#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по разведке была нацелена на инфраструктуру Citrix, используя более 63 000 residential proxies и ресурсы AWS для выявления уязвимых систем и сбора сведений о версиях. 1 февраля всплеск запросов с 10 IP-адресов AWS, связанных с файлом настройки Citrix Endpoint Analysis, свидетельствовал о потенциальном злонамеренном намерении. Анализ выявил единственный IP-адрес Microsoft Azure, генерирующий значительный трафик, и использовал уникальные методы снятия отпечатков пальцев по протоколу TCP, что указывает на скрытный подход к разведке.
-----

Недавний анализ выявил скоординированную кампанию разведки, нацеленную на инфраструктуру Citrix, с использованием более 63 000 residential proxies и ресурсов AWS для сопоставления панелей входа и перечисления сведений о версиях. Кампания состояла из двух синхронизированных операций, которые начались незадолго до 1 февраля и были направлены исключительно на выявление уязвимых систем Citrix и сбор информации о версиях, указывающей на подготовительные шаги к потенциальному использованию.

Один из самых поразительных аспектов кампании стало широкое использование единого Майкрософт Azure Канада IP-адрес, который несет ответственность за создание почти 39,500 занятия—36% от общего входа с помощью панели трафик отметил. Анализ показывает, что "Прометей" черного ящика-экспортер агент пользователя был трудоустроен, хотя такие агенты пользователей нередко легко подделать, они также могут быть эффективно контролируется и блокируется системами безопасности.

Тревожным аспектом этой разведки стала сосредоточенная активность, наблюдавшаяся 1 февраля, когда 10 IP-адресов AWS в совокупности сгенерировали 1892 запроса, нацеленных на установочный файл Citrix Endpoint Analysis, всего за шесть часов. Этот всплеск активности вызывает тревогу относительно последующих злонамеренных намерений, учитывая сосредоточенность на получении конфиденциальных сведений о системе, которые могут способствовать дальнейшим эксплойтам.

Более того, анализ отпечатков пальцев TCP показал, что доминирующий источник Azure демонстрирует уникальный профиль вложенной инкапсуляции VPN/туннеля с нестандартным максимальным размером сегмента (MSS), установленным значительно ниже типичного порогового значения. Такая схема работы предполагает методичный подход к сохранению скрытности в процессе разведки, отражающий повышенную осведомленность об операционной безопасности сети.

В свете этой кампании рекомендуется принять несколько защитных мер. Организациям следует пересмотреть свои возможности использования внешнего Citrix Gateway и подтвердить бизнес-необходимость любых развертываний, ориентированных на Интернет. Внедрение строгих протоколов аутентификации для критически важных каталогов, таких как /epa/scripts/ directory, имеет жизненно важное значение. Кроме того, следует установить конфигурации для подавления раскрытия версий в HTTP-ответах, и крайне важно отслеживать попытки аномального доступа, исходящие от местных интернет-провайдеров в неожиданных географических точках, чтобы упреждающе выявлять потенциальные угрозы.

#ParsedReport #CompletenessLow
02-02-2026

How fake party invitations are being used to install remote access tools

https://www.malwarebytes.com/blog/threat-intel/2026/02/how-fake-party-invitations-are-being-used-to-install-remote-access-tools

Report completeness: Low

Threats:
Screenconnect_tool
Lolbin_technique

Victims:
Individual users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.002, T1218.007, T1566.001

IOCs:
File: 2
Domain: 1

Soft:
Windows service, TikTok

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя мошенническая кампания нацелена на частных лиц в Великобритании путем распространения поддельного приглашения на вечеринку, которое устанавливает клиентское средство удаленного доступа ScreenConnect в системах Windows. Файл MSI, замаскированный под приглашение, запускается msiexec.exe для бесшумной установки программного обеспечения, позволяющего злоумышленникам получить контроль над скомпрометированными системами через зашифрованные соединения. Признаки компрометации включают наличие файла RSVPPartyInvitationCard.msi, неожиданную установку клиента ScreenConnect и необычные исходящие подключения к определенным доменам ретрансляции.
-----

Недавно появилась мошенническая кампания, использующая поддельные приглашения на вечеринки, чтобы обманом заставить жертв установить инструмент удаленного доступа под названием ScreenConnect Client на их компьютеры с Windows. Эта атака в первую очередь нацелена на отдельных лиц в Великобритании, но потенциально может распространиться и на другие регионы. Мошенничество осуществляется путем распространения файла MSI, замаскированного под приглашение на вечеринку, который при открытии выполняет msiexec.exe для автоматической установки программного обеспечения удаленного доступа без согласия пользователя.

Как только клиент ScreenConnect установлен, он устанавливает зашифрованные исходящие соединения со своими ретрансляционными серверами, предоставляя злоумышленникам полный контроль над скомпрометированными системами. Этот метод особенно эффективен, поскольку он использует нормальное человеческое любопытство и склонность положительно реагировать на кажущиеся безобидными сообщения, что делает его малорискованным для потенциальных жертв.

Признаки того, что система могла быть затронута этим мошенничеством, включают наличие загруженного файла с именем RSVPPartyInvitationCard.msi, неожиданную установку клиента ScreenConnect, наличие Службы Windows, связанной со ScreenConnect случайными символами, и исходящие HTTPS-соединения с доменами ретрансляции ScreenConnect. Кроме того, если система разрешает домен, связанный с приглашением, xnyr.digital, это может быть явным признаком компрометации.

Пользователям рекомендуется отключиться от Интернета, чтобы предотвратить дальнейшее использование, проверить свои системы на наличие клиента ScreenConnect и удалить его, если он обнаружен. Выполнение всесторонней проверки безопасности и смена важных паролей с защищенного устройства также являются рекомендуемыми действиями для уменьшения потенциального ущерба от атаки.

#ParsedReport #CompletenessHigh
02-02-2026

The Chrysalis Backdoor: A Deep Dive into Lotus Blossoms toolkit

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit

Report completeness: High

Actors/Campaigns:
Dragonfish (motivation: cyber_espionage)

Threats:
Chrysalis
Dll_sideloading_technique
Warbird_loader
Microsoft_warbird_tool
Metasploit_tool
Cobalt_strike_tool
Process_injection_technique

Victims:
Government, Telecom, Aviation, Critical infrastructure, Media, Southeast asia, Central america

Industry:
Government, Aerospace, Telco, Critical_infrastructure

Geo:
America, Chinese, Malaysia, Asia

TTPs:
Tactics: 5
Technics: 20

IOCs:
File: 13
IP: 4
Hash: 16
Domain: 2
Path: 2

Soft:
NSIS installer, Google Chrome, Windows Service, Mac OS

Algorithms:
fnv1-a, rc4, murmur, sha256, fnv-1a, xor

Win API:
GetProcAddress, LoadLibraryA, ShellExecuteA, HttpSendRequestA, GetOEMCP, CreateProcessW, GetLogicalDriveStringsA, GetDriveTypeA, InternetConnectA, CreateThread, have more...

Platforms:
intel, x64

Links:
https://github.com/rapid7/metasploit-framework/blob/master/external/source/shellcode/windows/x86/src/block/block\_api.asm
https://github.com/phoenixthrush/Tiny-C-Compiler
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 6, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Lotus Blossom была связана с изощренной хакерской кАмпанией по борьбе с киберугрозами, использующей недавно обнаруженный бэкдор Chrysalis, который получает первоначальный доступ через замаскированный установщик NSIS. Бэкдор использует стороннюю вредоносную библиотеку, которая расшифровывает и выполняет шелл-код, который настраивает закрепление и собирает системную информацию с помощью различных скрытых методов, включая пользовательское хэширование и модификации реестра. Он взаимодействует с сервером C2 по протоколу HTTP и демонстрирует расширенные возможности, такие как Отражающая загрузка кода и выполнение в одном экземпляре, чтобы улучшить свою тактику уклонения.
-----

Была выявлена изощренная хакерская кАмпания, атрибутируемая с китайской APT-группировкой Lotus Blossom, центральным компонентом которой является недавно обнаруженный бэкдор Chrysalis. Lotus Blossom, который работает с 2009 года, традиционно ориентирован на такие секторы, как государственное управление, телекоммуникации и критически важная инфраструктура в Юго-Восточной Азии и Центральной Америке. Первая точка входа часто достигается с помощью замаскированного установщика NSIS с именем "update.exe ," который служит вектором для начальной полезной нагрузки.

При выполнении <url> — по сути, перепрофилированного легитимного приложения — вредоносная библиотека регистрируется в журнале.библиотека dll загружается сбоку, что приводит к двум критически важным функциям - LogInit и LogWrite. Эти функции расшифровывают и выполняют шелл-код, отмечая инициализацию Backdoor. Вредоносное ПО использует специальный алгоритм хэширования для разрешения API, сочетающий FNV1a и этап завершения в стиле MurmurHash, что усложняет обнаружение.

Расшифрованные шеллкода затем загружает светоотражающие PE-как модуль, который инициирует стандартной среды выполнения Microsoft с (ЭЛТ) процедуры динамически импортировать необходимые библиотеки, такие как oleaut32.dll и shell32.dll. Конфигурация вредоносное ПО обеспечением шифруется и сохраняется в файл, используя метод шифрования RC4 расшифровки, что позволяет настроить закрепление путем создания сервиса или изменения реестра и сбора сведений о системе, версию операционной системы и антивирусного программного обеспечения.

Более того, вредоносное ПО предназначено для принудительного выполнения в одном экземпляре путем регистрации мьютекса. Если мьютекс уже присутствует, вредоносное ПО прекращает выполнение. Собранные данные хэшируются в целях идентификации, что добавляет еще один уровень их операционной безопасности. Связь с сервером командования и контроля (C2), который был отключен во время первоначального анализа, осуществляется посредством HTTP-запросов, что еще больше подчеркивает скрытый характер этой платформы.

Дополнительные артефакты, такие как наличие "libtcc.dll " и необычный исходный файл на языке Си с именем "conf.c" предполагают связь с компилятором Tiny-C, облегчающим выполнение кода с помощью встроенного шеллкода. Это дополнение поддерживает сложности Lotus blossom'S, который объединяет в себе несколько механизмов, чтобы обойти меры безопасности при использовании DLL sideloading и отраженная загрузка кода.

Открытие этих расширенных возможностей указывает на эволюцию стратегии Lotus Blossom's, использующей надежный многоуровневый шелл-код и неуловимые методы выполнения. Зависимость вредоносного ПО как от документированных, так и от недокументированных Windows API означает заметный сдвиг в сторону создания устойчивого и незаметного присутствия в скомпрометированных средах.

#ParsedReport #CompletenessMedium
03-02-2026

CVE-2026-21509: APT28 Actively Exploits Microsoft Office Vulnerability in Ukraine

https://socradar.io/blog/cve-2026-21509-apt28-microsoft-office-ukraine/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, cyber_espionage)

Threats:
Com_hijacking_technique
Covenant_c2_tool

Victims:
Government, Diplomatic organizations

Industry:
Government

Geo:
Pol, Ukraine, Ukrainian, Russian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1204.002, T1566.001

IOCs:
File: 12
Url: 10
Domain: 3
IP: 12
Registry: 1
Command: 2
Hash: 9

Soft:
Microsoft Office, Microsoft Word, Windows Registry

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-21509 - это уязвимость высокой степени серьезности в Microsoft Office с оценкой CVSS 7,8, используемая российской группой APT28 против правительственных и дипломатических учреждений. В атаке используется социальная инженерия, требующая взаимодействия с пользователем для открытия вредоносных документов, которые затем инициируют многоэтапный процесс заражения. Все современные версии Microsoft Office для обеих архитектур уязвимы, что подчеркивает настоятельную необходимость применения пользователями исправлений безопасности.
-----

CVE-2026-21509 - это уязвимость высокой степени серьезности, обнаруженная в Microsoft Office, затрагивающая почти все современные версии программного обеспечения. Уязвимость, которая имеет оценку CVSS 7,8, в настоящее время используется в активных атаках, организованных связанной с Россией группой APT28 (UAC-0001), нацеленных конкретно на правительственные и дипломатические организации, что подчеркивает спектр угроз, связанных с этим недостатком.

Использование CVE-2026-21509 происходит с помощью тактики социальной инженерии, когда злоумышленники создают вредоносные документы Microsoft Office в обход стандартных мер безопасности. В отличие от автоматических атак, процесс эксплуатации требует взаимодействия с пользователем, поскольку жертвы должны открыть зараженные документы, чтобы атака была успешной. Это делает фишинг и поддельные документы основными направлениями для первоначального компрометации.

Цепочка технического выполнения включает в себя многоэтапный процесс заражения, запускаемый после открытия Вредоносного файла. CERT-UA наблюдал эту цепочку убийств в ходе различных атак, особенно направленных на цели в Украине и ЕС. Конкретные детали цепочки заражения демонстрируют, как уязвимость облегчает внедрение вредоносного ПО через приложения Office, позволяя злоумышленникам закрепиться в скомпрометированных сетях.

Все версии Microsoft Office, работающие как на 32-разрядной (x86), так и на 64-разрядной (x64) архитектурах, подвержены этой уязвимости, что подчеркивает риск для широкого круга пользователей, которые еще не установили необходимые исправления. Риску подвержены две основные группы: организации, которые в настоящее время являются объектами активных кампаний, и любые организации, которым еще предстоит обновить свои системы с помощью исправлений безопасности.

Чтобы снизить риск, связанный с CVE-2026-21509, организациям, использующим уязвимые версии Microsoft Office, важно своевременно внедрять внешние обновления для системы безопасности, выпускаемые Корпорацией Майкрософт. Этот шаг имеет решающее значение для защиты от активных эксплойтов, использующих эту значительную уязвимость.

#ParsedReport #CompletenessLow
03-02-2026

The Rise of Arsink Rat

https://zimperium.com/blog/the-rise-of-arsink-rat

Report completeness: Low

Threats:
Arsink

Victims:
Android users

Geo:
Algeria, Americas, African, Pakistan, Africa, India, Indonesia, Egypt, Iraq, Bangladesh, Yemen, Asia, Middle east, Morocco

TTPs:
Tactics: 9
Technics: 14

IOCs:
File: 3

Soft:
Android, Telegram, Discord, WhatsApp, Instagram, TikTok, Google Play

Algorithms:
exhibit, base64

Links:
https://github.com/Zimperium/IOC/tree/master/2026-01-ArsinkRAT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arsink - это облачная RAT для Android, ориентированная на агрессивный сбор данных и удаленное управление зараженными устройствами, в основном распространяемая с помощью социальной инженерии на таких платформах, как Telegram и Discord. Он использует законные Облачные сервисы для операций управления, что позволяет ему извлекать конфиденциальные данные, такие как SMS, журналы вызовов и аудиозаписи, сохраняя при этом закрепление, чтобы избежать обнаружения. Вредоносное ПО связано с более чем 45 000 уникальных IP-адресов в 143 странах и использует различные методы из платформы MITRE ATT&CK, включая фишинг и методы сбора данных.
-----

Arsink - это облачный троян для удаленного доступа к Android (RAT), предназначенный для агрессивного сбора данных и предоставления удаленного управления зараженными устройствами. Это вредоносное ПО действует через различные каналы распространения, в первую очередь используя тактику социальной инженерии. Наблюдения показывают, что вредоносные наборы пакетов для Android (APK) распространяются через Telegram-каналы, посты в Discord и прямые ссылки на файлообменные сервисы, такие как MediaFire.

Arsink использует механизмы управления (C2), использующие законные Облачные сервисы, такие как Google Drive, Firebase Realtime Database и Telegram. Универсальность вредоносного ПО распространяется и на методы эксфильтрации данных, которые являются неотъемлемой частью его работы. Анализ этой RAT выявил ее способность извлекать конфиденциальную информацию, включая SMS-сообщения, журналы вызовов, списки контактов и другие идентификаторы устройств. Кроме того, вредоносное ПО может записывать звук с микрофона устройства и поддерживает постоянное фоновое присутствие, чтобы избежать обнаружения пользователями.

Операционный охват Arsink обширен и глобален: выявлено более 45 000 уникальных зараженных IP-адресов в 143 странах. Этот широкое распространение означает эволюционный характер угрозы, что вызвало активные меры обороны. Совместные усилия с технологическими гигантами, как Google, привели к демонтажу некоторых вредоносных объектов инфраструктуры, связанных с Arsink, усиливая важность скоординированной стратегии реагирования на угрозы в ликвидации таких кампаний.

Платформа MITRE ATT&CK классифицирует различные методы, используемые Arsink, выделяя методы первоначального доступа, такие как доставка вредоносных приложений по неофициальным каналам и попытки фишинга на таких платформах, как Telegram и Discord. Кроме того, вредоносное ПО использует методы Изучения системы, сбора данных, командования и контроля, а также обхода защиты, что расширяет его возможности действовать незамеченным.

Несмотря на то, что Arsink's полагается на законные платформы для управления и быстрой генерации вариантов, существуют эффективные механизмы защиты. Такие решения, как защита от мобильных угроз Zimperium, демонстрируют потенциал снижения этих рисков с помощью методов обнаружения, основанных на поведении. Эта возможность является ключевой при выявлении вредоносных действий, не полагаясь исключительно на статические сигнатуры или известные признаки компрометации, что подчеркивает необходимость принятия комплексных мер безопасности против таких постоянных угроз.

#ParsedReport #CompletenessMedium
03-02-2026

Illusion of Robbery: F6 analyzed "Team Legion" activity and its connection to the NyashTeam cyber group

https://www.f6.ru/blog/nyashteam-legion/

Report completeness: Medium

Actors/Campaigns:
Legion (motivation: cyber_criminal)
Nyashteam (motivation: cyber_criminal)
Cryptobytes

Threats:
Legion_tool
Webrat
Dcrat
Salatstealer

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1583.001, T1583.003, T1587.001

IOCs:
Domain: 8
Url: 28
Path: 1
Command: 1
File: 6
Hash: 103

Soft:
VirtualBox, Telegram, Roblox

Algorithms:
sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
F6 Threat Intelligence выявила новый тип вредоносного ПО, специально предназначенный для маскировки под программы-вымогатели, но в основном предназначенный для препятствования операциям, а не для прямого финансового вымогательства. Русскоязычная группа по борьбе с угрозами NyashTeam, действующая с 2022 года, специализируется на вредоносном ПО как сервисе и создала такие инструменты, как DCRat и WebR, сдавая в аренду операционную инфраструктуру с более чем 110 связанными доменами. Такая эволюция тактики киберпреступников усложняет обнаружение угроз и подчеркивает постоянную необходимость адаптации специалистов по кибербезопасности.
-----

F6 Threat Intelligence провела анализ нового типа вредоносного ПО, идентифицированного как блокировщик, который предназначен для маскировки под Ransomware. Это вредоносное ПО изначально представляет собой типичный шифровальщик, шифрующий файлы и требующий выкуп, но его основной целью может быть не прямое финансовое вымогательство. Вместо того чтобы вести себя как обычный вариант программы-вымогателя, он функционирует таким образом, чтобы препятствовать операциям, тем самым иллюстрируя обманчивый подход в тактике киберпреступников.

В исследовании также изучалась деятельность группы угроз, известной как NyashTeam, русскоязычной киберпреступной организации, которая действует как минимум с 2022 года. Эта группа специализируется на вредоносном ПО как на услуге (MaaS), предлагая такие инструменты, как DCRat и WebR, в качестве полезной нагрузки для продажи. Известно также, что они арендуют услуги хостинга для операционных панелей, связанных с этими предложениями вредоносного программного обеспечения. В ходе своего анализа аналитики F6 выявили более 110 доменов, зарегистрированных в рамках .Зона RU связана с инфраструктурой этой группы, которая впоследствии была нацелена и заблокирована для смягчения потенциальных угроз.

Кроме того, аналитики отметили, что имитация продвинутых угроз встречается нечасто; однако, похоже, что киберпреступники пытаются представить свою деятельность как разновидности более опасных форм, таких как Ransomware. Такая изощренность предполагает эволюцию тактики, которая может усложнить усилия по обнаружению угроз и реагированию на них. В целом, эти выводы подчеркивают настоятельную необходимость постоянной бдительности и адаптации специалистов по кибербезопасности для противодействия таким развивающимся угрозам, исходящим от таких групп, как NyashTeam и связанного с ними вредоносного ПО.

#ParsedReport #CompletenessHigh
03-02-2026

Notepad++ Infrastructure Hijacked in State-Linked Supply Chain Attack

https://socradar.io/blog/notepad-infrastructure-hijacked/

Report completeness: High

Actors/Campaigns:
Dragonfish

Threats:
Dll_sideloading_technique
Chrysalis
Microsoft_warbird_tool
Supply_chain_technique
Process_injection_technique

Victims:
Notepad plus plus users, Software supply chain

Industry:
Critical_infrastructure, Government

Geo:
Asia, Chinese

TTPs:
Tactics: 4
Technics: 20

IOCs:
File: 3
Domain: 2
Hash: 16
IP: 4

Soft:
NSIS installer, Windows Service

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4