CTT Report Hub
#ParsedReport #CompletenessLow 03-02-2026 Ricochet Chollima APT Adversary Simulation https://medium.com/@S3N4T0R/ricochet-chollima-apt-adversary-simulation-b0258be69c37 Report completeness: Low Actors/Campaigns: Scarcruft Toybox_story Threats: Spear-…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка Ricochet Chollima запустила нацеленную кампанию против северокорейских активистов, начав с Целевого фишинга по электронной почте, замаскированной под документ. Как только жертвы загружают ZIP-файл, содержащий JPG и вредоносный ярлык LNK, выполнение файла LNK запускает скрытую команду PowerShell, которая загружает и запускает дополнительные полезные программы. Вредоносное ПО использует C2 API Dropbox для связи и выполняет команды скрытно, используя шифрование AES и смешивая вредоносный трафик с законным.
-----
APT-группировка Ricochet Chollima провела изощренную целевую кампанию против активистов, сосредоточенных на Северной Корее, инициировав атаку в марте 2025 года. Кампания начинается с тщательно продуманной попытки Целевого фишинга. Злоумышленники выдают себя за эксперта по Северной Корее и отправляют электронное письмо, созданное для того, чтобы казаться заслуживающим доверия, со ссылкой в теме письма на документ HWP: "Северокорейским солдатам, развернутым на поле боя в России.hwp". Электронное письмо содержит ссылку на Dropbox, которая в конечном итоге приводит к вредоносной полезной нагрузке, а не к законному документу.
Перейдя по ссылке, жертвы загружают сжатый архив с названием "Связанные Poster.zip ," который включает в себя как кажущееся безобидным изображение в формате JPG, так и вредоносный ярлык LNK. При выполнении файла LNK запускается скрытая команда PowerShell, запускающая серию вредоносных действий. Использование злоумышленником расширенных параметров SFX WinRAR позволяет запускать встроенную команду PowerShell при открытии ZIP-файла, что усиливает обманчивый характер атаки за счет отображения документа HWP при выполнении вредоносного кода в фоновом режиме.
Эта команда PowerShell выполняет скрипт с надписью "toy03.bat", который действует как загрузчик для файлов с именами "toy02.dat" и "toy01.dat", оба извлеченных во временную папку. Примечательно, что полезная нагрузка включает в себя XOR-декодированный шеллкод, отображаемый в память, что облегчает выполнение дальнейших команд. Злоумышленники используют C2 API Dropbox как средство создания скрытого канала связи, что затрудняет системам безопасности выявление вредоносного поведения среди законного трафика.
Полезная нагрузка в конечном счете устанавливает TCP-соединение с удаленным сервером для выполнения команд, используя шифрование AES в режиме CBC для безопасной связи с помощью 128-битного ключа. Вредоносное ПО может выполнять команды как с помощью CMD, так и с помощью PowerShell, возвращая ответы обратно на сервер, а также используя Dropbox API для загрузки файлов, что еще больше снижает уровень угрозы в безопасном трафике. Процесс завершается отправкой маяков вредоносного ПО на сервер C2 на базе Dropbox API, завершая цикл атаки и обеспечивая непрерывную связь с противником.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-группировка Ricochet Chollima запустила нацеленную кампанию против северокорейских активистов, начав с Целевого фишинга по электронной почте, замаскированной под документ. Как только жертвы загружают ZIP-файл, содержащий JPG и вредоносный ярлык LNK, выполнение файла LNK запускает скрытую команду PowerShell, которая загружает и запускает дополнительные полезные программы. Вредоносное ПО использует C2 API Dropbox для связи и выполняет команды скрытно, используя шифрование AES и смешивая вредоносный трафик с законным.
-----
APT-группировка Ricochet Chollima провела изощренную целевую кампанию против активистов, сосредоточенных на Северной Корее, инициировав атаку в марте 2025 года. Кампания начинается с тщательно продуманной попытки Целевого фишинга. Злоумышленники выдают себя за эксперта по Северной Корее и отправляют электронное письмо, созданное для того, чтобы казаться заслуживающим доверия, со ссылкой в теме письма на документ HWP: "Северокорейским солдатам, развернутым на поле боя в России.hwp". Электронное письмо содержит ссылку на Dropbox, которая в конечном итоге приводит к вредоносной полезной нагрузке, а не к законному документу.
Перейдя по ссылке, жертвы загружают сжатый архив с названием "Связанные Poster.zip ," который включает в себя как кажущееся безобидным изображение в формате JPG, так и вредоносный ярлык LNK. При выполнении файла LNK запускается скрытая команда PowerShell, запускающая серию вредоносных действий. Использование злоумышленником расширенных параметров SFX WinRAR позволяет запускать встроенную команду PowerShell при открытии ZIP-файла, что усиливает обманчивый характер атаки за счет отображения документа HWP при выполнении вредоносного кода в фоновом режиме.
Эта команда PowerShell выполняет скрипт с надписью "toy03.bat", который действует как загрузчик для файлов с именами "toy02.dat" и "toy01.dat", оба извлеченных во временную папку. Примечательно, что полезная нагрузка включает в себя XOR-декодированный шеллкод, отображаемый в память, что облегчает выполнение дальнейших команд. Злоумышленники используют C2 API Dropbox как средство создания скрытого канала связи, что затрудняет системам безопасности выявление вредоносного поведения среди законного трафика.
Полезная нагрузка в конечном счете устанавливает TCP-соединение с удаленным сервером для выполнения команд, используя шифрование AES в режиме CBC для безопасной связи с помощью 128-битного ключа. Вредоносное ПО может выполнять команды как с помощью CMD, так и с помощью PowerShell, возвращая ответы обратно на сервер, а также используя Dropbox API для загрузки файлов, что еще больше снижает уровень угрозы в безопасном трафике. Процесс завершается отправкой маяков вредоносного ПО на сервер C2 на базе Dropbox API, завершая цикл атаки и обеспечивая непрерывную связь с противником.
#ParsedReport #CompletenessLow
03-02-2026
APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)
https://blog.synapticsystems.de/apt28-geofencing-as-a-targeting-signal-cve-2026-21509/
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Motw_bypass_technique
Victims:
European countries
Geo:
Romania, Romanian, Moldova, Slovenia, Russian, Czech, Ukraine, Poland, Pol
CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
ChatGPT TTPs:
T1105, T1203, T1204.002, T1566.001
IOCs:
Hash: 5
IP: 2
Soft:
Microsoft Office
Win Services:
WebClient
03-02-2026
APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)
https://blog.synapticsystems.de/apt28-geofencing-as-a-targeting-signal-cve-2026-21509/
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Threats:
Motw_bypass_technique
Victims:
European countries
Geo:
Romania, Romanian, Moldova, Slovenia, Russian, Czech, Ukraine, Poland, Pol
CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
ChatGPT TTPs:
do not use without manual checkT1105, T1203, T1204.002, T1566.001
IOCs:
Hash: 5
IP: 2
Soft:
Microsoft Office
Win Services:
WebClient
Synaptic Security Blog
APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign) - Synaptic Security Blog
by Robin Dost EDIT: 04.02.2026: I have YARA Rules available for detection, contact me at [email protected] if you need them. Since the beginning of this year, we have again observed an increased number of attacks by APT28 targeting various European countries.…
CTT Report Hub
#ParsedReport #CompletenessLow 03-02-2026 APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign) https://blog.synapticsystems.de/apt28-geofencing-as-a-targeting-signal-cve-2026-21509/ Report completeness: Low Actors/Campaigns: Fancy_bear Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT28 активизировала кибероперации, используя уязвимость Microsoft Office CVE-2026-21509 для получения первоначального доступа через вредоносные документы Word. В этих документах используются стратегические пути размещения и активное содержимое для активации определенных путей кода Windows и Office, что затрудняет обнаружение. Тактика группы включает в себя геозонирование, нацеленное на конкретные европейские регионы, в первую очередь Румынию и Молдову, что демонстрирует сложный и индивидуальный подход к их киберкампаниям.
-----
APT28 недавно активизировали свои операции в киберпространстве, направленные на различные европейские народы с помощью кампаний, которые эксплуатируют Майкрософт Офис уязвимость CVE-2026-21509. Эта уязвимость является первоначальный доступ к группе. Методика атаки предполагает прежде всего вредоносные документы Word, которые пытаются использовать этот подвиг. В частности, документы содержат различные активные контента, таких как макросы и внешние ссылки, хотя эксплуатация в значительной степени опирается на внутренне обработаны реконструкции объекта, а не встроенные вредоносное ПО, делая их обнаружение сложным.
Анализ вредоносных документов показывает, что APT28 использует стратегические пути размещения, такие как файл://wellnessmedcare.org/davwwwroot/pol/Downloads/document.lnk?init=1. Эти пути предназначены для активации определенных путей кода Windows и Office, которые облегчают использование уязвимости CVE-2026-21509. Кроме того, заслуживает внимания выбор мест размещения этих векторов атак, поскольку они соотносятся с регионами, на которые нацелены атаки в Европе, особенно в Румынии и Молдове. Это указывает на изощренное использование геозоны для адаптации их кампаний к конкретным географическим районам.
Чтобы понять последствия этой стратегии геозонирования, в ходе анализа потребовалось протестировать доступ к этим вредоносным ресурсам через различные прокси-серверы. Экспериментируя с различными прокси-серверами, стало возможным определить, как можно взаимодействовать с вредоносной инфраструктурой, что позволило получить представление о желаемой целевой демографической группе.
Технология, внедренная APT28, обладает рядом устоявшихся характеристик, включая использование путей WebDAV, удаленных файлов быстрого доступа и строгую геозону. В совокупности эти тактические приемы способствуют созданию стабильной методологии атаки, которая сводит к минимуму взаимодействие с пользователем и обходит стандартные средства контроля безопасности, которые обычно внедряют организации. Кроме того, характеристики инфраструктуры, связанные с этими кампаниями, обеспечивают важные разведывательные сигналы, которые могут указывать на потенциальные целевые регионы, тесно увязываясь с наблюдаемым поведением соответствующих документов.
Таким образом, использование APT28 CVE-2026-21509 и его комплексный подход к таргетингу подчеркивают эволюционирующую тактику группировки, которая сочетает техническую изощренность с географической разведкой для повышения эффективности своих киберопераций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT28 активизировала кибероперации, используя уязвимость Microsoft Office CVE-2026-21509 для получения первоначального доступа через вредоносные документы Word. В этих документах используются стратегические пути размещения и активное содержимое для активации определенных путей кода Windows и Office, что затрудняет обнаружение. Тактика группы включает в себя геозонирование, нацеленное на конкретные европейские регионы, в первую очередь Румынию и Молдову, что демонстрирует сложный и индивидуальный подход к их киберкампаниям.
-----
APT28 недавно активизировали свои операции в киберпространстве, направленные на различные европейские народы с помощью кампаний, которые эксплуатируют Майкрософт Офис уязвимость CVE-2026-21509. Эта уязвимость является первоначальный доступ к группе. Методика атаки предполагает прежде всего вредоносные документы Word, которые пытаются использовать этот подвиг. В частности, документы содержат различные активные контента, таких как макросы и внешние ссылки, хотя эксплуатация в значительной степени опирается на внутренне обработаны реконструкции объекта, а не встроенные вредоносное ПО, делая их обнаружение сложным.
Анализ вредоносных документов показывает, что APT28 использует стратегические пути размещения, такие как файл://wellnessmedcare.org/davwwwroot/pol/Downloads/document.lnk?init=1. Эти пути предназначены для активации определенных путей кода Windows и Office, которые облегчают использование уязвимости CVE-2026-21509. Кроме того, заслуживает внимания выбор мест размещения этих векторов атак, поскольку они соотносятся с регионами, на которые нацелены атаки в Европе, особенно в Румынии и Молдове. Это указывает на изощренное использование геозоны для адаптации их кампаний к конкретным географическим районам.
Чтобы понять последствия этой стратегии геозонирования, в ходе анализа потребовалось протестировать доступ к этим вредоносным ресурсам через различные прокси-серверы. Экспериментируя с различными прокси-серверами, стало возможным определить, как можно взаимодействовать с вредоносной инфраструктурой, что позволило получить представление о желаемой целевой демографической группе.
Технология, внедренная APT28, обладает рядом устоявшихся характеристик, включая использование путей WebDAV, удаленных файлов быстрого доступа и строгую геозону. В совокупности эти тактические приемы способствуют созданию стабильной методологии атаки, которая сводит к минимуму взаимодействие с пользователем и обходит стандартные средства контроля безопасности, которые обычно внедряют организации. Кроме того, характеристики инфраструктуры, связанные с этими кампаниями, обеспечивают важные разведывательные сигналы, которые могут указывать на потенциальные целевые регионы, тесно увязываясь с наблюдаемым поведением соответствующих документов.
Таким образом, использование APT28 CVE-2026-21509 и его комплексный подход к таргетингу подчеркивают эволюционирующую тактику группировки, которая сочетает техническую изощренность с географической разведкой для повышения эффективности своих киберопераций.
#ParsedReport #CompletenessLow
03-02-2026
Exploring the C2 Infrastructure of the Notepad++ Compromise
https://www.validin.com/blog/exploring_notepad_plus_plus_network_indicators/
Report completeness: Low
Threats:
Cobalt_strike_tool
Victims:
Notepad++ users, Software supply chain
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1071.001, T1090, T1095, T1105, T1573, T1583.001, T1583.004
IOCs:
IP: 7
Domain: 6
Hash: 1
Soft:
Ubuntu, OpenSSH
Algorithms:
sha1
03-02-2026
Exploring the C2 Infrastructure of the Notepad++ Compromise
https://www.validin.com/blog/exploring_notepad_plus_plus_network_indicators/
Report completeness: Low
Threats:
Cobalt_strike_tool
Victims:
Notepad++ users, Software supply chain
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1071.001, T1090, T1095, T1105, T1573, T1583.001, T1583.004
IOCs:
IP: 7
Domain: 6
Hash: 1
Soft:
Ubuntu, OpenSSH
Algorithms:
sha1
Validin
Exploring the C2 Infrastructure of the Notepad++ Compromise | Validin
How to find additional network infrastructure related to the Notepad++ Compromise
CTT Report Hub
#ParsedReport #CompletenessLow 03-02-2026 Exploring the C2 Infrastructure of the Notepad++ Compromise https://www.validin.com/blog/exploring_notepad_plus_plus_network_indicators/ Report completeness: Low Threats: Cobalt_strike_tool Victims: Notepad++…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака Notepad++ использовала уязвимости в его хостинговой инфраструктуре, перенаправляя пользователей на вредоносный сервер для получения скомпрометированных обновлений. Нападавшие использовали Cobalt Strike с радиомаяком, работающим под api.wiresguard.com , используя несколько IP-адресов для действий командования и контроля, включая 95.179.213.0 и 61.4.102.97, и продемонстрировал тактику уклонения путем изменения кодов ответа. Текущая инфраструктура, связанная с этой атакой, остается активной, что указывает на сохраняющийся риск и подчеркивает меняющуюся тактику злоумышленников.
-----
Кибератака с использованием Notepad++, по-видимому, использовала уязвимости в инфраструктуре хостинга, в частности, через провайдера, связанного с Hostinger. Злоумышленники перенаправляли пользователей на вредоносный сервер, позволяя им доставлять скомпрометированные обновления. Ключевые элементы атаки включают в себя несколько IP-адресов, связанных с доменом Command and Control (C2), в частности 95.179.213.0, который был источником начальной загрузки Вредоносного файла, и 61.4.102.97, привязанный к домену api.skycloudcenter.com домен, который служил поставщиком C2 по протоколу HTTPS.
Вредоносные операции использовали Cobalt Strike с доменом beacon api.wiresguard.com работает как минимум с июня 2025 года и постоянно размещается на Cloudflare. Было подтверждено, что Cobalt Strike Beacon использует IP-адрес 59.110.7.32 на порту 8880, при этом дополнительный анализ показал, что он оставался доступным до января 2026 года. Злоумышленники также продемонстрировали изощренную тактику, изменив коды ответов и сообщения хостинга на серверах C2, чтобы потенциально избежать обнаружения.
Во время атаки сроки, соответствующие замечания, включенные в характеристики различных портах по первоначальной загрузки ИПС, раскрывая конкретные конфигурации сервера, которые указали, Ubuntu и установки Debian. Домен С2 в частности, разрешен в ранее незарегистрированный IP-адрес, 160.250.93.48, которые коррелировали с другой домен api.cloudtrafficservice.com.
С помощью проактивного мониторинга и анализа использования платформы Validin, в дальнейшем показатели компромисса и детали инфраструктуры были представлены, что свидетельствует о продолжающейся активности вокруг этой угрозы. Важным аспектом работы был в том, что компоненты инфраструктуры, связанной с этой атаки оставался работоспособным на момент представления отчетности, с указанием сохраняющимися рисками. В целом, этот инцидент свидетельствует о меняющейся тактикой хакеров и служит предупреждением для бдительность в отношении цепочка поставок питания.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака Notepad++ использовала уязвимости в его хостинговой инфраструктуре, перенаправляя пользователей на вредоносный сервер для получения скомпрометированных обновлений. Нападавшие использовали Cobalt Strike с радиомаяком, работающим под api.wiresguard.com , используя несколько IP-адресов для действий командования и контроля, включая 95.179.213.0 и 61.4.102.97, и продемонстрировал тактику уклонения путем изменения кодов ответа. Текущая инфраструктура, связанная с этой атакой, остается активной, что указывает на сохраняющийся риск и подчеркивает меняющуюся тактику злоумышленников.
-----
Кибератака с использованием Notepad++, по-видимому, использовала уязвимости в инфраструктуре хостинга, в частности, через провайдера, связанного с Hostinger. Злоумышленники перенаправляли пользователей на вредоносный сервер, позволяя им доставлять скомпрометированные обновления. Ключевые элементы атаки включают в себя несколько IP-адресов, связанных с доменом Command and Control (C2), в частности 95.179.213.0, который был источником начальной загрузки Вредоносного файла, и 61.4.102.97, привязанный к домену api.skycloudcenter.com домен, который служил поставщиком C2 по протоколу HTTPS.
Вредоносные операции использовали Cobalt Strike с доменом beacon api.wiresguard.com работает как минимум с июня 2025 года и постоянно размещается на Cloudflare. Было подтверждено, что Cobalt Strike Beacon использует IP-адрес 59.110.7.32 на порту 8880, при этом дополнительный анализ показал, что он оставался доступным до января 2026 года. Злоумышленники также продемонстрировали изощренную тактику, изменив коды ответов и сообщения хостинга на серверах C2, чтобы потенциально избежать обнаружения.
Во время атаки сроки, соответствующие замечания, включенные в характеристики различных портах по первоначальной загрузки ИПС, раскрывая конкретные конфигурации сервера, которые указали, Ubuntu и установки Debian. Домен С2 в частности, разрешен в ранее незарегистрированный IP-адрес, 160.250.93.48, которые коррелировали с другой домен api.cloudtrafficservice.com.
С помощью проактивного мониторинга и анализа использования платформы Validin, в дальнейшем показатели компромисса и детали инфраструктуры были представлены, что свидетельствует о продолжающейся активности вокруг этой угрозы. Важным аспектом работы был в том, что компоненты инфраструктуры, связанной с этой атаки оставался работоспособным на момент представления отчетности, с указанием сохраняющимися рисками. В целом, этот инцидент свидетельствует о меняющейся тактикой хакеров и служит предупреждением для бдительность в отношении цепочка поставок питания.
#ParsedReport #CompletenessLow
03-02-2026
Malicious VS Code tasks.json abuse enables multi-stage infostealer deployment
https://www.threatlocker.com/blog/malicious-vs-code-tasks-json-abuse-enables-multi-stage-infostealer-deployment
Report completeness: Low
Victims:
Software development sector
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1041, T1056.004, T1059.001, T1059.003, T1059.007, T1105, T1119, T1204.002
IOCs:
Url: 6
File: 7
Domain: 2
Hash: 5
IP: 1
Soft:
NET framework, Visual Studio Code, Node.js, Curl, vscode
Crypto:
ethereum
Algorithms:
sha256, hmac
Languages:
powershell, javascript
03-02-2026
Malicious VS Code tasks.json abuse enables multi-stage infostealer deployment
https://www.threatlocker.com/blog/malicious-vs-code-tasks-json-abuse-enables-multi-stage-infostealer-deployment
Report completeness: Low
Victims:
Software development sector
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1056.004, T1059.001, T1059.003, T1059.007, T1105, T1119, T1204.002
IOCs:
Url: 6
File: 7
Domain: 2
Hash: 5
IP: 1
Soft:
NET framework, Visual Studio Code, Node.js, Curl, vscode
Crypto:
ethereum
Algorithms:
sha256, hmac
Languages:
powershell, javascript
Threatlocker
Malicious VS Code tasks.json abuse enables multi-stage infostealer deployment | ThreatLocker Blog
ThreatLocker Threat Intelligence analyzes a malicious VS Code attack that abuses workspace trust to execute obfuscated commands, install Node.js dependencies, and deploy a feature-rich infostealer targeting sensitive data.
CTT Report Hub
#ParsedReport #CompletenessLow 03-02-2026 Malicious VS Code tasks.json abuse enables multi-stage infostealer deployment https://www.threatlocker.com/blog/malicious-vs-code-tasks-json-abuse-enables-multi-stage-infostealer-deployment Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ угроз выявил метод, который использует Visual Studio Code (VS Code) с использованием вредоносного файла "tasks.json", что облегчает многоэтапное развертывание стиллера. Злоумышленники полагаются на то, что пользователи доверяют папкам вредоносных проектов, где "tasks.json" может выполнять команды для связи с вредоносным сервером. Полезная нагрузка включает в себя запутанные методы JavaScript для захвата конфиденциальных файлов и реализации автоматизированного процесса поиска и загрузки, что указывает на изощренное злоупотребление законными функциями инструмента разработки.
-----
Недавний анализ угроз выявил новый метод использования кода Visual Studio (VS Code) с помощью вредоносного файла "tasks.json", который может обеспечить многоэтапное развертывание стиллера. Злоумышленники используют функциональность VS Code, которая позволяет выполнять команды, не вызывая подозрений, особенно когда папка проекта открыта и помечена как доверенная.
Атака начинается, когда пользователь неосознанно доверяет папке вредоносного проекта; это приводит к тому, что файл "tasks.json" отправляет запросы на вредоносный сервер для получения дальнейших инструкций. Эта эксплуатация использует автоматические возможности для выполнения команд, которые, хотя и предназначены для законного использования разработчиками, могут использоваться злоумышленниками для выполнения произвольных команд на основе обнаруженной операционной системы.
Основная полезная нагрузка использует несколько запутанных методов JavaScript, чтобы скрыть свои злонамеренные намерения. Ключевые функциональные возможности включают в себя установление конечной точки, на которую отправляются захваченные данные. Примечательный встроенный скрипт инициализирует базу данных LDB, предназначенную для захвата конфиденциальных файлов, указывая на нацеленное поведение в отношении документов, которые могут быть недоступны для всех. Кроме того, функция "scanAndUploadDirectory" во встроенном скрипте рекурсивно выполняет поиск конфиденциальных файлов, сравнивая их с заранее определенными списками, и использует функцию "uploadFile" для передачи данных с помощью механизмов для повторной загрузки в случае неудачи первоначальных попыток.
Совокупный эффект этой сложной цепочки атак основан на эффективном неправильном использовании законной функции инструмента разработчика, пользующегося широким доверием. Хотя для достижения целей злоумышленника требуется несколько этапов, многое зависит от поведения в рамках задач.json может казаться безобидным без надлежащего контекста. Поэтому организациям следует внедрять проактивный подход к обеспечению безопасности, проверяя задачи вручную.файлы json перед выполнением, ища признаки подозрительной активности, такой как использование Curl, PowerShell или cmd.exe команды, а также запутанные командные строки и любое прямое удаленное выполнение данных по конвейеру. Такие меры имеют решающее значение для снижения риска, связанного с этим методом атаки, используя как доверие пользователей, так и возможности, присущие инструментам разработки, таким как VS Code.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ угроз выявил метод, который использует Visual Studio Code (VS Code) с использованием вредоносного файла "tasks.json", что облегчает многоэтапное развертывание стиллера. Злоумышленники полагаются на то, что пользователи доверяют папкам вредоносных проектов, где "tasks.json" может выполнять команды для связи с вредоносным сервером. Полезная нагрузка включает в себя запутанные методы JavaScript для захвата конфиденциальных файлов и реализации автоматизированного процесса поиска и загрузки, что указывает на изощренное злоупотребление законными функциями инструмента разработки.
-----
Недавний анализ угроз выявил новый метод использования кода Visual Studio (VS Code) с помощью вредоносного файла "tasks.json", который может обеспечить многоэтапное развертывание стиллера. Злоумышленники используют функциональность VS Code, которая позволяет выполнять команды, не вызывая подозрений, особенно когда папка проекта открыта и помечена как доверенная.
Атака начинается, когда пользователь неосознанно доверяет папке вредоносного проекта; это приводит к тому, что файл "tasks.json" отправляет запросы на вредоносный сервер для получения дальнейших инструкций. Эта эксплуатация использует автоматические возможности для выполнения команд, которые, хотя и предназначены для законного использования разработчиками, могут использоваться злоумышленниками для выполнения произвольных команд на основе обнаруженной операционной системы.
Основная полезная нагрузка использует несколько запутанных методов JavaScript, чтобы скрыть свои злонамеренные намерения. Ключевые функциональные возможности включают в себя установление конечной точки, на которую отправляются захваченные данные. Примечательный встроенный скрипт инициализирует базу данных LDB, предназначенную для захвата конфиденциальных файлов, указывая на нацеленное поведение в отношении документов, которые могут быть недоступны для всех. Кроме того, функция "scanAndUploadDirectory" во встроенном скрипте рекурсивно выполняет поиск конфиденциальных файлов, сравнивая их с заранее определенными списками, и использует функцию "uploadFile" для передачи данных с помощью механизмов для повторной загрузки в случае неудачи первоначальных попыток.
Совокупный эффект этой сложной цепочки атак основан на эффективном неправильном использовании законной функции инструмента разработчика, пользующегося широким доверием. Хотя для достижения целей злоумышленника требуется несколько этапов, многое зависит от поведения в рамках задач.json может казаться безобидным без надлежащего контекста. Поэтому организациям следует внедрять проактивный подход к обеспечению безопасности, проверяя задачи вручную.файлы json перед выполнением, ища признаки подозрительной активности, такой как использование Curl, PowerShell или cmd.exe команды, а также запутанные командные строки и любое прямое удаленное выполнение данных по конвейеру. Такие меры имеют решающее значение для снижения риска, связанного с этим методом атаки, используя как доверие пользователей, так и возможности, присущие инструментам разработки, таким как VS Code.
#ParsedReport #CompletenessHigh
03-02-2026
[Op Report\] Hands-on-Keyboard Intrusion Abusing Multiple RMMs
https://blog.deception.pro/blog/hok-intrusion-abusing-multiple-rmms-jan2026
Report completeness: High
Threats:
Bluetrait_tool
Fleetdeck_tool
Msp360_tool
Superops_tool
Syncro_tool
Victims:
Luxury travel sector, French speaking recipients
Industry:
Telco
Geo:
France, Spanish, Tunisia, French, German, Turkish, Africa
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036, T1059.001, T1071.001, T1105, T1204.001, T1219, T1566.001
IOCs:
Url: 2
Path: 3
File: 3
Hash: 1
Domain: 10
Soft:
Active Directory, Firefox, Mozilla Thunderbird
Algorithms:
sha256
Languages:
powershell
Platforms:
x86
03-02-2026
[Op Report\] Hands-on-Keyboard Intrusion Abusing Multiple RMMs
https://blog.deception.pro/blog/hok-intrusion-abusing-multiple-rmms-jan2026
Report completeness: High
Threats:
Bluetrait_tool
Fleetdeck_tool
Msp360_tool
Superops_tool
Syncro_tool
Victims:
Luxury travel sector, French speaking recipients
Industry:
Telco
Geo:
France, Spanish, Tunisia, French, German, Turkish, Africa
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.001, T1071.001, T1105, T1204.001, T1219, T1566.001
IOCs:
Url: 2
Path: 3
File: 3
Hash: 1
Domain: 10
Soft:
Active Directory, Firefox, Mozilla Thunderbird
Algorithms:
sha256
Languages:
powershell
Platforms:
x86
Deception.Pro Blog
[Op Report] Hands-on-Keyboard Intrusion Abusing Multiple RMMs — Deception.Pro Blog
Proofpoint observed a hands-on-keyboard intrusion where an operator abused multiple RMM platforms —including Bluetrait, Fleetdeck, Level, and MSP360 —after initial access via a malicious PDF “missing Adobe plugin” lure. The activity underscores a growing…
CTT Report Hub
#ParsedReport #CompletenessHigh 03-02-2026 [Op Report\] Hands-on-Keyboard Intrusion Abusing Multiple RMMs https://blog.deception.pro/blog/hok-intrusion-abusing-multiple-rmms-jan2026 Report completeness: High Threats: Bluetrait_tool Fleetdeck_tool Msp360_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи наблюдали сложную целенаправленную угрозу, связанную с известным злоумышленником, используя инструмент удаленного мониторинга и управления Bluetrait (RMM) в смоделированной среде организации путешествий класса люкс во Франции в период с 14 по 27 января 2026 года. Злоумышленники использовали тактику социальной инженерии, включающую электронное письмо с вложением в формате PDF, для установки инструмента RMM, что позволило им получить контроль. Инцидент высветил тенденцию использования законного программного обеспечения для несанкционированного доступа, подчеркнув важность мониторинга необычных действий и установок RMM.
-----
В период с 14 по 27 января 2026 года исследователи Proofpoint задокументировали инцидент, связанный с тактикой вторжения с клавиатуры в среде, имитирующей французскую туристическую организацию класса люкс. Эта сложная целенаправленная угроза была связана со знакомым злоумышленником, который распространял инструмент удаленного мониторинга и управления Bluetrait (RMM), указанный в кампании по электронной почте, начинающейся 13 января 2026 года. В кампании использовалась тактика социальной инженерии, при которой получатели получали электронное письмо с вложением в формате PDF, в котором якобы указывался "отсутствующий плагин Adobe". Переход по ссылке вызвал установку инструмента Bluetrait RMM, что позволило злоумышленникам получить контроль.
На протяжении всей наблюдаемой 15-дневной активности исследователи отметили серию технических маневров, связанных с развертыванием RMM Bluetrait. Телеметрия обнаружения выявила область программного обеспечения RMM, включая связанные домены поиска для различных эксплуатационных аспектов Bluetrait и Level.io агент, позволяющий получить потенциальную информацию об инфраструктуре злоумышленника. Среди извлеченных доменов были те, которые связаны с агентами загрузки, одноранговыми подключениями и службами резервного копирования, что указывает на надежную операционную структуру, предназначенную для облегчения постоянного доступа и управления данными.
Операция подчеркнула тревожную тенденцию в области киберугроз: злоумышленники все чаще используют законное корпоративное программное обеспечение в качестве каналов несанкционированного доступа и контроля. Развертывание нескольких платформ RMM добавляет уровни избыточности и гибкости, привлекая внимание к необходимости для защитников отслеживать не только использование RMM, но и признаки аномальной активности, связанной с этими инструментами. В частности, защитникам следует проявлять бдительность в отношении неожиданных установок программного обеспечения RMM, особенно нескольких агентов на одной конечной точке, признаков скрытого выполнения PowerShell и любых избыточных агентов управления, не имеющих законного бизнес-обоснования. Кроме того, любая деятельность RMM, которая отличается от операций общего поставщика управляемых услуг (MSP), например, нерегулярные временные рамки или география, требует более глубокого расследования, поскольку может свидетельствовать о злонамеренном подтексте.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследователи наблюдали сложную целенаправленную угрозу, связанную с известным злоумышленником, используя инструмент удаленного мониторинга и управления Bluetrait (RMM) в смоделированной среде организации путешествий класса люкс во Франции в период с 14 по 27 января 2026 года. Злоумышленники использовали тактику социальной инженерии, включающую электронное письмо с вложением в формате PDF, для установки инструмента RMM, что позволило им получить контроль. Инцидент высветил тенденцию использования законного программного обеспечения для несанкционированного доступа, подчеркнув важность мониторинга необычных действий и установок RMM.
-----
В период с 14 по 27 января 2026 года исследователи Proofpoint задокументировали инцидент, связанный с тактикой вторжения с клавиатуры в среде, имитирующей французскую туристическую организацию класса люкс. Эта сложная целенаправленная угроза была связана со знакомым злоумышленником, который распространял инструмент удаленного мониторинга и управления Bluetrait (RMM), указанный в кампании по электронной почте, начинающейся 13 января 2026 года. В кампании использовалась тактика социальной инженерии, при которой получатели получали электронное письмо с вложением в формате PDF, в котором якобы указывался "отсутствующий плагин Adobe". Переход по ссылке вызвал установку инструмента Bluetrait RMM, что позволило злоумышленникам получить контроль.
На протяжении всей наблюдаемой 15-дневной активности исследователи отметили серию технических маневров, связанных с развертыванием RMM Bluetrait. Телеметрия обнаружения выявила область программного обеспечения RMM, включая связанные домены поиска для различных эксплуатационных аспектов Bluetrait и Level.io агент, позволяющий получить потенциальную информацию об инфраструктуре злоумышленника. Среди извлеченных доменов были те, которые связаны с агентами загрузки, одноранговыми подключениями и службами резервного копирования, что указывает на надежную операционную структуру, предназначенную для облегчения постоянного доступа и управления данными.
Операция подчеркнула тревожную тенденцию в области киберугроз: злоумышленники все чаще используют законное корпоративное программное обеспечение в качестве каналов несанкционированного доступа и контроля. Развертывание нескольких платформ RMM добавляет уровни избыточности и гибкости, привлекая внимание к необходимости для защитников отслеживать не только использование RMM, но и признаки аномальной активности, связанной с этими инструментами. В частности, защитникам следует проявлять бдительность в отношении неожиданных установок программного обеспечения RMM, особенно нескольких агентов на одной конечной точке, признаков скрытого выполнения PowerShell и любых избыточных агентов управления, не имеющих законного бизнес-обоснования. Кроме того, любая деятельность RMM, которая отличается от операций общего поставщика управляемых услуг (MSP), например, нерегулярные временные рамки или география, требует более глубокого расследования, поскольку может свидетельствовать о злонамеренном подтексте.
#ParsedReport #CompletenessHigh
02-02-2026
Infostealers without borders: macOS, Python stealers, and platform abuse
https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/
Report completeness: High
Threats:
Credential_stealing_technique
Amos_stealer
Clickfix_technique
Digitstealer
Macc_stealer
Eternidade
Pxa_stealer
Supply_chain_technique
Bec_technique
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Purerat
Industry:
Education, Government, Financial
TTPs:
Tactics: 8
Technics: 0
IOCs:
File: 8
Hash: 21
Url: 8
IP: 3
Domain: 20
Soft:
macOS, Microsoft Defender, WhatsApp, Telegram, CrystalPDF, Firefox, Chrome, Microsoft Defender for Endpoint, Unix, curl, have more...
Wallets:
coinbase, metamask
Crypto:
binance
Algorithms:
sha256, zip
Languages:
delphi, visual_basic, powershell, python, applescript, autoit
Platforms:
cross-platform
02-02-2026
Infostealers without borders: macOS, Python stealers, and platform abuse
https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/
Report completeness: High
Threats:
Credential_stealing_technique
Amos_stealer
Clickfix_technique
Digitstealer
Macc_stealer
Eternidade
Pxa_stealer
Supply_chain_technique
Bec_technique
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Purerat
Industry:
Education, Government, Financial
TTPs:
Tactics: 8
Technics: 0
IOCs:
File: 8
Hash: 21
Url: 8
IP: 3
Domain: 20
Soft:
macOS, Microsoft Defender, WhatsApp, Telegram, CrystalPDF, Firefox, Chrome, Microsoft Defender for Endpoint, Unix, curl, have more...
Wallets:
coinbase, metamask
Crypto:
binance
Algorithms:
sha256, zip
Languages:
delphi, visual_basic, powershell, python, applescript, autoit
Platforms:
cross-platform
Microsoft News
Infostealers without borders: macOS, Python stealers, and platform abuse
How modern infostealers target macOS systems, leverage Python‑based stealers, and abuse trusted platforms and utilities to distribute credential‑stealing payloads.
Continuous Intrusion/Continuous Distribution:
Tracking Fox’s Iterative Malspam Campaign
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_7_satoshi_kamekawa_en.pdf
Tracking Fox’s Iterative Malspam Campaign
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_7_satoshi_kamekawa_en.pdf
Infrastructure-less Adversary: C2 Laundering via Dead-Drop Resolvers and the Microsoft Graph API
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_8_wei-chieh_chao_shih-min_chan_en.pdf
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_8_wei-chieh_chao_shih-min_chan_en.pdf
Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf
Continuous Evolution of Tianwu’s Pangolin8RAT and Custom Cobalt Strike Beacon
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf
Unraveling the WSUS Exploit Chain Incident Analysis and Actor Insights
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf
Continuous Evolution of Tianwu’s Pangolin8RAT and Custom Cobalt Strike Beacon
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf
Unraveling the WSUS Exploit Chain Incident Analysis and Actor Insights
https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf
#technique
GhostKatz
Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities.
https://github.com/RainbowDynamix/GhostKatz
GhostKatz
Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities.
https://github.com/RainbowDynamix/GhostKatz
GitHub
GitHub - RainbowDynamix/GhostKatz: Dump LSASS via physical memory read primitives in vulnerable kernel drivers
Dump LSASS via physical memory read primitives in vulnerable kernel drivers - RainbowDynamix/GhostKatz
#technique
Cobaltstrike_BOFLoader
This is an open source port/reimplementation of the Cobalt Strike BOF Loader as is. For the most part, everything is done as in the original Beacon + Teamserver in Cobalt Strike.
https://github.com/CodeXTF2/Cobaltstrike_BOFLoader
Cobaltstrike_BOFLoader
This is an open source port/reimplementation of the Cobalt Strike BOF Loader as is. For the most part, everything is done as in the original Beacon + Teamserver in Cobalt Strike.
https://github.com/CodeXTF2/Cobaltstrike_BOFLoader
GitHub
GitHub - CodeXTF2/Cobaltstrike_BOFLoader: open source port/reimplementation of the Cobalt Strike BOF Loader as is
open source port/reimplementation of the Cobalt Strike BOF Loader as is - CodeXTF2/Cobaltstrike_BOFLoader
#ParsedReport #CompletenessMedium
04-02-2026
Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious
https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
Report completeness: Medium
Threats:
React2shell_vuln
Aitm_technique
Victims:
Nginx administrators, Web hosting management panels, Baota panel users
Industry:
Entertainment
Geo:
Chinese, Emea, Asian
TTPs:
Tactics: 6
Technics: 7
IOCs:
File: 3
IP: 1
Domain: 3
Soft:
Nginx, curl, Linux, Unix, twitter
Algorithms:
md5
Languages:
python, php
04-02-2026
Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious
https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
Report completeness: Medium
Threats:
React2shell_vuln
Aitm_technique
Victims:
Nginx administrators, Web hosting management panels, Baota panel users
Industry:
Entertainment
Geo:
Chinese, Emea, Asian
TTPs:
Tactics: 6
Technics: 7
IOCs:
File: 3
IP: 1
Domain: 3
Soft:
Nginx, curl, Linux, Unix, twitter
Algorithms:
md5
Languages:
python, php
Datadoghq
Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious
Datadog Security Research has identified an active web traffic hijacking campaign that targets NGINX installations and management panels like Baota (BT). In this post, we provide our analysis of the techniques this campaign uses and share indicators of compromise…