CTT Report Hub
#ParsedReport #CompletenessMedium 21-01-2026 ClickFix Campaign Hijacks Facebook Sessions at Scale by Abusing Verification and Appeal Workflows https://hunt.io/blog/clickfix-facebook-session-hijacking Report completeness: Medium Threats: Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ClickFix - это операция фишинга, направленная на создателей контента Facebook, Маскировка под сервис бесплатных верификационных значков и использование рабочих процессов Facebook для перехвата сеансов. Злоумышленники используют динамические URL-адреса и одноразовые среды хостинга, такие как Netlify и Vercel, для сбора конфиденциальной информации с помощью многоэтапных рабочих процессов, нацеливаясь на учетные данные и данные сеанса. Используемые методы согласуются с MITRE ATT&CK, включая разведку, фишинг и автоматизированный сбор данных, при этом выдавая себя за законные платформы для повышения вовлеченности пользователей.
-----
Кампания ClickFix - это изощренная операция фишинга, нацеленная на создателей контента Facebook под видом предоставления бесплатных верификационных значков. Атака использует рабочие процессы верификации и обжалования в Facebook с целью масштабного перехвата сеансов пользователей. Первоначальное обнаружение кампании было связано с публикацией Unit42 Intel в Социальных сетях, которая побудила к более глубокому расследованию, начиная с выявления фишинг-адресов, таких как "https://get-lifetime-badge-v.vercel.app ,"Маскировка под законную страницу "Проверки лица".
В кампании используется динамичная инфраструктура, которая часто меняет URL-адреса приманки, что говорит о необходимости того, чтобы команды по анализу угроз подходили к обнаружению как к непрерывному рабочему процессу. Стабильные сигналы, которые раскрывают подоплеку атаки, включают заголовки страниц, структуры шаблонов и конечные точки сбора, а не просто фокусируются на сменяющихся URL-адресах. Эта кампания опирается на конкретные конечные точки, такие как submit-form.com , Formspark и postal-form.on.shiper.app в качестве критических точек сбора украденных данных.
Операционные аспекты атаки включают использование одноразовых хостинговых сред, таких как Netlify, Vercel и GitHub Pages, где вредоносные страницы предназначены для сбора конфиденциальной пользовательской информации. Процесс фишинга начинается с того, что жертвы перенаправляются на многоэтапные рабочие процессы, которые побуждают их вводить сеансовые файлы cookie, учетные данные и коды Многофакторной аутентификации с помощью запутанных форм JavaScript. Заключительный этап включает в себя извлечение информации о сеансе Facebook и предоставление возможностей для получения резервных кодов и паролей, позволяющих перехватывать учетные записи.
Конкретные методы атаки сопоставлены с платформой MITRE ATT&CK, иллюстрирующей различные тактики, используемые злоумышленниками. Это включает в себя разведку с целью обнаружения и использования открытых Учетных записей соцсетей, методы фишинга, позволяющие заманить жертв на переход по Вредоносным ссылкам, и методы быстрого выполнения, предназначенные для манипулирования пользователями с целью добровольного раскрытия конфиденциальной информации. Операционные цели в значительной степени сосредоточены на получении учетных данных, что позволяет злоумышленникам манипулировать сеансовыми файлами cookie и проводить автоматический сбор данных с помощью JavaScript после прохождения проверки.
Заслуживают внимания стратегии обхода защиты, когда страницы создаются таким образом, чтобы выдавать себя за законные рабочие процессы справки и верификации в Facebook, тем самым повышая вероятность взаимодействия пользователей с ними. Чтобы смягчить эту угрозу, эксперты советуют собирать доказательства на ранней стадии из-за эфемерного характера этих страниц фишинга и автоматизировать ответные действия для эффективного обнаружения и блокирования показателей высокой достоверности, связанных с этой кампанией. Поскольку операция ClickFix нацелена на аккаунты создателей для кражи и перепродажи, неотложная бдительность в отношении таких угроз остается критически важной в сфере кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ClickFix - это операция фишинга, направленная на создателей контента Facebook, Маскировка под сервис бесплатных верификационных значков и использование рабочих процессов Facebook для перехвата сеансов. Злоумышленники используют динамические URL-адреса и одноразовые среды хостинга, такие как Netlify и Vercel, для сбора конфиденциальной информации с помощью многоэтапных рабочих процессов, нацеливаясь на учетные данные и данные сеанса. Используемые методы согласуются с MITRE ATT&CK, включая разведку, фишинг и автоматизированный сбор данных, при этом выдавая себя за законные платформы для повышения вовлеченности пользователей.
-----
Кампания ClickFix - это изощренная операция фишинга, нацеленная на создателей контента Facebook под видом предоставления бесплатных верификационных значков. Атака использует рабочие процессы верификации и обжалования в Facebook с целью масштабного перехвата сеансов пользователей. Первоначальное обнаружение кампании было связано с публикацией Unit42 Intel в Социальных сетях, которая побудила к более глубокому расследованию, начиная с выявления фишинг-адресов, таких как "https://get-lifetime-badge-v.vercel.app ,"Маскировка под законную страницу "Проверки лица".
В кампании используется динамичная инфраструктура, которая часто меняет URL-адреса приманки, что говорит о необходимости того, чтобы команды по анализу угроз подходили к обнаружению как к непрерывному рабочему процессу. Стабильные сигналы, которые раскрывают подоплеку атаки, включают заголовки страниц, структуры шаблонов и конечные точки сбора, а не просто фокусируются на сменяющихся URL-адресах. Эта кампания опирается на конкретные конечные точки, такие как submit-form.com , Formspark и postal-form.on.shiper.app в качестве критических точек сбора украденных данных.
Операционные аспекты атаки включают использование одноразовых хостинговых сред, таких как Netlify, Vercel и GitHub Pages, где вредоносные страницы предназначены для сбора конфиденциальной пользовательской информации. Процесс фишинга начинается с того, что жертвы перенаправляются на многоэтапные рабочие процессы, которые побуждают их вводить сеансовые файлы cookie, учетные данные и коды Многофакторной аутентификации с помощью запутанных форм JavaScript. Заключительный этап включает в себя извлечение информации о сеансе Facebook и предоставление возможностей для получения резервных кодов и паролей, позволяющих перехватывать учетные записи.
Конкретные методы атаки сопоставлены с платформой MITRE ATT&CK, иллюстрирующей различные тактики, используемые злоумышленниками. Это включает в себя разведку с целью обнаружения и использования открытых Учетных записей соцсетей, методы фишинга, позволяющие заманить жертв на переход по Вредоносным ссылкам, и методы быстрого выполнения, предназначенные для манипулирования пользователями с целью добровольного раскрытия конфиденциальной информации. Операционные цели в значительной степени сосредоточены на получении учетных данных, что позволяет злоумышленникам манипулировать сеансовыми файлами cookie и проводить автоматический сбор данных с помощью JavaScript после прохождения проверки.
Заслуживают внимания стратегии обхода защиты, когда страницы создаются таким образом, чтобы выдавать себя за законные рабочие процессы справки и верификации в Facebook, тем самым повышая вероятность взаимодействия пользователей с ними. Чтобы смягчить эту угрозу, эксперты советуют собирать доказательства на ранней стадии из-за эфемерного характера этих страниц фишинга и автоматизировать ответные действия для эффективного обнаружения и блокирования показателей высокой достоверности, связанных с этой кампанией. Поскольку операция ClickFix нацелена на аккаунты создателей для кражи и перепродажи, неотложная бдительность в отношении таких угроз остается критически важной в сфере кибербезопасности.
#ParsedReport #CompletenessHigh
22-01-2026
Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface
Report completeness: High
Threats:
Fakecaptcha_tool
Matrix_push_c2_tool
Clickfix_technique
Victims:
Web users
Industry:
Education
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1059.001, T1059.005, T1071.001, T1105, T1204.001, T1216.001, T1218.007, T1566.002
IOCs:
File: 2
IP: 2
Domain: 3
Url: 2
Soft:
Windows Installer, Chrome
Algorithms:
base64
Win Services:
bits, WebClient
Languages:
javascript, powershell
22-01-2026
Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface
Report completeness: High
Threats:
Fakecaptcha_tool
Matrix_push_c2_tool
Clickfix_technique
Victims:
Web users
Industry:
Education
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.001, T1059.005, T1071.001, T1105, T1204.001, T1216.001, T1218.007, T1566.002
IOCs:
File: 2
IP: 2
Domain: 3
Url: 2
Soft:
Windows Installer, Chrome
Algorithms:
base64
Win Services:
bits, WebClient
Languages:
javascript, powershell
Censys
Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
An examination of Fake Captcha as an ecosystem: how are lures constructed, reused, and deployed across the web? How much operational meaning can be inferred from appearance alone?
CTT Report Hub
#ParsedReport #CompletenessHigh 22-01-2026 Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема поддельных Captcha сместилась в сторону использования надежной веб-инфраструктуры для доставки вредоносного ПО, используя визуальные элементы, имитирующие законные задачи проверки, в частности те, которые напоминают подсказки Cloudflare. Злоумышленники используют различные методы, включая методы, управляемые буфером обмена с использованием PowerShell, доставку на основе установщика через MSI и сложные серверные платформы, такие как модель Matrix Push C2, что усложняет усилия по обнаружению. Такой подход повышает вовлеченность пользователей, используя знакомство с процессами проверки и скрывая при этом вредоносные действия.
-----
Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО, использующих надежную веб-инфраструктуру. Данные, собранные из набора данных Censys, выделяют значительный визуальный кластер, который имитирует законные задачи проверки, очень напоминающие подсказки в стиле Cloudflare. Несмотря на визуальное сходство, поведенческое исполнение значительно различается на наблюдаемых страницах, что указывает на фрагментированную методологию, а не на единую скоординированную атаку. Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.
Фейк капча тактика эволюционировали, выходя за рамки традиционных методов социальной инженерии для включения стандартизированных интерфейсов, что приоритетность взаимодействия пользователя с помощью привычных рабочих процессов браузера. Злоумышленники используют эту тенденцию, интегрируя вредоносные элементы в доверенные процессы проверки, сводя на нет необходимость прямого компрометирования установленных сервисов. Именно это подход веб' повышает риск вовлечения пользователя, как люди знакомы с проблемой проверки и больше доверяют им.
Методологическая строгость анализа включала использование перцептивного хэширования (pHash) для идентификации визуальных кластеров, что позволило исследователям сгруппировать похожие ресурсы и определить модели выполнения на основе команд буфера обмена и поведения при последующем развертывании. Однако этой методологии не хватает возможностей атрибуции, поскольку визуальное сходство не указывает на общую инфраструктуру или операционные связи.
Среди выявленных методов доставки преобладающим остается выполнение в буфере обмена с использованием PowerShell для загрузки последующих сценариев. Дополнительные методы включали в себя малообъемные подходы, такие как загрузчики BAT и выполнение MSHTA с кодировкой URL, наряду с примечательной распространенностью доставки на основе установщика через Пакеты установщика Windows. Модель Matrix Push C2 возникла как сложный серверный подход, отделяющий взаимодействия от видимых полезных нагрузок, что усложняет усилия по обнаружению.
Полученные результаты подчеркивают неадекватность традиционных методов обнаружения ориентируясь исключительно на буфер обмена, в командной строке, выступающая за нюансов стратегии обнаружения, что включает в себя обучение пользователей и осведомленность в важных компонентов. Меняющийся характер визуальных и эксплуатационных динамика вредоносное ПО обеспечением звонки адаптивных мер, которые учитывают сложность злоупотребления доверием, в системах онлайн-проверки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема поддельных Captcha сместилась в сторону использования надежной веб-инфраструктуры для доставки вредоносного ПО, используя визуальные элементы, имитирующие законные задачи проверки, в частности те, которые напоминают подсказки Cloudflare. Злоумышленники используют различные методы, включая методы, управляемые буфером обмена с использованием PowerShell, доставку на основе установщика через MSI и сложные серверные платформы, такие как модель Matrix Push C2, что усложняет усилия по обнаружению. Такой подход повышает вовлеченность пользователей, используя знакомство с процессами проверки и скрывая при этом вредоносные действия.
-----
Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО, использующих надежную веб-инфраструктуру. Данные, собранные из набора данных Censys, выделяют значительный визуальный кластер, который имитирует законные задачи проверки, очень напоминающие подсказки в стиле Cloudflare. Несмотря на визуальное сходство, поведенческое исполнение значительно различается на наблюдаемых страницах, что указывает на фрагментированную методологию, а не на единую скоординированную атаку. Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.
Фейк капча тактика эволюционировали, выходя за рамки традиционных методов социальной инженерии для включения стандартизированных интерфейсов, что приоритетность взаимодействия пользователя с помощью привычных рабочих процессов браузера. Злоумышленники используют эту тенденцию, интегрируя вредоносные элементы в доверенные процессы проверки, сводя на нет необходимость прямого компрометирования установленных сервисов. Именно это подход веб' повышает риск вовлечения пользователя, как люди знакомы с проблемой проверки и больше доверяют им.
Методологическая строгость анализа включала использование перцептивного хэширования (pHash) для идентификации визуальных кластеров, что позволило исследователям сгруппировать похожие ресурсы и определить модели выполнения на основе команд буфера обмена и поведения при последующем развертывании. Однако этой методологии не хватает возможностей атрибуции, поскольку визуальное сходство не указывает на общую инфраструктуру или операционные связи.
Среди выявленных методов доставки преобладающим остается выполнение в буфере обмена с использованием PowerShell для загрузки последующих сценариев. Дополнительные методы включали в себя малообъемные подходы, такие как загрузчики BAT и выполнение MSHTA с кодировкой URL, наряду с примечательной распространенностью доставки на основе установщика через Пакеты установщика Windows. Модель Matrix Push C2 возникла как сложный серверный подход, отделяющий взаимодействия от видимых полезных нагрузок, что усложняет усилия по обнаружению.
Полученные результаты подчеркивают неадекватность традиционных методов обнаружения ориентируясь исключительно на буфер обмена, в командной строке, выступающая за нюансов стратегии обнаружения, что включает в себя обучение пользователей и осведомленность в важных компонентов. Меняющийся характер визуальных и эксплуатационных динамика вредоносное ПО обеспечением звонки адаптивных мер, которые учитывают сложность злоупотребления доверием, в системах онлайн-проверки.
#ParsedReport #CompletenessLow
25-01-2026
Cyber Counterintelligence (CCI): When 'Shiny Objects' trick 'Shiny Hunters'
https://www.resecurity.com/es/blog/article/cyber-counterintelligence-cci-when-shiny-objects-trick-shiny-hunters
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Scattered_lapsus_hunters (motivation: cyber_criminal)
Waifu
Irdev
Kiberphant0m
Industry:
Government, Telco, Financial, Military, Healthcare
Geo:
Russia, American, Korea, Turkey, Canadian
ChatGPT TTPs:
T1204, T1566, T1656, T1658
Soft:
Telegram
25-01-2026
Cyber Counterintelligence (CCI): When 'Shiny Objects' trick 'Shiny Hunters'
https://www.resecurity.com/es/blog/article/cyber-counterintelligence-cci-when-shiny-objects-trick-shiny-hunters
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Scattered_lapsus_hunters (motivation: cyber_criminal)
Waifu
Irdev
Kiberphant0m
Industry:
Government, Telco, Financial, Military, Healthcare
Geo:
Russia, American, Korea, Turkey, Canadian
ChatGPT TTPs:
do not use without manual checkT1204, T1566, T1656, T1658
Soft:
Telegram
Resecurity
Resecurity | Cyber Counterintelligence (CCI): When 'Shiny Objects' trick 'Shiny Hunters'
CTT Report Hub
#ParsedReport #CompletenessLow 25-01-2026 Cyber Counterintelligence (CCI): When 'Shiny Objects' trick 'Shiny Hunters' https://www.resecurity.com/es/blog/article/cyber-counterintelligence-cci-when-shiny-objects-trick-shiny-hunters Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В докладе основное внимание уделяется киберпреступной группе "Shiny Hunters" и ее новым вариантам, в которых участвуют ключевые фигуры, связанные с различными киберпреступлениями, включая членов, недавно обвиненных Министерством юстиции. Выделенные методы включают использование "медовых ловушек" для сбора разведывательной информации о деятельности киберпреступников, особенно тех, кто использует данные стиллеров. Отмечаются проблемы для правоохранительных органов, особенно из-за юрисдикционных вопросов, которые препятствуют эффективному вмешательству в отношении неустановленных участников англоязычной экосистемы киберпреступников.
-----
В докладе обсуждается с хакерской группы, известной как "Shiny Hunters," с акцентом на новых итераций, таких как "scattered lapsus$ hunters" и "scattered lapsus$ Shiny Hunters." Эта группа действует в рамках "сообщества" по-английски злоумышленников экосистемы. Расследования самых интересных моментов из ключевых фигур, в частности Коннор Райли Джон Биннс Moucka и Эрин, оба из которых были связаны с различными киберпреступлений и недавно были предъявлены обвинения в МЮ. Кроме того, они были связаны с Кэмерон Джон Wagenius, военнослужащего армии США, выделяя проникновение молодежи в деятельность киберпреступности.
В докладе подчеркивается важность использования методов контрразведки, таких как "медовые ловушки", для отслеживания и понимания этих акторов. Создавая обманчивые учетные записи для привлечения потенциальных злоумышленников, защитники кибербезопасности могут собирать ценную информацию о мотивах и методах, используемых киберпреступниками, особенно теми, кто использует данные стиллеров во время атак. Выводы отражают текущие проблемы, с которыми сталкиваются правоохранительные органы из-за вопросов юрисдикции, поскольку многие члены "Ком" остаются неустановленными или свободно действуют на иностранных территориях, что затрудняет эффективное вмешательство официальных лиц США.
Отмечается, что публикация этой разведывательной информации вызвала заметную реакцию, включая удаление Telegram-канала, связанного с группой "Shiny Hunters", и попытки оказать давление на СМИ, чтобы они отказались от использования этого термина. Этот ответ подчеркивает осведомленность и озабоченность внутри этих преступных сетей в отношении ущерба репутации и операционной безопасности по мере усиления контроля со стороны организаций и органов власти, занимающихся вопросами кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В докладе основное внимание уделяется киберпреступной группе "Shiny Hunters" и ее новым вариантам, в которых участвуют ключевые фигуры, связанные с различными киберпреступлениями, включая членов, недавно обвиненных Министерством юстиции. Выделенные методы включают использование "медовых ловушек" для сбора разведывательной информации о деятельности киберпреступников, особенно тех, кто использует данные стиллеров. Отмечаются проблемы для правоохранительных органов, особенно из-за юрисдикционных вопросов, которые препятствуют эффективному вмешательству в отношении неустановленных участников англоязычной экосистемы киберпреступников.
-----
В докладе обсуждается с хакерской группы, известной как "Shiny Hunters," с акцентом на новых итераций, таких как "scattered lapsus$ hunters" и "scattered lapsus$ Shiny Hunters." Эта группа действует в рамках "сообщества" по-английски злоумышленников экосистемы. Расследования самых интересных моментов из ключевых фигур, в частности Коннор Райли Джон Биннс Moucka и Эрин, оба из которых были связаны с различными киберпреступлений и недавно были предъявлены обвинения в МЮ. Кроме того, они были связаны с Кэмерон Джон Wagenius, военнослужащего армии США, выделяя проникновение молодежи в деятельность киберпреступности.
В докладе подчеркивается важность использования методов контрразведки, таких как "медовые ловушки", для отслеживания и понимания этих акторов. Создавая обманчивые учетные записи для привлечения потенциальных злоумышленников, защитники кибербезопасности могут собирать ценную информацию о мотивах и методах, используемых киберпреступниками, особенно теми, кто использует данные стиллеров во время атак. Выводы отражают текущие проблемы, с которыми сталкиваются правоохранительные органы из-за вопросов юрисдикции, поскольку многие члены "Ком" остаются неустановленными или свободно действуют на иностранных территориях, что затрудняет эффективное вмешательство официальных лиц США.
Отмечается, что публикация этой разведывательной информации вызвала заметную реакцию, включая удаление Telegram-канала, связанного с группой "Shiny Hunters", и попытки оказать давление на СМИ, чтобы они отказались от использования этого термина. Этот ответ подчеркивает осведомленность и озабоченность внутри этих преступных сетей в отношении ущерба репутации и операционной безопасности по мере усиления контроля со стороны организаций и органов власти, занимающихся вопросами кибербезопасности.
#ParsedReport #CompletenessLow
23-01-2026
ESET Research: Sandworm behind cyberattack on Polands power grid in late 2025
https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/
Report completeness: Low
Actors/Campaigns:
Sandworm
Threats:
Dynowiper
Killfiles
Victims:
Power grid, Energy sector
Industry:
Energy, Critical_infrastructure
Geo:
Ukraine, Polands, Russia, Ukrainian, Poland
ChatGPT TTPs:
T1485
IOCs:
Hash: 1
Algorithms:
sha1
23-01-2026
ESET Research: Sandworm behind cyberattack on Polands power grid in late 2025
https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/
Report completeness: Low
Actors/Campaigns:
Sandworm
Threats:
Dynowiper
Killfiles
Victims:
Power grid, Energy sector
Industry:
Energy, Critical_infrastructure
Geo:
Ukraine, Polands, Russia, Ukrainian, Poland
ChatGPT TTPs:
do not use without manual checkT1485
IOCs:
Hash: 1
Algorithms:
sha1
Welivesecurity
ESET Research: Sandworm behind cyberattack on Poland’s power grid in late 2025
The attack involved data-wiping malware that ESET researchers have now analyzed and named DynoWiper.
CTT Report Hub
#ParsedReport #CompletenessLow 23-01-2026 ESET Research: Sandworm behind cyberattack on Polands power grid in late 2025 https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года энергосистема Польши подверглась крупной кибератаке, приписываемой связанной с Россией APT-группировке Sandworm, использующей вредоносное ПО DynoWiper, предназначенное для удаления критически важных данных и нарушения работы систем. Атака демонстрирует угрозы, исходящие от спонсируемых государством кибер-акторов, нацеленных на важнейшую инфраструктуру с намерением дестабилизировать операции и нанести ущерб репутации. Этот инцидент подчеркивает эволюционирующую природу кибервойны и необходимость проявлять бдительность в отношении продвинутых киберугроз.
-----
В конце 2025 года энергосистема Польши подверглась серьезной кибератаке, которую ESET Research назвала крупнейшей в своем роде в стране за последние несколько лет. Атака была приписана APT-группировке, связанной с Россией, известной как Sandworm. Эта группа, известная своей историей агрессивных киберопераций, во время инцидента использовала сложное вредоносное ПО, известное как DynoWiper.
DynoWiper функционирует как вредоносное ПО для удаления данных, направленное на удаление критически важной информации и нарушение работы затронутых систем. Эта тактика направлена не только на выведение из строя инфраструктуры, но и на нанесение репутационного ущерба и посеяние хаоса. Атака подчеркивает сохраняющиеся угрозы, исходящие от спонсируемых государством кибер-акторов, особенно тех, которые связаны с геополитическими интересами и нацелены на основные услуги и инфраструктуру.
Этот инцидент отражает растущую тенденцию в кибервойнах, когда противники используют усовершенствованное вредоносное ПО для нанесения максимального ущерба, подчеркивая необходимость усиления мер кибербезопасности в критически важных национальных инфраструктурах. Поскольку ландшафт киберугроз продолжает развиваться, важность мониторинга и реагирования на тактику, применяемую такими группами, как Sandworm, остается первостепенной для национальной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года энергосистема Польши подверглась крупной кибератаке, приписываемой связанной с Россией APT-группировке Sandworm, использующей вредоносное ПО DynoWiper, предназначенное для удаления критически важных данных и нарушения работы систем. Атака демонстрирует угрозы, исходящие от спонсируемых государством кибер-акторов, нацеленных на важнейшую инфраструктуру с намерением дестабилизировать операции и нанести ущерб репутации. Этот инцидент подчеркивает эволюционирующую природу кибервойны и необходимость проявлять бдительность в отношении продвинутых киберугроз.
-----
В конце 2025 года энергосистема Польши подверглась серьезной кибератаке, которую ESET Research назвала крупнейшей в своем роде в стране за последние несколько лет. Атака была приписана APT-группировке, связанной с Россией, известной как Sandworm. Эта группа, известная своей историей агрессивных киберопераций, во время инцидента использовала сложное вредоносное ПО, известное как DynoWiper.
DynoWiper функционирует как вредоносное ПО для удаления данных, направленное на удаление критически важной информации и нарушение работы затронутых систем. Эта тактика направлена не только на выведение из строя инфраструктуры, но и на нанесение репутационного ущерба и посеяние хаоса. Атака подчеркивает сохраняющиеся угрозы, исходящие от спонсируемых государством кибер-акторов, особенно тех, которые связаны с геополитическими интересами и нацелены на основные услуги и инфраструктуру.
Этот инцидент отражает растущую тенденцию в кибервойнах, когда противники используют усовершенствованное вредоносное ПО для нанесения максимального ущерба, подчеркивая необходимость усиления мер кибербезопасности в критически важных национальных инфраструктурах. Поскольку ландшафт киберугроз продолжает развиваться, важность мониторинга и реагирования на тактику, применяемую такими группами, как Sandworm, остается первостепенной для национальной безопасности.
#ParsedReport #CompletenessMedium
25-01-2026
UAC-0184 \| "Fallen Files Blackout" Phishing Operation
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507757&idx=1&sn=cf6b118e88395af45a000aae80811264&poc_token=HAgPdmmjK5dFMw7BETEoQQ4_nW02p-Tw9WIodC0G
Report completeness: Medium
Actors/Campaigns:
Fallen_soldiers_files (motivation: information_theft, cyber_espionage)
Uac-0184 (motivation: information_theft, cyber_espionage)
Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique
Victims:
Ukrainian government, Ukrainian military, Verkhovna rada of ukraine
Industry:
Government, Military
Geo:
Ukrainian, Ukraine
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 18
Hash: 4
IP: 1
Url: 3
Soft:
Viber, Windows Defender, Telegram
Algorithms:
md5, xor, zip, crc-32
Functions:
createChildProcess, createScheduledTask
Win API:
NetBIOS
Win Services:
avastsvc
Languages:
powershell
25-01-2026
UAC-0184 \| "Fallen Files Blackout" Phishing Operation
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507757&idx=1&sn=cf6b118e88395af45a000aae80811264&poc_token=HAgPdmmjK5dFMw7BETEoQQ4_nW02p-Tw9WIodC0G
Report completeness: Medium
Actors/Campaigns:
Fallen_soldiers_files (motivation: information_theft, cyber_espionage)
Uac-0184 (motivation: information_theft, cyber_espionage)
Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique
Victims:
Ukrainian government, Ukrainian military, Verkhovna rada of ukraine
Industry:
Government, Military
Geo:
Ukrainian, Ukraine
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 18
Hash: 4
IP: 1
Url: 3
Soft:
Viber, Windows Defender, Telegram
Algorithms:
md5, xor, zip, crc-32
Functions:
createChildProcess, createScheduledTask
Win API:
NetBIOS
Win Services:
avastsvc
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 25-01-2026 UAC-0184 \| "Fallen Files Blackout" Phishing Operation https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507757&idx=1&sn=cf6b118e88395af45a000aae80811264&poc_token=HAgPdmmjK5dFMw7BETEoQQ4_nW02p-Tw9WIodC0G…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В UAC-0184 Group запустила фишинг-кампании, "Fallen Files Blackout," направлен в Верховную Раду Украины, ориентируясь на важные файлы, касающиеся военнослужащих и выплаты компенсации. Их деятельность включает активизацию кражи разведывательных данных в военном и правительственном секторах, причем операции, как сообщается, продолжатся до 2025 года, что свидетельствует о значительной киберугрозе инфраструктурам национальной безопасности.
-----
В UAC-0184 группа приступила к фишинг-кампании, получившей название "Fallen Files Blackout," таргетинга Верховной Рады Украины. Эта операция характеризуется акцент на манипулировании важные файлы, касающиеся украинских военнослужащих и вопросы, связанные с компенсацией за гибель солдат. Группа активизировала свою хищения разведывательной деятельности против военных и правительственных секторов, доказательства о том, что их деятельность продолжается и в 2025.
Эта постоянная угроза подчеркивает важность усиления мер безопасности в затронутых организациях. Рекомендуемые методы включают повышение осведомленности о протоколах безопасности, внедрение более надежного шифрования секретной информации и ужесточение механизмов защиты пользовательских данных и контроля доступа. Эти стратегии направлены на снижение рисков, связанных с вредоносными атаками, которые могут привести к утечке информации. Деятельность группы UAC-0184 является ярким напоминанием о меняющемся ландшафте киберугроз, особенно тех, которые нацелены на инфраструктуру национальной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В UAC-0184 Group запустила фишинг-кампании, "Fallen Files Blackout," направлен в Верховную Раду Украины, ориентируясь на важные файлы, касающиеся военнослужащих и выплаты компенсации. Их деятельность включает активизацию кражи разведывательных данных в военном и правительственном секторах, причем операции, как сообщается, продолжатся до 2025 года, что свидетельствует о значительной киберугрозе инфраструктурам национальной безопасности.
-----
В UAC-0184 группа приступила к фишинг-кампании, получившей название "Fallen Files Blackout," таргетинга Верховной Рады Украины. Эта операция характеризуется акцент на манипулировании важные файлы, касающиеся украинских военнослужащих и вопросы, связанные с компенсацией за гибель солдат. Группа активизировала свою хищения разведывательной деятельности против военных и правительственных секторов, доказательства о том, что их деятельность продолжается и в 2025.
Эта постоянная угроза подчеркивает важность усиления мер безопасности в затронутых организациях. Рекомендуемые методы включают повышение осведомленности о протоколах безопасности, внедрение более надежного шифрования секретной информации и ужесточение механизмов защиты пользовательских данных и контроля доступа. Эти стратегии направлены на снижение рисков, связанных с вредоносными атаками, которые могут привести к утечке информации. Деятельность группы UAC-0184 является ярким напоминанием о меняющемся ландшафте киберугроз, особенно тех, которые нацелены на инфраструктуру национальной безопасности.
#ParsedReport #CompletenessHigh
23-01-2026
Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign
https://www.esentire.com/blog/weaponized-in-china-deployed-in-india-the-syncfuture-espionage-targeted-campaign
Report completeness: High
Threats:
Krbanker
Dll_sideloading_technique
Uac_bypass_technique
Seo_poisoning_technique
Victims:
Residents of india, Government sector
Industry:
Healthcare, Government, Financial
Geo:
Chinese, Asian, Korea, China, India, Indian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1027, T1036, T1105, T1218, T1566.001, T1622
IOCs:
File: 210
Url: 8
Domain: 111
IP: 8
Hash: 193
Path: 15
Registry: 4
Email: 4
Soft:
Windows explorer, Windows service, Sendgrid, Microsoft Defender, Windows Defender, Process Explorer, Windows installer, AutoHotKey, bcdedit
Algorithms:
zip, xor, md5, sha256, exhibit, lznt1
Functions:
LZNT1_Decompress, TaskList, SetPermissions
Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, GetThreadContext, GetTickCount, InternetReadFile, VirtualAlloc, CreateThread, WaitForSingleObject, RtlDecompressBuffer, have more...
Platforms:
x64
Links:
have more...
23-01-2026
Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign
https://www.esentire.com/blog/weaponized-in-china-deployed-in-india-the-syncfuture-espionage-targeted-campaign
Report completeness: High
Threats:
Krbanker
Dll_sideloading_technique
Uac_bypass_technique
Seo_poisoning_technique
Victims:
Residents of india, Government sector
Industry:
Healthcare, Government, Financial
Geo:
Chinese, Asian, Korea, China, India, Indian
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1105, T1218, T1566.001, T1622
IOCs:
File: 210
Url: 8
Domain: 111
IP: 8
Hash: 193
Path: 15
Registry: 4
Email: 4
Soft:
Windows explorer, Windows service, Sendgrid, Microsoft Defender, Windows Defender, Process Explorer, Windows installer, AutoHotKey, bcdedit
Algorithms:
zip, xor, md5, sha256, exhibit, lznt1
Functions:
LZNT1_Decompress, TaskList, SetPermissions
Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, GetThreadContext, GetTickCount, InternetReadFile, VirtualAlloc, CreateThread, WaitForSingleObject, RtlDecompressBuffer, have more...
Platforms:
x64
Links:
have more...
https://github.com/eSentire/iocs/blob/main/SyncFuture%20Espionage%20Campaign/SyncFuture\_Espionage\_Campaign\_IOCS\_Jan2026.txthttps://github.com/OALabs/hashdb/blob/main/algorithms/mul83\_add.pyeSentire
Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign
Learn more about a phishing site that was uncovered by eSentire’s SOC Analysts after a proactive threat investigation.
CTT Report Hub
#ParsedReport #CompletenessHigh 23-01-2026 Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign https://www.esentire.com/blog/weaponized-in-china-deployed-in-india-the-syncfuture-espionage-targeted-campaign Report completeness:…
#ParsedReport #ExtractedSchema
Classified images:
schema: 1, table: 2, windows: 8, dump: 2, code: 19, filemanager: 1
Classified images:
schema: 1, table: 2, windows: 8, dump: 2, code: 19, filemanager: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 23-01-2026 Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign https://www.esentire.com/blog/weaponized-in-china-deployed-in-india-the-syncfuture-espionage-targeted-campaign Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В декабре 2025 года, нацелен шпионской кампании, используя сложный бэкдор, MpGear.dll было определено, прежде всего в интересах лица, в Индию через спам-писем, представляясь налоговых уведомлений. Самое вредоносное ПО использует методы уклонения например, проверки, отладки и стратегий сроки, чтобы избежать обнаружения, в то время как дальнейшие этапы предполагают загрузки дополнительных вредоносных исполняемых файлов, как 180.exe, под видом легального программного обеспечения. Дополнительные элементы включают в себя вредоносный DLL-файл, игру-с плавающей точкой-ядром.dll и неправильное использование системы управления безопасностью терминала Syncfuture, что подчеркивает сложные операции по запутыванию и телеметрии в рамках кампании.
-----
В декабре 2025 года была выявлена нацеленная шпионская кампания, в ходе которой был задействован сложный многоэтапный бэкдор, нацеленный на долгосрочный сбор разведывательных данных, в первую очередь против жителей Индии. Метод первоначального доступа включал использование спам-писем, отправляемых через Sendgrid, с различными доменами отправителей, выдающими себя за государственные учреждения, в частности, под видом уведомлений о подоходном налоге в Индии. Темы электронных писем были разработаны таким образом, чтобы привлечь внимание к вопросам соблюдения налогового законодательства.
Вредоносное ПО использует бэкдор, идентифицированный как MpGear.dll , который использует множество методов, чтобы избежать обнаружения. К ним относятся отладочные проверки, такие как IsDebuggerPresent и CheckRemoteDebuggerPresent, запрос порта отладки процесса и обнаружение точки останова Аппаратного обеспечения с помощью GetThreadContext. Он также реализует стратегии синхронизации, позволяющие отличать нормальное выполнение от задержек, вызванных отладчиком. Если эти проверки завершатся неудачей, вредоносное ПО может продолжить выполнение, чтобы избежать остановки средствами отладки.
При переходе ко второму этапу полезная нагрузка обрабатывает строку для вычисления хэшей имен API с использованием определенного алгоритма, выполняя поиск по загруженным библиотекам DLL для разрешения Нативных API. На этом этапе загружается 64-разрядный исполняемый файл с хэшем SHA256, указывающим конкретную дату компиляции и путь отладки, предлагающий модификации для разработки.
Третий этап состоит из полезной нагрузки с именем 180.exe , замаскированный под законный установщик, поставляемый с Inno Setup, распространенным методом, используемым акторами вредоносного ПО для маскировки вредоносного контента.
Еще один элемент кампании включает в себя наличие игрового флоат-ядра.библиотека dll, установленная как вредоносная библиотека DLL с хэшем SHA256 и упаковкой UPX. Инфраструктура вредоносного ПО указывает на высокий уровень ведения журнала, при этом в системе создается множество файлов. C:\log \ directory, предлагающий широкие возможности телеметрии.
Кроме того, во время анализа исполняемого файла с именем mysetup.exe , были обнаружены признаки злоупотребления системой управления безопасностью терминала Syncfuture. Это программное обеспечение, разработанное китайской технологической компанией, вероятно, способствовало проведению Вредоносной Кампании, демонстрируя значительный вектор угрозы, который сочетает в себе различные методы запутывания, закрепления и эксфильтрации данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В декабре 2025 года, нацелен шпионской кампании, используя сложный бэкдор, MpGear.dll было определено, прежде всего в интересах лица, в Индию через спам-писем, представляясь налоговых уведомлений. Самое вредоносное ПО использует методы уклонения например, проверки, отладки и стратегий сроки, чтобы избежать обнаружения, в то время как дальнейшие этапы предполагают загрузки дополнительных вредоносных исполняемых файлов, как 180.exe, под видом легального программного обеспечения. Дополнительные элементы включают в себя вредоносный DLL-файл, игру-с плавающей точкой-ядром.dll и неправильное использование системы управления безопасностью терминала Syncfuture, что подчеркивает сложные операции по запутыванию и телеметрии в рамках кампании.
-----
В декабре 2025 года была выявлена нацеленная шпионская кампания, в ходе которой был задействован сложный многоэтапный бэкдор, нацеленный на долгосрочный сбор разведывательных данных, в первую очередь против жителей Индии. Метод первоначального доступа включал использование спам-писем, отправляемых через Sendgrid, с различными доменами отправителей, выдающими себя за государственные учреждения, в частности, под видом уведомлений о подоходном налоге в Индии. Темы электронных писем были разработаны таким образом, чтобы привлечь внимание к вопросам соблюдения налогового законодательства.
Вредоносное ПО использует бэкдор, идентифицированный как MpGear.dll , который использует множество методов, чтобы избежать обнаружения. К ним относятся отладочные проверки, такие как IsDebuggerPresent и CheckRemoteDebuggerPresent, запрос порта отладки процесса и обнаружение точки останова Аппаратного обеспечения с помощью GetThreadContext. Он также реализует стратегии синхронизации, позволяющие отличать нормальное выполнение от задержек, вызванных отладчиком. Если эти проверки завершатся неудачей, вредоносное ПО может продолжить выполнение, чтобы избежать остановки средствами отладки.
При переходе ко второму этапу полезная нагрузка обрабатывает строку для вычисления хэшей имен API с использованием определенного алгоритма, выполняя поиск по загруженным библиотекам DLL для разрешения Нативных API. На этом этапе загружается 64-разрядный исполняемый файл с хэшем SHA256, указывающим конкретную дату компиляции и путь отладки, предлагающий модификации для разработки.
Третий этап состоит из полезной нагрузки с именем 180.exe , замаскированный под законный установщик, поставляемый с Inno Setup, распространенным методом, используемым акторами вредоносного ПО для маскировки вредоносного контента.
Еще один элемент кампании включает в себя наличие игрового флоат-ядра.библиотека dll, установленная как вредоносная библиотека DLL с хэшем SHA256 и упаковкой UPX. Инфраструктура вредоносного ПО указывает на высокий уровень ведения журнала, при этом в системе создается множество файлов. C:\log \ directory, предлагающий широкие возможности телеметрии.
Кроме того, во время анализа исполняемого файла с именем mysetup.exe , были обнаружены признаки злоупотребления системой управления безопасностью терминала Syncfuture. Это программное обеспечение, разработанное китайской технологической компанией, вероятно, способствовало проведению Вредоносной Кампании, демонстрируя значительный вектор угрозы, который сочетает в себе различные методы запутывания, закрепления и эксфильтрации данных.
#ParsedReport #CompletenessHigh
22-01-2026
Organized Traffer Gang on the Rise Targeting Web3 Employees and Crypto Holders
https://hybrid-analysis.blogspot.com/2026/01/organized-traffer-gang-on-rise.html
Report completeness: High
Actors/Campaigns:
Markopolo (motivation: financially_motivated)
Crazy_evil
Wagmi
Nexvoo
Mp-2
Threats:
Traffer_technique
Opulous
Amos_stealer
Rhadamanthys
Lumma_stealer
Meeten
Hijackloader
Victims:
Cryptocurrency users, Web3 employees, Web3 developers, Project teams
Industry:
Entertainment
Geo:
Russia, Russian
ChatGPT TTPs:
T1027, T1036, T1059, T1059.007, T1105, T1119, T1189, T1204, T1205, T1497, have more...
IOCs:
File: 3
Domain: 101
Url: 1
IP: 1
Hash: 68
Soft:
Electron, Linux, tradingview, MacOS, NSIS installer, Telegram, QEMU, Twitter
Algorithms:
sha256, aes-256
Functions:
sendClientName
Languages:
javascript, python
Platforms:
cross-platform
Links:
22-01-2026
Organized Traffer Gang on the Rise Targeting Web3 Employees and Crypto Holders
https://hybrid-analysis.blogspot.com/2026/01/organized-traffer-gang-on-rise.html
Report completeness: High
Actors/Campaigns:
Markopolo (motivation: financially_motivated)
Crazy_evil
Wagmi
Nexvoo
Mp-2
Threats:
Traffer_technique
Opulous
Amos_stealer
Rhadamanthys
Lumma_stealer
Meeten
Hijackloader
Victims:
Cryptocurrency users, Web3 employees, Web3 developers, Project teams
Industry:
Entertainment
Geo:
Russia, Russian
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1059.007, T1105, T1119, T1189, T1204, T1205, T1497, have more...
IOCs:
File: 3
Domain: 101
Url: 1
IP: 1
Hash: 68
Soft:
Electron, Linux, tradingview, MacOS, NSIS installer, Telegram, QEMU, Twitter
Algorithms:
sha256, aes-256
Functions:
sendClientName
Languages:
javascript, python
Platforms:
cross-platform
Links:
https://github.com/6nz/virustotal-vm-blacklistBlogspot
Organized Traffer Gang on the Rise Targeting Web3 Employees and Crypto Holders
Author(s): Vlad Pasca, Radu-Emanuel Chiscariu Sophisticated cybercriminal operation targets cryptocurrency users and Web3 employees Malwa...