#ParsedReport #CompletenessHigh
21-01-2026

PyPI Package Impersonates SymPy to Deliver Cryptomining Malware

https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware

Report completeness: High

Threats:
Typosquatting_technique
Xmrig_miner

Victims:
Developers, Sympy users

Industry:
Education

TTPs:
Tactics: 1
Technics: 10

IOCs:
IP: 4
File: 13
Url: 4
Hash: 2

Soft:
SymPy, Outlook, Linux

Algorithms:
sha256

Functions:
groebner, roots_cubic

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет "sympy-dev", вредоносный вариант законной библиотеки SymPy на PyPI, иллюстрирует угрозы typosquatting в Цепочке поставок программного обеспечения. Пакет выполняет вредоносный код во время вызовов полиномиальной процедуры, что приводит к загрузке полезной нагрузки второго этапа, содержащей двоичные файлы Linux ELF, связанные с криптоминером XMRig, которые упакованы в UPX для запутывания. В этой атаке используются методы из платформы MITRE ATT&CK, такие как Компрометация цепочки поставок и Несанкционированное использование ресурсов.
-----

Недавнее обнаружение было сосредоточено на вредоносном пакете с именем "sympy-dev", который выдает себя за законный пакет SymPy в индексе пакетов Python (PyPI), который ежемесячно загружается примерно на 85 миллионов. Этот случай иллюстрирует сохраняющуюся угрозу typosquatting в Цепочке поставок программного обеспечения. Разработчики часто полагаются на знакомые имена пакетов при установке с помощью pip, часто упуская из виду детали, которые могут указывать на вредоносный вариант. Небольшая ошибка, такая как неправильный ввод названия пакета или копирование ошибочных записей из файлов требований, может привести к установке вредоносного программного обеспечения.

Вредоносный код в пакете "sympy-dev" запускается при выполнении определенных полиномиальных процедур, что позволяет ему вписаться в обычное использование подлинной библиотеки SymPy, не вызывая подозрений. Это затрудняет обнаружение, поскольку многие среды, использующие SymPy, могут не досконально проверять все возможные пути кода в полиномиальных функциях.

В ходе тестирования, проведенного в контролируемой среде, вредоносный код был выполнен, и было обнаружено, что он загружает полезную нагрузку второго этапа из инфраструктуры злоумышленника. Эта полезная нагрузка состоит из двоичных файлов Linux ELF, демонстрирующих поведение, характерное для криптоминера XMRig, конкретно идентифицируемых по их хэшам SHA-256: 90f9f8842ad1b824384d768a75b548eae57b91b701d830280f6ed3c3ffe3535e и f454a070603cc9822c8c814a8da0f63572b7c9329c2d1339155519fb1885cd59. Более того, эти двоичные файлы упакованы в UPX, что указывает на попытку скрыть их истинную функцию. В то время как основным наблюдаемым действием был криптомайнинг, полезная нагрузка на основе Python действует как загрузчик, способный извлекать и выполнять произвольный код в контексте запущенного процесса Python.

Тактика это нападение выровнять с помощью нескольких методов, перечисленных в рамках Митре АТТ&СК, в том числе компрометация цепочки поставок (T1195.002), выполнение пользователей через вредоносные библиотеки (T1204.005), и несанкционированное использование ресурсов для вычислительных целей (T1496.001), среди других. Это подчеркивает важность бдительности в управлении программное обеспечение и потенциальные риски, связанные с зависимостью от сторонних пакетов, особенно в условиях, когда они сильно используются.

#ParsedReport #CompletenessLow
21-01-2026

Malicious PixelCode Delivery Technique

https://github.com/S3N4T0R-0X0/Malicious-PixelCode/blob/main/README.md

Report completeness: Low

Threats:
Pixelcode_technique
Bear-c2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1071.001, T1105, T1140, T1573.001

IOCs:
File: 2
Path: 1

Algorithms:
aes-cbc, base64

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология доставки вредоносного PixelCode демонстрирует метод, при котором вредоносное ПО кодируется в пиксельных данных мультимедийных файлов, обеспечивая скрытую доставку и уклонение от обнаружения. Конкретная реализация включает в себя полезную нагрузку обратной оболочки Windows на C++, которая поддерживает соединение со своим сервером управления с использованием шифрования AES-CBC. Чтобы внедрить полезную нагрузку, инструмент Python преобразует исполняемый файл в пиксельный код, который затем извлекается из видео MP4 с помощью stager на Python, демонстрируя передовые методы обфускации для доставки вредоносного ПО.
-----

Технология доставки вредоносного PixelCode иллюстрирует инновационный метод кодирования исполняемых файлов в пиксельные данные, встроенные в изображения или видео. Этот подход в первую очередь направлен на демонстрацию скрытой доставки данных и тактики запутывания, которые могут быть незаконно присвоены злонамеренными акторами. Преобразуя вредоносное ПО в визуальный формат, злоумышленники могут маскировать вредоносные двоичные файлы или скрипты под безобидный мультимедийный контент, тем самым совершенствуя свои стратегии уклонения от механизмов обнаружения.

Конкретный пример этого метода включает скрытую полезную нагрузку обратной оболочки Windows, реализованную на C++. Эта полезная нагрузка предназначена для поддержания постоянного соединения с сервером управления посредством шифрования AES-CBC, использующего жестко закодированный статический ключ в сочетании со случайными векторами инициализации для безопасной связи. Он идентифицирует себя с помощью уникального идентификатора, выполняет команды с помощью cmd.exe или PowerShell, поддерживает навигацию по каталогам и потоковую передачу выходных данных команд в режиме реального времени. Важно отметить, что он работает без отображения окна консоли и способен автоматически подключаться повторно, если соединение нарушено, эффективно функционируя как троян удаленного доступа, предназначенный для контроля фазы после эксплуатации.

Для облегчения встраивания полезной нагрузки в пикселях, скомпилированный исполняемый файл обрабатывается с помощью Python-средство на основе специально созданных для преобразования двоичных данных в так называемой код пикселя. Это преобразование результатов в визуальное представление, часто в виде файла МР4, в котором двоичные данные переплетается с пиксельными значениями по видеокадрам.

Поскольку оригинал c++ полезной нагрузки не хватает необходимой мультимедийной библиотеки для декодирования кода пикселя в исполняемой форме, а Python стагер используется для этой цели. Этот Python на Python компилируется в исполняемый файл, а затем base64-кодировке, что позволяет ему быть прямо включены в основной код C++ погрузчик наряду URL-адрес с YouTube, который служит средством для поиска информации.

Как только видео в формате MP4 загружено, stager на Python обрабатывает его кадр за кадром, извлекая закодированные пиксельные данные и восстанавливая исходный исполняемый файл в памяти. Эта операция демонстрирует передовую технику обфускации и доставки вредоносного ПО, предоставляя злоумышленникам новые возможности для скрытого выполнения вредоносного кода.

#ParsedReport #CompletenessLow
22-01-2026

Resurgence of a multistage AiTM phishing and BEC campaign abusing SharePoint

https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/

Report completeness: Low

Threats:
Aitm_technique
Bec_technique
Credential_harvesting_technique

Victims:
Energy sector organizations

Industry:
Energy, Telco

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1114.003, T1199, T1550.004, T1556.006, T1566.002

IOCs:
IP: 2

Soft:
Microsoft Defender, Microsoft SharePoint, Microsoft Entra, Microsoft Edge, Office 365, Microsoft Defender for Endpoint

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена многоступенчатая кампания фишинга и компрометации деловой электронной почты Злоумышленника посередине, нацеленная на энергетический сектор. Злоумышленники использовали службы SharePoint для доставки полезных данных фишинга и поддерживали доступ с помощью манипулированной Многофакторной аутентификации. Кампания включала скомпрометированные электронные письма, которые заманивали пользователей реалистичными URL-адресами SharePoint, что приводило к компрометации учетной записи, несмотря на такие усилия, как сброс пароля и отмена сеанса.
-----

Исследователи Microsoft Defender выявили многоступенчатую кампанию фишинга и компрометации деловой электронной почты (BEC), направленную против Злоумышленника посередине (AiTM), специально предназначенную для различных организаций энергетического сектора. Эта кампания привела к компрометации многочисленных учетных записей пользователей, использующих файлообменные службы Microsoft SharePoint для доставки полезных данных фишинга при одновременном внедрении правил "Входящие" для закрепления и для того, чтобы оставаться незамеченными пользователями. Стратегия атаки вылилась в несколько инцидентов AiTM наряду с последующими действиями BEC, что указывает на скоординированные усилия нескольких организаций.

Кампания была инициирована с помощью фишинг-письма от, по-видимому, доверенной организации, которое, вероятно, было скомпрометировано до атаки. Тактика фишинга включала URL-адрес SharePoint, требующий аутентификации пользователя, сопровождаемый строками темы, которые имитировали законные методы обмена документами SharePoint для повышения аутентичности и обмана пользователей.

Меры по предотвращению компрометации личных данных обычно включают сброс паролей пользователей. Однако в контексте атак AiTM этого недостаточно из-за характера скомпрометированных сеансов входа в систему. Даже при сбросе пароля и отмене сеанса злоумышленники могут поддерживать доступ с помощью методов закрепления, манипулируя Многофакторной аутентификацией (MFA). Например, они могут ввести новую политику MFA, которая позволяет входить в систему с помощью одноразового пароля, отправляемого на их зарегистрированное мобильное устройство. Такая тактика позволяет злоумышленникам сохранять контроль над скомпрометированными учетными записями, несмотря на стандартные меры по исправлению положения.

Учитывая сложность угроз AiTM фишинга, для их обнаружения требуются интегрированные решения, использующие сигналы из различных источников. Microsoft Defender XDR разработан таким образом, чтобы использовать свою междоменную видимость для выявления вредоносного поведения, связанного с атаками AiTM, такими как кража сеансовых файлов cookie и попытки использовать их для дальнейшего несанкционированного доступа.

Для защиты от этих угроз организациям рекомендуется внедрять Политики условного доступа в Microsoft Entra, в частности стратегии доступа, основанные на оценке рисков, которые оценивают попытки входа с помощью сигналов, основанных на идентификации, таких как IP-адрес и статус соответствия устройства. Применение политик для совместимых устройств и доверенных IP-адресов Azure может усилить защиту от кражи учетных данных. Для тех, кто оценивает условный доступ, принятие параметров безопасности по умолчанию может послужить основополагающим шагом на пути к повышению уровня безопасности личных данных. Кроме того, использование сетевой защиты с помощью Microsoft Defender для Endpoint может блокировать подключения к известным вредоносным доменам. Стратегии постоянной оценки доступа, наряду с обучением пользователей проблемам безопасного обмена файлами и рискам, связанным с электронными письмами от надежных поставщиков, также имеют решающее значение для снижения уязвимости к таким изощренным атакам фишинга.

#ParsedReport #CompletenessLow
22-01-2026

Arctic Wolf Observes Malicious Configuration Changes On Fortinet FortiGate Devices via SSO Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/

Report completeness: Low

Victims:
Fortinet fortigate users, Firewall administrators, Network appliance operators

CVEs:
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071, T1078, T1090, T1098, T1190, T1199, T1552, T1562

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были замечены автоматизированные вредоносные действия, нацеленные на устройства Fortinet FortiGate, использующие недавно выявленные уязвимости в функции единого входа (SSO), в частности CVE-2025-59718 и CVE-2025-59719. Злоумышленники произвели несанкционированные изменения в конфигурациях брандмауэра, используя скомпрометированные логины единого входа, отслеживаемые различными хостинг-провайдерами, что указывает на организованные усилия по нарушению сетевой безопасности. Организациям рекомендуется просмотреть свои учетные данные брандмауэра, которые, возможно, были отфильтрованы во время этих атак.
-----

Arctic Wolf сообщила о серии автоматизированных вредоносных действий, нацеленных на устройства Fortinet FortiGate, в частности, связанных с несанкционированными изменениями конфигураций брандмауэра. Эти атаки связаны с ранее выявленными уязвимостями в функции единого входа (SSO) в Fortinet. В декабре Fortinet выпустила рекомендации с подробным описанием двух критических уязвимостей обхода аутентификации, идентифицированных как CVE-2025-59718 и CVE-2025-59719, которые, по-видимому, были использованы при этих вторжениях.

Вредоносные логины единого входа были прослежены до нескольких хостинг-провайдеров, что указывает на скоординированные усилия злоумышленников по нарушению сетевой безопасности. Организациям, обнаружившим какие-либо несанкционированные действия, следует учитывать свои учетные данные брандмауэра, которые могли быть отфильтрованы и скомпрометированы, и незамедлительно сбросить их, чтобы снизить риски.

В свете этих изменений рекомендуется, чтобы доступ к интерфейсам управления сетевыми устройствами, включая брандмауэры и VPN-шлюзы, был ограничен доверенными внутренними пользователями. Эта рекомендация вытекает из наблюдений Arctic Wolf о том, что различные кампании используют интерфейсы управления, что подчеркивает важность строгого контроля доступа как наилучшей практики.

Кроме того, Fortinet предложила обходной путь для организаций, работающих с уязвимостями CVE-2025-59718 и CVE-2025-59719. Это может помочь снизить риск, связанный со злонамеренными входами в систему через единый вход, хотя конкретные сведения об обходном пути не были приведены в обзоре. В целом, организациям, использующим устройства FortiGate, настоятельно рекомендуется усилить меры безопасности против этой возникающей угрозы.

#ParsedReport #CompletenessMedium
22-01-2026

Osiris: New Ransomware, Experienced Attackers?

https://www.security.com/threat-intelligence/new-ransomware-osiris

Report completeness: Medium

Threats:
Osiris_ransomware
Inc_ransomware
Poortry
Rustdesk_tool
Locky
Byovd_technique
Mimikatz_tool
Rclone_tool
Netscan_tool
Netexec_tool
Meshagent_tool
Abyssworker
Medusa_ransomware
Stonestop
Burntcigar

Industry:
Foodtech

Geo:
Asia

IOCs:
File: 17
Hash: 17
Domain: 2

Soft:
hyperv, curl, msexchange

Wallets:
wassabi

Algorithms:
aes-128-ctr, ecc, aes

Win Services:
GxVss, GxBlr, GxCVD, GxCIMgr

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство программ-вымогателей Osiris появилось в ноябре 2025 года и было нацелено на крупного франчайзи общественного питания в Юго-Восточной Азии. Он использует типичные функции программ-вымогателей, такие как остановка службы и нацеленное шифрование файлов, в то же время используя Rclone для эксфильтрации данных в облако Wasabi. Атака демонстрирует связи с Inc ransomware group с помощью общих инструментов, таких как Mimikatz и tactics, что указывает на возможное сотрудничество или эмуляцию методов, ранее использовавшихся в операциях киберпреступников.
-----

Сообщалось о появлении нового семейства программ-вымогателей под названием Osiris, первая заметная атака которого произошла в ноябре 2025 года против крупного франчайзи-оператора общественного питания в Юго-Восточной Азии. Это программное обеспечение-вымогатель демонстрирует несколько знакомых функций, типичных для подобных атак, включая возможность останавливать службы, указывать целевые папки и расширения файлов для шифрования, завершать запущенные процессы, шифровать файлы и отправлять уведомление о выкупе.

Анализ цепочки атак показывает, что предварительные подозрительные действия были замечены до развертывания Ransomware. Osiris. В частности, Rclone использовался для фильтрации конфиденциальных данных в Wasabi bucket, легальный облачный сервис хранения. Эта тактика отражает ту, которую использовала Inc ransomware group во время атаки в октябре 2025 года, предполагая либо прямое подражание тактике, либо потенциальное сотрудничество с участием предыдущих филиалов Inc group. Дополнительное сходство возникает из-за использования инструмента Mimikatz с тем же именем файла, kaz.exe , ранее связанный с операциями Inc ransomware, что указывает на другую связь с деятельностью этой группы.

Тактика и инструменты, принятые при атаке на Osiris, подчеркивают, что акторы, стоящие за ней, кажутся закаленными и опытными, способными применять эффективные методы шифрования. Примечательно, что сочетание использования сервиса хранения Wasabi с версией Mimikatz, связанной с предыдущими инцидентами, повышает вероятность установления отношений с Inc group или ее бывшими членами. Кроме того, использование Poortry, инструмента, также связанного с группой Medusa ransomware, предполагает еще один уровень сложности и потенциальную межгрупповую принадлежность, хотя сама Poortry не ограничивается одной киберпреступной организацией.

Конечное воздействие Osiris на домен программы-вымогателя остается неопределенным, но его оперативная механика и стратегическое использование ранее известных тактик предполагают наличие мощных возможностей и опытного противника, стоящего за его внедрением.

#ParsedReport #CompletenessMedium
22-01-2026

KONNI Adopts AI to Generate PowerShell Backdoors

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: financially_motivated)

Threats:
Spear-phishing_technique
Uac_bypass_technique
Procmon_tool
Fodhelper_technique
Simplehelp_tool

Victims:
Software developers, Engineering teams, Blockchain sector

Industry:
Education, Financial, Ngo, Government

Geo:
Apac, North korean, Australia, India, North korea, Korea, Japan, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1059.005, T1102, T1105, T1202, T1204.001, T1204.002, have more...

IOCs:
File: 8
Registry: 4
Hash: 31
Domain: 6
IP: 5

Soft:
Windows Defender

Algorithms:
zip, xor, sha256, aes

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, приписываемая северокорейскому злоумышленнику KONNI, теперь нацелена на разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейну в Японии, Австралии и Индии. Заражение начинается с размещенной в Discord ссылки, ведущей к ZIP-архиву, содержащему загрузчик PowerShell, который запускает бэкдор, использующий методы антианализа и требующий взаимодействия с пользователем. Кампания демонстрирует преемственность тактики KONNI, использующей оружейные файлы LNK и использующие вредоносные скрипты, сгенерированные искусственным интеллектом, для атак.
-----

Check Point Research (CPR) в настоящее время отслеживает кампанию фишинга, приписываемую KONNI, северокорейскому злоумышленнику, который в прошлом нацеливался на организации в Южной Корее. Однако эта недавняя кампания выходит за рамки обычной географической направленности KONNI's и включает потенциальные цели в Японии, Австралии и Индии. Основная аудитория этой кампании включает разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейн-технологиям, что указывает на изменение целевой стратегии группы.

Процесс заражения начинается со ссылки, размещенной на Discord, которая ведет к ZIP-архиву, содержащему PDF-файл lure и файл ярлыка Windows (LNK). Файл LNK запускает загрузчик PowerShell, который далее извлекает дополнительный файл DOCX и архив CAB, оба в кодировке XOR. Примечательно, что бэкдор PowerShell, используемый в этой кампании, как полагают, создан искусственным интеллектом, а не людьми-операторами, что демонстрирует появляющуюся тенденцию использования искусственного интеллекта в киберпреступной деятельности.

После выполнения бэкдор PowerShell реализует несколько методов антианализа и Обхода песочницы. Он проверяет спецификации Аппаратного обеспечения хоста, сканирует инструменты мониторинга, такие как IDA и Wireshark, и требует взаимодействия с пользователем, такого как активность мыши и определенное количество щелчков, прежде чем приступить к своим вредоносным операциям. Если эти проверки завершаются неудачей, бэкдор немедленно завершает работу.

Более ранние свидетельства этой кампании, прослеженные до образцов за октябрь 2025 года, указывают на ранее использовавшуюся цепочку заражения, которая начинается с запутанного сценария PowerShell, который извлекает дополнительные компоненты с сервера, контролируемого злоумышленником. Это включает в себя различные скрипты и исполняемые файлы, предназначенные для таких задач, как UAC bypass и предоставление удаленного доступа с помощью инструмента под названием Simple Help.

Тактики, техники и процедуры (ТПД), занятых в этой кампании тесно увязывать с теми, которые исторически связаны с KONNI. Использование оружейного ярлыков LNK и модульный, многоступенчатый цепочку выполнения отражает konni's рамок Конни это. Эта кампания также перерабатывает имена скриптов и шаблонов выполнение знакомые по прошлым konni Конни, усиливая связь для текущих инструментов группы.

#ParsedReport #CompletenessLow
22-01-2026

Dark Web Profile: Anubis Ransomware

https://socradar.io/blog/dark-web-profile-anubis-ransomware/

Report completeness: Low

Actors/Campaigns:
Carbanak

Threats:
Anubis
Sphinx
Anubisbackdoor
Spear-phishing_technique
Shadow_copies_delete_technique

Industry:
Financial, Healthcare

Geo:
Russian, America, Apac

TTPs:
Tactics: 5
Technics: 2

Soft:
Android