#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-54236, или SessionReaper, является критической уязвимостью в Magento, которая позволяет злоумышленникам обходить аутентификацию с помощью неправильно проверенных токенов сеанса, что приводит к компрометации системы. Кампании по эксплуатации были нацелены на более чем 1000 уязвимых API Magento, при этом было подтверждено, что 216 веб-сайтов взломаны и получен root-доступ. Злоумышленники использовали методы перехвата сеансов и загружали Веб-шеллы для поддержания контроля над системами, что указывает на множество независимых злоумышленников, использующих этот недостаток со злым умыслом.
-----

CVE-2025-54236, также известная как SessionReaper, представляет собой значительную уязвимость в Magento, которая позволяет злоумышленникам использовать неправильно признанные недействительными токены сеанса, что приводит к обходу аутентификации и потенциально полному компрометированию системы. Этот недостаток способствовал агрессивной кампании по эксплуатации, подчеркивая настоятельную необходимость для пользователей Magento обеспечить безопасность своей среды. Злоумышленники использовали эту уязвимость для атаки на более чем 1000 уязвимых API Magento Commerce, при этом 216 веб-сайтов были идентифицированы как полностью скомпрометированные, что предоставило злоумышленникам root-доступ.

Процесс эксплуатации включает в себя захват и повторное использование токенов сеанса, что позволяет перехватывать сеансы и получать несанкционированный доступ к учетным записям пользователей. Всестороннее расследование затронутых сайтов выявило в общей сложности 1460 API, подверженных риску использования. Последствия этой уязвимости очевидны, о чем свидетельствуют скомпрометированные файлы, собранные с систем-жертв, в которых отображаются списки учетных записей пользователей в стиле /etc/passwd, указывающие на полный захват системы.

Кроме того, данные из журналов подтвердили, что несколько Веб-шеллов были успешно загружены на веб-сайты жертв, особенно в таких регионах, как Канада и Япония. Эти журналы содержат подробные записи о взломанных веб-сайтах, включая пути доступа к установленным Веб-шеллам и параметры, определенные злоумышленниками для поддержания контроля над системами.

Инциденты указывают на то, что различные независимые злоумышленники участвуют в эксплуатации CVE-2025-54236. Хотя эти атаки кажутся несогласованными, в совокупности они подчеркивают активное злоупотребление этой уязвимостью для обхода аутентификации, полной компрометации системы и развертывания вредоносных Веб-шеллов для постоянного доступа. Сохраняющаяся опасность, исходящая от этой уязвимости, рекомендует тем, кто использует платформы Magento, немедленно осознать ее и предпринять усилия по устранению.

#ParsedReport #CompletenessMedium
02-02-2026

"Danger Bulletin": UAC-0001 (APT28) conducts cyberattacks against Ukraine and EU countries via CVE-2026-21509 (CERT-UA#19542) exploit

https://cert.gov.ua/article/6287250

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Com_hijacking_technique
Covenant_c2_tool

Victims:
Ukraine, European union countries

Geo:
Pol, Ukraine, Ukrainian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1203

IOCs:
File: 11
Hash: 24
Url: 10
Domain: 3
IP: 12
Path: 2
Registry: 1
Command: 2

Soft:
Microsoft Office, Windows registry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
26 января 2026 года Microsoft раскрыла уязвимость CVE-2026-21509, затрагивающую продукты Microsoft Office, которая используется хакерской группировкой APT28 (UAC-0001) для атак на Украину и страны ЕС. Это указывает на изменение тактики в сторону использования известных уязвимостей для кибершпионажа, что потенциально позволяет выполнять произвольный код в скомпрометированных системах. Атаки были стратегически спланированы на фоне геополитической напряженности в Восточной Европе.
-----

26 января 2026 года корпорация Майкрософт сообщила об уязвимости, идентифицированной как CVE-2026-21509, которая затрагивает продукты Microsoft Office. Этот недостаток безопасности активно использовался в кибератаках, нацеленных на Украину и страны Европейского союза, связанных с хакерской группировкой UAC-0001, также известной как APT28.

APT28 известна своей деятельностью в области кибершпионажа и имеет историю нацеливания на геополитических противников. Использование CVE-2026-21509 указывает на изменение их тактики, поскольку они используют известные уязвимости в широко используемом программном обеспечении для облегчения своих атак. Подробности, связанные с механизмами атаки, широко не раскрываются; однако основной вектор предполагает использование этой конкретной уязвимости в Microsoft Office, потенциально позволяющей злоумышленникам выполнять произвольный код в уязвимых системах.

Сроки и географическая направленность атак соответствуют сохраняющейся напряженности в Восточной Европе, что позволяет предположить, что эти кибероперации служат более широким стратегическим целям. Организациям, использующим продукты Microsoft Office, настоятельно рекомендуется уделять приоритетное внимание исправлению и снижению рисков, связанных с этой уязвимостью, для защиты от потенциальных нарушений, вызванных вредоносной деятельностью APT28.

#ParsedReport #CompletenessMedium
28-01-2026

Operation Bizarre Bazaar: First Attributed LLMjacking Campaign with Commercial Marketplace Monetization

https://www.pillar.security/resources/operation-bizarre-bazaar

Report completeness: Medium

Actors/Campaigns:
Bizarre_bazaar (motivation: financially_motivated, cyber_criminal)
Hecker (motivation: financially_motivated)

Threats:
Llmjacking_technique
Supply_chain_technique

Victims:
Ai infrastructure, Llm endpoints, Mcp endpoints

Industry:
Retail, E-commerce

Geo:
Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1078, T1110, T1133, T1190, T1583, T1595

IOCs:
Domain: 4
IP: 10

Soft:
Ollama, Discord, Telegram, Slack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Bizarre Bazaar - это первый приписываемый случай LLMjacking, когда злоумышленник "Hecker" использовал слабо аутентифицированную инфраструктуру искусственного интеллекта, что привело к 35 000 сеансам атаки в течение 40 дней. Были применены методы, отражающие криптоджекинг, что позволило создать Цепочку поставок через silver.inc и свидетельствовало о систематическом нацеливании в среднем на 972 атаки в день. Эта кампания выявляет критические риски, включая несанкционированное использование API и потенциальную компрометацию данных, выявляя текущие угрозы для открытых сервисов искусственного интеллекта.
-----

Операция Bizarre Bazaar знаменует собой значительный прогресс в области киберугроз, являясь первой приписываемой кампании LLMjacking, которая представляет собой несанкционированное использование инфраструктуры большой языковой модели. За этой операцией наблюдали в период с декабря 2025 по январь 2026 года с помощью приманки, созданной Pillar Security Research, которая имитировала незащищенную инфраструктуру искусственного интеллекта. Расследование выявило ошеломляющие 35 000 сеансов атак чуть более чем за 40 дней, что указывает на скоординированные усилия, а не просто на оппортунистические атаки. Кампания была в основном организована злоумышленником, идентифицированным как "Хекер", также известным под такими псевдонимами, как Sakuya и LiveGamer101.

Методы, использованные в этой операции, очень напоминали методы криптоджекинга, фокусируясь на использовании слабо аутентифицированных конечных точек искусственного интеллекта. Нацелившись на уязвимую инфраструктуру искусственного интеллекта, "Хекер" и связанные с ним акторы смогли создать комплексную Цепочку поставок LLMjacking, контролируя инфраструктуру silver.inc. Злоумышленники использовали систематические стратегии нацеливания, о чем свидетельствуют в среднем 972 атаки в день.

Риски, связанные с LLMjacking, выходят за рамки простого потребления вычислительных ресурсов с целью получения прибыли. Несанкционированное использование API может привести к компрометации конфиденциальных данных и интеллектуальной собственности, что подчеркивает настоятельную необходимость внедрения организациями важнейших мер безопасности. Непосредственные рекомендации включают включение аутентификации на всех конечных точках LLM, что позволяет снизить уязвимости, связанные с коммерческим использованием акторами, подобными тем, кто стоит за silver.inc.

Более того, исследование высветило необходимость защиты общедоступных конечных точек искусственного интеллекта, которым часто отдают предпочтение злоумышленники из-за их низких барьеров безопасности. Чтобы снизить риски, организациям следует рассмотреть возможность ограничения скорости, ограничений на использование и поведенческого мониторинга, чтобы снизить привлекательность своей инфраструктуры в качестве цели. Регулярное сканирование внешней поверхности атаки необходимо для обеспечения того, чтобы конфиденциальные службы не подвергались непреднамеренному воздействию.

Кроме того, была выявлена отдельная кампания по разведке, нацеленная на конечные точки Model Context Protocol (MCP), при этом 60% трафика атак было связано с этим отдельным злоумышленником. Эта текущая деятельность показывает, что инфраструктура silver.inc остается работоспособной, представляя собой сохраняющийся ландшафт угроз для уязвимых сервисов искусственного интеллекта.

#ParsedReport #CompletenessLow
27-01-2026

From XLoader to Phantom Stealer: A DHL-Themed multi-stage Infection Chain

https://medium.com/@mk7912/from-xloader-to-phantom-stealer-a-dhl-themed-multi-stage-infection-chain-5d552eee828d

Report completeness: Low

Threats:
Phantom_stealer
Formbook
Dll_sideloading_technique
Process_hollowing_technique

Victims:
General users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.012, T1204.002, T1566.001, T1574.002, T1620

IOCs:
File: 3
Hash: 5

Soft:
Discord, Telegram

Algorithms:
cbc, aes-256-cbc, aes, zip, pbkdf2, xor, aes-256

Functions:
main

Win API:
CreateProcessW, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory

Languages:
python, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная многоэтапная Вредоносная Кампания использует спам-письма на тему DHL для доставки Phantom Stealer версии 3.5.0. Атака начинается с ZIP-файла, содержащего вводящий в заблуждение исполняемый файл с именем DHL-INVOICE.exe , который имеет цифровую подпись, чтобы казаться законным. Второй этап вредоносного ПО использует XLoader для динамической загрузки полезной нагрузки в память, используя такие методы, как Внедрение в пустой процесс, и завершается развертыванием Phantom Stealer, сложного .NET-вредоносного ПО, основанного на .NET, способного красть учетные данные, осуществлять Регистрацию нажатием клавиш и облегчать эксфильтрацию данных.
-----

Недавно выявленная многоэтапная Вредоносная Кампания использует спам-рассылку на тему DHL в качестве первоначального источника заражения с целью доставки вредоносного ПО версии Phantom Stealer v3.5.0. Атака начинается с вводящего в заблуждение электронного письма со строкой темы "СЧЕТ DHL", в котором получателям предлагается открыть вложенный ZIP-файл, маскирующий вредоносный исполняемый файл под законный счет. В электронном письме отсутствуют конкретные данные, такие как номера отслеживания, что указывает на массовый спам.

После извлечения ZIP-файла в нем обнаруживается исполняемый файл с именем DHL-INVOICE.exe, к которому прилагаются необходимые библиотеки DLL во время выполнения. Примечательно, что DHL-INVOICE.exe имеет цифровую подпись Azul Systems, Inc., что придает ему ложную легитимность. Изначально появившийся как стандартный файл Java-утилиты, на самом деле его функциональность вредоносна. Названный в честь легального Java-архиватора, файл выполняет функции, обычно связанные с jli.dll. Однако эти функции, несмотря на их знакомые названия, вместо этого выполняют вредоносный код.

Второй этап предполагает использование jli.dll , который идентифицируется как XLoader. Этот компонент инициирует вредоносную логику с помощью таких методов, как MW_MainDispatcher, который облегчает поиск конфигурации и управляет загрузкой фактической полезной нагрузки. XLoader имеет запутанный поток управления, который включает в себя критически важные функции для проверки и загрузки переносимых исполняемых файлов (PE). Сначала он проверяет наличие действительных сигнатур DOS, гарантируя, что обрабатываемые файлы действительно являются исполняемыми, а затем проводит дальнейшие проверки для проверки двоичных форматов PE.

После подтверждения целостности PE-файла XLoader приступает к ручной загрузке полезной нагрузки в память, не прибегая к стандартным API-интерфейсам загрузчика Windows. Он использует такие процессы, как выделение памяти с определенными разрешениями и копирование данных заголовка и раздела из PE-файла в свою собственную выделенную память. Этот метод включает в себя такие методы, как Внедрение в пустой процесс, при котором вредоносная полезная нагрузка внедряется в законные .NET-процессы, чтобы запутать их активность.

Кульминацией третьего этапа является развертывание Phantom Stealer версии 3.5.0, которая проявляется как вредоносное ПО на базе .NET с возможностями кражи учетных данных из браузеров и электронной почты, мониторинга систем с помощью Регистрации нажатий клавиш и скриншотов, а также упрощения эксфильтрации данных по различным каналам, включая FTP и Telegram. Полезная нагрузка обладает механизмами антианализа и использует методы закрепления, что подчеркивает ее сложность и зрелость как вредоносного ПО.

Весь процесс демонстрирует, как безобидное на вид электронное письмо со счетом-фактурой может привести к заражению сложным вредоносным ПО, эффективно иллюстрируя опасность, которую представляют тактики социальной инженерии в киберугрозах.

#ParsedReport #CompletenessMedium
29-01-2026

Punishing Owl attacks Russia: a new owl in the hacktivist forest

https://habr.com/ru/companies/pt/articles/990374/

Report completeness: Medium

Actors/Campaigns:
Punishing_owl (motivation: hacktivism)

Threats:
Bec_technique
Zipwhisper

Victims:
Government agency, Security industry

Industry:
Government

Geo:
Brazilian, Russia, Kazakhstan, Russian, Brazil

ChatGPT TTPs:
do not use without manual check
T1027, T1204.001, T1204.002, T1566.001, T1566.002, T1583.001, T1583.006, T1584.002, T1585.001, T1585.002, have more...

IOCs:
Domain: 1
IP: 1
File: 1
Email: 1
Hash: 18

Algorithms:
zip, sha256, md5, sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
12 декабря 2025 года хакерская группа Punishing Owl нацелена на российское государственное агентство безопасности, осуществив утечку внутренних документов через сайт утечки данных и Mega.nz хранилище. Впоследствии они осуществили атаки с компрометацией деловой электронной почты (BEC), используя скомпрометированные Адреса эл. почты, чтобы выдать себя за учреждение, отправляя вредоносные электронные письма с защищенным паролем ZIP-архивом, в котором скрывался файл LNK, замаскированный под PDF. Деятельность группы указывает на политически мотивированный хактивистский характер, потенциально связанный с Казахстаном, на фоне растущей геополитической напряженности.
-----

12 декабря 2025 года хакерская группа, известная как Punishing Owl, осуществила атаку на российское правительственное учреждение, связанное с сектором безопасности. Они раскрыли свои действия в сообщении, которое содержало ссылки на сайт утечки данных (DLS), содержащий внутренние документы скомпрометированного агентства, а также Mega.nz хранилище, в котором хранятся те же файлы. Эта операция знаменует появление Punishing Owl как политически мотивированной хактивистской организации, нацеленной на российские учреждения.

Сообщается, что после первоначального взлома Punishing Owl запустила атаки на компрометацию деловой электронной почты (BEC), нацеленные на деловых партнеров жертвы. Группа использовала скомпрометированные Адреса эл. почты для информирования этих контрагентов о взломе и утверждала, что были затронуты как сеть учреждения, так и данные его клиентов. Электронные письма направляли получателей на домен с измененными записями DNS, которые перенаправлялись на DLS. Примечательно, что эти сообщения были отправлены с бразильского сервера, и отправитель выдавал себя за учреждение-жертву, используя Адрес эл. почты, полученный из скомпрометированного домена.

Вредоносные электронные письма содержали защищенный паролем ZIP-архив, в котором скрывался файл LNK, который был замаскирован под документ PDF с двойным расширением, что позволило использовать тактику социальной инженерии для обмана получателей. Этот метод отражает распространенный прием, используемый в кибератаках, когда типы файлов изменяются, чтобы скрыть вредоносный контент.

Онлайн-активность группы предполагает, что ее операциями могут управлять из Казахстана, как следует из внутренних алгоритмов социальной сети, привязанной к их аккаунту. Это наблюдение связано с более широким геополитическим контекстом, где ожидается, что растущая политическая напряженность приведет к появлению новых группировок хактивистов как в российском, так и в глобальном киберпространстве. Деятельность Punishing Owl может представлять собой заметный сдвиг в мотивах и методах, используемых появляющимися хакерскими группировками в условиях продолжающегося международного конфликта.

#ParsedReport #CompletenessHigh
02-02-2026

APT28 Leverages CVE-2026-21509 in Operation Neusploit

https://www.zscaler.com/blogs/security-research/apt28-leverages-cve-2026-21509-operation-neusploit

Report completeness: High

Actors/Campaigns:
Neusploit
Fancy_bear
Phantom_net_voxel

Threats:
Minidoor
Pixynetloader
Covenant_c2_tool
Grunt
Notdoor
Steganography_technique
Com_hijacking_technique
Spear-phishing_technique

Victims:
Users in central and eastern europe

Geo:
Romania, Russia, Slovakia, Romanian, Ukraine, Ukrainian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 5
Technics: 15

IOCs:
Path: 6
Registry: 1
Email: 2
File: 5
Command: 2
Domain: 2
Url: 3
Hash: 12

Soft:
Outlook, Microsoft Outlook Visual Basic for Applications, Windows registry, Microsoft Outlook, Windows scheduled task, Microsoft Office, Component Object Model

Algorithms:
xor, base64

Functions:
DeleteAfterSubmit, Sleep

Win API:
CreateProcess, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, NtAllocateVirtualMemory, SafeArrayCreate, SafeArrayAccessData

Links:
https://github.com/ThreatLabz/tools/blob/main/apt28/operation\_neusploit/minidoor.txt
have more...
https://github.com/ThreatLabz/tools/blob/main/apt28/operation\_neusploit/office.xml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Neusploit, атрибутируемая с группой APT28, была нацелена на страны Центральной и Восточной Европы с использованием созданных Microsoft RTF-файлов для использования CVE-2026-21509. В результате атаки была создана вредоносная библиотека dropper DLL в двух вариантах: один, MiniDoor, крадет электронные письма из Outlook, в то время как второй, PixyNetLoader, использует Стеганографию для выполнения сборки .NET, привязанной к платформе Covenant C2 framework. Кампания демонстрирует передовые методы, включая проверку окружающей среды на скрытность и закрепление с помощью запланированных задач.
-----

В январе 2026 года Zscaler ThreatLabZ выявил киберкампанию, известную как Operation Neusploit, в которой участвовала APT-группировка, вероятно, APT28, связанная с Россией. Кампания в первую очередь была нацелена на страны Центральной и Восточной Европы, в частности на Украину, Словакию и Румынию, используя специально созданные файлы Microsoft RTF для использования критической уязвимости CVE-2026-21509. Эти документы содержали приманки социальной инженерии на различных языках, адаптированные для региональной аудитории, что позволяло проводить эффективную атаку с Целевым фишингом.

Эксплуатация приводит к многоэтапному процессу заражения, инициируемому специально созданным RTF-файлом. Успешная эксплуатация позволяет загрузить вредоносную библиотеку dropper DLL с сервера злоумышленника. Были идентифицированы два различных варианта этой капельницы, каждый из которых содержит различные компоненты при заражении. Первый вариант развертывает проект Visual Basic for Applications (VBA), известный как MiniDoor, который разработан специально для кражи электронных писем из зараженного приложения Microsoft Outlook. MiniDoor работает как облегченная библиотека DLL, написанная на C++, использующая экспортируемую функцию под названием UIClassRegister и использующая минимальные методы запутывания.

Второй вариант дроппера, названный PixyNetLoader, инициирует более сложную цепочку атак, которая начинается с загрузки нескольких компонентов после использования уязвимости. Это включает в себя библиотеку DLL с именем EhStorShell.dll, которая отвечает за выполнение встроенного шеллкода, извлеченного из файла PNG с использованием Стеганографии. В файле PNG хранится шелл-код, в котором наименее значимые биты пиксельных данных обрабатываются для сокрытия вредоносных инструкций. Основная цель шелл-кода - загрузить сборку .NET, связанную с платформой Covenant C2, известной как Covenant Grunt. Этот имплантат взаимодействует с злоумышленником, используя законные вызовы API, что знаменует заметную эволюцию методов APT28.

Оперативные детали указывают на изощренность кампании, использование экологических проверок и адаптивных методов для обеспечения скрытности и эффективности цепочек заражения. Например, EhStorShell.библиотека dll выполняет свои вредоносные функции только при соблюдении определенных условий, например, при подтверждении того, что среда выполнения не виртуализирована или не изолирована. Кроме того, кампания включала запланированные задачи для обеспечения закрепления и выполнения при срабатывании системы.

#ParsedReport #CompletenessLow
02-02-2026

Dual-Mode Citrix Gateway Reconnaissance: When Residential Proxies Meet Version Hunting

https://www.labs.greynoise.io/grimoire/2026-02-02-citrix-recon-residential-proxies/

Report completeness: Low

Threats:
Residential_proxy_technique

Victims:
Citrix infrastructure

Industry:
Telco

Geo:
Mexico, Canada, Vietnam, Iraq, Algeria, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1090.003, T1583.003, T1584.004, T1590.005, T1592.004, T1595, T1595.001

IOCs:
IP: 11

Soft:
Chrome, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по разведке была нацелена на инфраструктуру Citrix, используя более 63 000 residential proxies и ресурсы AWS для выявления уязвимых систем и сбора сведений о версиях. 1 февраля всплеск запросов с 10 IP-адресов AWS, связанных с файлом настройки Citrix Endpoint Analysis, свидетельствовал о потенциальном злонамеренном намерении. Анализ выявил единственный IP-адрес Microsoft Azure, генерирующий значительный трафик, и использовал уникальные методы снятия отпечатков пальцев по протоколу TCP, что указывает на скрытный подход к разведке.
-----

Недавний анализ выявил скоординированную кампанию разведки, нацеленную на инфраструктуру Citrix, с использованием более 63 000 residential proxies и ресурсов AWS для сопоставления панелей входа и перечисления сведений о версиях. Кампания состояла из двух синхронизированных операций, которые начались незадолго до 1 февраля и были направлены исключительно на выявление уязвимых систем Citrix и сбор информации о версиях, указывающей на подготовительные шаги к потенциальному использованию.

Один из самых поразительных аспектов кампании стало широкое использование единого Майкрософт Azure Канада IP-адрес, который несет ответственность за создание почти 39,500 занятия—36% от общего входа с помощью панели трафик отметил. Анализ показывает, что "Прометей" черного ящика-экспортер агент пользователя был трудоустроен, хотя такие агенты пользователей нередко легко подделать, они также могут быть эффективно контролируется и блокируется системами безопасности.

Тревожным аспектом этой разведки стала сосредоточенная активность, наблюдавшаяся 1 февраля, когда 10 IP-адресов AWS в совокупности сгенерировали 1892 запроса, нацеленных на установочный файл Citrix Endpoint Analysis, всего за шесть часов. Этот всплеск активности вызывает тревогу относительно последующих злонамеренных намерений, учитывая сосредоточенность на получении конфиденциальных сведений о системе, которые могут способствовать дальнейшим эксплойтам.

Более того, анализ отпечатков пальцев TCP показал, что доминирующий источник Azure демонстрирует уникальный профиль вложенной инкапсуляции VPN/туннеля с нестандартным максимальным размером сегмента (MSS), установленным значительно ниже типичного порогового значения. Такая схема работы предполагает методичный подход к сохранению скрытности в процессе разведки, отражающий повышенную осведомленность об операционной безопасности сети.

В свете этой кампании рекомендуется принять несколько защитных мер. Организациям следует пересмотреть свои возможности использования внешнего Citrix Gateway и подтвердить бизнес-необходимость любых развертываний, ориентированных на Интернет. Внедрение строгих протоколов аутентификации для критически важных каталогов, таких как /epa/scripts/ directory, имеет жизненно важное значение. Кроме того, следует установить конфигурации для подавления раскрытия версий в HTTP-ответах, и крайне важно отслеживать попытки аномального доступа, исходящие от местных интернет-провайдеров в неожиданных географических точках, чтобы упреждающе выявлять потенциальные угрозы.

#ParsedReport #CompletenessLow
02-02-2026

How fake party invitations are being used to install remote access tools

https://www.malwarebytes.com/blog/threat-intel/2026/02/how-fake-party-invitations-are-being-used-to-install-remote-access-tools

Report completeness: Low

Threats:
Screenconnect_tool
Lolbin_technique

Victims:
Individual users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.002, T1218.007, T1566.001

IOCs:
File: 2
Domain: 1

Soft:
Windows service, TikTok

Platforms:
x86, intel