#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vortex Werewolf, новая хакерская группировка, нацеленная на российское правительство и оборонный сектор, использует атаки фишинга, которые распространяют вредоносное ПО через обманчивые ссылки для скачивания в Telegram. Вредоносное ПО при запуске запускает сценарий PowerShell, который устанавливает постоянный удаленный доступ к командной инфраструктуре злоумышленников через сеть Tor. Этот злоумышленник использует различные методы обфускации и объединяет множество методов, согласованных с платформой MITRE ATT&CK, чтобы избежать обнаружения и скомпрометировать конфиденциальную информацию.
-----

В конце 2025 и начале 2026 года была обнаружена новая хакерская группировка, известная как Vortex Werewolf, также известная как SkyCloak, нацеленная на российский правительственный и оборонный секторы. Атаки в основном связаны с распространением вредоносного ПО с помощью методов фишинга, используя поддельные страницы загрузки, имитирующие реальные ссылки для скачивания в Telegram. Эта тактика социальной инженерии направлена на то, чтобы обманом заставить жертв загружать и запускать Вредоносные файлы.

Механизм первоначального доступа, скорее всего, осуществляется с помощью фишинга, который либо нацелен на отдельных лиц непосредственно в Telegram, либо по электронной почте, что приводит жертв на вредоносные сайты, замаскированные под загрузки Telegram. Как только жертва переходит по этим ссылкам, загружается ZIP-архив, содержащий вредоносный LNK-файл. Выполнение этого файла LNK имеет решающее значение, поскольку он запускает сценарий PowerShell, который устанавливает постоянный удаленный доступ и настраивает скрытый канал связи с инфраструктурой командования и контроля (C2) злоумышленников.

В PowerShell PowerShell, который облегчает различные действия, такие как проверка условия для конкретных характеристик и очистки следов нападения. Он также планирует задания для обеспечения бесперебойной работы сети Tor и SSH-компоненты, в конечном счете, передавая идентификатор взломанный узел на сервере С2 доступ через сеть Tor. Использование методов обфускации и законных-просмотр названий программ для вредоносное ПО вредоносного ПО, которая добавляет к тактике уклонения, работающих по этой группе.

Анализ сетевой инфраструктуры показал, что Vortex Werewolf работает как минимум с декабря 2024 года и использует сервисы Cloudflare для сокрытия своей активности. Их операции включают в себя множество методов, которые согласуются с платформой MITRE ATT&CK, включая различные методы фишинга, выполнение с помощью Интерпретатора командной строки и сценариев, а также методы закрепления и обхода защиты.

Способность Vortex Werewolf's собирать конфиденциальную информацию с помощью страниц фишинга, направленных на компрометацию учетных записей Telegram, представляет собой явную и непосредственную угрозу. Сложное использование кластером шифрования, туннелирования и Маскировки протоколов через Tor указывает на высокий уровень операционной безопасности, призванный избежать обнаружения. Угроза, исходящая от этого актора, подчеркивает необходимость повышенной бдительности организаций, на которые нацелены, особенно в отношении использования неофициальных каналов связи и распознавания атак фишинга.

#technique

Exfil Out&Look for Logs: Weaponizing Outlook Add-ins for Zero-Trace Email Exfiltration

https://www.varonis.com/blog/outlook-add-in-exfiltration

#ParsedReport #CompletenessLow
27-01-2026

Malicious Chrome Extension Performs Hidden Affiliate Hijacking

https://socket.dev/blog/malicious-chrome-extension-performs-hidden-affiliate-hijacking

Report completeness: Low

Victims:
Content creators, Social media influencers, Affiliate marketers, Ecommerce users

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 12
Url: 1

Soft:
Chrome, Outlook

Functions:
initAffiliateLinker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что расширение Chrome под названием Amazon Ads Blocker перехватывает партнерские ссылки, изменяя URL-адреса продуктов таким образом, чтобы заменить теги партнеров оригинальных создателей тегами разработчика расширения, отвлекая комиссионные. Скрытый код в скрипте расширения изменяет ссылки, по которым переходят пользователи, что может существенно оказать воздействие на создателей контента, зависящих от доходов от партнерского маркетинга. Такое несанкционированное поведение вызывает опасения по поводу безопасности расширений браузера и целостности методов партнерского маркетинга.
-----

Было обнаружено, что расширение для Chrome, продаваемое как блокировщик рекламы Amazon, приводит к несанкционированному перехвату партнерских ссылок. Хотя расширение рекламируется как инструмент для блокировки "спонсируемой" рекламы на Amazon, оно запрашивает обширные разрешения для доступа к многочисленным доменам Amazon и выполняет скрытый код, который изменяет ссылки на товары на странице. В частности, вредоносное поведение встроено в сценарий (content.js ), который изменяет ссылки на товары Amazon, заменяя партнерские теги создателей контента тегами оператора расширения, таким образом отвлекая комиссионные от первоначальных создателей.

Когда пользователь нажимает на ссылку на продукт, измененную расширением, его партнерский тег, предназначенный для получения комиссионных, заменяется тегом, привязанным к разработчику расширения. Например, ссылка, предназначенная для создателя контента, при последнем клике может отображаться как партнерская-10xprofit-20, лишая создателя какого-либо заработка, в то время как злоумышленник получает полную комиссию. Это создает значительный риск для создателей контента, которые полагаются на доходы от партнерского маркетинга для монетизации своих платформ.

Пользователям рекомендуется немедленно удалить расширение и провести тщательную проверку установленных расширений на предмет любых несоответствий в раскрытии партнерской информации по сравнению с заявленными функциональными возможностями. Пользователям рекомендуется использовать расширения от проверенных разработчиков и сообщать о тех, чьи заявления вводят в заблуждение.

Для специалистов по безопасности существует несколько рекомендуемых действий. К ним относятся сообщение о расширении в службу безопасности интернет-магазина Chrome с доказательствами несоответствий в раскрытии информации, указание подозрительного аффилированного лица сотрудникам Amazon Associates для дальнейшего расследования и мониторинг других расширений, которые описывают функции, отличные от того, что предлагается в коде их выполнения. Кроме того, специалисты по безопасности должны оценивать схемы автоматического обновления таких расширений в соответствии с датами вступления в силу политики и следить за подозрительными схемами внедрения, которые совпадают с акциями по продаже купонов или специальных предложений.

#ParsedReport #CompletenessLow
27-01-2026

Threat Actors Using AWS WorkMail in Phishing Campaigns

https://www.rapid7.com/blog/post/dr-threat-actors-aws-workmail-phishing-campaigns

Report completeness: Low

Actors/Campaigns:
Crimson_collective

Threats:
Trufflehog_tool

Victims:
Cloud service users, Aws customers

TTPs:
Tactics: 5
Technics: 5

IOCs:
Domain: 2
File: 2
IP: 3

Soft:
WorkMail, Firefox

Functions:
RequestServiceQuotaIncrease, CreateAlias, EmailMessage

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют AWS WorkMail в кампаниях по фишингу, используя его функции для создания скрытых инфраструктур электронной почты. Первоначальный доступ часто начинается с компрометации ключей доступа AWS, что позволяет злоумышленникам использовать вызовы API для создания пользователей и групп в WorkMail, расширяя их возможности по отправке нацеленных на фишинг электронных писем с поддельными доменами. Эти действия используют преимущества меньшего количества ограничений WorkMail по сравнению с Amazon SES, облегчая необнаруживаемые операции фишинга и одновременно используя уязвимости в сервисах AWS для распространения вредоносных программ.
-----

Недавние расследования показали, что злоумышленники используют AWS WorkMail в различных кампаниях по фишингу, используя его компоненты для создания незаметных инфраструктур фишинга. AWS WorkMail - это управляемый почтовый сервис, который позволяет организациям поддерживать корпоративные почтовые ящики без непосредственного управления серверами, используя стандартные протоколы, такие как IMAP и SMTP. Такая простота использования облегчает создание изолированных почтовых сред, называемых организациями, которые могут быть быстро и незаметно настроены злоумышленниками, стремящимися осуществлять фишинг или рассылку спама.

Атака часто начинается с компрометации долгосрочные ключи доступа AWS. Например, одна кампания была начата, когда "СТС:GetCallerIdentity" вызов API был сделан, с помощью пользовательского агента, с указанием занятости TruffleHog, инструмент сведущи в открытии просочилась учетные данные на различных платформах. Это было связано с предыдущими кампаниями отнести к группам, таким как Crimson Collective. Как только доступ будет получен, злоумышленники создают пользователи внутри организации workmail с помощью конкретных вызовов API, позволяющий им управлять почтовыми ящиками и обеспечить свое присутствие на платформе оперативно.

В дополнение к созданию пользователей злоумышленники могут определять группы для рассылки электронной почты, расширяя свои возможности по отправке нацеленных на фишинг электронных писем. Владельцами доменов также манипулируют; злоумышленники могут проверять домены и использовать их для связи по электронной почте, придавая поддельным письмам вид законных. Дизайн AWS WorkMail представляет собой выгодный способ отправки электронных писем, особенно по сравнению с более ограниченной системой Amazon SES, где отправка ограничена изолированной средой. Злоумышленники используют это слабое место, отправляя небольшие объемы электронной почты через рабочую почту, чтобы избежать обнаружения, и одновременно создавая репутацию для своих Адресов эл. почты.

Кроме того, злоумышленники обходят ограничения SES, переходя на AWS WorkMail, что создает меньше препятствий для инициирования операций с электронной почтой. В отличие от Amazon SES, которая служит для предотвращения мошеннических действий, WorkMail позволяет злоумышленникам действовать со значительной гибкостью и, таким образом, облегчает немедленные операции по фишингу до утверждения более высоких лимитов SES. Благодаря поэтапному подходу противники могут стратегически проверить свою инфраструктуру, создать репутацию отправителя и поддерживать динамику своих кампаний.

Выявленные методы подпадают под рамки MITRE ATT&CK, выделяя такие тактики, как первоначальный доступ через действительные Облачные учетные записи, закрепление учетной записи путем создания нескольких пользователей IAM, повышение привилегий путем привязки административных политик к вновь созданным учетным записям и Несанкционированное использование ресурсов путем злоупотребления сервисами AWS для вредоносной рассылки по электронной почте. Этот ландшафт киберугроз подчеркивает уязвимости в Облачных сервисах AWS, которые могут быть использованы злоумышленниками для облегчения крупномасштабных операций фишинга, замаскированных под законное корпоративное использование.

#ParsedReport #CompletenessHigh
27-01-2026

HoneyMyte updates CoolClient and deploys multiple stealers in recent campaigns

https://securelist.com/honeymyte-updates-coolclient-uses-browser-stealers-and-scripts/118664/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: information_theft, cyber_espionage)

Threats:
Coolclient
Toneshell
Plugx_rat
Qreverse
Tonedisk_tool
Snakedisk_tool
Dll_sideloading_technique
Process_injection_technique
Uac_bypass_technique
Passuac_tool
Nbtscan_tool
Credential_harvesting_technique

Victims:
Government

Industry:
Government

Geo:
Russia, Malaysia, Pakistan, Thailand, Asia, Myanmar, Mongolia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040, T1056.001, T1059.003, T1105, T1115

IOCs:
File: 20
Path: 5
Hash: 13
Coin: 1
Url: 1
Domain: 3
IP: 1

Soft:
Chrome, Microsoft Edge, curl, Firefox, Opera, pixeldrain, Google Chrome

Algorithms:
zip, base64, aes, md5, xor

Win API:
GetClipboardData, GetWindowTextW, CryptUnprotectData

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HoneyMyte, также известная как Mustang Panda, активизирует шпионскую деятельность, направленную против правительственных структур, особенно в Юго-Восточной Азии и Европе. В их работе используется обновленный бэкдор CoolClient наряду с вредоносным ПО, таким как PlugX и LuminousMoth, который позволяет осуществлять обширный сбор системных данных, управление файлами, Регистрацию нажатий клавиш и кражу учетных данных с помощью таких усовершенствований, как мониторинг буфера обмена и анализатор учетных данных HTTP-прокси. Кроме того, группа использует различные вредоносные ПО-стиллеры и скрипты для разведки и кражи документов, что предполагает повышенную закрепление и адаптивность в их стратегиях атак.
-----

HoneyMyte, также известная как Mustang Panda или Bronze President, активизировала свои шпионские кампании, преимущественно оказывая воздействие на правительственные структуры в Юго-Восточной Азии и Европе. В недавних операциях группы особое место занимает усовершенствованная версия бэкдора CoolClient, первоначально идентифицированная в 2022 году и обновленная в 2023 году, которая использовалась наряду с другими вредоносными ПО, такими как PlugX и LuminousMoth, в атаках по всей Мьянме, Монголии, Малайзии и России.

Обновленный бэкдор CoolClient может похвастаться расширенной функциональностью, включая сбор подробной системной и пользовательской информации, такой как сведения об операционной системе, сетевые конфигурации и учетные записи пользователей. Как более ранние, так и текущие варианты позволяют выполнять такие действия, как загрузка файлов на серверы command and control (C2), Удаление файлов, Регистрацию нажатий клавиш, туннелирование TCP и выполнение дополнительных модулей в памяти. Также были интегрированы новые возможности, такие как мониторинг буфера обмена с помощью стандартных API Windows для сбора Данных из буфера обмена и анализатор учетных данных HTTP-прокси, который извлекает учетные данные из перехваченного трафика по локальным IP-адресам.

Связь CoolClient's со своим сервером C2 в основном осуществляется по протоколу TCP с возможностью использования UDP. Каждый пакет команд начинается с определенного магического значения для идентификации типов команд, режимы переключения не зависят от этого значения для выполнения плагина. Фреймворк позволяет CoolClient реализовывать различные операционные команды, в частности, для кражи данных и настройки прокси-сервера. Кроме того, бэкдор можно расширять с помощью плагинов, которые предлагают такие функции, как управление файлами и возможности удаленной оболочки. В частности, FileMgrS.dll и RemoteShellS.dll плагины предоставляют комплексные команды для работы с файлами и удаленный административный доступ через скрытую командную строку, соответственно.

Помимо фреймворка CoolClient, HoneyMyte использовала в своей деятельности различные образцы вредоносного ПО-стиллера. Например, в одной из заметных кампаний был задействован стиллер учетных данных, нацеленный на сохраненные данные для входа в браузерах на базе Chromium, приписываемый Backdoor. ToneShell Варианты этого стиллера обеспечивают гибкий таргетинг в различных установках браузера. Анализ вредоносного ПО выявил сходство между инструментами HoneyMyte's и LuminousMoth, что наводит на мысль о возможных общих кодовых базах или методологиях.

В дополнение к этим инструментам HoneyMyte запустила сценарии для разведки системы и кражи документов. Использование пакетных сценариев (1.bat) и сценариев PowerShell (Ttraazcs32.ps1 и t.ps1) облегчает загрузку утилит, необходимых для передачи и сжатия данных, расширяя их возможности по эксфильтрации данных.

#ParsedReport #CompletenessLow
27-01-2026

EMERGING THREATS

https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20CrazyHunter%20Ransomware%20Group.pdf

Report completeness: Low

Threats:
Crazyhunter_ransomware
Prince_ransomware
Byovd_technique
Zemana_tool
Sharpgpoabuse_tool

Victims:
Healthcare sector, Hospitals, Organizations in taiwan

Industry:
Healthcare, Critical_infrastructure, Logistic

Geo:
Taiwan

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей CrazyHunter стала заметной угрозой в 2025 году, в первую очередь нацелившись на критически важные секторы Тайваня, в частности на здравоохранение. Эта группа использует передовые методы уклонения, включая тактику "Приведите своего собственного уязвимого драйвера" (BYOVD) для использования законных уязвимых драйверов, таких как zam64.sys , для повышения привилегий и компрометации системы. CrazyHunter демонстрирует переход от оппортунистических атак к более методичному подходу, повышая свою операционную эффективность в отношении корпоративных сетей.
-----

Группа программ-вымогателей CrazyHunter стала серьезной угрозой в 2025 году, в первую очередь нацеленной на организации на Тайване, с особым акцентом на такие важные сектора, как здравоохранение. Известные инциденты продемонстрировали непосредственное оперативное воздействие CrazyHunter, включая случай, когда больница столкнулась с массовыми сбоями в работе и системным шифрованием из-за компрометации. Эта группа демонстрирует переход от оппортунистических атак к более систематическому и основанному на скрытности подходу, интегрирующему передовые методы обхода средств защиты, которые повышают их шансы на успех. Примечательно, что CrazyHunter, как полагают, является вариантом, производным от Prince ransomware, что подразумевает, что его операторы используют существующую кодовую базу программы-вымогателя, настраивая ее для атак корпоративного уровня.

С точки зрения технического поведения, выполнение CrazyHunter's характеризуется хорошо структурированным подходом, ориентированным на скрытность и повышение привилегий. Злоумышленники используют тактику, направленную на то, чтобы свести к минимуму сопротивление мерам безопасности до начала шифрования. Это методичное выполнение подчеркивает заметное мастерство, в отличие от обычного выполнения, часто наблюдаемого при атаках программ-вымогателей. Ключевой аспект тактики CrazyHunter's заключается в использовании методов "Приведи своего собственного уязвимого драйвера" (BYOVD). Такой подход позволяет злоумышленникам использовать законные, но уязвимые драйверы для получения повышенных привилегий в скомпрометированных системах, эффективно подрывая защиту конечных точек. В частности, драйвер zam64.sys , связанный с антивирусным ПО Zemana, был идентифицирован как инструмент, используемый акторами для отключения или ухудшения работы защитных систем, тем самым повышая эффективность развертывания программ-вымогателей в корпоративных сетях.

Таким образом, CrazyHunter представляет собой сложную эволюцию программ-вымогателей, отличающуюся стратегическим оперативным планированием, использованием передовых тактик уклонения и использованием уязвимостей в законном программном обеспечении для организации успешных вторжений и максимального воздействия на нацеленные организации.

#ParsedReport #CompletenessHigh
27-01-2026

APT Attacks Target Indian Government Using SHEETCREEP, FIREPOWER, and MAILCREEP \| Part 2

https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-sheetcreep-firepower-and

Report completeness: High

Actors/Campaigns:
Gopher_strike
Sheet_attack
Transparenttribe
Flightnight

Threats:
Sheetcreep
Mailcreep
Deskrat
Go-stealer
Elizarat
Curlback
Spear-phishing_technique
Dead_drop_technique

Victims:
Indian government

Industry:
Government

Geo:
Asia, India, Indian, Pakistan

TTPs:
Tactics: 8
Technics: 30

IOCs:
Command: 4
Url: 10
Path: 4
File: 14
Domain: 5
IP: 1
Hash: 19

Soft:
Graph API, OpenAI, Linux, chrome

Algorithms:
aes-256, zip, base64, 3des, cbc

Functions:
Get-FolderContents, Get-ChildItem

Languages:
powershell, golang

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025, анализ выявил три АПТ бэкдоры—SHEETCREEP, огневой мощи и MAILCREEP—используется в Sheet Attack нападения индийских государственных образований. Эти бэкдоры используют Облачные сервисы для управления, используя для первоначального доступа электронные письма с фишингом и вредоносные PDF-файлы. Вредоносное ПО использует передовые методы уклонения, включая маскировку под законные файлы и использование характеристик искусственного интеллекта, в то время как злоумышленники, как подозревается, связаны с APT36 или новой пакистанской группировкой.
-----

В сентябре 2025 года команда Zscaler ThreatLabZ провела подробный анализ, выявивший три бэкдора для сложных целенаправленных угроз (APT) — SHEETCREEP, FIREPOWER и MAILCREEP, которые использовались в кампании вредоносной Sheet Attack, нацеленной на государственные учреждения Индии. Эти бэкдоры являются частью более широкой операции, известной как кампании Sheet Attack и Gopher Strike, которые в основном используют фишинг через PDF-файлы для инициирования атак.

Кампания использует облегченные бэкдоры для взаимодействия по нескольким каналам управления (C2), эффективно скрывая вредоносную активность в рамках законного трафика с использованием хорошо известных Облачных сервисов, таких как Google Sheets и Microsoft Graph API. SHEETCREEP - это бэкдор на C#, взаимодействующий через Google Sheets, FIREPOWER - бэкдор на основе PowerShell, который использует базу данных Firebase в реальном времени от Google, в то время как MAILCREEP, написанный на Golang, также использует API Microsoft для своих операций C2. Такое стратегическое использование Облачных сервисов позволяет вредоносному ПО сливаться с обычным веб-трафиком и обходить механизмы обнаружения.

Тревожным аспектом этих бэкдоров является предполагаемое использование генеративного искусственного интеллекта при их разработке, о чем свидетельствуют различные стили кодирования, очевидные в SHEETCREEP, такие как использование эмодзи в сообщениях об ошибках, что необычно для традиционной разработки вредоносного ПО. Аналитики заметили специфические характеристики, которые предполагают непрерывную работу оператора с клавиатурой, о чем свидетельствуют опечатки команд при взаимодействии с каналами C2.

Методы развертывания этих бэкдоров часто начинаются с фишингов электронного письма, содержащего PDF-файл, Маскировку под легальный контент. При открытии этот PDF-файл побуждает пользователей нажать кнопку Загрузки документа, что затем приводит к загрузке вредоносного ZIP-файла, содержащего SHEETCREEP и его зависимости. Примечательно, что бэкдор SHEETCREEP маскируется под PNG-файл и выполняет процесс загрузки через вредоносный LNK-файл, который запускает команду PowerShell для инициализации фактического файла .СЕТЧАТАЯ сборка.

По оценкам, хакерские группировки, стоящие за этими операциями, вероятно, принадлежат либо к новой подгруппе, связанной с Пакистаном, либо к новой версии группы APT36, учитывая совпадение виктимологии и тактики, связанных с предыдущими действиями APT36, которые исторически были нацелены на государственные сектора Индии. Однако кампания Sheet Attack отличается тем, что использует новые методы уклонения, обычно не связанные с APT36, такие как фильтрация гео-IP на стороне сервера.

Обладая высокой степенью технической сложности, инфраструктура C2, используемая в кампаниях, максимизирует использование законных сервисов при сохранении анонимности благодаря множеству доменов и конфигураций, размещенных на облачных платформах. К ним относятся конфигурации Firebase и протоколы обмена документами, которые тщательно разработаны, чтобы избежать обнаружения при одновременном управлении полезными нагрузками вредоносного ПО.