#ParsedReport #CompletenessLow
03-02-2026

APT28: Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)

https://blog.synapticsystems.de/apt28-geofencing-as-a-targeting-signal-cve-2026-21509/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Motw_bypass_technique

Victims:
European countries

Geo:
Romania, Romanian, Moldova, Slovenia, Russian, Czech, Ukraine, Poland, Pol

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1105, T1203, T1204.002, T1566.001

IOCs:
Hash: 5
IP: 2

Soft:
Microsoft Office

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28 активизировала кибероперации, используя уязвимость Microsoft Office CVE-2026-21509 для получения первоначального доступа через вредоносные документы Word. В этих документах используются стратегические пути размещения и активное содержимое для активации определенных путей кода Windows и Office, что затрудняет обнаружение. Тактика группы включает в себя геозонирование, нацеленное на конкретные европейские регионы, в первую очередь Румынию и Молдову, что демонстрирует сложный и индивидуальный подход к их киберкампаниям.
-----

APT28 недавно активизировали свои операции в киберпространстве, направленные на различные европейские народы с помощью кампаний, которые эксплуатируют Майкрософт Офис уязвимость CVE-2026-21509. Эта уязвимость является первоначальный доступ к группе. Методика атаки предполагает прежде всего вредоносные документы Word, которые пытаются использовать этот подвиг. В частности, документы содержат различные активные контента, таких как макросы и внешние ссылки, хотя эксплуатация в значительной степени опирается на внутренне обработаны реконструкции объекта, а не встроенные вредоносное ПО, делая их обнаружение сложным.

Анализ вредоносных документов показывает, что APT28 использует стратегические пути размещения, такие как файл://wellnessmedcare.org/davwwwroot/pol/Downloads/document.lnk?init=1. Эти пути предназначены для активации определенных путей кода Windows и Office, которые облегчают использование уязвимости CVE-2026-21509. Кроме того, заслуживает внимания выбор мест размещения этих векторов атак, поскольку они соотносятся с регионами, на которые нацелены атаки в Европе, особенно в Румынии и Молдове. Это указывает на изощренное использование геозоны для адаптации их кампаний к конкретным географическим районам.

Чтобы понять последствия этой стратегии геозонирования, в ходе анализа потребовалось протестировать доступ к этим вредоносным ресурсам через различные прокси-серверы. Экспериментируя с различными прокси-серверами, стало возможным определить, как можно взаимодействовать с вредоносной инфраструктурой, что позволило получить представление о желаемой целевой демографической группе.

Технология, внедренная APT28, обладает рядом устоявшихся характеристик, включая использование путей WebDAV, удаленных файлов быстрого доступа и строгую геозону. В совокупности эти тактические приемы способствуют созданию стабильной методологии атаки, которая сводит к минимуму взаимодействие с пользователем и обходит стандартные средства контроля безопасности, которые обычно внедряют организации. Кроме того, характеристики инфраструктуры, связанные с этими кампаниями, обеспечивают важные разведывательные сигналы, которые могут указывать на потенциальные целевые регионы, тесно увязываясь с наблюдаемым поведением соответствующих документов.

Таким образом, использование APT28 CVE-2026-21509 и его комплексный подход к таргетингу подчеркивают эволюционирующую тактику группировки, которая сочетает техническую изощренность с географической разведкой для повышения эффективности своих киберопераций.

#ParsedReport #CompletenessLow
03-02-2026

Exploring the C2 Infrastructure of the Notepad++ Compromise

https://www.validin.com/blog/exploring_notepad_plus_plus_network_indicators/

Report completeness: Low

Threats:
Cobalt_strike_tool

Victims:
Notepad++ users, Software supply chain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1090, T1095, T1105, T1573, T1583.001, T1583.004

IOCs:
IP: 7
Domain: 6
Hash: 1

Soft:
Ubuntu, OpenSSH

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака Notepad++ использовала уязвимости в его хостинговой инфраструктуре, перенаправляя пользователей на вредоносный сервер для получения скомпрометированных обновлений. Нападавшие использовали Cobalt Strike с радиомаяком, работающим под api.wiresguard.com , используя несколько IP-адресов для действий командования и контроля, включая 95.179.213.0 и 61.4.102.97, и продемонстрировал тактику уклонения путем изменения кодов ответа. Текущая инфраструктура, связанная с этой атакой, остается активной, что указывает на сохраняющийся риск и подчеркивает меняющуюся тактику злоумышленников.
-----

Кибератака с использованием Notepad++, по-видимому, использовала уязвимости в инфраструктуре хостинга, в частности, через провайдера, связанного с Hostinger. Злоумышленники перенаправляли пользователей на вредоносный сервер, позволяя им доставлять скомпрометированные обновления. Ключевые элементы атаки включают в себя несколько IP-адресов, связанных с доменом Command and Control (C2), в частности 95.179.213.0, который был источником начальной загрузки Вредоносного файла, и 61.4.102.97, привязанный к домену api.skycloudcenter.com домен, который служил поставщиком C2 по протоколу HTTPS.

Вредоносные операции использовали Cobalt Strike с доменом beacon api.wiresguard.com работает как минимум с июня 2025 года и постоянно размещается на Cloudflare. Было подтверждено, что Cobalt Strike Beacon использует IP-адрес 59.110.7.32 на порту 8880, при этом дополнительный анализ показал, что он оставался доступным до января 2026 года. Злоумышленники также продемонстрировали изощренную тактику, изменив коды ответов и сообщения хостинга на серверах C2, чтобы потенциально избежать обнаружения.

Во время атаки сроки, соответствующие замечания, включенные в характеристики различных портах по первоначальной загрузки ИПС, раскрывая конкретные конфигурации сервера, которые указали, Ubuntu и установки Debian. Домен С2 в частности, разрешен в ранее незарегистрированный IP-адрес, 160.250.93.48, которые коррелировали с другой домен api.cloudtrafficservice.com.

С помощью проактивного мониторинга и анализа использования платформы Validin, в дальнейшем показатели компромисса и детали инфраструктуры были представлены, что свидетельствует о продолжающейся активности вокруг этой угрозы. Важным аспектом работы был в том, что компоненты инфраструктуры, связанной с этой атаки оставался работоспособным на момент представления отчетности, с указанием сохраняющимися рисками. В целом, этот инцидент свидетельствует о меняющейся тактикой хакеров и служит предупреждением для бдительность в отношении цепочка поставок питания.

#ParsedReport #CompletenessLow
03-02-2026

Malicious VS Code tasks.json abuse enables multi-stage infostealer deployment

https://www.threatlocker.com/blog/malicious-vs-code-tasks-json-abuse-enables-multi-stage-infostealer-deployment

Report completeness: Low

Victims:
Software development sector

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.004, T1059.001, T1059.003, T1059.007, T1105, T1119, T1204.002

IOCs:
Url: 6
File: 7
Domain: 2
Hash: 5
IP: 1

Soft:
NET framework, Visual Studio Code, Node.js, Curl, vscode

Crypto:
ethereum

Algorithms:
sha256, hmac

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ угроз выявил метод, который использует Visual Studio Code (VS Code) с использованием вредоносного файла "tasks.json", что облегчает многоэтапное развертывание стиллера. Злоумышленники полагаются на то, что пользователи доверяют папкам вредоносных проектов, где "tasks.json" может выполнять команды для связи с вредоносным сервером. Полезная нагрузка включает в себя запутанные методы JavaScript для захвата конфиденциальных файлов и реализации автоматизированного процесса поиска и загрузки, что указывает на изощренное злоупотребление законными функциями инструмента разработки.
-----

Недавний анализ угроз выявил новый метод использования кода Visual Studio (VS Code) с помощью вредоносного файла "tasks.json", который может обеспечить многоэтапное развертывание стиллера. Злоумышленники используют функциональность VS Code, которая позволяет выполнять команды, не вызывая подозрений, особенно когда папка проекта открыта и помечена как доверенная.

Атака начинается, когда пользователь неосознанно доверяет папке вредоносного проекта; это приводит к тому, что файл "tasks.json" отправляет запросы на вредоносный сервер для получения дальнейших инструкций. Эта эксплуатация использует автоматические возможности для выполнения команд, которые, хотя и предназначены для законного использования разработчиками, могут использоваться злоумышленниками для выполнения произвольных команд на основе обнаруженной операционной системы.

Основная полезная нагрузка использует несколько запутанных методов JavaScript, чтобы скрыть свои злонамеренные намерения. Ключевые функциональные возможности включают в себя установление конечной точки, на которую отправляются захваченные данные. Примечательный встроенный скрипт инициализирует базу данных LDB, предназначенную для захвата конфиденциальных файлов, указывая на нацеленное поведение в отношении документов, которые могут быть недоступны для всех. Кроме того, функция "scanAndUploadDirectory" во встроенном скрипте рекурсивно выполняет поиск конфиденциальных файлов, сравнивая их с заранее определенными списками, и использует функцию "uploadFile" для передачи данных с помощью механизмов для повторной загрузки в случае неудачи первоначальных попыток.

Совокупный эффект этой сложной цепочки атак основан на эффективном неправильном использовании законной функции инструмента разработчика, пользующегося широким доверием. Хотя для достижения целей злоумышленника требуется несколько этапов, многое зависит от поведения в рамках задач.json может казаться безобидным без надлежащего контекста. Поэтому организациям следует внедрять проактивный подход к обеспечению безопасности, проверяя задачи вручную.файлы json перед выполнением, ища признаки подозрительной активности, такой как использование Curl, PowerShell или cmd.exe команды, а также запутанные командные строки и любое прямое удаленное выполнение данных по конвейеру. Такие меры имеют решающее значение для снижения риска, связанного с этим методом атаки, используя как доверие пользователей, так и возможности, присущие инструментам разработки, таким как VS Code.

#ParsedReport #CompletenessHigh
03-02-2026

[Op Report\] Hands-on-Keyboard Intrusion Abusing Multiple RMMs

https://blog.deception.pro/blog/hok-intrusion-abusing-multiple-rmms-jan2026

Report completeness: High

Threats:
Bluetrait_tool
Fleetdeck_tool
Msp360_tool
Superops_tool
Syncro_tool

Victims:
Luxury travel sector, French speaking recipients

Industry:
Telco

Geo:
France, Spanish, Tunisia, French, German, Turkish, Africa

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1071.001, T1105, T1204.001, T1219, T1566.001

IOCs:
Url: 2
Path: 3
File: 3
Hash: 1
Domain: 10

Soft:
Active Directory, Firefox, Mozilla Thunderbird

Algorithms:
sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи наблюдали сложную целенаправленную угрозу, связанную с известным злоумышленником, используя инструмент удаленного мониторинга и управления Bluetrait (RMM) в смоделированной среде организации путешествий класса люкс во Франции в период с 14 по 27 января 2026 года. Злоумышленники использовали тактику социальной инженерии, включающую электронное письмо с вложением в формате PDF, для установки инструмента RMM, что позволило им получить контроль. Инцидент высветил тенденцию использования законного программного обеспечения для несанкционированного доступа, подчеркнув важность мониторинга необычных действий и установок RMM.
-----

В период с 14 по 27 января 2026 года исследователи Proofpoint задокументировали инцидент, связанный с тактикой вторжения с клавиатуры в среде, имитирующей французскую туристическую организацию класса люкс. Эта сложная целенаправленная угроза была связана со знакомым злоумышленником, который распространял инструмент удаленного мониторинга и управления Bluetrait (RMM), указанный в кампании по электронной почте, начинающейся 13 января 2026 года. В кампании использовалась тактика социальной инженерии, при которой получатели получали электронное письмо с вложением в формате PDF, в котором якобы указывался "отсутствующий плагин Adobe". Переход по ссылке вызвал установку инструмента Bluetrait RMM, что позволило злоумышленникам получить контроль.

На протяжении всей наблюдаемой 15-дневной активности исследователи отметили серию технических маневров, связанных с развертыванием RMM Bluetrait. Телеметрия обнаружения выявила область программного обеспечения RMM, включая связанные домены поиска для различных эксплуатационных аспектов Bluetrait и Level.io агент, позволяющий получить потенциальную информацию об инфраструктуре злоумышленника. Среди извлеченных доменов были те, которые связаны с агентами загрузки, одноранговыми подключениями и службами резервного копирования, что указывает на надежную операционную структуру, предназначенную для облегчения постоянного доступа и управления данными.

Операция подчеркнула тревожную тенденцию в области киберугроз: злоумышленники все чаще используют законное корпоративное программное обеспечение в качестве каналов несанкционированного доступа и контроля. Развертывание нескольких платформ RMM добавляет уровни избыточности и гибкости, привлекая внимание к необходимости для защитников отслеживать не только использование RMM, но и признаки аномальной активности, связанной с этими инструментами. В частности, защитникам следует проявлять бдительность в отношении неожиданных установок программного обеспечения RMM, особенно нескольких агентов на одной конечной точке, признаков скрытого выполнения PowerShell и любых избыточных агентов управления, не имеющих законного бизнес-обоснования. Кроме того, любая деятельность RMM, которая отличается от операций общего поставщика управляемых услуг (MSP), например, нерегулярные временные рамки или география, требует более глубокого расследования, поскольку может свидетельствовать о злонамеренном подтексте.

#ParsedReport #CompletenessHigh
02-02-2026

Infostealers without borders: macOS, Python stealers, and platform abuse

https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/

Report completeness: High

Threats:
Credential_stealing_technique
Amos_stealer
Clickfix_technique
Digitstealer
Macc_stealer
Eternidade
Pxa_stealer
Supply_chain_technique
Bec_technique
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Purerat

Industry:
Education, Government, Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 8
Hash: 21
Url: 8
IP: 3
Domain: 20

Soft:
macOS, Microsoft Defender, WhatsApp, Telegram, CrystalPDF, Firefox, Chrome, Microsoft Defender for Endpoint, Unix, curl, have more...

Wallets:
coinbase, metamask

Crypto:
binance

Algorithms:
sha256, zip

Languages:
delphi, visual_basic, powershell, python, applescript, autoit

Platforms:
cross-platform

Continuous Intrusion/Continuous Distribution:
Tracking Fox’s Iterative Malspam Campaign

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_7_satoshi_kamekawa_en.pdf

Infrastructure-less Adversary: C2 Laundering via Dead-Drop Resolvers and the Microsoft Graph API

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_8_wei-chieh_chao_shih-min_chan_en.pdf

Ghost in Your Network: How Earth Kurma Stays Hidden and Exfiltrates Your Data

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_5_nick_dai_sunny-w-lu_en.pdf

Continuous Evolution of Tianwu’s Pangolin8RAT and Custom Cobalt Strike Beacon

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_1_6_naoki_takayama_en.pdf

Unraveling the WSUS Exploit Chain Incident Analysis and Actor Insights

https://jsac.jpcert.or.jp/archive/2026/pdf/JSAC2026_2_6_shohei_iwata-teruki_yoshikawa_en.pdf

#technique

GhostKatz

Extract LSASS credentials directly from physical memory by abusing signed vulnerable drivers with physical memory read primitives via MmMapIoSpace, bypassing traditional user-mode detection capabilities.

https://github.com/RainbowDynamix/GhostKatz

#technique

Cobaltstrike_BOFLoader

This is an open source port/reimplementation of the Cobalt Strike BOF Loader as is. For the most part, everything is done as in the original Beacon + Teamserver in Cobalt Strike.

https://github.com/CodeXTF2/Cobaltstrike_BOFLoader

#ParsedReport #CompletenessMedium
04-02-2026

Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious

https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/

Report completeness: Medium

Threats:
React2shell_vuln
Aitm_technique

Victims:
Nginx administrators, Web hosting management panels, Baota panel users

Industry:
Entertainment

Geo:
Chinese, Emea, Asian

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
IP: 1
Domain: 3

Soft:
Nginx, curl, Linux, Unix, twitter

Algorithms:
md5

Languages:
python, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4