#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DevMan, появившаяся в 2025 году, связана с семейством DragonForce ransomware и демонстрирует тенденции в ребрендинге и модульной разработке, распространенные в операциях с программами-вымогателями. Он использует агрессивную стратегию вымогательства, шифруя файлы и угрожая раскрытием украденных данных, что оказывает значительное воздействие на организации. Первоначальный доступ осуществляется с помощью скомпрометированных учетных данных или использования Служб удаленного доступа, за которыми следует разведка с целью нацеливания на ценные системы для расширенного шифрования по всей сети жертвы.
-----

Программа-вымогатель DevMan - это недавно выявленная программа-вымогатель, появившаяся в 2025 году и характеризующаяся как производная семейства DragonForce ransomware. Эта угроза была связана с тенденцией ребрендинга программ-вымогателей, наблюдаемой в других группах, таких как Conti и Black Basta, где операторы часто меняют идентификационные данные, используя схожую тактику и инфраструктуру. DevMan использует агрессивную модель вымогательства, оказывая воздействие на организации посредством шифрования файлов и потенциального раскрытия конфиденциальных данных, которые могут быть опубликованы на различных сайтах утечек. Этот двусторонний подход, связанный с нарушением работы и кражей данных, становится все более распространенным в операциях программ-вымогателей.

Недавний анализ показывает, что разработка DevMan's отражает модульный ландшафт программ-вымогателей, где операторы используют установленные кодовые базы и инфраструктуру, изменяя при этом свой брендинг и инструменты, чтобы избежать обнаружения и атрибуции. Это согласуется с более широкой тенденцией, когда группы вымогателей часто меняют свои идентификационные данные, сохраняя при этом неизменные методы вторжения и оперативные стратегии.

Что касается методов работы, DevMan признан адаптированным вариантом, основанным на кодовой базе DragonForce. Он следует структурированной схеме вторжения, типичной для современных атак программ-вымогателей, управляемых человеком. Первоначальный доступ часто осуществляется с помощью скомпрометированных учетных данных, использования незащищенных Служб удаленного доступа или аналогичных методов, позволяющих злоумышленникам получить интерактивный доступ в среде жертвы. Последующая разведка проводится с целью выявления систем с высокой стоимостью, выявления общих дисков и резервных копий и оценки наиболее эффективных хостов с точки зрения шифрования. Как только злоумышленники получат достаточные привилегии, у них появится возможность развернуть DevMan для широкомасштабного шифрования на конечных точках и ресурсах, доступных по сети. Потенциальное оказание дополнительного давления на жертв посредством угроз, связанных с украденными данными, еще больше усложняет ситуацию для организаций, подвергшихся воздействию.

Таким образом, программа-вымогатель DevMan представляет собой сложную и эволюционирующую угрозу, которая иллюстрирует современные тенденции в работе программ-вымогателей, особенно с точки зрения их модульной, адаптивной природы и агрессивной тактики, направленной на максимизацию результатов вымогательства.

#ParsedReport #CompletenessLow
23-01-2026

Vercel-hosted RMM abuse campaign evolves with Telegram C2 for victim filtering

https://www.cloudflare.com/en-au/cloudforce-one/research/report/vercel-hosted-rmm-abuse-campaign-evolves-with-telegram-c2-for-victim-filtering/

Report completeness: Low

Threats:
Gotoresolve_tool
Logmein_tool
Lolbin_technique

Victims:
General users

Industry:
Financial, Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1204.001, T1566.002, T1584.006

IOCs:
File: 2

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, проводившаяся с ноября 2025 по январь 2026 года, использует хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT), используя методы социальной инженерии, ориентированные на финансовую срочность и Имперсонацию. Злоумышленники используют минимум текста в фишингов электронных письмах, чтобы заставить получателей переходить по ссылкам на сайты, размещенные на Vercel, стремясь обойти меры безопасности и эффективно скомпрометировать свои цели. Эта эволюция тактики указывает на значительное улучшение технического исполнения атакующих с момента ее первоначального документирования в июне 2025 года.
-----

В ходе недавней кампании по фишингу, наблюдавшейся с ноября 2025 по январь 2026 года, злоумышленники использовали хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT). Первоначально задокументированная CyberArmor в июне 2025 года, эта кампания продемонстрировала значительную эволюцию в своей тактике и техническом исполнении.

Злоумышленники пользуются доверием пользователей в законную услуг для повышения эффективности кампании, используя тактику социальной инженерии сосредоточена вокруг темы финансовой актуальность и имперсонация. Фишинг-писем, как правило, обладают минимальным текст, который вызывает ощущение срочности, часто ссылающиеся на "неоплаченные счета", "платежные ведомости" и просит для "документов". Такая формулировка призвана заставить получателей перейти по вредоносным ссылкам.

Цепочка атак начинается с доставки этих электронных писем с фишингом. Цели получают электронное письмо, содержащее ссылку, ведущую на сайт, размещенный в Vercel. Срочность, создаваемая содержанием электронного письма, является стратегическим элементом, направленным на поощрение немедленных действий со стороны получателей, которые могут не учитывать общепринятые методы обеспечения безопасности.

#ParsedReport #CompletenessLow
23-01-2026

The new Mac stealer in town: MonetaStealer is after crypto wallets

https://moonlock.com/new-monetastealer-crypto-wallets

Report completeness: Low

Threats:
Monetastealer
Monetastaler
Macc_stealer

Victims:
Mac users, Cryptocurrency users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1074.001, T1102, T1204.002, T1539, T1555.003, T1560.001

IOCs:
File: 2

Soft:
macOS, Telegram, Chrome

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
zip

Languages:
python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MonetaStealer - это вредоносное ПО для macOS, нацеленное на криптовалютные кошельки, выявленное исследователями безопасности Iru. Этот автономный исполняемый файл, распространяемый в виде исполняемого файла Windows .exe, собирает конфиденциальные данные из Google Chrome, такие как пароли и история посещенных страниц, сжимая их в zip-файл на рабочем столе пользователя. Анализ кода предполагает, что он может быть разработан русскоязычными злоумышленниками, что подчеркивает сохраняющуюся угрозу вредоносного ПО, нацеленного на криптопользователей.
-----

MonetaStealer - это недавно обнаруженное вредоносное ПО для macOS, которое специально нацелено на криптовалютные кошельки, представляя собой отличный подход по сравнению с существующими решениями. Идентифицированный исследователями безопасности Iru, MonetaStealer описывается как автономное вредоносное ПО, что означает, что он работает как автономный исполняемый файл, не полагаясь на другие компоненты вредоносного ПО для получения дополнительной полезной нагрузки. Интересно, что вредоносное ПО распространяется в виде exe-файла, формата, родного для Windows, что потенциально вводит в заблуждение пользователей, которые загружают его, создавая впечатление, что они приобретают законное программное обеспечение для macOS.

Анализ кода показывает, что MonetaStealer содержит обширные комментарии на русском языке, указывающие на то, что он может исходить от русскоязычных злоумышленников или быть разработан ими. Его основная функциональность сосредоточена на удалении конфиденциальных данных из Google Chrome, включая сохраненные пароли, файлы cookie и историю посещенных страниц. Вредоносное ПО собирает эти данные и сжимает их в zip-файл с надписью "УКРАДЕННЫЙ {SessionID}.zip", который впоследствии помещается в каталог рабочего стола пользователя.

Хотя причины продолжающейся разработки новых стиллеров для macOS, таких как MonetaStealer, остаются неоднозначными, это может отражать эволюцию распространения вредоносного ПО или стремления новых злоумышленников, стремящихся выйти на рынок вредоносного ПО как услуги. Наличие такого вредоносного ПО представляет значительные риски для пользователей, особенно владельцев криптокошельков, поскольку украденная учетная информация может привести к несанкционированному доступу и финансовым потерям.

Чтобы снизить риски, связанные с MonetaStealer и подобными угрозами, частным лицам рекомендуется проявлять осторожность при загрузке, особенно избегать пиратского программного обеспечения, и выбирать приложения от уважаемых разработчиков. Обеспечение надежных мер безопасности, таких как антивирусные средства, может дополнительно защитить от потенциальных заражений вредоносным ПО.

Speculative Analysis and Correlation Study on the Cyber Operations Capability Spectrum Underlying the US Military Invasion of Venezuela

https://www.antiy.net/p/speculative-analysis-and-correlation-study-on-the-cyber-operations-capability-spectrum-underlying-the-us-military-invasion-of-venezuela/

Analysing Carding Infrastructure

https://www.team-cymru.com/post/analysing-carding-infrastructure

#technique

EvilNeko

EvilNeko is a project to automate orchestration of containers and operationalize Browser in the Browser (BITB) attacks for red teams.

https://github.com/CorvraLabs/EvilNeko

#ParsedReport #CompletenessHigh
21-01-2026

Attack on *stan: Your malware, my C2

https://ctrlaltintel.com/threat%20research/KazakRAT/

Report completeness: High

Actors/Campaigns:
Transparenttribe

Threats:
Kazakrat
Xsploit_tool

Victims:
Government sector, Public works sector

Industry:
Government

Geo:
India, Saudi arabia, Syrian, Afghanistan, Kazakhstan, Afghan, Pakistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1083, T1105, T1106, T1204.002, T1218.011, T1547.001, T1564.001, T1566.001, have more...

IOCs:
File: 2
Path: 3
Domain: 5
IP: 6
Hash: 29

Soft:
Android, Microsoft Word

Algorithms:
md5, sha256

Functions:
GetLocalDrives

Win API:
SetTimer, CreateProcessW, EnumProcesses, GetVersionExW, CreateDirectoryA, SetFileAttributesW, FindFirstFileA, FindNextFileA

Languages:
php, python

YARA: Found

Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/YARA-Rules/KazakRAT-Jan2026.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Постоянная Вредоносная Кампания, связанная с предполагаемым актором, связанным с государством, нацелена на Казахстан и Афганистан с использованием вредоносного ПО KazakRAT. Вредоносное ПО распространяется в виде файлов .msi и поддерживает закрепление с помощью раздела реестра Run, используя функцию Win32 API SetTimer для связи с сервером управления, dns.freiesasien.com . Он использует различные механизмы доставки, включая поддельные документы, и позволяет операторам выполнять команды для системного перечисления и управления файлами, что отражает ограниченную оперативную зрелость из-за незашифрованных сообщений C2 и неэффективного обслуживания домена.
-----

Анализ выявил постоянную Вредоносную Кампанию, связанную с предполагаемым актором, связанным с государством, нацеленным на организации в Казахстане и Афганистане. Вредоносное ПО, именуемое KazakRAT, использует серверы управления (C2) по крайней мере с августа 2022 года и использует различные тактики доставки и закрепления вредоносного ПО. В частности, образцы вредоносного ПО были доставлены в виде файлов .msi, причем каждый вариант использует разные механизмы, в то время как все они управляют закреплением с помощью раздела реестра Run, запуская DLL с помощью rundll32.

KazakRAT использует функцию Win32 API SetTimer для связи, маяки каждые пять секунд для получения команд из своей инфраструктуры C2. Домен C2, наблюдаемый в этой кампании, dns.freiesasien.com , работает по незашифрованному протоколу HTTP, иллюстрируя минимальные усилия для уклонения. Акторы, стоящие за этой кампанией, демонстрируют ограниченную оперативную зрелость, о чем свидетельствует их неспособность поддерживать активные домены C2.

Рассмотренные варианты вредоносного ПО включают различные механизмы доставки в сочетании с документами-приманками, направленными на повышение вероятности выполнения. Например, один вариант маскируется под документ Word, содержащий поддельные переписки официальных лиц, в то время как другие используют отсканированные документы, выдающие себя за официальные сообщения властей. При выполнении все варианты KazakRAT используют такие функции, как CreateProcessW для выполнения команды и GetLocalDrives() для сбора информации о локальных дисках.

KazakRAT позволяет операторам выполнять ряд команд, включая те, которые перечисляют системную информацию, создают скрытые папки и загружают файлы. Для таких команд, как “exec” и “info”, RAT может выполнять переданные исполняемые файлы и собирать информацию о версии операционной системы соответственно. Примечательно, что возможность создавать скрытые каталоги и функциональность для загрузки файлов с указанных URL-адресов еще больше расширяют операционные возможности вредоносного ПО.

#ParsedReport #CompletenessMedium
23-01-2026

Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware

https://www.threatlocker.com/blog/fake-booking-com-clickfix-attack-abuses-cloudflare-verification-to-deliver-malware

Report completeness: Medium

Threats:
Clickfix_technique
Hijackloader
Purelogs
Cobalt_strike_tool
Remcos_rat
Purerat
Stealc
Dotnet_reactor_tool
Vmprotect_tool
Lolbin_technique

Victims:
Travel and hospitality sector, General users booking travel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.001, T1059.003, T1060, T1082, T1090, T1090.003, T1105, have more...

IOCs:
Domain: 3
File: 6
Url: 18
Registry: 1
Hash: 73
IP: 2

Soft:
Cloudflare turnstile, Node.js, Curl, NET Reactor

Algorithms:
sha256

Functions:
RegWrite

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, code: 10, windows: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака ClickFix использует поддомен, вводящий в заблуждение "booking.com - чтобы обманом заставить жертв выполнять вредоносные команды, снижая их защиту. Начальная полезная нагрузка, "Lwiiiqzxxgaghaas.js , "загружает дополнительное вредоносное ПО и устанавливает закрепление путем изменения записей реестра, в то время как конечная полезная нагрузка",Jghiiznajjdvlad.js ," собирает конфиденциальную системную информацию и подключается к домену ".onion" через локальный прокси-сервер Tor. Связанный с кампанией аккаунт на GitHub содержит активные репозитории со сложными инструментами для работы с вредоносным ПО, что указывает на постоянное развитие угрозы.
-----

Атака ClickFix, использующая ложный "booking.com " сайт демонстрирует сложный подход к социальной инженерии. Идентифицированная ThreatLocker Threat Intelligence, эта кампания использует вредоносный поддомен, который имитирует законную страницу проверки Cloudflare. Жертвы, надеющиеся организовать поездку, направляются по адресу "admin.booking.com ," который инициирует вредоносный процесс, заставляя пользователей выполнять команды без их ведома, что значительно снижает их защиту от развертывания вредоносного ПО.

Начальная полезная нагрузка, известная как "Lwiiiqzxxgaghaas.js ," служит нескольким целям: загружает дополнительные Вредоносные файлы и устанавливает закрепление на компьютере жертвы путем создания записей в реестре. Сначала он извлекает данные из вредоносного репозитория GitHub, в частности файл с именем "ConfAI.txt ," который содержит переменные, имеющие решающее значение для дальнейшей эксплуатации. Это включает инструкции по загрузке для последующего этапа и путь к реестру, который обеспечит запуск вредоносного ПО при запуске системы.

Конечная полезная нагрузка, "Jghiiznajjdvlad.js", заключается в сборе конфиденциальной информации из системы пользователя, такой как IP-адрес, имя хоста и тип операционной системы. Эта полезная нагрузка настраивает локальный прокси-сервер Tor socks, облегчающий подключение к встроенному домену ".onion", что подчеркивает намерение злоумышленников скрыть свою деятельность. На момент обнаружения ссылка onion была удалена, что указывает на потенциально изменчивую и адаптивную угрозу.

Кроме того, вредоносная учетная запись GitHub, связанная с этой кампанией, содержит три активных хранилища, содержащих различные инструменты для эксплуатации и штаммы вредоносного ПО, включая такие известные угрозы, как Cobalt Strike и Remcos Rat. В этих хранилищах представлены последние обновления, свидетельствующие о продолжающемся развитии и распространении этих ресурсов. Инструменты часто запутываются с использованием коммерческих средств защиты, что усложняет анализ и принятие ответных мер.

#ParsedReport #CompletenessHigh
23-01-2026

Revisiting GPUGate: Repo Squatting and OpenCL Deception to Deliver HijackLoader

https://gmo-cybersecurity.com/blog/revisiting-gpugate-repo-squatting-and-opencl-deception-to-deliver-hijackloader/

Report completeness: High

Threats:
Repo_squatting_technique
Gpugate_technique
Hijackloader
Dll_sideloading_technique
Amos_stealer
Sectop_rat
Lumma_stealer

Victims:
Developers, Individuals searching for developer tools

Geo:
Japanese, Japan

CVEs:
CVE-2021-31805 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (le2.5.29)

CVE-2022-33891 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache spark (le3.0.3, le3.1.2, le3.2.1)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1057, T1059.001, T1059.005, T1189, T1497.003, T1562.001, T1574.002, T1583.001, have more...

IOCs:
File: 12
Hash: 30
Path: 6
Domain: 1
IP: 1
Url: 14

Soft:
Apache Spark, macOS, Windows installer, NET core, Microsoft Defender, BinDiff

Algorithms:
aes-128, cbc, sha256, sha1, xor

Functions:
GenerateKey, generate_key, DecryptPayload, OpenCL, GetByteArrayAsync

Win API:
ZwQuerySystemInformation, NtDelayExecution

Win Services:
avastsvc

Languages:
php, powershell

YARA: Found

Links:
have more...
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#key-takeaways
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#introduction
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#malware-delivery-malvertising--github-repo-squatting

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 9, dump: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4