#ParsedReport #CompletenessLow
01-02-2026

INPS-themed smishing: CUD data and employment information also end up in the crosshairs

https://cert-agid.gov.it/news/smishing-a-tema-inps-finiscono-nel-mirino-anche-i-dati-del-cud-e-le-informazioni-lavorative/

Report completeness: Low

Threats:
Smishing_technique

Victims:
Individuals

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1583.001, T1589

IOCs:
Domain: 1
Url: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания, выявленная CERT-AGID, включает в себя smishing-атаки с использованием логотипа INPS, чтобы обманом заставить людей поделиться личными документами и конфиденциальной информацией. Злоумышленники стремятся собрать подробные персональные данные, потенциально для мошеннических действий, таких как несанкционированное банковское финансирование или займы, и стратегически нацелены на работающих лиц с более высоким доходом для получения максимальной выгоды. Этот инцидент высвечивает уязвимости в управлении персональными данными и риски, связанные с тактикой социальной инженерии в киберпреступности.
-----

Недавняя киберкампания, выявленная CERT-AGID, включает попытки smishing, связанные с INPS, итальянским национальным институтом социального обеспечения. В этой вредоносной деятельности используются название и логотип INPS, чтобы обманом заставить жертв предоставить личные документы и конфиденциальные данные. Кампания основана на теме "государственных выплат", что указывает на нацеленный подход к лицам, которые могут иметь право на получение государственных пособий.

Злонамеренные акторы, стоящие за этой кампанией, по-видимому, преследуют различные цели. Одна из возможностей заключается в том, что они стремятся собрать исчерпывающую личную информацию для содействия дальнейшим мошенническим действиям, таким как банковское финансирование или заявки на получение кредита. Такие данные могли бы позволить злоумышленникам создавать более убедительные профили жертв, тем самым повышая их способность успешно осуществлять более крупные схемы мошенничества. Более того, нацеливание на лиц со стабильной занятостью и более высокими доходами предполагает стратегический процесс отбора, направленный на максимизацию потенциальной денежной выгоды от таких атак.

В ответ на эту угрозу правоохранительные органы принимают меры по смягчению воздействия кампании. Эти действия включают в себя закрытие связанного с вредоносным доменом домена и распространение индикаторов компрометации среди государственных администраций, чтобы помочь в выявлении и защите от этой угрозы. Кампания подчеркивает уязвимости, присутствующие при обработке персональных данных, и сохраняющиеся риски, связанные с тактикой социальной инженерии в киберпреступности.

#ParsedReport #CompletenessHigh
30-01-2026

Energy Sector Incident Report 29 December

https://cert.pl/uploads/docs/CERT_Polska_Energy_Sector_Incident_Report_2025.pdf

Report completeness: High

Actors/Campaigns:
Static_tundra
Energeticbear
Sandworm

Threats:
Dynowiper
Lazywiper
Impacket_tool
Nircmd_tool
Rubeus_tool
Rsocx_tool
Advanced-port-scanner_tool
Shadow_copies_delete_technique
Vssadmin_tool
Antidebugging_technique
Arguepatch_loader
Ransomboggs
Prestige_ransomware
Credential_dumping_technique

Victims:
Renewable energy farms, Combined heat and power plant, Manufacturing sector company, Energy sector

Industry:
Energy, Ics

Geo:
Ukraine, Polish, Poland

CVEs:
CVE-2024-2617 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 13
Technics: 49

IOCs:
File: 23
Command: 4
Path: 11
Registry: 2
Hash: 18
IP: 12

Soft:
Linux, Active Directory, PsExec, rsocx, Microsoft Edge, Dropbox, Slack

Algorithms:
sha256, zip, base64, exhibit, des

Functions:
Get-Service, GetDriveType, FindFirstFile, FindNextFile, SetFileAttributesEx, CreateException, WriteRandomBytes, NewGuid

Win API:
GetCurrentProcess, ExitWindowsEx, GetLogicalDrives, CreateFileW, SetFilePointerEx, WriteFile, DeleteFileW

Languages:
powershell

Platforms:
intel, x86

YARA: Found

Links:
https://github.com/b23r0/rsocx
have more...
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На 29 декабря 2025 года Польша столкнулась скоординированных кибератак на энергетическую и обрабатывающей промышленности, в первую очередь, используя уязвимости в FortiGate устройств не хватает многофакторная аутентификация и используя учетные данные учетные данные. Злоумышленники применяют изощренные методы, чтобы скомпрометировать возобновляемой энергетики и ТЭЦ, развертывание стеклоочистителя вредоносное ПО dynowiper необратимых уничтожение данных. Разведка велась с помощью таких инструментов, как nircmd и PsExec, что приводит к распространенным поломкам и удаление важных файлов на разных устройствах.
-----

29 декабря 2025 года Польша столкнулась с скоординированными кибератаками, направленными против энергетического и производственного секторов, в частности объектов возобновляемой энергетики и ТЭЦ. Нападения были направлены на ослабление оперативных возможностей с помощью разрушительных методов, сродни поджогам. Злоумышленники использовали уязвимости в Сетевых устройствах, сосредоточившись на тех, у кого были учетные данные по умолчанию и отсутствовала Многофакторная аутентификация.

По меньшей мере на 30 объектах возобновляемой энергетики были нарушены коммуникации с операторами их распределительных систем (DSO) без прерывания выработки электроэнергии. Злоумышленники в первую очередь воспользовались уязвимостью в устройствах FortiGate, которые действовали как брандмауэры и концентраторы VPN. Несанкционированному доступу способствовало отсутствие Многофакторной аутентификации и повторное использование учетных данных на разных устройствах.

Злоумышленники выполняли команды против контроллеров Hitachi RTUs и Mikronika, используя учетные данные по умолчанию. Контроллеры Mikronika были взломаны через SSH, что привело к критическому Удалению файлов, что привело к их неработоспособности. На устройствах Hitachi важные рабочие файлы были удалены через FTP, что привело к отключениям.

На ТЭЦ использовалось вредоносное ПО wiper, известное как DynoWiper, известное своими возможностями необратимого Уничтожения данных. Он использовал предсказуемый генератор случайных чисел для безвозвратной перезаписи файлов. Вредоносное ПО распространялось через объекты групповой политики в среде Active Directory.

Были очевидны продвинутые методы перемещения внутри компании, когда злоумышленники использовали однородные учетные данные по всей сети. Разведка включала такие инструменты, как nircmd и PsExec для сбора данных в сети. Вредоносные скрипты были установлены на контроллерах домена, что привело к широкомасштабному удалению данных на рабочих станциях и серверах.

Инцидент был атрибутирован с известным кластером злоумышленников, идентифицированным как "Static Tundra" и "Ghost Blizzard". Индикаторами компрометации были использование VPN, Учетные записи по умолчанию и нацеленные скрипты уничтожения, такие как LazyWiper. Этот инцидент подчеркивает острую необходимость обеспечения строгой кибербезопасности при настройке операционных технологий.

#ParsedReport #CompletenessLow
26-01-2026

BEWARE! Suspicious ads appeared in Google search results which contain harmful content for Mac users

https://mackeeper.com/blog/suspicious-ads-on-google-which-contain-harmful-content-for-mac-users/

Report completeness: Low

Actors/Campaigns:
Maccleaner_googlescript

Threats:
Supply_chain_technique

Victims:
Mac users

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 4

Soft:
macOS, curl

Algorithms:
base64

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В результатах поиска Google появились подозрительные рекламные объявления, ориентированные на пользователей Mac, которые приводят к Вредоносным ссылкам, в том числе к одной, направляющей пользователей на скрипты приложений Google, что указывает на использование злоумышленниками надежных платформ. Расследования этих объявлений выявили вводящие в заблуждение комментарии на Medium, которые подтверждали легитимность контента, при этом некоторые пользователи сообщали о загрузке вредоносного ПО после выполнения определенных команд. Это отражает распространенный метод киберугрозы, заключающийся во внедрении вредоносных ссылок в заслуживающие доверия источники с целью поставить под угрозу безопасность пользователей.
-----

Недавнее исследование выявило появление подозрительной рекламы в результатах поиска Google, специально предназначенной для пользователей Mac с потенциально вредоносным контентом. AV-TEST, независимая лаборатория, известная своей оценкой антивирусных приложений на предмет наличия реальных образцов вредоносного ПО, отметила эту рекламу как проблему кибербезопасности.

Рекламные объявления ведут к Вредоносным ссылкам, одна из которых перенаправляет пользователей на скрипты приложений Google. Это подчеркивает тактику, при которой злоумышленники используют надежные платформы Google для расширения своего охвата. Нацеленный контент может содержать инструкции или скрипты, которые могут поставить под угрозу безопасность устройств пользователей.

Кроме того, дальнейшее расследование конкретной рекламы выявило публикацию на Medium, где многочисленные комментарии, по-видимому, вводили в заблуждение относительно легитимности контента. Среди этих комментариев некоторые пользователи отметили, что выполнение определенной команды приводило к загрузке вредоносного ПО на устройство. Этот метод встраивания вредоносных ссылок в кажущиеся заслуживающими доверия источники является распространенным методом, используемым хакерскими группировками для использования доверия пользователей и облегчения распространения вредоносного ПО.

Крайне важно, чтобы пользователи сохраняли бдительность при просмотре результатов поиска и были осторожны при выполнении команд или загрузке файлов из непроверенных источников. Распространение вредоносного контента через надежные платформы подчеркивает продолжающуюся эволюцию киберугроз и важность повышения осведомленности пользователей и мер защиты.

#ParsedReport #CompletenessLow
27-01-2026

How Predator spyware defeats iOS recording indicators

https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/

Report completeness: Low

Actors/Campaigns:
Intellexa
Cytrox

Threats:
Predator_spyware
Process_injection_technique

Victims:
Mobile users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1518.001, T1601, T1620, T1622

IOCs:
Coin: 1
File: 1

Functions:
TestHooker, VoIP, ExtAudioFileWrite, memmem

Languages:
objective_c

Platforms:
apple, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Predator spyware, разработанное Intellexa/Cytrox, использует сложные методы обхода индикаторов записи iOS для скрытого наблюдения. Он подключается к методу _handleNewDomainData: для управления обновлениями состояния датчика и подавления предупреждений, а также использует технологию CameraEnabler для доступа к камере через обход PAC, используя сопоставление шаблонов команд ARM64, чтобы избежать обнаружения службой безопасности Apple. Кроме того, он использует нулевые сообщения Objective-C, чтобы обманом заставить систему не замечать активность камеры и микрофона, что отражает переход к перехвату источников данных для более скрытого наблюдения.
-----

Predator spyware, созданная Intellexa/Cytrox, использует сложные методы для обхода индикаторов записи iOS, которые предупреждают пользователей об использовании камеры или микрофона. С момента появления этих индикаторов в iOS 14 Apple стремилась повысить конфиденциальность пользователей, показывая зеленую точку для камеры и оранжевую точку для активности микрофона. Однако Predator разработал метод подавления этих предупреждений, позволяющий вести скрытое наблюдение без ведома пользователя.

Одним из основных методов, используемых Predator, является модификация метода, называемого _handleNewDomainData:. Этот метод в iOS запускается при любой активности датчика, например, при включении камеры или микрофона. Используя этот метод, Predator может перехватывать и манипулировать всеми обновлениями состояния датчиков до того, как они вызовут какие-либо визуальные индикаторы, эффективно скрывая любые признаки наблюдения.

Кроме того, Predator использует вторую технологию, известную как CameraEnabler, которая позволяет ему получить доступ к камере через обход PAC (Pointer Authentication Code). Вместо того чтобы полагаться на известные символы, которые могут быть обнаружены и заблокированы механизмами безопасности Apple, CameraEnabler использует сопоставление инструкций ARM64 с шаблоном для поиска необходимых функций во внутренних рамках iOS. Это позволяет Predator выполнять свои функциональные возможности без предупреждения операционной системы.

Более того, контроль Predator над индикаторами усиливается за счет использования Objective-C nil messaging exploitation, который позволяет ему устанавливать указатель self равным NULL. Этот метод успешно обманывает систему, заставляя ее игнорировать активное состояние камеры или микрофона. Однако стоит отметить, что шпионское ПО работает с модульной архитектурой; модуль записи VoIP автоматически не подавляет индикаторы, требуя вмешательства пользователя для активации функции HiddenDot вручную.

Наконец, анализ намекает на историю разработки в Predator, которая отражает переход от прямого манипулирования элементами пользовательского интерфейса к более утонченному подходу, фокусирующемуся на перехвате источников данных. Предыдущий код, связанный с SBRecordingIndicatorManager, был отменен, что указывает на эволюцию стратегии в направлении более чистого метода обеспечения наблюдения без обнаружения. В целом, Predator демонстрирует расширенные возможности по обходу мер конфиденциальности, встроенных в iOS, что создает значительные риски для безопасности и приватности пользователей.

#ParsedReport #CompletenessHigh
30-01-2026

PhantomVAI: custom loader built on an old RunPE utility used in worldwide campaigns

https://www.intrinsec.com/wp-content/uploads/2026/01/TLP-CLEAR-20260130-PhantomVAI_Loader.pdf

Report completeness: High

Actors/Campaigns:
Turk_hack_team

Threats:
Phantomvai_loader
Runpe_tool
Mandark_tool
Darkcloud
Process_hollowing_technique
Remcos_rat
Xworm_rat
Asyncrat
Smokeloader
Loki_bot
Rhadamanthys
Matanbuchus_maas
Lumma_stealer
Katz_stealer
Dcrat
Vmdetector
Steganography_technique
Caminho
Vmdetectloader
Antidebugging_technique
Polymorphism_technique
Vailoader

Victims:
Phishing recipients worldwide

Geo:
Brazilian, America, Africa, Azerbaijan, Latin america, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1055.012, T1105, T1204.002

IOCs:
File: 51
Hash: 61
Path: 1

Soft:
Windows Task Scheduler, Whatsapp

Algorithms:
xor, base64, sha256

Functions:
GetThreadContextlong, TaskScheduler

Win API:
CreateProcess, VirtualAllocEx, ZwUnmapViewOfSection, WriteProcessMemory, SetThreadContext, GetThreadContext, ResumeThread, CloseHandle

Win Services:
webClient

Languages:
javascript

Platforms:
x64, x86

YARA: Found

Links:
have more...
https://github.com/nantmamamb/pePolymorpher/blob/master/pePolymorpher/Mandark.cs
https://github.com/decay88/Mandark/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик Mandark играет ключевую роль в киберкампаниях, используя Внедрение в пустой процесс для внедрения вредоносного ПО в законные процессы Windows, особенно связанные с стиллером DarkCloud и различными троянами удаленного доступа (RAT). Он работает, имитируя законные функции и встраиваясь в приложения, чтобы избежать обнаружения. Модульность загрузчика предполагает модель обслуживания, которую могут использовать различные злоумышленники, подчеркивая динамичный и развивающийся ландшафт угроз.
-----

Анализ пользовательского загрузчика, известного как "Mandark", показывает его значительную роль в глобальных киберкампаниях. Этот загрузчик использует метод Внедрения в пустой процесс для внедрения вредоносного ПО в законные процессы Windows, в частности, идентифицированный в связи с Stealer. DarkCloud В ходе различных анализов было отмечено, что несколько исследователей безопасности называют этот загрузчик разными именами, что потенциально может привести к путанице в отношении его функциональности и распространенности.

Утилита Mandark, первоначально разработанная пользователем с открытым исходным кодом на HackForums, занимает центральное место в работе этого загрузчика. Эта утилита специально разработана для запуска полезных нагрузок путем Внедрения в пустой процесс, при котором создается новый процесс, а исполняемый файл заменяется новым. Во время работы Mandark использует три ключевых параметра: array3, text2 и args. Его поток выполнения указывает на то, что он эффективно запускает вредоносные процессы после имитации законных системных функций, в частности, Маскировки под "Планировщик задач Microsoft Windows"..

Стратегия маскировки загрузчика включает в себя встраивание в другие приложения, включая HTA-файлы, что помогает ему работать, не вызывая подозрений. Обнаружение возможно с помощью различных средств, включая использование правил YARA, предназначенных для точного определения вредоносных версий загрузчика. Многочисленные экземпляры загрузчика были связаны с различными вариантами вредоносного ПО, наиболее заметными из которых являются трояны удаленного доступа (RAT), такие как Remcos, XWorm, AsyncRAT и вышеупомянутый DarkCloud. Использование разнообразных приманок для фишинга дополняет эти атаки, повышая эффективность загрузчика при распространении стиллеров и другого вредоносного ПО.

Анализ также намекает на модульный подход к его развертывания, предполагая, грузчик-как услуга модель, в которой различные субъекты опасности, которую может использовать Mandark для своих кампаний. Модульность-подразумевает растущей угрозы, а новые образцы могут постоянно появляться, указывая, что разные группы адаптируют его использовать, чтобы расширить свою вредоносную деятельность. В целом, постоянное использование этого загрузчика подчеркивает необходимость проявлять бдительность опасная охота механизмы для отслеживания и смягчить его воздействие на кибербезопасность.

#ParsedReport #CompletenessMedium
31-01-2026

GlassWorm Loader Hits Open VSX via Developer Account Compromise

https://socket.dev/blog/glassworm-loader-hits-open-vsx-via-suspected-developer-account-compromise

Report completeness: Medium

Actors/Campaigns:
Oorzc_compromise

Threats:
Glassworm
Dead_drop_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Software developers, Open vsx users

Industry:
E-commerce, Financial

Geo:
Moscow, Russian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 12
IP: 1

Soft:
macOS, Outlook, vscode, Mozilla Firefox, Ledger Live, Visual Studio, Visual Studio Code, Node.js, Chromium, curl, have more...

Wallets:
metamask, electrum, exodus_wallet, trezor, tonkeeper

Crypto:
solana, binance

Algorithms:
zip, aes, aes-256-cbc

Functions:
eval

Languages:
javascript

Platforms:
apple

Links:
https://github.com/oorzc/vscode\_sync\_tool/issues/25

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm Loader нацелена на более чем 22 000 пользователей, используя скомпрометированные учетные записи разработчиков для распространения вредоносных расширений через открытый реестр VSX. Атака начинается с профилирования среды, чтобы избежать выполнения в российских локалях, с последующим развертыванием Node.js полезная нагрузка, которая крадет конфиденциальную информацию, включая учетные данные и финансовые данные из браузеров и криптовалютных кошельков. Эксфильтрация данных происходит с помощью "curl" на жестко закодированные IP-адреса, в то время как закрепление достигается за счет создания LaunchAgent для обеспечения запуска вредоносного ПО при входе в систему.
-----

Кампания загрузчика GlassWorm использует скомпрометированные учетные записи разработчиков для распространения вредоносных расширений в открытом реестре VSX, затрагивая более 22 000 пользователей. Действующий как минимум с октября 2025 года злоумышленник использует методы сокрытия своей деятельности и уклонения от обнаружения, в частности, путем проверки настроек русского языка, чтобы избежать выполнения в системах, расположенных в этих регионах.

Атака разворачивается в два основных этапа. Начальный этап фокусируется на профилировании среды хоста, выполнении серии проверок для определения языкового стандарта системы и связанных с ним часовых поясов. Если эти проверки указывают на российскую среду, полезная нагрузка отключается для поддержания оперативной безопасности. Эта мера предосторожности согласуется с традиционной практикой в российской экосистеме киберпреступников, подчеркивая стремление избежать пристального внимания правоохранительных органов.

После успешного завершения начального этапа второй этап активирует Node.js Полезная нагрузка JavaScript, адаптированная для систем macOS. Этот компонент функционирует как механизм кражи данных, так и имплантат для закрепления. Он собирает широкий спектр конфиденциальной информации, в частности, учетные данные и ценные финансовые данные. Вредоносное ПО собирает файлы cookie браузера, историю входа в систему и информацию базы данных как из браузеров на базе Firefox, так и из Chromium, а также данные с настольных криптовалютных кошельков, таких как Electrum и Exodus. Он дополнительно получает доступ к Связке ключей macOS, Apple Notes, файлам cookie Safari и конфигурациям VPN из FortiClient, систематически фильтруя и сжимая собранные файлы перед их удалением.

Эксфильтрация данных выполняется с помощью команды `curl` на жестко закодированные IP-адреса. В проанализированных примерах конечные точки, на которые нацелены, включают пути, которые предполагают постоянную связь с инфраструктурой злоумышленника, обеспечивая непрерывный поиск украденных данных. Для закрепления вредоносное ПО внедряется в систему macOS, создавая LaunchAgent, записывая файл списка свойств в библиотеку пользователя, чтобы гарантировать запуск полезной нагрузки при входе в систему. Этот метод закрепления позволяет вредоносному ПО сохранять свое присутствие в уязвимых системах до тех пор, пока защитники не удалят его полностью, включая удаление связанных артефактов и зависимостей во время выполнения.

#ParsedReport #CompletenessHigh
01-02-2026

DynoWiper update: Technical analysis and attribution

https://www.welivesecurity.com/en/eset-research/dynowiper-update-technical-analysis-attribution/

Report completeness: High

Actors/Campaigns:
Sandworm (motivation: cyber_espionage)
Uac0099

Threats:
Dynowiper
Eternal_petya
Supply_chain_technique
Olympic_destroyer
Industoyer2
Prestige_ransomware
Sting
Hermeticwiper
Partyticket
Killdisk
Doublezero
Arguepatch_loader
Orcshred
Soloshred
Awfulshred
Ransomboggs
Sdelete_tool
Bidswipe
Roarbat
Swiftslicer
Nikowiper
Sharpnikowiper
Zerolot
Greyenergy
Rubeus_tool
Powergap
Killfiles
Rsocx_tool
Credential_dumping_technique

Victims:
Energy sector, Ukrainian energy companies, 2018 winter olympics organizers, Government agencies, Logistics companies, Transportation firms, Media organizations, Grain sector companies, Telecommunications companies

Industry:
Government, Logistic, Telco, Transport, Energy, Military

Geo:
Russia, Russian, Polish, Poland, Ukrainian, Ukraine

TTPs:
Tactics: 6
Technics: 12

IOCs:
File: 4
Path: 5
Domain: 1
Hash: 7
IP: 1

Soft:
rsocx, Active Directory

Crypto:
bitcoin

Algorithms:
sha1

Win API:
DeleteFileW

Languages:
powershell

Platforms:
x86

Links:
https://github.com/GhostPack/Rubeus
have more...
https://github.com/b23r0/rsocx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET сообщают об инциденте с Уничтожением данных, связанном с новым вредоносным ПО wiper под названием DynoWiper, атрибутируемым с российской группой Sandworm, известной своей атакой на критическую инфраструктуру. Развернутый 29 декабря 2025 года DynoWiper использовал общие имена исполняемых файлов, а сходство с ZOV wiper предполагает общую логику кода. Sandworm использовал групповую политику Active Directory для распространения вредоносного ПО по сети, используя методы из платформы MITRE ATT&CK, включая выполнение команд PowerShell и Credential Dumping из LSASS.
-----

Исследователи ESET выявили недавний инцидент с Уничтожением данных, связанный с новым вредоносным ПО wiper под названием DynoWiper, атрибутируемым с российской группой угроз Sandworm. Sandworm печально известен своими разрушительными кибероперациями, направленными против различных секторов, включая энергетику, транспорт и правительство, о чем свидетельствуют прошлые атаки, такие как NotPetya и Olympic Destroyer.

DynoWiper был развернут 29 декабря 2025 года в общем каталоге C:\inetpub\pub \, используя имена исполняемых файлов, такие как schtask.exe и schtask2.exe . Примечательно, что ссылки на путь к проекту Visual Studio предполагают, что вредоносное ПО, возможно, было разработано в среде, использующей инструмент Vagrant для управления виртуальными машинами. Это указывает на то, что Sandworm, возможно, протестировал DynoWiper на виртуальных машинах, прежде чем запустить его в сети целевой организации.

В дополнение к DynoWiper, другие инструменты были обнаружены в сети до запуска wiper. Вредоносное ПО имеет несколько общих характеристик исполнения и логику кода с ранее идентифицированным wiper под названием ZOV, также связанным с Sandworm. Оба типа вредоносных ПО демонстрируют схожие стратегии исключения файлов и способность отличать файлы меньшего размера от файлов большего размера в процессе очистки.

Sandworm известна тем, что использует групповую политику Active Directory для распространения своего вредоносного ПО wiper по скомпрометированным сетям, что подчеркивает способность группы получать доступ с высокими привилегиями к средам Active Directory. Этот метод обычно позволяет вредоносному ПО заражать множество компьютеров в организации после запуска с контроллера домена.

Отнесение DynoWiper к Sandworm основано на нескольких аналитических факторах, и, хотя ESET оценивает эту оценку со средней степенью достоверности, операционные схемы и характеристики, в частности, связывают ее с исторической деятельностью группы. В рамках платформы атак Sandworm внедрил различные методы из платформы MITRE ATT&CK, включая выполнение команд через PowerShell и Командную оболочку Windows, запланированные задачи для выполнения вредоносного ПО, а также методы обнаружения и удаления данных в скомпрометированных системах.

Процесс развертывания включал попытки сбросить учетные данные из процесса LSASS и использовать прокси-инструменты для целей командования и контроля. В конечном счете, кульминацией этих действий стало полное Уничтожение диска и перезагрузка системы, что еще больше подтвердило деструктивный замысел операции. Этот инцидент высвечивает тревожную тенденцию в агрессивных кибероперациях, нацеленных на критически важную инфраструктуру, особенно в энергетическом секторе Польши.