#ParsedReport #CompletenessMedium
20-03-2026

Tycoon2FA Phishing-as-a-Service Platform Persists Following Takedown

https://www.crowdstrike.com/en-us/blog/tycoon2fa-phishing-as-a-service-platform-persists-following-takedown/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Raccoono365_tool
Bec_technique
Salty_2fa_tool
Credential_harvesting_technique

Victims:
Personal users, Enterprise users, Email accounts, Cloud environments

Industry:
Telco

Geo:
Romania, United kingdom, Latvia, Lithuania, Spain, Portugal, Poland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1078.004, T1539, T1557, T1564.008, T1566.002, T1583.001, T1583.006, T1584.001, have more...

IOCs:
Domain: 10

Soft:
Microsoft Exchange, Outlook

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Tycoon2FA для фишинга как услуги, работа которой была приостановлена в 2023 году по инициативе правоохранительных органов, была важной силой в обходе многофакторной аутентификации, ответственной за более чем 30 миллионов фишингов электронных писем ежемесячно. Несмотря на удаление, активность быстро восстановилась, благодаря постоянной тактике, такой как фишинг с использованием CAPTCHA и методы adversary-in-the-middle для кражи учетных данных. Злоумышленники адаптировали свои методы, применив компрометацию деловой электронной почты и используя законные домены для фишинга, что демонстрирует их устойчивость и способность поддерживать операционную эффективность.
-----

Платформа Tycoon2FA для фишинга как услуги (PhaaS), появившаяся в 2023 году, недавно была нарушена скоординированными усилиями правоохранительных органов во главе с Европолом, в результате чего было конфисковано 330 доменов, которые в основном использовались для ее операций. Эта платформа позволяла киберпреступникам обходить многофакторную аутентификацию, что делало ее важным игроком в фишинге. До сбоя Tycoon2FA был ответственен за большой процент попыток фишинга, по сообщениям, отправляя более 30 миллионов вредоносных электронных писем за один месяц.

После отключения 4 марта 2026 года первоначальные отчеты указывали на кратковременное снижение активности Tycoon2FA примерно до 25% от уровня, существовавшего до сбоя. Однако этот спад был временным; активность быстро восстановилась до прежних объемов, что указывает на то, что основные злоумышленники продолжают действовать и способны адаптировать свою тактику. Примечательно, что их тактика, методы и процедуры (TTP) сохранились без существенных изменений, что свидетельствует об устойчивости к попыткам срыва.

Методология атаки Tycoon2FA включала использование фишингов электронных писем для перенаправления жертв на страницы с капчей, захват сессионных файлов cookie после проверки капчи, а затем извлечение учетных данных электронной почты с помощью специально созданных поддельных страниц входа в такие сервисы, как Microsoft 365 или Google. Платформа использовала методы adversary-in-the-middle (AITM) для прямого перехвата сеансов аутентификации. Жизненный цикл работы Tycoon2FA демонстрирует сложный механизм кражи учетных данных, о чем свидетельствуют их возможности автоматического входа в систему для компрометации учетных записей, часто исходящих с известных IPv6-адресов, привязанных к румынскому провайдеру.

Недавние наблюдения после сбоя выявили множество методов фишинга, которые использовали злоумышленники, включая компрометацию деловой электронной почты (BEC), перехват потоков электронной почты и захват Облачных учетных записей. Усилия по фишингу использовали законные домены и инфраструктуру компрометации для распространения вредоносных перенаправляющих ссылок, ведущих к сервисам Tycoon2FA. Например, акторы использовали Облачные сервисы, чтобы скрыть свои операции с помощью вредоносных перенаправлений, замаскированных под законное программное обеспечение.

Несмотря на достижения правоохранительных органов, активность, связанная с Tycoon2FA, иллюстрирует настойчивую и адаптивную природу киберпреступников в среде PhaaS. Операторы устойчивы, быстро восстанавливают свою инфраструктуру и поддерживают свои методы атаки. Эволюционирующий характер их TTP указывает на то, что они, вероятно, будут продолжать представлять угрозу, требуя от специалистов по безопасности постоянных усилий по обнаружению и смягчению последствий для борьбы с механизмами, используемыми такими гибкими противниками. Подчеркивается важность применения углубленных стратегий защиты, поскольку организации стремятся защититься от изощренной тактики, применяемой акторами PhaaS, такими как Tycoon2FA.

#ParsedReport #CompletenessHigh
19-03-2026

Copyright Lures Mask a Multi‑Stage PureLog Stealer Attack on Key Industries

https://www.trendmicro.com/en_us/research/26/c/copyright-lures-mask-a-multistage-purelog-stealer-attack.html

Report completeness: High

Threats:
Purelogs
Process_injection_technique
Amsi_bypass_technique
Confuserex_tool
Shellcodeloader

Victims:
Healthcare, Government, Hospitality, Education

Industry:
Education, Entertainment, Government, Healthcare

Geo:
Australia, Germany, Canada, German

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.013, T1036.005, T1036.008, T1041, T1047, T1059.003, T1059.006, T1070.004, have more...

IOCs:
File: 36
Command: 3
Url: 4
Path: 3
Domain: 5
IP: 3
Hash: 8

Soft:
ome brow, curl, Chrome, Microsoft Edge, Google Chrome, Windows Defender, Windows GDI

Algorithms:
zip, sha256, xor, sha1, base64, gzip, des

Functions:
Get-WmiObject

Win API:
Decompress, AmsiScanBuffer, GetObject

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PureLog Stealer нацелена на такие секторы, как здравоохранение и правительство в Германии и Канаде, используя тактику социальной инженерии, в частности, юридические уведомления для проведения фишинг-атак. Вредоносное ПО использует передовые технологии, включая цепочки заражения без файлов, динамический поиск ключей из инфраструктуры C&C и выполнение загрузчиков .NET в памяти, обходя традиционные методы обнаружения. Функции включают в себя AMSI bypass, закрепление реестра и обширный сбор данных о жертвах, что подчеркивает растущую сложность таких киберугроз.
-----

Проанализированная кампания с участием PureLog Stealer демонстрирует сложную многоэтапную атаку, нацеленную на ключевые отрасли, включая здравоохранение, правительство, гостиничный бизнес и образование, особенно в Германии и Канаде. Злоумышленники используют тактику социальной инженерии, используя юридические уведомления о нарушениях авторских прав в качестве приманки, чтобы повысить успешность исполнения среди намеченных жертв. Этот целенаправленный подход подчеркивает персонализированные стратегии фишинга, при которых вредоносное ПО доставляется с помощью сообщений, подобранных по языку, предназначенных для конкретных лиц или организаций.

После выполнения атака инициирует скрытую цепочку заражения, характеризующуюся методами без файлов. Полезная нагрузка доставляется через зашифрованный замаскированный PDF-файл. Вместо того чтобы содержать статические ключи дешифрования внутри вредоносного ПО, кампания динамически извлекает эти ключи из инфраструктуры управления (C&C), улучшая тактику уклонения. Процесс извлечения включает в себя переименованную утилиту WinRAR, Маскировку под файл изображения, которая после запуска служит для сокрытия вредоносных действий от статического анализа.

Вредоносное ПО использует загрузчик на основе Python, который облегчает выполнение dual .СЕТЕВЫЕ загрузчики, что в конечном итоге приводит к тому, что конечная полезная нагрузка — PureLog Stealer — выполняется полностью в памяти. Этот метод выполнения не позволяет традиционным антивирусам и методам обнаружения конечных точек идентифицировать вредоносное ПО, поскольку файлы не записываются на диск. Ключевые функциональные возможности, встроенные в загрузчик, включают методы AMSI bypass, закрепление реестра, захват скриншотов и снятие отпечатков пальцев жертвы. Приложение собирает обширную системную информацию, включая учетные данные браузера, криптовалютные кошельки и другие конфиденциальные данные.

Основная тактика работы вредоносного ПО включает в себя создание документа-приманки, который отображает безвредный интерфейс, чтобы уменьшить подозрения пользователей, пока заражение продолжается в фоновом режиме. Во время своей работы вредоносное ПО также выполняет антивирусную проверку для идентификации установленных продуктов безопасности, что позволяет ему адаптировать будущие действия на основе потенциальных средств защиты.

Кампания развивалась с течением времени, и наблюдаемые варианты меняли свой подход к доставке полезной нагрузки и механизмам дешифрования. Недавняя активность свидетельствует о переходе к использованию оперативной инфраструктуры C&C для выполнения команд в режиме реального времени, что усложняет работу защитников, пытающихся обнаружить эти атаки и отреагировать на них.

Таким образом, кампания PureLog Stealer является примером перехода к более структурированным и уклончивым формам атак вредоносного ПО, нацеленных на конкретные сектора, использующих передовые методы обмана и полагающихся на выполнение в памяти, чтобы избежать обнаружения. Полученные результаты подчеркивают необходимость надежной стратегии обнаружения поведения в сочетании с бдительным мониторингом сети для противодействия таким продвинутым угрозам.

#ParsedReport #CompletenessLow
21-03-2026

CanisterWorm: npm Publisher Compromise Deploys Backdoor Across 29+ Packages

https://socket.dev/blog/canisterworm-npm-publisher-compromise-deploys-backdoor-across-29-packages

Report completeness: Low

Actors/Campaigns:
Canisterworm

Threats:
Supply_chain_technique
Dead_drop_technique

Victims:
Emil group, Software developers, Build systems, Continuous integration and continuous delivery environments, Npm ecosystem

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1059.007, T1087, T1102.001, T1105, T1140, T1195.001, T1528, T1543.002, have more...

IOCs:
File: 4
Url: 1

Soft:
systemd, Linux

Algorithms:
base64

Languages:
python

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания CanisterWorm - это сложная атака на supply chain, которая компрометация пространств имен издателей npm, в частности, нацеленная на @emilgroup и @teale.пакеты ввода-вывода. Злоумышленники получили доступ к токенам публикации npm, чтобы заменить законное содержимое пакета бэкдором на основе Python, который взаимодействует с ICP-контейнером для управления, облегчая доставку последующих полезных нагрузок. Вредоносное ПО использует перехватчики после установки, поддерживает закрепление с помощью служб пользовательского уровня и имеет deploy.js скрипт для распространения вредоносных пакетов под знакомыми именами, повышающий риск непреднамеренной установки разработчиками.
-----

Кампания CanisterWorm представляет собой сложную атаку supply chain, включающую компрометацию пространств имен издателей npm, в частности, нацеленную на законные пакеты под @emilgroup и @teale.имена ввода-вывода. Злоумышленники получили доступ к токенам публикации npm или эквивалентным учетным данным CI/CD, что позволило им заменить подлинное содержимое пакета вредоносным кодом. Основное поведение вредоносного ПО связано с бэкдором на основе Python, который после установки взаимодействует с контейнером Internet Computer Protocol (ICP). Эта настройка функционирует как канал управления (C2), позволяя злоумышленнику загружать последующие полезные файлы без необходимости обновлять или переиздавать первоначальный пакет компрометации.

На начальных этапах атака использовала перехватчики после установки в безобидных на вид пакетах, чтобы ввести полезную нагрузку на Python, которую актор позже превратил в более стандартизированную структуру. Вредоносное ПО претерпело несколько итераций, причем более поздние формы внедрили дроппер, который активировался как служба systemd --user. Появляющиеся вредоносные версии обеспечили повышенную автоматизацию, включая возможность извлекать токены npm из переменных среды или конфигурационных файлов для дальнейшего распространения в экосистеме npm.

Решающее значение для метода распространения имеет deploy.js скрипт, который выполняется во время установки вредоносного пакета. Он принимает токены npm и использует их для публикации версий пакетов с компрометацией, часто под теми же именами, но помеченных как последние версии, тем самым максимизируя риск непреднамеренной установки непритязательными разработчиками вредоносного ПО, замаскированного под законное программное обеспечение.

Структура CanisterWorm, в частности, позволяет злоумышленникам контролировать и чередовать полезные нагрузки без необходимости повторно публиковать свои зараженные пакеты, поскольку встроенный скрипт Python непрерывно опрашивает C2 canister на наличие новых двоичных файлов каждые несколько секунд. Он поддерживает закрепление с помощью служб пользовательского уровня, которые устраняют необходимость в корневом доступе, тем самым делая его более устойчивым к общей активности пользователей или перезагрузкам.

#ParsedReport #CompletenessLow
19-03-2026

Android devices ship with firmware-level malware

https://www.sophos.com/en-us/blog/android-devices-ship-with-firmware-level-malware

Report completeness: Low

Threats:
Keenadu
Supply_chain_technique

Victims:
Android users, Consumer electronics, Electronic commerce, Social media, Online video, Web browser, Advertising

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1071.001, T1105, T1195.001, T1195.002

IOCs:
Domain: 21
IP: 4
Hash: 5

Soft:
Android, Google Chrome

Algorithms:
sha1, md5, sha256

Links:
https://github.com/KswCarProject/ZxwLauncher3QuickStepKsw

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Keenadu представляет серьезную угрозу для устройств Android, действуя как бэкдор прошивки в libandroid_runtime.библиотека so, позволяющая полностью управлять устройством. Он встраивается в процесс Zygote, внедряя вредоносные модули, которые крадут данные и приносят доход от рекламы за счет компрометации популярных приложений. Представленный во время сборки прошивки, Keenadu нацелен на недорогие устройства по всему миру, о чем свидетельствуют специфические троянские APK-файлы, которые усложняют работу по обнаружению.
-----

Вредоносное ПО Keenadu - это серьезная киберугроза, нацеленная на устройства Android, выявленная аналитиками SophosLabs в конце февраля 2026 года. Это вредоносное ПО работает как бэкдор на уровне прошивки, встроенный в libandroid_runtime.библиотека so, позволяющая злоумышленникам получить полный контроль над зараженными устройствами. Внедряясь в процесс Zygote, который служит родительским для всех приложений Android, Keenadu обеспечивает свое присутствие во всех приложениях на устройстве, подвергшемся компрометации. Полезная нагрузка может функционировать как загрузчик различных вредоносных модулей, направленных на извлечение данных из приложений или содействие мошенничеству с рекламой.

Двоичный файл вредоносного ПО Keenadu находится в статической библиотеке libVndxUtils.a и использует вредоносную зависимость, Маскировку под законный код MediaTek. Данные свидетельствуют о том, что Keenadu внедряется на этапе сборки прошивки, что указывает на Компрометацию цепочки поставок, а не на прямое вторжение после установки. Вредоносное ПО специально нацелено на широко используемые приложения, такие как Shein, Temu, Amazon, YouTube и Facebook, использующие кликерные модули, которые генерируют доход с оплатой за клик за обманные операции в фоновом режиме. Примечательно, что один из этих модулей встроен в системный лаунчер Android по умолчанию (com.android.запускатель3).

Что касается обнаружения, Sophos отметила постоянное присутствие двух специфических файлов APK системного уровня (PriLauncher.apk и PriLauncher3QuickStep.apk) на устройствах, подвергшихся компрометации. Эти файлы, по-видимому, были заражены трояном для размещения Keenadu, и приложение не блокирует законные версии QuickStep, что усложняет усилия по обнаружению. На данный момент более 500 уникальных устройств, охватывающих примерно 50 моделей, были обнаружены как зараженные, в основном среди недорогих устройств таких производителей, как BLU, DOOGEE и Ulefone. Распространение инфекции Keenadu было глобальным, случаи выявления были зарегистрированы примерно в 40 странах.

Организациям рекомендуется ограничить доступ устройств, подвергшихся воздействию, к корпоративным сетям до появления обновленной прошивки, которая должна быть немедленно установлена поставщиками после выпуска. Хотя доступны дополнительные технические подробности, такие как уникальные хэши прошивки, зараженной Keenadu, основной проблемой остается способность вредоносного ПО скрытно манипулировать системами получения доходов от рекламы и вторгаться в конфиденциальность данных пользователей с помощью компрометации на уровне прошивки.

#ParsedReport #CompletenessLow
22-03-2026

Ransomware 3.0: The Autonomous Threat That Changed Everything

https://socradar.io/blog/ransomware-3-0-the-autonomous-threat/

Report completeness: Low

Actors/Campaigns:
Bianlian

Threats:
Spear-phishing_technique
Polymorphism_technique
Supply_chain_technique
Wannacry
Petya
Eternal_petya
Maze
Lockbit
Promptlock
Edr-killer
Royal_ransomware
Medusa_ransomware
Qilin_ransomware
Ransomhub
Byovd_technique
Edrkillshifter_tool
Lolbin_technique
Akira_ransomware

Victims:
Manufacturing, Healthcare, Financial services, Critical infrastructure, Software supply chain, All industry sectors, Global

Industry:
Critical_infrastructure, Financial, E-commerce, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1027, T1027.014, T1033, T1041, T1047, T1059, T1059.001, T1071.001, have more...

Crypto:
ethereum

Functions:
LLM, HTTPS

Win API:
Polygon

Languages:
lua, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель эволюционировала в программу-вымогатель 3.0, отличающуюся тройной тактикой вымогательства, сочетающей шифрование данных, кражу и угрозы репутации. Злоумышленники теперь используют Искусственный интеллект для определения приоритетов целей и генерации кода в режиме реального времени, в то время как децентрализованные инфраструктуры, использующие блокчейн, повышают операционную надежность программы-вымогателя как услуги. Примечательно, что Ransomware 3.0 использует инструменты, которые используют уязвимости программного обеспечения для обхода средств защиты, облегчая полностью автоматизированные кампании атак и повышая доступность сложных методов вымогательства для менее квалифицированных акторов.
-----

Программы-вымогатели перешли в новую фазу, известную как Ransomware 3.0, характеризующуюся продвинутой динамикой угроз и инновационными стратегиями атак. На этом этапе используется тактика тройного вымогательства, включающая шифрование данных, кражу и давление с целью публикации конфиденциальной информации на сайтах утечки информации из Dark Web. Злоумышленники используют Искусственный интеллект для определения приоритетности таких целей, как контракты и кадровые записи, расширяя возможности вымогательства.

Программа-вымогатель 3.0 использует расширенную оркестровку с использованием больших языковых моделей (LLM) для генерации уникального и polymorphic вредоносного кода, уклоняющегося от традиционного обнаружения. Атаки основаны на децентрализованной инфраструктуре, использующей технологию блокчейн для противодействия правоохранительным органам и поддержки моделей "программа-вымогатель как услуга" (RaaS).

Примечательно, что программа-вымогатель 3.0 включает в себя средства, уничтожающие EDR, которые используют уязвимости в законном программном обеспечении, ставя под угрозу защиту конечных точек на уровне ядра. Кампании автоматизированных атак проводятся без участия человека, демонстрируя оперативные возможности киберпреступных группировок.

По статистике, число глобальных инцидентов с программами-вымогателями увеличилось на 32%, при этом на производстве наблюдается рост на 56% из-за уязвимостей операционных технологий. Число атак на Supply chain также возросло, что указывает на смещение акцента злоумышленников. Стоимость этих изощренных атак снизилась, что позволило более широкому кругу лиц участвовать в деятельности программ-вымогателей, усложняя стратегии защиты организаций.

#ParsedReport #CompletenessMedium
21-03-2026

Trivy Compromised: Everything You Need to Know about the Latest Supply Chain Attack

https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Credential_stealing_technique
Typosquatting_technique

Victims:
Aqua security, Software development, Cybersecurity, Cloud services, Github actions users, Trivy users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1016, T1027, T1041, T1071.001, T1105, T1195.001, T1195.002, T1543.002, T1550.001, have more...

IOCs:
Domain: 1
IP: 1
File: 3
Url: 1
Hash: 92

Soft:
Trivy, Docker, trycloudflare, Twitter, Slack, systemd

Algorithms:
rsa-4096, aes-256, base64, aes-256-cbc

Languages:
python

Platforms:
intel

Links:
have more...
https://github.com/aquasecurity/trivy/discussions/10425

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 марта 2026 года угроза actor TeamPCP осуществил атаку на цепочку поставок на уязвимостях сканера Trivy компании Aqua Security, внедрив вредоносное ПО для кражи учетных данных через злонамеренные коммиты версии v0.69.4. Это скомпрометировало основной сканер и связанные компоненты, что позволило украсть чувствительные учетные данные, используя сервисную учетную запись aqua-bot, с экстракцией через Cloudflare Tunnel на домен с типографической ошибкой. Вредоносное ПО собирало секреты из памяти и путей файловой системы, передавало их в зашифрованном виде и создавало резервный репозиторий для загрузки данных, нацеливаясь на долгосрочную устойчивость на компьютерах разработчиков.
-----

19 марта 2026 года атака на цепочку поставок нацелилась на сканер уязвимостей Trivy компании Aqua Security, что было приписано угрозе TeamPCP. Атака включала мошеннические коммиты и внедрение вредоносных версий Trivy, специально отмеченных как v0.69.4. Это привело к распространению скомпрометированных бинарных файлов и скриптов через GitHub Releases и Docker Hub. Вредоносное ПО было предназначено для кражи учетных данных, включая ключи GPG и доступ к платформам Docker Hub, Twitter и Slack, путем эксплуатации скомпрометированной учетной записи aqua-bot. Экстракция данных проводилась через сервер C2 Cloudflare Tunnel, отправляя данные на домен с опечаткой, scan.aquasecurtiy.org, связанный с IP 45.148.10.212. Бэкдоорная версия Trivy работала вместе с легитимной службой, собирая данные, получая доступ к памяти процесса Runner.Worker и осуществляя поиск конфиденциальных данных более чем по 50 путям. Украденные данные были зашифрованы с использованием AES-256-CBC и RSA-4096, архивированы и переданы на вредоносный сервер. В качестве резервного варианта, если экстракция не удалась, вредоносное ПО могло создать репозиторий GitHub под названием 'tpcp-docs' для загрузки украденных учетных данных. Для поддержания постоянства оно проверяло условия на рабочей машине разработчика через переменную GITHUB_ACTIONS и могло записать скрипт-вор в формате base64 на `\~/.config/systemd/user/sysmon.py` для выполнения удаленного полезного груза. Организациям, использующим Trivy, была дана рекомендация провести аудит на предмет скомпрометированной версии v0.69.4 и удалить затронутые артефакты. Рекомендации включали привязку GitHub Actions к конкретным хэшам SHA для снижения риска подобных атак.