#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Схема фишинга, имитирующая страницу входа в систему Microsoft, перенаправляла пользователей на вредоносный установщик macOS, что приводило к установке стиллера MacSync, недорогого инструмента "Вредоносное ПОкак услуга". Это вредоносное ПО, являющееся развитием стиллера Mac.c, захватывает конфиденциальную информацию с зараженных устройств macOS, такую как учетные данные и персональные данные. Атака подчеркивает риски тактики социальной инженерии, используемой для манипулирования пользователями с целью выполнения вредоносных команд в терминале.
-----

Недавнее расследование фишинг-домена, похожего на страницу входа в систему Microsoft, выявило сложную схему, включающую перенаправление на сайт, на котором размещен вредоносный установщик macOS cloud storage. Эта вредоносная страница была разработана с использованием сложных методов, характерных для приманок в стиле ClickFix style, с целью заманить ничего не подозревающих пользователей. Критическим действием в этой атаке было побуждение пользователей выполнить вводящую в заблуждение команду терминала, которая инициировала установку стиллера MacSync.

MacSync классифицируется как бюджетное средство "Вредоносное ПО как услуга" (MaaS) и является развитием ранее идентифицированного стиллера Mac.c. После установки MacSync работает путем сбора конфиденциальной информации с зараженных устройств macOS, включая учетные данные и персональные данные, подчеркивая текущие угрозы, которые представляет такое вредоносное ПО-стиллер для пользователей экосистемы Apple. Использование тактики социальной инженерии для убеждения пользователей выполнять команды непосредственно в их терминале подчеркивает необходимость повышения осведомленности о безопасности и бдительности пользователей macOS в отношении аналогичных фишингов и Вредоносных Кампаний.

#ParsedReport #CompletenessLow
21-01-2026

Analysis of HEURRemoteAdmin.GoToResolve.gen

https://www.pointwild.com/threat-intelligence/analysis-of-heurremoteadmin-gotoresolve-gen

Report completeness: Low

Threats:
Gotoresolve_tool
Conti
Cactus_ransomware
Bibi-wiper

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1204, T1219, T1489, T1547

IOCs:
File: 4
Hash: 8

Soft:
Microsoft Visual C++

Algorithms:
zip, exhibit, md5, sha256, sha1

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HEURRemoteAdmin.GoToResolve.gen классифицируется как потенциально нежелательное приложение (PUA), которое вызывает опасения по поводу безопасности из-за его возможностей автоматической установки и функций, напоминающих те, которые используются группами программ-вымогателей. Его исполняемый файл, GoToResolveUnattended.exe , может способствовать несанкционированному удаленному доступу и завершению процесса, что делает его потенциальным инструментом для злоумышленников, устанавливающих вредоносное ПО или сохраняющих контроль над скомпрометированными системами. Несмотря на то, что цифровая подпись является законной, ее поведение создает значительные риски в отношении конфиденциальности пользователей и безопасности системы.
-----

Анализ HEURRemoteAdmin.GoToResolve.gen указывает, что это потенциально нежелательное приложение (PUA), связанное с программным обеспечением автоматического доступа GoTo Resolve, может представлять значительную угрозу безопасности в неконтролируемых средах. Хотя приложение служит законным целям, предоставляя ИТ-специалистам удаленный доступ для получения поддержки, его поведение вызывает опасения относительно производительности системы и конфиденциальности пользователей. Исполняемый файл, GoToResolveUnattended.exe , облегчает автоматическую установку и выполнение фоновых процессов, что происходит без явного согласия пользователя.

Важным аспектом анализа является загрузка диспетчера перезапуска (RstrtMgr.dll ), библиотека, известная своим использованием в операциях с программами-вымогателями, таких как те, которые проводятся Conti и Cactus ransomware groups. Эта функциональность позволяет злоумышленникам завершать процессы, которые в противном случае могли бы помешать вредоносным действиям, что является примером потенциального неправильного использования приложения в средах, где отсутствует надежный надзор. Наличие таких возможностей подразумевает, что этот инструмент может быть использован злоумышленниками для установки вторичного вредоносного ПО или поддержания постоянного контроля над скомпрометированными системами.

Несмотря на то, что приложение имеет цифровую подпись GoTo Technologies USA, LLC, что указывает на его законное происхождение, поведение приложения оправдывает его классификацию как представляющего угрозу безопасности. Скрытая установка возможностей удаленного доступа обеспечивает вектор атаки, который может быть использован злоумышленниками для несанкционированного контроля. Несмотря на то, что во время первоначального выполнения не было обнаружено прямой вредоносной полезной нагрузки, риск, связанный с функцией удаленного доступа, остается повышенным.

Учитывая эти выводы, организациям рекомендуется обратиться к HEURRemoteAdmin.GoToResolve.gen с осторожностью. Развертывание инструмента должно тщательно контролироваться и управляться в соответствии со строгими политиками безопасности, чтобы снизить риск эксплуатации. Рекомендуемые меры по снижению рисков включают внесение приложений в белый список и расширенный мониторинг конечных точек, а также повышение осведомленности пользователей о рисках, связанных с несанкционированными ПО для удаленного доступа. Обнаружение этого образца с помощью security solutions дополнительно подтверждает его классификацию как PUA с потенциально значительным профилем угроз.

#ParsedReport #CompletenessHigh
21-01-2026

PyPI Package Impersonates SymPy to Deliver Cryptomining Malware

https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware

Report completeness: High

Threats:
Typosquatting_technique
Xmrig_miner

Victims:
Developers, Sympy users

Industry:
Education

TTPs:
Tactics: 1
Technics: 10

IOCs:
IP: 4
File: 13
Url: 4
Hash: 2

Soft:
SymPy, Outlook, Linux

Algorithms:
sha256

Functions:
groebner, roots_cubic

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет "sympy-dev", вредоносный вариант законной библиотеки SymPy на PyPI, иллюстрирует угрозы typosquatting в Цепочке поставок программного обеспечения. Пакет выполняет вредоносный код во время вызовов полиномиальной процедуры, что приводит к загрузке полезной нагрузки второго этапа, содержащей двоичные файлы Linux ELF, связанные с криптоминером XMRig, которые упакованы в UPX для запутывания. В этой атаке используются методы из платформы MITRE ATT&CK, такие как Компрометация цепочки поставок и Несанкционированное использование ресурсов.
-----

Недавнее обнаружение было сосредоточено на вредоносном пакете с именем "sympy-dev", который выдает себя за законный пакет SymPy в индексе пакетов Python (PyPI), который ежемесячно загружается примерно на 85 миллионов. Этот случай иллюстрирует сохраняющуюся угрозу typosquatting в Цепочке поставок программного обеспечения. Разработчики часто полагаются на знакомые имена пакетов при установке с помощью pip, часто упуская из виду детали, которые могут указывать на вредоносный вариант. Небольшая ошибка, такая как неправильный ввод названия пакета или копирование ошибочных записей из файлов требований, может привести к установке вредоносного программного обеспечения.

Вредоносный код в пакете "sympy-dev" запускается при выполнении определенных полиномиальных процедур, что позволяет ему вписаться в обычное использование подлинной библиотеки SymPy, не вызывая подозрений. Это затрудняет обнаружение, поскольку многие среды, использующие SymPy, могут не досконально проверять все возможные пути кода в полиномиальных функциях.

В ходе тестирования, проведенного в контролируемой среде, вредоносный код был выполнен, и было обнаружено, что он загружает полезную нагрузку второго этапа из инфраструктуры злоумышленника. Эта полезная нагрузка состоит из двоичных файлов Linux ELF, демонстрирующих поведение, характерное для криптоминера XMRig, конкретно идентифицируемых по их хэшам SHA-256: 90f9f8842ad1b824384d768a75b548eae57b91b701d830280f6ed3c3ffe3535e и f454a070603cc9822c8c814a8da0f63572b7c9329c2d1339155519fb1885cd59. Более того, эти двоичные файлы упакованы в UPX, что указывает на попытку скрыть их истинную функцию. В то время как основным наблюдаемым действием был криптомайнинг, полезная нагрузка на основе Python действует как загрузчик, способный извлекать и выполнять произвольный код в контексте запущенного процесса Python.

Тактика это нападение выровнять с помощью нескольких методов, перечисленных в рамках Митре АТТ&СК, в том числе компрометация цепочки поставок (T1195.002), выполнение пользователей через вредоносные библиотеки (T1204.005), и несанкционированное использование ресурсов для вычислительных целей (T1496.001), среди других. Это подчеркивает важность бдительности в управлении программное обеспечение и потенциальные риски, связанные с зависимостью от сторонних пакетов, особенно в условиях, когда они сильно используются.

#ParsedReport #CompletenessLow
21-01-2026

Malicious PixelCode Delivery Technique

https://github.com/S3N4T0R-0X0/Malicious-PixelCode/blob/main/README.md

Report completeness: Low

Threats:
Pixelcode_technique
Bear-c2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1071.001, T1105, T1140, T1573.001

IOCs:
File: 2
Path: 1

Algorithms:
aes-cbc, base64

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология доставки вредоносного PixelCode демонстрирует метод, при котором вредоносное ПО кодируется в пиксельных данных мультимедийных файлов, обеспечивая скрытую доставку и уклонение от обнаружения. Конкретная реализация включает в себя полезную нагрузку обратной оболочки Windows на C++, которая поддерживает соединение со своим сервером управления с использованием шифрования AES-CBC. Чтобы внедрить полезную нагрузку, инструмент Python преобразует исполняемый файл в пиксельный код, который затем извлекается из видео MP4 с помощью stager на Python, демонстрируя передовые методы обфускации для доставки вредоносного ПО.
-----

Технология доставки вредоносного PixelCode иллюстрирует инновационный метод кодирования исполняемых файлов в пиксельные данные, встроенные в изображения или видео. Этот подход в первую очередь направлен на демонстрацию скрытой доставки данных и тактики запутывания, которые могут быть незаконно присвоены злонамеренными акторами. Преобразуя вредоносное ПО в визуальный формат, злоумышленники могут маскировать вредоносные двоичные файлы или скрипты под безобидный мультимедийный контент, тем самым совершенствуя свои стратегии уклонения от механизмов обнаружения.

Конкретный пример этого метода включает скрытую полезную нагрузку обратной оболочки Windows, реализованную на C++. Эта полезная нагрузка предназначена для поддержания постоянного соединения с сервером управления посредством шифрования AES-CBC, использующего жестко закодированный статический ключ в сочетании со случайными векторами инициализации для безопасной связи. Он идентифицирует себя с помощью уникального идентификатора, выполняет команды с помощью cmd.exe или PowerShell, поддерживает навигацию по каталогам и потоковую передачу выходных данных команд в режиме реального времени. Важно отметить, что он работает без отображения окна консоли и способен автоматически подключаться повторно, если соединение нарушено, эффективно функционируя как троян удаленного доступа, предназначенный для контроля фазы после эксплуатации.

Для облегчения встраивания полезной нагрузки в пикселях, скомпилированный исполняемый файл обрабатывается с помощью Python-средство на основе специально созданных для преобразования двоичных данных в так называемой код пикселя. Это преобразование результатов в визуальное представление, часто в виде файла МР4, в котором двоичные данные переплетается с пиксельными значениями по видеокадрам.

Поскольку оригинал c++ полезной нагрузки не хватает необходимой мультимедийной библиотеки для декодирования кода пикселя в исполняемой форме, а Python стагер используется для этой цели. Этот Python на Python компилируется в исполняемый файл, а затем base64-кодировке, что позволяет ему быть прямо включены в основной код C++ погрузчик наряду URL-адрес с YouTube, который служит средством для поиска информации.

Как только видео в формате MP4 загружено, stager на Python обрабатывает его кадр за кадром, извлекая закодированные пиксельные данные и восстанавливая исходный исполняемый файл в памяти. Эта операция демонстрирует передовую технику обфускации и доставки вредоносного ПО, предоставляя злоумышленникам новые возможности для скрытого выполнения вредоносного кода.

#ParsedReport #CompletenessLow
22-01-2026

Resurgence of a multistage AiTM phishing and BEC campaign abusing SharePoint

https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/

Report completeness: Low

Threats:
Aitm_technique
Bec_technique
Credential_harvesting_technique

Victims:
Energy sector organizations

Industry:
Energy, Telco

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1114.003, T1199, T1550.004, T1556.006, T1566.002

IOCs:
IP: 2

Soft:
Microsoft Defender, Microsoft SharePoint, Microsoft Entra, Microsoft Edge, Office 365, Microsoft Defender for Endpoint

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена многоступенчатая кампания фишинга и компрометации деловой электронной почты Злоумышленника посередине, нацеленная на энергетический сектор. Злоумышленники использовали службы SharePoint для доставки полезных данных фишинга и поддерживали доступ с помощью манипулированной Многофакторной аутентификации. Кампания включала скомпрометированные электронные письма, которые заманивали пользователей реалистичными URL-адресами SharePoint, что приводило к компрометации учетной записи, несмотря на такие усилия, как сброс пароля и отмена сеанса.
-----

Исследователи Microsoft Defender выявили многоступенчатую кампанию фишинга и компрометации деловой электронной почты (BEC), направленную против Злоумышленника посередине (AiTM), специально предназначенную для различных организаций энергетического сектора. Эта кампания привела к компрометации многочисленных учетных записей пользователей, использующих файлообменные службы Microsoft SharePoint для доставки полезных данных фишинга при одновременном внедрении правил "Входящие" для закрепления и для того, чтобы оставаться незамеченными пользователями. Стратегия атаки вылилась в несколько инцидентов AiTM наряду с последующими действиями BEC, что указывает на скоординированные усилия нескольких организаций.

Кампания была инициирована с помощью фишинг-письма от, по-видимому, доверенной организации, которое, вероятно, было скомпрометировано до атаки. Тактика фишинга включала URL-адрес SharePoint, требующий аутентификации пользователя, сопровождаемый строками темы, которые имитировали законные методы обмена документами SharePoint для повышения аутентичности и обмана пользователей.

Меры по предотвращению компрометации личных данных обычно включают сброс паролей пользователей. Однако в контексте атак AiTM этого недостаточно из-за характера скомпрометированных сеансов входа в систему. Даже при сбросе пароля и отмене сеанса злоумышленники могут поддерживать доступ с помощью методов закрепления, манипулируя Многофакторной аутентификацией (MFA). Например, они могут ввести новую политику MFA, которая позволяет входить в систему с помощью одноразового пароля, отправляемого на их зарегистрированное мобильное устройство. Такая тактика позволяет злоумышленникам сохранять контроль над скомпрометированными учетными записями, несмотря на стандартные меры по исправлению положения.

Учитывая сложность угроз AiTM фишинга, для их обнаружения требуются интегрированные решения, использующие сигналы из различных источников. Microsoft Defender XDR разработан таким образом, чтобы использовать свою междоменную видимость для выявления вредоносного поведения, связанного с атаками AiTM, такими как кража сеансовых файлов cookie и попытки использовать их для дальнейшего несанкционированного доступа.

Для защиты от этих угроз организациям рекомендуется внедрять Политики условного доступа в Microsoft Entra, в частности стратегии доступа, основанные на оценке рисков, которые оценивают попытки входа с помощью сигналов, основанных на идентификации, таких как IP-адрес и статус соответствия устройства. Применение политик для совместимых устройств и доверенных IP-адресов Azure может усилить защиту от кражи учетных данных. Для тех, кто оценивает условный доступ, принятие параметров безопасности по умолчанию может послужить основополагающим шагом на пути к повышению уровня безопасности личных данных. Кроме того, использование сетевой защиты с помощью Microsoft Defender для Endpoint может блокировать подключения к известным вредоносным доменам. Стратегии постоянной оценки доступа, наряду с обучением пользователей проблемам безопасного обмена файлами и рискам, связанным с электронными письмами от надежных поставщиков, также имеют решающее значение для снижения уязвимости к таким изощренным атакам фишинга.

#ParsedReport #CompletenessLow
22-01-2026

Arctic Wolf Observes Malicious Configuration Changes On Fortinet FortiGate Devices via SSO Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/

Report completeness: Low

Victims:
Fortinet fortigate users, Firewall administrators, Network appliance operators

CVEs:
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071, T1078, T1090, T1098, T1190, T1199, T1552, T1562

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были замечены автоматизированные вредоносные действия, нацеленные на устройства Fortinet FortiGate, использующие недавно выявленные уязвимости в функции единого входа (SSO), в частности CVE-2025-59718 и CVE-2025-59719. Злоумышленники произвели несанкционированные изменения в конфигурациях брандмауэра, используя скомпрометированные логины единого входа, отслеживаемые различными хостинг-провайдерами, что указывает на организованные усилия по нарушению сетевой безопасности. Организациям рекомендуется просмотреть свои учетные данные брандмауэра, которые, возможно, были отфильтрованы во время этих атак.
-----

Arctic Wolf сообщила о серии автоматизированных вредоносных действий, нацеленных на устройства Fortinet FortiGate, в частности, связанных с несанкционированными изменениями конфигураций брандмауэра. Эти атаки связаны с ранее выявленными уязвимостями в функции единого входа (SSO) в Fortinet. В декабре Fortinet выпустила рекомендации с подробным описанием двух критических уязвимостей обхода аутентификации, идентифицированных как CVE-2025-59718 и CVE-2025-59719, которые, по-видимому, были использованы при этих вторжениях.

Вредоносные логины единого входа были прослежены до нескольких хостинг-провайдеров, что указывает на скоординированные усилия злоумышленников по нарушению сетевой безопасности. Организациям, обнаружившим какие-либо несанкционированные действия, следует учитывать свои учетные данные брандмауэра, которые могли быть отфильтрованы и скомпрометированы, и незамедлительно сбросить их, чтобы снизить риски.

В свете этих изменений рекомендуется, чтобы доступ к интерфейсам управления сетевыми устройствами, включая брандмауэры и VPN-шлюзы, был ограничен доверенными внутренними пользователями. Эта рекомендация вытекает из наблюдений Arctic Wolf о том, что различные кампании используют интерфейсы управления, что подчеркивает важность строгого контроля доступа как наилучшей практики.

Кроме того, Fortinet предложила обходной путь для организаций, работающих с уязвимостями CVE-2025-59718 и CVE-2025-59719. Это может помочь снизить риск, связанный со злонамеренными входами в систему через единый вход, хотя конкретные сведения об обходном пути не были приведены в обзоре. В целом, организациям, использующим устройства FortiGate, настоятельно рекомендуется усилить меры безопасности против этой возникающей угрозы.

#ParsedReport #CompletenessMedium
22-01-2026

Osiris: New Ransomware, Experienced Attackers?

https://www.security.com/threat-intelligence/new-ransomware-osiris

Report completeness: Medium

Threats:
Osiris_ransomware
Inc_ransomware
Poortry
Rustdesk_tool
Locky
Byovd_technique
Mimikatz_tool
Rclone_tool
Netscan_tool
Netexec_tool
Meshagent_tool
Abyssworker
Medusa_ransomware
Stonestop
Burntcigar

Industry:
Foodtech

Geo:
Asia

IOCs:
File: 17
Hash: 17
Domain: 2

Soft:
hyperv, curl, msexchange

Wallets:
wassabi

Algorithms:
aes-128-ctr, ecc, aes

Win Services:
GxVss, GxBlr, GxCVD, GxCIMgr

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство программ-вымогателей Osiris появилось в ноябре 2025 года и было нацелено на крупного франчайзи общественного питания в Юго-Восточной Азии. Он использует типичные функции программ-вымогателей, такие как остановка службы и нацеленное шифрование файлов, в то же время используя Rclone для эксфильтрации данных в облако Wasabi. Атака демонстрирует связи с Inc ransomware group с помощью общих инструментов, таких как Mimikatz и tactics, что указывает на возможное сотрудничество или эмуляцию методов, ранее использовавшихся в операциях киберпреступников.
-----

Сообщалось о появлении нового семейства программ-вымогателей под названием Osiris, первая заметная атака которого произошла в ноябре 2025 года против крупного франчайзи-оператора общественного питания в Юго-Восточной Азии. Это программное обеспечение-вымогатель демонстрирует несколько знакомых функций, типичных для подобных атак, включая возможность останавливать службы, указывать целевые папки и расширения файлов для шифрования, завершать запущенные процессы, шифровать файлы и отправлять уведомление о выкупе.

Анализ цепочки атак показывает, что предварительные подозрительные действия были замечены до развертывания Ransomware. Osiris. В частности, Rclone использовался для фильтрации конфиденциальных данных в Wasabi bucket, легальный облачный сервис хранения. Эта тактика отражает ту, которую использовала Inc ransomware group во время атаки в октябре 2025 года, предполагая либо прямое подражание тактике, либо потенциальное сотрудничество с участием предыдущих филиалов Inc group. Дополнительное сходство возникает из-за использования инструмента Mimikatz с тем же именем файла, kaz.exe , ранее связанный с операциями Inc ransomware, что указывает на другую связь с деятельностью этой группы.

Тактика и инструменты, принятые при атаке на Osiris, подчеркивают, что акторы, стоящие за ней, кажутся закаленными и опытными, способными применять эффективные методы шифрования. Примечательно, что сочетание использования сервиса хранения Wasabi с версией Mimikatz, связанной с предыдущими инцидентами, повышает вероятность установления отношений с Inc group или ее бывшими членами. Кроме того, использование Poortry, инструмента, также связанного с группой Medusa ransomware, предполагает еще один уровень сложности и потенциальную межгрупповую принадлежность, хотя сама Poortry не ограничивается одной киберпреступной организацией.

Конечное воздействие Osiris на домен программы-вымогателя остается неопределенным, но его оперативная механика и стратегическое использование ранее известных тактик предполагают наличие мощных возможностей и опытного противника, стоящего за его внедрением.