#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCore, группа кибершпионажа, нацелила несколько секторов российских компаний с помощью вредоносных кампаний по электронной почте, запущенных 19 и 21 января 2026 года. Эти электронные письма были направлены на получение несанкционированного доступа к конфиденциальной информации, что отражает стратегический подход к сбору разведывательных данных или оперативному саботажу. Несмотря на то, что конкретные вредоносные ПО или методы не были подробно описаны, разнообразный нацеленный подход предполагает адаптивную стратегию, которая использует преимущества уязвимостей в различных отраслях, подчеркивая угрозу, исходящую от сложных целенаправленных угроз.
-----

PhantomCore, группа кибершпионажа, недавно нацелила свои атаки на несколько секторов российских компаний, используя вредоносные кампании по электронной почте для осуществления своих атак. Аналитики из Центра кибербезопасности F6 сообщили, что эти атаки были запущены 19 и 21 января 2026 года с помощью электронных писем, направленных в различные отрасли, включая жилищно-коммунальное хозяйство, финансы, городскую инфраструктуру, муниципальные службы, аэрокосмическую промышленность, цифровые сервисы B2C, химическое производство, строительство, потребительские товары и электронную коммерцию.

Система защиты деловой электронной почты F6 (BEP) сыграла решающую роль в выявлении и блокировании этих вредоносных сообщений до того, как они достигли намеченных нацелен. Содержание этих электронных писем, вероятно, было направлено на облегчение несанкционированного доступа к конфиденциальной информации или использование конкретных уязвимостей в организациях, на которые были нацелены.

Хотя конкретные подробности, касающиеся используемого вредоносного ПО или методов, применяемых PhantomCore, не разглашаются, нацеливание на различные секторы предполагает стратегический подход, направленный на сбор разведывательных данных или саботаж операций в критически важных отраслях. Это отражает неизменную приверженность Группы кибершпионажа деятельность в России, подчеркивая постоянную угрозу, исходящую от современных постоянных угроз повышенной сложности (apt), как PhantomCore.

Сосредоточение внимания на различных типах услуг и отраслях указывает на адаптивную стратегию атаки, которая может использовать различные векторы атак, адаптированные к окружающей среде и инфраструктуре каждого сектора, что в конечном итоге повышает шансы группы на достижение своих вредоносных целей.

#ParsedReport #CompletenessLow
22-01-2026

Watering Hole Attack Targets EmEditor Users with Information-Stealing Malware

https://www.trendmicro.com/en_us/research/26/a/watering-hole-attack-targets-emeditor-users.html

Report completeness: Low

Threats:
Watering_hole_technique
Supply_chain_technique

Victims:
Emeditor users, Developer communities, Windows software users

Geo:
Georgia, Armenia, Belarus, Kyrgyzstan, Japanese, Russian, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1059.001, T1105, T1195, T1204.002, T1218.007, T1555

IOCs:
Domain: 1
Url: 3

Soft:
Event Tracing for Windows

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ детализирует атаку watering hole, использующую скомпрометированный установщик для EmEditor, что позволяет злоумышленникам доставлять многоступенчатую полезную нагрузку вредоносного ПО для кражи учетных данных, эксфильтрации данных и перемещения внутри компании. Измененный .Пакет MSI, кажущийся легитимным, выполняет команду PowerShell для получения вредоносного ПО по, казалось бы, заслуживающему доверия URL-адресу, демонстрируя сложность атак по Цепочке поставок программного обеспечения, нацеленных на системы Windows. Этот метод скрывает вредоносные действия после установки, чтобы избежать раннего обнаружения.
-----

Недавний анализ TrendAI Research подробно описывает атаку на watering hole, связанную со взломанным установщиком EmEditor, текстового редактора, популярного среди разработчиков. Эта Компрометация цепочки поставок позволяет акторам-злоумышленникам доставлять многоступенчатую полезную нагрузку вредоносного ПО, способную осуществлять кражу учетных данных, эксфильтрацию данных и перемещение внутри компании в скомпрометированных сетях. Эксплуатируемый характер атаки позволяет ей откладывать вредоносные действия до завершения установки, тем самым обходя механизмы раннего обнаружения и продлевая потенциальные сбои в работе.

Напали установщика, изменены .Пакет MSI, маскируется, чтобы появиться законное и загружается из того, что похоже на официальном сайте EmEditor. После выполнения, он выполняет PowerShell PowerShell, который извлекает начальном этапе вредоносное ПО из предварительно настроенный URL-адрес, который сконструирован для поддержания фасада благонадежности. Такие методологии выделить все большую изощренность и методов, используемых субъектами угрозы в программное обеспечение цепочка поставок питания, специально предназначенные для Windows-систем на основе широко используемых приложений.

Чтобы снизить риски, связанные с этой и подобными атаками, рекомендуется использовать несколько рекомендаций по обеспечению безопасности. К ним относятся проверка целостности установщиков путем подтверждения цифровых подписей и тщательная проверка целостности файлов перед запуском, независимо от источника. Кроме того, управление использованием PowerShell имеет решающее значение; организациям следует внедрять средства контроля за выполнением PowerShell, применять надежные методы ведения журнала и отслеживать наличие запутанных сценариев, которые часто используются при сложных вторжениях.

Сохранение телеметрии конечных точек также важно, поскольку это обеспечивает видимость действий по ведению журнала и помогает поддерживать возможности обнаружения, даже если злоумышленники пытаются скрыть свои действия. Следует последовательно применять принцип наименьших привилегий, ограничивая доступ к учетным данным и гарантируя, что привилегированные учетные записи работают в пределах определенной области. Регулярный мониторинг действий по аутентификации может помочь выявить аномалии, свидетельствующие о перемещении внутри компании и попытках несанкционированного доступа.

#technique #llm

SilentDrift: Exploiting Action Chunking for Stealthy Backdoor Attacks on Vision-Language-Action Models

https://arxiv.org/html/2601.14323v1

#ParsedReport #CompletenessMedium
23-01-2026

Stanley A $6,000 Russian Malware Toolkit with Chrome Web Store Guarantee

https://www.varonis.com/blog/stanley-malware-kit

Report completeness: Medium

Actors/Campaigns:
Darkspectre

Threats:
Stanley_tool
Bec_technique
Smishing_technique
Crashfix

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 1
IP: 1

Soft:
Chrome, Firefox, ChatGPT, DeepSeek, Twitter

Wallets:
coinbase

Crypto:
binance

Functions:
setTimeout, getElementById, createElement, setAttribute

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор инструментов для вредоносного ПО Stanley представляет значительную угрозу в качестве вектора атаки на основе браузера, который может подделывать законные веб-сайты, сохраняя их исходные URL-адреса. Он использует механизм командования и контроля для поддержания закрепления и отслеживания жертв для нацеленных кампаний фишинга. Перехватывая навигацию и доставляя страницы с фишингом через полноэкранные iframe, он использует уязвимости современных методов удаленной работы, отражая растущую тенденцию к распространению вредоносных расширений для браузеров.
-----

Набор инструментов для вредоносного ПО "Stanley", который становится серьезной угрозой при атаках через браузер, предназначен для подмены веб-сайтов, сохраняя при этом исходный адрес нетронутым, с гарантией одобрения со стороны интернет-магазина Chrome. Впервые он появился в январе 2026 года, продаваясь как комплексный сервис с демонстрацией его возможностей на известных криптовалютных платформах, таких как Binance и Coinbase. Цена продажи набора инструментов в размере 6000 долларов отражает не только его функциональность, но, в частности, уверенность в получении одобрения Google Store и предоставляемых инструментах управления.

На техническом уровне, Стэнли использует командования и управления (C2) механизм общения, опрос каждые 10 секунд, чтобы поддерживать постоянный контакт с его сервера. Это позволяет злоумышленникам отслеживать статусы жертвы через IP-адресов, что облегчает нацелен фишинг-кампании, основанные на географических данных. Суть механизма заключается в перехвате навигации пользователя на веб-сайты и нацелен представляя фишинг-страницы через iframe в полноэкранном режиме наложения. Этот метод эффективно обманывает потерпевших, полагая, что они взаимодействуют с вполне законные сайты.

Код, лежащий в основе Stanley toolkit, хотя и функционален, имеет несколько шероховатостей, таких как комментарии на русском языке и непоследовательная обработка ошибок, что указывает на то, что это скорее отражение его маркетинговой направленности, а не продвинутой сложности. Это согласуется с более широкой тенденцией, когда вредоносные расширения браузера становятся основными векторами атак, используя уязвимости, связанные с современными политиками удаленной работы, средами SaaS и методами BYOD. Появление таких инструментов, как Stanley, свидетельствует об изменении характера угроз, нацеленных на миллионы пользователей в Интернете, что требует повышенной бдительности в отношении таких атак через браузер.

Этот метод подпадает под рамки MITRE ATT&CK с конкретным упоминанием установки вредоносного расширения для устойчивого доступа, что подчеркивает продолжающуюся эволюцию киберугроз в цифровом ландшафте.

#ParsedReport #CompletenessHigh
23-01-2026

Weaponized WinRAR Exploitation and Stealth Deployment of Fileless .NET RAT

https://www.cyfirma.com/research/weaponized-winrar-exploitation-and-stealth-deployment-of-fileless-net-rat/

Report completeness: High

Threats:
Motw_bypass_technique
Process_injection_technique
Donut
Quasar_rat
Lolbin_technique

Victims:
Windows users

Industry:
Healthcare

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 9
Technics: 17

IOCs:
File: 8
IP: 2
Path: 2
Command: 1
Hash: 4

Soft:
Windows security

Algorithms:
sha256, base64, xor

Win API:
OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread

Languages:
powershell

Platforms:
x86, amd64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная Вредоносная Кампания использует уязвимость проверки пути WinRAR (CVE-2025-8088) для организации скрытого удаленного доступа к системам Windows без повышенных привилегий. Злоумышленники используют защищенные архивы RAR для размещения вредоносных скриптов в каталогах автоматического выполнения, используя относительный обход путей для обхода мер безопасности. Конечная полезная нагрузка, Quasar RAT, обеспечивает широкие возможности удаленного доступа, в то время как вредоносное ПО избегает традиционного обнаружения, полностью запускаясь в памяти.
-----

В отчете CYFIRMA подробно описывается сложная Вредоносная Кампания, которая использует уязвимость проверки пути WinRAR (CVE-2025-8088) для обеспечения скрытого постоянного удаленного доступа к системам Windows без необходимости в повышенных привилегиях или наборах эксплойтов. Злоумышленники создают вооруженный архив RAR, замаскированный под законный пакет инструментов OSINT, который при извлечении позволяет размещать вредоносные скрипты в каталогах автоматического выполнения.

Использование CVE-2025-8088 позволяет вредоносному архиву записывать файлы за пределы предполагаемого каталога извлечения, эффективно обходя меры безопасности. Основной метод включает встраивание закодированных последовательностей обхода относительного пути в архив, которые в конечном счете нацелены на каталог запуска Windows. После извлечения активируется вредоносный пакетный скрипт, который устанавливает закрепление с помощью множества механизмов, включая модификации реестра и скрытые каталоги, предназначенные для того, чтобы избежать обнаружения.

После первоначального доступа и выполнения скрипта пакетный файл запускает загрузчик PowerShell. Этот загрузчик использует ExecutionPolicy Bypass для выполнения запутанного скрипта PowerShell, который расшифровывает созданный Donut шелл-код и впоследствии внедряет его в доверенные процессы Windows, такие как explorer.exe . Это позволяет полезной нагрузке полностью выполняться в памяти, сводя к минимуму влияние атаки и облегчая обход традиционной файловой защиты.

Окончательный полезной нагрузки, определяемый как Quasar RAT, обеспечивает возможность полного удаленного доступа, в том числе выполнения команды работы с файлами, Регистрация нажатий клавиш, и система мониторинга. Кампания иллюстрирует тенденцию среди субъектов опасный эксплуатировать надежные уязвимости в программном обеспечении и распространенных методов пользователей на первоначальный доступ и закрепление, тем самым избегая обычных обнаружения препятствия, связанные с вредоносным программным обеспечением.

#ParsedReport #CompletenessHigh
23-01-2026

G_Wagon: npm Package Deploys Python Stealer Targeting 100+ Crypto Wallets

https://www.aikido.dev/blog/npm-malware-g-wagon-python-stealer-crypto-wallets

Report completeness: High

Threats:
G_wagon
Supply_chain_technique
Dll_injection_technique

Victims:
Cryptocurrency users, Software developers

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1055, T1059.006, T1071.001, T1105, T1195.001, T1552.001, have more...

IOCs:
File: 16
Url: 2
Hash: 9
Domain: 2

Soft:
Discord, Chrome, macOS, OpenSSL, Ledger Live, Telegram, Steam

Wallets:
metamask, coinbase, trezor, exodus_wallet, polkadot

Crypto:
ethereum, solana, cardano, bitcoin

Algorithms:
xor, zip, sha256, base64

Functions:
downloadAndExtract

Win API:
NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

Languages:
python

Platforms:
intel, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет G_Wagon npm - это механизм развертывания вредоносного ПО, в частности, стиллер на Python, нацеленный на более чем 100 криптовалютных кошельков, демонстрирующий динамические обновления, которые включают сложные методы самосохранения и запутывания. Его работа включает в себя вводящий в заблуждение брендинг для маскировки злонамеренных намерений, за которым следует запутанная полезная нагрузка Python и DLL Injection с использованием библиотеки DLL Windows в кодировке base64 и зашифрованной XOR. Связь осуществляется через адаптивные серверы управления, что указывает на быстро обучающегося злоумышленника, совершенствующего тактику на основе оперативного анализа.
-----

Пакет G_Wagon НПМ было определено как вредоносное ПО развертывания вредоносного ПО, особенно Python Стиллер, что цели более 100 различных криптовалютных кошельков. Самое вредоносное ПО развивается через несколько версий, демонстрируя динамичный подход от злоумышленника. Последние обновления в этой серии демонстрируют сложный уровень самосохранения и методы обфускации. Например, версия 1.3.5 введен управление (С2) URL-адрес и фальшивого брендинга, чтобы ввести в заблуждение пользователей, в то время как последующие версии постепенной интеграции функций, таких как анти-криминалисты, обфускация кода, и уникального грузоподъемность выполнения метода, который позволяет избежать записи данных на диск.

В своей работе вредоносное ПО использует двухэтапный процесс, сначала используя обманчивый брендинг и сообщения, связанные с пользовательским интерфейсом, чтобы замаскировать свои вредоносные намерения, тем самым придавая им законный вид. Второй этап включает в себя полезную нагрузку на Python, которая сильно запутана, что затрудняет аналитикам анализ функциональности без тщательного исследования. Примечательно, что он также включает в себя DLL injection, выделяемый библиотекой DLL Windows с кодировкой base64 и XOR-шифрованием, встроенной в код Python.

Общение с инфраструктуры злоумышленника полагается на серверах двумя С2, хотя конкретики по На сервере и функции изменялись с течением времени, указывая на гибкой тактики оператора. Стремительное развитие цикла вредоносное ПО, которая включает в себя постоянные обновления и исправления ошибок, демонстрирует быстрый обучения злоумышленник способен совершенствуют свою тактику в режиме реального времени анализировать свою деятельность.

Чтобы снизить риск, связанный с этим вредоносным ПО, рекомендуется удалить пакет G_Wagon, удалить связанный каталог node_modules и проверить наличие файла .gwagon_status, который служит индикатором заражения. Пострадавшие пользователи должны предпринять комплексные действия по исправлению: изменить все сохраненные пароли для браузеров, отозвать и восстановить токены для любых скомпрометированных криптовалютных кошельков и изменить учетные данные для любых используемых Облачных сервисов. Кроме того, пользователям рекомендуется восстановить SSH-ключи и аннулировать все сеансы в таких сервисах, как Discord и Telegram, для обеспечения полной безопасности. В целом, вредоносное ПО G_Wagon представляет собой сложную угрозу с изощренными возможностями уклонения, требующую бдительности и быстрого реагирования со стороны нацеленных пользователей и организаций.

#ParsedReport #CompletenessLow
23-01-2026

MacSync stealer is using SEO poisoning and fake GitHub repositories

https://moonlock.com/macsync-stealer-fake-github-repositories

Report completeness: Low

Threats:
Macsyncstealer
Seo_poisoning_technique
Macc_stealer
Clickfix_technique

Victims:
Mac users

Industry:
Entertainment, Media

ChatGPT TTPs:
do not use without manual check
T1036.005, T1190, T1204.001, T1583.001, T1584.003

Soft:
macOS, WordPress, CorelCAD

Algorithms:
base64

Functions:
ReadMe

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MacSync stealer нацелена на пользователей Mac, используя поддельные репозитории GitHub для распространения вредоносного ПО через веб-страницы, вводящие в заблуждение, с использованием поисковой системы SEO poisoning ( utilizingo utilizing) и социальной инженерии. Злоумышленники используют метод ClickFix, побуждающий пользователей выполнять вредоносный код со взломанных сайтов. Вредоносное ПО способно красть конфиденциальную информацию, и кампания продолжается через несколько учетных записей GitHub, что усложняет усилия по смягчению последствий.
-----

Недавний анализ, проведенный командой Daylight Security MDR, показал масштабную кампанию с участием MacSync stealer, которая специально нацелена на пользователей Mac. В ходе этой операции злоумышленники используют GitHub, создавая поддельные репозитории, которые маскируются под законные загрузки программного обеспечения. Вместо того, чтобы просто размещать вредоносный код, злоумышленники превратили GitHub в платформу для размещения веб-страниц, вводящих в заблуждение, используя такие тактики, как Отравление поисковой оптимизации (SEO) и социальную инженерию, чтобы заманить пользователей.

В кампании используется метод, называемый ClickFix, при котором пользователей побуждают нажимать на кнопки "Загрузить для Mac", которые ведут на вредоносные сайты. Оказавшись на этих сайтах, пользователи копируют и выполняют код в своем терминале, позволяя вредоносному ПО заражать их системы. Этот метод манипулирования использует доверие пользователей к GitHub как к безопасному источнику программного обеспечения, что в конечном итоге облегчает распространение MacSync stealer.

Примечательно закрепление кампании, поскольку для циклического просмотра вредоносного контента используются несколько учетных записей GitHub, что усложняет усилия GitHub по смягчению угрозы. Исследователи безопасности описывают вариант MacSync, распространяемый в рамках этой кампании, как совпадающий с ранее идентифицированными версиями вредоносного ПО, что указывает на возможную эволюцию стратегии злоумышленников.

MacSync приобрел дурную славу благодаря своим возможностям по краже конфиденциальной информации с зараженных устройств. Вредоносное ПО представляет серьезную угрозу из-за своего сложного дизайна и эффективности тактики социальной инженерии, используемой для обхода типичных средств защиты пользователей. Исследователи подчеркивают риск для пользователей, которые неосознанно загрузили программное обеспечение с этих скомпрометированных страниц GitHub в течение последних 60-90 дней, рекомендуя заинтересованным лицам провести тщательную проверку на наличие вредоносного ПО на своих компьютерах Mac.

Чтобы оставаться защищенным от таких компромиссов, как MacSync, первостепенное значение имеет внедрение строгих методов цифровой гигиены. Пользователям рекомендуется сохранять бдительность при загрузке программного обеспечения, внимательно изучать исходные тексты и рассмотреть возможность использования специализированных приложений безопасности, предназначенных для обнаружения и нейтрализации угроз стиллеров. Инновационный подход кампании, использующий GitHub для распространения, подчеркивает тревожную тенденцию, при которой законные платформы используются в злонамеренных целях, усиливая необходимость постоянной осведомленности и упреждающих механизмов защиты в области кибербезопасности.

#ParsedReport #CompletenessLow
23-01-2026

EMERGING THREATS

https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20DevMan%20Ransomware.pdf

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Devman
Dragonforce_ransomware
Blackbasta
Conti
Impacket_tool
Donpapi_tool

Victims:
Healthcare industry

Industry:
Healthcare

Geo:
Asia, Africa

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 6
Technics: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DevMan, появившаяся в 2025 году, связана с семейством DragonForce ransomware и демонстрирует тенденции в ребрендинге и модульной разработке, распространенные в операциях с программами-вымогателями. Он использует агрессивную стратегию вымогательства, шифруя файлы и угрожая раскрытием украденных данных, что оказывает значительное воздействие на организации. Первоначальный доступ осуществляется с помощью скомпрометированных учетных данных или использования Служб удаленного доступа, за которыми следует разведка с целью нацеливания на ценные системы для расширенного шифрования по всей сети жертвы.
-----

Программа-вымогатель DevMan - это недавно выявленная программа-вымогатель, появившаяся в 2025 году и характеризующаяся как производная семейства DragonForce ransomware. Эта угроза была связана с тенденцией ребрендинга программ-вымогателей, наблюдаемой в других группах, таких как Conti и Black Basta, где операторы часто меняют идентификационные данные, используя схожую тактику и инфраструктуру. DevMan использует агрессивную модель вымогательства, оказывая воздействие на организации посредством шифрования файлов и потенциального раскрытия конфиденциальных данных, которые могут быть опубликованы на различных сайтах утечек. Этот двусторонний подход, связанный с нарушением работы и кражей данных, становится все более распространенным в операциях программ-вымогателей.

Недавний анализ показывает, что разработка DevMan's отражает модульный ландшафт программ-вымогателей, где операторы используют установленные кодовые базы и инфраструктуру, изменяя при этом свой брендинг и инструменты, чтобы избежать обнаружения и атрибуции. Это согласуется с более широкой тенденцией, когда группы вымогателей часто меняют свои идентификационные данные, сохраняя при этом неизменные методы вторжения и оперативные стратегии.

Что касается методов работы, DevMan признан адаптированным вариантом, основанным на кодовой базе DragonForce. Он следует структурированной схеме вторжения, типичной для современных атак программ-вымогателей, управляемых человеком. Первоначальный доступ часто осуществляется с помощью скомпрометированных учетных данных, использования незащищенных Служб удаленного доступа или аналогичных методов, позволяющих злоумышленникам получить интерактивный доступ в среде жертвы. Последующая разведка проводится с целью выявления систем с высокой стоимостью, выявления общих дисков и резервных копий и оценки наиболее эффективных хостов с точки зрения шифрования. Как только злоумышленники получат достаточные привилегии, у них появится возможность развернуть DevMan для широкомасштабного шифрования на конечных точках и ресурсах, доступных по сети. Потенциальное оказание дополнительного давления на жертв посредством угроз, связанных с украденными данными, еще больше усложняет ситуацию для организаций, подвергшихся воздействию.

Таким образом, программа-вымогатель DevMan представляет собой сложную и эволюционирующую угрозу, которая иллюстрирует современные тенденции в работе программ-вымогателей, особенно с точки зрения их модульной, адаптивной природы и агрессивной тактики, направленной на максимизацию результатов вымогательства.

#ParsedReport #CompletenessLow
23-01-2026

Vercel-hosted RMM abuse campaign evolves with Telegram C2 for victim filtering

https://www.cloudflare.com/en-au/cloudforce-one/research/report/vercel-hosted-rmm-abuse-campaign-evolves-with-telegram-c2-for-victim-filtering/

Report completeness: Low

Threats:
Gotoresolve_tool
Logmein_tool
Lolbin_technique

Victims:
General users

Industry:
Financial, Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1204.001, T1566.002, T1584.006

IOCs:
File: 2

Soft:
Telegram