#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были замечены автоматизированные вредоносные действия, нацеленные на устройства Fortinet FortiGate, использующие недавно выявленные уязвимости в функции единого входа (SSO), в частности CVE-2025-59718 и CVE-2025-59719. Злоумышленники произвели несанкционированные изменения в конфигурациях брандмауэра, используя скомпрометированные логины единого входа, отслеживаемые различными хостинг-провайдерами, что указывает на организованные усилия по нарушению сетевой безопасности. Организациям рекомендуется просмотреть свои учетные данные брандмауэра, которые, возможно, были отфильтрованы во время этих атак.
-----

Arctic Wolf сообщила о серии автоматизированных вредоносных действий, нацеленных на устройства Fortinet FortiGate, в частности, связанных с несанкционированными изменениями конфигураций брандмауэра. Эти атаки связаны с ранее выявленными уязвимостями в функции единого входа (SSO) в Fortinet. В декабре Fortinet выпустила рекомендации с подробным описанием двух критических уязвимостей обхода аутентификации, идентифицированных как CVE-2025-59718 и CVE-2025-59719, которые, по-видимому, были использованы при этих вторжениях.

Вредоносные логины единого входа были прослежены до нескольких хостинг-провайдеров, что указывает на скоординированные усилия злоумышленников по нарушению сетевой безопасности. Организациям, обнаружившим какие-либо несанкционированные действия, следует учитывать свои учетные данные брандмауэра, которые могли быть отфильтрованы и скомпрометированы, и незамедлительно сбросить их, чтобы снизить риски.

В свете этих изменений рекомендуется, чтобы доступ к интерфейсам управления сетевыми устройствами, включая брандмауэры и VPN-шлюзы, был ограничен доверенными внутренними пользователями. Эта рекомендация вытекает из наблюдений Arctic Wolf о том, что различные кампании используют интерфейсы управления, что подчеркивает важность строгого контроля доступа как наилучшей практики.

Кроме того, Fortinet предложила обходной путь для организаций, работающих с уязвимостями CVE-2025-59718 и CVE-2025-59719. Это может помочь снизить риск, связанный со злонамеренными входами в систему через единый вход, хотя конкретные сведения об обходном пути не были приведены в обзоре. В целом, организациям, использующим устройства FortiGate, настоятельно рекомендуется усилить меры безопасности против этой возникающей угрозы.

#ParsedReport #CompletenessMedium
22-01-2026

Osiris: New Ransomware, Experienced Attackers?

https://www.security.com/threat-intelligence/new-ransomware-osiris

Report completeness: Medium

Threats:
Osiris_ransomware
Inc_ransomware
Poortry
Rustdesk_tool
Locky
Byovd_technique
Mimikatz_tool
Rclone_tool
Netscan_tool
Netexec_tool
Meshagent_tool
Abyssworker
Medusa_ransomware
Stonestop
Burntcigar

Industry:
Foodtech

Geo:
Asia

IOCs:
File: 17
Hash: 17
Domain: 2

Soft:
hyperv, curl, msexchange

Wallets:
wassabi

Algorithms:
aes-128-ctr, ecc, aes

Win Services:
GxVss, GxBlr, GxCVD, GxCIMgr

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство программ-вымогателей Osiris появилось в ноябре 2025 года и было нацелено на крупного франчайзи общественного питания в Юго-Восточной Азии. Он использует типичные функции программ-вымогателей, такие как остановка службы и нацеленное шифрование файлов, в то же время используя Rclone для эксфильтрации данных в облако Wasabi. Атака демонстрирует связи с Inc ransomware group с помощью общих инструментов, таких как Mimikatz и tactics, что указывает на возможное сотрудничество или эмуляцию методов, ранее использовавшихся в операциях киберпреступников.
-----

Сообщалось о появлении нового семейства программ-вымогателей под названием Osiris, первая заметная атака которого произошла в ноябре 2025 года против крупного франчайзи-оператора общественного питания в Юго-Восточной Азии. Это программное обеспечение-вымогатель демонстрирует несколько знакомых функций, типичных для подобных атак, включая возможность останавливать службы, указывать целевые папки и расширения файлов для шифрования, завершать запущенные процессы, шифровать файлы и отправлять уведомление о выкупе.

Анализ цепочки атак показывает, что предварительные подозрительные действия были замечены до развертывания Ransomware. Osiris. В частности, Rclone использовался для фильтрации конфиденциальных данных в Wasabi bucket, легальный облачный сервис хранения. Эта тактика отражает ту, которую использовала Inc ransomware group во время атаки в октябре 2025 года, предполагая либо прямое подражание тактике, либо потенциальное сотрудничество с участием предыдущих филиалов Inc group. Дополнительное сходство возникает из-за использования инструмента Mimikatz с тем же именем файла, kaz.exe , ранее связанный с операциями Inc ransomware, что указывает на другую связь с деятельностью этой группы.

Тактика и инструменты, принятые при атаке на Osiris, подчеркивают, что акторы, стоящие за ней, кажутся закаленными и опытными, способными применять эффективные методы шифрования. Примечательно, что сочетание использования сервиса хранения Wasabi с версией Mimikatz, связанной с предыдущими инцидентами, повышает вероятность установления отношений с Inc group или ее бывшими членами. Кроме того, использование Poortry, инструмента, также связанного с группой Medusa ransomware, предполагает еще один уровень сложности и потенциальную межгрупповую принадлежность, хотя сама Poortry не ограничивается одной киберпреступной организацией.

Конечное воздействие Osiris на домен программы-вымогателя остается неопределенным, но его оперативная механика и стратегическое использование ранее известных тактик предполагают наличие мощных возможностей и опытного противника, стоящего за его внедрением.

#ParsedReport #CompletenessMedium
22-01-2026

KONNI Adopts AI to Generate PowerShell Backdoors

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: financially_motivated)

Threats:
Spear-phishing_technique
Uac_bypass_technique
Procmon_tool
Fodhelper_technique
Simplehelp_tool

Victims:
Software developers, Engineering teams, Blockchain sector

Industry:
Education, Financial, Ngo, Government

Geo:
Apac, North korean, Australia, India, North korea, Korea, Japan, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1059.005, T1102, T1105, T1202, T1204.001, T1204.002, have more...

IOCs:
File: 8
Registry: 4
Hash: 31
Domain: 6
IP: 5

Soft:
Windows Defender

Algorithms:
zip, xor, sha256, aes

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, приписываемая северокорейскому злоумышленнику KONNI, теперь нацелена на разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейну в Японии, Австралии и Индии. Заражение начинается с размещенной в Discord ссылки, ведущей к ZIP-архиву, содержащему загрузчик PowerShell, который запускает бэкдор, использующий методы антианализа и требующий взаимодействия с пользователем. Кампания демонстрирует преемственность тактики KONNI, использующей оружейные файлы LNK и использующие вредоносные скрипты, сгенерированные искусственным интеллектом, для атак.
-----

Check Point Research (CPR) в настоящее время отслеживает кампанию фишинга, приписываемую KONNI, северокорейскому злоумышленнику, который в прошлом нацеливался на организации в Южной Корее. Однако эта недавняя кампания выходит за рамки обычной географической направленности KONNI's и включает потенциальные цели в Японии, Австралии и Индии. Основная аудитория этой кампании включает разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейн-технологиям, что указывает на изменение целевой стратегии группы.

Процесс заражения начинается со ссылки, размещенной на Discord, которая ведет к ZIP-архиву, содержащему PDF-файл lure и файл ярлыка Windows (LNK). Файл LNK запускает загрузчик PowerShell, который далее извлекает дополнительный файл DOCX и архив CAB, оба в кодировке XOR. Примечательно, что бэкдор PowerShell, используемый в этой кампании, как полагают, создан искусственным интеллектом, а не людьми-операторами, что демонстрирует появляющуюся тенденцию использования искусственного интеллекта в киберпреступной деятельности.

После выполнения бэкдор PowerShell реализует несколько методов антианализа и Обхода песочницы. Он проверяет спецификации Аппаратного обеспечения хоста, сканирует инструменты мониторинга, такие как IDA и Wireshark, и требует взаимодействия с пользователем, такого как активность мыши и определенное количество щелчков, прежде чем приступить к своим вредоносным операциям. Если эти проверки завершаются неудачей, бэкдор немедленно завершает работу.

Более ранние свидетельства этой кампании, прослеженные до образцов за октябрь 2025 года, указывают на ранее использовавшуюся цепочку заражения, которая начинается с запутанного сценария PowerShell, который извлекает дополнительные компоненты с сервера, контролируемого злоумышленником. Это включает в себя различные скрипты и исполняемые файлы, предназначенные для таких задач, как UAC bypass и предоставление удаленного доступа с помощью инструмента под названием Simple Help.

Тактики, техники и процедуры (ТПД), занятых в этой кампании тесно увязывать с теми, которые исторически связаны с KONNI. Использование оружейного ярлыков LNK и модульный, многоступенчатый цепочку выполнения отражает konni's рамок Конни это. Эта кампания также перерабатывает имена скриптов и шаблонов выполнение знакомые по прошлым konni Конни, усиливая связь для текущих инструментов группы.

#ParsedReport #CompletenessLow
22-01-2026

Dark Web Profile: Anubis Ransomware

https://socradar.io/blog/dark-web-profile-anubis-ransomware/

Report completeness: Low

Actors/Campaigns:
Carbanak

Threats:
Anubis
Sphinx
Anubisbackdoor
Spear-phishing_technique
Shadow_copies_delete_technique

Industry:
Financial, Healthcare

Geo:
Russian, America, Apac

TTPs:
Tactics: 5
Technics: 2

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Anubis, также известная как Sphinx, работает как программа-вымогатель как услуга (RaaS) с партнерской моделью, в которой упор делается на ручное выполнение и нацеленные вторжения, а не на неизбирательные атаки. Филиалы обычно получают доступ с помощью Целевого фишинга и выполняют полезную нагрузку после разведки, при этом Anubis использует сложные методы повышения привилегий и завершения процесса для облегчения шифрования, в котором используется гибридная схема криптографии. Отличительной особенностью является его дополнительный режим очистки, который приводит к необратимой потере данных, усложняя усилия по восстановлению для жертв.
-----

Программа-вымогатель Anubis, также известная как Sphinx, представляет собой группу программ-вымогателей как услуга (RaaS), которая появилась в конце 2024 года. Он в основном работает на русскоязычных форумах и представляет собой ребрендинг более ранней Ransomware. Sphinx - программы-вымогателя.inx Anubis использует партнерскую модель, в которой партнеры выполняют первоначальные компромиссы, в то время как группа предоставляет полезную нагрузку и поддержку программ-вымогателей. Программа-вымогатель запускается вручную операторами-людьми, уделяя особое внимание целям с высокой степенью воздействия, а не неизбирательным атакам. Аффилированные лица обычно получают доступ с помощью методов Целевого фишинга, используя вредоносные документы или исполняемые файлы, требующие взаимодействия с пользователем.

Anubis проверяет наличие административных привилегий при получении доступа и может попытаться повысить разрешения до системного уровня с помощью манипуляций с токенами. Он предназначен для того, чтобы избежать обнаружения путем нацеливания и завершения процессов, связанных с базами данных, решениями для резервного копирования и программным обеспечением безопасности, во время шифрования. При шифровании используется гибридная криптографическая схема, основанная на интегрированной схеме шифрования с эллиптической кривой (ECIES), объединяющая как симметричное, так и асимметричное шифрование. Дополнительный режим очистки позволяет операторам перезаписывать файлы, что усложняет процесс восстановления данных. Эксфильтрация данных обычно происходит перед шифрованием, при этом украденная информация используется для вымогательства через контролируемые Anubis сайты утечки Tor. Для смягчения последствий организациям следует сосредоточиться на усилении мер, мониторинге раннего воздействия, управлении исправлениями и осведомленности о меняющейся тактике Anubis's.

#ParsedReport #CompletenessMedium
22-01-2026

Darktrace Identifies Campaign Targeting South Korea Leveraging VS Code for Remote Access

https://www.darktrace.com/blog/darktrace-identifies-campaign-targeting-south-korea-leveraging-vs-code-for-remote-access

Report completeness: Medium

Threats:
Spear-phishing_technique

Victims:
Government sector, Software developers using visual studio code, South korea users

Industry:
Government

Geo:
Korea, Chinese, Asia, Korean, Dprk

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 2
Command: 1
IP: 1
Hash: 1

Soft:
Visual Studio Code, VSCode

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Нацеленная киберкампания, приписываемая северокорейским злоумышленникам, сосредоточена на отдельных лицах в Южной Корее, использующих скрипты JSE и поддельные правительственные документы в качестве приманки. В атаке используется JSE-файл, Маскировка которого под документ текстового процессора Hangul, распространяемый с помощью Целевого фишинга по электронной почте, что позволяет развернуть туннель кода Visual Studio для удаленного доступа. Кампания проводится в соответствии с типичной тактикой КНДР, включая Имперсонацию официальных организаций и усилия по установлению постоянного доступа к компьютерам жертв.
-----

Недавний анализ выявил нацеленную киберкампанию, связанную с деятельностью Корейской Народно-Демократической Республики (КНДР), с акцентом на отдельных лиц в Южной Корее. Злоумышленники используют скрипты с кодировкой Javascript (JSE) и документы правительственной тематики в качестве приманки, чтобы облегчить развертывание туннеля Visual Studio Code (VS Code), устанавливающего удаленный доступ к компьютерам-жертвам.

Вредоносный компонент в походе файла JSE замаскированный процессор хангыль документ Word (HWPX). Этот файл находится, скорее всего, распространяется через целевой фишинг-писем, направленных на конкретные цели. После выполнения, файл JSE, с помощью сервера сценариев Windows, разбирает несколько кодировке base64 элементов для выполнения своих функций. Обманчивое документ HWPX желает быть связано с отбора абитуриентов в магистратуру набор для 2026, имитирующих официальные сообщения Министерства по управлению персоналом, легитимный государственный орган в Южной Корее. Метаданные эти пункты документы на внесение изменений в подлинный содержание правительства, предполагающая меры, направленные на повышение авторитета фишинг попытку.

Эта кампания демонстрирует классическую тактику и методы, связанные с кибероперациями КНДР, в частности, использование местных форматов документов, Имперсонацию правительственных учреждений и намерение установить постоянный удаленный доступ. Хотя для окончательной атрибуции требуются дополнительные доказательства, соответствие известной тактике КНДР повышает уверенность в приписывании этой деятельности спонсируемым государством злоумышленникам из Северной Кореи.

#ParsedReport #CompletenessLow
22-01-2026

ClearFake gets more evasive with new living off the land (LOTL) techniques

https://expel.com/blog/clearfake-new-lotl-techniques/

Report completeness: Low

Threats:
Clearfake
Lolbin_technique
Clickfix_technique
Etherhiding_technique

Victims:
Website visitors, Websites

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1102.003, T1105, T1189, T1190, T1204.001, T1204.002, T1218.005, have more...

IOCs:
Coin: 4
File: 8
Command: 2
Url: 1
Path: 1

Algorithms:
base64

Functions:
atob, eval, set, get, GetSmartContractData, fetch, RPC, load_, Get-Alias, Get-Command, have more...

Languages:
powershell, javascript, python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClearFake - это Вредоносная Кампания, нацеленная на скомпрометированные веб-сайты, использующая поддельные вызовы CAPTCHA для распространения вредоносного программного обеспечения. В нем используются передовые методы уклонения, включая тактику "Living Off the Land" и прокси-выполнение команд PowerShell, что делает обнаружение более сложным. Кампания внедряет сложный JavaScript в кодировке Base64 на веб-страницы и использует законный CDN, jsDelivr, для распространения кода, что усложняет меры безопасности.
-----

ClearFake - это Вредоносная Кампания, которая использует скомпрометированные веб-сайты путем отображения поддельных вызовов CAPTCHA, предназначенных для того, чтобы обманом заставить посетителей загрузить вредоносное программное обеспечение. Эта кампания недавно усовершенствовала свою тактику уклонения, используя методы "Living Off theLand" (LOTL). Злоумышленники теперь используют прокси-сервер, позволяющий им запускать команды PowerShell с помощью встроенной функции Windows, тем самым снижая эффективность решений безопасности, которые зависят от мониторинга вредоносных доменов или IP-адресов. Кроме того, кампания перешла к использованию хорошо известной сети доставки контента (CDN) для распространения своего вредоносного кода, что усложняет обнаружение с помощью обычных мер безопасности.

Основная операция ClearFake включает в себя манипулирование веб-серверами для внедрения вредоносного JavaScript на страницы. Внедренный код уникально сложен, он встраивает JavaScript непосредственно в исходный код и кодирует его в Base64. Этот метод не только скрывает вредоносную функциональность, но и позволяет беспрепятственно заражать без перенаправления на внешний URL-адрес. Примечательно, что злоумышленники также интегрировали смарт-контракты в блокчейн для хранения и извлечения JavaScript в кодировке Base64, используя механизмы, обычно используемые для децентрализованных технологий.

Более того, ClearFake внедрил новую технологию LOTL, используя окно командной строки Run для более незаметного выполнения своей полезной нагрузки. Изначально зависящий от mshta.exe , кампания перешла к использованию структуры, которая облегчает ввод команд, избегая традиционных систем обнаружения конечных точек и реагирования (EDR), которые отслеживают использование PowerShell. Команда намеренно разработана таким образом, чтобы обойти проверку средствами безопасности, которые обычно анализируют аргументы командной строки на наличие вредоносного содержимого.

Дополнительным способом уклонения от ответственности является использование в кампании законного CDN jsDelivr для размещения полезной информации на JavaScript. Этот выбор усложняет работу по обнаружению, поскольку CDN широко используется для размещения надежных библиотек JavaScript, что затрудняет организациям блокирование трафика без нарушения работы законных служб.

С точки зрения стратегий смягчения последствий, компании, не работающие с блокчейн-технологиями, могут рассмотреть возможность блокировки определенных конечных точек RPC, используемых для извлечения исходного загрузчика, эффективно прерывая связь с блокчейн-сетью, используемой злоумышленниками. Хотя ограничение доступа к PowerShell для несистемных пользователей может усилить защиту от таких угроз, практическая реализация остается сложной задачей из-за необходимости использования PowerShell в различных приложениях. Эти эволюционирующие методы подчеркивают сложность и адаптивность кампании ClearFake, подчеркивая необходимость постоянного обновления методов и инструментов кибербезопасности для борьбы с такими продвинутыми угрозами.

#ParsedReport #CompletenessHigh
22-01-2026

Malware MoonPeak Executed via LNK Files

https://sect.iij.ad.jp/blog/2026/01/dprk-moonpeak-executed-via-malicious-lnk-file/

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Moonpeak
Xenorat
Confuserex_tool

Victims:
Investors

Industry:
Government

Geo:
North korean, Korea, Japan, Korean, Dprk, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.001, T1105, T1140, T1204.002, T1583.006, T1584.006

IOCs:
File: 46
Url: 4
IP: 2
Hash: 3
Domain: 1

Soft:
WinDump, gmail, Twitter

Algorithms:
xor, aes, sha256, gzip

Win API:
decompress

Languages:
powershell, javascript

Links:
have more...
https://github.com/ViRb3/de4dot-cex

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года вредоносный файл LNK был использован для развертывания вредоносного ПО MoonPeak, варианта XenoRAT, приписываемого северокорейскому злоумышленнику, нацеленному на южнокорейских инвесторов. Атака включала в себя PDF-приманку с кодировкой XOR и скрытый скрипт PowerShell, который извлекал дополнительный вредоносный контент из ныне удаленного репозитория GitHub. MoonPeak, доставляемый в виде Stella.exe , использовал ConfuserEx для обфускации, усложнив реверс-инжиниринг и подчеркнув продолжающееся использование GitHub злоумышленниками для кампаний фишинга.
-----

В январе 2026 года IIJ сообщил об атаке с помощью вредоносного файла LNK, связанного с вредоносным ПО MoonPeak, которое является вариантом XenoRAT, используемым предполагаемым северокорейским злоумышленником. Этот инцидент знаменует собой первое наблюдаемое внедрение MoonPeak в Интернете, и атака, по-видимому, нацелена на южнокорейских инвесторов с целью получения прибыли в иностранной валюте.

Процесс заражения инициировался с помощью файла LNK, предназначенного для открытия встроенного файла-приманки PDF в кодировке XOR при выполнении. Одновременно был выполнен скрытый скрипт PowerShell, который затем загрузил другой скрипт с именем viewpoi.txt из репозитория GitHub. Это хранилище, содержащее вредоносный контент, с тех пор было закрыто по состоянию на 14 января 2026 года.

Кульминацией второго этапа стало внедрение собственно вредоносного ПО MoonPeak, упакованного как Stella.exe . Вредоносное ПО было запутано с помощью ConfuserEx, метода, который усложняет работу по обратному проектированию. При анализе отмечается, что такие инструменты, как dnSpy и dotPeek, обычно используются для .Анализ сетевой сборки может работать неэффективно из-за запутывания, что приводит к неправильным выводам или неудачному анализу.

Исторически сложилось так, что использование репозиториев, размещенных на GitHub, для распространения вредоносного ПО было распространенным явлением среди злоумышленников, и кампания MoonPeak подтверждает этот подход. Анализ привлекает внимание к сходству этого метода атаки с предыдущими кампаниями, связанными с северокорейским кибершпионажем, что вызывает обеспокоенность по поводу потенциального использования такой тактики в будущем. Cisco Talos отслеживает эту активность под обозначением UAT-5394, подчеркивая сохраняющуюся актуальность бдительности при мониторинге событий, связанных с этим злоумышленником и его методами.