#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, приписываемая северокорейскому злоумышленнику KONNI, теперь нацелена на разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейну в Японии, Австралии и Индии. Заражение начинается с размещенной в Discord ссылки, ведущей к ZIP-архиву, содержащему загрузчик PowerShell, который запускает бэкдор, использующий методы антианализа и требующий взаимодействия с пользователем. Кампания демонстрирует преемственность тактики KONNI, использующей оружейные файлы LNK и использующие вредоносные скрипты, сгенерированные искусственным интеллектом, для атак.
-----

Check Point Research (CPR) в настоящее время отслеживает кампанию фишинга, приписываемую KONNI, северокорейскому злоумышленнику, который в прошлом нацеливался на организации в Южной Корее. Однако эта недавняя кампания выходит за рамки обычной географической направленности KONNI's и включает потенциальные цели в Японии, Австралии и Индии. Основная аудитория этой кампании включает разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейн-технологиям, что указывает на изменение целевой стратегии группы.

Процесс заражения начинается со ссылки, размещенной на Discord, которая ведет к ZIP-архиву, содержащему PDF-файл lure и файл ярлыка Windows (LNK). Файл LNK запускает загрузчик PowerShell, который далее извлекает дополнительный файл DOCX и архив CAB, оба в кодировке XOR. Примечательно, что бэкдор PowerShell, используемый в этой кампании, как полагают, создан искусственным интеллектом, а не людьми-операторами, что демонстрирует появляющуюся тенденцию использования искусственного интеллекта в киберпреступной деятельности.

После выполнения бэкдор PowerShell реализует несколько методов антианализа и Обхода песочницы. Он проверяет спецификации Аппаратного обеспечения хоста, сканирует инструменты мониторинга, такие как IDA и Wireshark, и требует взаимодействия с пользователем, такого как активность мыши и определенное количество щелчков, прежде чем приступить к своим вредоносным операциям. Если эти проверки завершаются неудачей, бэкдор немедленно завершает работу.

Более ранние свидетельства этой кампании, прослеженные до образцов за октябрь 2025 года, указывают на ранее использовавшуюся цепочку заражения, которая начинается с запутанного сценария PowerShell, который извлекает дополнительные компоненты с сервера, контролируемого злоумышленником. Это включает в себя различные скрипты и исполняемые файлы, предназначенные для таких задач, как UAC bypass и предоставление удаленного доступа с помощью инструмента под названием Simple Help.

Тактики, техники и процедуры (ТПД), занятых в этой кампании тесно увязывать с теми, которые исторически связаны с KONNI. Использование оружейного ярлыков LNK и модульный, многоступенчатый цепочку выполнения отражает konni's рамок Конни это. Эта кампания также перерабатывает имена скриптов и шаблонов выполнение знакомые по прошлым konni Конни, усиливая связь для текущих инструментов группы.

#ParsedReport #CompletenessLow
22-01-2026

Dark Web Profile: Anubis Ransomware

https://socradar.io/blog/dark-web-profile-anubis-ransomware/

Report completeness: Low

Actors/Campaigns:
Carbanak

Threats:
Anubis
Sphinx
Anubisbackdoor
Spear-phishing_technique
Shadow_copies_delete_technique

Industry:
Financial, Healthcare

Geo:
Russian, America, Apac

TTPs:
Tactics: 5
Technics: 2

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Anubis, также известная как Sphinx, работает как программа-вымогатель как услуга (RaaS) с партнерской моделью, в которой упор делается на ручное выполнение и нацеленные вторжения, а не на неизбирательные атаки. Филиалы обычно получают доступ с помощью Целевого фишинга и выполняют полезную нагрузку после разведки, при этом Anubis использует сложные методы повышения привилегий и завершения процесса для облегчения шифрования, в котором используется гибридная схема криптографии. Отличительной особенностью является его дополнительный режим очистки, который приводит к необратимой потере данных, усложняя усилия по восстановлению для жертв.
-----

Программа-вымогатель Anubis, также известная как Sphinx, представляет собой группу программ-вымогателей как услуга (RaaS), которая появилась в конце 2024 года. Он в основном работает на русскоязычных форумах и представляет собой ребрендинг более ранней Ransomware. Sphinx - программы-вымогателя.inx Anubis использует партнерскую модель, в которой партнеры выполняют первоначальные компромиссы, в то время как группа предоставляет полезную нагрузку и поддержку программ-вымогателей. Программа-вымогатель запускается вручную операторами-людьми, уделяя особое внимание целям с высокой степенью воздействия, а не неизбирательным атакам. Аффилированные лица обычно получают доступ с помощью методов Целевого фишинга, используя вредоносные документы или исполняемые файлы, требующие взаимодействия с пользователем.

Anubis проверяет наличие административных привилегий при получении доступа и может попытаться повысить разрешения до системного уровня с помощью манипуляций с токенами. Он предназначен для того, чтобы избежать обнаружения путем нацеливания и завершения процессов, связанных с базами данных, решениями для резервного копирования и программным обеспечением безопасности, во время шифрования. При шифровании используется гибридная криптографическая схема, основанная на интегрированной схеме шифрования с эллиптической кривой (ECIES), объединяющая как симметричное, так и асимметричное шифрование. Дополнительный режим очистки позволяет операторам перезаписывать файлы, что усложняет процесс восстановления данных. Эксфильтрация данных обычно происходит перед шифрованием, при этом украденная информация используется для вымогательства через контролируемые Anubis сайты утечки Tor. Для смягчения последствий организациям следует сосредоточиться на усилении мер, мониторинге раннего воздействия, управлении исправлениями и осведомленности о меняющейся тактике Anubis's.

#ParsedReport #CompletenessMedium
22-01-2026

Darktrace Identifies Campaign Targeting South Korea Leveraging VS Code for Remote Access

https://www.darktrace.com/blog/darktrace-identifies-campaign-targeting-south-korea-leveraging-vs-code-for-remote-access

Report completeness: Medium

Threats:
Spear-phishing_technique

Victims:
Government sector, Software developers using visual studio code, South korea users

Industry:
Government

Geo:
Korea, Chinese, Asia, Korean, Dprk

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 2
Command: 1
IP: 1
Hash: 1

Soft:
Visual Studio Code, VSCode

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Нацеленная киберкампания, приписываемая северокорейским злоумышленникам, сосредоточена на отдельных лицах в Южной Корее, использующих скрипты JSE и поддельные правительственные документы в качестве приманки. В атаке используется JSE-файл, Маскировка которого под документ текстового процессора Hangul, распространяемый с помощью Целевого фишинга по электронной почте, что позволяет развернуть туннель кода Visual Studio для удаленного доступа. Кампания проводится в соответствии с типичной тактикой КНДР, включая Имперсонацию официальных организаций и усилия по установлению постоянного доступа к компьютерам жертв.
-----

Недавний анализ выявил нацеленную киберкампанию, связанную с деятельностью Корейской Народно-Демократической Республики (КНДР), с акцентом на отдельных лиц в Южной Корее. Злоумышленники используют скрипты с кодировкой Javascript (JSE) и документы правительственной тематики в качестве приманки, чтобы облегчить развертывание туннеля Visual Studio Code (VS Code), устанавливающего удаленный доступ к компьютерам-жертвам.

Вредоносный компонент в походе файла JSE замаскированный процессор хангыль документ Word (HWPX). Этот файл находится, скорее всего, распространяется через целевой фишинг-писем, направленных на конкретные цели. После выполнения, файл JSE, с помощью сервера сценариев Windows, разбирает несколько кодировке base64 элементов для выполнения своих функций. Обманчивое документ HWPX желает быть связано с отбора абитуриентов в магистратуру набор для 2026, имитирующих официальные сообщения Министерства по управлению персоналом, легитимный государственный орган в Южной Корее. Метаданные эти пункты документы на внесение изменений в подлинный содержание правительства, предполагающая меры, направленные на повышение авторитета фишинг попытку.

Эта кампания демонстрирует классическую тактику и методы, связанные с кибероперациями КНДР, в частности, использование местных форматов документов, Имперсонацию правительственных учреждений и намерение установить постоянный удаленный доступ. Хотя для окончательной атрибуции требуются дополнительные доказательства, соответствие известной тактике КНДР повышает уверенность в приписывании этой деятельности спонсируемым государством злоумышленникам из Северной Кореи.

#ParsedReport #CompletenessLow
22-01-2026

ClearFake gets more evasive with new living off the land (LOTL) techniques

https://expel.com/blog/clearfake-new-lotl-techniques/

Report completeness: Low

Threats:
Clearfake
Lolbin_technique
Clickfix_technique
Etherhiding_technique

Victims:
Website visitors, Websites

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1102.003, T1105, T1189, T1190, T1204.001, T1204.002, T1218.005, have more...

IOCs:
Coin: 4
File: 8
Command: 2
Url: 1
Path: 1

Algorithms:
base64

Functions:
atob, eval, set, get, GetSmartContractData, fetch, RPC, load_, Get-Alias, Get-Command, have more...

Languages:
powershell, javascript, python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClearFake - это Вредоносная Кампания, нацеленная на скомпрометированные веб-сайты, использующая поддельные вызовы CAPTCHA для распространения вредоносного программного обеспечения. В нем используются передовые методы уклонения, включая тактику "Living Off the Land" и прокси-выполнение команд PowerShell, что делает обнаружение более сложным. Кампания внедряет сложный JavaScript в кодировке Base64 на веб-страницы и использует законный CDN, jsDelivr, для распространения кода, что усложняет меры безопасности.
-----

ClearFake - это Вредоносная Кампания, которая использует скомпрометированные веб-сайты путем отображения поддельных вызовов CAPTCHA, предназначенных для того, чтобы обманом заставить посетителей загрузить вредоносное программное обеспечение. Эта кампания недавно усовершенствовала свою тактику уклонения, используя методы "Living Off theLand" (LOTL). Злоумышленники теперь используют прокси-сервер, позволяющий им запускать команды PowerShell с помощью встроенной функции Windows, тем самым снижая эффективность решений безопасности, которые зависят от мониторинга вредоносных доменов или IP-адресов. Кроме того, кампания перешла к использованию хорошо известной сети доставки контента (CDN) для распространения своего вредоносного кода, что усложняет обнаружение с помощью обычных мер безопасности.

Основная операция ClearFake включает в себя манипулирование веб-серверами для внедрения вредоносного JavaScript на страницы. Внедренный код уникально сложен, он встраивает JavaScript непосредственно в исходный код и кодирует его в Base64. Этот метод не только скрывает вредоносную функциональность, но и позволяет беспрепятственно заражать без перенаправления на внешний URL-адрес. Примечательно, что злоумышленники также интегрировали смарт-контракты в блокчейн для хранения и извлечения JavaScript в кодировке Base64, используя механизмы, обычно используемые для децентрализованных технологий.

Более того, ClearFake внедрил новую технологию LOTL, используя окно командной строки Run для более незаметного выполнения своей полезной нагрузки. Изначально зависящий от mshta.exe , кампания перешла к использованию структуры, которая облегчает ввод команд, избегая традиционных систем обнаружения конечных точек и реагирования (EDR), которые отслеживают использование PowerShell. Команда намеренно разработана таким образом, чтобы обойти проверку средствами безопасности, которые обычно анализируют аргументы командной строки на наличие вредоносного содержимого.

Дополнительным способом уклонения от ответственности является использование в кампании законного CDN jsDelivr для размещения полезной информации на JavaScript. Этот выбор усложняет работу по обнаружению, поскольку CDN широко используется для размещения надежных библиотек JavaScript, что затрудняет организациям блокирование трафика без нарушения работы законных служб.

С точки зрения стратегий смягчения последствий, компании, не работающие с блокчейн-технологиями, могут рассмотреть возможность блокировки определенных конечных точек RPC, используемых для извлечения исходного загрузчика, эффективно прерывая связь с блокчейн-сетью, используемой злоумышленниками. Хотя ограничение доступа к PowerShell для несистемных пользователей может усилить защиту от таких угроз, практическая реализация остается сложной задачей из-за необходимости использования PowerShell в различных приложениях. Эти эволюционирующие методы подчеркивают сложность и адаптивность кампании ClearFake, подчеркивая необходимость постоянного обновления методов и инструментов кибербезопасности для борьбы с такими продвинутыми угрозами.

#ParsedReport #CompletenessHigh
22-01-2026

Malware MoonPeak Executed via LNK Files

https://sect.iij.ad.jp/blog/2026/01/dprk-moonpeak-executed-via-malicious-lnk-file/

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Moonpeak
Xenorat
Confuserex_tool

Victims:
Investors

Industry:
Government

Geo:
North korean, Korea, Japan, Korean, Dprk, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.001, T1105, T1140, T1204.002, T1583.006, T1584.006

IOCs:
File: 46
Url: 4
IP: 2
Hash: 3
Domain: 1

Soft:
WinDump, gmail, Twitter

Algorithms:
xor, aes, sha256, gzip

Win API:
decompress

Languages:
powershell, javascript

Links:
have more...
https://github.com/ViRb3/de4dot-cex

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года вредоносный файл LNK был использован для развертывания вредоносного ПО MoonPeak, варианта XenoRAT, приписываемого северокорейскому злоумышленнику, нацеленному на южнокорейских инвесторов. Атака включала в себя PDF-приманку с кодировкой XOR и скрытый скрипт PowerShell, который извлекал дополнительный вредоносный контент из ныне удаленного репозитория GitHub. MoonPeak, доставляемый в виде Stella.exe , использовал ConfuserEx для обфускации, усложнив реверс-инжиниринг и подчеркнув продолжающееся использование GitHub злоумышленниками для кампаний фишинга.
-----

В январе 2026 года IIJ сообщил об атаке с помощью вредоносного файла LNK, связанного с вредоносным ПО MoonPeak, которое является вариантом XenoRAT, используемым предполагаемым северокорейским злоумышленником. Этот инцидент знаменует собой первое наблюдаемое внедрение MoonPeak в Интернете, и атака, по-видимому, нацелена на южнокорейских инвесторов с целью получения прибыли в иностранной валюте.

Процесс заражения инициировался с помощью файла LNK, предназначенного для открытия встроенного файла-приманки PDF в кодировке XOR при выполнении. Одновременно был выполнен скрытый скрипт PowerShell, который затем загрузил другой скрипт с именем viewpoi.txt из репозитория GitHub. Это хранилище, содержащее вредоносный контент, с тех пор было закрыто по состоянию на 14 января 2026 года.

Кульминацией второго этапа стало внедрение собственно вредоносного ПО MoonPeak, упакованного как Stella.exe . Вредоносное ПО было запутано с помощью ConfuserEx, метода, который усложняет работу по обратному проектированию. При анализе отмечается, что такие инструменты, как dnSpy и dotPeek, обычно используются для .Анализ сетевой сборки может работать неэффективно из-за запутывания, что приводит к неправильным выводам или неудачному анализу.

Исторически сложилось так, что использование репозиториев, размещенных на GitHub, для распространения вредоносного ПО было распространенным явлением среди злоумышленников, и кампания MoonPeak подтверждает этот подход. Анализ привлекает внимание к сходству этого метода атаки с предыдущими кампаниями, связанными с северокорейским кибершпионажем, что вызывает обеспокоенность по поводу потенциального использования такой тактики в будущем. Cisco Talos отслеживает эту активность под обозначением UAT-5394, подчеркивая сохраняющуюся актуальность бдительности при мониторинге событий, связанных с этим злоумышленником и его методами.

#ParsedReport #CompletenessMedium
22-01-2026

Restless spirit: PhantomCore spies have carried out new attacks on Russian companies

https://habr.com/ru/companies/F6/articles/987734/

Report completeness: Medium

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomeremote

Victims:
Housing and utilities, Finance, Urban infrastructure and municipal services, Aerospace, Consumer digital services, Chemical industry, Construction, Consumer goods, Electronic commerce, Marketplaces, have more...

Industry:
Aerospace, E-commerce, Financial, Chemical

Geo:
Belarusian, Russian

IOCs:
Command: 2
File: 2
Domain: 7
Path: 1
IP: 4
Hash: 10

Soft:
Windows Task Scheduler

Algorithms:
sha1

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCore, группа кибершпионажа, нацелила несколько секторов российских компаний с помощью вредоносных кампаний по электронной почте, запущенных 19 и 21 января 2026 года. Эти электронные письма были направлены на получение несанкционированного доступа к конфиденциальной информации, что отражает стратегический подход к сбору разведывательных данных или оперативному саботажу. Несмотря на то, что конкретные вредоносные ПО или методы не были подробно описаны, разнообразный нацеленный подход предполагает адаптивную стратегию, которая использует преимущества уязвимостей в различных отраслях, подчеркивая угрозу, исходящую от сложных целенаправленных угроз.
-----

PhantomCore, группа кибершпионажа, недавно нацелила свои атаки на несколько секторов российских компаний, используя вредоносные кампании по электронной почте для осуществления своих атак. Аналитики из Центра кибербезопасности F6 сообщили, что эти атаки были запущены 19 и 21 января 2026 года с помощью электронных писем, направленных в различные отрасли, включая жилищно-коммунальное хозяйство, финансы, городскую инфраструктуру, муниципальные службы, аэрокосмическую промышленность, цифровые сервисы B2C, химическое производство, строительство, потребительские товары и электронную коммерцию.

Система защиты деловой электронной почты F6 (BEP) сыграла решающую роль в выявлении и блокировании этих вредоносных сообщений до того, как они достигли намеченных нацелен. Содержание этих электронных писем, вероятно, было направлено на облегчение несанкционированного доступа к конфиденциальной информации или использование конкретных уязвимостей в организациях, на которые были нацелены.

Хотя конкретные подробности, касающиеся используемого вредоносного ПО или методов, применяемых PhantomCore, не разглашаются, нацеливание на различные секторы предполагает стратегический подход, направленный на сбор разведывательных данных или саботаж операций в критически важных отраслях. Это отражает неизменную приверженность Группы кибершпионажа деятельность в России, подчеркивая постоянную угрозу, исходящую от современных постоянных угроз повышенной сложности (apt), как PhantomCore.

Сосредоточение внимания на различных типах услуг и отраслях указывает на адаптивную стратегию атаки, которая может использовать различные векторы атак, адаптированные к окружающей среде и инфраструктуре каждого сектора, что в конечном итоге повышает шансы группы на достижение своих вредоносных целей.

#ParsedReport #CompletenessLow
22-01-2026

Watering Hole Attack Targets EmEditor Users with Information-Stealing Malware

https://www.trendmicro.com/en_us/research/26/a/watering-hole-attack-targets-emeditor-users.html

Report completeness: Low

Threats:
Watering_hole_technique
Supply_chain_technique

Victims:
Emeditor users, Developer communities, Windows software users

Geo:
Georgia, Armenia, Belarus, Kyrgyzstan, Japanese, Russian, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1059.001, T1105, T1195, T1204.002, T1218.007, T1555

IOCs:
Domain: 1
Url: 3

Soft:
Event Tracing for Windows

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ детализирует атаку watering hole, использующую скомпрометированный установщик для EmEditor, что позволяет злоумышленникам доставлять многоступенчатую полезную нагрузку вредоносного ПО для кражи учетных данных, эксфильтрации данных и перемещения внутри компании. Измененный .Пакет MSI, кажущийся легитимным, выполняет команду PowerShell для получения вредоносного ПО по, казалось бы, заслуживающему доверия URL-адресу, демонстрируя сложность атак по Цепочке поставок программного обеспечения, нацеленных на системы Windows. Этот метод скрывает вредоносные действия после установки, чтобы избежать раннего обнаружения.
-----

Недавний анализ TrendAI Research подробно описывает атаку на watering hole, связанную со взломанным установщиком EmEditor, текстового редактора, популярного среди разработчиков. Эта Компрометация цепочки поставок позволяет акторам-злоумышленникам доставлять многоступенчатую полезную нагрузку вредоносного ПО, способную осуществлять кражу учетных данных, эксфильтрацию данных и перемещение внутри компании в скомпрометированных сетях. Эксплуатируемый характер атаки позволяет ей откладывать вредоносные действия до завершения установки, тем самым обходя механизмы раннего обнаружения и продлевая потенциальные сбои в работе.

Напали установщика, изменены .Пакет MSI, маскируется, чтобы появиться законное и загружается из того, что похоже на официальном сайте EmEditor. После выполнения, он выполняет PowerShell PowerShell, который извлекает начальном этапе вредоносное ПО из предварительно настроенный URL-адрес, который сконструирован для поддержания фасада благонадежности. Такие методологии выделить все большую изощренность и методов, используемых субъектами угрозы в программное обеспечение цепочка поставок питания, специально предназначенные для Windows-систем на основе широко используемых приложений.

Чтобы снизить риски, связанные с этой и подобными атаками, рекомендуется использовать несколько рекомендаций по обеспечению безопасности. К ним относятся проверка целостности установщиков путем подтверждения цифровых подписей и тщательная проверка целостности файлов перед запуском, независимо от источника. Кроме того, управление использованием PowerShell имеет решающее значение; организациям следует внедрять средства контроля за выполнением PowerShell, применять надежные методы ведения журнала и отслеживать наличие запутанных сценариев, которые часто используются при сложных вторжениях.

Сохранение телеметрии конечных точек также важно, поскольку это обеспечивает видимость действий по ведению журнала и помогает поддерживать возможности обнаружения, даже если злоумышленники пытаются скрыть свои действия. Следует последовательно применять принцип наименьших привилегий, ограничивая доступ к учетным данным и гарантируя, что привилегированные учетные записи работают в пределах определенной области. Регулярный мониторинг действий по аутентификации может помочь выявить аномалии, свидетельствующие о перемещении внутри компании и попытках несанкционированного доступа.