#ParsedReport #CompletenessLow
26-01-2026

Okta Vishing Campaign Allegedly Linked to ShinyHunters: What You Need to Know

https://socradar.io/blog/okta-vishing-campaign-shinyhunters/

Report completeness: Low

Actors/Campaigns:
Shinyhunters

Threats:
Aitm_technique
Bec_technique

Victims:
Technology sector, Music streaming sector, Financial services sector

Industry:
Energy, E-commerce

ChatGPT TTPs:
do not use without manual check
T1111, T1566.004, T1589, T1598

Soft:
Telegram

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась изощренная Кампания по Вымогательству, связанная с хакерской группировкой ShinyHunters, нацеленной на пользователей Okta с помощью пользовательских наборов для фишинга, которые облегчают взаимодействие в режиме реального времени. Злоумышленники выдают себя за ИТ-сотрудников, чтобы направлять жертв на поддельные страницы входа в систему, захватывая учетные данные и используя проблемы MFA для доступа к учетной записи. Этот переход от фишинга на основе электронной почты к динамичной тактике социальной инженерии означает критическую эволюцию в области киберугроз, требующую усиленных мер обнаружения таких атак, основанных на идентификационных данных.
-----

Недавние события в области киберугроз свидетельствуют об изощренной Кампании по Вымогательству, связанной с хакерской группировкой ShinyHunters и затрагивающей пользователей Okta. В этой кампании используются пользовательские наборы для фишинга, которые позволяют взаимодействовать в режиме реального времени с помощью телефонной социальной инженерии. Злоумышленники маскируются под внутренних ИТ-специалистов или сотрудников службы безопасности, направляя жертв на посещение вредоносных сайтов, предназначенных для имитации законных страниц входа в такие сервисы, как Okta, Microsoft и Google. Такая эволюция тактики фишинга представляет собой значительный переход от традиционных методов, основанных на электронной почте, к более динамичным и интерактивным подходам.

Основным механизмом, с помощью которого функционируют эти наборы для фишинга, является организация сеанса в режиме реального времени. Когда жертва предоставляет свои учетные данные для входа на мошеннический сайт, злоумышленник незамедлительно получает эту информацию и пытается получить доступ к законной учетной записи. Во время этого процесса злоумышленник наблюдает, какие вызовы Многофакторной аутентификации (MFA) запускаются, что затем может послужить информацией для его последующих попыток обойти эти меры безопасности. Такой подход эффективно обходит типичные средства защиты, которые могут полагаться только на учетные данные для фишинга, иллюстрируя тревожную эволюцию методов фишинга.

ShinyHunters открыто взяли на себя ответственность за усилия Okta по поиску единомышленников. После неудачных попыток вымогательства группа допустила утечку данных предполагаемых жертв на платформу, которой они управляют, что оказало воздействие на такие организации, как Crunchbase, SoundCloud и Betterment. Этот инцидент подчеркивает растущую целенаправленность действий поставщиков идентификационных данных и острую необходимость усиления защиты от изощренных атак социальной инженерии.

В ответ на эти развивающиеся угрозы Okta призывает организации пересмотреть свою зависимость от определенных типов MFA, отмечая, что не все методы устойчивы к атакам фишинга. Компания подчеркивает, что простое использование push-уведомлений или одноразовых паролей (OTP) может не обеспечить достаточной защиты от современных методов голосового фишинга, подчеркивая важность внедрения более безопасных методов аутентификации.

Последствия этой Кампании по Вымогательству свидетельствуют о настоятельной необходимости повышения бдительности и усиления мер безопасности, поскольку атаки, основанные на идентификационных данных, становятся все более интерактивными и их сложнее обнаруживать. Заинтересованные стороны должны признать, что традиционные средства защиты от фишинга могут больше не быть адекватными, и для снижения рисков, связанных с кражей учетных данных и скомпрометированными рабочими процессами аутентификации, необходимы упреждающие стратегии.

#ParsedReport #CompletenessHigh
26-01-2026

PeckBirdy: A Versatile Script Framework for LOLBins Exploitation Used by China-aligned Threat Groups

https://www.trendmicro.com/en_us/research/26/a/peckbirdy-script-framework.html

Report completeness: High

Actors/Campaigns:
Unc3569
Earth_minotaur
Earth_lusca
Earth_baxia

Threats:
Peckbirdy_tool
Lolbin_technique
Holodonut
Mkdoor
Cobalt_strike_tool
Watering_hole_technique
Credential_harvesting_technique
Nexload
Donut
Grayrabbit
Dll_sideloading_technique
Wizardnet
Darknimbus
Biopass_rat

Victims:
Gambling industry, Government entities, Private organizations

Industry:
Government, Entertainment

Geo:
China, Korean, African, Chinese, Asian, Philippine

CVEs:
CVE-2020-16040 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<87.0.4280.88)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1106, T1189, T1204.002, T1216.001, T1218.005, T1218.005, T1553.002, have more...

IOCs:
IP: 9
Domain: 32
Hash: 15
File: 6

Soft:
Google Chrome, Electron, Microsoft Defender

Algorithms:
xor, base64, sha1, md5, aes, sha256

Win API:
EnumWindows, UuidFromStringA

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PeckBirdy - это платформа управления на основе JScript, используемая ориентированными на Китай APT-группировками с 2023 года, ориентированная на индустрию азартных игр и государственные структуры Азии. Это позволяет развертывать продвинутые бэкдоры HOLODONUT и MKDOOR, которые выполняют вредоносный JavaScript в различных средах и используют специальные методы для обхода и извлечения полезной нагрузки. Адаптивность фреймворка значительно усложняет усилия по обнаружению из-за его динамического выполнения и отсутствия постоянных артефактов.
-----

PeckBirdy - это сложная платформа управления на основе JScript (C&C), используемая ориентированными на Китай APT-группировками (advanced persistent threat groups) с 2023 года. В первую очередь он использовался для нацеливания на отрасли, связанные с азартными играми, и различные азиатские государственные структуры. Платформа поддерживает развертывание продвинутых бэкдоров, в частности двух модульных вариантов под названием HOLODONUT и MKDOOR, которые расширяют ее операционные возможности.

Фреймворк PeckBirdy демонстрирует универсальность, функционируя в различных средах, включая браузеры, MSHTA, WScript, классический ASP, Node.js , и .NET (ScriptControl). Такая адаптивность позволяет злоумышленникам эффективно доставлять и выполнять вредоносный JavaScript на разных платформах. Наблюдения показывают, что фреймворк изначально был развернут с помощью вредоносных скриптов, обнаруженных на нескольких китайских сайтах азартных игр. При посещении этих скомпрометированных сайтов пользователи непреднамеренно запускали загрузку основного скрипта PeckBirdy, облегчающего удаленное выполнение команд злоумышленников.

Среди выявленных бэкдоров HOLODONUT - это модуль на базе .NET, который использует специализированный загрузчик, получивший название NEXLOAD, для получения полезной нагрузки с удаленного сервера. Примечательным аспектом NEXLOAD является использование определенного формата токена при первом подключении, что позволяет ему выполнять свои операции скрытно. Полезная нагрузка шифруется с использованием алгоритма XOR и впоследствии выполняется с помощью функции обратного вызова, что повышает ее способность избегать обнаружения.

MKDOOR, второй бэкдор, был обнаружен на сайте фишинга, Маскировке под программу обновления Google Chrome. Этот модульный бэкдор оснащен загрузчиком, который подключается к серверу C & C для загрузки своего основного модуля. Что касается методов обхода защиты, MKDOOR стремится обойти Microsoft Defender, добавляя себя в список исключений и маскируя свои сообщения под законный трафик, связанный со службой поддержки Microsoft.

Анализ связывает две текущие кампании с фреймворком PeckBirdy: SHADOW-VOID-044 и SHADOW-EARTH-045. В этих кампаниях используются различные тактики, методы и процедуры (TTP), которые связывают их с различными акторами APT, ориентированными на Китай. Полученные данные свидетельствуют о тревожной тенденции в операционной сложности и адаптивности этих злоумышленников, которые используют двоичные файлы living-off-the-land для эффективного выполнения динамических фреймворков JavaScript.

Обнаруживать вредоносное ПО остается серьезной проблемой из-за их динамически во время выполнения и впрыском природы, не имея постоянных файлов артефакты, которые могут контролироваться традиционными решениями безопасности. Использование PeckBirdy иллюстрирует необходимость для современных средств обнаружения и оборонительных стратегий для защиты систем в меняющихся угроз преобладают адаптации и стратегическое кибер противники.

#ParsedReport #CompletenessLow
26-01-2026

Dark Web Profile: BravoX Ransomware

https://socradar.io/blog/dark-web-profile-bravox-ransomware/

Report completeness: Low

Threats:
Bravox

Victims:
Healthcare, Retail, United states

Industry:
Healthcare, Retail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BravoX - это недавно выявленная программа-вымогатель как услуга (RaaS), которая появилась в январе 2026 года и работает с небольшим количеством избранных жертв, в первую очередь ориентируясь на секторы здравоохранения и розничной торговли в США. Ее партнерская модель подчеркивает секретность и основанное на доказательствах вымогательство, избегая целей в странах СНГ, напоминая тактика известных русскоязычных групп вымогателей. Несмотря на то, что BravoX все еще находится на ранних стадиях своего развития, она использует ограниченное раскрытие данных о жертвах для повышения своей репутации и привлечения аффилированных лиц, что требует постоянного мониторинга ее деятельности.
-----

BravoX - это новая программа-вымогатель как услуга (RaaS), о которой стало известно публично в январе 2026 года, после запуска специального сайта по утечке данных в сети TOR. Эта группа была впервые выявлена на форуме RAMP underground, где она рекламировала партнерскую модель, направленную на расширение своей деятельности. По данным последнего анализа, BravoX работает в малом объеме, имея лишь несколько зарегистрированных жертв, что говорит о том, что он все еще находится на начальной стадии разработки.

Оперативный фокус BravoX включает в себя цели, в первую очередь в Соединенных Штатах, в частности, два учреждения здравоохранения и один розничный лица. Это соответствует наблюдаемой закономерности финансово мотивированных атак вымогателей, которые стремятся использовать секторах экономики, где нарушение нормального функционирования могут существенно обостриться вымогательство давления. Текущее значение счетчика жертва низкие, но выбор указывает на стратегическую направленность на максимальное воздействие путем выбора секторов, подверженных актуальность в ответ на угрозы вымогателей.

С точки зрения операционной структуры, BravoX функционирует как выборочный RaaS, делая упор на секретность и методы вымогательства, основанные на доказательствах, в своей партнерской модели. В нем излагаются определенные принципы, которые отражают осторожный подход, включая отказ от взаимодействия с целями, расположенными в странах Содружества Независимых Государств (СНГ). Этот язык сильно напоминает язык известных русскоязычных групп вымогателей, что свидетельствует о намерении создать репутацию и надежность в своей партнерской сети.

Несмотря на ограниченную осведомленность о деятельности BravoX's, ранние признаки указывают на то, что это скорее зарождающаяся угроза, чем полностью действующий актор-вымогатель. Операции RaaS на ранних стадиях часто используют ограниченное раскрытие данных о жертвах для подтверждения своей модели вымогательства и привлечения аффилированных лиц - тактику, которую, по-видимому, использует BravoX. Поскольку на сегодняшний день нет свидетельств проведения масштабных кампаний или агрессивного таргетинга, постоянный мониторинг деятельности BravoX's имеет решающее значение. Использование возможностей анализа угроз, включая мониторинг сайтов утечки программ-вымогателей и подпольных форумов, будет иметь важное значение для обнаружения любых признаков роста или взаимодействия с более устоявшимися сетями киберпреступников в будущем.

#ParsedReport #CompletenessHigh
26-01-2026

Impending cyclone: Vortex Werewolf attacks Russia

https://bi.zone/expertise/blog/nadvigayushchiysya-tsiklon-vortex-werewolf-atakuet-rossiyu/

Report completeness: High

Actors/Campaigns:
Skycloak (motivation: cyber_criminal)
Core_werewolf

Threats:
Spear-phishing_technique

Victims:
Government, Defense industry

Industry:
Government

Geo:
Russia, Russian, Belarusian

TTPs:
Tactics: 9
Technics: 0

IOCs:
Url: 7
File: 17
Path: 5
Domain: 22
Command: 1
Hash: 25
IP: 36

Soft:
Telegram, Windows Task Scheduler, curl, OpenSSH, Dropbox, OpenSSH for Windows, OpenSSL

Algorithms:
zip

Functions:
Remove-Item

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vortex Werewolf, новая хакерская группировка, нацеленная на российское правительство и оборонный сектор, использует атаки фишинга, которые распространяют вредоносное ПО через обманчивые ссылки для скачивания в Telegram. Вредоносное ПО при запуске запускает сценарий PowerShell, который устанавливает постоянный удаленный доступ к командной инфраструктуре злоумышленников через сеть Tor. Этот злоумышленник использует различные методы обфускации и объединяет множество методов, согласованных с платформой MITRE ATT&CK, чтобы избежать обнаружения и скомпрометировать конфиденциальную информацию.
-----

В конце 2025 и начале 2026 года была обнаружена новая хакерская группировка, известная как Vortex Werewolf, также известная как SkyCloak, нацеленная на российский правительственный и оборонный секторы. Атаки в основном связаны с распространением вредоносного ПО с помощью методов фишинга, используя поддельные страницы загрузки, имитирующие реальные ссылки для скачивания в Telegram. Эта тактика социальной инженерии направлена на то, чтобы обманом заставить жертв загружать и запускать Вредоносные файлы.

Механизм первоначального доступа, скорее всего, осуществляется с помощью фишинга, который либо нацелен на отдельных лиц непосредственно в Telegram, либо по электронной почте, что приводит жертв на вредоносные сайты, замаскированные под загрузки Telegram. Как только жертва переходит по этим ссылкам, загружается ZIP-архив, содержащий вредоносный LNK-файл. Выполнение этого файла LNK имеет решающее значение, поскольку он запускает сценарий PowerShell, который устанавливает постоянный удаленный доступ и настраивает скрытый канал связи с инфраструктурой командования и контроля (C2) злоумышленников.

В PowerShell PowerShell, который облегчает различные действия, такие как проверка условия для конкретных характеристик и очистки следов нападения. Он также планирует задания для обеспечения бесперебойной работы сети Tor и SSH-компоненты, в конечном счете, передавая идентификатор взломанный узел на сервере С2 доступ через сеть Tor. Использование методов обфускации и законных-просмотр названий программ для вредоносное ПО вредоносного ПО, которая добавляет к тактике уклонения, работающих по этой группе.

Анализ сетевой инфраструктуры показал, что Vortex Werewolf работает как минимум с декабря 2024 года и использует сервисы Cloudflare для сокрытия своей активности. Их операции включают в себя множество методов, которые согласуются с платформой MITRE ATT&CK, включая различные методы фишинга, выполнение с помощью Интерпретатора командной строки и сценариев, а также методы закрепления и обхода защиты.

Способность Vortex Werewolf's собирать конфиденциальную информацию с помощью страниц фишинга, направленных на компрометацию учетных записей Telegram, представляет собой явную и непосредственную угрозу. Сложное использование кластером шифрования, туннелирования и Маскировки протоколов через Tor указывает на высокий уровень операционной безопасности, призванный избежать обнаружения. Угроза, исходящая от этого актора, подчеркивает необходимость повышенной бдительности организаций, на которые нацелены, особенно в отношении использования неофициальных каналов связи и распознавания атак фишинга.

#technique

Exfil Out&Look for Logs: Weaponizing Outlook Add-ins for Zero-Trace Email Exfiltration

https://www.varonis.com/blog/outlook-add-in-exfiltration

#ParsedReport #CompletenessLow
27-01-2026

Malicious Chrome Extension Performs Hidden Affiliate Hijacking

https://socket.dev/blog/malicious-chrome-extension-performs-hidden-affiliate-hijacking

Report completeness: Low

Victims:
Content creators, Social media influencers, Affiliate marketers, Ecommerce users

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 12
Url: 1

Soft:
Chrome, Outlook

Functions:
initAffiliateLinker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что расширение Chrome под названием Amazon Ads Blocker перехватывает партнерские ссылки, изменяя URL-адреса продуктов таким образом, чтобы заменить теги партнеров оригинальных создателей тегами разработчика расширения, отвлекая комиссионные. Скрытый код в скрипте расширения изменяет ссылки, по которым переходят пользователи, что может существенно оказать воздействие на создателей контента, зависящих от доходов от партнерского маркетинга. Такое несанкционированное поведение вызывает опасения по поводу безопасности расширений браузера и целостности методов партнерского маркетинга.
-----

Было обнаружено, что расширение для Chrome, продаваемое как блокировщик рекламы Amazon, приводит к несанкционированному перехвату партнерских ссылок. Хотя расширение рекламируется как инструмент для блокировки "спонсируемой" рекламы на Amazon, оно запрашивает обширные разрешения для доступа к многочисленным доменам Amazon и выполняет скрытый код, который изменяет ссылки на товары на странице. В частности, вредоносное поведение встроено в сценарий (content.js ), который изменяет ссылки на товары Amazon, заменяя партнерские теги создателей контента тегами оператора расширения, таким образом отвлекая комиссионные от первоначальных создателей.

Когда пользователь нажимает на ссылку на продукт, измененную расширением, его партнерский тег, предназначенный для получения комиссионных, заменяется тегом, привязанным к разработчику расширения. Например, ссылка, предназначенная для создателя контента, при последнем клике может отображаться как партнерская-10xprofit-20, лишая создателя какого-либо заработка, в то время как злоумышленник получает полную комиссию. Это создает значительный риск для создателей контента, которые полагаются на доходы от партнерского маркетинга для монетизации своих платформ.

Пользователям рекомендуется немедленно удалить расширение и провести тщательную проверку установленных расширений на предмет любых несоответствий в раскрытии партнерской информации по сравнению с заявленными функциональными возможностями. Пользователям рекомендуется использовать расширения от проверенных разработчиков и сообщать о тех, чьи заявления вводят в заблуждение.

Для специалистов по безопасности существует несколько рекомендуемых действий. К ним относятся сообщение о расширении в службу безопасности интернет-магазина Chrome с доказательствами несоответствий в раскрытии информации, указание подозрительного аффилированного лица сотрудникам Amazon Associates для дальнейшего расследования и мониторинг других расширений, которые описывают функции, отличные от того, что предлагается в коде их выполнения. Кроме того, специалисты по безопасности должны оценивать схемы автоматического обновления таких расширений в соответствии с датами вступления в силу политики и следить за подозрительными схемами внедрения, которые совпадают с акциями по продаже купонов или специальных предложений.

#ParsedReport #CompletenessLow
27-01-2026

Threat Actors Using AWS WorkMail in Phishing Campaigns

https://www.rapid7.com/blog/post/dr-threat-actors-aws-workmail-phishing-campaigns

Report completeness: Low

Actors/Campaigns:
Crimson_collective

Threats:
Trufflehog_tool

Victims:
Cloud service users, Aws customers

TTPs:
Tactics: 5
Technics: 5

IOCs:
Domain: 2
File: 2
IP: 3

Soft:
WorkMail, Firefox

Functions:
RequestServiceQuotaIncrease, CreateAlias, EmailMessage

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4