#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Matanbuchus, загрузчик вредоносного ПО, вновь появился с усовершенствованной тактикой уклонения, направленной на обход обнаружения антивирусом. Злоумышленники постоянно модифицируют компоненты загрузчика и форматы конфигурации, используя различные методы запутывания для повышения эффективности и закрепления вредоносного ПО. Такая адаптивность усложняет усилия систем безопасности по выявлению и смягчению последствий, значительно увеличивая потенциальное воздействие вредоносного ПО на нацеленные инфраструктуры.
-----

Matanbuchus, загрузчик вредоносного ПО, вновь появился на рынке киберугроз, используя усовершенствованную тактику, направленную на уклонение от обнаружения антивирусными системами. Злоумышленники, стоящие за Matanbuchus, приняли стратегию, которая предполагает частое изменение компонентов загрузчика, форматов конфигурации и применение различных методов запутывания, чтобы затруднить усилия по обнаружению.

Такая адаптивность является критическим фактором, повышающим эффективность вредоносного ПО, усложняя системам безопасности задачу выявления и устранения угрозы. Постоянно модифицируя свои компоненты, Matanbuchus не только обеспечивает их закрепление, но и увеличивает их потенциальное воздействие на системы, на которые они нацелены. Дизайн вредоносного ПО делает упор на уклонение, что создает значительные проблемы для мер кибербезопасности, направленных на выявление таких угроз.

#ParsedReport #CompletenessHigh
30-01-2026

PlayCloak: A Play StoreDistributed Travel Utility Covertly Operating as a Financial Fraud and Cybercrime Platform

https://www.cyfirma.com/research/playcloak-a-play-store-distributed-travel-utility-covertly-operating-as-a-financial-fraud-and-cybercrime-platform/

Report completeness: High

Actors/Campaigns:
Hicas_fraud

Threats:
Cloaking_technique

Victims:
Consumers, Financial services users

Industry:
E-commerce, Financial

Geo:
Chinese, Hong kong, Indian, India

TTPs:
Tactics: 8
Technics: 15

IOCs:
Domain: 1
Hash: 1
Url: 2

Soft:
Android, Google Play

Algorithms:
sha256, xor

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Приложение Hicas позиционирует себя как туристическая утилита, но работает как мошенническая кредитная платформа, ориентированная в первую очередь на пользователей в Индии, манипулируя региональным поведением и используя вводящий в заблуждение интерфейс. Он использует Google Play Store для распространения и реализует удаленные файлы конфигурации для изменения своих функциональных возможностей, включая динамический рабочий процесс кредитования через WebView. Основные вредоносные методы включают агрессивные запросы разрешений, сбор контактов, психологические манипуляции для обеспечения соответствия требованиям и использование Firebase Cloud Messaging для принудительных уведомлений.
-----

Было обнаружено, что Android-приложение Hicas, позиционируемое как туристическая утилита, работает как мошенническая кредитная платформа, ориентированная в первую очередь на пользователей в Индии и предоставляющая обманчивые функциональные возможности пользователям, не являющимся гражданами Индии. Приложение доступно в Google Play Store под названием com.apptool.hicash.newhicash, и, хотя оно продвигает функции, связанные с путешествиями, оно использует манипуляции с поведением на основе региона для предоставления услуги кредитования на индийских устройствах.

Ключевые технические возможности приложения Hicas включают в себя злоупотребление Google Play Store для широкого распространения, использование удаленных конфигурационных файлов, которые позволяют изменять его операционную логику в режиме реального времени без необходимости обновлений. Приложение динамически обслуживает полный рабочий процесс получения кредита через удаленный WebView, что облегчает внесение изменений в пользовательские интерфейсы после установки и принудительное отправление сообщений, связанных с погашением кредита. Он содержит ряд психологически манипулирующих элементов пользовательского интерфейса, таких как подсказки о срочности, крайние сроки погашения и вводящее в заблуждение увеличение лимитов заимствований, призванное заставить пользователей соблюдать требования. Кроме того, приложение проводит сбор контактов, собирая пользовательские данные для потенциальной эксплуатации и домогательств.

Приложение запрашивает чрезмерные разрешения, связанные с контактами, доступом к камере и местоположением — ни одно из этих разрешений не является оправданным в рамках законного приложения для путешествий. Его работа еще больше осложняется агрессивными методами запутывания и расшифровки строк во время выполнения, разработанными для того, чтобы скрыть его вредоносные намерения от инструментов статического анализа. Использование Firebase Cloud Messaging обеспечивает динамическую доставку контента, позволяя операторам оказывать давление на пользователей посредством своевременных уведомлений.

Hicas демонстрирует многочисленные "красные флажки", указывающие на злой умысел, включая ложную классификацию как приложения для путешествий, а не как услуги по предоставлению займов, отсутствие информации о лицензированном кредитном органе, выборочную активацию функций в зависимости от региона пользователя и использование агрессивной психологической тактики, которая нарушала бы нормы для законных заявок на получение займов. Таким образом, хотя изначально он позиционировался как доброжелательный помощник в путешествиях, со временем выяснилось, что его истинная функциональность вплетена в принудительные финансовые методы.

Ландшафт внешних угроз включает в себя оффшорные рекламные кампании, происхождение которых связано с гонконгской организацией, которая использует Социальные сети, чтобы заманить индийских потребителей в эту мошенническую кредитную экосистему. В целом, приложение Hicas представляет собой серьезную угрозу безопасности для пользователей, не подозревающих о его истинной природе, умело замаскированную за фасадом законной полезности.

#ParsedReport #CompletenessMedium
29-01-2026

RedKitten: AI-accelerated campaign targeting Iranian protests

https://harfanglab.io/insidethelab/redkitten-ai-accelerated-campaign-targeting-iranian-protests/

Report completeness: Medium

Actors/Campaigns:
Redkitten
Irgc
Tortoiseshell
Charming_kitten
Muddywater

Threats:
Sloppymio
Dead_drop_technique
Steganography_technique
Drokbk

Victims:
Protest movements in iran, Civil society

Industry:
Ngo, Government, Healthcare

Geo:
Tehran, Netherlands, Pacific, Iran, Israel, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036.005, T1041, T1059.005, T1082, T1102, T1105, T1204.002, T1566.001, have more...

IOCs:
Hash: 13
File: 10
Path: 7
Email: 1

Soft:
Telegram

Algorithms:
base64, sha256, zip, xor

Functions:
Run, TaskScheduler

Win Services:
bits

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR260101

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания RedKitten нацелена на информацию о протестах 1404 года в Иране, используя архив 7z, содержащий файлы Excel с макросами VBA, которые удаляют C#-имплантат под названием SloppyMIO. Этот имплантат использует Стеганографию с наименьшими значащими битами (LSB), чтобы скрыть свою конфигурацию на изображениях, и взаимодействует с Telegram-ботом, получая модули с таких платформ, как Google Drive. Связанная с иранским государственным актором "Yellow Liderc", эта кампания является примером тактики, соответствующей предыдущим кибероперациям, спонсируемым государством.
-----

Кампания RedKitten - это кибероперация с использованием искусственного интеллекта для сбора информации о протестах 1404 года в Иране. Иранское правительство отключило Интернет, чтобы скрыть документацию о нарушениях прав человека во время этих протестов, столкнувшись с внешним давлением, особенно со стороны США. Вектор заражения кампании начинается с архива 7z, названного на фарси, предположительно содержащего судебно-медицинские файлы, документирующие события в Тегеране.

Каждый файл Excel в архиве содержит макрос VBA, функционирующий как дроппер для C#-имплантата, известного как SloppyMIO. При выполнении макрос извлекает и компилирует исходный код C# вместе с .Файлы конфигурации сетевого приложения, хранящиеся в пользовательских XML-частях документа. Этот исходный код сохраняется во временном файле на компьютере жертвы. Сам имплантат не компилируется детерминированно, что приводит к созданию уникальных двоичных файлов для каждого развертывания.

SloppyMIO использует Стеганографию по младшему разряду (LSB), чтобы скрыть свои конфигурационные данные в изображениях. Он проверяет размер изображения, затем использует значения пикселей по каналам RGB для кодирования потока битов, облегчая извлечение рабочих параметров из внешнего хранилища. Имплантат может выполнять различные модули, полученные из таких сервисов, как Google Drive, и сообщает о своем онлайн-статусе через Telegram-бота в специальный чат.

Злоумышленник использует законные платформы, включая Google Диск для размещения модулей вредоносного ПО, GitHub для разрешения Dead Drop и Telegram для управления. Анализ выявил множество конфигураций, встроенных в изображения, сгенерированные искусственным интеллектом, и различные Telegram-боты, управляемые аккаунтами, в основном на фарси. Примечательно, что многие образцы были загружены из Нидерландов, что вызывает вопросы о намерениях загрузчика.

Атрибуция предполагает тесную связь с злоумышленником, связанным с иранским государством, известным как "Yellow Liderc", который в прошлом применял аналогичную тактику, включая использование вредоносных документов Excel для развертывания.СЕТЕВОЕ вредоносное ПО. Инфраструктура вредоносного ПО и использование тем, связанных с нарушением прав человека, перекликаются с предыдущими моделями таргетинга этой группы. В целом, RedKitten является примером высокоадаптивной кампании, использующей социальные потрясения на стыке технологий и спонсируемой государством кибердеятельности.

#ParsedReport #CompletenessLow
28-01-2026

ErrTraffic Under the Hood: A look at the source code

https://ctrlaltintel.com/threat%20research/ErrTraffic/

Report completeness: Low

Threats:
Errtraffic
Clickfix_technique
Aeternum

Victims:
Websites, Malware distribution operations

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1505.003, T1552.001, T1565.001, T1584

IOCs:
File: 31
Url: 19

Soft:
MacOS, Android, Linux, , MySQL

Algorithms:
zip, md5

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ErrTraffic - это мультиплатформенная Система распределения трафика, используемая злоумышленниками для распространения вредоносного ПО через JavaScript на скомпрометированных сайтах, отличающаяся критическими уязвимостями и недостатками дизайна. Примечательно, что в системе отсутствует проверка загрузки файлов на стороне сервера, что позволяет администраторам заменять существующие полезные файлы вредоносными PHP-файлами. Кроме того, он уязвим для атак с обходом пути, что позволяет злоумышленникам выполнять удаленный код и потенциально манипулировать обновлениями JavaScript на уязвимых сайтах, увеличивая риск несанкционированного доступа и эксплуатации.
-----

ErrTraffic - это мультиплатформенная Система распределения трафика (TDS), используемая злоумышленниками для развертывания кликающих приманок, которые размещают вредоносное ПО с помощью внешнего JavaScript на скомпрометированных или враждебных веб-сайтах. Недавние исследования системы ErrTraffic выявили несколько критических уязвимостей и конструктивных недостатков.

Анализ показывает, что создание ErrTraffic, по-видимому, связано с разработкой с помощью искусственного интеллекта, как предполагает псевдоним разработчика "LenAI". Примечательно, что в ErrTraffic отсутствуют необходимые меры безопасности, что приводит к значительным рискам несанкционированного доступа и эксплуатации. Сведения о конфигурации системы, включая учетные данные базы данных, хранятся в файле конфигурации, расположенном по адресу /panel/config/config.php , и пользователи предоставляют эти сведения в процессе настройки с помощью /install.php . Это указывает на потенциальный вектор уязвимости, если файл защищен ненадлежащим образом.

В частности, было обнаружено, что в ErrTraffic версии 2 отсутствует проверка загруженных файлов на стороне сервера, что позволяет злоумышленникам напрямую загружать вредоносные PHP-файлы. Это отсутствие ограничений распространяется и на конечную точку замены файла (update_file.php ), позволяющий прошедшему проверку подлинности администратору заменить существующую полезную нагрузку совершенно другим файлом, включая исполняемые PHP-файлы, без прохождения каких-либо проверок достоверности. Эти уязвимости создают возможности для злоумышленников повысить свои привилегии в системе, демонстрируя нарушенные механизмы контроля доступа.

В дополнение к уязвимостям при загрузке файлов, приложение страдает от проблем с обходом пути, что позволяет злоумышленникам использовать механизм загрузки файлов для выполнения удаленного кода. При загрузке Вредоносных файлов соответствующие пути и хэши отображаются в базе данных MySQL, несмотря на фактические файлы, находящиеся на веб-сервере, что увеличивает риски, связанные с несанкционированным доступом.

Кроме того, вызывает беспокойство функциональность, позволяющая обновлять JavaScript. Хотя в этой функции не было выявлено критических уязвимостей, было отмечено, что потенциально вредоносные обновления могут быть внесены в JavaScript, запущенный на скомпрометированных сайтах. Если злоумышленник получит контроль над панелью ErrTraffic, он сможет использовать эту возможность для манипулирования впечатлениями посетителей на скомпрометированных сайтах.

#ParsedReport #CompletenessLow
01-02-2026

INPS-themed smishing: CUD data and employment information also end up in the crosshairs

https://cert-agid.gov.it/news/smishing-a-tema-inps-finiscono-nel-mirino-anche-i-dati-del-cud-e-le-informazioni-lavorative/

Report completeness: Low

Threats:
Smishing_technique

Victims:
Individuals

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1583.001, T1589

IOCs:
Domain: 1
Url: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания, выявленная CERT-AGID, включает в себя smishing-атаки с использованием логотипа INPS, чтобы обманом заставить людей поделиться личными документами и конфиденциальной информацией. Злоумышленники стремятся собрать подробные персональные данные, потенциально для мошеннических действий, таких как несанкционированное банковское финансирование или займы, и стратегически нацелены на работающих лиц с более высоким доходом для получения максимальной выгоды. Этот инцидент высвечивает уязвимости в управлении персональными данными и риски, связанные с тактикой социальной инженерии в киберпреступности.
-----

Недавняя киберкампания, выявленная CERT-AGID, включает попытки smishing, связанные с INPS, итальянским национальным институтом социального обеспечения. В этой вредоносной деятельности используются название и логотип INPS, чтобы обманом заставить жертв предоставить личные документы и конфиденциальные данные. Кампания основана на теме "государственных выплат", что указывает на нацеленный подход к лицам, которые могут иметь право на получение государственных пособий.

Злонамеренные акторы, стоящие за этой кампанией, по-видимому, преследуют различные цели. Одна из возможностей заключается в том, что они стремятся собрать исчерпывающую личную информацию для содействия дальнейшим мошенническим действиям, таким как банковское финансирование или заявки на получение кредита. Такие данные могли бы позволить злоумышленникам создавать более убедительные профили жертв, тем самым повышая их способность успешно осуществлять более крупные схемы мошенничества. Более того, нацеливание на лиц со стабильной занятостью и более высокими доходами предполагает стратегический процесс отбора, направленный на максимизацию потенциальной денежной выгоды от таких атак.

В ответ на эту угрозу правоохранительные органы принимают меры по смягчению воздействия кампании. Эти действия включают в себя закрытие связанного с вредоносным доменом домена и распространение индикаторов компрометации среди государственных администраций, чтобы помочь в выявлении и защите от этой угрозы. Кампания подчеркивает уязвимости, присутствующие при обработке персональных данных, и сохраняющиеся риски, связанные с тактикой социальной инженерии в киберпреступности.

#ParsedReport #CompletenessHigh
30-01-2026

Energy Sector Incident Report 29 December

https://cert.pl/uploads/docs/CERT_Polska_Energy_Sector_Incident_Report_2025.pdf

Report completeness: High

Actors/Campaigns:
Static_tundra
Energeticbear
Sandworm

Threats:
Dynowiper
Lazywiper
Impacket_tool
Nircmd_tool
Rubeus_tool
Rsocx_tool
Advanced-port-scanner_tool
Shadow_copies_delete_technique
Vssadmin_tool
Antidebugging_technique
Arguepatch_loader
Ransomboggs
Prestige_ransomware
Credential_dumping_technique

Victims:
Renewable energy farms, Combined heat and power plant, Manufacturing sector company, Energy sector

Industry:
Energy, Ics

Geo:
Ukraine, Polish, Poland

CVEs:
CVE-2024-2617 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 13
Technics: 49

IOCs:
File: 23
Command: 4
Path: 11
Registry: 2
Hash: 18
IP: 12

Soft:
Linux, Active Directory, PsExec, rsocx, Microsoft Edge, Dropbox, Slack

Algorithms:
sha256, zip, base64, exhibit, des

Functions:
Get-Service, GetDriveType, FindFirstFile, FindNextFile, SetFileAttributesEx, CreateException, WriteRandomBytes, NewGuid

Win API:
GetCurrentProcess, ExitWindowsEx, GetLogicalDrives, CreateFileW, SetFilePointerEx, WriteFile, DeleteFileW

Languages:
powershell

Platforms:
intel, x86

YARA: Found

Links:
https://github.com/b23r0/rsocx
have more...
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На 29 декабря 2025 года Польша столкнулась скоординированных кибератак на энергетическую и обрабатывающей промышленности, в первую очередь, используя уязвимости в FortiGate устройств не хватает многофакторная аутентификация и используя учетные данные учетные данные. Злоумышленники применяют изощренные методы, чтобы скомпрометировать возобновляемой энергетики и ТЭЦ, развертывание стеклоочистителя вредоносное ПО dynowiper необратимых уничтожение данных. Разведка велась с помощью таких инструментов, как nircmd и PsExec, что приводит к распространенным поломкам и удаление важных файлов на разных устройствах.
-----

29 декабря 2025 года Польша столкнулась с скоординированными кибератаками, направленными против энергетического и производственного секторов, в частности объектов возобновляемой энергетики и ТЭЦ. Нападения были направлены на ослабление оперативных возможностей с помощью разрушительных методов, сродни поджогам. Злоумышленники использовали уязвимости в Сетевых устройствах, сосредоточившись на тех, у кого были учетные данные по умолчанию и отсутствовала Многофакторная аутентификация.

По меньшей мере на 30 объектах возобновляемой энергетики были нарушены коммуникации с операторами их распределительных систем (DSO) без прерывания выработки электроэнергии. Злоумышленники в первую очередь воспользовались уязвимостью в устройствах FortiGate, которые действовали как брандмауэры и концентраторы VPN. Несанкционированному доступу способствовало отсутствие Многофакторной аутентификации и повторное использование учетных данных на разных устройствах.

Злоумышленники выполняли команды против контроллеров Hitachi RTUs и Mikronika, используя учетные данные по умолчанию. Контроллеры Mikronika были взломаны через SSH, что привело к критическому Удалению файлов, что привело к их неработоспособности. На устройствах Hitachi важные рабочие файлы были удалены через FTP, что привело к отключениям.

На ТЭЦ использовалось вредоносное ПО wiper, известное как DynoWiper, известное своими возможностями необратимого Уничтожения данных. Он использовал предсказуемый генератор случайных чисел для безвозвратной перезаписи файлов. Вредоносное ПО распространялось через объекты групповой политики в среде Active Directory.

Были очевидны продвинутые методы перемещения внутри компании, когда злоумышленники использовали однородные учетные данные по всей сети. Разведка включала такие инструменты, как nircmd и PsExec для сбора данных в сети. Вредоносные скрипты были установлены на контроллерах домена, что привело к широкомасштабному удалению данных на рабочих станциях и серверах.

Инцидент был атрибутирован с известным кластером злоумышленников, идентифицированным как "Static Tundra" и "Ghost Blizzard". Индикаторами компрометации были использование VPN, Учетные записи по умолчанию и нацеленные скрипты уничтожения, такие как LazyWiper. Этот инцидент подчеркивает острую необходимость обеспечения строгой кибербезопасности при настройке операционных технологий.

#ParsedReport #CompletenessLow
26-01-2026

BEWARE! Suspicious ads appeared in Google search results which contain harmful content for Mac users

https://mackeeper.com/blog/suspicious-ads-on-google-which-contain-harmful-content-for-mac-users/

Report completeness: Low

Actors/Campaigns:
Maccleaner_googlescript

Threats:
Supply_chain_technique

Victims:
Mac users

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 4

Soft:
macOS, curl

Algorithms:
base64

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В результатах поиска Google появились подозрительные рекламные объявления, ориентированные на пользователей Mac, которые приводят к Вредоносным ссылкам, в том числе к одной, направляющей пользователей на скрипты приложений Google, что указывает на использование злоумышленниками надежных платформ. Расследования этих объявлений выявили вводящие в заблуждение комментарии на Medium, которые подтверждали легитимность контента, при этом некоторые пользователи сообщали о загрузке вредоносного ПО после выполнения определенных команд. Это отражает распространенный метод киберугрозы, заключающийся во внедрении вредоносных ссылок в заслуживающие доверия источники с целью поставить под угрозу безопасность пользователей.
-----

Недавнее исследование выявило появление подозрительной рекламы в результатах поиска Google, специально предназначенной для пользователей Mac с потенциально вредоносным контентом. AV-TEST, независимая лаборатория, известная своей оценкой антивирусных приложений на предмет наличия реальных образцов вредоносного ПО, отметила эту рекламу как проблему кибербезопасности.

Рекламные объявления ведут к Вредоносным ссылкам, одна из которых перенаправляет пользователей на скрипты приложений Google. Это подчеркивает тактику, при которой злоумышленники используют надежные платформы Google для расширения своего охвата. Нацеленный контент может содержать инструкции или скрипты, которые могут поставить под угрозу безопасность устройств пользователей.

Кроме того, дальнейшее расследование конкретной рекламы выявило публикацию на Medium, где многочисленные комментарии, по-видимому, вводили в заблуждение относительно легитимности контента. Среди этих комментариев некоторые пользователи отметили, что выполнение определенной команды приводило к загрузке вредоносного ПО на устройство. Этот метод встраивания вредоносных ссылок в кажущиеся заслуживающими доверия источники является распространенным методом, используемым хакерскими группировками для использования доверия пользователей и облегчения распространения вредоносного ПО.

Крайне важно, чтобы пользователи сохраняли бдительность при просмотре результатов поиска и были осторожны при выполнении команд или загрузке файлов из непроверенных источников. Распространение вредоносного контента через надежные платформы подчеркивает продолжающуюся эволюцию киберугроз и важность повышения осведомленности пользователей и мер защиты.

#ParsedReport #CompletenessLow
27-01-2026

How Predator spyware defeats iOS recording indicators

https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/

Report completeness: Low

Actors/Campaigns:
Intellexa
Cytrox

Threats:
Predator_spyware
Process_injection_technique

Victims:
Mobile users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1518.001, T1601, T1620, T1622

IOCs:
Coin: 1
File: 1

Functions:
TestHooker, VoIP, ExtAudioFileWrite, memmem

Languages:
objective_c

Platforms:
apple, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4