#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025, анализ выявил три АПТ бэкдоры—SHEETCREEP, огневой мощи и MAILCREEP—используется в Sheet Attack нападения индийских государственных образований. Эти бэкдоры используют Облачные сервисы для управления, используя для первоначального доступа электронные письма с фишингом и вредоносные PDF-файлы. Вредоносное ПО использует передовые методы уклонения, включая маскировку под законные файлы и использование характеристик искусственного интеллекта, в то время как злоумышленники, как подозревается, связаны с APT36 или новой пакистанской группировкой.
-----

В сентябре 2025 года команда Zscaler ThreatLabZ провела подробный анализ, выявивший три бэкдора для сложных целенаправленных угроз (APT) — SHEETCREEP, FIREPOWER и MAILCREEP, которые использовались в кампании вредоносной Sheet Attack, нацеленной на государственные учреждения Индии. Эти бэкдоры являются частью более широкой операции, известной как кампании Sheet Attack и Gopher Strike, которые в основном используют фишинг через PDF-файлы для инициирования атак.

Кампания использует облегченные бэкдоры для взаимодействия по нескольким каналам управления (C2), эффективно скрывая вредоносную активность в рамках законного трафика с использованием хорошо известных Облачных сервисов, таких как Google Sheets и Microsoft Graph API. SHEETCREEP - это бэкдор на C#, взаимодействующий через Google Sheets, FIREPOWER - бэкдор на основе PowerShell, который использует базу данных Firebase в реальном времени от Google, в то время как MAILCREEP, написанный на Golang, также использует API Microsoft для своих операций C2. Такое стратегическое использование Облачных сервисов позволяет вредоносному ПО сливаться с обычным веб-трафиком и обходить механизмы обнаружения.

Тревожным аспектом этих бэкдоров является предполагаемое использование генеративного искусственного интеллекта при их разработке, о чем свидетельствуют различные стили кодирования, очевидные в SHEETCREEP, такие как использование эмодзи в сообщениях об ошибках, что необычно для традиционной разработки вредоносного ПО. Аналитики заметили специфические характеристики, которые предполагают непрерывную работу оператора с клавиатурой, о чем свидетельствуют опечатки команд при взаимодействии с каналами C2.

Методы развертывания этих бэкдоров часто начинаются с фишингов электронного письма, содержащего PDF-файл, Маскировку под легальный контент. При открытии этот PDF-файл побуждает пользователей нажать кнопку Загрузки документа, что затем приводит к загрузке вредоносного ZIP-файла, содержащего SHEETCREEP и его зависимости. Примечательно, что бэкдор SHEETCREEP маскируется под PNG-файл и выполняет процесс загрузки через вредоносный LNK-файл, который запускает команду PowerShell для инициализации фактического файла .СЕТЧАТАЯ сборка.

По оценкам, хакерские группировки, стоящие за этими операциями, вероятно, принадлежат либо к новой подгруппе, связанной с Пакистаном, либо к новой версии группы APT36, учитывая совпадение виктимологии и тактики, связанных с предыдущими действиями APT36, которые исторически были нацелены на государственные сектора Индии. Однако кампания Sheet Attack отличается тем, что использует новые методы уклонения, обычно не связанные с APT36, такие как фильтрация гео-IP на стороне сервера.

Обладая высокой степенью технической сложности, инфраструктура C2, используемая в кампаниях, максимизирует использование законных сервисов при сохранении анонимности благодаря множеству доменов и конфигураций, размещенных на облачных платформах. К ним относятся конфигурации Firebase и протоколы обмена документами, которые тщательно разработаны, чтобы избежать обнаружения при одновременном управлении полезными нагрузками вредоносного ПО.

#ParsedReport #CompletenessMedium
27-01-2026

Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088

https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/

Report completeness: Medium

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Sandworm
Gamaredon
Turla

Threats:
Romcom_rat
Spear-phishing_technique
Nestpacker
Snipbot
Stockstay
Poison_ivy
Xworm_rat
Asyncrat

Victims:
Military, Government, Technology, Commercial targets, Ukrainian military, Ukrainian government

Industry:
Government, Financial, Entertainment, E-commerce, Military

Geo:
Indonesia, Russian, Latam, Brazilian, Ukrainian, Russia, China, Ukraine

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


ChatGPT TTPs:
do not use without manual check
T1547.001, T1587.004, T1588.005

IOCs:
File: 2
Hash: 44

Soft:
Gmail, Dropbox, Telegram, Chrome, Microsoft Office

Algorithms:
sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-8088, уязвимость с высокой степенью серьезности для обхода пути в WinRAR, активно используется различными злоумышленниками, включая спонсируемые государством группы из России и Китая, а также киберпреступниками, мотивированными финансовыми соображениями. Этот эксплойт позволяет злоумышленникам использовать альтернативные потоки данных для внедрения Вредоносных файлов в архивы RAR, облегчая произвольное размещение файлов, особенно в папке автозагрузки Windows для закрепления. Уязвимость была использована злоумышленниками для развертывания вредоносного ПО, такого как POISONIVY и различных товарных RAT, что отражает значительный сдвиг в сторону использования таких недостатков как для шпионажа, так и для получения финансовой выгоды.
-----

Уязвимость CVE-2025-8088 в WinRAR, широко используемом инструменте архивации файлов, активно используется различными злоумышленниками, включая спонсируемые государством группы и финансово мотивированных киберпреступников. Выявленный группой Google Threat Intelligence Group, этот серьезный недостаток обхода путей был обнаружен и исправлен в июле 2025 года, но продолжает оставаться объектом эксплуатации, подчеркивая значительные пробелы в безопасности среди пользователей и организаций. Эксплойт позволяет злоумышленникам использовать альтернативные потоки данных (ADS) для встраивания Вредоносных файлов в архивы RAR, которые при извлечении уязвимыми версиями WinRAR могут привести к произвольному размещению файлов в системе, особенно в папке автозагрузки Windows для закрепления.

Примечательно, что поддерживаемые правительством злоумышленники из России и Китая использовали этот эксплойт в своих операциях против военного, правительственного и технологического секторов, особенно нацеливаясь на Украину в условиях сохраняющейся геополитической напряженности. Эти злоумышленники используют специально разработанные приманки, чтобы побудить жертв к выполнению вредоносной полезной нагрузки. Кроме того, было замечено, что китайская хакерская группировка распространяет вредоносное ПО POISONIVY с помощью файла BAT, который помещается в папку автозагрузки и впоследствии загружает Dropper.

Финансово мотивированные акторы также использовали уязвимость CVE-2025-8088 для развертывания различных троянских программ удаленного доступа к товарам (RAT) и стиллеров информации против коммерческих организаций, демонстрируя ее универсальность в качестве средства первоначального доступа. Спрос на эффективные эксплойты удовлетворяется подпольной экономикой, где отдельные лица, такие как поставщик, известный как "zeroplayer", рекламируют и продают такие эксплойты непосредственно сообществу киберпреступников.

Повсеместное использование и быстрая эксплуатация CVE-2025-8088 в различных профилях злоумышленников подчеркивает настоятельную необходимость немедленного исправления приложений. Инцидент служит суровым напоминанием о том, как уязвимости n-day могут стереть границы между изощренной шпионской деятельностью и оппортунистической финансовой эксплуатацией. Успешные стратегии защиты должны не только уделять приоритетное внимание управлению исправлениями, но и улучшать возможности по обнаружению и реагированию на распространенные тактики, методы и процедуры после эксплуатации (TTP), связанные с этими угрозами.

#ParsedReport #CompletenessHigh
27-01-2026

Fake Clawdbot VS Code Extension Installs ScreenConnect RAT

https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware

Report completeness: High

Threats:
Screenconnect_tool
Remoteadmin_tool
Anydesk_tool
Teamviewer_tool
Trojan.win64.injector
Dll_sideloading_technique
Process_camouflage_technique

Victims:
Vs code users, Developers

Geo:
Seychelles

ChatGPT TTPs:
do not use without manual check
T1036, T1053.005, T1059.006, T1059.007, T1071.001, T1102, T1105, T1108, T1195, T1204, have more...

IOCs:
File: 25
Url: 3
Hash: 4
Domain: 3
Command: 1
IP: 2

Soft:
Clawdbot, OpenAI, Ollama, Electron, Chromium, Dropbox, Zoom, Node.js

Algorithms:
sha256

Functions:
activate, initCore

Win API:
DWriteCreateFactory, GetSystemTimeAsFileTime, QueryPerformanceCounter, LoadLibraryA, GetProcAddress, OpenProcessToken

Languages:
javascript, powershell, rust

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания Clawdbot использует поддельное расширение кода Visual Studio для предоставления инструмента удаленного доступа ScreenConnect (RAT), используя популярность Clawdbot. Он использует DLL-файл с именем DWrite.dll , разработанный для имитации функциональности Windows DirectWrite, облегчающий выполнение вредоносного кода. Инфраструктура кампании включает в себя устойчивые конфигурации для доставки полезной нагрузки с помощью файлов JSON и резервных методов, в то время как RAT работает с полным доступом к системе, избегая обнаружения, выдавая себя за надежное приложение.
-----

Вредоносная Кампания Clawdbot использует поддельное расширение Visual Studio Code (VS Code) для доставки инструмента удаленного доступа ScreenConnect (RAT). Это мошенническое расширение использует шумиху вокруг Clawdbot, помощника с искусственным интеллектом, что делает его мишенью для злонамеренной Имперсонации. Атака начинается с доставки полезной нагрузки, размещенной в DLL-файле с определенным именем DWrite.dll . Этот файл, написанный на Rust, предназначен для имитации законной функциональности путем экспорта той же функции DWriteCreateFactory, которую можно найти в аутентичной библиотеке Windows DirectWrite. Когда приложение ScreenConnect вызывает эту функцию, выполняется внедренный вредоносный код, который закрепляется в системе жертвы.

Операционная инфраструктура этой угрозы в значительной степени зависит от избыточности и устойчивости. Первоначальная конфигурация предоставляется с помощью файла JSON, полученного из домена, связанного с кампанией Clawdbot, в то время как механизмы резервного копирования включают жестко закодированные URL-адреса и альтернативные доменные резервные копии для доставки полезной нагрузки, если основной сервер управления (C2) становится недоступен. Домен clawdbot.getintwopc.site защищен Cloudflare, что усложняет любые попытки определения авторства. Журналы прозрачности сертификатов указывают на то, что домен существует с марта 2025 года.

Эффективное выполнение этой атаки зависит от различных тактик, направленных на то, чтобы избежать обнаружения и свести к минимуму подозрения пользователей. Выдавая себя за доверенное приложение, связанное с достижениями искусственного интеллекта, вредоносное расширение может привлекать пользователей, которые ищут инструменты, связанные с Clawdbot. Фактическая функциональность вредоносного ПО соответствует его законным заявлениям, что еще больше помогает ему избежать проверки. После установки это расширение VS Code запускается с полным доступом к файловой системе и сети, позволяя RAT работать без немедленного вмешательства пользователя. Механизмы закрепления включают потенциальные резервные стратегии, использующие такие платформы, как Dropbox, PowerShell или Node.js чтобы гарантировать, что полезная нагрузка остается работоспособной даже при сбое основных методов.

Чтобы уменьшить угрозу, возникающую в результате этой атаки, крайне важно немедленно удалить вредоносное расширение и проверить, установлен ли в системе ScreenConnect. Пользователям рекомендуется проверить наличие связанных файлов в каталогах программы и временной папке. Кроме того, мониторинг любых затянувшихся процессов, связанных с Code.exe или ScreenConnect жизненно важен. Меры безопасности также должны включать блокировку определенных IP-адресов на уровне брандмауэра, выполнение всестороннего антивирусного сканирования и замену любых конфиденциальных ключей API, которые, возможно, были введены в расширение. Пользователи также должны убедиться, что они проверяют наличие любых запланированных задач или записей запуска, которые могли бы восстановить скомпрометированные компоненты. Мониторинг исходящих подключений к определенным портам имеет решающее значение для обнаружения любой текущей вредоносной активности.

#ParsedReport #CompletenessMedium
28-01-2026

PureRAT: Attacker Now Using AI to Build Toolset

https://www.security.com/threat-intelligence/ai-purerat-phishing

Report completeness: Medium

Threats:
Purerat
Hvnc_tool

Victims:
Organizations

Geo:
American, Vietnam, Vietnamese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1102.003, T1566.001, T1566.002

IOCs:
File: 32
Url: 32
Registry: 1
Hash: 69
IP: 8
Domain: 2

Soft:
Dropbox, Microsoft Excel, Foxit, Chrome

Algorithms:
base64, zip, 7zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вьетнам основе киберпреступник использует искусственный интеллект для повышения фишинг-кампании, указанный сложные скрипты с подробными комментариями и отладочной информации. Их атаки сместился с традиционных вредоносных вложений для таких файлов на Dropbox, что делает обнаружение более сложным. Доказательством их идентичности включает вьетнамский комментарии в коде и связанные адреса эл. почты, подсветка локализованные киберпреступность киберпреступности с более продвинутой тактики.
-----

Сообщается, что базирующийся во Вьетнаме киберпреступник использует Искусственный интеллект (ИИ) для расширения своего набора инструментов для проведения кампаний по фишингу. Показатели использования искусственного интеллекта включают подробные комментарии, пронумерованные шаги в сценариях и сообщения об отладке, адаптированные для злоумышленника, что свидетельствует об уровне сложности разработки их кибер-инструментов. Начальная фаза этих атак включает в себя рассылку электронных писем с фишингом, в которых, как правило, представлены мошеннические предложения о работе в качестве приманки для потенциальных жертв.

Развивающаяся цепочка атак продемонстрировала переход от традиционных вредоносных вложений — таких как ZIP—файлы или RAR - к размещению Вредоносных файлов в Dropbox. Это изменение, вероятно, является стратегическим шагом, направленным на снижение вероятности обнаружения, поскольку файлы из известных Облачных сервисов могут вызывать меньше аварийных сигналов безопасности. Вместо того чтобы напрямую подключать вредоносное ПО, злоумышленники используют фишинг-электронные письма, содержащие ссылки, по которым цели могут загрузить эти файлы.

Доказательства, подтверждающие идентификацию этого злоумышленника как вьетнамца, включают включение вьетнамских комментариев во вредоносный код. Кроме того, во время атаки использовались Адреса эл. почты, такие как "[email protected] ," "[email protected] , " и "[email protected] ," отражают связи с Вьетнамом. Сам термин "Хванскием", по-видимому, является фонетическим вариантом "Хон Ким", района в Ханое. Более того, одно из имен файлов, связанных с атаками, "nvmeikxnawh.zip ," содержит обратную ссылку на "Хванскием", что еще больше связывает злоумышленника с регионом. Методология и деятельность киберпреступников подчеркивают все более изощренные подходы, применяемые в сфере киберпреступности, интегрирующие инструменты искусственного интеллекта для усиления их инициатив по фишингу.

#ParsedReport #CompletenessMedium
28-01-2026

Novel Fake CAPTCHAChainDelivering AmateraStealer

https://blackpointcyber.com/blog/novel-fake-captcha-chain-delivering-amatera-stealer/

Report completeness: Medium

Threats:
Amatera_stealer
Lolbin_technique
Steganography_technique
Acr_stealer
Googlecalendarc2

Victims:
Consumers, Enterprise users

Industry:
Financial, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.002, T1027, T1027.009, T1059.001, T1102, T1105, T1106, T1202, T1204.001, T1218, have more...

IOCs:
File: 11
Hash: 9
Domain: 6
IP: 1

Soft:
Steam

Algorithms:
base64, xor, gzip, md5

Functions:
Get-Alias, Get-Command, Get-Clipboard, ManualResetEvent, GetEndpoints

Win API:
InternetOpenA, InternetOpenUrlA, InternetReadFile, InternetCloseHandle, LoadLibraryA, GetProcAddress, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtDeviceIoControl, AcquireCredentialsHandleA, have more...

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Fake CAPTCHA использует подписанный скрипт Microsoft App-V, SyncAppvPublishingServer.vbs, чтобы скрыть свои действия, используя для выполнения законный компонент Windows. Эта атака включает проверку взаимодействия с пользователем и последующее использование PowerShell для динамического разрешения командлетов при извлечении данных конфигурации из общедоступного календаря Google. Конечная полезная нагрузка, Amatera Stealer, использует Стеганографию на основе PNG для доставки зашифрованного PowerShell, демонстрируя передовые методы многоступенчатой загрузки и выполнения в памяти для минимизации обнаружения.
-----

Недавняя кампания с поддельной капчей, выявленная операционным центром Blackpoint Security, использует подписанный скрипт виртуализации приложений Microsoft (App-V) SyncAppvPublishingServer.vbs в качестве двоичного файла living-off-the-land (LOLBIN), чтобы облегчить его выполнение без прямого вызова PowerShell. Эта стратегия позволяет злоумышленникам скрывать свои действия, проксируя выполнение через законный компонент Windows, тем самым избегая обнаружения с помощью более распространенных путей выполнения.

Центральным элементом этой изощренной атаки является использование поддельной капчи-приманки для проверки взаимодействия с пользователем. Кампания проверяет среду и состояние буфера обмена, останавливая дальнейшее выполнение, если эти проверки не пройдены. Как только первоначальная проверка проходит успешно, она переходит к этапам PowerShell, которые используют псевдонимы и подстановочные знаки для динамического разрешения конфиденциальных командлетов во время выполнения. Примечательно, что данные конфигурации для последующих этапов атаки извлекаются из общедоступного файла Google Calendar (.ics). Этот метод отражает тенденцию среди современного вредоносного ПО, когда злоумышленники используют надежные сторонние сервисы для обновления механизмов доставки без необходимости повторного развертывания более ранних компонентов, что приводит к повышению операционной эффективности и продлению срока службы атаки.

Доставка окончательной полезной нагрузки выполняется с помощью Стеганографии на основе PNG, где зашифрованное и сжатое содержимое PowerShell скрыто в файлах изображений. Эта полезная нагрузка полностью обрабатывается в памяти — извлекается, расшифровывается и распаковывается — перед переходом из PowerShell для выполнения в виде собственного шелл-кода. Конечным результатом этого сложного процесса стала поставка Amatera Stealer, модульного вредоносного ПО для кражи информации, которое нацелено на данные браузера и учетные данные, иллюстрируя непрерывную эволюцию и адаптацию тактики вредоносного ПО.

Amatera, ранее известная как ACRStealer, продвинулась вперед благодаря регулярным обновлениям и часто использует многоступенчатые цепочки загрузки, которые определяют приоритет выполнения в памяти при минимизации статических индикаторов, которые могли бы привести к раннему обнаружению. Сложность этой стратегии доставки в сочетании с использованием многоуровневого шифрования и методов обхода сетей подчеркивает необходимость того, чтобы защитники понимали не только само вредоносное ПО, но и пути и доверительные отношения, которые используются во время атаки. Поскольку поддельные капчи-приманки по-прежнему используются в качестве метода выполнения с помощью пользователя, усилия по кибербезопасности должны быть направлены на выявление этих базовых механизмов для эффективного противодействия таким сложным угрозам.

#ParsedReport #CompletenessLow
27-01-2026

Why Is a North Korean Mail Server Using a .cc Domain? - Threat Intelligence Beyond Malware

https://blog.synapticsystems.de/why-is-a-north-korean-mail-server-using-a-cc-domain-threat-intelligence-beyond-malware/

Report completeness: Low

Industry:
Critical_infrastructure, Military, Entertainment

Geo:
Japan, Korea, China, North korean, Russia, North korea, Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1048, T1071.003

IOCs:
IP: 4
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ интернет-инфраструктуры Северной Кореи, в частности ее почтовых возможностей, показал, что SMTP-серверы Star-CO демонстрируют необычные конфигурации, которые позволяют передавать очень большие объемы файлов, что указывает на потенциальное стратегическое использование для передачи данных удаленными работниками. Эта оценка инфраструктуры предполагает преднамеренный замысел, направленный на усиление вредоносной деятельности Северной Кореи, подчеркивая необходимость постоянного мониторинга их эволюционирующей кибертактики и оперативных возможностей.
-----

Недавний анализ интернет-инфраструктуры Северной Кореи позволил получить существенное представление об их возможностях электронной почты и потенциальных намерениях. Исторически сложилось так, что Северная Корея использовала свою интернет-инфраструктуру для вредоносных действий, что делает крайне важным тщательный мониторинг этих ресурсов. Из-за утечки DNS исследователи получили доступ к коллекции общедоступных веб-сайтов, размещенных в Северной Корее, что побудило их изучить текущее состояние их почтовой инфраструктуры.

В ходе расследования было отмечено, что SMTP-серверы Star-CO, в частности smtp.star-co.net.kp и smtp1.star-co.net.kp , демонстрируют необычные конфигурации, которые предполагают намеренный выбор дизайна, а не оплошности. Это подчеркивается их способностью обрабатывать передачу очень больших файлов, в отличие от более типичных ограничений, наблюдаемых на других почтовых серверах, таких как Silibank, которые ограничивают размер файлов примерно 100 МБ. Значительная пропускная способность почтовых серверов Star-CO вызывает предположения об их потенциальном использовании для передачи данных, включая возможную передачу большого объема данных от северокорейских удаленных сотрудников, находящихся за границей.

Этот анализ северокорейской инфраструктуры является не просто академическим; он имеет практическое значение для понимания того, как такие акторы национального государства могут развивать свою тактику и функциональность своих сетей. Сроки развития этой инфраструктуры также заслуживают изучения, поскольку изменения в оперативных возможностях могут отражать более масштабные стратегические цели северокорейского режима. Постоянный мониторинг этих изменений может дать представление об изменяющемся ландшафте киберугроз, создаваемых Северной Кореей, подчеркивая необходимость бдительности в мерах кибербезопасности в отношении таких акторов.

#ParsedReport #CompletenessLow
28-01-2026

AttackersAre TakingOverRealEmail Threadsto DeliverPhishing: New Enterprise Risk

https://any.run/cybersecurity-blog/enterprise-email-thread-phishing/

Report completeness: Low

Threats:
Evilproxy_tool
Aitm_technique
Antibot
Supply_chain_technique

Victims:
Supply chain, Contractor organization, Vendors and partners, Business sector

Geo:
Middle east

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1199, T1204.001, T1556.003, T1557.002, T1566, T1566.002, T1566.003

Soft:
Cloudflare Turnstile

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с захватом потоков - это новый метод атаки, при котором злоумышленники используют законные потоки электронной почты для распространения ссылок на фишинг, используя доверие, установленное в привычных сообщениях. Недавний инцидент, связанный с фишингом электронных писем, отправленных с учетной записи менеджера по продажам подрядчика, привел к кампании, которая началась в 2025 году, используя целевую страницу с защитой от ботов для сбора учетных данных. Этот метод фокусируется на манипулировании доверием бизнеса вместо использования технических уязвимостей, что увеличивает риски для организаций.
-----

Недавние события в области кибербезопасности высветили значительный риск, связанный с новым типом фишингов -атаки, известной как фишинг с перехватом потоков. Этот метод предполагает, что злоумышленники берут под контроль законные потоки электронной почты для распространения фишингов ссылок, эффективно используя доверие, связанное со знакомыми сообщениями. Одним из примечательных инцидентов стало электронное письмо с фишингом, отправленное с учетной записи менеджера по продажам подрядчика. Это электронное письмо было связано с более широкой кампанией, которая действует с 2025 года.

Цепочка выполнения атаки включала в себя несколько критических этапов. Изначально электронное письмо с фишингом служило точкой входа в Цепочку поставок. Получатели были перенаправлены на целевую страницу с защитой от ботов, использующую технологию турникета Cloudflare. Эта страница действовала как фильтр, гарантирующий, что только подлинные пользователи будут перенаправлены на конечную страницу фишинга. Злоумышленники применили несколько уровней обмана, основная цель которого состояла в том, чтобы более эффективно получить учетные данные пользователя, сведя к минимуму вероятность автоматизированного анализа.

Ключевым отличительным фактором фишинга с перехватом потоков является его нацеленность на использование доверия бизнеса, а не на технические уязвимости. Эволюция методов фишинга превращает эти атаки в сложные операции, которые могут легко интегрироваться в существующие рабочие процессы, тем самым создавая уникальный и повышенный риск для организаций.

Меняющийся ландшафт фишинга в Цепочке поставок подчеркивает важность бдительности как с точки зрения обнаружения, так и реагирования. Поскольку эти злоумышленники совершенствуют свои методы, чтобы использовать Контрагенты, а не просто технические недостатки, организации должны соответствующим образом адаптировать свои системы безопасности для защиты от текущих и возникающих угроз.

#ParsedReport #CompletenessMedium
28-01-2026

The Mystery Behind a Backslash: Anti-Sandbox Bypass Techniques for Undisclosed APT32 Samples

https://www.ctfiot.com/293464.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Process_injection_technique

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1106, T1547.001

IOCs:
File: 11
Hash: 4

Soft:
Sogou, WeChat

Algorithms:
sha1, zip, aes, crc-32, md5

Functions:
GetCurrentDirectoryW, GetBrowserManagerInstance

Win API:
ExitProcess, ShellExecuteW, CreateProcessW, CopyFileW

Languages:
rust