Интересная статья про проблемы использования AI в Threat Intel.
В целом все верно указано, со многими проблемами сами сталкивались.

https://theravenfile.com/2026/02/05/logical-limitations-of-ai-models-in-threat-intelligence/

#ParsedReport #CompletenessLow
05-02-2026

Inside a Multi-Stage Android Malware Campaign Leveraging RTO-Themed Social Engineering

https://www.seqrite.com/blog/inside-a-multi-stage-android-malware-campaign-leveraging-rto-themed-social-engineering/

Report completeness: Low

Threats:
Anubisspy
Credential_harvesting_technique

Victims:
Indian users

Industry:
Financial, Government

Geo:
Indian, India

TTPs:
Tactics: 4
Technics: 0

Soft:
Android, Google Play, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена сложная многоэтапная Вредоносная Кампания для Android, нацеленная на индийских пользователей, в основном использующая мошеннические действия на правительственную тематику, связанные с Региональным транспортным управлением (RTO), для использования тактики социальной инженерии. Вредоносное ПО действует в три этапа, действуя как дроппер и занимаясь майнингом криптовалют, с обширными возможностями управления, перехватывая одноразовые пароли, облегчая захват банковских счетов и позволяя менять SIM-карты. Угроза указывает на значительную эволюцию тактики по сравнению с предыдущими инцидентами, отражая намерение злоумышленника, обладающего достаточными ресурсами, систематически использовать ее.
-----

Недавний анализ выявил сложную многоэтапную Вредоносную Кампанию для Android, нацеленную на пользователей в Индии, в основном с помощью мошеннических действий на правительственную тематику, связанных с Региональным транспортным управлением (RTO). Эта кампания использует тактику социальной инженерии, имитируя официальные приложения, создавая ощущение срочности, чтобы обманом заставить пользователей загружать вредоносное ПО за пределами магазина Google Play. Серверная инфраструктура, поддерживающая это вредоносное ПО, была идентифицирована как использующая Облачные сервисы как для функций управления (C2), так и для эксфильтрации данных, что указывает на хорошо организованную операцию.

Вредоносное ПО работает в три различных этапа, сначала выступая в качестве дроппера для последующих полезных загрузок, а также занимаясь майнингом криптовалюты, когда устройство заблокировано. Эта двойная функциональность свидетельствует о продвинутом характере вредоносного ПО, которое выходит за рамки базовой тактики фишинга и включает в себя комплексную платформу для кражи личных данных и финансового мошенничества.

Изучив инфраструктуру кампании, аналитики получили представление о ее эксплуатационных возможностях, показав, что она действует как обширная система C2, а не просто как решение для хранения данных. Эта эволюция указывает на заметные улучшения по сравнению с предыдущими инцидентами, связанными с вредоносным ПО RTO, с расширенными возможностями, которые представляют значительные риски. Вредоносное ПО может перехватывать одноразовые пароли в режиме реального времени (OTP) для мошеннических финансовых транзакций, облегчать захват банковских счетов путем сбора учетных записей, осуществлять замену SIM-карт с использованием украденных идентификационных данных и совершать мошенничество с кредитами с доступом к конфиденциальной информации, такой как номера Aadhaar и PAN. Более того, он может перехватывать WhatsApp и другие Учетные записи соцсетей, существенно расширяя спектр угроз.

Усилия по обнаружению с помощью программного обеспечения безопасности, такого как Quick Heal, выявили варианты этого вредоносного ПО, помеченные как Android.Dropper.A, подчеркивая необходимость создания мощных механизмов защиты от таких угроз.

Эта продолжающаяся кампания иллюстрирует критическую эскалацию тактики, применяемой злоумышленниками в индийской киберсреде, подчеркивая переход к более структурированным и систематическим стратегиям эксплуатации. Многоэтапный подход в сочетании с централизованным механизмом контроля и активным финансовым надзором отражает намерения хорошо обеспеченной ресурсами и организованной группы по борьбе с угрозами, сосредоточенной на длительных операциях, а не на спорадических атаках.

#ParsedReport #CompletenessMedium
05-02-2026

Kimsuki APT43 Activity Analysis

https://www.ctfiot.com/296327.html

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Babyshark
Appleseed
Kgh_spy
Alphaseed
Gold_dragon
Bitsadmin_tool
Qshing_technique
Spear-phishing_technique
Timestomp_technique
Process_injection_technique
Passthehash_technique

Victims:
Government agencies, Academic institutions, Think tanks

Industry:
Government

Geo:
Belgium, Slovakia, North macedonia, Portugal, Montenegro, America, Estonia, Korea, Finland, Greece, Bulgaria, Canada, Asia pacific, Asia, Germany, Vietnam, France, Thailand, Netherlands, Denmark, North korea, Hungary, Latvia, Slovenia, Romania, Dprk, Lithuania, Japan, Italy, Iceland, Croatia, Norway, Czech, Albania, Korean, Luxembourg, Poland

CVEs:
CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 72

Soft:
Android, Microsoft Office, Remote Desktop Services, WeChat

Languages:
python, powershell, visual_basic, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuki, APT-группировка, связанная с правительством Северной Кореи, занимается сбором разведданных, в частности, нацеливаясь на южнокорейские и американские организации, такие как правительственные учреждения, научные круги и аналитические центры. Группа использует тактику социальной инженерии и обладает умеренными техническими возможностями, занимаясь как шпионажем, так и киберпреступностью для финансирования своих операций. Двойной подход Kimsuki's представляет заметную угрозу для организаций, поскольку использует уязвимости с помощью специально разработанных стратегий.
-----

Kimsuki, APT-группировка, представляющая собой "продвинутую постоянную угрозу", действует по меньшей мере с 2012 года и, как полагают, действует в соответствии со стратегическими целями правительства Северной Кореи, в частности, поддерживая деятельность Генерального бюро разведки (RGB). Основное внимание этой группы сосредоточено на сборе разведывательных данных, в частности, нацеленных на южнокорейские и американские организации, включая правительственные учреждения, академические институты и аналитические центры, специализирующиеся на геополитических темах, связанных с Корейским полуостровом.

Kimsuki характеризуется умеренными техническими возможностями и опорой на тактику социальной инженерии, которая тонко настроена для обмана нацеленных лиц и организаций. Операции группы состоят не только из шпионажа, но и распространяются на киберпреступность, которая служит средством финансирования ее разведывательной деятельности. Эта двойная стратегия подчеркивает приверженность группы сбору стратегической информации, а также получению дохода от своей деятельности. Используя эти методы, Kimsuki продолжает представлять значительную угрозу для нацеленных организаций, используя сложные и адаптированные стратегии для использования уязвимостей в их защите.

#ParsedReport #CompletenessMedium
05-02-2026

Black Basta: Defense Evasion Capability Embedded in Ransomware Payload

https://www.security.com/threat-intelligence/black-basta-ransomware-byovd

Report completeness: Medium

Threats:
Blackbasta
Byovd_technique
Gotohttp_tool
Truesightkiller_tool
Gmer_tool
Av-killer
Ghostdriver_tool
Poortry
Burntcigar
Stonestop
Aukill_tool
Lolbin_technique
Conti
Ryuk
Trickbot
Qakbot
Cobalt_strike_tool

Industry:
Financial

Geo:
Russian, Russia, Ukraine

CVEs:
CVE-2025-68947 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1486, T1543.003, T1562.001

IOCs:
File: 45
Hash: 6

Soft:
Windows kernel-mode driver, Windows Defender

Links:
have more...
https://github.com/BlackSnufkin/GhostDriver
https://github.com/MaorSabag/TrueSightKiller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Black Basta Ransomware усовершенствовала свои методы атаки, интегрировав в свою полезную нагрузку компонент bring-your-own-vulnerable-driver (BYOVD), в частности, используя драйвер NsecSoft NSecKrnl для отключения процессов безопасности перед выполнением шифрования. Эта стратегия нацелена на антивирусные решения и EDR-решения, повышающие вероятность обхода обнаружения. Управляемая группой Cardinal, Black Basta продемонстрировала адаптивность после прекращения работы своих предыдущих филиалов, что указывает на доступ к уязвимостям zero-day для проникновения в сеть.
-----

Недавняя активность, связанная с программой-вымогателем Black Basta Ransomware, указывает на значительную эволюцию ее методов атаки, в частности, за счет интеграции компонента bring-your-own-vulnerable-driver (BYOVD) непосредственно в ее полезную нагрузку. Такой подход знаменует собой отход от традиционных стратегий, в которых такие инструменты обычно применялись отдельно. Полезная нагрузка программы-вымогателя, в частности, удаляет уязвимый драйвер, известный как NsecSoft NSecKrnl, используя его для установки службы NSecKrnl. После ввода в действие этот драйвер используется для завершения определенных процессов, повышая эффективность атаки против мер безопасности.

В контексте операций с программами-вымогателями в 2026 году уклонение от защиты стало важнейшей стратегией для таких акторов, как Black Basta. В первую очередь это достигается за счет использования антивирусных решений (AV) и решений для обнаружения конечных точек и реагирования на них (EDR). Механизм отключения этих мер безопасности перед выполнением шифрования файлов имеет решающее значение для повышения вероятности успешной атаки программ-вымогателей, поскольку он сводит к минимуму шансы обнаружения до этапа шифрования.

Black Basta, управляемая группой Cardinal, появилась в апреле 2022 года и имеет связи с известными организациями, занимающимися киберпреступностью, связанными с Ryuk и Conti ransomware. Кроме того, группа ранее сотрудничала с банковским трояном Trickbot и была связана с ботнет Qakbot до его демонтажа в августе 2023 года. После этого сбоя Cardinal адаптировала свою тактику, обнаружив новые переносчики инфекции и продемонстрировав свою устойчивость, продолжив операции в 2023 и 2024 годах. Более того, есть признаки того, что акторы внутри группы имеют доступ к уязвимостям zero-day, которые они используют для проникновения в сети жертв.

Эта недавняя тактика внедрения механизма BYOVD поднимает вопросы о его потенциальном внедрении другими группами программ-вымогателей, размышляя о преимуществах, которые он может предложить в уклонении от обнаружения и повышении показателей успешности атак. Растущая тенденция свидетельствует об изменении ландшафта операций с программами-вымогателями, поскольку злоумышленники внедряют инновации, чтобы сохранить свои позиции, несмотря на усиление мер безопасности.

#ParsedReport #CompletenessHigh
05-02-2026

Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM framework

https://blog.talosintelligence.com/knife-cutting-the-edge/

Report completeness: High

Actors/Campaigns:
Pyration

Threats:
Aitm_technique
Dknife_tool
Shadowpad
Darknimbus
Credential_harvesting_technique
Wizardnet
Spellbinder
Moonshine
Slaac_spoofing_technique
Dns_hijacking_technique
Mitm_technique
Sslmm

Victims:
Chinese speaking users, Router and edge device users

Industry:
Iot, Entertainment, Telco, E-commerce

Geo:
United arab emirates, Philippines, China, Chinese, Arab emirates, Cambodia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1040, T1041, T1046, T1056.004, T1059, T1071.001, T1090, T1105, have more...

IOCs:
IP: 19
File: 41
Url: 25
Hash: 40
Domain: 1

Soft:
Android, WeChat, Linux, eo calls, WeCha, ng offic, HAProxy, Nginx

Algorithms:
gzip, md5, base64, sha256, aes, xor

Links:
https://github.com/ntop/n2n
have more...
https://github.com/yuleniwo/qqtea

#ParsedReport #ExtractedSchema

Classified images:
code: 19, schema: 3, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos выявила "DKnife", сложный фреймворк adversary-in-the-middle, связанный с китайскоязычными злоумышленниками, активно нацеленный на различные устройства, по крайней мере, с 2019 года. Эта система на базе Linux использует семь имплантатов для глубокой проверки пакетов, манипулирования трафиком и доставки вредоносного ПО, в частности, для перехвата законных обновлений приложений для распространения бэкдоров, таких как ShadowPad и DarkNimbus. DKnife также выполняет DNS Hijacking, сбор учетных записей из китайских цифровых сервисов и мониторинг активности пользователей в режиме реального времени, демонстрируя свои обширные возможности в борьбе с киберугрозами.
-----

Cisco Talos определила "DKnife", всеобъемлющий фреймворк adversary-in-the-middle (AitM), связанный с китайскоязычными злоумышленниками. Эта система на базе Linux оснащена семью имплантатами, которые облегчают глубокую проверку пакетов (DPI), манипулирование трафиком и доставку вредоносного ПО через маршрутизаторы и периферийные устройства. Представленный по крайней мере в начале 2019 года, фреймворк все еще был активен по состоянию на январь 2026 года, постоянно ориентируясь на широкий спектр устройств, включая ПК, мобильные устройства и устройства Интернета вещей.

DKnife перехватывает законные загрузки и обновления приложений для Android, чтобы использовать известные бэкдоры, такие как ShadowPad и DarkNimbus. Целевая аудитория в основном состоит из носителей китайского языка, что отражено в сборе учетных записей для китайских цифровых сервисов и мониторинге трафика приложений, разработанных для таких платформ, как WeChat. Артефакты кода также содержат ссылки на китайские СМИ и используют упрощенный китайский в комментариях, что свидетельствует о знакомстве операторов с языком.

Возможности этого инструмента обширны, включая возможность перехватывать обновления приложений для Android и Windows. При обнаружении запроса на обновление от приложения для Android DKnife перехватывает его и перенаправляет в вредоносное хранилище для загрузки. Аналогичным образом, он перехватывает двоичные файлы, загружаемые для Windows, используя зашифрованные правила перехвата, которые используют вариант алгоритма шифрования Tiny (TEA) для расшифровки.

DKnife также выполняет DNS hijacking с помощью конфигурационных файлов, которые определяют глобальные сопоставления ключевых слов с IP, позволяя ему перенаправлять трафик по мере необходимости. Важно отметить, что он может получать учетные данные от известных китайских поставщиков электронной почты, прерывая и проверяя соединения POP3 / IMAP, а затем отправляя извлеченные данные на свои серверы командования и контроля (C2). Мониторинг активности пользователей и составление отчетов о ней облегчаются благодаря проверке трафика в режиме реального времени, охватывающей различные действия пользователей - от обмена сообщениями до покупок.

Фреймворк автономно проверяет наличие обновлений программного обеспечения и может нарушать антивирусную связь, отслеживая определенные сигнатуры трафика, связанные с продуктами безопасности. В DKnife находятся такие компоненты, как dknife.bin, который управляет DPI и логикой атаки; postapi.bin, ответственный за эксфильтрацию данных; и sslmm.bin, функционирующий как обратный прокси для перехваченных запросов.

Таким образом, DKnife является примером сложной инфраструктуры AitM, способной к масштабному манипулированию трафиком и доставке вредоносного ПО, что подчеркивает острую необходимость в бдительности в отношении угроз, нацеленных на периферийные устройства в сетевых средах. Взаимосвязанность различных фреймворков AitM и бэкдоров, которые они используют, представляет собой постоянную проблему в области кибербезопасности, особенно в отношении сложных кампаний, ориентированных на конкретные языки, таких как те, которые связаны с DKnife.

#ParsedReport #CompletenessMedium
05-02-2026

Stan Ghouls targeting Russia and Uzbekistan with NetSupport RAT

https://securelist.com/stan-ghouls-in-uzbekistan/118738/

Report completeness: Medium

Actors/Campaigns:
Bloody_wolf (motivation: cyber_espionage, financially_motivated, cyber_criminal)

Threats:
Netsupportmanager_rat
Strrat
Spear-phishing_technique
Mirai

Victims:
Manufacturing, Finance, Information technology

Industry:
Logistic, Financial, Healthcare, Government, Iot

Geo:
Kazakhstan, Kyrgyzstan, Turkey, Belarus, Russian, Serbia, Uzbekistan, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1204.002, T1219, T1566.001

IOCs:
File: 26
Hash: 47
Url: 17
Path: 1
Registry: 1
Domain: 20

Crypto:
ripple

Algorithms:
md5

Functions:
createBatAndRun

Win API:
arc

Languages:
java

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка Stan Ghouls, действующая с 2023 года, нацелена на организации в России, Кыргызстане, Казахстане и Узбекистане, уделяя особое внимание производственному, финансовому и IT-секторам. Они используют spear phishing с вредоносными PDF-вложениями и развертывают загрузчики вредоносного ПО на базе Java, недавно перейдя на легальное программное обеспечение, такое как NetSupport, для контроля системы и закрепления. В их кампаниях часто используется локализованный узбекский язык в фишинг-сообщениях, при этом в июне 2025 года был задокументирован примечательный инцидент, связанный со специфической конфигурацией NetSupport RAT.
-----

Stan Ghouls, также известная как Bloody Wolf, является киберпреступной группировкой, активно атакующей организации по всей России, Кыргызстану, Казахстану и Узбекистану, по крайней мере, с 2023 года. Их основное внимание сосредоточено в производственном, финансовом и ИТ-секторах. Группа известна индивидуальными кампаниями атак с использованием специального инструментария, включая загрузчики вредоносного ПО на базе Java, используемые в их операциях.

Методология атаки, используемая Stan Ghouls, основана на spear phishing, в частности, на использовании электронных писем с вредоносными вложениями в формате PDF. В то время как ранее они использовали инструмент, известный как Strigoi Master, группа изменила тактику, решив вместо этого использовать легальное программное обеспечение, такое как NetSupport, для осуществления контроля над скомпрометированными системами. Такой подход позволяет им эффективно поддерживать закрепление на зараженных компьютерах.

Фишинг остается единственным механизмом доставки их атак, при этом заметное предпочтение отдается созданию сообщений на местных языках, таких как узбекский, а не на более широко используемых русском или английском. Кампании по электронной почте содержат документы-приманки, которые ссылаются на вредоносные программы-загрузчики, намеревающиеся сбить с толку и заманить потенциальных жертв.

В июне 2025 года были задокументированы некоторые кампании Стэна Гулса, нацеленные на кыргызские организации, в результате чего был обнаружен конкретный конфигурационный файл NetSupport RAT (client32.ini) с хэшем MD5 cb9c28a4c6657ae5ea810020cb214ff0. Этот конфигурационный файл был впервые отмечен Kaspersky ранее в том же месяце и содержал сведения, относящиеся к его серверам управления.

Приписывание этих кампаний Stan Ghouls происходит с высокой степенью уверенности, что подтверждается их уникальными операционными схемами, наблюдавшимися при предыдущих атаках. Около 50 жертв были выявлены в Узбекистане, при этом дополнительные случаи заражения были отмечены в России, Казахстане и других странах, таких как Турция, Сербия и Беларусь, хотя многие из этих инцидентов, как подозревается, были непреднамеренными целями. Постоянное использование узбекского языка в электронных письмах для фишинга соответствует истории использования группой региональных языков, что усиливает их нацеленность на локальные атаки.

#ParsedReport #CompletenessHigh
05-02-2026

DesckVB RAT: A Modular NET RAT Framework and Multi-Stage Campaign Infrastructure

https://raw.githubusercontent.com/ShadowOpCode/DesckVB-RAT/752b2d00c7953e53a2af30f815950bf1523944da/DesckVB_RAT.pdf

Report completeness: High

Actors/Campaigns:
Steganoamor
Ta558

Threats:
Desckvb
Njrat
Upcry
Xworm_rat
Uac_bypass_technique
Spygaterat
Spynote_rat
Remcos_rat

Victims:
General users, Consumer

Geo:
Italy, Portuguese, Brazilian, Middle east, Brazil, Italia, Kuwait, Africa, Poland

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1105, T1140, T1620

IOCs:
Path: 11
File: 140
Hash: 13
Coin: 2
Url: 5
Domain: 1
Registry: 1
IP: 6

Soft:
Unix, firefox, winlogon, Twitter, Amigo

Algorithms:
md5, sha256, base64

Functions:
DhinrNDYNQ, xQkKm, Eu5RYVK8nsVDUbKRFaU, Pesistencia, cctor, DetectaAV, OpenForm, TCP, AssemblyLoader, WebcamListGet, have more...

Win API:
GetCurrentProcess, GetForegroundWindow

Win Services:
webClient, Bits

Languages:
powershell, lua, javascript

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DesckVB RAT - это Троянская программа для удаленного доступа к .NET, идентифицированная в 2026 году, с многоступенчатым конвейером атак, который начинается с запутанного WSH JavaScript, развертывающего загрузчик .NET в памяти. Вредоносное ПО использует скрипты PowerShell для декодирования полезной нагрузки и загрузки библиотеки DLL (ClassLibrary3.dll ) с функциями для Регистрации нажатий клавиш, доступа к веб-камере и перечисления процессов при одновременном взаимодействии с сервером C2 для доставки плагинов. Он показывает связи с кластером угроз "Pjoao1578", что усложняет атрибуцию из-за общих идентификаторов без подтверждения конкретных акторов.
-----

DesckVB RAT, .NET модульная Троянская программа, активная в начале 2026 года. Этот фреймворк следует шаблону доставки, напоминающему методы UpCrypter, используя сильно запутанный WSH JavaScript для развертывания загрузчика .NET в памяти. Процесс начинается с сильно запутанного сценария, который самовоспроизводится в C:\Users\Public \ каталог. Он возобновляется через wscript.exe , восстанавливающий закодированную команду PowerShell путем фрагментации строки.

Начальный этап имеет решающее значение, поскольку он не только использует обфускацию, но и использует известные схемы доставки, используемые фреймворками вредоносного ПО. Следующие этапы включают в себя скрипты PowerShell с запутанной строкой, которые декодируют полезные нагрузки Base64 во время выполнения, что в конечном итоге приводит к загрузке и выполнению библиотеки DLL с именем ClassLibrary3.dll . Эта библиотека DLL оснащена возможностью перечислять запущенные процессы и применять жестко запрограммированный список запрещений, чтобы затруднить анализ.

Сам DesckVB RAT предоставляет множество возможностей, таких как Регистрация нажатий клавиш, доступ к веб-камере и зондирование сети. Вредоносное ПО взаимодействует со своим сервером управления (C2), который может поставлять плагины по запросу, - примечательная функция, которая создает проблемы для защитников. Плагины предназначены для выполнения различных функций: кейлоггер фиксирует нажатия клавиш и содержимое буфера обмена, в то время как плагин веб-камеры передает видео обратно на сервер C2.

Более того, исторические связи с кластером угроз "Pjoao1578" еще больше усложняют усилия по установлению принадлежности. Последовательно соблюдались идентификаторы, такие как строки с названием компании и конкретные пути отладки, что указывает на общую среду сборки. Однако следует соблюдать осторожность, поскольку сами по себе эти артефакты не подтверждают окончательную принадлежность к одному актору; они просто предполагают инструменты или методологии, используемые в рамках более широкой экосистемы.

С точки зрения защиты, анализ показывает закономерность закрепления вредоносного ПО и методов обфускации, предназначенных для уклонения от обнаружения. Зависимость вредоносного ПО от механизмов самокопирования и неясных моделей связи подразумевает, что защитникам понадобятся комплексные возможности телеметрии и анализа протоколов для выявления и смягчения этих угроз.

#ParsedReport #CompletenessHigh
05-02-2026

Technical Analysis of Marco Stealer

https://www.zscaler.com/blogs/security-research/technical-analysis-marco-stealer

Report completeness: High

Threats:
Marco_stealer
Process_hacker_tool
Dll_injection_technique
Rhadamanthys
Lumma_stealer

Victims:
Corporate environments, Users of cloud storage services, Cryptocurrency wallet users, Browser users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 9

IOCs:
Path: 2
File: 9
Url: 3
Hash: 9
Registry: 2

Soft:
Dropbox, Windows registry, Windows Security Center, Component Object Model, chrome, CLIQZ, Pale Moon, Navicat, Sysinternals Process Explorer, Sysinternals, have more...

Algorithms:
sha256, base64, aes, cbc, aes-256, zip, chacha20

Functions:
GetFileAttributes

Win API:
DllCanUnloadNow, QueryFullProcessImageNameW, CryptDeriveKey

Languages:
delphi, python, java, powershell, autoit

Platforms:
x86, x64

Links:
https://github.com/ThreatLabz/tools/blob/main/marco\_stealer/string\_decryption.c