#ParsedReport #CompletenessMedium
28-01-2026

PureRAT: Attacker Now Using AI to Build Toolset

https://www.security.com/threat-intelligence/ai-purerat-phishing

Report completeness: Medium

Threats:
Purerat
Hvnc_tool

Victims:
Organizations

Geo:
American, Vietnam, Vietnamese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1102.003, T1566.001, T1566.002

IOCs:
File: 32
Url: 32
Registry: 1
Hash: 69
IP: 8
Domain: 2

Soft:
Dropbox, Microsoft Excel, Foxit, Chrome

Algorithms:
base64, zip, 7zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вьетнам основе киберпреступник использует искусственный интеллект для повышения фишинг-кампании, указанный сложные скрипты с подробными комментариями и отладочной информации. Их атаки сместился с традиционных вредоносных вложений для таких файлов на Dropbox, что делает обнаружение более сложным. Доказательством их идентичности включает вьетнамский комментарии в коде и связанные адреса эл. почты, подсветка локализованные киберпреступность киберпреступности с более продвинутой тактики.
-----

Сообщается, что базирующийся во Вьетнаме киберпреступник использует Искусственный интеллект (ИИ) для расширения своего набора инструментов для проведения кампаний по фишингу. Показатели использования искусственного интеллекта включают подробные комментарии, пронумерованные шаги в сценариях и сообщения об отладке, адаптированные для злоумышленника, что свидетельствует об уровне сложности разработки их кибер-инструментов. Начальная фаза этих атак включает в себя рассылку электронных писем с фишингом, в которых, как правило, представлены мошеннические предложения о работе в качестве приманки для потенциальных жертв.

Развивающаяся цепочка атак продемонстрировала переход от традиционных вредоносных вложений — таких как ZIP—файлы или RAR - к размещению Вредоносных файлов в Dropbox. Это изменение, вероятно, является стратегическим шагом, направленным на снижение вероятности обнаружения, поскольку файлы из известных Облачных сервисов могут вызывать меньше аварийных сигналов безопасности. Вместо того чтобы напрямую подключать вредоносное ПО, злоумышленники используют фишинг-электронные письма, содержащие ссылки, по которым цели могут загрузить эти файлы.

Доказательства, подтверждающие идентификацию этого злоумышленника как вьетнамца, включают включение вьетнамских комментариев во вредоносный код. Кроме того, во время атаки использовались Адреса эл. почты, такие как "[email protected] ," "[email protected] , " и "[email protected] ," отражают связи с Вьетнамом. Сам термин "Хванскием", по-видимому, является фонетическим вариантом "Хон Ким", района в Ханое. Более того, одно из имен файлов, связанных с атаками, "nvmeikxnawh.zip ," содержит обратную ссылку на "Хванскием", что еще больше связывает злоумышленника с регионом. Методология и деятельность киберпреступников подчеркивают все более изощренные подходы, применяемые в сфере киберпреступности, интегрирующие инструменты искусственного интеллекта для усиления их инициатив по фишингу.

#ParsedReport #CompletenessMedium
28-01-2026

Novel Fake CAPTCHAChainDelivering AmateraStealer

https://blackpointcyber.com/blog/novel-fake-captcha-chain-delivering-amatera-stealer/

Report completeness: Medium

Threats:
Amatera_stealer
Lolbin_technique
Steganography_technique
Acr_stealer
Googlecalendarc2

Victims:
Consumers, Enterprise users

Industry:
Financial, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.002, T1027, T1027.009, T1059.001, T1102, T1105, T1106, T1202, T1204.001, T1218, have more...

IOCs:
File: 11
Hash: 9
Domain: 6
IP: 1

Soft:
Steam

Algorithms:
base64, xor, gzip, md5

Functions:
Get-Alias, Get-Command, Get-Clipboard, ManualResetEvent, GetEndpoints

Win API:
InternetOpenA, InternetOpenUrlA, InternetReadFile, InternetCloseHandle, LoadLibraryA, GetProcAddress, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtDeviceIoControl, AcquireCredentialsHandleA, have more...

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Fake CAPTCHA использует подписанный скрипт Microsoft App-V, SyncAppvPublishingServer.vbs, чтобы скрыть свои действия, используя для выполнения законный компонент Windows. Эта атака включает проверку взаимодействия с пользователем и последующее использование PowerShell для динамического разрешения командлетов при извлечении данных конфигурации из общедоступного календаря Google. Конечная полезная нагрузка, Amatera Stealer, использует Стеганографию на основе PNG для доставки зашифрованного PowerShell, демонстрируя передовые методы многоступенчатой загрузки и выполнения в памяти для минимизации обнаружения.
-----

Недавняя кампания с поддельной капчей, выявленная операционным центром Blackpoint Security, использует подписанный скрипт виртуализации приложений Microsoft (App-V) SyncAppvPublishingServer.vbs в качестве двоичного файла living-off-the-land (LOLBIN), чтобы облегчить его выполнение без прямого вызова PowerShell. Эта стратегия позволяет злоумышленникам скрывать свои действия, проксируя выполнение через законный компонент Windows, тем самым избегая обнаружения с помощью более распространенных путей выполнения.

Центральным элементом этой изощренной атаки является использование поддельной капчи-приманки для проверки взаимодействия с пользователем. Кампания проверяет среду и состояние буфера обмена, останавливая дальнейшее выполнение, если эти проверки не пройдены. Как только первоначальная проверка проходит успешно, она переходит к этапам PowerShell, которые используют псевдонимы и подстановочные знаки для динамического разрешения конфиденциальных командлетов во время выполнения. Примечательно, что данные конфигурации для последующих этапов атаки извлекаются из общедоступного файла Google Calendar (.ics). Этот метод отражает тенденцию среди современного вредоносного ПО, когда злоумышленники используют надежные сторонние сервисы для обновления механизмов доставки без необходимости повторного развертывания более ранних компонентов, что приводит к повышению операционной эффективности и продлению срока службы атаки.

Доставка окончательной полезной нагрузки выполняется с помощью Стеганографии на основе PNG, где зашифрованное и сжатое содержимое PowerShell скрыто в файлах изображений. Эта полезная нагрузка полностью обрабатывается в памяти — извлекается, расшифровывается и распаковывается — перед переходом из PowerShell для выполнения в виде собственного шелл-кода. Конечным результатом этого сложного процесса стала поставка Amatera Stealer, модульного вредоносного ПО для кражи информации, которое нацелено на данные браузера и учетные данные, иллюстрируя непрерывную эволюцию и адаптацию тактики вредоносного ПО.

Amatera, ранее известная как ACRStealer, продвинулась вперед благодаря регулярным обновлениям и часто использует многоступенчатые цепочки загрузки, которые определяют приоритет выполнения в памяти при минимизации статических индикаторов, которые могли бы привести к раннему обнаружению. Сложность этой стратегии доставки в сочетании с использованием многоуровневого шифрования и методов обхода сетей подчеркивает необходимость того, чтобы защитники понимали не только само вредоносное ПО, но и пути и доверительные отношения, которые используются во время атаки. Поскольку поддельные капчи-приманки по-прежнему используются в качестве метода выполнения с помощью пользователя, усилия по кибербезопасности должны быть направлены на выявление этих базовых механизмов для эффективного противодействия таким сложным угрозам.

#ParsedReport #CompletenessLow
27-01-2026

Why Is a North Korean Mail Server Using a .cc Domain? - Threat Intelligence Beyond Malware

https://blog.synapticsystems.de/why-is-a-north-korean-mail-server-using-a-cc-domain-threat-intelligence-beyond-malware/

Report completeness: Low

Industry:
Critical_infrastructure, Military, Entertainment

Geo:
Japan, Korea, China, North korean, Russia, North korea, Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1048, T1071.003

IOCs:
IP: 4
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ интернет-инфраструктуры Северной Кореи, в частности ее почтовых возможностей, показал, что SMTP-серверы Star-CO демонстрируют необычные конфигурации, которые позволяют передавать очень большие объемы файлов, что указывает на потенциальное стратегическое использование для передачи данных удаленными работниками. Эта оценка инфраструктуры предполагает преднамеренный замысел, направленный на усиление вредоносной деятельности Северной Кореи, подчеркивая необходимость постоянного мониторинга их эволюционирующей кибертактики и оперативных возможностей.
-----

Недавний анализ интернет-инфраструктуры Северной Кореи позволил получить существенное представление об их возможностях электронной почты и потенциальных намерениях. Исторически сложилось так, что Северная Корея использовала свою интернет-инфраструктуру для вредоносных действий, что делает крайне важным тщательный мониторинг этих ресурсов. Из-за утечки DNS исследователи получили доступ к коллекции общедоступных веб-сайтов, размещенных в Северной Корее, что побудило их изучить текущее состояние их почтовой инфраструктуры.

В ходе расследования было отмечено, что SMTP-серверы Star-CO, в частности smtp.star-co.net.kp и smtp1.star-co.net.kp , демонстрируют необычные конфигурации, которые предполагают намеренный выбор дизайна, а не оплошности. Это подчеркивается их способностью обрабатывать передачу очень больших файлов, в отличие от более типичных ограничений, наблюдаемых на других почтовых серверах, таких как Silibank, которые ограничивают размер файлов примерно 100 МБ. Значительная пропускная способность почтовых серверов Star-CO вызывает предположения об их потенциальном использовании для передачи данных, включая возможную передачу большого объема данных от северокорейских удаленных сотрудников, находящихся за границей.

Этот анализ северокорейской инфраструктуры является не просто академическим; он имеет практическое значение для понимания того, как такие акторы национального государства могут развивать свою тактику и функциональность своих сетей. Сроки развития этой инфраструктуры также заслуживают изучения, поскольку изменения в оперативных возможностях могут отражать более масштабные стратегические цели северокорейского режима. Постоянный мониторинг этих изменений может дать представление об изменяющемся ландшафте киберугроз, создаваемых Северной Кореей, подчеркивая необходимость бдительности в мерах кибербезопасности в отношении таких акторов.

#ParsedReport #CompletenessLow
28-01-2026

AttackersAre TakingOverRealEmail Threadsto DeliverPhishing: New Enterprise Risk

https://any.run/cybersecurity-blog/enterprise-email-thread-phishing/

Report completeness: Low

Threats:
Evilproxy_tool
Aitm_technique
Antibot
Supply_chain_technique

Victims:
Supply chain, Contractor organization, Vendors and partners, Business sector

Geo:
Middle east

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1199, T1204.001, T1556.003, T1557.002, T1566, T1566.002, T1566.003

Soft:
Cloudflare Turnstile

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с захватом потоков - это новый метод атаки, при котором злоумышленники используют законные потоки электронной почты для распространения ссылок на фишинг, используя доверие, установленное в привычных сообщениях. Недавний инцидент, связанный с фишингом электронных писем, отправленных с учетной записи менеджера по продажам подрядчика, привел к кампании, которая началась в 2025 году, используя целевую страницу с защитой от ботов для сбора учетных данных. Этот метод фокусируется на манипулировании доверием бизнеса вместо использования технических уязвимостей, что увеличивает риски для организаций.
-----

Недавние события в области кибербезопасности высветили значительный риск, связанный с новым типом фишингов -атаки, известной как фишинг с перехватом потоков. Этот метод предполагает, что злоумышленники берут под контроль законные потоки электронной почты для распространения фишингов ссылок, эффективно используя доверие, связанное со знакомыми сообщениями. Одним из примечательных инцидентов стало электронное письмо с фишингом, отправленное с учетной записи менеджера по продажам подрядчика. Это электронное письмо было связано с более широкой кампанией, которая действует с 2025 года.

Цепочка выполнения атаки включала в себя несколько критических этапов. Изначально электронное письмо с фишингом служило точкой входа в Цепочку поставок. Получатели были перенаправлены на целевую страницу с защитой от ботов, использующую технологию турникета Cloudflare. Эта страница действовала как фильтр, гарантирующий, что только подлинные пользователи будут перенаправлены на конечную страницу фишинга. Злоумышленники применили несколько уровней обмана, основная цель которого состояла в том, чтобы более эффективно получить учетные данные пользователя, сведя к минимуму вероятность автоматизированного анализа.

Ключевым отличительным фактором фишинга с перехватом потоков является его нацеленность на использование доверия бизнеса, а не на технические уязвимости. Эволюция методов фишинга превращает эти атаки в сложные операции, которые могут легко интегрироваться в существующие рабочие процессы, тем самым создавая уникальный и повышенный риск для организаций.

Меняющийся ландшафт фишинга в Цепочке поставок подчеркивает важность бдительности как с точки зрения обнаружения, так и реагирования. Поскольку эти злоумышленники совершенствуют свои методы, чтобы использовать Контрагенты, а не просто технические недостатки, организации должны соответствующим образом адаптировать свои системы безопасности для защиты от текущих и возникающих угроз.

#ParsedReport #CompletenessMedium
28-01-2026

The Mystery Behind a Backslash: Anti-Sandbox Bypass Techniques for Undisclosed APT32 Samples

https://www.ctfiot.com/293464.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus

Threats:
Process_injection_technique

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1106, T1547.001

IOCs:
File: 11
Hash: 4

Soft:
Sogou, WeChat

Algorithms:
sha1, zip, aes, crc-32, md5

Functions:
GetCurrentDirectoryW, GetBrowserManagerInstance

Win API:
ExitProcess, ShellExecuteW, CreateProcessW, CopyFileW

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО APT32, идентифицированное как imebiz.exe , маскируется под законное приложение, чтобы скрыть свою вредоносную деятельность. Он работает в двух режимах: в одном используется Внедрение кода в процесс в 64-разрядных несистемных процессах для скрытого внедрения шеллкода, а в другом этот шеллкод расшифровывается с помощью AES для выполнения его полезной нагрузки и установления закрепления с помощью изменений реестра. Его поведение соответствует известной тактике APT32's, включая использование сервера управления для эксфильтрации данных, демонстрируя передовые методы защиты от обнаружения и эксплуатации.
-----

Анализ нераскрытого образца вредоносного ПО APT32 раскрывает важные технические детали его работы. Образец, идентифицированный как imebiz.exe , маскируется под стандартное приложение метода ввода Sogou. Эта тактика подчеркивает постоянную стратегию APT32's, направленную на использование законных приложений для сокрытия вредоносных действий.

Вредоносное ПО работает в двух различных режимах. В режиме 1 используется технология Внедрения кода в процесс. В образце активно анализируются системные процессы для определения подходящих целевых объектов в зависимости от конкретных условий: он фокусируется на 64-разрядных системных процессах, которые не являются частью операционной системы и которым не требуется отладка. Это позволяет вредоносному ПО незаметно внедрять шелл-код в законные процессы, повышая его шансы избежать обнаружения.

В режиме 2 шелл-код вредоносного ПО расшифровывается с использованием алгоритма шифрования AES. Этот механизм имеет решающее значение для сохранения конфиденциальности его полезной нагрузки до момента выполнения. После успешной расшифровки шелл-код приступает к копированию необходимых файлов в определенный каталог (C:\Users\admin\AppData\Local\ImeBiz ) в скомпрометированной системе.

Как только файлы будут на месте, шелл-код использует функцию CreateProcessW для выполнения ранее упомянутых действий imebiz.exe программа с заранее заданными параметрами, тем самым обеспечивая ее активацию. Это указывает на механизм контроля, который, вероятно, поддерживает дополнительные вредоносные функции.

Кроме того, после выполнения своей основной полезной нагрузки вредоносное ПО устанавливает закрепление с помощью изменений реестра, гарантируя, что оно может автоматически перезапускаться при перезагрузке системы. Эта функция автозапуска обычно предназначена для поддержания присутствия угрозы на зараженном компьютере.

Анализ аутрич-коммуникации показывает, что шелл-код напоминает известную инфраструктуру APT32's, в частности, использует сервер управления (C2), расположенный по IP-адресу, назначенному для отслеживания профилей пользователей. Такое поведение предполагает структурированный подход к эксфильтрации данных, при котором вредоносное ПО отправляет конфиденциальную информацию обратно злоумышленнику, тем самым облегчая текущее наблюдение или дальнейшую эксплуатацию среды жертвы. Методы, используемые APT32 в данном случае, подчеркивают их изощренное использование средств защиты от "песочницы" и скрытности для компрометации целевых систем.

#ParsedReport #CompletenessMedium
28-01-2026

Cant stop, wont stop: TA584 innovates initial access

https://www.proofpoint.com/us/blog/threat-insight/cant-stop-wont-stop-ta584-innovates-initial-access

Report completeness: Medium

Actors/Campaigns:
Storm-0900 (motivation: cyber_criminal)
Ta2725

Threats:
Clickfix_technique
Tsundere
Ettersilent_tool
Gozi
Keitaro_tds_tool
Xworm_rat
Cobalt_strike_tool
Xenorat
Warmcookie
Dcrat
Etherhiding_technique
Process_hollowing_technique
Sharphide_tool

Victims:
Organizations, European users

Industry:
Financial, Healthcare, Government

Geo:
American, Ukrainian, Ireland, German, America, Australia, Germany, Russian, Belarusian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1105, T1204.001, T1204.002, T1566.001, T1566.002, T1583.006, T1584.004

IOCs:
IP: 6
File: 4
Hash: 2

Soft:
SendGrid, Node.js, Windows Registry, Windows Powershell

Crypto:
ethereum

Algorithms:
zip, sha256, xor, aes, base64

Languages:
powershell, javascript

Links:
https://github.com/outflanknl/SharpHide

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA584, идентифицированный как злоумышленник-киберпреступник с ноября 2020 года, изменил свою тактику, став брокером первоначального доступа и представив новое вредоносное ПО под названием Tsundere Bot в 2025 году. Их деятельность в основном связана с фишингом электронных писем с целью получения первоначального доступа, в настоящее время распространяющегося за пределы Северной Америки в Европу, используя для доставки документы Excel с поддержкой макросов и целевые страницы с нацеленной географией. Они также внедряют вредоносное ПО XWorm, в частности вариант "P0WER", уделяя особое внимание непрерывности работы в российской киберпреступной экосистеме, что указывает на потенциал будущих атак программ-вымогателей.
-----

TA584 превратился в крупного злоумышленника, активно применяющего инновационные тактики с тех пор, как в ноябре 2020 года началось его отслеживание. В 2025 году группа, признанная брокером первоначального доступа, продемонстрировала заметные изменения в своих методологиях атак, включая расширение таргетинга и внедрение нового вредоносного ПО под названием Tsundere Bot. Этот сдвиг подчеркивает тенденцию к адаптации среди киберпреступников, предполагая, что статические методы обнаружения могут оказаться неэффективными против таких изощренных противников, как TA584.

Операции актора в основном сосредоточены на первоначальном доступе через электронные письма с фишингом, выдавая себя за ряд законных организаций, чтобы заманить цели. Исторически их усилия были сосредоточены на Северной Америке, но в течение 2025 года они расширили свой охват до Германии и некоторых частей Европы. Электронные письма часто отправляются со взломанных учетных записей с последовательным использованием нескольких отображаемых имен для повышения доверия.

Что касается методов доставки, TA584 часто использует документы Excel с поддержкой макросов, агрессивную фильтрацию URL-адресов и целевые страницы с нацеленной географией. К ноябрю 2025 года они начали распространять бота Tsundere наряду со своей традиционной полезной нагрузкой XWorm, которая стала основным продуктом в их арсенале с середины 2024 года. Бот Tsundere работает как вредоносное ПО как услуга (MaaS), о чем свидетельствуют его возможности как бэкдора, так и загрузчика. Он был связан с различными кампаниями атак и используется многочисленными злоумышленниками, использующими методы распространения, включая поддельные установщики видеоигр.

Вредоносное ПО XWorm, в частности его конфигурация "P0WER", является известным объектом в среде киберугроз. TA584's использует этот вариант, что подчеркивает непрерывность его работы и связи с российской экосистемой киберпреступников. Обозначение "P0WER" является производным от конфигурации ключа AES, используемой в этом вредоносном ПО.

Анализ Proofpoint показывает, что TA584 является очень сложным злоумышленником, который, вероятно, способен способствовать атакам программ-вымогателей. Их настойчивое поведение и эволюционирующие стратегии нацеливания указывают на стремление расширить их операционный ландшафт, особенно в Европе. Поскольку актор продолжает экспериментировать с различными полезными нагрузками, включая недавно обнаруженного бота Tsundere, они могут еще больше нарушить устоявшиеся модели в среде киберугроз. В целом, меняющийся ландшафт свидетельствует о необходимости усиления бдительности и адаптивных мер безопасности для эффективной борьбы с угрозами, подобными TA584.

#ParsedReport #CompletenessHigh
28-01-2026

Unveiling the Weaponized Web Shell EncystPHP

https://www.fortinet.com/blog/threat-research/unveiling-the-weaponized-web-shell-encystphp

Report completeness: High

Actors/Campaigns:
Inj3ctor3

Threats:
Encystphp
Credential_dumping_technique

Victims:
Telecommunications

Geo:
Indian, Brazil

CVEs:
CVE-2025-64328 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-45461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma restapps (15.0.19.87, 15.0.19.88, 16.0.18.40, 16.0.18.41)

CVE-2019-19006 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sangoma freepbx (le13.0.197.13, le14.0.13.11, le15.0.16.26)


TTPs:
Tactics: 10
Technics: 15

IOCs:
IP: 2
Domain: 1
File: 5
Url: 2
Hash: 5

Soft:
FreePBX, Elastix, crontab, Unix, Linux

Algorithms:
md5, base64

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, dump: 1, code: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4