#ParsedReport #CompletenessLow
30-01-2026

Vishing for Access: Tracking the Expansion of ShinyHunters-Branded SaaS Data Theft

https://cloud.google.com/blog/topics/threat-intelligence/expansion-shinyhunters-saas-data-theft/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: information_theft)
Unc6240

Threats:
Credential_harvesting_technique
Residential_proxy_technique
Nsocks_tool

Victims:
Corporate environments, Cloud saas users, Salesforce users, Cryptocurrency related entities

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1090, T1530, T1556.006, T1566.002, T1566.003, T1583.001, T1650, T1651, have more...

IOCs:
IP: 19
Email: 2
File: 4

Soft:
Salesforce, Slack, Microsoft Office, Chrome, Mac OS, Gmail, Outlook, OFFICE_365

Languages:
powershell

Platforms:
apple, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mandiant сообщает об активизации тактики вишинга со стороны хакерских группировок UNC6661 и UNC6671, уделяющих особое внимание сбору учетных записей для доступа к конфиденциальным корпоративным данным из приложений SaaS. UNC6661 использует сайты фишинга, имитирующие корпоративный брендинг, в то время как UNC6671 использует аналогичную тактику, в частности, захватывает учетные данные Okta и использует PowerShell для извлечения данных из SharePoint и OneDrive. Такая эволюция тактики сигнализирует о стратегическом сдвиге в сторону ориентации на более широкий спектр облачных платформ и установления отношений для дальнейшего использования.
-----

Компания Mandiant сообщила о значительном росте активности злоумышленников, связанных с брендом ShinyHunters, уделяя особое внимание сложным методам вымогательства и использованию веб-сайтов для сбора учетных записей для проникновения в корпоративную среду. Основной целью этих операций является получение доступа к конфиденциальным корпоративным данным, в частности, из облачных приложений "программное обеспечение как услуга" (SaaS), которые злоумышленники впоследствии извлекают для целей вымогательства.

Группа угроз UNC6661 была активна с начала по середину января 2026 года, выдавая себя за ИТ-персонал, чтобы манипулировать сотрудниками, заставляя их предоставлять свои учетные данные для единого входа (SSO) и коды Многофакторной аутентификации (MFA). Это было достигнуто путем направления жертв на сайты фишинга, которые копировали фирменный стиль их организаций. Домены для фишинга, связанные с UNC6661, обычно следовали шаблону именования, такому как companynamesso.com или companynameinternal.com , будучи зарегистрированным в NICENIC.

Другая группа, идентифицированная как UNC6671, примерно в то же время начала свои собственные операции по вымогательству, также выдавая себя за ИТ-персонал и направляя сотрудников на аналогичные сайты по сбору учетных записей. Однако домены, связанные с UNC6671, чаще регистрировались через Tucows. Примечательно, что UNC6671 успешно захватил учетные данные учетной записи Okta и использовал PowerShell для извлечения конфиденциальных данных из таких служб, как SharePoint и OneDrive. Их тактика также включала в себя небрендированные сообщения о вымогательстве и преследование сотрудников-жертв, что наводит на мысль об отдельном операционном идентификаторе от UNC6661.

Это действие согласуется с предыдущими операциями, связанными с UNC6240, где для первоначального доступа использовались методы вымогательства, в частности, нацеленные на данные из Salesforce. Текущие тенденции указывают на эволюцию ландшафта угроз, поскольку эти акторы расширяют сферу своей деятельности, нацеливаясь на более широкий спектр облачных платформ. Этот сдвиг не только отражает желание получить доступ к более конфиденциальным данным, но и подразумевает стратегический шаг акторов по установлению отношений с потенциальными жертвами, что открывает дополнительные возможности для эксплуатации.

Домены для фишинга, часто используемые в этой кампании, предназначены для того, чтобы выдавать себя за законные корпоративные порталы, что увеличивает риск кражи учетных данных. Поскольку злоумышленники используют коммерческие VPN и прокси-сервисы для маскировки своих операций, организациям рекомендуется подходить к этим показателям с осторожностью, уделяя особое внимание поиску нацеленных объектов и усилиям по корреляции, а не широкомасштабной блокировке. Выводы Mandiant подчеркивают необходимость бдительности и усиленных мер безопасности для защиты от этих эволюционирующих тактик вымогательства, которые отдают приоритет краже учетных данных для доступа к корпоративным системам.

#ParsedReport #CompletenessLow
30-01-2026

CVE-2026-24858: Patch Released for Fortinet FortiOS SSO Authentication Bypass

https://socradar.io/blog/cve-2026-24858-fortinet-fortios-sso-patch/

Report completeness: Low

Victims:
Fortinet customers, Federal civilian executive branch agencies

Industry:
Government

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)

CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
- fortinet fortios (le7.0.18, le7.2.12, <7.4.11, <7.6.6)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1098, T1190, T1556

IOCs:
IP: 10

Soft:
Fortinet FortiOS, Active Directory, Microsoft Office, Microsoft Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-24858 - критическая уязвимость для обхода аутентификации в FortiOS от Fortinet, воздействие на устройства, использующие единый вход FortiCloud, с оценкой CVSS 9,4. Злоумышленники, контролирующие учетную запись FortiCloud, могут получить несанкционированный административный доступ к устройствам других клиентов, и недавние инциденты подтвердили активное использование с помощью вредоносных учетных записей. CISA США добавила этот CVE в свой каталог KEV, подчеркивая настоятельную необходимость устранения этой уязвимости организациями.
-----

CVE-2026-24858 - это серьезная уязвимость для обхода аутентификации, затрагивающая FortiOS в Fortinet и связанные с ними платформы управления, когда включен единый вход в FortiCloud (SSO). Ему был присвоен высокий балл CVSS - 9,4, что указывает на его критический характер. Уязвимость позволяет злоумышленникам, контролирующим учетную запись FortiCloud и зарегистрированное устройство, проходить аутентификацию на устройствах других клиентов без действительной аутентификации, тем самым предоставляя им административный доступ.

Недавние инциденты подтвердили активное использование этой уязвимости, когда злоумышленники обнаружили неизвестный вектор атаки для входа в систему через единый вход FortiCloud. Эта эксплуатация была прослежена до двух вредоносных учетных записей FortiCloud, которые с тех пор были отключены. В ответ на подтвержденную эксплуатацию Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) добавило CVE-2026-24858 в свой каталог известных эксплуатируемых уязвимостей (KEV). Это назначение обязывает федеральные гражданские органы исполнительной власти устранить уязвимость к 30 января 2026 года, подчеркивая ее срочность и потенциальное воздействие.

Чтобы снизить риск, связанный с CVE-2026-24858, организациям настоятельно рекомендуется немедленно перейти на последние исправленные версии программного обеспечения Fortinet. Они также должны провести аудит своих учетных записей администраторов, чтобы выявить и удалить любые несанкционированные записи, а также просмотреть конфигурации на предмет неожиданных изменений, особенно в настройках VPN и удаленного доступа. Кроме того, рекомендуется чередовать учетные данные, подключенные к уязвимым устройствам. Если какие-либо признаки компрометации подтвердятся, рекомендуется рассматривать затронутые системы как скомпрометированные.

В не связанной с этим заметке Microsoft раскрыла отдельную уязвимость zero-day в своем пакете Office, отслеживаемую как CVE-2026-21509, которая имеет оценку CVSS 7,8, и также подтверждено, что она активно использовалась на момент ее раскрытия. Организациям следует сохранять бдительность и своевременно применять исправления для обеих уязвимостей, чтобы защитить свои системы от потенциальной эксплуатации.

#ParsedReport #CompletenessLow
29-01-2026

Matanbuchus Malware Downloader Evading AV Detections by Changing Components

https://cybersecuritynews.com/matanbuchus-malware-downloader-evading-av-detections/

Report completeness: Low

Threats:
Matanbuchus_maas
Msi_loader

ChatGPT TTPs:
do not use without manual check
T1027, T1562, T1587

IOCs:
Url: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Matanbuchus, загрузчик вредоносного ПО, вновь появился с усовершенствованной тактикой уклонения, направленной на обход обнаружения антивирусом. Злоумышленники постоянно модифицируют компоненты загрузчика и форматы конфигурации, используя различные методы запутывания для повышения эффективности и закрепления вредоносного ПО. Такая адаптивность усложняет усилия систем безопасности по выявлению и смягчению последствий, значительно увеличивая потенциальное воздействие вредоносного ПО на нацеленные инфраструктуры.
-----

Matanbuchus, загрузчик вредоносного ПО, вновь появился на рынке киберугроз, используя усовершенствованную тактику, направленную на уклонение от обнаружения антивирусными системами. Злоумышленники, стоящие за Matanbuchus, приняли стратегию, которая предполагает частое изменение компонентов загрузчика, форматов конфигурации и применение различных методов запутывания, чтобы затруднить усилия по обнаружению.

Такая адаптивность является критическим фактором, повышающим эффективность вредоносного ПО, усложняя системам безопасности задачу выявления и устранения угрозы. Постоянно модифицируя свои компоненты, Matanbuchus не только обеспечивает их закрепление, но и увеличивает их потенциальное воздействие на системы, на которые они нацелены. Дизайн вредоносного ПО делает упор на уклонение, что создает значительные проблемы для мер кибербезопасности, направленных на выявление таких угроз.

#ParsedReport #CompletenessHigh
30-01-2026

PlayCloak: A Play StoreDistributed Travel Utility Covertly Operating as a Financial Fraud and Cybercrime Platform

https://www.cyfirma.com/research/playcloak-a-play-store-distributed-travel-utility-covertly-operating-as-a-financial-fraud-and-cybercrime-platform/

Report completeness: High

Actors/Campaigns:
Hicas_fraud

Threats:
Cloaking_technique

Victims:
Consumers, Financial services users

Industry:
E-commerce, Financial

Geo:
Chinese, Hong kong, Indian, India

TTPs:
Tactics: 8
Technics: 15

IOCs:
Domain: 1
Hash: 1
Url: 2

Soft:
Android, Google Play

Algorithms:
sha256, xor

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Приложение Hicas позиционирует себя как туристическая утилита, но работает как мошенническая кредитная платформа, ориентированная в первую очередь на пользователей в Индии, манипулируя региональным поведением и используя вводящий в заблуждение интерфейс. Он использует Google Play Store для распространения и реализует удаленные файлы конфигурации для изменения своих функциональных возможностей, включая динамический рабочий процесс кредитования через WebView. Основные вредоносные методы включают агрессивные запросы разрешений, сбор контактов, психологические манипуляции для обеспечения соответствия требованиям и использование Firebase Cloud Messaging для принудительных уведомлений.
-----

Было обнаружено, что Android-приложение Hicas, позиционируемое как туристическая утилита, работает как мошенническая кредитная платформа, ориентированная в первую очередь на пользователей в Индии и предоставляющая обманчивые функциональные возможности пользователям, не являющимся гражданами Индии. Приложение доступно в Google Play Store под названием com.apptool.hicash.newhicash, и, хотя оно продвигает функции, связанные с путешествиями, оно использует манипуляции с поведением на основе региона для предоставления услуги кредитования на индийских устройствах.

Ключевые технические возможности приложения Hicas включают в себя злоупотребление Google Play Store для широкого распространения, использование удаленных конфигурационных файлов, которые позволяют изменять его операционную логику в режиме реального времени без необходимости обновлений. Приложение динамически обслуживает полный рабочий процесс получения кредита через удаленный WebView, что облегчает внесение изменений в пользовательские интерфейсы после установки и принудительное отправление сообщений, связанных с погашением кредита. Он содержит ряд психологически манипулирующих элементов пользовательского интерфейса, таких как подсказки о срочности, крайние сроки погашения и вводящее в заблуждение увеличение лимитов заимствований, призванное заставить пользователей соблюдать требования. Кроме того, приложение проводит сбор контактов, собирая пользовательские данные для потенциальной эксплуатации и домогательств.

Приложение запрашивает чрезмерные разрешения, связанные с контактами, доступом к камере и местоположением — ни одно из этих разрешений не является оправданным в рамках законного приложения для путешествий. Его работа еще больше осложняется агрессивными методами запутывания и расшифровки строк во время выполнения, разработанными для того, чтобы скрыть его вредоносные намерения от инструментов статического анализа. Использование Firebase Cloud Messaging обеспечивает динамическую доставку контента, позволяя операторам оказывать давление на пользователей посредством своевременных уведомлений.

Hicas демонстрирует многочисленные "красные флажки", указывающие на злой умысел, включая ложную классификацию как приложения для путешествий, а не как услуги по предоставлению займов, отсутствие информации о лицензированном кредитном органе, выборочную активацию функций в зависимости от региона пользователя и использование агрессивной психологической тактики, которая нарушала бы нормы для законных заявок на получение займов. Таким образом, хотя изначально он позиционировался как доброжелательный помощник в путешествиях, со временем выяснилось, что его истинная функциональность вплетена в принудительные финансовые методы.

Ландшафт внешних угроз включает в себя оффшорные рекламные кампании, происхождение которых связано с гонконгской организацией, которая использует Социальные сети, чтобы заманить индийских потребителей в эту мошенническую кредитную экосистему. В целом, приложение Hicas представляет собой серьезную угрозу безопасности для пользователей, не подозревающих о его истинной природе, умело замаскированную за фасадом законной полезности.

#ParsedReport #CompletenessMedium
29-01-2026

RedKitten: AI-accelerated campaign targeting Iranian protests

https://harfanglab.io/insidethelab/redkitten-ai-accelerated-campaign-targeting-iranian-protests/

Report completeness: Medium

Actors/Campaigns:
Redkitten
Irgc
Tortoiseshell
Charming_kitten
Muddywater

Threats:
Sloppymio
Dead_drop_technique
Steganography_technique
Drokbk

Victims:
Protest movements in iran, Civil society

Industry:
Ngo, Government, Healthcare

Geo:
Tehran, Netherlands, Pacific, Iran, Israel, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036.005, T1041, T1059.005, T1082, T1102, T1105, T1204.002, T1566.001, have more...

IOCs:
Hash: 13
File: 10
Path: 7
Email: 1

Soft:
Telegram

Algorithms:
base64, sha256, zip, xor

Functions:
Run, TaskScheduler

Win Services:
bits

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR260101

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания RedKitten нацелена на информацию о протестах 1404 года в Иране, используя архив 7z, содержащий файлы Excel с макросами VBA, которые удаляют C#-имплантат под названием SloppyMIO. Этот имплантат использует Стеганографию с наименьшими значащими битами (LSB), чтобы скрыть свою конфигурацию на изображениях, и взаимодействует с Telegram-ботом, получая модули с таких платформ, как Google Drive. Связанная с иранским государственным актором "Yellow Liderc", эта кампания является примером тактики, соответствующей предыдущим кибероперациям, спонсируемым государством.
-----

Кампания RedKitten - это кибероперация с использованием искусственного интеллекта для сбора информации о протестах 1404 года в Иране. Иранское правительство отключило Интернет, чтобы скрыть документацию о нарушениях прав человека во время этих протестов, столкнувшись с внешним давлением, особенно со стороны США. Вектор заражения кампании начинается с архива 7z, названного на фарси, предположительно содержащего судебно-медицинские файлы, документирующие события в Тегеране.

Каждый файл Excel в архиве содержит макрос VBA, функционирующий как дроппер для C#-имплантата, известного как SloppyMIO. При выполнении макрос извлекает и компилирует исходный код C# вместе с .Файлы конфигурации сетевого приложения, хранящиеся в пользовательских XML-частях документа. Этот исходный код сохраняется во временном файле на компьютере жертвы. Сам имплантат не компилируется детерминированно, что приводит к созданию уникальных двоичных файлов для каждого развертывания.

SloppyMIO использует Стеганографию по младшему разряду (LSB), чтобы скрыть свои конфигурационные данные в изображениях. Он проверяет размер изображения, затем использует значения пикселей по каналам RGB для кодирования потока битов, облегчая извлечение рабочих параметров из внешнего хранилища. Имплантат может выполнять различные модули, полученные из таких сервисов, как Google Drive, и сообщает о своем онлайн-статусе через Telegram-бота в специальный чат.

Злоумышленник использует законные платформы, включая Google Диск для размещения модулей вредоносного ПО, GitHub для разрешения Dead Drop и Telegram для управления. Анализ выявил множество конфигураций, встроенных в изображения, сгенерированные искусственным интеллектом, и различные Telegram-боты, управляемые аккаунтами, в основном на фарси. Примечательно, что многие образцы были загружены из Нидерландов, что вызывает вопросы о намерениях загрузчика.

Атрибуция предполагает тесную связь с злоумышленником, связанным с иранским государством, известным как "Yellow Liderc", который в прошлом применял аналогичную тактику, включая использование вредоносных документов Excel для развертывания.СЕТЕВОЕ вредоносное ПО. Инфраструктура вредоносного ПО и использование тем, связанных с нарушением прав человека, перекликаются с предыдущими моделями таргетинга этой группы. В целом, RedKitten является примером высокоадаптивной кампании, использующей социальные потрясения на стыке технологий и спонсируемой государством кибердеятельности.

#ParsedReport #CompletenessLow
28-01-2026

ErrTraffic Under the Hood: A look at the source code

https://ctrlaltintel.com/threat%20research/ErrTraffic/

Report completeness: Low

Threats:
Errtraffic
Clickfix_technique
Aeternum

Victims:
Websites, Malware distribution operations

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1505.003, T1552.001, T1565.001, T1584

IOCs:
File: 31
Url: 19

Soft:
MacOS, Android, Linux, , MySQL

Algorithms:
zip, md5

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ErrTraffic - это мультиплатформенная Система распределения трафика, используемая злоумышленниками для распространения вредоносного ПО через JavaScript на скомпрометированных сайтах, отличающаяся критическими уязвимостями и недостатками дизайна. Примечательно, что в системе отсутствует проверка загрузки файлов на стороне сервера, что позволяет администраторам заменять существующие полезные файлы вредоносными PHP-файлами. Кроме того, он уязвим для атак с обходом пути, что позволяет злоумышленникам выполнять удаленный код и потенциально манипулировать обновлениями JavaScript на уязвимых сайтах, увеличивая риск несанкционированного доступа и эксплуатации.
-----

ErrTraffic - это мультиплатформенная Система распределения трафика (TDS), используемая злоумышленниками для развертывания кликающих приманок, которые размещают вредоносное ПО с помощью внешнего JavaScript на скомпрометированных или враждебных веб-сайтах. Недавние исследования системы ErrTraffic выявили несколько критических уязвимостей и конструктивных недостатков.

Анализ показывает, что создание ErrTraffic, по-видимому, связано с разработкой с помощью искусственного интеллекта, как предполагает псевдоним разработчика "LenAI". Примечательно, что в ErrTraffic отсутствуют необходимые меры безопасности, что приводит к значительным рискам несанкционированного доступа и эксплуатации. Сведения о конфигурации системы, включая учетные данные базы данных, хранятся в файле конфигурации, расположенном по адресу /panel/config/config.php , и пользователи предоставляют эти сведения в процессе настройки с помощью /install.php . Это указывает на потенциальный вектор уязвимости, если файл защищен ненадлежащим образом.

В частности, было обнаружено, что в ErrTraffic версии 2 отсутствует проверка загруженных файлов на стороне сервера, что позволяет злоумышленникам напрямую загружать вредоносные PHP-файлы. Это отсутствие ограничений распространяется и на конечную точку замены файла (update_file.php ), позволяющий прошедшему проверку подлинности администратору заменить существующую полезную нагрузку совершенно другим файлом, включая исполняемые PHP-файлы, без прохождения каких-либо проверок достоверности. Эти уязвимости создают возможности для злоумышленников повысить свои привилегии в системе, демонстрируя нарушенные механизмы контроля доступа.

В дополнение к уязвимостям при загрузке файлов, приложение страдает от проблем с обходом пути, что позволяет злоумышленникам использовать механизм загрузки файлов для выполнения удаленного кода. При загрузке Вредоносных файлов соответствующие пути и хэши отображаются в базе данных MySQL, несмотря на фактические файлы, находящиеся на веб-сервере, что увеличивает риски, связанные с несанкционированным доступом.

Кроме того, вызывает беспокойство функциональность, позволяющая обновлять JavaScript. Хотя в этой функции не было выявлено критических уязвимостей, было отмечено, что потенциально вредоносные обновления могут быть внесены в JavaScript, запущенный на скомпрометированных сайтах. Если злоумышленник получит контроль над панелью ErrTraffic, он сможет использовать эту возможность для манипулирования впечатлениями посетителей на скомпрометированных сайтах.

#ParsedReport #CompletenessLow
01-02-2026

INPS-themed smishing: CUD data and employment information also end up in the crosshairs

https://cert-agid.gov.it/news/smishing-a-tema-inps-finiscono-nel-mirino-anche-i-dati-del-cud-e-le-informazioni-lavorative/

Report completeness: Low

Threats:
Smishing_technique

Victims:
Individuals

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1583.001, T1589

IOCs:
Domain: 1
Url: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4