#ParsedReport #CompletenessMedium
03-02-2026

CVE-2026-21509: APT28 Actively Exploits Microsoft Office Vulnerability in Ukraine

https://socradar.io/blog/cve-2026-21509-apt28-microsoft-office-ukraine/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, cyber_espionage)

Threats:
Com_hijacking_technique
Covenant_c2_tool

Victims:
Government, Diplomatic organizations

Industry:
Government

Geo:
Pol, Ukraine, Ukrainian, Russian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1204.002, T1566.001

IOCs:
File: 12
Url: 10
Domain: 3
IP: 12
Registry: 1
Command: 2
Hash: 9

Soft:
Microsoft Office, Microsoft Word, Windows Registry

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-21509 - это уязвимость высокой степени серьезности в Microsoft Office с оценкой CVSS 7,8, используемая российской группой APT28 против правительственных и дипломатических учреждений. В атаке используется социальная инженерия, требующая взаимодействия с пользователем для открытия вредоносных документов, которые затем инициируют многоэтапный процесс заражения. Все современные версии Microsoft Office для обеих архитектур уязвимы, что подчеркивает настоятельную необходимость применения пользователями исправлений безопасности.
-----

CVE-2026-21509 - это уязвимость высокой степени серьезности, обнаруженная в Microsoft Office, затрагивающая почти все современные версии программного обеспечения. Уязвимость, которая имеет оценку CVSS 7,8, в настоящее время используется в активных атаках, организованных связанной с Россией группой APT28 (UAC-0001), нацеленных конкретно на правительственные и дипломатические организации, что подчеркивает спектр угроз, связанных с этим недостатком.

Использование CVE-2026-21509 происходит с помощью тактики социальной инженерии, когда злоумышленники создают вредоносные документы Microsoft Office в обход стандартных мер безопасности. В отличие от автоматических атак, процесс эксплуатации требует взаимодействия с пользователем, поскольку жертвы должны открыть зараженные документы, чтобы атака была успешной. Это делает фишинг и поддельные документы основными направлениями для первоначального компрометации.

Цепочка технического выполнения включает в себя многоэтапный процесс заражения, запускаемый после открытия Вредоносного файла. CERT-UA наблюдал эту цепочку убийств в ходе различных атак, особенно направленных на цели в Украине и ЕС. Конкретные детали цепочки заражения демонстрируют, как уязвимость облегчает внедрение вредоносного ПО через приложения Office, позволяя злоумышленникам закрепиться в скомпрометированных сетях.

Все версии Microsoft Office, работающие как на 32-разрядной (x86), так и на 64-разрядной (x64) архитектурах, подвержены этой уязвимости, что подчеркивает риск для широкого круга пользователей, которые еще не установили необходимые исправления. Риску подвержены две основные группы: организации, которые в настоящее время являются объектами активных кампаний, и любые организации, которым еще предстоит обновить свои системы с помощью исправлений безопасности.

Чтобы снизить риск, связанный с CVE-2026-21509, организациям, использующим уязвимые версии Microsoft Office, важно своевременно внедрять внешние обновления для системы безопасности, выпускаемые Корпорацией Майкрософт. Этот шаг имеет решающее значение для защиты от активных эксплойтов, использующих эту значительную уязвимость.

#ParsedReport #CompletenessLow
03-02-2026

The Rise of Arsink Rat

https://zimperium.com/blog/the-rise-of-arsink-rat

Report completeness: Low

Threats:
Arsink

Victims:
Android users

Geo:
Algeria, Americas, African, Pakistan, Africa, India, Indonesia, Egypt, Iraq, Bangladesh, Yemen, Asia, Middle east, Morocco

TTPs:
Tactics: 9
Technics: 14

IOCs:
File: 3

Soft:
Android, Telegram, Discord, WhatsApp, Instagram, TikTok, Google Play

Algorithms:
exhibit, base64

Links:
https://github.com/Zimperium/IOC/tree/master/2026-01-ArsinkRAT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arsink - это облачная RAT для Android, ориентированная на агрессивный сбор данных и удаленное управление зараженными устройствами, в основном распространяемая с помощью социальной инженерии на таких платформах, как Telegram и Discord. Он использует законные Облачные сервисы для операций управления, что позволяет ему извлекать конфиденциальные данные, такие как SMS, журналы вызовов и аудиозаписи, сохраняя при этом закрепление, чтобы избежать обнаружения. Вредоносное ПО связано с более чем 45 000 уникальных IP-адресов в 143 странах и использует различные методы из платформы MITRE ATT&CK, включая фишинг и методы сбора данных.
-----

Arsink - это облачный троян для удаленного доступа к Android (RAT), предназначенный для агрессивного сбора данных и предоставления удаленного управления зараженными устройствами. Это вредоносное ПО действует через различные каналы распространения, в первую очередь используя тактику социальной инженерии. Наблюдения показывают, что вредоносные наборы пакетов для Android (APK) распространяются через Telegram-каналы, посты в Discord и прямые ссылки на файлообменные сервисы, такие как MediaFire.

Arsink использует механизмы управления (C2), использующие законные Облачные сервисы, такие как Google Drive, Firebase Realtime Database и Telegram. Универсальность вредоносного ПО распространяется и на методы эксфильтрации данных, которые являются неотъемлемой частью его работы. Анализ этой RAT выявил ее способность извлекать конфиденциальную информацию, включая SMS-сообщения, журналы вызовов, списки контактов и другие идентификаторы устройств. Кроме того, вредоносное ПО может записывать звук с микрофона устройства и поддерживает постоянное фоновое присутствие, чтобы избежать обнаружения пользователями.

Операционный охват Arsink обширен и глобален: выявлено более 45 000 уникальных зараженных IP-адресов в 143 странах. Этот широкое распространение означает эволюционный характер угрозы, что вызвало активные меры обороны. Совместные усилия с технологическими гигантами, как Google, привели к демонтажу некоторых вредоносных объектов инфраструктуры, связанных с Arsink, усиливая важность скоординированной стратегии реагирования на угрозы в ликвидации таких кампаний.

Платформа MITRE ATT&CK классифицирует различные методы, используемые Arsink, выделяя методы первоначального доступа, такие как доставка вредоносных приложений по неофициальным каналам и попытки фишинга на таких платформах, как Telegram и Discord. Кроме того, вредоносное ПО использует методы Изучения системы, сбора данных, командования и контроля, а также обхода защиты, что расширяет его возможности действовать незамеченным.

Несмотря на то, что Arsink's полагается на законные платформы для управления и быстрой генерации вариантов, существуют эффективные механизмы защиты. Такие решения, как защита от мобильных угроз Zimperium, демонстрируют потенциал снижения этих рисков с помощью методов обнаружения, основанных на поведении. Эта возможность является ключевой при выявлении вредоносных действий, не полагаясь исключительно на статические сигнатуры или известные признаки компрометации, что подчеркивает необходимость принятия комплексных мер безопасности против таких постоянных угроз.

#ParsedReport #CompletenessMedium
03-02-2026

Illusion of Robbery: F6 analyzed "Team Legion" activity and its connection to the NyashTeam cyber group

https://www.f6.ru/blog/nyashteam-legion/

Report completeness: Medium

Actors/Campaigns:
Legion (motivation: cyber_criminal)
Nyashteam (motivation: cyber_criminal)
Cryptobytes

Threats:
Legion_tool
Webrat
Dcrat
Salatstealer

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1583.001, T1583.003, T1587.001

IOCs:
Domain: 8
Url: 28
Path: 1
Command: 1
File: 6
Hash: 103

Soft:
VirtualBox, Telegram, Roblox

Algorithms:
sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
F6 Threat Intelligence выявила новый тип вредоносного ПО, специально предназначенный для маскировки под программы-вымогатели, но в основном предназначенный для препятствования операциям, а не для прямого финансового вымогательства. Русскоязычная группа по борьбе с угрозами NyashTeam, действующая с 2022 года, специализируется на вредоносном ПО как сервисе и создала такие инструменты, как DCRat и WebR, сдавая в аренду операционную инфраструктуру с более чем 110 связанными доменами. Такая эволюция тактики киберпреступников усложняет обнаружение угроз и подчеркивает постоянную необходимость адаптации специалистов по кибербезопасности.
-----

F6 Threat Intelligence провела анализ нового типа вредоносного ПО, идентифицированного как блокировщик, который предназначен для маскировки под Ransomware. Это вредоносное ПО изначально представляет собой типичный шифровальщик, шифрующий файлы и требующий выкуп, но его основной целью может быть не прямое финансовое вымогательство. Вместо того чтобы вести себя как обычный вариант программы-вымогателя, он функционирует таким образом, чтобы препятствовать операциям, тем самым иллюстрируя обманчивый подход в тактике киберпреступников.

В исследовании также изучалась деятельность группы угроз, известной как NyashTeam, русскоязычной киберпреступной организации, которая действует как минимум с 2022 года. Эта группа специализируется на вредоносном ПО как на услуге (MaaS), предлагая такие инструменты, как DCRat и WebR, в качестве полезной нагрузки для продажи. Известно также, что они арендуют услуги хостинга для операционных панелей, связанных с этими предложениями вредоносного программного обеспечения. В ходе своего анализа аналитики F6 выявили более 110 доменов, зарегистрированных в рамках .Зона RU связана с инфраструктурой этой группы, которая впоследствии была нацелена и заблокирована для смягчения потенциальных угроз.

Кроме того, аналитики отметили, что имитация продвинутых угроз встречается нечасто; однако, похоже, что киберпреступники пытаются представить свою деятельность как разновидности более опасных форм, таких как Ransomware. Такая изощренность предполагает эволюцию тактики, которая может усложнить усилия по обнаружению угроз и реагированию на них. В целом, эти выводы подчеркивают настоятельную необходимость постоянной бдительности и адаптации специалистов по кибербезопасности для противодействия таким развивающимся угрозам, исходящим от таких групп, как NyashTeam и связанного с ними вредоносного ПО.

#ParsedReport #CompletenessHigh
03-02-2026

Notepad++ Infrastructure Hijacked in State-Linked Supply Chain Attack

https://socradar.io/blog/notepad-infrastructure-hijacked/

Report completeness: High

Actors/Campaigns:
Dragonfish

Threats:
Dll_sideloading_technique
Chrysalis
Microsoft_warbird_tool
Supply_chain_technique
Process_injection_technique

Victims:
Notepad plus plus users, Software supply chain

Industry:
Critical_infrastructure, Government

Geo:
Asia, Chinese

TTPs:
Tactics: 4
Technics: 20

IOCs:
File: 3
Domain: 2
Hash: 16
IP: 4

Soft:
NSIS installer, Windows Service

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Notepad++ столкнулся со значительным нарушением инфраструктуры, когда злоумышленники перехватили трафик обновлений, перенаправляя пользователей на вредоносные серверы через измененные манифесты обновлений. Злоумышленники использовали вредоносный установщик с именем update.exe , который удалил законный двоичный файл Bitdefender, который запускал вредоносную библиотеку DLL с именем log.dll , облегчающий работу недокументированного бэкдора под названием "Chrysalis". Этот инцидент, атрибутируемый с помощью хорошо обеспеченного ресурсами актора, спонсируемого государством, выявляет уязвимости в Цепочках поставок программного обеспечения и потенциальные риски, связанные с механизмами обновления.
-----

Notepad++ недавно выявил значительный компромисс в инфраструктуре, связанный с перехватом трафика обновлений, что указывает на сложную угрозу, вероятно, связанную с актором, спонсируемым государством. Этот инцидент произошел не из-за недостатков в исходном коде Notepad++, а скорее был нацеленной атакой, которая перенаправляла определенных пользователей на вредоносные серверы обновлений. Злоумышленники использовали тактику, которая включала перенаправление запросов на обновление для предоставления измененных манифестов, что еще раз свидетельствует о стратегической тонкости, обычно присущей хорошо обеспеченным ресурсами злоумышленникам.

После выполнения перенаправления нацеленным пользователям предлагалось загрузить вредоносный установщик, замаскированный под законное обновление (update.exe ). Этот установщик, использующий NSIS framework, удалил законный двоичный файл Bitdefender, известный как BluetoothService.exe . После своего выполнения двоичный файл включился в DLL side-loading, в частности, развернув вредоносную DLL-библиотеку с именем log.библиотека dll для выполнения полезной нагрузки. Полезная нагрузка, идентифицированная в ходе этой атаки, представляет собой ранее недокументированный бэкдор под названием "Chrysalis"..

Уровень целенаправленности, проявленный при атаке, особенно с акцентом на notepad-plus-plus.org домен, предполагает, что злоумышленники были хорошо осведомлены о механизмах обновления программного обеспечения, которые ранее содержали недостаточные процессы проверки в более старых версиях. Такая точность определения целей привела к тому, что множество независимых исследователей в области безопасности приписали операцию спонсируемой китайским государством группе по борьбе с угрозами, учитывая сложность операции и постоянный доступ акторов к инфраструктуре.

Последствия инцидента с Notepad++ значительны, поскольку он подчеркивает уязвимость Цепочек поставок программного обеспечения к локальным нарушениям инфраструктуры. Это иллюстрирует, что даже надежные компоненты, такие как серверы обновлений, могут стать координационными центрами для изощренных злоумышленников. Этот инцидент служит важным напоминанием о необходимости принятия надежных мер безопасности в отношении механизмов обновления и важности сохранения бдительности в отношении потенциальных компрометаций в надежных программных экосистемах.

#ParsedReport #CompletenessHigh
03-02-2026

The Notepad++ supply chain attack unnoticed execution chains and new IoCs

https://securelist.com/notepad-supply-chain-attack/118708/

Report completeness: High

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Metasploit_tool
Chrysalis
Supply_chain_technique

Victims:
Developers, High profile organizations

Industry:
Government

Geo:
El salvador, Australia, Philippines, Vietnam, Taiwan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1102, T1105, T1195

IOCs:
Url: 27
File: 12
Hash: 33
Command: 6
Domain: 4
Path: 8

Soft:
NSIS installer, curl

Algorithms:
sha1, xor

Win API:
EnumWindowStationsW

Languages:
lua

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на Цепочку поставок Notepad++, продолжавшаяся с июля по октябрь 2025 года, включала сложные цепочки заражения, в которых злоумышленники часто меняли серверы управления, загрузчики и полезные нагрузки, чтобы усложнить обнаружение. Вредоносные обновления изначально размещались по различным URL-адресам, включая известный URL-адрес, по которому доставлялась полезная нагрузка установщика NSIS, функциональность и местоположение которого со временем менялись. Тактика, такая как изменение URL-адресов и использование различных полезных нагрузок, продемонстрировала техническую адаптивность злоумышленников и стратегическую нацеленность на поддержание доступа к инфраструктуре обновлений для высокопоставленных целей.
-----

Атака на Цепочку поставок Notepad++ включала в себя серию сложных цепочек заражения, используемых злоумышленниками для компрометации программного обеспечения и доставки вредоносных обновлений в течение четырех месяцев, с июля по октябрь 2025 года. Злоумышленники продемонстрировали высокодинамичный подход, часто меняя адреса серверов управления (C2), загрузчики и конечную полезную нагрузку, что усложняло усилия по обнаружению и реагированию.

Первая цепочка заражения была инициирована в конце июля 2025 года вредоносным обновлением, размещенным по адресу https://45.76.155.202/update/update.exe . Это вредоносное обновление оставалось незамеченным до тех пор, пока пользователь из Тайваня не отсканировал его на VirusTotal в конце сентября. В середине сентября 2025 года злоумышленники возобновили свою деятельность, продолжая использовать тот же URL-адрес хостинга, но распространяя другую версию вредоносного ПО, отличающуюся файлом установки NSIS размером приблизительно 140 КБ.

К началу октября 2025 года злоумышленники перешли на новый сервер C2 по адресу https://45.32.144.255/update/update.exe , который доставил другую полезную нагрузку установщика NSIS. Примечательно, что эта версия не включала функциональность для передачи системной информации обратно злоумышленникам, а вместо этого удаляла файлы в каталоге %appdata%\Bluetooth\. Схема смены URL-адресов и полезной нагрузки продолжалась, что было видно, когда они вернулись к предыдущей полезной нагрузке, определенной ранее в середине октября, с новым URL-адресом распространения, https://95.179.213.0/update/update.exe . Эта полезная нагрузка поддерживала связь через существующие домены для загрузки системной информации и управляла аспектами, включающими загрузчик Metasploit и Cobalt Strike Beacon.

Постоянная эволюция цепочек заражения и использование различных серверов C2 эффективно маскировали атаку, подчеркивая технические возможности злоумышленников и их стратегическую направленность на поддержание доступа к инфраструктуре обновлений Notepad++. Это позволило им нацелиться на известные организации, что сделало обнаружение сложной задачей. Учитывая сложность и решимость злоумышленников адаптировать свои методы, существует вероятность появления дополнительных вариантов заражения, помимо выявленных. В целом, вариации и постоянные изменения в инфраструктуре атак подчеркивают необходимость надежных стратегий мониторинга и обнаружения для борьбы с такими угрозами в Цепочке поставок.

#ParsedReport #CompletenessLow
03-02-2026

Ricochet Chollima APT Adversary Simulation

https://medium.com/@S3N4T0R/ricochet-chollima-apt-adversary-simulation-b0258be69c37

Report completeness: Low

Actors/Campaigns:
Scarcruft
Toybox_story

Threats:
Spear-phishing_technique
Bear-c2

Victims:
Activists focused on north korea

Geo:
Korean, Korea, North korea, North korean, Russian, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059.001, T1059.003, T1071.001, T1102.002, T1106, T1140, T1204.002

IOCs:
File: 8

Soft:
Dropbox

Algorithms:
zip, base64, xor, aes, cbc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Ricochet Chollima запустила нацеленную кампанию против северокорейских активистов, начав с Целевого фишинга по электронной почте, замаскированной под документ. Как только жертвы загружают ZIP-файл, содержащий JPG и вредоносный ярлык LNK, выполнение файла LNK запускает скрытую команду PowerShell, которая загружает и запускает дополнительные полезные программы. Вредоносное ПО использует C2 API Dropbox для связи и выполняет команды скрытно, используя шифрование AES и смешивая вредоносный трафик с законным.
-----

APT-группировка Ricochet Chollima провела изощренную целевую кампанию против активистов, сосредоточенных на Северной Корее, инициировав атаку в марте 2025 года. Кампания начинается с тщательно продуманной попытки Целевого фишинга. Злоумышленники выдают себя за эксперта по Северной Корее и отправляют электронное письмо, созданное для того, чтобы казаться заслуживающим доверия, со ссылкой в теме письма на документ HWP: "Северокорейским солдатам, развернутым на поле боя в России.hwp". Электронное письмо содержит ссылку на Dropbox, которая в конечном итоге приводит к вредоносной полезной нагрузке, а не к законному документу.

Перейдя по ссылке, жертвы загружают сжатый архив с названием "Связанные Poster.zip ," который включает в себя как кажущееся безобидным изображение в формате JPG, так и вредоносный ярлык LNK. При выполнении файла LNK запускается скрытая команда PowerShell, запускающая серию вредоносных действий. Использование злоумышленником расширенных параметров SFX WinRAR позволяет запускать встроенную команду PowerShell при открытии ZIP-файла, что усиливает обманчивый характер атаки за счет отображения документа HWP при выполнении вредоносного кода в фоновом режиме.

Эта команда PowerShell выполняет скрипт с надписью "toy03.bat", который действует как загрузчик для файлов с именами "toy02.dat" и "toy01.dat", оба извлеченных во временную папку. Примечательно, что полезная нагрузка включает в себя XOR-декодированный шеллкод, отображаемый в память, что облегчает выполнение дальнейших команд. Злоумышленники используют C2 API Dropbox как средство создания скрытого канала связи, что затрудняет системам безопасности выявление вредоносного поведения среди законного трафика.

Полезная нагрузка в конечном счете устанавливает TCP-соединение с удаленным сервером для выполнения команд, используя шифрование AES в режиме CBC для безопасной связи с помощью 128-битного ключа. Вредоносное ПО может выполнять команды как с помощью CMD, так и с помощью PowerShell, возвращая ответы обратно на сервер, а также используя Dropbox API для загрузки файлов, что еще больше снижает уровень угрозы в безопасном трафике. Процесс завершается отправкой маяков вредоносного ПО на сервер C2 на базе Dropbox API, завершая цикл атаки и обеспечивая непрерывную связь с противником.

#ParsedReport #CompletenessLow
03-02-2026

APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)

https://blog.synapticsystems.de/apt28-geofencing-as-a-targeting-signal-cve-2026-21509/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
European countries

Geo:
Romania, Romanian, Moldova, Slovenia, Russian, Czech, Ukraine, Poland, Pol

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1204.002, T1566.001

IOCs:
Hash: 5
IP: 2

Soft:
Microsoft Office

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4