#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28 использует уязвимость CVE-2026-21509, используя объект OLE-браузера в документе RTF для перенаправления жертв на удаленный сервер. В атаке используется устаревший движок Internet Explorer, и ее эффективность зависит от методов геозащиты, при которых доступ ограничен определенными регионами, такими как Чешская Республика, Польша и Румыния, что приводит к успешным подключениям из этих регионов при одновременной блокировке других. Эта операция отражает устоявшуюся тактику APT28's и фокусируется на воздействии на конкретные демографические группы с помощью специально разработанной инфраструктуры.
-----

APT28 использует уязвимость CVE-2026-21509 с помощью сложного метода, включающего забытый OLE-объект браузера, встроенный в документ RTF, в частности, с использованием Shell.Исследователь.1. Это позволяет Microsoft Office корректно создать экземпляр вредоносного документа, что приводит к его переходу на удаленный сервер, связанный со злоумышленником. Процесс эксплуатации остается скрытым за распространенными тактиками, которые включают макросы, внешние ссылки или другой активный контент в типичных вредоносных документах.

Видимость эксплойта зависит от определенных шагов рефакторинга, которые могут быть облегчены с помощью таких инструментов, как rtfobj, предназначенных для воспроизведения логики синтаксического анализа слов. Это реконструирует встроенные объекты из потока RTF, подчеркивая, что эксплуатация в большей степени зависит от операционных решений, чем строго от технических характеристик CVE-2026-21509. После этого старый движок Internet Explorer (ieframe.dll ), лишенный современных мер защиты, таких как SmartScreen или Smart Application Control, используется для выполнения следующего этапа атаки.

В стратегии APT28's также широко используются методы геозащиты, отличительные черты российских злоумышленников. Атака сосредоточена географически, о чем свидетельствует выбор расположения серверов в Румынии и Молдове, вероятно, выбранных исходя из целевой демографической группы для кампании. Проверка этой тактики геозащиты была проведена путем тестирования доступа к вредоносной инфраструктуре из различных мест. Было установлено, что запросы, исходящие за пределами указанной географической зоны, получали ошибку HTTP 403, в то время как запросы, перенаправленные через румынский прокси—сервер, были успешными, что ясно указывало на то, что доступ был разрешен только определенным странам, а именно Чешской Республике, Польше и Румынии.

Более того, в то время как вторичный домен, бесплатный foodaid.com , было обнаружено, что в ходе анализа он находится в автономном режиме, предполагается, что будут применяться аналогичные методы гео-ограждения. Этот шаблон, свидетельствующий о методах работы APT28's, подчеркивает эффективность CVE-2026-21509 в использовании обработки офисных документов и согласуется с установленными методами, ранее использовавшимися группой, такими как использование удаленных файлов быстрого доступа и строгие стратегии географического ограждения. Эти результаты не только проливают свет на методы атак, но и предоставляют ценную информацию для понимания оперативной обстановки и потенциальных целевых областей APT28's кампаний.

#ParsedReport #CompletenessMedium
19-03-2026

When tax season becomes cyberattack season: Phishing and malware campaigns using tax-related lures

https://www.microsoft.com/en-us/security/blog/2026/03/19/when-tax-season-becomes-cyberattack-season-phishing-and-malware-campaigns-using-tax-related-lures/

Report completeness: Medium

Actors/Campaigns:
Kratos

Threats:
Aitm_technique
Tycoon_2fa
Energy365
Sneaky_log
Screenconnect_tool
Simplehelp_tool
Datto_tool
Credential_harvesting_technique

Victims:
Financial services, Education, Information technology, Insurance, Healthcare, Manufacturing, Retail, Higher education, Accounting, Legal, have more...

Industry:
Healthcare, Retail, Education, Government, Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.003, T1111, T1204.001, T1204.002, T1219, T1497.002, T1566.001, T1566.002, T1583.001, have more...

IOCs:
File: 4
Domain: 7
Hash: 2

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, OneNote, Office 365, Microsoft Office, Microsoft Exchange, Microsoft Edge, Twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Во время налогового сезона наблюдается всплеск кибератак с использованием схем фишинга и вредоносного ПО, связанных с налогообложением. Злоумышленники используют срочность в связи со сроками уплаты налогов с помощью обманчивых электронных писем, имитирующих законные уведомления, часто используя темы, связанные с налоговыми документами, такими как формы W-2. В недавних кампаниях использовались такие наборы, как Energy365 и SneakyLog, для распространения вредоносных вложений и ссылок на сайты по сбору учетных записей, в то время как другие направляли пользователей загружать RATs, замаскированные под налоговые формы, что указывает на рост изощренной тактики социальной инженерии, нацеленной на CPA и бухгалтеров.
-----

Во время налогового сезона наблюдался значительный рост числа кибератак, использующих приманки, связанные с налогообложением, особенно посредством фишинга и вредоносных кампаний. Злоумышленники используют срочность, связанную со сроками уплаты налогов, используя электронные письма, имитирующие законные уведомления от налоговых органов или финансовых учреждений. Недавний анализ, проведенный Microsoft Threat Intelligence, выявил несколько кампаний, специально разработанных для обмана как частных лиц, так и специалистов в области бухгалтерского учета.

В этих кампаниях по фишингу обычно используются конкретные темы, связанные с налоговыми документами, такими как формы W-2 и контент, связанный с CPA. Например, в кампании, проведенной в начале февраля 2026 года, использовался набор для фишинга Energy365 с вложениями, названными весьма специфическим образом, ориентированный на пользователей из различных отраслей. Это включало в себя многоэтапное взаимодействие, включая ссылку на файлы OneNote, размещенные в OneDrive, что еще больше усложняло усилия по обнаружению.

В другой кампании, наблюдавшейся в феврале, использовались электронные письма налоговой тематики с такими темами, как "Налоговые документы сотрудников за 2025 год", которые содержали уникальные вложения с QR-кодами, ведущими на страницы фишинга. В этой конкретной кампании использовался набор для фишинга SneakyLog, копирующий страницу входа в Microsoft 365 для извлечения учетных данных пользователя. Примечательно, что этот набор разработан как часть модели "фишинг как услуга", которая облегчает сбор учетных записей, в том числе в обход многофакторной аутентификации.

Кроме того, другие кампании проводились под видом законных предприятий и включали в себя несколько доменов, зарегистрированных специально для фишинга, связанного с налогами. В некоторых сообщениях пользователям предлагалось загрузить вредоносное ПО, замаскированное под налоговые формы, где заметными вредоносными ПО были ScreenConnect и SimpleHelp — оба законных инструмента удаленного мониторинга превратились в Троянские программы для удаленного доступа (RATs). В одном случае электронное письмо, в котором утверждалось, что оно содержит расшифровку Налоговой службы, привело к вредоносной загрузке, которая предоставляла злоумышленникам удаленный контроль над системами ничего не подозревающих жертв.

Ориентация на конкретные демографические группы, такие как менеджеры по продажам и бухгалтеры, является повторяющейся тактикой. Эти кампании часто начинаются с безобидных запросов о налоговых службах, но сопровождаются Вредоносными ссылками, при нажатии на которые устанавливаются различные RAT. Эти вариации отражают растущую изощренность тактики социальной инженерии, что делает обнаружение все более сложным.

Учитывая эти развивающиеся угрозы, организациям рекомендуется усилить меры безопасности электронной почты и обучить пользователей распознавать попытки фишинга. Стратегии предотвращения должны включать информирование пользователей о признаках попыток фишинга и внедрение надежных систем обнаружения для эффективной борьбы с этими целенаправленными атаками.

#ParsedReport #CompletenessLow
19-03-2026

Kimsuky malware uses the Dropbox API.

https://sect.iij.ad.jp/blog/2026/03/dropbox-api-kimsuky-malware/

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
South korea

Geo:
Korea, Korean, North korea

ChatGPT TTPs:
do not use without manual check
T1016.001, T1053.005, T1059.001, T1059.003, T1059.005, T1082, T1102.002, T1105, T1204.002, T1567.002, have more...

IOCs:
File: 6
Path: 3
Hash: 4

Soft:
Dropbox, Task Scheduler

Algorithms:
sha256, xor

Win API:
GetTempFileName

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года исследователи идентифицировали вредоносный файл LNK, связанный с атакующей кампанией Kimsuky, которая использует API Dropbox для передачи данных и запуска дополнительного вредоносного ПО. Вредоносное ПО при запуске создает VBScript, который запускается автоматически и собирает системную информацию для загрузки в папку Dropbox, используя жестко закодированные учетные данные. Эта APT-группировка использует для своей деятельности легальные платформы, такие как GitHub и Dropbox, что указывает на растущую тенденцию использования доверенных сервисов в злонамеренных целях.
-----

В марте 2026 года исследователи из IIJ идентифицировали вредоносный файл LNK, который обладал характеристиками, сходными с ранее задокументированным вредоносным ПО, связанным с кампанией атак Kimsuky. Это вредоносное ПО использует API Dropbox для передачи информации с зараженных хостов и дальнейшего выполнения вредоносного ПО по указанию злоумышленников. Файл LNK, происходящий из Южной Кореи, был обнаружен в общедоступном хранилище вредоносного ПО.

При выполнении файл LNK запускает команды, которые приводят к созданию файла VBScript, расположенного по адресу "C:\PerfLog\www.ps1 ," который выполняет критические шаги в работе вредоносного ПО. Это включает в себя планирование задач для обеспечения автоматического запуска файла VBScript. Примечательно, что документ, извлеченный вместе с файлом LNK, использует проприетарный формат корейского программного обеспечения "Hancom Office", служащий приманкой для заманивания цели.

Загруженное вредоносное ПО функционирует путем сбора системной информации и отправляет эти данные в указанную папку Dropbox, контролируемую злоумышленником, используя жестко закодированные учетные данные для аутентификации. Вредоносное ПО извлекает эти данные, чтобы установить, запустила ли цель вредоносное программное обеспечение. В частности, он проверяет и создает папку с именем "Zzz02_ID" в Dropbox, куда загружает временный файл, помеченный тем же идентификатором, содержащий системную информацию. После этого он пытается загрузить и запустить последующее вредоносное ПО — потенциально Троянскую программу удаленного доступа (RAT) — с помощью пакетного файла, который после запуска может облегчить дальнейшую эксплуатацию.

Кроме того, с января 2026 года IIJ отслеживает многочисленные действия APT-группировки, предположительно связанной с Северной Кореей, которая использовала законные платформы, такие как GitHub и Dropbox, для своей вредоносной деятельности. Это указывает на тревожную тенденцию использования злоумышленниками доверенных сервисов для киберопераций, что говорит о том, что в дальнейшем необходимо проявлять бдительность в отношении такой тактики. Распространяемая информация и инсайты обеспечивают важнейшие показатели для обнаружения этих развивающихся угроз, связанных с группой Kimsuky, и реагирования на них.

#ParsedReport #CompletenessLow
19-03-2026

StoatWaffle, malware used by WaterPlum

https://jp.security.ntt/insights_resources/tech_blog/stoatwaffle_malware_en/

Report completeness: Low

Actors/Campaigns:
Famous_chollima
Contagious_interview
Modilus

Threats:
Stoatwaffle
Ottercookie

Victims:
Blockchain, Cryptocurrency

Industry:
Financial

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.003, T1059.007, T1071.001, T1074.001, T1082, T1105, T1204.002, T1217, have more...

IOCs:
File: 6
IP: 5

Soft:
vscode, Node.js, Chromium, Firefox, macOS, Linux

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 11, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WaterPlum, северокорейская преступная хакерская группировка, представила новую вредоносную ПО под названием StoatWaffle в рамках своей кампании по атаке на Contagious Interview, включающую модуль Stealer и модуль Троянской программы удаленного доступа (RAT), оба сконструированные с использованием Node.js . Атака использует вредоносный репозиторий для использования проектов, связанных с блокчейном; когда файл `tasks.json` открывается в коде Visual Studio, он запускает загрузчик, который извлекает StoatWaffle. Модуль Stealer собирает учетные данные пользователя из браузеров и в macOS может получить доступ к базе данных Связки ключей, в то время как RAT поддерживает связь с сервером C2 для выполнения команд.
-----

WaterPlum, связанная с Северной Кореей преступная хакерская группировка, недавно начала использовать новое вредоносное ПО под названием StoatWaffle, в частности, в рамках своей кампании по атаке на Contagious Interview, которая ранее использовала другое вредоносное ПО, OtterCookie. StoatWaffle включает в себя, по меньшей мере, два заметных модуля: модуль-похититель и модуль Троянской программы удаленного доступа (RAT), оба встроенные с Node.js .

Вектор атаки, инициированный WaterPlum Team 8, предполагает заманивание жертв с помощью вредоносного хранилища, которое использует проект, связанный с технологией блокчейн. В этом репозитории присутствует каталог `.vscode`, содержащий файл `tasks.json`. Когда этот файл открывается и ему доверяют в коде Visual Studio, он реализует задачу, определенную для выполнения при открытии папки. Эта задача впоследствии загружает и выполняет простой начальный загрузчик с помощью `cmd.exe `, что приводит к дальнейшим загрузкам вредоносных программ.

После выполнения `vscode-bootstrap.cmd` гарантирует, что Node.js устанавливается на компьютер жертвы, загружая его, если он отсутствует. Далее он загружает файлы `env.npl` и `package.json`, причем первый служит загрузчиком ключей для StoatWaffle. `env.npl` периодически опрашивает сервер управления (C2) каждые пять секунд, выполняя возвращаемые данные следующим образом Node.js кодируйте в определенных условиях, обеспечивая модульную и постоянную связь с C2.

Модуль Stealer в StoatWaffle предназначен для извлечения учетных данных пользователя и связанных с ними данных расширения браузера из таких браузеров, как Chromium и Firefox, и загрузки этой информации на сервер C2. Примечательно, что если операционной системой является macOS, вредоносное ПО также может получать доступ к данным из базы данных Связки ключей и извлекать их. Интересным аспектом функциональности модуля Stealer является его способность определять, выполняется ли он в среде Windows Subsystem for Linux (WSL), позволяя злоумышленнику сопоставлять пути к файлам Windows для эффективного сбора данных.

Модуль RAT поддерживает непрерывную связь с сервером C2 для получения команд и отправки результатов выполнения, усиливая контроль злоумышленника над средой компрометации. В целом, StoatWaffle демонстрирует сложный и модульный подход WaterPlum, требующий от специалистов по безопасности бдительности для противодействия возникающей угрозе.

#ParsedReport #CompletenessLow
19-03-2026

fast-draft Open VSX Extension Compromised by BlokTrooper

https://www.aikido.dev/blog/fast-draft-open-vsx-bloktrooper

Report completeness: Low

Threats:
Bloktrooper

Victims:
Software development, Cryptocurrency

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027, T1041, T1059.001, T1059.004, T1059.007, T1071.001, T1074.001, T1083, have more...

IOCs:
Url: 6
IP: 1
File: 5
Command: 1

Soft:
Open VSX, open-vsx, curl, virtualbox, qemu, xen, Chrome, Opera, macOS, Linux, have more...

Wallets:
metamask, tronlink, coinbase, solflare, rabby, keplr, unisat, enkrypt, safepal

Algorithms:
zip

Functions:
Get-Clipboard

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расширение KhangNghiem/fast-draft было подвергнуто компрометации с помощью вредоносных выпусков (версии 0.10.89, 0.10.105, 0.10.106 и 0.10.112), которые запускали загрузчик с GitHub, что привело к развертыванию Троянской программы удаленного доступа (RAT) и стиллера информации. Атака включала в себя обращение загрузчика к репозиторию BlokTrooper для выполнения запутанного двоичного файла Node, который включал модули для удаленного управления, кражи данных из браузеров, эксфильтрации файлов и мониторинга буфера обмена. Операция указывает на сложную компрометацию, скорее всего, вызванную несанкционированным доступом, а не устойчивым злонамеренным намерением со стороны сопровождающего.
-----

Расширение KhangNghiem/fast-draft, доступное на open-vsx.org и скачанный более 26 000 раз, столкнулся с несколькими выпусками вредоносных программ, которые запускали загрузчик из репозитория GitHub, способствуя развертыванию Троянской программы удаленного доступа (RAT) и стиллера информации из репозитория BlokTrooper/extension. Конкретные версии, идентифицированные как вредоносные, включают 0.10.89, 0.10.105, 0.10.106 и 0.10.112. По странной схеме, версии до 0.10.89 и последующие выпуски, такие как 0.10.111 и 0.10.135, не содержали вредоносного кода, что указывает на возможную компрометацию учетной записи издателя, а не на последовательный злой умысел со стороны сопровождающего.

Вредоносные версии использовали метод, при котором расширение связывалось с raw.githubusercontent.com URL-адрес из репозитория BlokTrooper, передающий ответ в оболочку. Этот механизм позволял загружать ZIP-файлы, извлеченные во временный каталог, который затем запускал двоичный файл с запутанным узлом. Полезная нагрузка состоит из четырех параллельных модулей: сокета.IO RAT, способный управлять мышью и клавиатурой, браузер и программа для кражи кошельков, нацеленная на сохраненные пароли и различные расширения криптовалютных кошельков, модуль эксфильтрации файлов, который загружает конфиденциальные документы и конфигурации, и монитор буфера обмена, отправляющий скопированный контент обратно на сервер управления.

Инфраструктура, используемая BlokTrooper, включала IP-адрес 195.201.104.53 и активные порты 6931, 6936 и 6939. Примечательно, что вредоносная сборка 0.10.112 восстановила логику загрузчика, обнаруженную в более ранних вредоносных версиях, в то время как последующая чистая сборка 0.10.135 продемонстрировала отсутствие этой вредоносной функциональности. Вредоносная полезная нагрузка сама по себе способна устанавливать контроль над компьютером жертвы, сканировать профили браузеров на нескольких платформах и настойчиво искать конфиденциальные данные, такие как состояние кошелька и документы, сохраняя при этом стратегию уклонения, игнорируя определенные каталоги разработки.

Вторичные модули этой атаки означают хорошо спланированную операцию, направленную на захват ценных данных и поддержание непрерывного доступа к компрометации систем. Сложность этой атаки предполагает, что событие было вызвано несанкционированным доступом или Кражей токена, а не представляло собой простую серию вредоносных обновлений от законного сопровождающего. Изменчивый характер выпускаемых версий подчеркивает необходимость проявлять бдительность при отслеживании и проверке обновлений программного обеспечения в репозиториях расширений.

#ParsedReport #CompletenessHigh
19-03-2026

GlassWorm Hides a RAT Inside a Malicious Chrome Extension

https://www.aikido.dev/blog/glassworm-chrome-extension-rat

Report completeness: High

Threats:
Glassworm
Dead_drop_technique
Credential_harvesting_technique
Hvnc_tool

Victims:
Software developers, Cryptocurrency users, Technology sector

Industry:
E-commerce, Financial

Geo:
Belarus, Azerbaijan, Kazakhstan, Moscow, Tajikistan, Moldova, Armenia, Kyrgyzstan, Uzbekistan, Russia, Asia, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1008, T1021.005, T1027, T1036, T1041, T1047, T1053.005, T1056.001, T1056.002, have more...

IOCs:
File: 16
IP: 7
Url: 9
Path: 6
Registry: 3
Hash: 8

Soft:
Chrome, linux, Docker, macOS, Ledger Live, bittorrent, utorrent, WebRTC, Opera, Opera GX, have more...

Wallets:
metamask, coinbase, exodus_wallet, keplr, trezor, bybit

Crypto:
solana, binance

Algorithms:
zip, sha256, base64

Functions:
getSignaturesForAddress, eval

Languages:
powershell, javascript

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GlassWorm использует многоэтапную атаку с использованием Троянской программы удаленного доступа (RAT), установленной через вредоносное расширение Chrome, замаскированное под "Google Docs Offline". Его загрузчики используют механизм геозоны, чтобы избежать обнаружения в российских регионах, а коммуникации командования и контроля (C2) умело маршрутизируются через блокчейн Solana, что усложняет усилия по сбою. Вредоносное ПО отлично справляется с эксфильтрацией данных, нацеливаясь на криптокошельки и данные браузера, в то время как RAT использует постоянные механизмы и передовые методы, такие как поиск DHT для связи C2.
-----

Вредоносная кампания GlassWorm использует сложную многоэтапную стратегию атаки, направленную на установку Троянской программы для удаленного доступа (RAT) с помощью вредоносного расширения Chrome, Маскировки под "Google Docs Offline". Операция начинается с использования вредоносных пакетов, опубликованных на различных платформах, включая npm и PyPI, либо для создания новых вредоносных пакетов, либо для модификации существующих законных проектов. Примечательно, что в нем есть два типа загрузчиков: невидимый загрузчик Unicode и более обычный запутанный сценарий предварительной установки.

Ключевой характеристикой загрузчика GlassWorm's является его механизм геозонирования, который останавливает выполнение при обнаружении русского языка, используя для этого различные индикаторы языка. Передача команд и контроля (C2) осуществляется с помощью уникального метода, использующего блокчейн Solana для хранения адреса C2 в памятке о транзакции, что позволяет оператору часто обновлять адрес C2 без изменения самого вредоносного пакета. Такая тактика серьезно усложняет усилия по демонтажу инфраструктуры.

После активации загрузчик извлекает полезную нагрузку этапа 2, которая обладает широкими возможностями эксфильтрации данных, включая сбор учетных записей для расширений браузера и криптовалютных кошельков. Он сканирует профили 71 основного криптокошелька, ориентируясь на общие места хранения данных, связанных с браузером, и различные хранилища учетных данных, связанные с облаком. За этапом 2 полезной нагрузки следует заключительный этап 3, который дополнительно устанавливает закрепление и включает двоичные файлы для фишинга, специально разработанные для того, чтобы обманом заставить пользователей раскрыть конфиденциальную информацию, относящуюся к их кошелькам Ledger или Trezor для Аппаратного обеспечения.

Компонент RAT, способный избегать обнаружения, устанавливается на компьютер жертвы с помощью двух механизмов закрепления: задачи по расписанию запуска и сценария PowerShell. Примечательно, что этот RAT не полагается исключительно на жестко закодированные методы связи, но использует поиск по распределенной хэш-таблице (DHT) для получения своего адреса C2. Кроме того, вредоносное ПО облегчает выполнение целого ряда команд, включая Удаленное Выполнение Кода, кражу данных из браузеров и превращение зараженного компьютера в SOCKS-прокси.

Вредоносное расширение Chrome следует этому примеру, самостоятельно устанавливаясь и предоставляя широкие возможности мониторинга. Это включает в себя регистрацию нажатий клавиш, создание скриншотов, фильтрацию истории посещенных страниц и доступ к конфиденциальным файлам cookie и данным локального хранилища. Он также обеспечивает целенаправленное наблюдение за конкретными сайтами, в частности за криптобиржами, чтобы предупредить злоумышленников о любой активности пользователей, которая может указывать на наличие ценных токенов.

#ParsedReport #CompletenessHigh
19-03-2026

Casting a Wider Net: ClickFix, Deno, and LeakNets Scaling Threat

https://reliaquest.com/blog/threat-spotlight-casting-a-wider-net-clickfix-deno-and-leaknets-scaling-threat

Report completeness: High

Actors/Campaigns:
Leaknet

Threats:
Clickfix_technique
Deno_loader
Psexec_tool
Dll_sideloading_technique
Lolbin_technique

Victims:
Organizations

Industry:
E-commerce

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Path: 2
Command: 1
Domain: 17
IP: 6

Soft:
PsExec, Node.js, Cloudflare Turnstile, Microsoft Teams

Algorithms:
base64

Languages:
javascript, typescript, powershell, java, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LeakNet усовершенствовала свою тактику вымогателей, используя приманки ClickFix на законных веб-сайтах, подвергшихся компрометации, устраняя зависимость от брокеров первоначального доступа. Их новый загрузчик на базе Deno выполняет полезные нагрузки в кодировке base64 в памяти для скрытных действий после эксплуатации, включая установление соединений C2 и перемещения внутри компании с помощью таких инструментов, как PsExec. LeakNet использует DLL sideloading для дополнительной маскировки вредоносного поведения, используя законные процессы при подготовке к последующим эксплойтам и вовлечению жертв.
-----

LeakNet, группа программ-вымогателей, усовершенствовала свои методы первоначального доступа, используя приманки ClickFix, поставляемые через законные веб-сайты, подвергшиеся компрометации. Этот сдвиг означает переход от использования брокеров первоначального доступа (IAB) для получения украденных учетных данных к непосредственному выполнению своих кампаний, тем самым расширяя возможности для атак. ClickFix использует тактику социальной инженерии, обманом заставляя пользователей выполнять вредоносные команды, которые могут привести к компрометации уязвимых сотрудников во время повседневного просмотра веб-страниц. Эта стратегия эффективно снижает их зависимость от доступа третьих лиц и позволяет быстрее и экономичнее находить жертв.

Совместно с ClickFix LeakNet представила загрузчик на основе Deno, который выполняет полезные нагрузки в кодировке base64 непосредственно в памяти, оставляя минимальные следы на диске. Такое поведение позволяет выполнять незаметные действия после эксплуатации, сочетаясь с законной деятельностью разработчика, используя такие инструменты, как скрипты Visual Basic Script (VBS) и PowerShell scripts. Загрузчик выполняет различные задачи, включая снятие отпечатков пальцев с машины-жертвы, установление соединения с системой управления (C2) и подготовку к дальнейшей эксплуатации путем перемещения внутри компании и размещения полезной нагрузки.

Действия LeakNet после эксплуатации выполняются по последовательной схеме, которая включает в себя DLL Sideloading, перемещение внутри компании с использованием PsExec и размещение полезных нагрузок в корзинах Amazon S3. Использование DLL sideloading использует законные процессы, при этом LeakNet размещает вредоносную библиотеку DLL рядом с доверенными исполняемыми файлами, скрывая вредоносное поведение в типичных системных каталогах, таких как "C:\ProgramData\USOShared ." Во время перемещения внутри компании группа запускает команды, подобные "klist", для идентификации доступных учетных записей, прежде чем использовать их, что ускоряет их работу.

Защита от меняющейся тактики LeakNet's требует многогранного подхода. Важные меры включают мониторинг подозрительного поведения в таких процессах, как msiexec, ограничение использования PsExec авторизованным персоналом и блокировку вновь зарегистрированных доменов, обычно используемых в их кампаниях. Организациям рекомендуется отказаться от традиционных методов обнаружения, основанных на сигнатурах, в пользу ориентированных на поведение предупреждений, которые могут идентифицировать уникальную сигнатуру операционных шагов LeakNet's.

Поскольку LeakNet продолжает расширять масштабы своей деятельности и совершенствовать свои методы, существует вероятность того, что аналогичная тактика может быть применена другими вредоносными акторами. Наблюдение за достижениями в области методов выполнения без файлов, таких как методы загрузки Deno и приложение ClickFix, может обеспечить дополнительные преимущества в области безопасности организациям, желающим усилить свою защиту от угроз программ-вымогателей. Понимание общего поведения, связанного с этими векторами атак, будет иметь решающее значение для своевременного вмешательства до того, как программа-вымогатель сможет зашифровать критически важные данные.

#ParsedReport #CompletenessMedium
19-03-2026

New Malware Targets Users of Cobra DocGuard Software

https://www.security.com/threat-intelligence/speagle-cobradocguard-infostealer

Report completeness: Medium

Actors/Campaigns:
Runningcrab

Threats:
Speagle
Supply_chain_technique
Plugx_rat

Victims:
Cobra docguard users, Defense sector

Industry:
Aerospace

Geo:
Chinese, Asian, Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1005, T1012, T1020, T1041, T1047, T1070.004, T1071.001, T1082, T1083, have more...

IOCs:
Registry: 2
File: 14
Hash: 4
Url: 2

Algorithms:
deflate, cbc, aes-128, sha256

Win API:
DeviceIoControl, SetFileInformationByHandle, DeleteFile