#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET сообщают об инциденте с Уничтожением данных, связанном с новым вредоносным ПО wiper под названием DynoWiper, атрибутируемым с российской группой Sandworm, известной своей атакой на критическую инфраструктуру. Развернутый 29 декабря 2025 года DynoWiper использовал общие имена исполняемых файлов, а сходство с ZOV wiper предполагает общую логику кода. Sandworm использовал групповую политику Active Directory для распространения вредоносного ПО по сети, используя методы из платформы MITRE ATT&CK, включая выполнение команд PowerShell и Credential Dumping из LSASS.
-----

Исследователи ESET выявили недавний инцидент с Уничтожением данных, связанный с новым вредоносным ПО wiper под названием DynoWiper, атрибутируемым с российской группой угроз Sandworm. Sandworm печально известен своими разрушительными кибероперациями, направленными против различных секторов, включая энергетику, транспорт и правительство, о чем свидетельствуют прошлые атаки, такие как NotPetya и Olympic Destroyer.

DynoWiper был развернут 29 декабря 2025 года в общем каталоге C:\inetpub\pub \, используя имена исполняемых файлов, такие как schtask.exe и schtask2.exe . Примечательно, что ссылки на путь к проекту Visual Studio предполагают, что вредоносное ПО, возможно, было разработано в среде, использующей инструмент Vagrant для управления виртуальными машинами. Это указывает на то, что Sandworm, возможно, протестировал DynoWiper на виртуальных машинах, прежде чем запустить его в сети целевой организации.

В дополнение к DynoWiper, другие инструменты были обнаружены в сети до запуска wiper. Вредоносное ПО имеет несколько общих характеристик исполнения и логику кода с ранее идентифицированным wiper под названием ZOV, также связанным с Sandworm. Оба типа вредоносных ПО демонстрируют схожие стратегии исключения файлов и способность отличать файлы меньшего размера от файлов большего размера в процессе очистки.

Sandworm известна тем, что использует групповую политику Active Directory для распространения своего вредоносного ПО wiper по скомпрометированным сетям, что подчеркивает способность группы получать доступ с высокими привилегиями к средам Active Directory. Этот метод обычно позволяет вредоносному ПО заражать множество компьютеров в организации после запуска с контроллера домена.

Отнесение DynoWiper к Sandworm основано на нескольких аналитических факторах, и, хотя ESET оценивает эту оценку со средней степенью достоверности, операционные схемы и характеристики, в частности, связывают ее с исторической деятельностью группы. В рамках платформы атак Sandworm внедрил различные методы из платформы MITRE ATT&CK, включая выполнение команд через PowerShell и Командную оболочку Windows, запланированные задачи для выполнения вредоносного ПО, а также методы обнаружения и удаления данных в скомпрометированных системах.

Процесс развертывания включал попытки сбросить учетные данные из процесса LSASS и использовать прокси-инструменты для целей командования и контроля. В конечном счете, кульминацией этих действий стало полное Уничтожение диска и перезагрузка системы, что еще больше подтвердило деструктивный замысел операции. Этот инцидент высвечивает тревожную тенденцию в агрессивных кибероперациях, нацеленных на критически важную инфраструктуру, особенно в энергетическом секторе Польши.

#ParsedReport #CompletenessLow
29-01-2026

Match Group breach exposes data from Hinge, Tinder, OkCupid, and Match

https://www.bleepingcomputer.com/news/security/match-group-breach-exposes-data-from-hinge-tinder-okcupid-and-match/

Report completeness: Low

Actors/Campaigns:
Match_breach
Shinyhunters

Victims:
Match group, Tinder, Match.com, Meetic, Okcupid, Hinge, Online dating users

Industry:
Financial

IOCs:
Domain: 1

Soft:
Tinder, Dropbox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Match Group сообщила об инциденте с кибербезопасностью, затронувшем несколько платформ знакомств, что привело к раскрытию пользовательских данных, хотя конкретные детали остаются нераскрытыми. Вектор атаки неясен, но она может включать в себя такие распространенные тактики, как фишинг или Подстановка украденных учетных данных, которые используют уязвимости приложений. Нарушение подчеркивает риски, связанные с обработкой пользовательских данных, потенциально способствующие краже личных данных и атакам социальной инженерии, подчеркивая текущие угрозы кибербезопасности онлайн-сервисам.
-----

Match Group сообщила об инциденте с кибербезопасностью, затронувшем несколько ее платформ онлайн-знакомств, включая Tinder, Hinge, OkCupid и Match.com . Нарушение привело к раскрытию пользовательских данных, хотя конкретные детали, касающиеся характера скомпрометированной информации, не были раскрыты. Инцидент вызывает обеспокоенность по поводу тактики злоумышленников, нацеленных на большие базы пользователей, связанные с популярными цифровыми сервисами.

Хотя точный вектор атаки еще предстоит выявить, инциденты такого рода часто связаны со схемами фишинга, Подстановкой украденных учетных данных или использованием уязвимостей в приложениях или их серверной инфраструктуре. Воздействие таких нарушений может быть далеко идущим, предоставляя злоумышленникам доступ к конфиденциальной пользовательской информации, что потенциально может привести к краже личных данных или мошенническим действиям.

Утечка пользовательских данных также может способствовать дальнейшим атакам, таким как социальная инженерия, когда скомпрометированные учетные записи могут использоваться для манипулирования пользователями на платформе или сбора дополнительной личной информации. Инцидент в Match Group высветил риски, связанные с хранением пользовательских данных и управлением ими с помощью онлайн-сервисов, подчеркнув необходимость применения надежных методов обеспечения безопасности и постоянного мониторинга потенциальных уязвимостей.

По мере продвижения расследования нарушения для Match Group будет крайне важно проинформировать затронутых пользователей и смягчить любую потенциальную угрозу, исходящую от раскрытых данных. Будущие обновления могли бы внести ясность в конкретный характер нарушения, используемые стратегии реагирования и улучшения их системы безопасности в будущем. Этот инцидент служит напоминанием о постоянных угрозах, с которыми сталкиваются онлайн-платформы, и важности поддержания строгих мер по кибербезопасности для защиты пользовательских данных.

#ParsedReport #CompletenessLow
02-02-2026

North Koreas Prospect Call Trap: Lazarus Turns Teams Meetings into macOS Credential Theft

https://daylight.ai/blog/prospect-call-microsoft-teams-meetings

Report completeness: Low

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Bluenoroff (motivation: financially_motivated)
Ghostcall

Victims:
Macos users, Financial sector

Geo:
North koreas, North korean, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.002, T1059.004, T1105, T1204, T1555.001, T1566, T1583.001

IOCs:
Domain: 4
IP: 2
Hash: 6

Soft:
macOS, Telegram, curl

Algorithms:
sha256, zip

Functions:
Teams

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложное вторжение, нацеленное на пользователей macOS, атрибутируемое с подгруппой BlueNoroff северокорейской группы Lazarus, включало социальную инженерию через Telegram, что привело к мошенническому вызову Microsoft Teams. Злоумышленники использовали обманчивый домен для завоевания доверия и манипулировали жертвами, заставляя их выполнять команды терминала, извлекать вредоносный двоичный файл, повышать разрешения и получать доступ к базе данных Связки ключей для кражи учетных данных. Атака подчеркивает тенденцию полагаться на участие пользователей и встроенные системные инструменты для скрытой эксплуатации, а не на традиционное вредоносное ПО.
-----

В статье обсуждается изощренное вторжение, нацеленное на пользователей macOS, атрибутируемое с подгруппой BlueNoroff северокорейской группы Lazarus. Этот инцидент демонстрирует структурированную атаку социальной инженерии, которая была инициирована как взаимодействие с "потенциальными клиентами" через Telegram, что привело к мошенническому вызову Microsoft Teams. Злоумышленники использовали обманчивый домен-двойник, чтобы укрепить доверие, прежде чем связаться с жертвой.

Обнаружение началось с предупреждений о поведении конечных точек, которые указывали на потенциальный получение учетных данных и скрытые действия с файлами на устройстве macOS. Первоначально эти предупреждения могли быть неверно истолкованы как безобидное поведение, связанное с разработкой или пользовательскими сценариями. Однако дальнейшее расследование соотнесло временные метки этих предупреждений с взаимодействиями пользователя, выявив выполнение команд в реальном времени во время разговора со злоумышленником.

Компромисс осуществлялся методичным образом: после установления контакта через Telegram злоумышленник перешел к командному звонку, где они использовали тактику социальной инженерии, чтобы заставить жертву выполнять команды терминала под видом устранения неполадок со звуком. Кульминацией этого стало извлечение вредоносного двоичного файла с использованием curl, изменений разрешений и специальной Подписью исполняемого кода для повышения простоты выполнения. Злоумышленник выполнял команды в фоновом режиме для закрепления, получая прямой доступ к базе данных Связки ключей пользователя, чтобы украсть учетные данные. Эксфильтрация была выполнена с помощью поэтапной обработки данных с использованием AppleScript.

Этот инцидент подчеркивает заметную тенденцию в современных кибератаках, которые основаны на участии пользователей, а не исключительно на технических эксплойтах или внедрении вредоносного ПО. Стратегия злоумышленника основывалась на встроенных инструментах macOS, используя подход "Living Off theLand", который подчеркивает скрытность и использование законных системных функций для достижения своих вредоносных целей.

#ParsedReport #CompletenessHigh
28-01-2026

Exposed Open Directory Leaks a Full BYOB Deployment Across Windows, Linux, and macOS

https://hunt.io/blog/exposed-byob-c2-infrastructure-multi-stage-malware-deployment

Report completeness: High

Threats:
Byob_tool
Uac_bypass_technique
Xmrig_miner
Coinminer

Victims:
Multiple regions, Cryptocurrency mining targets

Geo:
Panama, Singapore, Los angeles

TTPs:
Tactics: 9
Technics: 17

IOCs:
IP: 3
Url: 2
File: 14
Registry: 3
Hash: 6

Soft:
Linux, macOS, Outlook, VirtualBox, Unix, Hyper-V, Windows Subsystem for Linux, Windows Explorer, Windows Registry, Task Scheduler, have more...

Algorithms:
aes-256-cbc, md5, base64, deflate

Functions:
urlopen, exec, mac_address, architecture, device, username, administrator, geolocation, chr, HookKeyboard, have more...

Win API:
decompress, gethostname, CoInitialize, inet_ntoa, ShellExecuteEx

Languages:
python, java

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования обнаружили многоступенчатой вредоносных рамках известного как BYOB, работает на Windows, Linux и macOS и платформах. Все начинается с компактного, незаметного дроппера (359 байт), который извлекает и запускает полезную нагрузку трояна удаленного доступа (RAT) (123 КБ), способную к Регистрации нажатий клавиш, Захвату экрана и анализу сети. Самое вредоносное ПО функциями анти-виртуальная машина обнаружения, использует зашифрованные каналы HTTP для передачи С2, а также включает в себя cryptojacking функции, с указанием двойного назначения операции.
-----

На сервере управления BYOB (Создайте свой собственный ботнет) (C2) было обнаружено многоэтапное развертывание вредоносного ПО, нацеленного на Windows, Linux и macOS. Заражение начинается с 359-байтового дроппера, который использует методы обфускации, чтобы избежать обнаружения. Дроппер извлекает и выполняет последующие этапы работы с вредоносным ПО и использует модули Python для поддержания совместимости как с Python 2, так и с 3. Структура фреймворка BYOB включает в себя dropper, stager и основную полезную нагрузку.

В стагер реализует анти-обнаружения виртуальной машины, проверка переменных среды, типичные для виртуализации. Основной полезной нагрузкой представляет собой Троян удаленного доступа (RAT) примерно 123 КБ, предлагая Регистрация нажатий клавиш, захват экрана и сетевого пакета анализа. Самое вредоносное ПО работают семь закрепление сохранением всех нацелен операционной системы, используя методы, такие как реестра изменений, размещение папку автозагрузки, запланированных задач, файлами и запуск агентов на закрепление.

Связь с C2 осуществляется по зашифрованным каналам HTTP, в основном с использованием портов с 8080 по 8083. Инфраструктура BYOB активна как минимум с марта 2024 года, демонстрируя географическую диверсификацию и поддерживая операции по криптоджекингу XMRig в дополнение к возможностям удаленного доступа. Обнаружение и смягчение последствий требуют блокировки идентифицированной инфраструктуры C2 и изучения как активного вредоносного ПО, так и исторических записей связи.

#ParsedReport #CompletenessMedium
27-01-2026

Threat Intelligence Dossier: TOXICSNAKE

https://themalwarefiles.com/threat-intelligence-dossier-toxicsnake-b3e954bd644b

Report completeness: Medium

Threats:
Toxicsnake
Credential_harvesting_technique

Victims:
General internet users

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1583.001, T1583.003

IOCs:
Url: 2
Domain: 6
Email: 1
File: 2
IP: 2

Soft:
ChatGPT, Curl

Algorithms:
xor

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TOXICSNAKE использует несколько доменов системы распределения трафика, которая направляет пользователей на фишинг и вредоносное ПО. Вредоносный JavaScript загрузчик использует исключающее рутинное вводить URL-адреса в веб-страницы и управляет выполнением во время местное флаг хранения. Технический анализ показывает, запутывания, динамического дистанционного инъекций, и жертва дактилоскопия тактика, наряду с использованием горелки пользователей и IP-адресов связанных с Гц хостинг Лтд.ориентировочный товара инфраструктура ТДС.
-----

TOXICSNAKE идентифицируется как операция, использующая систему распределения многодоменного трафика (TDS), направленную на привлечение пользователей к схемам фишинга, мошенничеству или вредоносному ПО. Анализ загрузчика JavaScript, полученного из вредоносного домена, показал, что он использует процедуру XOR для создания и внедрения URL-адреса удаленного загрузчика на веб-страницы в сочетании с механизмом сохранения одноразового флага локального хранилища, предназначенного для управления выполнением скрипта.

Расследование показало, что при выполнении в контролируемой среде скрипт отправил запрос GET к серверному PHP-файлу, вернув ответ 504, который указывал на типичное поведение загрузчика, вероятно, связанное с управлением сеансами в TDS. Проверка инфраструктуры домена с помощью WHOIS, сервера имен и журналов сертификатов выявила подозрительные регистрационные данные, указывающие на использование вымышленных имен. Дальнейший анализ связал вредоносную активность с IP-адресом, связанным с HZ Hosting Ltd., выявив закономерность, соответствующую работе товарной фермы TDS.

Технические оценки поведения вредоносного ПО выявили его методы запутывания, динамические удаленные инъекции и стратегию получения отпечатков пальцев жертв с помощью пользовательских агентов, рефереров и географической информации. Эта операционная модель включает передачу токенов сеанса сценарию загрузки, что приводит к последующим этапам, таким как доставка контента или выполнение полезной нагрузки, что характерно для инфраструктуры TDS.

В целях локализации и исправления рекомендуется перевести затронутые сайты в автономный режим, сохранив их целостность перед восстановлением из защищенных резервных копий. Администраторы должны поменять учетные данные для всех административных точек доступа и удалить все внедренные скрипты. Кроме того, журналы следует собирать для дальнейшего анализа и передавать хостинг-провайдерам или CERT для поддержки реагирования на инциденты.

Усилия по обнаружению должны быть сосредоточены на мониторинге исходящих HTTP-запросов к идентифицированным доменам и путям TDS, в частности, на поиске коротких буквенно-цифровых шаблонов токенов, обычно связанных с использованием механизмов локального хранения. Крайне важно, чтобы организации проявляли бдительность в отношении указанных диапазонов IP-адресов и постоянного поведения одноразовых токенизированных запросов GET, чтобы эффективно снизить риски, связанные с такими угрозами.

#ParsedReport #CompletenessLow
28-01-2026

Exploitation of Magento CVE-2025-54236: Independent Intrusions Leading to Root Compromise and Web Shell Deployment

https://oasis-security.io/blog/260128-Magento-CVE

Report completeness: Low

Threats:
Sessionreaper_vuln

Victims:
Magento websites, Ecommerce platforms

Geo:
Japan, Canada, Finland

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe commerce (2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)


ChatGPT TTPs:
do not use without manual check
T1003.008, T1036, T1068, T1071.001, T1078, T1105, T1190, T1505.003, T1556.004

IOCs:
IP: 2
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-54236, или SessionReaper, является критической уязвимостью в Magento, которая позволяет злоумышленникам обходить аутентификацию с помощью неправильно проверенных токенов сеанса, что приводит к компрометации системы. Кампании по эксплуатации были нацелены на более чем 1000 уязвимых API Magento, при этом было подтверждено, что 216 веб-сайтов взломаны и получен root-доступ. Злоумышленники использовали методы перехвата сеансов и загружали Веб-шеллы для поддержания контроля над системами, что указывает на множество независимых злоумышленников, использующих этот недостаток со злым умыслом.
-----

CVE-2025-54236, также известная как SessionReaper, представляет собой значительную уязвимость в Magento, которая позволяет злоумышленникам использовать неправильно признанные недействительными токены сеанса, что приводит к обходу аутентификации и потенциально полному компрометированию системы. Этот недостаток способствовал агрессивной кампании по эксплуатации, подчеркивая настоятельную необходимость для пользователей Magento обеспечить безопасность своей среды. Злоумышленники использовали эту уязвимость для атаки на более чем 1000 уязвимых API Magento Commerce, при этом 216 веб-сайтов были идентифицированы как полностью скомпрометированные, что предоставило злоумышленникам root-доступ.

Процесс эксплуатации включает в себя захват и повторное использование токенов сеанса, что позволяет перехватывать сеансы и получать несанкционированный доступ к учетным записям пользователей. Всестороннее расследование затронутых сайтов выявило в общей сложности 1460 API, подверженных риску использования. Последствия этой уязвимости очевидны, о чем свидетельствуют скомпрометированные файлы, собранные с систем-жертв, в которых отображаются списки учетных записей пользователей в стиле /etc/passwd, указывающие на полный захват системы.

Кроме того, данные из журналов подтвердили, что несколько Веб-шеллов были успешно загружены на веб-сайты жертв, особенно в таких регионах, как Канада и Япония. Эти журналы содержат подробные записи о взломанных веб-сайтах, включая пути доступа к установленным Веб-шеллам и параметры, определенные злоумышленниками для поддержания контроля над системами.

Инциденты указывают на то, что различные независимые злоумышленники участвуют в эксплуатации CVE-2025-54236. Хотя эти атаки кажутся несогласованными, в совокупности они подчеркивают активное злоупотребление этой уязвимостью для обхода аутентификации, полной компрометации системы и развертывания вредоносных Веб-шеллов для постоянного доступа. Сохраняющаяся опасность, исходящая от этой уязвимости, рекомендует тем, кто использует платформы Magento, немедленно осознать ее и предпринять усилия по устранению.

#ParsedReport #CompletenessMedium
02-02-2026

"Danger Bulletin": UAC-0001 (APT28) conducts cyberattacks against Ukraine and EU countries via CVE-2026-21509 (CERT-UA#19542) exploit

https://cert.gov.ua/article/6287250

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Com_hijacking_technique
Covenant_c2_tool

Victims:
Ukraine, European union countries

Geo:
Pol, Ukraine, Ukrainian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1203

IOCs:
File: 11
Hash: 24
Url: 10
Domain: 3
IP: 12
Path: 2
Registry: 1
Command: 2

Soft:
Microsoft Office, Windows registry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
26 января 2026 года Microsoft раскрыла уязвимость CVE-2026-21509, затрагивающую продукты Microsoft Office, которая используется хакерской группировкой APT28 (UAC-0001) для атак на Украину и страны ЕС. Это указывает на изменение тактики в сторону использования известных уязвимостей для кибершпионажа, что потенциально позволяет выполнять произвольный код в скомпрометированных системах. Атаки были стратегически спланированы на фоне геополитической напряженности в Восточной Европе.
-----

26 января 2026 года корпорация Майкрософт сообщила об уязвимости, идентифицированной как CVE-2026-21509, которая затрагивает продукты Microsoft Office. Этот недостаток безопасности активно использовался в кибератаках, нацеленных на Украину и страны Европейского союза, связанных с хакерской группировкой UAC-0001, также известной как APT28.

APT28 известна своей деятельностью в области кибершпионажа и имеет историю нацеливания на геополитических противников. Использование CVE-2026-21509 указывает на изменение их тактики, поскольку они используют известные уязвимости в широко используемом программном обеспечении для облегчения своих атак. Подробности, связанные с механизмами атаки, широко не раскрываются; однако основной вектор предполагает использование этой конкретной уязвимости в Microsoft Office, потенциально позволяющей злоумышленникам выполнять произвольный код в уязвимых системах.

Сроки и географическая направленность атак соответствуют сохраняющейся напряженности в Восточной Европе, что позволяет предположить, что эти кибероперации служат более широким стратегическим целям. Организациям, использующим продукты Microsoft Office, настоятельно рекомендуется уделять приоритетное внимание исправлению и снижению рисков, связанных с этой уязвимостью, для защиты от потенциальных нарушений, вызванных вредоносной деятельностью APT28.

#ParsedReport #CompletenessMedium
28-01-2026

Operation Bizarre Bazaar: First Attributed LLMjacking Campaign with Commercial Marketplace Monetization

https://www.pillar.security/resources/operation-bizarre-bazaar

Report completeness: Medium

Actors/Campaigns:
Bizarre_bazaar (motivation: financially_motivated, cyber_criminal)
Hecker (motivation: financially_motivated)

Threats:
Llmjacking_technique
Supply_chain_technique

Victims:
Ai infrastructure, Llm endpoints, Mcp endpoints

Industry:
Retail, E-commerce

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1078, T1110, T1133, T1190, T1583, T1595

IOCs:
Domain: 4
IP: 10

Soft:
Ollama, Discord, Telegram, Slack

#ParsedReport #GeneratedSchema
Generated with GPT-4