированными системами показало, что дальнейшие инструкции JavaScript были выполнены примерно через восемь минут после первоначального заражения. Эта последующая полезная нагрузка сохраняла аналогичную структуру и функциональность, подключаясь обратно к той же инфраструктуре C2, демонстрируя стратегическое закрепление тактики злоумышленника.

#ParsedReport #CompletenessLow
21-01-2026

Keeping the Kimwolf at bay: putting a leash on a massive DDoS Botnet.

https://www.linkedin.com/pulse/keeping-kimwolf-bay-putting-leash-massive-ddos-botnet-t1pyc/

Report completeness: Low

Threats:
Kimwolf
Rapperbot
Aisuru

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1090, T1498, T1583.003, T1584.003

IOCs:
IP: 6
Domain: 4

Win Services:
bits

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Aisuru стала доминирующим игроком на DDoS-атаки, добиваясь рекордных нападений превышает одиннадцать триллионов бит в секунду, к сентябрю 2025 года с его ботнет наращивание от 50 000 до 200 000 ботов. Этот бурный рост указывает на планомерная работа актеров опасный для расширения возможностей вслед за снижением RapperBot. Люмен предпринял действие за счет нарушения операций, связанных с за команду управление узлы, связанные с Aisuru, иллюстрирующие скоординированный ответ на это развивается опасная.
-----

После падения RapperBot в августе 2025 года Aisuru вновь стала ведущей силой в области распределенных атак типа "Отказ в обслуживании" (DDoS), продемонстрировав беспрецедентные возможности. К сентябрю 2025 года этот ботнет совершал рекордные атаки, направляя на свои цели более одиннадцати триллионов бит в секунду. Black Lotus Labs, использующая глобальную магистраль Lumen, наблюдала значительный рост трафика ботов, направленного на инфраструктуру управления Aisuru's (C2), при этом количество ботов, подключенных к этой сети, за короткий промежуток времени выросло с 50 000 до 200 000. Эта эскалация соответствовала интенсивности нападений, о которых сообщалось.

В ответ на этот тревожный рост, люмен начаты активные меры для противодействия угрозы со стороны Aisuru ботнет. В начале октября организация удалось нуль-маршрут движения к более 550 С2 узлы, связанные с Aisuru, эффективно прерывая работу сети. Анализ показал, что быстрый рост Aisuru не просто спонтанное явление; скорее, это было частью систематической работы по субъектам опасный для укрепления их потенциала после снижения предыдущих ботнетов. В рамках совместных усилий с правоохранительными органами и партнерами по отрасли, люмен удалось собрать воедино сложных работе Aisuru, выявляя не только в масштабах ботнет а также лиц, ответственных за его расширение.

#ParsedReport #CompletenessLow
21-01-2026

Android-Phantom family Trojans infiltrate smartphones along with games and pirated mods of popular apps. They use machine learning and video broadcasts to bait clicks Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15110&lng=ru&c=5

Report completeness: Low

Threats:
Phantom_malware

Victims:
Android users

Geo:
Russian, Spanish, Asian, French, German, Italian, Polish

ChatGPT TTPs:
do not use without manual check
T0822, T1105, T1204

IOCs:
File: 5
Url: 4

Soft:
Android, WebRTC, Telegram, Deezer, Discord

Functions:
GetApps

Languages:
java, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство троянов Android-Phantom нацелено на смартфоны с помощью игр и пиратских модификаций приложений, используя функциональность кликера для автоматизации взаимодействия с рекламой с целью получения прибыли. Управляемые через командный сервер по адресу hxxps://dllpgd.click, эти трояны используют машинное обучение и видеотрансляции, чтобы обманом заставить пользователей взаимодействовать с вредоносным контентом. Эта возникающая угроза подчеркивает уязвимости в мобильных платформах, особенно среди пользователей неофициальных приложений.
-----

Семейство троянов Android-Phantom было идентифицировано как новая угроза, нацеленная на смартфоны путем проникновения в них через игры и пиратские модификации популярных приложений. Эти трояны обладают функциональностью кликера, что означает, что они автоматизируют взаимодействие с рекламой или другим интерактивным контентом для получения дохода злоумышленниками. Основное управление троянами выполняется через командный сервер, который, в частности, находится по адресу hxxps://dllpgd.click.

Эти трояны используют передовые технологии, такие как машинное обучение и видеотрансляции, чтобы повысить свою способность обманом заставлять пользователей переходить по Вредоносным ссылкам или рекламе. Интеграция машинного обучения предполагает, что вредоносное ПО может адаптировать свое поведение на основе взаимодействий с пользователем, потенциально повышая количество кликов или тактику уклонения от механизмов обнаружения. Видеотрансляции, вероятно, используются для создания привлекательного и заманчивого контента, что еще больше повышает вероятность взаимодействия с пользователем.

Поскольку устройства Android обычно нацелены на широкую пользовательскую базу, появление семейства Android-Phantom представляет значительную угрозу, особенно для тех, кто устанавливает неофициальные или пиратские приложения. Распространение этого типа вредоносного ПО подчеркивает сохраняющуюся проблему защиты мобильных платформ от все более изощренных форм киберэксплуатации.

#ParsedReport #CompletenessHigh
21-01-2026

Inside MacSync's Script-Driven Stealer and Hardware Wallet App Trojanization

https://www.cloudsek.com/blog/inside-macsyncs-script-driven-stealer-and-hardware-wallet-app-trojanization

Report completeness: High

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Clickfix_technique
Chainbreaker_tool
Macsyncstealer

Victims:
Macos users

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1204.002, T1566.002

IOCs:
File: 7
Url: 1
Domain: 14
Coin: 1
Hash: 2

Soft:
macOS, Gatekeeper, Electron, curl, Mac OS, Chrome, Google Chrome, Microsoft Edge, Opera, Vivaldi, have more...

Wallets:
metamask, coinbase, nifty, math_wallet, ronin_wallet, aptos_wallet, yoroi, solflare, keplr, tezbox, have more...

Crypto:
binance, tezos, bitcoin

Algorithms:
gzip, zip, base64, sha256

Functions:
daemon_function, GrabFolder, GrabFolderLimit

Win API:
Arc

Languages:
applescript, javascript

Platforms:
apple, intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4