#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Notepad++ столкнулся со значительным нарушением инфраструктуры, когда злоумышленники перехватили трафик обновлений, перенаправляя пользователей на вредоносные серверы через измененные манифесты обновлений. Злоумышленники использовали вредоносный установщик с именем update.exe , который удалил законный двоичный файл Bitdefender, который запускал вредоносную библиотеку DLL с именем log.dll , облегчающий работу недокументированного бэкдора под названием "Chrysalis". Этот инцидент, атрибутируемый с помощью хорошо обеспеченного ресурсами актора, спонсируемого государством, выявляет уязвимости в Цепочках поставок программного обеспечения и потенциальные риски, связанные с механизмами обновления.
-----

Notepad++ недавно выявил значительный компромисс в инфраструктуре, связанный с перехватом трафика обновлений, что указывает на сложную угрозу, вероятно, связанную с актором, спонсируемым государством. Этот инцидент произошел не из-за недостатков в исходном коде Notepad++, а скорее был нацеленной атакой, которая перенаправляла определенных пользователей на вредоносные серверы обновлений. Злоумышленники использовали тактику, которая включала перенаправление запросов на обновление для предоставления измененных манифестов, что еще раз свидетельствует о стратегической тонкости, обычно присущей хорошо обеспеченным ресурсами злоумышленникам.

После выполнения перенаправления нацеленным пользователям предлагалось загрузить вредоносный установщик, замаскированный под законное обновление (update.exe ). Этот установщик, использующий NSIS framework, удалил законный двоичный файл Bitdefender, известный как BluetoothService.exe . После своего выполнения двоичный файл включился в DLL side-loading, в частности, развернув вредоносную DLL-библиотеку с именем log.библиотека dll для выполнения полезной нагрузки. Полезная нагрузка, идентифицированная в ходе этой атаки, представляет собой ранее недокументированный бэкдор под названием "Chrysalis"..

Уровень целенаправленности, проявленный при атаке, особенно с акцентом на notepad-plus-plus.org домен, предполагает, что злоумышленники были хорошо осведомлены о механизмах обновления программного обеспечения, которые ранее содержали недостаточные процессы проверки в более старых версиях. Такая точность определения целей привела к тому, что множество независимых исследователей в области безопасности приписали операцию спонсируемой китайским государством группе по борьбе с угрозами, учитывая сложность операции и постоянный доступ акторов к инфраструктуре.

Последствия инцидента с Notepad++ значительны, поскольку он подчеркивает уязвимость Цепочек поставок программного обеспечения к локальным нарушениям инфраструктуры. Это иллюстрирует, что даже надежные компоненты, такие как серверы обновлений, могут стать координационными центрами для изощренных злоумышленников. Этот инцидент служит важным напоминанием о необходимости принятия надежных мер безопасности в отношении механизмов обновления и важности сохранения бдительности в отношении потенциальных компрометаций в надежных программных экосистемах.

#ParsedReport #CompletenessHigh
03-02-2026

The Notepad++ supply chain attack unnoticed execution chains and new IoCs

https://securelist.com/notepad-supply-chain-attack/118708/

Report completeness: High

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Metasploit_tool
Chrysalis
Supply_chain_technique

Victims:
Developers, High profile organizations

Industry:
Government

Geo:
El salvador, Australia, Philippines, Vietnam, Taiwan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1102, T1105, T1195

IOCs:
Url: 27
File: 12
Hash: 33
Command: 6
Domain: 4
Path: 8

Soft:
NSIS installer, curl

Algorithms:
sha1, xor

Win API:
EnumWindowStationsW

Languages:
lua

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на Цепочку поставок Notepad++, продолжавшаяся с июля по октябрь 2025 года, включала сложные цепочки заражения, в которых злоумышленники часто меняли серверы управления, загрузчики и полезные нагрузки, чтобы усложнить обнаружение. Вредоносные обновления изначально размещались по различным URL-адресам, включая известный URL-адрес, по которому доставлялась полезная нагрузка установщика NSIS, функциональность и местоположение которого со временем менялись. Тактика, такая как изменение URL-адресов и использование различных полезных нагрузок, продемонстрировала техническую адаптивность злоумышленников и стратегическую нацеленность на поддержание доступа к инфраструктуре обновлений для высокопоставленных целей.
-----

Атака на Цепочку поставок Notepad++ включала в себя серию сложных цепочек заражения, используемых злоумышленниками для компрометации программного обеспечения и доставки вредоносных обновлений в течение четырех месяцев, с июля по октябрь 2025 года. Злоумышленники продемонстрировали высокодинамичный подход, часто меняя адреса серверов управления (C2), загрузчики и конечную полезную нагрузку, что усложняло усилия по обнаружению и реагированию.

Первая цепочка заражения была инициирована в конце июля 2025 года вредоносным обновлением, размещенным по адресу https://45.76.155.202/update/update.exe . Это вредоносное обновление оставалось незамеченным до тех пор, пока пользователь из Тайваня не отсканировал его на VirusTotal в конце сентября. В середине сентября 2025 года злоумышленники возобновили свою деятельность, продолжая использовать тот же URL-адрес хостинга, но распространяя другую версию вредоносного ПО, отличающуюся файлом установки NSIS размером приблизительно 140 КБ.

К началу октября 2025 года злоумышленники перешли на новый сервер C2 по адресу https://45.32.144.255/update/update.exe , который доставил другую полезную нагрузку установщика NSIS. Примечательно, что эта версия не включала функциональность для передачи системной информации обратно злоумышленникам, а вместо этого удаляла файлы в каталоге %appdata%\Bluetooth\. Схема смены URL-адресов и полезной нагрузки продолжалась, что было видно, когда они вернулись к предыдущей полезной нагрузке, определенной ранее в середине октября, с новым URL-адресом распространения, https://95.179.213.0/update/update.exe . Эта полезная нагрузка поддерживала связь через существующие домены для загрузки системной информации и управляла аспектами, включающими загрузчик Metasploit и Cobalt Strike Beacon.

Постоянная эволюция цепочек заражения и использование различных серверов C2 эффективно маскировали атаку, подчеркивая технические возможности злоумышленников и их стратегическую направленность на поддержание доступа к инфраструктуре обновлений Notepad++. Это позволило им нацелиться на известные организации, что сделало обнаружение сложной задачей. Учитывая сложность и решимость злоумышленников адаптировать свои методы, существует вероятность появления дополнительных вариантов заражения, помимо выявленных. В целом, вариации и постоянные изменения в инфраструктуре атак подчеркивают необходимость надежных стратегий мониторинга и обнаружения для борьбы с такими угрозами в Цепочке поставок.

#ParsedReport #CompletenessLow
03-02-2026

Ricochet Chollima APT Adversary Simulation

https://medium.com/@S3N4T0R/ricochet-chollima-apt-adversary-simulation-b0258be69c37

Report completeness: Low

Actors/Campaigns:
Scarcruft
Toybox_story

Threats:
Spear-phishing_technique
Bear-c2

Victims:
Activists focused on north korea

Geo:
Korean, Korea, North korea, North korean, Russian, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059.001, T1059.003, T1071.001, T1102.002, T1106, T1140, T1204.002

IOCs:
File: 8

Soft:
Dropbox

Algorithms:
zip, base64, xor, aes, cbc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Ricochet Chollima запустила нацеленную кампанию против северокорейских активистов, начав с Целевого фишинга по электронной почте, замаскированной под документ. Как только жертвы загружают ZIP-файл, содержащий JPG и вредоносный ярлык LNK, выполнение файла LNK запускает скрытую команду PowerShell, которая загружает и запускает дополнительные полезные программы. Вредоносное ПО использует C2 API Dropbox для связи и выполняет команды скрытно, используя шифрование AES и смешивая вредоносный трафик с законным.
-----

APT-группировка Ricochet Chollima провела изощренную целевую кампанию против активистов, сосредоточенных на Северной Корее, инициировав атаку в марте 2025 года. Кампания начинается с тщательно продуманной попытки Целевого фишинга. Злоумышленники выдают себя за эксперта по Северной Корее и отправляют электронное письмо, созданное для того, чтобы казаться заслуживающим доверия, со ссылкой в теме письма на документ HWP: "Северокорейским солдатам, развернутым на поле боя в России.hwp". Электронное письмо содержит ссылку на Dropbox, которая в конечном итоге приводит к вредоносной полезной нагрузке, а не к законному документу.

Перейдя по ссылке, жертвы загружают сжатый архив с названием "Связанные Poster.zip ," который включает в себя как кажущееся безобидным изображение в формате JPG, так и вредоносный ярлык LNK. При выполнении файла LNK запускается скрытая команда PowerShell, запускающая серию вредоносных действий. Использование злоумышленником расширенных параметров SFX WinRAR позволяет запускать встроенную команду PowerShell при открытии ZIP-файла, что усиливает обманчивый характер атаки за счет отображения документа HWP при выполнении вредоносного кода в фоновом режиме.

Эта команда PowerShell выполняет скрипт с надписью "toy03.bat", который действует как загрузчик для файлов с именами "toy02.dat" и "toy01.dat", оба извлеченных во временную папку. Примечательно, что полезная нагрузка включает в себя XOR-декодированный шеллкод, отображаемый в память, что облегчает выполнение дальнейших команд. Злоумышленники используют C2 API Dropbox как средство создания скрытого канала связи, что затрудняет системам безопасности выявление вредоносного поведения среди законного трафика.

Полезная нагрузка в конечном счете устанавливает TCP-соединение с удаленным сервером для выполнения команд, используя шифрование AES в режиме CBC для безопасной связи с помощью 128-битного ключа. Вредоносное ПО может выполнять команды как с помощью CMD, так и с помощью PowerShell, возвращая ответы обратно на сервер, а также используя Dropbox API для загрузки файлов, что еще больше снижает уровень угрозы в безопасном трафике. Процесс завершается отправкой маяков вредоносного ПО на сервер C2 на базе Dropbox API, завершая цикл атаки и обеспечивая непрерывную связь с противником.

#ParsedReport #CompletenessLow
03-02-2026

APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)

https://blog.synapticsystems.de/apt28-geofencing-as-a-targeting-signal-cve-2026-21509/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
European countries

Geo:
Romania, Romanian, Moldova, Slovenia, Russian, Czech, Ukraine, Poland, Pol

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1204.002, T1566.001

IOCs:
Hash: 5
IP: 2

Soft:
Microsoft Office

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28 активизировала кибероперации, используя уязвимость Microsoft Office CVE-2026-21509 для получения первоначального доступа через вредоносные документы Word. В этих документах используются стратегические пути размещения и активное содержимое для активации определенных путей кода Windows и Office, что затрудняет обнаружение. Тактика группы включает в себя геозонирование, нацеленное на конкретные европейские регионы, в первую очередь Румынию и Молдову, что демонстрирует сложный и индивидуальный подход к их киберкампаниям.
-----

APT28 недавно активизировали свои операции в киберпространстве, направленные на различные европейские народы с помощью кампаний, которые эксплуатируют Майкрософт Офис уязвимость CVE-2026-21509. Эта уязвимость является первоначальный доступ к группе. Методика атаки предполагает прежде всего вредоносные документы Word, которые пытаются использовать этот подвиг. В частности, документы содержат различные активные контента, таких как макросы и внешние ссылки, хотя эксплуатация в значительной степени опирается на внутренне обработаны реконструкции объекта, а не встроенные вредоносное ПО, делая их обнаружение сложным.

Анализ вредоносных документов показывает, что APT28 использует стратегические пути размещения, такие как файл://wellnessmedcare.org/davwwwroot/pol/Downloads/document.lnk?init=1. Эти пути предназначены для активации определенных путей кода Windows и Office, которые облегчают использование уязвимости CVE-2026-21509. Кроме того, заслуживает внимания выбор мест размещения этих векторов атак, поскольку они соотносятся с регионами, на которые нацелены атаки в Европе, особенно в Румынии и Молдове. Это указывает на изощренное использование геозоны для адаптации их кампаний к конкретным географическим районам.

Чтобы понять последствия этой стратегии геозонирования, в ходе анализа потребовалось протестировать доступ к этим вредоносным ресурсам через различные прокси-серверы. Экспериментируя с различными прокси-серверами, стало возможным определить, как можно взаимодействовать с вредоносной инфраструктурой, что позволило получить представление о желаемой целевой демографической группе.

Технология, внедренная APT28, обладает рядом устоявшихся характеристик, включая использование путей WebDAV, удаленных файлов быстрого доступа и строгую геозону. В совокупности эти тактические приемы способствуют созданию стабильной методологии атаки, которая сводит к минимуму взаимодействие с пользователем и обходит стандартные средства контроля безопасности, которые обычно внедряют организации. Кроме того, характеристики инфраструктуры, связанные с этими кампаниями, обеспечивают важные разведывательные сигналы, которые могут указывать на потенциальные целевые регионы, тесно увязываясь с наблюдаемым поведением соответствующих документов.

Таким образом, использование APT28 CVE-2026-21509 и его комплексный подход к таргетингу подчеркивают эволюционирующую тактику группировки, которая сочетает техническую изощренность с географической разведкой для повышения эффективности своих киберопераций.

#ParsedReport #CompletenessLow
03-02-2026

Exploring the C2 Infrastructure of the Notepad++ Compromise

https://www.validin.com/blog/exploring_notepad_plus_plus_network_indicators/

Report completeness: Low

Threats:
Cobalt_strike_tool

Victims:
Notepad++ users, Software supply chain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1090, T1095, T1105, T1573, T1583.001, T1583.004

IOCs:
IP: 7
Domain: 6
Hash: 1

Soft:
Ubuntu, OpenSSH

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака Notepad++ использовала уязвимости в его хостинговой инфраструктуре, перенаправляя пользователей на вредоносный сервер для получения скомпрометированных обновлений. Нападавшие использовали Cobalt Strike с радиомаяком, работающим под api.wiresguard.com , используя несколько IP-адресов для действий командования и контроля, включая 95.179.213.0 и 61.4.102.97, и продемонстрировал тактику уклонения путем изменения кодов ответа. Текущая инфраструктура, связанная с этой атакой, остается активной, что указывает на сохраняющийся риск и подчеркивает меняющуюся тактику злоумышленников.
-----

Кибератака с использованием Notepad++, по-видимому, использовала уязвимости в инфраструктуре хостинга, в частности, через провайдера, связанного с Hostinger. Злоумышленники перенаправляли пользователей на вредоносный сервер, позволяя им доставлять скомпрометированные обновления. Ключевые элементы атаки включают в себя несколько IP-адресов, связанных с доменом Command and Control (C2), в частности 95.179.213.0, который был источником начальной загрузки Вредоносного файла, и 61.4.102.97, привязанный к домену api.skycloudcenter.com домен, который служил поставщиком C2 по протоколу HTTPS.

Вредоносные операции использовали Cobalt Strike с доменом beacon api.wiresguard.com работает как минимум с июня 2025 года и постоянно размещается на Cloudflare. Было подтверждено, что Cobalt Strike Beacon использует IP-адрес 59.110.7.32 на порту 8880, при этом дополнительный анализ показал, что он оставался доступным до января 2026 года. Злоумышленники также продемонстрировали изощренную тактику, изменив коды ответов и сообщения хостинга на серверах C2, чтобы потенциально избежать обнаружения.

Во время атаки сроки, соответствующие замечания, включенные в характеристики различных портах по первоначальной загрузки ИПС, раскрывая конкретные конфигурации сервера, которые указали, Ubuntu и установки Debian. Домен С2 в частности, разрешен в ранее незарегистрированный IP-адрес, 160.250.93.48, которые коррелировали с другой домен api.cloudtrafficservice.com.

С помощью проактивного мониторинга и анализа использования платформы Validin, в дальнейшем показатели компромисса и детали инфраструктуры были представлены, что свидетельствует о продолжающейся активности вокруг этой угрозы. Важным аспектом работы был в том, что компоненты инфраструктуры, связанной с этой атаки оставался работоспособным на момент представления отчетности, с указанием сохраняющимися рисками. В целом, этот инцидент свидетельствует о меняющейся тактикой хакеров и служит предупреждением для бдительность в отношении цепочка поставок питания.

#ParsedReport #CompletenessLow
03-02-2026

Malicious VS Code tasks.json abuse enables multi-stage infostealer deployment

https://www.threatlocker.com/blog/malicious-vs-code-tasks-json-abuse-enables-multi-stage-infostealer-deployment

Report completeness: Low

Victims:
Software development sector

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.004, T1059.001, T1059.003, T1059.007, T1105, T1119, T1204.002

IOCs:
Url: 6
File: 7
Domain: 2
Hash: 5
IP: 1

Soft:
NET framework, Visual Studio Code, Node.js, Curl, vscode

Crypto:
ethereum

Algorithms:
sha256, hmac

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ угроз выявил метод, который использует Visual Studio Code (VS Code) с использованием вредоносного файла "tasks.json", что облегчает многоэтапное развертывание стиллера. Злоумышленники полагаются на то, что пользователи доверяют папкам вредоносных проектов, где "tasks.json" может выполнять команды для связи с вредоносным сервером. Полезная нагрузка включает в себя запутанные методы JavaScript для захвата конфиденциальных файлов и реализации автоматизированного процесса поиска и загрузки, что указывает на изощренное злоупотребление законными функциями инструмента разработки.
-----

Недавний анализ угроз выявил новый метод использования кода Visual Studio (VS Code) с помощью вредоносного файла "tasks.json", который может обеспечить многоэтапное развертывание стиллера. Злоумышленники используют функциональность VS Code, которая позволяет выполнять команды, не вызывая подозрений, особенно когда папка проекта открыта и помечена как доверенная.

Атака начинается, когда пользователь неосознанно доверяет папке вредоносного проекта; это приводит к тому, что файл "tasks.json" отправляет запросы на вредоносный сервер для получения дальнейших инструкций. Эта эксплуатация использует автоматические возможности для выполнения команд, которые, хотя и предназначены для законного использования разработчиками, могут использоваться злоумышленниками для выполнения произвольных команд на основе обнаруженной операционной системы.

Основная полезная нагрузка использует несколько запутанных методов JavaScript, чтобы скрыть свои злонамеренные намерения. Ключевые функциональные возможности включают в себя установление конечной точки, на которую отправляются захваченные данные. Примечательный встроенный скрипт инициализирует базу данных LDB, предназначенную для захвата конфиденциальных файлов, указывая на нацеленное поведение в отношении документов, которые могут быть недоступны для всех. Кроме того, функция "scanAndUploadDirectory" во встроенном скрипте рекурсивно выполняет поиск конфиденциальных файлов, сравнивая их с заранее определенными списками, и использует функцию "uploadFile" для передачи данных с помощью механизмов для повторной загрузки в случае неудачи первоначальных попыток.

Совокупный эффект этой сложной цепочки атак основан на эффективном неправильном использовании законной функции инструмента разработчика, пользующегося широким доверием. Хотя для достижения целей злоумышленника требуется несколько этапов, многое зависит от поведения в рамках задач.json может казаться безобидным без надлежащего контекста. Поэтому организациям следует внедрять проактивный подход к обеспечению безопасности, проверяя задачи вручную.файлы json перед выполнением, ища признаки подозрительной активности, такой как использование Curl, PowerShell или cmd.exe команды, а также запутанные командные строки и любое прямое удаленное выполнение данных по конвейеру. Такие меры имеют решающее значение для снижения риска, связанного с этим методом атаки, используя как доверие пользователей, так и возможности, присущие инструментам разработки, таким как VS Code.

#ParsedReport #CompletenessHigh
03-02-2026

[Op Report\] Hands-on-Keyboard Intrusion Abusing Multiple RMMs

https://blog.deception.pro/blog/hok-intrusion-abusing-multiple-rmms-jan2026

Report completeness: High

Threats:
Bluetrait_tool
Fleetdeck_tool
Msp360_tool
Superops_tool
Syncro_tool

Victims:
Luxury travel sector, French speaking recipients

Industry:
Telco

Geo:
France, Spanish, Tunisia, French, German, Turkish, Africa

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1071.001, T1105, T1204.001, T1219, T1566.001

IOCs:
Url: 2
Path: 3
File: 3
Hash: 1
Domain: 10

Soft:
Active Directory, Firefox, Mozilla Thunderbird

Algorithms:
sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи наблюдали сложную целенаправленную угрозу, связанную с известным злоумышленником, используя инструмент удаленного мониторинга и управления Bluetrait (RMM) в смоделированной среде организации путешествий класса люкс во Франции в период с 14 по 27 января 2026 года. Злоумышленники использовали тактику социальной инженерии, включающую электронное письмо с вложением в формате PDF, для установки инструмента RMM, что позволило им получить контроль. Инцидент высветил тенденцию использования законного программного обеспечения для несанкционированного доступа, подчеркнув важность мониторинга необычных действий и установок RMM.
-----

В период с 14 по 27 января 2026 года исследователи Proofpoint задокументировали инцидент, связанный с тактикой вторжения с клавиатуры в среде, имитирующей французскую туристическую организацию класса люкс. Эта сложная целенаправленная угроза была связана со знакомым злоумышленником, который распространял инструмент удаленного мониторинга и управления Bluetrait (RMM), указанный в кампании по электронной почте, начинающейся 13 января 2026 года. В кампании использовалась тактика социальной инженерии, при которой получатели получали электронное письмо с вложением в формате PDF, в котором якобы указывался "отсутствующий плагин Adobe". Переход по ссылке вызвал установку инструмента Bluetrait RMM, что позволило злоумышленникам получить контроль.

На протяжении всей наблюдаемой 15-дневной активности исследователи отметили серию технических маневров, связанных с развертыванием RMM Bluetrait. Телеметрия обнаружения выявила область программного обеспечения RMM, включая связанные домены поиска для различных эксплуатационных аспектов Bluetrait и Level.io агент, позволяющий получить потенциальную информацию об инфраструктуре злоумышленника. Среди извлеченных доменов были те, которые связаны с агентами загрузки, одноранговыми подключениями и службами резервного копирования, что указывает на надежную операционную структуру, предназначенную для облегчения постоянного доступа и управления данными.

Операция подчеркнула тревожную тенденцию в области киберугроз: злоумышленники все чаще используют законное корпоративное программное обеспечение в качестве каналов несанкционированного доступа и контроля. Развертывание нескольких платформ RMM добавляет уровни избыточности и гибкости, привлекая внимание к необходимости для защитников отслеживать не только использование RMM, но и признаки аномальной активности, связанной с этими инструментами. В частности, защитникам следует проявлять бдительность в отношении неожиданных установок программного обеспечения RMM, особенно нескольких агентов на одной конечной точке, признаков скрытого выполнения PowerShell и любых избыточных агентов управления, не имеющих законного бизнес-обоснования. Кроме того, любая деятельность RMM, которая отличается от операций общего поставщика управляемых услуг (MSP), например, нерегулярные временные рамки или география, требует более глубокого расследования, поскольку может свидетельствовать о злонамеренном подтексте.

#ParsedReport #CompletenessHigh
02-02-2026

Infostealers without borders: macOS, Python stealers, and platform abuse

https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/

Report completeness: High

Threats:
Credential_stealing_technique
Amos_stealer
Clickfix_technique
Digitstealer
Macc_stealer
Eternidade
Pxa_stealer
Supply_chain_technique
Bec_technique
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Purerat

Industry:
Education, Government, Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 8
Hash: 21
Url: 8
IP: 3
Domain: 20

Soft:
macOS, Microsoft Defender, WhatsApp, Telegram, CrystalPDF, Firefox, Chrome, Microsoft Defender for Endpoint, Unix, curl, have more...

Wallets:
coinbase, metamask

Crypto:
binance

Algorithms:
sha256, zip

Languages:
delphi, visual_basic, powershell, python, applescript, autoit

Platforms:
cross-platform

Continuous Intrusion/Continuous Distribution:
Tracking Fox’s Iterative Malspam Campaign

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_7_satoshi_kamekawa_en.pdf