#ParsedReport #CompletenessLow
23-03-2026

FriendlyDealer mimics official app stores to push unvetted gambling apps

https://www.malwarebytes.com/blog/scams/2026/03/friendlydealer-mimics-official-app-stores-to-push-unvetted-gambling-apps

Report completeness: Low

Threats:
Friendlydealer_tool

Industry:
Entertainment, Financial

Geo:
Mexico, Russia, San francisco, Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 3
Url: 1

Soft:
Android, Google Play, Chrome, Instagram, TikTok

Languages:
javascript

Platforms:
apple

#ParsedReport #CompletenessMedium
23-03-2026

Threat Intelligence Report: MANGO SANDSTORM Dindoor / Fakeset Campaign

https://krypt3ia.wordpress.com/2026/03/20/threat-intelligence-report-mango-sandstorm-indoor-fakeset-activity/

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Dindoor
Fakeset
Credential_harvesting_technique
Powgoop
Powerstats
Starwhale
Muddyviper
Ghostbackdoor
Dll_sideloading_technique
Spear-phishing_technique
Rclone_tool
Stagecomp
Darkcomp
Supply_chain_technique
Typosquatting_technique

Victims:
Financial services, Transportation, Nonprofit, Defense, Aerospace, Software

Industry:
Financial, Transport, Energy, Telco, Government, Aerospace, Logistic, Military

Geo:
Iran, Canadian, Africa, America, Israeli, Iranian, Asia, Middle east, Israel, Canada

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1059.007, T1090, T1102, T1105, T1553.002, T1566, T1567.002, T1583.001

IOCs:
Domain: 5
Hash: 25
File: 4

Wallets:
wassabi

Algorithms:
exhibit

Languages:
powershell, typescript, javascript, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года иранская группа кибершпионажа MuddyWater запустила целенаправленную кампанию против организаций в США, Израиле и Канаде, используя Dindoor, бэкдор на базе Deno, и Fakeset, имплантат Python. Используя законные инструменты и Облачные сервисы для закрепления и эксфильтрации данных, они сосредоточились на критически важных секторах, нарушив работу финансов и транспорта. Их методы отражают переход к методам с низким уровнем сигнатур, позволяющим избежать обнаружения, используя тактику, основанную на поведении, и уменьшая зависимость от традиционной инфраструктуры управления.
-----

В феврале 2026 года иранская группа кибершпионажа MuddyWater провела целенаправленную кампанию по проникновению в организации в США, Израиле и Канаде. В кампании использовались два основных инструмента для борьбы с вредоносным ПО: Dindoor, бэкдор, использующий среду выполнения Deno, и Fakeset, имплантат на основе Python. В операции использовались законные инструменты и Облачные сервисы для постоянного доступа и эксфильтрации данных, что соответствовало интересам иранского государства, в частности Министерства разведки и безопасности (MOIS).

MuddyWater нацелен на различные сектора, по крайней мере, с 2017 года, используя такие методы, как вредоносное ПО, административные инструменты и Целевой фишинг. Последняя кампания отражает усовершенствованный подход с использованием методов проникновения с низким уровнем сигнатур и меньшей зависимостью от традиционной инфраструктуры управления. В число целевых организаций входили финансовое учреждение США, канадская некоммерческая организация и аэропорт, которые играли важнейшую роль в сфере финансов, транспорта и обороны.

MuddyWater поддерживал доступ через Dindoor и Fakeset, используя Rclone для Эксфильтрации в облачные хранилища данных, такие как Wasabi, смешивая вредоносную активность с обычным трафиком. Использование Deno в Dindoor отражает эволюцию тактики, позволяющую повысить оперативную гибкость и снизить вероятность обнаружения. Дизайн Fakeset отсылает к ранее идентифицированным инструментам MuddyWater, улучшая атрибуцию.

Операция подчеркивает скрытность поведения, снижая вероятность обнаружения за счет минимизации статических показателей и усложнения традиционных методов обнаружения. Наблюдаемые методы согласуются с фреймворком MITRE ATT&CK, включая Целевой фишинг для первоначального доступа, злоупотребление Интерпретаторами командной строки и сценариев с помощью Deno, Передачу инструментов из внешней сети с помощью полезных нагрузок, размещенных в облаке, и Эксфильтрацию через веб-службы. Используемая гибридная инфраструктурная модель еще больше скрывает вредоносные действия, смешивая их с безопасными облачными операциями.

#ParsedReport #CompletenessMedium
23-03-2026

When Trust Becomes the Attack Vector: Analysis of the EmEditor Supply-Chain Compromise

https://techcommunity.microsoft.com/blog/microsoftsecurityexperts/when-trust-becomes-the-attack-vector-analysis-of-the-emeditor-supply-chain-compr/4499552

Report completeness: Medium

Threats:
Supply_chain_technique
Lolbin_technique
Process_injection_technique

Victims:
Enterprises, Individual users, Technology, Professional services, Regulated sectors

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1059.001, T1071.001, T1105, T1195.002, T1218.007

IOCs:
File: 4
Path: 1
Domain: 5
Hash: 2
Url: 5
IP: 4

Soft:
EmEditor, Windows Installer, Microsoft Defender, WordPress, chrome, Twitter

Algorithms:
sha256

Languages:
php, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В атаке EmEditor на supply-chain участвовали злоумышленники, использующие надежный канал распространения WordPress для доставки троянского установщика Microsoft (MSI) пользователям, предоставляя при этом администраторам доступ к законному контенту. Они получили доступ через уязвимый плагин WordPress и манипулировали PHP-кодом, чтобы изменить поведение загрузки в зависимости от пользовательского контекста. Вредоносный MSI использовал пользовательские действия установщика Windows для бесшумной кражи учетных данных, позволяя Внедрению кода в процесс браузера перехватывать сеансы без запуска значительных предупреждений, подчеркивая эволюцию тактики в киберугрозах.
-----

Злоумышленники подвергли компрометации канал распространения программного обеспечения EmEditor, используя надежную инфраструктуру WordPress. Они использовали уязвимый плагин WordPress или открытый административный интерфейс для доступа к механизму распространения. Для закрепления был развернут Веб-шелл. Злоумышленники внедрили условную логику в PHP-файл темы, чтобы доставить троянский установщик Microsoft (MSI) общедоступным пользователям, предоставив при этом законный доступ администраторам. Вредоносный установщик использовал пользовательские действия установщика Windows для выполнения полезной нагрузки в памяти, что позволило похитить учетные данные с помощью внедрения по именованному каналу. Проблемы с обнаружением при криминалистическом анализе возникли из-за того, что вредоносное ПО запускалось без запуска значимых предупреждений. Атака была нацелена на процессы браузера, внедряясь в chrome.exe и msedge.exe избегая при этом типичных шаблонов создания файлов. Рекомендации по защите включают изоляцию затронутых конечных точек, блокировку вредоносных доменов, принудительный сброс учетных данных и мониторинг необычных msiexec.exe активность. Меры обнаружения должны быть сосредоточены на цепочках выполнения PowerShell и наблюдении за поведением процессов браузера. Индикаторами компрометации являются конкретные хэши файлов для троянских установщиков MSI и доменов, связанных с инфраструктурой управления. Инцидент отражает тенденцию злоумышленников использовать надежные методы распространения в обход традиционных мер безопасности.

#ParsedReport #CompletenessLow
23-03-2026

Pro-Iranian Nasir Security is Targeting The Energy Sector in the Middle East

https://www.resecurity.com/blog/article/pro-iranian-nasir-security-is-targeting-the-energy-sector-in-the-middle-east

Report completeness: Low

Actors/Campaigns:
Al-nasir_resistance (motivation: disinformation, cyber_criminal, propaganda)

Threats:
Supply_chain_technique
Spear-phishing_technique
Bec_technique

Victims:
Energy, Oil and gas, Supply chain vendors, Engineering, Safety, Construction, Information technology, Defense

Industry:
Petroleum, Energy, Logistic, Military

Geo:
Oman, Saudi arabia, Iraq, Turkey, Iranian, American, Israel, Israeli, Lebanon, Syria, Iran, Palestinian, Middle east

TTPs:

IOCs:
Url: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nasir Security, проиранская киберпреступная группировка, нацелена на энергетический сектор на Ближнем Востоке, в первую очередь на организации в странах Совета сотрудничества арабских государств Персидского залива. Их тактика включает компрометацию деловой электронной почты с помощью spear phishing, использование уязвимостей общедоступных приложений и эксфильтрацию данных из небезопасных облачных хранилищ, что указывает на стратегию атак с использованием supply chain. Их операции могут включать элементы из различных группировок, использующих дезинформацию для преувеличения своих заявлений о краже данных, в то же время выборочно получая конфиденциальные документы от сторонних поставщиков для облегчения своих атак.
-----

Nasir Security - проиранская киберпреступная группировка, нацеленная на энергетический сектор на Ближнем Востоке, в частности в странах Совета сотрудничества арабских государств Персидского залива. Их деятельность началась примерно 5 октября 2025 года с примечательного инцидента с участием израильской IT-компании Taldor. Они заявляют о несанкционированном доступе к критически важным системам, связанным с оборонными структурами, и утверждают о эксфильтрации конфиденциальных данных, скорее всего, от сторонних поставщиков, а не о прямых нарушениях. Тактика группы включает в себя spear phishing, атаки с выдачей себя за другого и использование уязвимостей в общедоступных приложениях. Они также извлекают данные из небезопасного облачного хранилища. Ключевыми целями являются энергетические компании, такие как Dubai Petroleum и CC Energy Development, с заявлениями о нападениях на предприятия в Ираке и Саудовской Аравии. Расследования показывают, что их заявления о масштабной краже данных часто преувеличены. Группа может использовать подлинные документы, полученные в результате компрометации подрядчиков, для планирования дальнейших атак на жизненно важную инфраструктуру. Приписывание Nasir Security является сложным, с указанием элементов из различных идеологически мотивированных группировок. Их действия могут включать психологическую тактику и дезинформацию, раздувание заявлений о эксфильтрации данных, чтобы посеять путаницу и продемонстрировать предполагаемую уязвимость энергетического сектора. Организациям рекомендуется усилить меры по Кибербезопасности, особенно в отношении уязвимостей Цепочки поставок.

#ParsedReport #CompletenessMedium
23-03-2026

CECbot: a TV box botnet that grabs the remote and maps the house

https://github.com/deepfield/public-research/blob/main/cecbot/report.md

Report completeness: Medium

Threats:
Cecbot
Mirai
Kimwolf
Jackskid
Mossadproxy
Fastflux_technique
Aisuru
Tcpsynflood_technique
Synflood_technique
Httpflood_technique
Residential_proxy_technique

Victims:
Android tv boxes, Home networks, Hospital networks, Corporate networks

Industry:
Media, Education

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1016, T1018, T1036.005, T1036.008, T1046, T1053, T1057, T1059.004, T1082, have more...

IOCs:
Hash: 1
Domain: 4
IP: 20
File: 6

Soft:
Android, WireGuard, iMessage, ndroid.up, Linux, TeamSpeak3, Discord, MySQL, FiveM, Chrome, Firefox, have more...

Algorithms:
curve25519, deflate, ed25519, chacha20-poly1305, xor, sha256

Functions:
FiveM

Win API:
PIE

Languages:
c_language, java

Links:
https://github.com/deepfield/public-research/blob/main/katana/report.md
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CECbot - это недокументированный DDoS-ботнет, нацеленный на Android-телевизоры, признанный преемником Katana, использующий собственный дизайн приложения для Android. Он оснащен усовершенствованной криптографией, поддерживает различные методы DDoS-атак и уникальным образом использует управление бытовой электроникой HDMI для управления подключенными телевизорами. CECbot использует надежную инфраструктуру C2, обеспечивающую динамическую ротацию доменов и широкие возможности сканирования для сбора сетевой информации, превращая зараженные устройства в платформы разведки без самораспространения.
-----

CECbot - это недокументированный DDoS-ботнет, который специально нацелен на Android TV-боксы и считается операционным преемником Katana, хотя он использует общую инфраструктуру без кода. Отличающийся своим дизайном как нативного приложения для Android, а не использованием двоичного файла Mirai ELF, CECbot включает в себя передовую криптографию и использует различные методы атаки. Он включает в себя 9 уровней закрепления и 11 методов для выполнения DDoS-атак, включая поддержку HTTP/2 и динамического TLS. Примечательно, что CECbot является первым задокументированным вредоносным ПО, использующим технологию HDMI Consumer Electronics Control (CEC), позволяющую операторам напрямую управлять подключенными телевизорами, например переводить их в спящий режим. Он также обладает возможностью автоматического сканирования подсети и корреляции ARP, что позволяет устройству компрометации отображать локальную сеть, эффективно превращая его в платформу разведки.

Методология распространения CECbot's отражает его сложную стратегию доступа. Поставляемый через цепочку доступа ADB, он использует настройку residential proxy, задокументированную в предыдущих отчетах о вредоносном ПО. После установки на устройство он лишен возможностей самораспространения, но может сканировать локальную сеть, собирая ценные данные без автономного распространения. Архитектура бота позволяет осуществлять сложные взаимодействия с операционной системой Android, используя такие утилиты, как WakeLocks и JobScheduler, чтобы поддерживать свое присутствие на устройствах, обходя протоколы оптимизации заряда батареи, специфичные для различных производителей.

Инфраструктура CECbot's command and control (C2) надежна и использует криптографические протоколы, включающие Curve25519 для обмена ключами, Ed25519 для аутентификации сервера и ChaCha20-Poly1305 для зашифрованного трафика. Эта настройка облегчает динамическую ротацию доменов и поддерживает высокий уровень безопасности, который значительно улучшен по сравнению с его предшественником, Katana. Сам механизм атаки был разработан с использованием NDK для Android, что обеспечивает плавную интеграцию с возможностями устройства при развертывании различных методологий DDoS, включая атаки на прикладном уровне, которые могут динамически представлять трафик, кажущийся законным.

Кроме того, CECbot может выполнять обширные операции сканирования, предоставляя операторам подробную информацию о сетевой среде, включая активные устройства и их сервисы. Эта возможность сбора разведывательной информации сопряжена с рисками, выходящими далеко за рамки типичных DDoS-атак; она представляет собой потенциальные точки входа в более защищенные сети, например, в корпоративных или медицинских учреждениях. Механизмы закрепления в ботнете гарантируют, что он остается на устройствах, подвергшихся компрометации, и может противостоять попыткам удаления.

#ParsedReport #CompletenessMedium
23-03-2026

“Say My Name”: How MioLab is building MacOS Stealer Empire

https://www.levelblue.com/blogs/spiderlabs-blog/say-my-name-how-miolab-is-building-macos-stealer-empire

Report completeness: Medium

Threats:
Miolab
Empire_loader
Traffer_technique
Credential_harvesting_technique
Clickfix_technique
Nova_stealer

Victims:
Macos users, Software engineers, Executives, Cryptocurrency investors, Enterprise organizations

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 18
Hash: 7
Url: 4
IP: 2
Domain: 59

Soft:
OS Stea, MacOS, Unix, Chromium, LastPass, Telegram, Yandex browser, Google Chrome, Microsoft Edge, Opera, have more...

Wallets:
trezor, metamask, electrum, exodus_wallet, electron_cash, wassabi, dashcore, atomicwallet, guarda_wallet, tonkeeper, have more...

Crypto:
monero, bitcoin, litecoin, dogecoin, binance, ethereum

Algorithms:
sha256, zip, md5, xor

Functions:
_system

Languages:
applescript

Platforms:
apple, intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MioLab, известное вредоносное ПО для macOS, фокусируется на получении конфиденциальных данных от ценных объектов, таких как инвесторы в криптовалюты. Эта платформа "Вредоносное ПО как услуга" использует облегченную полезную нагрузку на языке Си, чтобы избежать обнаружения антивирусом, поддерживает как Intel, так и Apple Silicon и может перехватывать браузеры для извлечения учетных данных из более чем 200 расширений криптовалютных кошельков. Заражение в основном происходит с помощью тактик социальной инженерии, таких как фишинг, в то время как инфраструктура управления расширяет ее возможности, ориентируясь на меры безопасности macOS и дополнительные приложения, такие как Apple Notes.
-----

MioLab, также известная как Nova, представляет собой вредоносное ПО для macOS, предназначенное для сбора конфиденциальных данных у ценных объектов, в частности инвесторов в криптовалюту и руководителей. Он работает как платформа премиум-класса "Вредоносное ПО как услуга" (MaaS), продаваемая на русскоязычных подпольных форумах. Вредоносное ПО имеет небольшой объем полезной нагрузки, приблизительно 100 КБ, разработано на языке Си, чтобы избежать обнаружения антивирусом на основе сигнатур. Он поддерживает Intel (x86-64) и Apple Silicon (ARM64) в версиях macOS от Sierra до Tahoe. Операторы могут настроить его внешний вид с помощью вводящих в заблуждение инструкций по установке для сбора учетных записей.

MioLab может перехватывать браузеры для извлечения файлов cookie, паролей и данных автозаполнения из браузеров на базе Chromium и Gecko. Он нацелен на более чем 200 расширений криптовалютных кошельков и более 50 приложений для настольных кошельков, включая кошельки с Аппаратным обеспечением, такие как Ledger и Trezor, способные фиксировать фразы восстановления BIP39. Вредоносное ПО собирает учетные данные из различных Менеджеров паролей и Связки ключей Apple. Он использует сложную структуру управления, включая веб-панель для уведомлений в режиме реального времени и генерации полезной нагрузки, с поддержкой прокси-сервера для перехвата сеансов Google для обхода аутентификации.

Недавние обновления включают расширенные возможности извлечения данных, превосходящие меры безопасности macOS, и нацелены на Safari, который ранее использовался в меньшей степени. MioLab может расшифровать Apple Notes на компьютере жертвы и усовершенствовать модули извлечения в соответствии с обновлениями производителя кошелька. Переносчики инфекции полагаются на социальную инженерию, особенно на кампании ClickFix с использованием поддельных приложений и специально подобранных URL-адресов для фишинга для эффективного распространения. Он использует надежные методы обхода защиты путем создания индивидуальных прокси-серверов для каждой полезной нагрузки, чтобы избежать обнаружения в сети, и поддерживает статус "Полностью необнаруживаемый" (FUD) благодаря частым обновлениям вредоносных полезных нагрузок.

#ParsedReport #CompletenessLow
24-03-2026

Russian Spies Hijack Signal Accounts Bypassing Encryption

https://www.secureblink.com/cyber-security-news/russian-spies-hijack-signal-accounts-bypassing-encryption

Report completeness: Low

Victims:
Government, Military, Journalists, Political figures, Activists, Sensitive information holders, Encrypted messaging platform users

Industry:
Government, Education, Military

Geo:
French, Dutch, France, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1098, T1111, T1566, T1656

Soft:
WhatsApp, hatsApp (S

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ФБР сообщило о масштабной кампании фишинга, проводимой российской разведкой, в частности, нацеленной на сигнальные аккаунты лиц, обладающих конфиденциальной информацией, таких как правительственные чиновники и журналисты. Злоумышленники используют социальную инженерию для обхода защиты от шифрования, собирая проверочные коды и используя вредоносные QR-коды для привязки своих устройств к учетным записям жертв. Это позволяет им отслеживать разговоры и проводить дальнейшие атаки фишинга, подчеркивая необходимость повышения осведомленности о таких тактиках, которые используют поведение пользователей, а не сигнатуры вредоносного ПО.
-----

Масштабная кампания фишинга, атрибутируемая с российскими спецслужбами, нацелена на учетные записи на платформе зашифрованных сообщений Signal. Эта операция привела к компрометации тысяч учетных записей, сосредоточив внимание на высокопоставленных лицах, таких как правительственные чиновники и журналисты. Злоумышленники используют методы социальной инженерии, чтобы обойти защиту от шифрования путем компрометации учетных записей пользователей. Ключевые векторы атак включают сбор проверочного кода и привязку QR-кода. Сбор проверочных кодов включает в себя обман жертв, заставляющий их предоставлять SMS-коды подтверждения во время поддельной регистрации, предоставляя злоумышленникам полный доступ к их учетным записям. Метод QR-кода обманывает жертв, заставляя их привязать устройство злоумышленника к своей учетной записи с помощью вредоносного сканирования. Действия после компрометации включают мониторинг разговоров, сбор контактов и выполнение дополнительных фишинг-атак. Обнаружение является сложной задачей, поскольку эти атаки основаны не на традиционных сигнатурах вредоносного ПО, а скорее на ненормальном поведении пользователей и аномалиях учетной записи. Пользователи Signal и WhatsApp могут просматривать подключенные устройства, чтобы обнаружить неожиданные записи как признаки компрометации. Чтобы снизить риски, пользователям не следует делиться проверочными кодами, быть осторожными с неожиданными QR-кодами и проводить регулярные проверки подключенных устройств. Внедрение Многофакторной аутентификации, устойчивой к фишингу, и проведение тренингов по безопасности, ориентированных на уязвимости приложений для обмена сообщениями, могут еще больше усилить защиту.