#ParsedReport #CompletenessLow
22-01-2026

ClearFake gets more evasive with new living off the land (LOTL) techniques

https://expel.com/blog/clearfake-new-lotl-techniques/

Report completeness: Low

Threats:
Clearfake
Lolbin_technique
Clickfix_technique
Etherhiding_technique

Victims:
Website visitors, Websites

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1102.003, T1105, T1189, T1190, T1204.001, T1204.002, T1218.005, have more...

IOCs:
Coin: 4
File: 8
Command: 2
Url: 1
Path: 1

Algorithms:
base64

Functions:
atob, eval, set, get, GetSmartContractData, fetch, RPC, load_, Get-Alias, Get-Command, have more...

Languages:
powershell, javascript, python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClearFake - это Вредоносная Кампания, нацеленная на скомпрометированные веб-сайты, использующая поддельные вызовы CAPTCHA для распространения вредоносного программного обеспечения. В нем используются передовые методы уклонения, включая тактику "Living Off the Land" и прокси-выполнение команд PowerShell, что делает обнаружение более сложным. Кампания внедряет сложный JavaScript в кодировке Base64 на веб-страницы и использует законный CDN, jsDelivr, для распространения кода, что усложняет меры безопасности.
-----

ClearFake - это Вредоносная Кампания, которая использует скомпрометированные веб-сайты путем отображения поддельных вызовов CAPTCHA, предназначенных для того, чтобы обманом заставить посетителей загрузить вредоносное программное обеспечение. Эта кампания недавно усовершенствовала свою тактику уклонения, используя методы "Living Off theLand" (LOTL). Злоумышленники теперь используют прокси-сервер, позволяющий им запускать команды PowerShell с помощью встроенной функции Windows, тем самым снижая эффективность решений безопасности, которые зависят от мониторинга вредоносных доменов или IP-адресов. Кроме того, кампания перешла к использованию хорошо известной сети доставки контента (CDN) для распространения своего вредоносного кода, что усложняет обнаружение с помощью обычных мер безопасности.

Основная операция ClearFake включает в себя манипулирование веб-серверами для внедрения вредоносного JavaScript на страницы. Внедренный код уникально сложен, он встраивает JavaScript непосредственно в исходный код и кодирует его в Base64. Этот метод не только скрывает вредоносную функциональность, но и позволяет беспрепятственно заражать без перенаправления на внешний URL-адрес. Примечательно, что злоумышленники также интегрировали смарт-контракты в блокчейн для хранения и извлечения JavaScript в кодировке Base64, используя механизмы, обычно используемые для децентрализованных технологий.

Более того, ClearFake внедрил новую технологию LOTL, используя окно командной строки Run для более незаметного выполнения своей полезной нагрузки. Изначально зависящий от mshta.exe , кампания перешла к использованию структуры, которая облегчает ввод команд, избегая традиционных систем обнаружения конечных точек и реагирования (EDR), которые отслеживают использование PowerShell. Команда намеренно разработана таким образом, чтобы обойти проверку средствами безопасности, которые обычно анализируют аргументы командной строки на наличие вредоносного содержимого.

Дополнительным способом уклонения от ответственности является использование в кампании законного CDN jsDelivr для размещения полезной информации на JavaScript. Этот выбор усложняет работу по обнаружению, поскольку CDN широко используется для размещения надежных библиотек JavaScript, что затрудняет организациям блокирование трафика без нарушения работы законных служб.

С точки зрения стратегий смягчения последствий, компании, не работающие с блокчейн-технологиями, могут рассмотреть возможность блокировки определенных конечных точек RPC, используемых для извлечения исходного загрузчика, эффективно прерывая связь с блокчейн-сетью, используемой злоумышленниками. Хотя ограничение доступа к PowerShell для несистемных пользователей может усилить защиту от таких угроз, практическая реализация остается сложной задачей из-за необходимости использования PowerShell в различных приложениях. Эти эволюционирующие методы подчеркивают сложность и адаптивность кампании ClearFake, подчеркивая необходимость постоянного обновления методов и инструментов кибербезопасности для борьбы с такими продвинутыми угрозами.

#ParsedReport #CompletenessHigh
22-01-2026

Malware MoonPeak Executed via LNK Files

https://sect.iij.ad.jp/blog/2026/01/dprk-moonpeak-executed-via-malicious-lnk-file/

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Moonpeak
Xenorat
Confuserex_tool

Victims:
Investors

Industry:
Government

Geo:
North korean, Korea, Japan, Korean, Dprk, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.001, T1105, T1140, T1204.002, T1583.006, T1584.006

IOCs:
File: 46
Url: 4
IP: 2
Hash: 3
Domain: 1

Soft:
WinDump, gmail, Twitter

Algorithms:
xor, aes, sha256, gzip

Win API:
decompress

Languages:
powershell, javascript

Links:
have more...
https://github.com/ViRb3/de4dot-cex

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года вредоносный файл LNK был использован для развертывания вредоносного ПО MoonPeak, варианта XenoRAT, приписываемого северокорейскому злоумышленнику, нацеленному на южнокорейских инвесторов. Атака включала в себя PDF-приманку с кодировкой XOR и скрытый скрипт PowerShell, который извлекал дополнительный вредоносный контент из ныне удаленного репозитория GitHub. MoonPeak, доставляемый в виде Stella.exe , использовал ConfuserEx для обфускации, усложнив реверс-инжиниринг и подчеркнув продолжающееся использование GitHub злоумышленниками для кампаний фишинга.
-----

В январе 2026 года IIJ сообщил об атаке с помощью вредоносного файла LNK, связанного с вредоносным ПО MoonPeak, которое является вариантом XenoRAT, используемым предполагаемым северокорейским злоумышленником. Этот инцидент знаменует собой первое наблюдаемое внедрение MoonPeak в Интернете, и атака, по-видимому, нацелена на южнокорейских инвесторов с целью получения прибыли в иностранной валюте.

Процесс заражения инициировался с помощью файла LNK, предназначенного для открытия встроенного файла-приманки PDF в кодировке XOR при выполнении. Одновременно был выполнен скрытый скрипт PowerShell, который затем загрузил другой скрипт с именем viewpoi.txt из репозитория GitHub. Это хранилище, содержащее вредоносный контент, с тех пор было закрыто по состоянию на 14 января 2026 года.

Кульминацией второго этапа стало внедрение собственно вредоносного ПО MoonPeak, упакованного как Stella.exe . Вредоносное ПО было запутано с помощью ConfuserEx, метода, который усложняет работу по обратному проектированию. При анализе отмечается, что такие инструменты, как dnSpy и dotPeek, обычно используются для .Анализ сетевой сборки может работать неэффективно из-за запутывания, что приводит к неправильным выводам или неудачному анализу.

Исторически сложилось так, что использование репозиториев, размещенных на GitHub, для распространения вредоносного ПО было распространенным явлением среди злоумышленников, и кампания MoonPeak подтверждает этот подход. Анализ привлекает внимание к сходству этого метода атаки с предыдущими кампаниями, связанными с северокорейским кибершпионажем, что вызывает обеспокоенность по поводу потенциального использования такой тактики в будущем. Cisco Talos отслеживает эту активность под обозначением UAT-5394, подчеркивая сохраняющуюся актуальность бдительности при мониторинге событий, связанных с этим злоумышленником и его методами.

#ParsedReport #CompletenessMedium
22-01-2026

Restless spirit: PhantomCore spies have carried out new attacks on Russian companies

https://habr.com/ru/companies/F6/articles/987734/

Report completeness: Medium

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomeremote

Victims:
Housing and utilities, Finance, Urban infrastructure and municipal services, Aerospace, Consumer digital services, Chemical industry, Construction, Consumer goods, Electronic commerce, Marketplaces, have more...

Industry:
Aerospace, E-commerce, Financial, Chemical

Geo:
Belarusian, Russian

IOCs:
Command: 2
File: 2
Domain: 7
Path: 1
IP: 4
Hash: 10

Soft:
Windows Task Scheduler

Algorithms:
sha1

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCore, группа кибершпионажа, нацелила несколько секторов российских компаний с помощью вредоносных кампаний по электронной почте, запущенных 19 и 21 января 2026 года. Эти электронные письма были направлены на получение несанкционированного доступа к конфиденциальной информации, что отражает стратегический подход к сбору разведывательных данных или оперативному саботажу. Несмотря на то, что конкретные вредоносные ПО или методы не были подробно описаны, разнообразный нацеленный подход предполагает адаптивную стратегию, которая использует преимущества уязвимостей в различных отраслях, подчеркивая угрозу, исходящую от сложных целенаправленных угроз.
-----

PhantomCore, группа кибершпионажа, недавно нацелила свои атаки на несколько секторов российских компаний, используя вредоносные кампании по электронной почте для осуществления своих атак. Аналитики из Центра кибербезопасности F6 сообщили, что эти атаки были запущены 19 и 21 января 2026 года с помощью электронных писем, направленных в различные отрасли, включая жилищно-коммунальное хозяйство, финансы, городскую инфраструктуру, муниципальные службы, аэрокосмическую промышленность, цифровые сервисы B2C, химическое производство, строительство, потребительские товары и электронную коммерцию.

Система защиты деловой электронной почты F6 (BEP) сыграла решающую роль в выявлении и блокировании этих вредоносных сообщений до того, как они достигли намеченных нацелен. Содержание этих электронных писем, вероятно, было направлено на облегчение несанкционированного доступа к конфиденциальной информации или использование конкретных уязвимостей в организациях, на которые были нацелены.

Хотя конкретные подробности, касающиеся используемого вредоносного ПО или методов, применяемых PhantomCore, не разглашаются, нацеливание на различные секторы предполагает стратегический подход, направленный на сбор разведывательных данных или саботаж операций в критически важных отраслях. Это отражает неизменную приверженность Группы кибершпионажа деятельность в России, подчеркивая постоянную угрозу, исходящую от современных постоянных угроз повышенной сложности (apt), как PhantomCore.

Сосредоточение внимания на различных типах услуг и отраслях указывает на адаптивную стратегию атаки, которая может использовать различные векторы атак, адаптированные к окружающей среде и инфраструктуре каждого сектора, что в конечном итоге повышает шансы группы на достижение своих вредоносных целей.

#ParsedReport #CompletenessLow
22-01-2026

Watering Hole Attack Targets EmEditor Users with Information-Stealing Malware

https://www.trendmicro.com/en_us/research/26/a/watering-hole-attack-targets-emeditor-users.html

Report completeness: Low

Threats:
Watering_hole_technique
Supply_chain_technique

Victims:
Emeditor users, Developer communities, Windows software users

Geo:
Georgia, Armenia, Belarus, Kyrgyzstan, Japanese, Russian, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1059.001, T1105, T1195, T1204.002, T1218.007, T1555

IOCs:
Domain: 1
Url: 3

Soft:
Event Tracing for Windows

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ детализирует атаку watering hole, использующую скомпрометированный установщик для EmEditor, что позволяет злоумышленникам доставлять многоступенчатую полезную нагрузку вредоносного ПО для кражи учетных данных, эксфильтрации данных и перемещения внутри компании. Измененный .Пакет MSI, кажущийся легитимным, выполняет команду PowerShell для получения вредоносного ПО по, казалось бы, заслуживающему доверия URL-адресу, демонстрируя сложность атак по Цепочке поставок программного обеспечения, нацеленных на системы Windows. Этот метод скрывает вредоносные действия после установки, чтобы избежать раннего обнаружения.
-----

Недавний анализ TrendAI Research подробно описывает атаку на watering hole, связанную со взломанным установщиком EmEditor, текстового редактора, популярного среди разработчиков. Эта Компрометация цепочки поставок позволяет акторам-злоумышленникам доставлять многоступенчатую полезную нагрузку вредоносного ПО, способную осуществлять кражу учетных данных, эксфильтрацию данных и перемещение внутри компании в скомпрометированных сетях. Эксплуатируемый характер атаки позволяет ей откладывать вредоносные действия до завершения установки, тем самым обходя механизмы раннего обнаружения и продлевая потенциальные сбои в работе.

Напали установщика, изменены .Пакет MSI, маскируется, чтобы появиться законное и загружается из того, что похоже на официальном сайте EmEditor. После выполнения, он выполняет PowerShell PowerShell, который извлекает начальном этапе вредоносное ПО из предварительно настроенный URL-адрес, который сконструирован для поддержания фасада благонадежности. Такие методологии выделить все большую изощренность и методов, используемых субъектами угрозы в программное обеспечение цепочка поставок питания, специально предназначенные для Windows-систем на основе широко используемых приложений.

Чтобы снизить риски, связанные с этой и подобными атаками, рекомендуется использовать несколько рекомендаций по обеспечению безопасности. К ним относятся проверка целостности установщиков путем подтверждения цифровых подписей и тщательная проверка целостности файлов перед запуском, независимо от источника. Кроме того, управление использованием PowerShell имеет решающее значение; организациям следует внедрять средства контроля за выполнением PowerShell, применять надежные методы ведения журнала и отслеживать наличие запутанных сценариев, которые часто используются при сложных вторжениях.

Сохранение телеметрии конечных точек также важно, поскольку это обеспечивает видимость действий по ведению журнала и помогает поддерживать возможности обнаружения, даже если злоумышленники пытаются скрыть свои действия. Следует последовательно применять принцип наименьших привилегий, ограничивая доступ к учетным данным и гарантируя, что привилегированные учетные записи работают в пределах определенной области. Регулярный мониторинг действий по аутентификации может помочь выявить аномалии, свидетельствующие о перемещении внутри компании и попытках несанкционированного доступа.

#technique #llm

SilentDrift: Exploiting Action Chunking for Stealthy Backdoor Attacks on Vision-Language-Action Models

https://arxiv.org/html/2601.14323v1

#ParsedReport #CompletenessMedium
23-01-2026

Stanley A $6,000 Russian Malware Toolkit with Chrome Web Store Guarantee

https://www.varonis.com/blog/stanley-malware-kit

Report completeness: Medium

Actors/Campaigns:
Darkspectre

Threats:
Stanley_tool
Bec_technique
Smishing_technique
Crashfix

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 1
IP: 1

Soft:
Chrome, Firefox, ChatGPT, DeepSeek, Twitter

Wallets:
coinbase

Crypto:
binance

Functions:
setTimeout, getElementById, createElement, setAttribute

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор инструментов для вредоносного ПО Stanley представляет значительную угрозу в качестве вектора атаки на основе браузера, который может подделывать законные веб-сайты, сохраняя их исходные URL-адреса. Он использует механизм командования и контроля для поддержания закрепления и отслеживания жертв для нацеленных кампаний фишинга. Перехватывая навигацию и доставляя страницы с фишингом через полноэкранные iframe, он использует уязвимости современных методов удаленной работы, отражая растущую тенденцию к распространению вредоносных расширений для браузеров.
-----

Набор инструментов для вредоносного ПО "Stanley", который становится серьезной угрозой при атаках через браузер, предназначен для подмены веб-сайтов, сохраняя при этом исходный адрес нетронутым, с гарантией одобрения со стороны интернет-магазина Chrome. Впервые он появился в январе 2026 года, продаваясь как комплексный сервис с демонстрацией его возможностей на известных криптовалютных платформах, таких как Binance и Coinbase. Цена продажи набора инструментов в размере 6000 долларов отражает не только его функциональность, но, в частности, уверенность в получении одобрения Google Store и предоставляемых инструментах управления.

На техническом уровне, Стэнли использует командования и управления (C2) механизм общения, опрос каждые 10 секунд, чтобы поддерживать постоянный контакт с его сервера. Это позволяет злоумышленникам отслеживать статусы жертвы через IP-адресов, что облегчает нацелен фишинг-кампании, основанные на географических данных. Суть механизма заключается в перехвате навигации пользователя на веб-сайты и нацелен представляя фишинг-страницы через iframe в полноэкранном режиме наложения. Этот метод эффективно обманывает потерпевших, полагая, что они взаимодействуют с вполне законные сайты.

Код, лежащий в основе Stanley toolkit, хотя и функционален, имеет несколько шероховатостей, таких как комментарии на русском языке и непоследовательная обработка ошибок, что указывает на то, что это скорее отражение его маркетинговой направленности, а не продвинутой сложности. Это согласуется с более широкой тенденцией, когда вредоносные расширения браузера становятся основными векторами атак, используя уязвимости, связанные с современными политиками удаленной работы, средами SaaS и методами BYOD. Появление таких инструментов, как Stanley, свидетельствует об изменении характера угроз, нацеленных на миллионы пользователей в Интернете, что требует повышенной бдительности в отношении таких атак через браузер.

Этот метод подпадает под рамки MITRE ATT&CK с конкретным упоминанием установки вредоносного расширения для устойчивого доступа, что подчеркивает продолжающуюся эволюцию киберугроз в цифровом ландшафте.

#ParsedReport #CompletenessHigh
23-01-2026

Weaponized WinRAR Exploitation and Stealth Deployment of Fileless .NET RAT

https://www.cyfirma.com/research/weaponized-winrar-exploitation-and-stealth-deployment-of-fileless-net-rat/

Report completeness: High

Threats:
Motw_bypass_technique
Process_injection_technique
Donut
Quasar_rat
Lolbin_technique

Victims:
Windows users

Industry:
Healthcare

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 9
Technics: 17

IOCs:
File: 8
IP: 2
Path: 2
Command: 1
Hash: 4

Soft:
Windows security

Algorithms:
sha256, base64, xor

Win API:
OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread

Languages:
powershell

Platforms:
x86, amd64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная Вредоносная Кампания использует уязвимость проверки пути WinRAR (CVE-2025-8088) для организации скрытого удаленного доступа к системам Windows без повышенных привилегий. Злоумышленники используют защищенные архивы RAR для размещения вредоносных скриптов в каталогах автоматического выполнения, используя относительный обход путей для обхода мер безопасности. Конечная полезная нагрузка, Quasar RAT, обеспечивает широкие возможности удаленного доступа, в то время как вредоносное ПО избегает традиционного обнаружения, полностью запускаясь в памяти.
-----

В отчете CYFIRMA подробно описывается сложная Вредоносная Кампания, которая использует уязвимость проверки пути WinRAR (CVE-2025-8088) для обеспечения скрытого постоянного удаленного доступа к системам Windows без необходимости в повышенных привилегиях или наборах эксплойтов. Злоумышленники создают вооруженный архив RAR, замаскированный под законный пакет инструментов OSINT, который при извлечении позволяет размещать вредоносные скрипты в каталогах автоматического выполнения.

Использование CVE-2025-8088 позволяет вредоносному архиву записывать файлы за пределы предполагаемого каталога извлечения, эффективно обходя меры безопасности. Основной метод включает встраивание закодированных последовательностей обхода относительного пути в архив, которые в конечном счете нацелены на каталог запуска Windows. После извлечения активируется вредоносный пакетный скрипт, который устанавливает закрепление с помощью множества механизмов, включая модификации реестра и скрытые каталоги, предназначенные для того, чтобы избежать обнаружения.

После первоначального доступа и выполнения скрипта пакетный файл запускает загрузчик PowerShell. Этот загрузчик использует ExecutionPolicy Bypass для выполнения запутанного скрипта PowerShell, который расшифровывает созданный Donut шелл-код и впоследствии внедряет его в доверенные процессы Windows, такие как explorer.exe . Это позволяет полезной нагрузке полностью выполняться в памяти, сводя к минимуму влияние атаки и облегчая обход традиционной файловой защиты.

Окончательный полезной нагрузки, определяемый как Quasar RAT, обеспечивает возможность полного удаленного доступа, в том числе выполнения команды работы с файлами, Регистрация нажатий клавиш, и система мониторинга. Кампания иллюстрирует тенденцию среди субъектов опасный эксплуатировать надежные уязвимости в программном обеспечении и распространенных методов пользователей на первоначальный доступ и закрепление, тем самым избегая обычных обнаружения препятствия, связанные с вредоносным программным обеспечением.

#ParsedReport #CompletenessHigh
23-01-2026

G_Wagon: npm Package Deploys Python Stealer Targeting 100+ Crypto Wallets

https://www.aikido.dev/blog/npm-malware-g-wagon-python-stealer-crypto-wallets

Report completeness: High

Threats:
G_wagon
Supply_chain_technique
Dll_injection_technique

Victims:
Cryptocurrency users, Software developers

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1055, T1059.006, T1071.001, T1105, T1195.001, T1552.001, have more...

IOCs:
File: 16
Url: 2
Hash: 9
Domain: 2

Soft:
Discord, Chrome, macOS, OpenSSL, Ledger Live, Telegram, Steam

Wallets:
metamask, coinbase, trezor, exodus_wallet, polkadot

Crypto:
ethereum, solana, cardano, bitcoin

Algorithms:
xor, zip, sha256, base64

Functions:
downloadAndExtract

Win API:
NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

Languages:
python

Platforms:
intel, cross-platform