CTT Report Hub
#ParsedReport #CompletenessMedium 28-01-2026 No Place Like Home Network: Disrupting the World's Largest Residential Proxy Network https://cloud.google.com/blog/topics/threat-intelligence/disrupting-largest-residential-proxy-network/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Прокси-сеть IPIDEA, важная инициатива residential proxy, способствующая борьбе с киберпреступностью, использует множество наборов для разработки программного обеспечения (SDK), таких как EarnSDK и PacketSDK, для связи со своей инфраструктурой управления (C2). Эта сеть включает в себя приблизительно 7400 серверов второго уровня, которые динамически подключаются через TCP-пакеты с закодированной полезной нагрузкой в формате JSON, позволяя вредоносным акторам скрывать свою деятельность. Были выявлены многочисленные безобидные на вид приложения, включая троянские VPN, подключающиеся к этой инфраструктуре, что вызывает опасения по поводу использования residential proxy.
-----
Недавно Google и ее партнеры нацелили прокси-сеть IPIDEA, которая считается одной из крупнейших сетей residential proxy, способствующих различным видам киберпреступности. Сети Residential proxy, в отличие от традиционных прокси, позволяют маршрутизировать трафик через IP-адреса, принадлежащие интернет-провайдерам, что позволяет акторам осуществлять вредоносные действия, скрывая при этом их истинный источник. Это усложняет усилия по обнаружению сетевыми защитниками.
В ipidea IPIDEA включает в себя несколько брендов которые контролируются одними и теми же актерами, что подтверждается общей управление (С2) инфраструктуры в разных комплекты разработчика программного обеспечения (SDK), включая EarnSDK, PacketSDK, CastarSDK, и HexSDK. Эти SDK в приложения и возможность общения с иерархической структурой С2. При инициализации устройства, уровня один сервер обеспечивает подключение к различным двух узлов ступень поручено операций проксирования. Связь между этими узлами использует TCP-пакеты, содержащие закодированные полезной нагрузки JSON, что для динамического создания связей, основанных на вредоносные директив.
Анализ сети выявил общий пул примерно из 7400 серверов второго уровня, доступность которых колеблется в зависимости от спроса. Эта инфраструктура, работающая глобально и в основном на разных сетевых портах, предполагает скоординированный подход к управлению прокси-трафиком. Также было установлено, что акторы IPIDEA распространяли троянское программное обеспечение. Например, бесплатные VPN-приложения, которые ложно рекламируют свою функциональность, включают SDK, которые тайно подключают устройства к сети IPIDEA без раскрытия информации пользователем.
В ходе расследования было выявлено более 3000 уникальных двоичных файлов Windows и более 600 приложений для Android, использующих код для привязки к доменам первого уровня C2. Многие из этих приложений казались безобидными, но включали SDK для монетизации, которые поддерживали действия через прокси. Действия, предпринятые против сети IPIDEA, включают юридические меры по удалению доменов C2 и маркетинговых веб-сайтов, связанных с прокси-продуктами. Сотрудничество с другими охранными фирмами и поставщиками облачных услуг имело жизненно важное значение для разрушения инфраструктуры сети.
Это событие подчеркивает необходимость усиления бдительности в отношении сетей residential proxy, которые часто используют пропускную способность потребителей в незаконных целях. Пользователям рекомендуется быть осторожными с приложениями, обещающими оплату за "неиспользованную полосу пропускания", и пользоваться официальными магазинами приложений, сохраняя при этом осведомленность о разрешениях приложений и протоколах безопасности. Наконец, существует призыв к подотчетности среди провайдеров residential proxy, где любые заявления об этических практиках должны быть обоснованы прозрачным согласием пользователя, и к постоянному сотрудничеству в технологической отрасли для борьбы с незаконными прокси-сетями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Прокси-сеть IPIDEA, важная инициатива residential proxy, способствующая борьбе с киберпреступностью, использует множество наборов для разработки программного обеспечения (SDK), таких как EarnSDK и PacketSDK, для связи со своей инфраструктурой управления (C2). Эта сеть включает в себя приблизительно 7400 серверов второго уровня, которые динамически подключаются через TCP-пакеты с закодированной полезной нагрузкой в формате JSON, позволяя вредоносным акторам скрывать свою деятельность. Были выявлены многочисленные безобидные на вид приложения, включая троянские VPN, подключающиеся к этой инфраструктуре, что вызывает опасения по поводу использования residential proxy.
-----
Недавно Google и ее партнеры нацелили прокси-сеть IPIDEA, которая считается одной из крупнейших сетей residential proxy, способствующих различным видам киберпреступности. Сети Residential proxy, в отличие от традиционных прокси, позволяют маршрутизировать трафик через IP-адреса, принадлежащие интернет-провайдерам, что позволяет акторам осуществлять вредоносные действия, скрывая при этом их истинный источник. Это усложняет усилия по обнаружению сетевыми защитниками.
В ipidea IPIDEA включает в себя несколько брендов которые контролируются одними и теми же актерами, что подтверждается общей управление (С2) инфраструктуры в разных комплекты разработчика программного обеспечения (SDK), включая EarnSDK, PacketSDK, CastarSDK, и HexSDK. Эти SDK в приложения и возможность общения с иерархической структурой С2. При инициализации устройства, уровня один сервер обеспечивает подключение к различным двух узлов ступень поручено операций проксирования. Связь между этими узлами использует TCP-пакеты, содержащие закодированные полезной нагрузки JSON, что для динамического создания связей, основанных на вредоносные директив.
Анализ сети выявил общий пул примерно из 7400 серверов второго уровня, доступность которых колеблется в зависимости от спроса. Эта инфраструктура, работающая глобально и в основном на разных сетевых портах, предполагает скоординированный подход к управлению прокси-трафиком. Также было установлено, что акторы IPIDEA распространяли троянское программное обеспечение. Например, бесплатные VPN-приложения, которые ложно рекламируют свою функциональность, включают SDK, которые тайно подключают устройства к сети IPIDEA без раскрытия информации пользователем.
В ходе расследования было выявлено более 3000 уникальных двоичных файлов Windows и более 600 приложений для Android, использующих код для привязки к доменам первого уровня C2. Многие из этих приложений казались безобидными, но включали SDK для монетизации, которые поддерживали действия через прокси. Действия, предпринятые против сети IPIDEA, включают юридические меры по удалению доменов C2 и маркетинговых веб-сайтов, связанных с прокси-продуктами. Сотрудничество с другими охранными фирмами и поставщиками облачных услуг имело жизненно важное значение для разрушения инфраструктуры сети.
Это событие подчеркивает необходимость усиления бдительности в отношении сетей residential proxy, которые часто используют пропускную способность потребителей в незаконных целях. Пользователям рекомендуется быть осторожными с приложениями, обещающими оплату за "неиспользованную полосу пропускания", и пользоваться официальными магазинами приложений, сохраняя при этом осведомленность о разрешениях приложений и протоколах безопасности. Наконец, существует призыв к подотчетности среди провайдеров residential proxy, где любые заявления об этических практиках должны быть обоснованы прозрачным согласием пользователя, и к постоянному сотрудничеству в технологической отрасли для борьбы с незаконными прокси-сетями.
#ParsedReport #CompletenessHigh
29-01-2026
Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan
https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/
Report completeness: High
Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)
Threats:
Clickfix_technique
Ghostpairing_technique
Victims:
Pakistan users, Whatsapp users
Industry:
Government
Geo:
Pakistani, Ukraine, Pakistan
TTPs:
Tactics: 6
Technics: 12
IOCs:
Url: 4
Command: 2
File: 1
Domain: 2
IP: 1
Hash: 2
Soft:
Android, WhatsApp, Google Play
Algorithms:
base64, exhibit, sha1
Languages:
powershell
Platforms:
apple
Links:
29-01-2026
Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan
https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/
Report completeness: High
Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)
Threats:
Clickfix_technique
Ghostpairing_technique
Victims:
Pakistan users, Whatsapp users
Industry:
Government
Geo:
Pakistani, Ukraine, Pakistan
TTPs:
Tactics: 6
Technics: 12
IOCs:
Url: 4
Command: 2
File: 1
Domain: 2
IP: 1
Hash: 2
Soft:
Android, WhatsApp, Google Play
Algorithms:
base64, exhibit, sha1
Languages:
powershell
Platforms:
apple
Links:
https://github.com/eset/malware-ioc/tree/master/ghostchatWelivesecurity
Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan
ESET researchers discover an Android spyware campaign targeting users in Pakistan via romance scam tactics, revealing links to a broader spy operation.
CTT Report Hub
#ParsedReport #CompletenessHigh 29-01-2026 Love? Actually: Fake dating app used as lure in targeted spyware campaign in Pakistan https://www.welivesecurity.com/en/eset-research/love-actually-fake-dating-app-used-lure-targeted-spyware-campaign-pakistan/ …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи ESET раскрыли нацеленную шпионскую кампанию в Пакистане, использующую вредоносное приложение для Android под названием "GhostChat", которое маскируется под приложение для знакомств, чтобы заманить пользователей. Идентифицируемое по имени пакета com.datingbatch.chatapp, это приложение не обладает подлинной функциональностью и взаимодействует с сервером управления, связанным с DLL-файлом, задействованным в атаке ClickFix, которая вводит пользователей в заблуждение и заставляет запускать вредоносные скрипты. Кампания также нацелена на пользователей WhatsApp с помощью вводящих в заблуждение QR-кодов, которые ложно ассоциируются с Министерством обороны Пакистана, демонстрируя угрозу мобильных шпионских программ в политически чувствительных областях.
-----
Исследователи ESET выявили нацеленную шпионскую кампанию в Пакистане, в которой участвовало вредоносное приложение для Android, называемое "GhostChat". Это приложение маскируется под законное приложение для знакомств, предназначенное для того, чтобы заманить пользователей к его загрузке, в то время как на самом деле функционирует как инструмент для шпионажа. Приложение было загружено на VirusTotal 11 сентября 2025 года, и, что примечательно, в нем отсутствует какая-либо законная функциональность, связанная с сервисами знакомств или чата.
GhostChat, идентифицируемый по имени пакета com.datingbatch.chatapp, распространяется по неизвестным каналам и использует значок установленной чат-платформы для обмана пользователей. Дальнейший анализ сервера управления (C&C), связанного с GhostChat, выявил три дополнительных файла, которые также взаимодействуют с тем же сервером, включая два пакетных сценария и DLL-файл.
DLL-файл, размещенный по определенному URL-адресу, является частью отдельной атаки, использующей тактику, называемую ClickFix, метод социальной инженерии, который вводит пользователей в заблуждение и заставляет выполнять вредоносные скрипты на их устройствах. Этот особый подход побуждает пользователей следовать вводящим в заблуждение инструкциям, часто включающим создание поддельных веб—сайтов, выдаваемых за законные организации - в данном случае, выдающих себя за Пакистанскую группу реагирования на компьютерные чрезвычайные ситуации.
После взлома устройства возвращаются на сервер C& C, отправляя конфиденциальную информацию, такую как имя пользователя и данные компьютера. Шпионская кампания также нацелена на пользователей WhatsApp, используя обманчивые QR-коды, которые якобы связывают пользователей с каналом, якобы принадлежащим Министерству обороны Пакистана.
Таким образом, эта аномалия подчеркивает сохраняющуюся угрозу мобильных шпионских программ в нацеленных кампаниях, особенно в политически чувствительных областях, использующих передовые методы, которые используют взаимодействие с человеком для успешного проникновения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи ESET раскрыли нацеленную шпионскую кампанию в Пакистане, использующую вредоносное приложение для Android под названием "GhostChat", которое маскируется под приложение для знакомств, чтобы заманить пользователей. Идентифицируемое по имени пакета com.datingbatch.chatapp, это приложение не обладает подлинной функциональностью и взаимодействует с сервером управления, связанным с DLL-файлом, задействованным в атаке ClickFix, которая вводит пользователей в заблуждение и заставляет запускать вредоносные скрипты. Кампания также нацелена на пользователей WhatsApp с помощью вводящих в заблуждение QR-кодов, которые ложно ассоциируются с Министерством обороны Пакистана, демонстрируя угрозу мобильных шпионских программ в политически чувствительных областях.
-----
Исследователи ESET выявили нацеленную шпионскую кампанию в Пакистане, в которой участвовало вредоносное приложение для Android, называемое "GhostChat". Это приложение маскируется под законное приложение для знакомств, предназначенное для того, чтобы заманить пользователей к его загрузке, в то время как на самом деле функционирует как инструмент для шпионажа. Приложение было загружено на VirusTotal 11 сентября 2025 года, и, что примечательно, в нем отсутствует какая-либо законная функциональность, связанная с сервисами знакомств или чата.
GhostChat, идентифицируемый по имени пакета com.datingbatch.chatapp, распространяется по неизвестным каналам и использует значок установленной чат-платформы для обмана пользователей. Дальнейший анализ сервера управления (C&C), связанного с GhostChat, выявил три дополнительных файла, которые также взаимодействуют с тем же сервером, включая два пакетных сценария и DLL-файл.
DLL-файл, размещенный по определенному URL-адресу, является частью отдельной атаки, использующей тактику, называемую ClickFix, метод социальной инженерии, который вводит пользователей в заблуждение и заставляет выполнять вредоносные скрипты на их устройствах. Этот особый подход побуждает пользователей следовать вводящим в заблуждение инструкциям, часто включающим создание поддельных веб—сайтов, выдаваемых за законные организации - в данном случае, выдающих себя за Пакистанскую группу реагирования на компьютерные чрезвычайные ситуации.
После взлома устройства возвращаются на сервер C& C, отправляя конфиденциальную информацию, такую как имя пользователя и данные компьютера. Шпионская кампания также нацелена на пользователей WhatsApp, используя обманчивые QR-коды, которые якобы связывают пользователей с каналом, якобы принадлежащим Министерству обороны Пакистана.
Таким образом, эта аномалия подчеркивает сохраняющуюся угрозу мобильных шпионских программ в нацеленных кампаниях, особенно в политически чувствительных областях, использующих передовые методы, которые используют взаимодействие с человеком для успешного проникновения.
#ParsedReport #CompletenessHigh
29-01-2026
Interlock Ransomware: New Techniques, Same Old Tricks
https://www.fortinet.com/blog/threat-research/interlock-ransomware-new-techniques-same-old-tricks
Report completeness: High
Actors/Campaigns:
Interlock
Tag-124
Threats:
Interlock
Interlockrat
Screenconnect_tool
Mintsloader
Cornflake
Azcopy_tool
Lolbin_technique
Byovd_technique
Clickfix_technique
Kryptik
Rhysida
Victims:
Education sector, Organizations in the united kingdom, Organizations in the united states, North america based education organization
Industry:
Entertainment, Education
Geo:
America, American
CVEs:
CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 10
Technics: 17
IOCs:
File: 35
Command: 3
Url: 2
Hash: 8
Path: 16
Domain: 22
IP: 15
Soft:
Firefox, Node.js, trycloudflare, Linux, Windows Defender, Chromium, Chrome, Opera, Opera-GX, PsExec, have more...
Algorithms:
sha1, base64, zip, xor, aes
Functions:
a0n, DLL, DriverEntry, IoCreateDevice, IoCreateSymbolicLink, ZwTerminateProcess
Win API:
OpenSCManagerW, CreateServiceW, OpenServiceW, StartServiceW, CommandLineToArgvW, CreateToolhelp32Snapshot, Process32NextW, Process32FirstW, DeviceIoControl, IoControlCode, have more...
Languages:
javascript, powershell, java
Platforms:
x64
Links:
29-01-2026
Interlock Ransomware: New Techniques, Same Old Tricks
https://www.fortinet.com/blog/threat-research/interlock-ransomware-new-techniques-same-old-tricks
Report completeness: High
Actors/Campaigns:
Interlock
Tag-124
Threats:
Interlock
Interlockrat
Screenconnect_tool
Mintsloader
Cornflake
Azcopy_tool
Lolbin_technique
Byovd_technique
Clickfix_technique
Kryptik
Rhysida
Victims:
Education sector, Organizations in the united kingdom, Organizations in the united states, North america based education organization
Industry:
Entertainment, Education
Geo:
America, American
CVEs:
CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 10
Technics: 17
IOCs:
File: 35
Command: 3
Url: 2
Hash: 8
Path: 16
Domain: 22
IP: 15
Soft:
Firefox, Node.js, trycloudflare, Linux, Windows Defender, Chromium, Chrome, Opera, Opera-GX, PsExec, have more...
Algorithms:
sha1, base64, zip, xor, aes
Functions:
a0n, DLL, DriverEntry, IoCreateDevice, IoCreateSymbolicLink, ZwTerminateProcess
Win API:
OpenSCManagerW, CreateServiceW, OpenServiceW, StartServiceW, CommandLineToArgvW, CreateToolhelp32Snapshot, Process32NextW, Process32FirstW, DeviceIoControl, IoControlCode, have more...
Languages:
javascript, powershell, java
Platforms:
x64
Links:
https://github.com/pollotherunner/CVE-2025-61155/blob/main/advisory.mdFortinet Blog
Interlock Ransomware: New Techniques, Same Old Tricks
An in-depth analysis of an Interlock ransomware intrusion, detailing new malware tooling, defense evasion techniques, and high-ROI detection strategies.…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-01-2026 Interlock Ransomware: New Techniques, Same Old Tricks https://www.fortinet.com/blog/threat-research/interlock-ransomware-new-techniques-same-old-tricks Report completeness: High Actors/Campaigns: Interlock Tag…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Interlock ransomware group, которая разрабатывает собственное вредоносное ПО вместо использования модели "Программа-вымогатель как услуга", нацелена на образовательные организации в Северной Америке, начиная с заражения MintLoader. Их вторжение включало активность PowerShell и использование NodeSnakeRAT, что привело к развертыванию Interlock ransomware с использованием передовых технологий, таких как динамическое внедрение полезной нагрузки и зашифрованные команды, которые не поддаются обнаружению. Атака использовала скомпрометированные учетные данные и включала удаленный доступ через ScreenConnect, что указывает на сложную операцию, направленную на шифрование, а не на эксфильтрацию данных.
-----
Interlock ransomware group активно атакует организации по всему миру, особенно в секторе образования Великобритании и США. В отличие от многих операторов программ-вымогателей, Interlock group не работает по модели "Программа-вымогатель как услуга" (RaaS), вместо этого разрабатывая собственное вредоносное ПО и управляя им. Группа продемонстрировала значительную адаптивность в своих методах и инструментах атаки, приспосабливаясь к новым мерам безопасности.
Описанное здесь вторжение началось с заражения через MintLoader 31 марта 2025 года, нацеленного на североамериканскую образовательную организацию. Этому первоначальному доступу способствовало отдельное действие PowerShell на конечной точке, в которой отсутствовали средства обнаружения конечных точек и реагирования (EDR). Вслед за этим в период с 5 по 15 сентября была обнаружена инфекция NodeSnakeRAT, что свидетельствует о продолжении вторжения. Злоумышленник внедрил второй вариант троянца удаленного доступа Interlock (RAT), характеризующийся запутанным JavaScript и динамическими методами извлечения строк, которые препятствуют статическому анализу.
Первоначальное внедрение Interlock ransomware произошло в период с 16 сентября по 12 октября 2025 года. Примечательным аспектом этого этапа было отсутствие дополнительной эксфильтрации данных после существенной обработки данных с помощью AZcopy от Microsoft, что позволяет предположить, что злоумышленники переключили внимание с вымогательства украденных данных на прямое шифрование после оценки вероятности того, что жертва заплатит выкуп. Основной полезной нагрузкой программы-вымогателя был файл JavaScript, выполняемый через легальную среду выполнения Java, без необходимости обмена командами и управления, что указывает на автономную работу вредоносного ПО.
Во время атаки использовались различные стратегии, включая установку ScreenConnect — использование файла MSI для удаленного доступа — и использование действительных учетных данных для крупномасштабного развертывания программ-вымогателей. Злоумышленник использовал пользовательский пакетный скрипт для запуска программы-вымогателя по сети, воспользовавшись скомпрометированным доступом администратора для перемещения внутри компании. Сам код программы-вымогателя включал сложные методы, такие как динамическое внедрение полезной нагрузки и использование зашифрованных команд без подключения к внешнему серверу, чтобы затруднить усилия по обнаружению и анализу.
Это вторжение также высветило важность мониторинга и защиты от кражи учетных данных, перемещения внутри компании по Протоколу удаленного рабочего стола (RDP) и оправдания использования известных вредоносных инструментов. Методы защиты от этих атак включают внедрение строгих процедур ведения журнала и обнаружения при использовании PowerShell, а также контроль доступа по протоколу RDP. Анализ рекомендует упреждающий подход к использованию технологии EDR для блокирования вредоносных шаблонов выполнения и расследования аномального поведения пользователей внутри организации. Этот случай иллюстрирует необходимость постоянной адаптации защитных мер в ответ на эволюционирующие стратегии атак, используемые изощренными злоумышленниками, такими как Interlock group.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Interlock ransomware group, которая разрабатывает собственное вредоносное ПО вместо использования модели "Программа-вымогатель как услуга", нацелена на образовательные организации в Северной Америке, начиная с заражения MintLoader. Их вторжение включало активность PowerShell и использование NodeSnakeRAT, что привело к развертыванию Interlock ransomware с использованием передовых технологий, таких как динамическое внедрение полезной нагрузки и зашифрованные команды, которые не поддаются обнаружению. Атака использовала скомпрометированные учетные данные и включала удаленный доступ через ScreenConnect, что указывает на сложную операцию, направленную на шифрование, а не на эксфильтрацию данных.
-----
Interlock ransomware group активно атакует организации по всему миру, особенно в секторе образования Великобритании и США. В отличие от многих операторов программ-вымогателей, Interlock group не работает по модели "Программа-вымогатель как услуга" (RaaS), вместо этого разрабатывая собственное вредоносное ПО и управляя им. Группа продемонстрировала значительную адаптивность в своих методах и инструментах атаки, приспосабливаясь к новым мерам безопасности.
Описанное здесь вторжение началось с заражения через MintLoader 31 марта 2025 года, нацеленного на североамериканскую образовательную организацию. Этому первоначальному доступу способствовало отдельное действие PowerShell на конечной точке, в которой отсутствовали средства обнаружения конечных точек и реагирования (EDR). Вслед за этим в период с 5 по 15 сентября была обнаружена инфекция NodeSnakeRAT, что свидетельствует о продолжении вторжения. Злоумышленник внедрил второй вариант троянца удаленного доступа Interlock (RAT), характеризующийся запутанным JavaScript и динамическими методами извлечения строк, которые препятствуют статическому анализу.
Первоначальное внедрение Interlock ransomware произошло в период с 16 сентября по 12 октября 2025 года. Примечательным аспектом этого этапа было отсутствие дополнительной эксфильтрации данных после существенной обработки данных с помощью AZcopy от Microsoft, что позволяет предположить, что злоумышленники переключили внимание с вымогательства украденных данных на прямое шифрование после оценки вероятности того, что жертва заплатит выкуп. Основной полезной нагрузкой программы-вымогателя был файл JavaScript, выполняемый через легальную среду выполнения Java, без необходимости обмена командами и управления, что указывает на автономную работу вредоносного ПО.
Во время атаки использовались различные стратегии, включая установку ScreenConnect — использование файла MSI для удаленного доступа — и использование действительных учетных данных для крупномасштабного развертывания программ-вымогателей. Злоумышленник использовал пользовательский пакетный скрипт для запуска программы-вымогателя по сети, воспользовавшись скомпрометированным доступом администратора для перемещения внутри компании. Сам код программы-вымогателя включал сложные методы, такие как динамическое внедрение полезной нагрузки и использование зашифрованных команд без подключения к внешнему серверу, чтобы затруднить усилия по обнаружению и анализу.
Это вторжение также высветило важность мониторинга и защиты от кражи учетных данных, перемещения внутри компании по Протоколу удаленного рабочего стола (RDP) и оправдания использования известных вредоносных инструментов. Методы защиты от этих атак включают внедрение строгих процедур ведения журнала и обнаружения при использовании PowerShell, а также контроль доступа по протоколу RDP. Анализ рекомендует упреждающий подход к использованию технологии EDR для блокирования вредоносных шаблонов выполнения и расследования аномального поведения пользователей внутри организации. Этот случай иллюстрирует необходимость постоянной адаптации защитных мер в ответ на эволюционирующие стратегии атак, используемые изощренными злоумышленниками, такими как Interlock group.
#ParsedReport #CompletenessMedium
29-01-2026
Threat Bulletin: Critical eScan Supply Chain Compromise
https://www.morphisec.com/blog/critical-escan-threat-bulletin/
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Escan users, Antivirus users, Software supply chain
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1053.005, T1059.001, T1105, T1112, T1195, T1562.001, T1565.001
IOCs:
File: 1
Hash: 5
Url: 4
IP: 1
Path: 1
Registry: 1
Soft:
eScan
Algorithms:
sha256
Languages:
powershell
29-01-2026
Threat Bulletin: Critical eScan Supply Chain Compromise
https://www.morphisec.com/blog/critical-escan-threat-bulletin/
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Escan users, Antivirus users, Software supply chain
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1053.005, T1059.001, T1105, T1112, T1195, T1562.001, T1565.001
IOCs:
File: 1
Hash: 5
Url: 4
IP: 1
Path: 1
Registry: 1
Soft:
eScan
Algorithms:
sha256
Languages:
powershell
Morphisec
Threat Bulletin: Critical eScan Supply Chain Compromise
Morphisec has identified a critical eScan supply chain compromise. Read this bulletin for immediate remediate actions and IOC information.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 Threat Bulletin: Critical eScan Supply Chain Compromise https://www.morphisec.com/blog/critical-escan-threat-bulletin/ Report completeness: Medium Threats: Supply_chain_technique Victims: Escan users, Antivirus…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
20 января 2026 года атака по Цепочке поставок была нацелена на антивирус eScan компании MicroWorld Technologies с использованием вредоносного пакета обновлений, который скомпрометировал целостность программного обеспечения. Эта атака включала загрузчик для настройки системы управления и манипулировала системными файлами, чтобы нарушить автоматическое обновление и одновременно облегчить доставку дополнительной полезной нагрузки. Скомпрометированный реестр eScan и файл hosts препятствовали обновлениям, делая антивирус неэффективным, что потребовало ручного исправления и расследования для затронутых пользователей.
-----
20 января 2026 года Morphisec выявила существенную Компрометацию цепочки поставок, воздействие на антивирусный продукт eScan от MicroWorld Technologies. Атака включала распространение вредоносного пакета обновлений через инфраструктуру обновлений eScan, что поставило под угрозу целостность антивирусного решения. Немедленный ответ Morphisec включал обнаружение и блокировку вредоносной активности на конечных точках клиентов, в то время как eScan удалось изолировать затронутую инфраструктуру в течение часа и перевести свою глобальную систему обновлений в автономный режим более чем на восемь часов.
Атака, по-видимому, использует загрузчик как часть своей платформы управления (C2) с механизмами закрепления, созданными путем вмешательства в системный файл hosts и реестр eScan. Эта манипуляция эффективно блокировала удаленные обновления и подключала скомпрометированные системы к дополнительным полезным нагрузкам из инфраструктуры C2. Хотя статус доменов C2 остается неподтвержденным, организациям рекомендуется заблокировать их превентивно.
Жертвами этой атаки стали все клиенты Morphisec, использующие eScan Antivirus, и конкретные затронутые версии ожидают подтверждения от поставщика. Вредоносная полезная нагрузка была разработана таким образом, чтобы обойти стандартные средства защиты, поскольку она изменяет реестр eScan, эффективно нарушая процессы автоматического обновления программного обеспечения. Необходимо ручное вмешательство и меры по исправлению ситуации, поскольку целостность антивирусного решения была серьезно нарушена, что сделало автоматическое обновление неэффективным.
Организациям настоятельно рекомендуется выполнять поиск известных вредоносных хэшей, проверять запланированные задачи на наличие неожиданных записей и проверять реестр на наличие подозрительных ключей. Изменения в файле hosts, блокирующие домены eScan, также должны быть проверены и исправлены. Действия по исправлению положения требуют обращения в eScan для получения обновлений вручную и проведения тщательных судебных расследований в системах без защиты Morphisec, включая сброс учетных данных для любых учетных записей, к которым был получен доступ во время взлома.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
20 января 2026 года атака по Цепочке поставок была нацелена на антивирус eScan компании MicroWorld Technologies с использованием вредоносного пакета обновлений, который скомпрометировал целостность программного обеспечения. Эта атака включала загрузчик для настройки системы управления и манипулировала системными файлами, чтобы нарушить автоматическое обновление и одновременно облегчить доставку дополнительной полезной нагрузки. Скомпрометированный реестр eScan и файл hosts препятствовали обновлениям, делая антивирус неэффективным, что потребовало ручного исправления и расследования для затронутых пользователей.
-----
20 января 2026 года Morphisec выявила существенную Компрометацию цепочки поставок, воздействие на антивирусный продукт eScan от MicroWorld Technologies. Атака включала распространение вредоносного пакета обновлений через инфраструктуру обновлений eScan, что поставило под угрозу целостность антивирусного решения. Немедленный ответ Morphisec включал обнаружение и блокировку вредоносной активности на конечных точках клиентов, в то время как eScan удалось изолировать затронутую инфраструктуру в течение часа и перевести свою глобальную систему обновлений в автономный режим более чем на восемь часов.
Атака, по-видимому, использует загрузчик как часть своей платформы управления (C2) с механизмами закрепления, созданными путем вмешательства в системный файл hosts и реестр eScan. Эта манипуляция эффективно блокировала удаленные обновления и подключала скомпрометированные системы к дополнительным полезным нагрузкам из инфраструктуры C2. Хотя статус доменов C2 остается неподтвержденным, организациям рекомендуется заблокировать их превентивно.
Жертвами этой атаки стали все клиенты Morphisec, использующие eScan Antivirus, и конкретные затронутые версии ожидают подтверждения от поставщика. Вредоносная полезная нагрузка была разработана таким образом, чтобы обойти стандартные средства защиты, поскольку она изменяет реестр eScan, эффективно нарушая процессы автоматического обновления программного обеспечения. Необходимо ручное вмешательство и меры по исправлению ситуации, поскольку целостность антивирусного решения была серьезно нарушена, что сделало автоматическое обновление неэффективным.
Организациям настоятельно рекомендуется выполнять поиск известных вредоносных хэшей, проверять запланированные задачи на наличие неожиданных записей и проверять реестр на наличие подозрительных ключей. Изменения в файле hosts, блокирующие домены eScan, также должны быть проверены и исправлены. Действия по исправлению положения требуют обращения в eScan для получения обновлений вручную и проведения тщательных судебных расследований в системах без защиты Morphisec, включая сброс учетных данных для любых учетных записей, к которым был получен доступ во время взлома.
#ParsedReport #CompletenessLow
29-01-2026
Supply chain attack on eScan antivirus: detecting and remediating malicious updates
https://securelist.com/escan-supply-chain-attack/118688/
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Escan users, Antivirus software users
Geo:
Indian
ChatGPT TTPs:
T1053.005, T1195, T1199, T1553.002, T1565.001
IOCs:
File: 2
Path: 1
Url: 6
Soft:
eScan
29-01-2026
Supply chain attack on eScan antivirus: detecting and remediating malicious updates
https://securelist.com/escan-supply-chain-attack/118688/
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Escan users, Antivirus software users
Geo:
Indian
ChatGPT TTPs:
do not use without manual checkT1053.005, T1195, T1199, T1553.002, T1565.001
IOCs:
File: 2
Path: 1
Url: 6
Soft:
eScan
Securelist
Supply chain attack on eScan antivirus: detecting and remediating malicious updates
On January 20, Kaspersky solutions detected malware used in eScan antivirus supply chain attack. In this article we provide available information on the threat: indicators of compromise, threat hunting and mitigating tips, etc.
CTT Report Hub
#ParsedReport #CompletenessLow 29-01-2026 Supply chain attack on eScan antivirus: detecting and remediating malicious updates https://securelist.com/escan-supply-chain-attack/118688/ Report completeness: Low Threats: Supply_chain_technique Victims: Escan…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
20 января атака по Цепочке поставок была нацелена на eScan antivirus после того, как злоумышленники скомпрометировали региональный сервер обновлений, распространив Вредоносный файл с именем Reload.exe . Это вредоносное ПО инициировало многоэтапный процесс заражения, изменив файл HOSTS, чтобы заблокировать законную передачу обновлений, тем самым лишив антивирус возможности получать обновления. Файл был принят как законное обновление из-за поддельной цифровой подписи, указывающей на уязвимости в Цепочке поставок программного обеспечения, а не в самом программном обеспечении.
-----
20 января значительная атака по Цепочке поставок оказала воздействие на eScan antivirus, продукт MicroWorld Technologies. Злоумышленники скомпрометировали один из региональных серверов обновлений и распространили Вредоносный файл с именем Reload.exe для пользователей антивирусного программного обеспечения. Это вредоносное ПО инициировало многоэтапный процесс заражения и фактически лишило антивирус возможности получать последующие обновления, изменив файл HOSTS. Это действие заблокировало законные сообщения об обновлениях, что привело к ошибкам в службе обновлений.
Расследование атаки показало, что злоумышленник Reload.exe файл был вставлен не из-за уязвимости в самом программном обеспечении, а скорее из-за несанкционированного доступа к инфраструктуре обновления. Злоумышленники внедрили это вредоносное ПО под видом поддельной недействительной цифровой подписи, что облегчило его принятие ничего не подозревающими пользователями в качестве законного обновления.
Что касается исправления, пользователям рекомендуется провести несколько проверок для выявления потенциальных инфекций. Это включает в себя проверку запланированных задач на наличие признаков вредоносной активности, проверку файла HOSTS, расположенного по адресу %WinDir%\System32\драйверы\и т.д.\, на наличие любых записей, блокирующих домены eScan, и тщательный просмотр журналов обновлений eScan от 20 января на предмет любых нарушений. Инцидент подчеркивает критическую важность безопасности даже в Цепочках поставок надежного программного обеспечения и подчеркивает необходимость гибких возможностей обнаружения и исправления при борьбе с такими сложными угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
20 января атака по Цепочке поставок была нацелена на eScan antivirus после того, как злоумышленники скомпрометировали региональный сервер обновлений, распространив Вредоносный файл с именем Reload.exe . Это вредоносное ПО инициировало многоэтапный процесс заражения, изменив файл HOSTS, чтобы заблокировать законную передачу обновлений, тем самым лишив антивирус возможности получать обновления. Файл был принят как законное обновление из-за поддельной цифровой подписи, указывающей на уязвимости в Цепочке поставок программного обеспечения, а не в самом программном обеспечении.
-----
20 января значительная атака по Цепочке поставок оказала воздействие на eScan antivirus, продукт MicroWorld Technologies. Злоумышленники скомпрометировали один из региональных серверов обновлений и распространили Вредоносный файл с именем Reload.exe для пользователей антивирусного программного обеспечения. Это вредоносное ПО инициировало многоэтапный процесс заражения и фактически лишило антивирус возможности получать последующие обновления, изменив файл HOSTS. Это действие заблокировало законные сообщения об обновлениях, что привело к ошибкам в службе обновлений.
Расследование атаки показало, что злоумышленник Reload.exe файл был вставлен не из-за уязвимости в самом программном обеспечении, а скорее из-за несанкционированного доступа к инфраструктуре обновления. Злоумышленники внедрили это вредоносное ПО под видом поддельной недействительной цифровой подписи, что облегчило его принятие ничего не подозревающими пользователями в качестве законного обновления.
Что касается исправления, пользователям рекомендуется провести несколько проверок для выявления потенциальных инфекций. Это включает в себя проверку запланированных задач на наличие признаков вредоносной активности, проверку файла HOSTS, расположенного по адресу %WinDir%\System32\драйверы\и т.д.\, на наличие любых записей, блокирующих домены eScan, и тщательный просмотр журналов обновлений eScan от 20 января на предмет любых нарушений. Инцидент подчеркивает критическую важность безопасности даже в Цепочках поставок надежного программного обеспечения и подчеркивает необходимость гибких возможностей обнаружения и исправления при борьбе с такими сложными угрозами.
#ParsedReport #CompletenessMedium
29-01-2026
PeckBirdy Exposes a New Living off the Land Threat
https://cybersecsentinel.com/peckbirdy-exposes-a-new-living-off-the-land-threat/
Report completeness: Medium
Threats:
Peckbirdy_tool
Watering_hole_technique
Holodonut
Mkdoor
Nexload
Credential_harvesting_technique
Lolbin_technique
Victims:
Government, Education, Gambling sector
Industry:
Government
Geo:
Asian, Chinese, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1059.007, T1105, T1189, T1203, T1204.002, T1218.005, T1559.001
IOCs:
File: 5
IP: 1
Soft:
Chrome, Google Chrome, Microsoft Defender
Algorithms:
exhibit, md5, aes
Languages:
javascript, powershell, jscript
Platforms:
arm
29-01-2026
PeckBirdy Exposes a New Living off the Land Threat
https://cybersecsentinel.com/peckbirdy-exposes-a-new-living-off-the-land-threat/
Report completeness: Medium
Threats:
Peckbirdy_tool
Watering_hole_technique
Holodonut
Mkdoor
Nexload
Credential_harvesting_technique
Lolbin_technique
Victims:
Government, Education, Gambling sector
Industry:
Government
Geo:
Asian, Chinese, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.007, T1105, T1189, T1203, T1204.002, T1218.005, T1559.001
IOCs:
File: 5
IP: 1
Soft:
Chrome, Google Chrome, Microsoft Defender
Algorithms:
exhibit, md5, aes
Languages:
javascript, powershell, jscript
Platforms:
arm
Cybersec Sentinel
PeckBirdy Exposes a New Living off the Land Threat
Threat Group China aligned APT operators tracked as SHADOW VOID 044 and SHADOW EARTH 045
Threat Type JScript based command and control framework abusing trusted Windows utilities
Exploited Vulnerabilities Abuse of Windows Script Host trust model, mshta.exe…
Threat Type JScript based command and control framework abusing trusted Windows utilities
Exploited Vulnerabilities Abuse of Windows Script Host trust model, mshta.exe…
CTT Report Hub
#ParsedReport #CompletenessMedium 29-01-2026 PeckBirdy Exposes a New Living off the Land Threat https://cybersecsentinel.com/peckbirdy-exposes-a-new-living-off-the-land-threat/ Report completeness: Medium Threats: Peckbirdy_tool Watering_hole_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PeckBirdy - это платформа управления на основе JScript (C2), связанная с китайскими APT-группировками, использующая скрипты вместо традиционного вредоносного ПО, чтобы избежать обнаружения. В первую очередь он получает первоначальный доступ с помощью атак watering hole на легальные сайты азартных игр, внедряя вредоносные скрипты, которые побуждают пользователей загружать фреймворк. PeckBirdy использует надежные утилиты Windows и предназначен для скрытого выполнения, что приводит к значительным рискам, таким как кража учетных данных и перехват сеанса, особенно для государственного сектора и игорного бизнеса.
-----
PeckBirdy - это платформа командования и контроля (C2) на основе JScript, связанная с APT-группировками, связанными с Китаем, которые отслеживаются как SHADOW VOID 044 и SHADOW EARTH 045. Этот фреймворк примечателен тем, что использует надежные утилиты Windows и устаревшие технологии написания сценариев, а не обычное исполняемое вредоносное ПО. Он действует скрытно и с минимальной видимостью для криминалистов, представляя значительную киберугрозу с момента своего обнаружения в ходе оперативных кампаний примерно в 2023 году.
Фреймворк использует различные методы для первоначального доступа, преимущественно посредством атак watering hole на легальные китайские сайты азартных игр. Вредоносные скрипты внедряются на эти сайты, вводя пользователей в заблуждение и заставляя запускать мошеннические обновления браузера, которые облегчают загрузку и выполнение платформы PeckBirdy и связанных с ней полезных нагрузок. Этот метод подчеркивает зависимость фреймворка от социальной инженерии и эксплуатации доверия, а не от традиционных методов доставки вредоносного ПО.
Ядро PeckBirdy написано на JScript в соответствии со стандартами ECMAScript 3, что позволяет ему работать в широком спектре сред Windows, в том числе в более старых системах, которые могут не поддерживать новые функции программирования. Стратегии выполнения используют надежные компоненты операционной системы Windows, такие как Windows Script Host, mshta.exe , и интерфейс ScriptControl ActiveX. Такой выбор конструкции обеспечивает высокую степень скрытности и снижает вероятность обнаружения стандартными антивирусными решениями и решениями для обнаружения конечных точек и реагирования на них (EDR), поскольку позволяет избежать создания традиционных артефактов вредоносного ПО.
Контекст угроз, связанный с PeckBirdy, подчеркивает изменение методов, используемых хакерскими группировками, переходящими от бинарного вредоносного ПО к фреймворкам на основе сценариев, которые используют существующие системные компоненты. Эта эволюция согласуется как с финансово мотивированной киберпреступностью, так и с усилиями по шпионажу, спонсируемыми государством. Основные риски, связанные с PeckBirdy, включают кражу учетных данных, перехват сеанса и постоянный доступ к внутренней сети. Эта система представляет высокий риск для таких секторов, как правительственные учреждения, образовательные учреждения и организации, связанные с азартными играми, особенно в регионах, которые, вероятно, будут рассматриваться как цели операций китайской разведки.
Чтобы обнаружить активность PeckBirdy, организациям следует отслеживать исходящие подключения, инициированные mshta.exe и другие скриптовые хосты, обращая внимание на параметры командной строки для выявления признаков выполнения JScript и использования ActiveXObject. Аномальные Веб-куки с префиксом "Hm_lvt_" в контекстах, где такая аналитика обычно не используется, также должны вызывать предупреждения о потенциальных вторжениях. Поскольку эта структура подчеркивает продвинутую адаптацию тактики living-off-the-land, ее присутствие подчеркивает текущие проблемы в области защиты кибербезопасности и реагирования на инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PeckBirdy - это платформа управления на основе JScript (C2), связанная с китайскими APT-группировками, использующая скрипты вместо традиционного вредоносного ПО, чтобы избежать обнаружения. В первую очередь он получает первоначальный доступ с помощью атак watering hole на легальные сайты азартных игр, внедряя вредоносные скрипты, которые побуждают пользователей загружать фреймворк. PeckBirdy использует надежные утилиты Windows и предназначен для скрытого выполнения, что приводит к значительным рискам, таким как кража учетных данных и перехват сеанса, особенно для государственного сектора и игорного бизнеса.
-----
PeckBirdy - это платформа командования и контроля (C2) на основе JScript, связанная с APT-группировками, связанными с Китаем, которые отслеживаются как SHADOW VOID 044 и SHADOW EARTH 045. Этот фреймворк примечателен тем, что использует надежные утилиты Windows и устаревшие технологии написания сценариев, а не обычное исполняемое вредоносное ПО. Он действует скрытно и с минимальной видимостью для криминалистов, представляя значительную киберугрозу с момента своего обнаружения в ходе оперативных кампаний примерно в 2023 году.
Фреймворк использует различные методы для первоначального доступа, преимущественно посредством атак watering hole на легальные китайские сайты азартных игр. Вредоносные скрипты внедряются на эти сайты, вводя пользователей в заблуждение и заставляя запускать мошеннические обновления браузера, которые облегчают загрузку и выполнение платформы PeckBirdy и связанных с ней полезных нагрузок. Этот метод подчеркивает зависимость фреймворка от социальной инженерии и эксплуатации доверия, а не от традиционных методов доставки вредоносного ПО.
Ядро PeckBirdy написано на JScript в соответствии со стандартами ECMAScript 3, что позволяет ему работать в широком спектре сред Windows, в том числе в более старых системах, которые могут не поддерживать новые функции программирования. Стратегии выполнения используют надежные компоненты операционной системы Windows, такие как Windows Script Host, mshta.exe , и интерфейс ScriptControl ActiveX. Такой выбор конструкции обеспечивает высокую степень скрытности и снижает вероятность обнаружения стандартными антивирусными решениями и решениями для обнаружения конечных точек и реагирования на них (EDR), поскольку позволяет избежать создания традиционных артефактов вредоносного ПО.
Контекст угроз, связанный с PeckBirdy, подчеркивает изменение методов, используемых хакерскими группировками, переходящими от бинарного вредоносного ПО к фреймворкам на основе сценариев, которые используют существующие системные компоненты. Эта эволюция согласуется как с финансово мотивированной киберпреступностью, так и с усилиями по шпионажу, спонсируемыми государством. Основные риски, связанные с PeckBirdy, включают кражу учетных данных, перехват сеанса и постоянный доступ к внутренней сети. Эта система представляет высокий риск для таких секторов, как правительственные учреждения, образовательные учреждения и организации, связанные с азартными играми, особенно в регионах, которые, вероятно, будут рассматриваться как цели операций китайской разведки.
Чтобы обнаружить активность PeckBirdy, организациям следует отслеживать исходящие подключения, инициированные mshta.exe и другие скриптовые хосты, обращая внимание на параметры командной строки для выявления признаков выполнения JScript и использования ActiveXObject. Аномальные Веб-куки с префиксом "Hm_lvt_" в контекстах, где такая аналитика обычно не используется, также должны вызывать предупреждения о потенциальных вторжениях. Поскольку эта структура подчеркивает продвинутую адаптацию тактики living-off-the-land, ее присутствие подчеркивает текущие проблемы в области защиты кибербезопасности и реагирования на инциденты.
#ParsedReport #CompletenessHigh
29-01-2026
Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic
https://blog.sekoia.io/meet-iclickfix-a-widespread-wordpress-targeting-framework-using-the-clickfix-tactic/
Report completeness: High
Actors/Campaigns:
Evalusion
Threats:
Iclickfix_tool
Clickfix_technique
Netsupportmanager_rat
Emmenhtal
Xfiles_stealer
Clearfake
Watering_hole_technique
Industry:
Healthcare, Energy, Telco, Government, Financial
Geo:
Ghana
IOCs:
Url: 10
File: 5
Domain: 82
Command: 4
Hash: 15
IP: 3
Soft:
WordPress, Cloudflare Turnstile
Algorithms:
base64, sha256
Functions:
getFaviconPath
Languages:
javascript, php, powershell
YARA: Found
Links:
29-01-2026
Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic
https://blog.sekoia.io/meet-iclickfix-a-widespread-wordpress-targeting-framework-using-the-clickfix-tactic/
Report completeness: High
Actors/Campaigns:
Evalusion
Threats:
Iclickfix_tool
Clickfix_technique
Netsupportmanager_rat
Emmenhtal
Xfiles_stealer
Clearfake
Watering_hole_technique
Industry:
Healthcare, Energy, Telco, Government, Financial
Geo:
Ghana
IOCs:
Url: 10
File: 5
Domain: 82
Command: 4
Hash: 15
IP: 3
Soft:
WordPress, Cloudflare Turnstile
Algorithms:
base64, sha256
Functions:
getFaviconPath
Languages:
javascript, php, powershell
YARA: Found
Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/iclickfix/Sekoia.io Blog
Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic
Uncover IClickFix: a malicious framework exploiting the ClickFix tactic in widespread malware campaigns to deliver NetSupport RAT.