#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, использующий модифицированный код XenoRAT с открытым исходным кодом для изощренной шпионской деятельности против различных целей, включая правительственные и финансовые организации. Доставляемый по электронной почте с помощью spear phishing, он выполняет запутанные команды PowerShell из замаскированных файлов LNK для сбора полных системных данных, которые затем передаются на пользовательские серверы командования и контроля злоумышленников. Вредоносное ПО демонстрирует эволюцию UAT-5394's в области кибернетических возможностей и переход к управлению собственной инфраструктурой для повышения операционной устойчивости.
-----

MoonPeak - это троян удаленного доступа (RAT), созданный северокорейской группой UAT-5394, специализирующейся на долгосрочном сборе разведывательной информации. Он основан на платформе XenoRAT с пользовательскими протоколами командования и управления и передовыми методами запутывания. Вредоносное ПО нацелено на дипломатические, правительственные, академические и финансовые учреждения.

Доставка осуществляется в основном с помощью электронных писем с spear phishing, содержащих вредоносные файлы Windows LNK, которые выдаются за законные документы. Выполнение этих файлов запускает скрытую запутанную команду PowerShell при отображении документа-приманки.

После выполнения MoonPeak собирает системные метаданные, информацию об учетной записи пользователя, установленных средствах безопасности и сведения об операционной системе, передавая эти данные на свои серверы управления. Вредоносное ПО содержит признаки компрометации, такие как вредоносные LNK-файлы, замаскированные под PDF-файлы, и запутанные скрипты PowerShell в таких каталогах, как C:\ProgramData или %TEMP%.

Постоянные заражения достигаются путем внесения изменений в ключи запуска реестра или установки служб. Переход UAT-5394's к владению собственной инфраструктурой повышает эксплуатационную устойчивость. Организации, занимающиеся дипломатией, политическими исследованиями или финансовыми инвестициями, являются объектами повышенного риска для MoonPeak.

Стратегии смягчения включают ограничение выполнения скриптов из файлов LNK, внедрение языкового режима с ограничениями в PowerShell и обеспечение обязательной подписи скриптов, наряду с приоритезацией поведенческого обнаружения и видимости для перемещения внутри компании с помощью EDR-решений.

#ParsedReport #CompletenessLow
29-01-2026

Clawdbots rename to Moltbot sparks impersonation campaign

https://www.malwarebytes.com/blog/threat-intel/2026/01/clawdbots-rename-to-moltbot-sparks-impersonation-campaign

Report completeness: Low

Threats:
Clawbot_tool
Typosquatting_technique
Supply_chain_technique
Lolbin_technique

Victims:
Open source software ecosystem, Software developers, Moltbot users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1195, T1566.002, T1583.001, T1656

IOCs:
Domain: 3
Url: 1

Soft:
Clawdbots, Clawdbot, Claude, WhatsApp, Telegram, Discord, Twitter, OpenAI, Slack, Microsoft Office, have more...

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Переименование Clawdbot в Moltbot привело к кампаниям по Имперсонации, включающим typosquatting доменов и клонированный репозиторий, направленный на облегчение потенциальных атак на supply-chain. Сайт-имитатор исказил авторство, используя вводящие в заблуждение метаданные, связанные с первоначальным создателем, что вызвало опасения по поводу искажения личности. Хотя в клонированном репозитории в настоящее время отсутствует явное вредоносное ПО, оно намекает на стратегическую установку для будущих атак, подчеркивая риски, связанные с доверием проектам с открытым исходным кодом без тщательной проверки.
-----

Недавнее переименование проекта Clawdbot с открытым исходным кодом в Moltbot, вызванное спором о товарном знаке, вызвало волну кампаний по Имперсонации со стороны оппортунистических акторов. Вскоре после переименования появилось несколько доменов typosquatting и клонированный репозиторий GitHub, выдающий себя за создателя оригинального проекта Питера Стейнбергера, с намерением позиционировать себя для потенциальной атаки на supply-chain.

Расследование клонированного репозитория показали скоординированную установки, направленные на олицетворении Moltbot. Олицетворения сайте используются обманные schema.org метаданные, чтобы лживо приписать авторство Штейнбергер, создавая прямую связь с его законной GitHub и Х профилей, что создает четкую идентичность в заблуждение. Такое поведение согласуется с общепризнанным картина наблюдается в открытых источниках Supply-Chain атак, где противники пытаются проникнуть интересных проектов и распространения вредоносного обновления.

Несмотря на тревожный контекст этой Имперсонации, статический аудит клонированного репозитория показал, что его текущая структура лишена какого-либо явного вредоносного ПО. Это отсутствие вредоносного кода указывает не на непосредственную оппортунистическую Вредоносную Кампанию, а скорее на стратегическую основу для возможной будущей атаки на supply-chain. Хотя на данный момент хранилище выглядит чистым, перенаправление на несанкционированные ресурсы и искусственное завышение показателей популярности указывают на злой умысел, стоящий за его созданием.

Инфраструктура Имперсонации была разработана таким образом, чтобы казаться законной, что представляет значительную угрозу, поскольку пользователи могут неосознанно доверять программному обеспечению и устанавливать его до появления каких-либо вредоносных обновлений. Осведомленность о кибербезопасности и бдительность необходимы для снижения рисков, связанных с такой тактикой Имперсонации, особенно в сфере программного обеспечения с открытым исходным кодом, где даже законные проекты могут стать нацелены противниками, стремящимися использовать их популярность по скрытым мотивам. Таким образом, заинтересованные стороны должны сохранять осторожность и внимательно изучать обновления, особенно из источников с сомнительной атрибуцией.

#ParsedReport #CompletenessMedium
29-01-2026

Worms lurking in code extensions

https://secureannex.com/blog/worms-lurking

Report completeness: Medium

Threats:
Etherhiding_technique
Supply_chain_technique
Dead_drop_technique
Glassworm

Victims:
Software development

Industry:
Financial, E-commerce

Geo:
Kaliningrad, Moscow, Russian, Asia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.009, T1036, T1036.004, T1041, T1053.005, T1059.001, T1059.007, T1071.001, have more...

IOCs:
File: 16
Url: 1
IP: 2

Soft:
Node.js, macOS, Linux, VSCode, Ledger Live, Chrome, Firefox, Visual Studio

Wallets:
mainnet, metamask

Crypto:
solana

Algorithms:
base64, aes-256-cbc, zip, aes

Functions:
activate, eval, Date

Languages:
javascript, typescript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленное вредоносное расширение VS Code использует уязвимости в Open VSX с помощью расширенного вредоносного ПО, которое активируется при открытии файлов HTML или TypeScript. Он использует Node.js криптомодуль для расшифровки и выполнения JavaScript, предоставляющий доступ к API-интерфейсам VS Code и файловой системе, при этом используется инфраструктура C2, которая использует блокчейн Solana для извлечения полезной нагрузки. Нацеливаясь на разработчиков, вредоносное ПО запрашивает токены аутентификации у NPM и GitHub, крадет криптовалюту с различных кошельков, устанавливает закрепление с помощью запланированных задач и использует динамические обновления для поддержания своей работы.
-----

Недавнее открытие подчеркивает угрозу, исходящую от вредоносных расширений, скрывающихся на рынках кода, в частности в Open VSX, где недавно опубликованное расширение уже собрало более 5000 загрузок. Это расширение оснащено сложным вредоносным ПО, которое активируется при открытии любого файла HTML или TypeScript в Visual Studio Code (VS Code). Эксплойт основан на выполнении вредоносного загрузчика, встроенного в законную кодовую базу, специально клонированную из языковой службы Angular.

Вредоносный компонент использует Node.js криптомодуль для настройки процесса расшифровки AES-256-CBC, который позволяет выполнять расшифрованный JavaScript с помощью вызова eval(). Это предоставляет ему полный доступ к API-интерфейсам VS Code и базовой файловой системе, облегчая широкий спектр вредоносных действий. Инфраструктура командования и контроля (C2) использует блокчейн Solana, используя технологию, известную как Etherhiding. Поле "Памятка учетной записи" в блокчейне содержит URL-адрес в кодировке Base64 для загрузки дополнительных полезных данных. Примечательно, что поле памятки может динамически обновляться, обеспечивая непрерывную связь и извлечение полезной нагрузки.

Перед выполнением команд вредоносное ПО проверяет язык, чтобы убедиться, что оно работает в соответствующих средах, и создает скрытые файлы для мониторинга состояния его выполнения на разных платформах. Он специально ориентирован на разработчиков, стремящихся извлечь конфиденциальную информацию, такую как токены аутентификации, из NPM и GitHub. Это включает в себя сканирование конфигурационных файлов и кэшированных учетных данных, а также функциональность для проверки легитимности токена с помощью быстрых вызовов API.

Вредоносное ПО также включает в себя функции для кражи криптовалюты, нацелено на более чем 60 типов кошельков и использует агрессивную тактику для уничтожения процессов в Chrome и Firefox, тем самым получая доступ к базам данных браузера и сохраненным паролям. Он обеспечивает закрепление путем создания запланированных задач и записей реестра, обеспечивая восстановление после перезагрузки системы. Кроме того, он использует методы, позволяющие избежать обнаружения путем загрузки зашифрованных компонентов и выполнения расшифровки в памяти.

После успешной операции по краже вредоносное ПО объединяет украденную информацию и отправляет ее на указанный IP-адрес посредством скрытого запроса POST. Он также включает в себя механизм динамических обновлений, позволяющий искать новые адреса серверов по внешней ссылке Google Calendar, если его основные каналы связи нарушены.

#ParsedReport #CompletenessMedium
28-01-2026

No Place Like Home Network: Disrupting the World's Largest Residential Proxy Network

https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network/

Report completeness: Medium

Threats:
Residential_proxy_technique
Ipidea
Aisuru
Kimwolf
Password_spray_technique
922proxy_tool
Abcproxy_tool
Lunaproxy_tool
Piaproxy_tool
Radish_vpn_tool
Badbox
Island_tool

Victims:
Consumers, Residential proxy users, Small business customers, Mobile app users, Windows users

Industry:
Media, Software_development, Telco

Geo:
Canada, Hongkong, Iran, Russia, Dprk, Hong kong, China

ChatGPT TTPs:
do not use without manual check
T1001, T1036.005, T1071.001, T1090, T1102, T1204.002, T1583.001, T1583.003

IOCs:
Hash: 13
IP: 4
Domain: 42

Soft:
Android, Google Play

Algorithms:
sha256

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Прокси-сеть IPIDEA, важная инициатива residential proxy, способствующая борьбе с киберпреступностью, использует множество наборов для разработки программного обеспечения (SDK), таких как EarnSDK и PacketSDK, для связи со своей инфраструктурой управления (C2). Эта сеть включает в себя приблизительно 7400 серверов второго уровня, которые динамически подключаются через TCP-пакеты с закодированной полезной нагрузкой в формате JSON, позволяя вредоносным акторам скрывать свою деятельность. Были выявлены многочисленные безобидные на вид приложения, включая троянские VPN, подключающиеся к этой инфраструктуре, что вызывает опасения по поводу использования residential proxy.
-----

Недавно Google и ее партнеры нацелили прокси-сеть IPIDEA, которая считается одной из крупнейших сетей residential proxy, способствующих различным видам киберпреступности. Сети Residential proxy, в отличие от традиционных прокси, позволяют маршрутизировать трафик через IP-адреса, принадлежащие интернет-провайдерам, что позволяет акторам осуществлять вредоносные действия, скрывая при этом их истинный источник. Это усложняет усилия по обнаружению сетевыми защитниками.

В ipidea IPIDEA включает в себя несколько брендов которые контролируются одними и теми же актерами, что подтверждается общей управление (С2) инфраструктуры в разных комплекты разработчика программного обеспечения (SDK), включая EarnSDK, PacketSDK, CastarSDK, и HexSDK. Эти SDK в приложения и возможность общения с иерархической структурой С2. При инициализации устройства, уровня один сервер обеспечивает подключение к различным двух узлов ступень поручено операций проксирования. Связь между этими узлами использует TCP-пакеты, содержащие закодированные полезной нагрузки JSON, что для динамического создания связей, основанных на вредоносные директив.

Анализ сети выявил общий пул примерно из 7400 серверов второго уровня, доступность которых колеблется в зависимости от спроса. Эта инфраструктура, работающая глобально и в основном на разных сетевых портах, предполагает скоординированный подход к управлению прокси-трафиком. Также было установлено, что акторы IPIDEA распространяли троянское программное обеспечение. Например, бесплатные VPN-приложения, которые ложно рекламируют свою функциональность, включают SDK, которые тайно подключают устройства к сети IPIDEA без раскрытия информации пользователем.

В ходе расследования было выявлено более 3000 уникальных двоичных файлов Windows и более 600 приложений для Android, использующих код для привязки к доменам первого уровня C2. Многие из этих приложений казались безобидными, но включали SDK для монетизации, которые поддерживали действия через прокси. Действия, предпринятые против сети IPIDEA, включают юридические меры по удалению доменов C2 и маркетинговых веб-сайтов, связанных с прокси-продуктами. Сотрудничество с другими охранными фирмами и поставщиками облачных услуг имело жизненно важное значение для разрушения инфраструктуры сети.

Это событие подчеркивает необходимость усиления бдительности в отношении сетей residential proxy, которые часто используют пропускную способность потребителей в незаконных целях. Пользователям рекомендуется быть осторожными с приложениями, обещающими оплату за "неиспользованную полосу пропускания", и пользоваться официальными магазинами приложений, сохраняя при этом осведомленность о разрешениях приложений и протоколах безопасности. Наконец, существует призыв к подотчетности среди провайдеров residential proxy, где любые заявления об этических практиках должны быть обоснованы прозрачным согласием пользователя, и к постоянному сотрудничеству в технологической отрасли для борьбы с незаконными прокси-сетями.

#ParsedReport #CompletenessHigh
29-01-2026

Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan

https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/

Report completeness: High

Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)

Threats:
Clickfix_technique
Ghostpairing_technique

Victims:
Pakistan users, Whatsapp users

Industry:
Government

Geo:
Pakistani, Ukraine, Pakistan

TTPs:
Tactics: 6
Technics: 12

IOCs:
Url: 4
Command: 2
File: 1
Domain: 2
IP: 1
Hash: 2

Soft:
Android, WhatsApp, Google Play

Algorithms:
base64, exhibit, sha1

Languages:
powershell

Platforms:
apple

Links:
https://github.com/eset/malware-ioc/tree/master/ghostchat

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET раскрыли нацеленную шпионскую кампанию в Пакистане, использующую вредоносное приложение для Android под названием "GhostChat", которое маскируется под приложение для знакомств, чтобы заманить пользователей. Идентифицируемое по имени пакета com.datingbatch.chatapp, это приложение не обладает подлинной функциональностью и взаимодействует с сервером управления, связанным с DLL-файлом, задействованным в атаке ClickFix, которая вводит пользователей в заблуждение и заставляет запускать вредоносные скрипты. Кампания также нацелена на пользователей WhatsApp с помощью вводящих в заблуждение QR-кодов, которые ложно ассоциируются с Министерством обороны Пакистана, демонстрируя угрозу мобильных шпионских программ в политически чувствительных областях.
-----

Исследователи ESET выявили нацеленную шпионскую кампанию в Пакистане, в которой участвовало вредоносное приложение для Android, называемое "GhostChat". Это приложение маскируется под законное приложение для знакомств, предназначенное для того, чтобы заманить пользователей к его загрузке, в то время как на самом деле функционирует как инструмент для шпионажа. Приложение было загружено на VirusTotal 11 сентября 2025 года, и, что примечательно, в нем отсутствует какая-либо законная функциональность, связанная с сервисами знакомств или чата.

GhostChat, идентифицируемый по имени пакета com.datingbatch.chatapp, распространяется по неизвестным каналам и использует значок установленной чат-платформы для обмана пользователей. Дальнейший анализ сервера управления (C&C), связанного с GhostChat, выявил три дополнительных файла, которые также взаимодействуют с тем же сервером, включая два пакетных сценария и DLL-файл.

DLL-файл, размещенный по определенному URL-адресу, является частью отдельной атаки, использующей тактику, называемую ClickFix, метод социальной инженерии, который вводит пользователей в заблуждение и заставляет выполнять вредоносные скрипты на их устройствах. Этот особый подход побуждает пользователей следовать вводящим в заблуждение инструкциям, часто включающим создание поддельных веб—сайтов, выдаваемых за законные организации - в данном случае, выдающих себя за Пакистанскую группу реагирования на компьютерные чрезвычайные ситуации.

После взлома устройства возвращаются на сервер C& C, отправляя конфиденциальную информацию, такую как имя пользователя и данные компьютера. Шпионская кампания также нацелена на пользователей WhatsApp, используя обманчивые QR-коды, которые якобы связывают пользователей с каналом, якобы принадлежащим Министерству обороны Пакистана.

Таким образом, эта аномалия подчеркивает сохраняющуюся угрозу мобильных шпионских программ в нацеленных кампаниях, особенно в политически чувствительных областях, использующих передовые методы, которые используют взаимодействие с человеком для успешного проникновения.

#ParsedReport #CompletenessHigh
29-01-2026

Interlock Ransomware: New Techniques, Same Old Tricks

https://www.fortinet.com/blog/threat-research/interlock-ransomware-new-techniques-same-old-tricks

Report completeness: High

Actors/Campaigns:
Interlock
Tag-124

Threats:
Interlock
Interlockrat
Screenconnect_tool
Mintsloader
Cornflake
Azcopy_tool
Lolbin_technique
Byovd_technique
Clickfix_technique
Kryptik
Rhysida

Victims:
Education sector, Organizations in the united kingdom, Organizations in the united states, North america based education organization

Industry:
Entertainment, Education

Geo:
America, American

CVEs:
CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 17

IOCs:
File: 35
Command: 3
Url: 2
Hash: 8
Path: 16
Domain: 22
IP: 15

Soft:
Firefox, Node.js, trycloudflare, Linux, Windows Defender, Chromium, Chrome, Opera, Opera-GX, PsExec, have more...

Algorithms:
sha1, base64, zip, xor, aes

Functions:
a0n, DLL, DriverEntry, IoCreateDevice, IoCreateSymbolicLink, ZwTerminateProcess

Win API:
OpenSCManagerW, CreateServiceW, OpenServiceW, StartServiceW, CommandLineToArgvW, CreateToolhelp32Snapshot, Process32NextW, Process32FirstW, DeviceIoControl, IoControlCode, have more...

Languages:
javascript, powershell, java

Platforms:
x64

Links:
https://github.com/pollotherunner/CVE-2025-61155/blob/main/advisory.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock ransomware group, которая разрабатывает собственное вредоносное ПО вместо использования модели "Программа-вымогатель как услуга", нацелена на образовательные организации в Северной Америке, начиная с заражения MintLoader. Их вторжение включало активность PowerShell и использование NodeSnakeRAT, что привело к развертыванию Interlock ransomware с использованием передовых технологий, таких как динамическое внедрение полезной нагрузки и зашифрованные команды, которые не поддаются обнаружению. Атака использовала скомпрометированные учетные данные и включала удаленный доступ через ScreenConnect, что указывает на сложную операцию, направленную на шифрование, а не на эксфильтрацию данных.
-----

Interlock ransomware group активно атакует организации по всему миру, особенно в секторе образования Великобритании и США. В отличие от многих операторов программ-вымогателей, Interlock group не работает по модели "Программа-вымогатель как услуга" (RaaS), вместо этого разрабатывая собственное вредоносное ПО и управляя им. Группа продемонстрировала значительную адаптивность в своих методах и инструментах атаки, приспосабливаясь к новым мерам безопасности.

Описанное здесь вторжение началось с заражения через MintLoader 31 марта 2025 года, нацеленного на североамериканскую образовательную организацию. Этому первоначальному доступу способствовало отдельное действие PowerShell на конечной точке, в которой отсутствовали средства обнаружения конечных точек и реагирования (EDR). Вслед за этим в период с 5 по 15 сентября была обнаружена инфекция NodeSnakeRAT, что свидетельствует о продолжении вторжения. Злоумышленник внедрил второй вариант троянца удаленного доступа Interlock (RAT), характеризующийся запутанным JavaScript и динамическими методами извлечения строк, которые препятствуют статическому анализу.

Первоначальное внедрение Interlock ransomware произошло в период с 16 сентября по 12 октября 2025 года. Примечательным аспектом этого этапа было отсутствие дополнительной эксфильтрации данных после существенной обработки данных с помощью AZcopy от Microsoft, что позволяет предположить, что злоумышленники переключили внимание с вымогательства украденных данных на прямое шифрование после оценки вероятности того, что жертва заплатит выкуп. Основной полезной нагрузкой программы-вымогателя был файл JavaScript, выполняемый через легальную среду выполнения Java, без необходимости обмена командами и управления, что указывает на автономную работу вредоносного ПО.

Во время атаки использовались различные стратегии, включая установку ScreenConnect — использование файла MSI для удаленного доступа — и использование действительных учетных данных для крупномасштабного развертывания программ-вымогателей. Злоумышленник использовал пользовательский пакетный скрипт для запуска программы-вымогателя по сети, воспользовавшись скомпрометированным доступом администратора для перемещения внутри компании. Сам код программы-вымогателя включал сложные методы, такие как динамическое внедрение полезной нагрузки и использование зашифрованных команд без подключения к внешнему серверу, чтобы затруднить усилия по обнаружению и анализу.

Это вторжение также высветило важность мониторинга и защиты от кражи учетных данных, перемещения внутри компании по Протоколу удаленного рабочего стола (RDP) и оправдания использования известных вредоносных инструментов. Методы защиты от этих атак включают внедрение строгих процедур ведения журнала и обнаружения при использовании PowerShell, а также контроль доступа по протоколу RDP. Анализ рекомендует упреждающий подход к использованию технологии EDR для блокирования вредоносных шаблонов выполнения и расследования аномального поведения пользователей внутри организации. Этот случай иллюстрирует необходимость постоянной адаптации защитных мер в ответ на эволюционирующие стратегии атак, используемые изощренными злоумышленниками, такими как Interlock group.

#ParsedReport #CompletenessMedium
29-01-2026

Threat Bulletin: Critical eScan Supply Chain Compromise

https://www.morphisec.com/blog/critical-escan-threat-bulletin/

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Escan users, Antivirus users, Software supply chain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1105, T1112, T1195, T1562.001, T1565.001

IOCs:
File: 1
Hash: 5
Url: 4
IP: 1
Path: 1
Registry: 1

Soft:
eScan

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
20 января 2026 года атака по Цепочке поставок была нацелена на антивирус eScan компании MicroWorld Technologies с использованием вредоносного пакета обновлений, который скомпрометировал целостность программного обеспечения. Эта атака включала загрузчик для настройки системы управления и манипулировала системными файлами, чтобы нарушить автоматическое обновление и одновременно облегчить доставку дополнительной полезной нагрузки. Скомпрометированный реестр eScan и файл hosts препятствовали обновлениям, делая антивирус неэффективным, что потребовало ручного исправления и расследования для затронутых пользователей.
-----

20 января 2026 года Morphisec выявила существенную Компрометацию цепочки поставок, воздействие на антивирусный продукт eScan от MicroWorld Technologies. Атака включала распространение вредоносного пакета обновлений через инфраструктуру обновлений eScan, что поставило под угрозу целостность антивирусного решения. Немедленный ответ Morphisec включал обнаружение и блокировку вредоносной активности на конечных точках клиентов, в то время как eScan удалось изолировать затронутую инфраструктуру в течение часа и перевести свою глобальную систему обновлений в автономный режим более чем на восемь часов.

Атака, по-видимому, использует загрузчик как часть своей платформы управления (C2) с механизмами закрепления, созданными путем вмешательства в системный файл hosts и реестр eScan. Эта манипуляция эффективно блокировала удаленные обновления и подключала скомпрометированные системы к дополнительным полезным нагрузкам из инфраструктуры C2. Хотя статус доменов C2 остается неподтвержденным, организациям рекомендуется заблокировать их превентивно.

Жертвами этой атаки стали все клиенты Morphisec, использующие eScan Antivirus, и конкретные затронутые версии ожидают подтверждения от поставщика. Вредоносная полезная нагрузка была разработана таким образом, чтобы обойти стандартные средства защиты, поскольку она изменяет реестр eScan, эффективно нарушая процессы автоматического обновления программного обеспечения. Необходимо ручное вмешательство и меры по исправлению ситуации, поскольку целостность антивирусного решения была серьезно нарушена, что сделало автоматическое обновление неэффективным.

Организациям настоятельно рекомендуется выполнять поиск известных вредоносных хэшей, проверять запланированные задачи на наличие неожиданных записей и проверять реестр на наличие подозрительных ключей. Изменения в файле hosts, блокирующие домены eScan, также должны быть проверены и исправлены. Действия по исправлению положения требуют обращения в eScan для получения обновлений вручную и проведения тщательных судебных расследований в системах без защиты Morphisec, включая сброс учетных данных для любых учетных записей, к которым был получен доступ во время взлома.