#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MacSync stealer нацелена на пользователей Mac, используя поддельные репозитории GitHub для распространения вредоносного ПО через веб-страницы, вводящие в заблуждение, с использованием поисковой системы SEO poisoning ( utilizingo utilizing) и социальной инженерии. Злоумышленники используют метод ClickFix, побуждающий пользователей выполнять вредоносный код со взломанных сайтов. Вредоносное ПО способно красть конфиденциальную информацию, и кампания продолжается через несколько учетных записей GitHub, что усложняет усилия по смягчению последствий.
-----

Недавний анализ, проведенный командой Daylight Security MDR, показал масштабную кампанию с участием MacSync stealer, которая специально нацелена на пользователей Mac. В ходе этой операции злоумышленники используют GitHub, создавая поддельные репозитории, которые маскируются под законные загрузки программного обеспечения. Вместо того, чтобы просто размещать вредоносный код, злоумышленники превратили GitHub в платформу для размещения веб-страниц, вводящих в заблуждение, используя такие тактики, как Отравление поисковой оптимизации (SEO) и социальную инженерию, чтобы заманить пользователей.

В кампании используется метод, называемый ClickFix, при котором пользователей побуждают нажимать на кнопки "Загрузить для Mac", которые ведут на вредоносные сайты. Оказавшись на этих сайтах, пользователи копируют и выполняют код в своем терминале, позволяя вредоносному ПО заражать их системы. Этот метод манипулирования использует доверие пользователей к GitHub как к безопасному источнику программного обеспечения, что в конечном итоге облегчает распространение MacSync stealer.

Примечательно закрепление кампании, поскольку для циклического просмотра вредоносного контента используются несколько учетных записей GitHub, что усложняет усилия GitHub по смягчению угрозы. Исследователи безопасности описывают вариант MacSync, распространяемый в рамках этой кампании, как совпадающий с ранее идентифицированными версиями вредоносного ПО, что указывает на возможную эволюцию стратегии злоумышленников.

MacSync приобрел дурную славу благодаря своим возможностям по краже конфиденциальной информации с зараженных устройств. Вредоносное ПО представляет серьезную угрозу из-за своего сложного дизайна и эффективности тактики социальной инженерии, используемой для обхода типичных средств защиты пользователей. Исследователи подчеркивают риск для пользователей, которые неосознанно загрузили программное обеспечение с этих скомпрометированных страниц GitHub в течение последних 60-90 дней, рекомендуя заинтересованным лицам провести тщательную проверку на наличие вредоносного ПО на своих компьютерах Mac.

Чтобы оставаться защищенным от таких компромиссов, как MacSync, первостепенное значение имеет внедрение строгих методов цифровой гигиены. Пользователям рекомендуется сохранять бдительность при загрузке программного обеспечения, внимательно изучать исходные тексты и рассмотреть возможность использования специализированных приложений безопасности, предназначенных для обнаружения и нейтрализации угроз стиллеров. Инновационный подход кампании, использующий GitHub для распространения, подчеркивает тревожную тенденцию, при которой законные платформы используются в злонамеренных целях, усиливая необходимость постоянной осведомленности и упреждающих механизмов защиты в области кибербезопасности.

#ParsedReport #CompletenessLow
23-01-2026

EMERGING THREATS

https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20DevMan%20Ransomware.pdf

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Devman
Dragonforce_ransomware
Blackbasta
Conti
Impacket_tool
Donpapi_tool

Victims:
Healthcare industry

Industry:
Healthcare

Geo:
Asia, Africa

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 6
Technics: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DevMan, появившаяся в 2025 году, связана с семейством DragonForce ransomware и демонстрирует тенденции в ребрендинге и модульной разработке, распространенные в операциях с программами-вымогателями. Он использует агрессивную стратегию вымогательства, шифруя файлы и угрожая раскрытием украденных данных, что оказывает значительное воздействие на организации. Первоначальный доступ осуществляется с помощью скомпрометированных учетных данных или использования Служб удаленного доступа, за которыми следует разведка с целью нацеливания на ценные системы для расширенного шифрования по всей сети жертвы.
-----

Программа-вымогатель DevMan - это недавно выявленная программа-вымогатель, появившаяся в 2025 году и характеризующаяся как производная семейства DragonForce ransomware. Эта угроза была связана с тенденцией ребрендинга программ-вымогателей, наблюдаемой в других группах, таких как Conti и Black Basta, где операторы часто меняют идентификационные данные, используя схожую тактику и инфраструктуру. DevMan использует агрессивную модель вымогательства, оказывая воздействие на организации посредством шифрования файлов и потенциального раскрытия конфиденциальных данных, которые могут быть опубликованы на различных сайтах утечек. Этот двусторонний подход, связанный с нарушением работы и кражей данных, становится все более распространенным в операциях программ-вымогателей.

Недавний анализ показывает, что разработка DevMan's отражает модульный ландшафт программ-вымогателей, где операторы используют установленные кодовые базы и инфраструктуру, изменяя при этом свой брендинг и инструменты, чтобы избежать обнаружения и атрибуции. Это согласуется с более широкой тенденцией, когда группы вымогателей часто меняют свои идентификационные данные, сохраняя при этом неизменные методы вторжения и оперативные стратегии.

Что касается методов работы, DevMan признан адаптированным вариантом, основанным на кодовой базе DragonForce. Он следует структурированной схеме вторжения, типичной для современных атак программ-вымогателей, управляемых человеком. Первоначальный доступ часто осуществляется с помощью скомпрометированных учетных данных, использования незащищенных Служб удаленного доступа или аналогичных методов, позволяющих злоумышленникам получить интерактивный доступ в среде жертвы. Последующая разведка проводится с целью выявления систем с высокой стоимостью, выявления общих дисков и резервных копий и оценки наиболее эффективных хостов с точки зрения шифрования. Как только злоумышленники получат достаточные привилегии, у них появится возможность развернуть DevMan для широкомасштабного шифрования на конечных точках и ресурсах, доступных по сети. Потенциальное оказание дополнительного давления на жертв посредством угроз, связанных с украденными данными, еще больше усложняет ситуацию для организаций, подвергшихся воздействию.

Таким образом, программа-вымогатель DevMan представляет собой сложную и эволюционирующую угрозу, которая иллюстрирует современные тенденции в работе программ-вымогателей, особенно с точки зрения их модульной, адаптивной природы и агрессивной тактики, направленной на максимизацию результатов вымогательства.

#ParsedReport #CompletenessLow
23-01-2026

Vercel-hosted RMM abuse campaign evolves with Telegram C2 for victim filtering

https://www.cloudflare.com/en-au/cloudforce-one/research/report/vercel-hosted-rmm-abuse-campaign-evolves-with-telegram-c2-for-victim-filtering/

Report completeness: Low

Threats:
Gotoresolve_tool
Logmein_tool
Lolbin_technique

Victims:
General users

Industry:
Financial, Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1204.001, T1566.002, T1584.006

IOCs:
File: 2

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, проводившаяся с ноября 2025 по январь 2026 года, использует хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT), используя методы социальной инженерии, ориентированные на финансовую срочность и Имперсонацию. Злоумышленники используют минимум текста в фишингов электронных письмах, чтобы заставить получателей переходить по ссылкам на сайты, размещенные на Vercel, стремясь обойти меры безопасности и эффективно скомпрометировать свои цели. Эта эволюция тактики указывает на значительное улучшение технического исполнения атакующих с момента ее первоначального документирования в июне 2025 года.
-----

В ходе недавней кампании по фишингу, наблюдавшейся с ноября 2025 по январь 2026 года, злоумышленники использовали хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT). Первоначально задокументированная CyberArmor в июне 2025 года, эта кампания продемонстрировала значительную эволюцию в своей тактике и техническом исполнении.

Злоумышленники пользуются доверием пользователей в законную услуг для повышения эффективности кампании, используя тактику социальной инженерии сосредоточена вокруг темы финансовой актуальность и имперсонация. Фишинг-писем, как правило, обладают минимальным текст, который вызывает ощущение срочности, часто ссылающиеся на "неоплаченные счета", "платежные ведомости" и просит для "документов". Такая формулировка призвана заставить получателей перейти по вредоносным ссылкам.

Цепочка атак начинается с доставки этих электронных писем с фишингом. Цели получают электронное письмо, содержащее ссылку, ведущую на сайт, размещенный в Vercel. Срочность, создаваемая содержанием электронного письма, является стратегическим элементом, направленным на поощрение немедленных действий со стороны получателей, которые могут не учитывать общепринятые методы обеспечения безопасности.

#ParsedReport #CompletenessLow
23-01-2026

The new Mac stealer in town: MonetaStealer is after crypto wallets

https://moonlock.com/new-monetastealer-crypto-wallets

Report completeness: Low

Threats:
Monetastealer
Monetastaler
Macc_stealer

Victims:
Mac users, Cryptocurrency users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1074.001, T1102, T1204.002, T1539, T1555.003, T1560.001

IOCs:
File: 2

Soft:
macOS, Telegram, Chrome

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
zip

Languages:
python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MonetaStealer - это вредоносное ПО для macOS, нацеленное на криптовалютные кошельки, выявленное исследователями безопасности Iru. Этот автономный исполняемый файл, распространяемый в виде исполняемого файла Windows .exe, собирает конфиденциальные данные из Google Chrome, такие как пароли и история посещенных страниц, сжимая их в zip-файл на рабочем столе пользователя. Анализ кода предполагает, что он может быть разработан русскоязычными злоумышленниками, что подчеркивает сохраняющуюся угрозу вредоносного ПО, нацеленного на криптопользователей.
-----

MonetaStealer - это недавно обнаруженное вредоносное ПО для macOS, которое специально нацелено на криптовалютные кошельки, представляя собой отличный подход по сравнению с существующими решениями. Идентифицированный исследователями безопасности Iru, MonetaStealer описывается как автономное вредоносное ПО, что означает, что он работает как автономный исполняемый файл, не полагаясь на другие компоненты вредоносного ПО для получения дополнительной полезной нагрузки. Интересно, что вредоносное ПО распространяется в виде exe-файла, формата, родного для Windows, что потенциально вводит в заблуждение пользователей, которые загружают его, создавая впечатление, что они приобретают законное программное обеспечение для macOS.

Анализ кода показывает, что MonetaStealer содержит обширные комментарии на русском языке, указывающие на то, что он может исходить от русскоязычных злоумышленников или быть разработан ими. Его основная функциональность сосредоточена на удалении конфиденциальных данных из Google Chrome, включая сохраненные пароли, файлы cookie и историю посещенных страниц. Вредоносное ПО собирает эти данные и сжимает их в zip-файл с надписью "УКРАДЕННЫЙ {SessionID}.zip", который впоследствии помещается в каталог рабочего стола пользователя.

Хотя причины продолжающейся разработки новых стиллеров для macOS, таких как MonetaStealer, остаются неоднозначными, это может отражать эволюцию распространения вредоносного ПО или стремления новых злоумышленников, стремящихся выйти на рынок вредоносного ПО как услуги. Наличие такого вредоносного ПО представляет значительные риски для пользователей, особенно владельцев криптокошельков, поскольку украденная учетная информация может привести к несанкционированному доступу и финансовым потерям.

Чтобы снизить риски, связанные с MonetaStealer и подобными угрозами, частным лицам рекомендуется проявлять осторожность при загрузке, особенно избегать пиратского программного обеспечения, и выбирать приложения от уважаемых разработчиков. Обеспечение надежных мер безопасности, таких как антивирусные средства, может дополнительно защитить от потенциальных заражений вредоносным ПО.

Speculative Analysis and Correlation Study on the Cyber Operations Capability Spectrum Underlying the US Military Invasion of Venezuela

https://www.antiy.net/p/speculative-analysis-and-correlation-study-on-the-cyber-operations-capability-spectrum-underlying-the-us-military-invasion-of-venezuela/

Analysing Carding Infrastructure

https://www.team-cymru.com/post/analysing-carding-infrastructure

#technique

EvilNeko

EvilNeko is a project to automate orchestration of containers and operationalize Browser in the Browser (BITB) attacks for red teams.

https://github.com/CorvraLabs/EvilNeko

#ParsedReport #CompletenessHigh
21-01-2026

Attack on *stan: Your malware, my C2

https://ctrlaltintel.com/threat%20research/KazakRAT/

Report completeness: High

Actors/Campaigns:
Transparenttribe

Threats:
Kazakrat
Xsploit_tool

Victims:
Government sector, Public works sector

Industry:
Government

Geo:
India, Saudi arabia, Syrian, Afghanistan, Kazakhstan, Afghan, Pakistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1083, T1105, T1106, T1204.002, T1218.011, T1547.001, T1564.001, T1566.001, have more...

IOCs:
File: 2
Path: 3
Domain: 5
IP: 6
Hash: 29

Soft:
Android, Microsoft Word

Algorithms:
md5, sha256

Functions:
GetLocalDrives

Win API:
SetTimer, CreateProcessW, EnumProcesses, GetVersionExW, CreateDirectoryA, SetFileAttributesW, FindFirstFileA, FindNextFileA

Languages:
php, python

YARA: Found

Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/YARA-Rules/KazakRAT-Jan2026.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Постоянная Вредоносная Кампания, связанная с предполагаемым актором, связанным с государством, нацелена на Казахстан и Афганистан с использованием вредоносного ПО KazakRAT. Вредоносное ПО распространяется в виде файлов .msi и поддерживает закрепление с помощью раздела реестра Run, используя функцию Win32 API SetTimer для связи с сервером управления, dns.freiesasien.com . Он использует различные механизмы доставки, включая поддельные документы, и позволяет операторам выполнять команды для системного перечисления и управления файлами, что отражает ограниченную оперативную зрелость из-за незашифрованных сообщений C2 и неэффективного обслуживания домена.
-----

Анализ выявил постоянную Вредоносную Кампанию, связанную с предполагаемым актором, связанным с государством, нацеленным на организации в Казахстане и Афганистане. Вредоносное ПО, именуемое KazakRAT, использует серверы управления (C2) по крайней мере с августа 2022 года и использует различные тактики доставки и закрепления вредоносного ПО. В частности, образцы вредоносного ПО были доставлены в виде файлов .msi, причем каждый вариант использует разные механизмы, в то время как все они управляют закреплением с помощью раздела реестра Run, запуская DLL с помощью rundll32.

KazakRAT использует функцию Win32 API SetTimer для связи, маяки каждые пять секунд для получения команд из своей инфраструктуры C2. Домен C2, наблюдаемый в этой кампании, dns.freiesasien.com , работает по незашифрованному протоколу HTTP, иллюстрируя минимальные усилия для уклонения. Акторы, стоящие за этой кампанией, демонстрируют ограниченную оперативную зрелость, о чем свидетельствует их неспособность поддерживать активные домены C2.

Рассмотренные варианты вредоносного ПО включают различные механизмы доставки в сочетании с документами-приманками, направленными на повышение вероятности выполнения. Например, один вариант маскируется под документ Word, содержащий поддельные переписки официальных лиц, в то время как другие используют отсканированные документы, выдающие себя за официальные сообщения властей. При выполнении все варианты KazakRAT используют такие функции, как CreateProcessW для выполнения команды и GetLocalDrives() для сбора информации о локальных дисках.

KazakRAT позволяет операторам выполнять ряд команд, включая те, которые перечисляют системную информацию, создают скрытые папки и загружают файлы. Для таких команд, как “exec” и “info”, RAT может выполнять переданные исполняемые файлы и собирать информацию о версии операционной системы соответственно. Примечательно, что возможность создавать скрытые каталоги и функциональность для загрузки файлов с указанных URL-адресов еще больше расширяют операционные возможности вредоносного ПО.

#ParsedReport #CompletenessMedium
23-01-2026

Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware

https://www.threatlocker.com/blog/fake-booking-com-clickfix-attack-abuses-cloudflare-verification-to-deliver-malware

Report completeness: Medium

Threats:
Clickfix_technique
Hijackloader
Purelogs
Cobalt_strike_tool
Remcos_rat
Purerat
Stealc
Dotnet_reactor_tool
Vmprotect_tool
Lolbin_technique

Victims:
Travel and hospitality sector, General users booking travel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.001, T1059.003, T1060, T1082, T1090, T1090.003, T1105, have more...

IOCs:
Domain: 3
File: 6
Url: 18
Registry: 1
Hash: 73
IP: 2

Soft:
Cloudflare turnstile, Node.js, Curl, NET Reactor

Algorithms:
sha256

Functions:
RegWrite

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, code: 10, windows: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4