#ParsedReport #CompletenessMedium
25-02-2026
Developer-targeting campaign using malicious Next.js repositories
http://microsoft.com/en-us/security/blog/2026/02/24/c2-developer-targeting-campaign/
Report completeness: Medium
Threats:
Lolbin_technique
Victims:
Software developers
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 9
Domain: 13
IP: 4
Url: 21
Hash: 6
Soft:
Microsoft Defender, Node.js, Visual Studio Code, Microsoft Defender for Endpoint, chrome
Algorithms:
sha256, sha1, base64
Functions:
Function, count
Win API:
readFile
Languages:
javascript
25-02-2026
Developer-targeting campaign using malicious Next.js repositories
http://microsoft.com/en-us/security/blog/2026/02/24/c2-developer-targeting-campaign/
Report completeness: Medium
Threats:
Lolbin_technique
Victims:
Software developers
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 9
Domain: 13
IP: 4
Url: 21
Hash: 6
Soft:
Microsoft Defender, Node.js, Visual Studio Code, Microsoft Defender for Endpoint, chrome
Algorithms:
sha256, sha1, base64
Functions:
Function, count
Win API:
readFile
Languages:
javascript
Microsoft News
Developer-targeting campaign using malicious Next.js repositories
A developer-targeting campaign leveraged malicious Next.js repositories to trigger a covert RCE-to-C2 chain through standard build workflows. The activity demonstrates how staged command-and-control can hide inside routine development tasks.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-02-2026 Developer-targeting campaign using malicious Next.js repositories http://microsoft.com/en-us/security/blog/2026/02/24/c2-developer-targeting-campaign/ Report completeness: Medium Threats: Lolbin_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена кампания, нацеленная на разработчиков, использующая вредоносные репозитории, замаскированные под законные Next.js проекты для выполнения вредоносного кода. Атака начинается с репозиториев на таких платформах, как Bitbucket, которые заманивают разработчиков с помощью контента на тему работы, встраивая вредоносный JavaScript, который позволяет осуществлять связь по управление (C2). Ключевые методы выполнения включают манипулирование рабочими пространствами кода Visual Studio, использование процессов сборки во время разработки приложений и внедрение вредоносной логики во внутренние приложения, все это приводит к постоянным подключениям C2 с помощью облегченных полезных нагрузок 1-го и 2-го этапов в памяти, которые избегают традиционного обнаружения.
-----
Была выявлена скоординированная кампания, нацеленная на разработчиков, в которой использовались вредоносные репозитории, замаскированные под законные Next.js проекты. Эксперты Microsoft Defender обнаружили, что в этих репозиториях используются приманки, связанные с работой, чтобы завоевать популярность в среде разработчиков, увеличивая вероятность выполнения вредоносного кода. Кампания запускается с помощью вредоносных репозиториев, в частности, одного из них, размещенного на Bitbucket, которые имитируют технические оценки, позволяя злоумышленникам внедрять вредоносный JavaScript в код, которому разработчики часто доверяют.
Расследование выявило ряд вредоносных репозиториев, использующих различные механизмы выполнения, все из которых приводят к извлечению во время выполнения и выполнению управляемого злоумышленником JavaScript, функционально прокладывая путь для обмена данными по управление-командам (C2). В ходе анализа были определены три важных пути выполнения: выполнение в рабочей области Visual Studio Code, выполнение во время сборки во время разработки приложения и выполнение при запуске сервера, которое использует эксфильтрация переменных среды и динамический Удаленное Выполнение Кода (RCE).
В первом пути вредоносная конфигурация рабочей области Visual Studio Code запускает немедленное выполнение задачи при открытии проекта. Этому способствует конфигурационный файл JSON, который позволяет запускать вредоносный загрузчик JavaScript. Второй путь активируется, когда разработчик выполняет команды типа "npm run dev", где троянские ресурсы, часто выступающие в качестве законных библиотек JavaScript, извлекают вредоносный код из удаленных источников, таких как Vercel. Последний метод включает запуск серверной части приложения, где вредоносная логика встроена в модули или маршруты, выполнение кода, который извлекает данные переменной окружения и запускает JavaScript, полученный от злоумышленника.
В конечном счете, все три пути ведут к полезной нагрузке этапа 1, которая устанавливает постоянное соединение с сервером C2, регулярно запрашивая команды и предоставляя злоумышленникам ценную информацию о хосте. Эта полезная нагрузка спроектирована таким образом, чтобы быть легкой и работать за счет выполнения в памяти, избегая необходимости записи файлов на диск, тем самым обходя традиционные механизмы обнаружения. После начальной точки опоры полезная нагрузка этапа 2 позволяет продолжать взаимодействие с сервером C2, получать задания и облегчать дальнейшую эксплуатацию.
Microsoft Defender настроил множество мер обнаружения для выявления и смягчения последствий таких угроз, уделяя особое внимание координации между различными компонентами, включая конечные точки, облачные приложения и службы идентификации. Возможности обнаружения сосредоточены на выявлении аномального поведения, такого как повторное подключение к серверам C2, выполнение потенциально запутанных сценариев и несанкционированный доступ к конфиденциальным артефактам разработчика. Эти выводы подчеркивают важность тщательного мониторинга и адаптивных стратегий безопасности в меняющемся ландшафте киберугроза, нацеленных на разработчиков.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена кампания, нацеленная на разработчиков, использующая вредоносные репозитории, замаскированные под законные Next.js проекты для выполнения вредоносного кода. Атака начинается с репозиториев на таких платформах, как Bitbucket, которые заманивают разработчиков с помощью контента на тему работы, встраивая вредоносный JavaScript, который позволяет осуществлять связь по управление (C2). Ключевые методы выполнения включают манипулирование рабочими пространствами кода Visual Studio, использование процессов сборки во время разработки приложений и внедрение вредоносной логики во внутренние приложения, все это приводит к постоянным подключениям C2 с помощью облегченных полезных нагрузок 1-го и 2-го этапов в памяти, которые избегают традиционного обнаружения.
-----
Была выявлена скоординированная кампания, нацеленная на разработчиков, в которой использовались вредоносные репозитории, замаскированные под законные Next.js проекты. Эксперты Microsoft Defender обнаружили, что в этих репозиториях используются приманки, связанные с работой, чтобы завоевать популярность в среде разработчиков, увеличивая вероятность выполнения вредоносного кода. Кампания запускается с помощью вредоносных репозиториев, в частности, одного из них, размещенного на Bitbucket, которые имитируют технические оценки, позволяя злоумышленникам внедрять вредоносный JavaScript в код, которому разработчики часто доверяют.
Расследование выявило ряд вредоносных репозиториев, использующих различные механизмы выполнения, все из которых приводят к извлечению во время выполнения и выполнению управляемого злоумышленником JavaScript, функционально прокладывая путь для обмена данными по управление-командам (C2). В ходе анализа были определены три важных пути выполнения: выполнение в рабочей области Visual Studio Code, выполнение во время сборки во время разработки приложения и выполнение при запуске сервера, которое использует эксфильтрация переменных среды и динамический Удаленное Выполнение Кода (RCE).
В первом пути вредоносная конфигурация рабочей области Visual Studio Code запускает немедленное выполнение задачи при открытии проекта. Этому способствует конфигурационный файл JSON, который позволяет запускать вредоносный загрузчик JavaScript. Второй путь активируется, когда разработчик выполняет команды типа "npm run dev", где троянские ресурсы, часто выступающие в качестве законных библиотек JavaScript, извлекают вредоносный код из удаленных источников, таких как Vercel. Последний метод включает запуск серверной части приложения, где вредоносная логика встроена в модули или маршруты, выполнение кода, который извлекает данные переменной окружения и запускает JavaScript, полученный от злоумышленника.
В конечном счете, все три пути ведут к полезной нагрузке этапа 1, которая устанавливает постоянное соединение с сервером C2, регулярно запрашивая команды и предоставляя злоумышленникам ценную информацию о хосте. Эта полезная нагрузка спроектирована таким образом, чтобы быть легкой и работать за счет выполнения в памяти, избегая необходимости записи файлов на диск, тем самым обходя традиционные механизмы обнаружения. После начальной точки опоры полезная нагрузка этапа 2 позволяет продолжать взаимодействие с сервером C2, получать задания и облегчать дальнейшую эксплуатацию.
Microsoft Defender настроил множество мер обнаружения для выявления и смягчения последствий таких угроз, уделяя особое внимание координации между различными компонентами, включая конечные точки, облачные приложения и службы идентификации. Возможности обнаружения сосредоточены на выявлении аномального поведения, такого как повторное подключение к серверам C2, выполнение потенциально запутанных сценариев и несанкционированный доступ к конфиденциальным артефактам разработчика. Эти выводы подчеркивают важность тщательного мониторинга и адаптивных стратегий безопасности в меняющемся ландшафте киберугроза, нацеленных на разработчиков.
#ParsedReport #CompletenessHigh
25-02-2026
Violet RAT v4.7: The Most Dangerous Payload in a 9-RAT Toolkit
https://www.derp.ca/violet-rat-analysis/
Report completeness: High
Actors/Campaigns:
Serpentine_cloud
Purecoder
Threats:
Violet_rat
Purelogs
Purecryptor
Ninerat
Donut
Hvnc_tool
Process_injection_technique
Ngrok_tool
Asyncrat
Venomrat
Wdkillernew_tool
Xworm_rat
Dcrat
Remcos_rat
Purehvnc_tool
Pureminer
Purerat
Heracles
Xenocode_tool
Victims:
Multiple sectors
Industry:
Financial
Geo:
Budapest
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 25
Hash: 4
Registry: 3
IP: 3
Soft:
NET Framework, Discord, Windows Defender, Chrome, macOS, Linux, Firefox, iPadOS, TryCloudflare
Algorithms:
base64, md5, sha256, rc4, 7zip, aes, aes-128-ecb, aes-ecb, aes-128, aes-256-cbc, xor
Functions:
closeKL, ENC, Close, CreateInstance
Win API:
CompareString
Languages:
python, autoit
Platforms:
apple
25-02-2026
Violet RAT v4.7: The Most Dangerous Payload in a 9-RAT Toolkit
https://www.derp.ca/violet-rat-analysis/
Report completeness: High
Actors/Campaigns:
Serpentine_cloud
Purecoder
Threats:
Violet_rat
Purelogs
Purecryptor
Ninerat
Donut
Hvnc_tool
Process_injection_technique
Ngrok_tool
Asyncrat
Venomrat
Wdkillernew_tool
Xworm_rat
Dcrat
Remcos_rat
Purehvnc_tool
Pureminer
Purerat
Heracles
Xenocode_tool
Victims:
Multiple sectors
Industry:
Financial
Geo:
Budapest
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 25
Hash: 4
Registry: 3
IP: 3
Soft:
NET Framework, Discord, Windows Defender, Chrome, macOS, Linux, Firefox, iPadOS, TryCloudflare
Algorithms:
base64, md5, sha256, rc4, 7zip, aes, aes-128-ecb, aes-ecb, aes-128, aes-256-cbc, xor
Functions:
closeKL, ENC, Close, CreateInstance
Win API:
CompareString
Languages:
python, autoit
Platforms:
apple
www.derp.ca
Violet RAT v4.7: The Most Dangerous Payload in a 9-RAT Toolkit
Technical analysis of Violet RAT v4.7 -- a .NET RAT with ransomware, HVNC, USB spreading, crypto clipping, and 120 command branches dispatched through C2-delivered plugin DLLs -- recovered from a multi-stage intrusion with tooling overlap to SERPENTINE#CLOUD.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-02-2026 Violet RAT v4.7: The Most Dangerous Payload in a 9-RAT Toolkit https://www.derp.ca/violet-rat-analysis/ Report completeness: High Actors/Campaigns: Serpentine_cloud Purecoder Threats: Violet_rat Purelogs Purecryptor…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Violet RAT версии 4.7 - это сложная Троянская программа удаленного доступа, которая работает через структурированный диспетчер команд и использует для развертывания дропперы на основе Python. Он обладает обширными функциональными возможностями, полученными от плагинов среды выполнения, включая возможности программ-вымогателей, Регистрация нажатий клавиш и удаленный доступ к рабочему столу, управляемый через фреймворк .NET. Ключевые характеристики включают выполнение в памяти, Обфускация команд и манипулирование процессами для закрепление, что делает его критически важным компонентом при многоэтапных вторжениях и потенциальной угрозой при скоординированных атаках вредоносное ПО.
-----
Violet RAT версии 4.7 является частью многоступенчатого фреймворк для внедрения с nine RAT семействами. Он работает на архитектуре командного диспетчера с использованием плагинов среды выполнения. RAT развертывается с помощью дропперов на базе Python, которые используют AES-256-CBC или RC4 для шифрования полезной нагрузки. Он запускается в памяти посредством отражающей загрузки сборки для выполнения команд со своего сервера управление (C2). Основной двоичный файл содержит около 8000 строк кода на промежуточном языке и 120 ветвей команд для различных функций, включая программы-вымогатели, удаленный доступ к рабочему столу, Регистрация нажатий клавиш и кражу учетных данных.
Диспетчер команд использует .СЕТЕВОЙ фреймворк и VB.NET поздние методы привязки для выполнения методов. Violet RAT использует в своих командах вращающуюся разделительную строку, что оказывает воздействие на поведение во время выполнения и шифрование. Он использует кодировку base64 с трехуровневой схемой для запутывания конфиденциальных данных и обменивается данными через HTTP POST-запросы без TLS. Домены C2 включают в себя vijdklet.duckdns.org и vigroup2125.duckdns.org , работающий на портах 7575 и 2125.
У RAT есть механизмы закрепление, которые отключают антивирусные продукты, манипулируют процессами, чтобы скрыть файлы, и использует технологию распространения по USB с помощью обманчивых файлов быстрого доступа. Он поддерживает сетевую разведка и может участвовать в DDoS-атаках. Violet RAT родственна XWorm, но имеет модификации для улучшения команд и запутывания. История его развертывания показывает, что он часто поставляется вместе с другим вредоносное ПО при скоординированных атаках, что усложняет анализ из-за его подключаемого подхода, зависящего от инфраструктуры C2 для выполнения важнейших функций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Violet RAT версии 4.7 - это сложная Троянская программа удаленного доступа, которая работает через структурированный диспетчер команд и использует для развертывания дропперы на основе Python. Он обладает обширными функциональными возможностями, полученными от плагинов среды выполнения, включая возможности программ-вымогателей, Регистрация нажатий клавиш и удаленный доступ к рабочему столу, управляемый через фреймворк .NET. Ключевые характеристики включают выполнение в памяти, Обфускация команд и манипулирование процессами для закрепление, что делает его критически важным компонентом при многоэтапных вторжениях и потенциальной угрозой при скоординированных атаках вредоносное ПО.
-----
Violet RAT версии 4.7 является частью многоступенчатого фреймворк для внедрения с nine RAT семействами. Он работает на архитектуре командного диспетчера с использованием плагинов среды выполнения. RAT развертывается с помощью дропперов на базе Python, которые используют AES-256-CBC или RC4 для шифрования полезной нагрузки. Он запускается в памяти посредством отражающей загрузки сборки для выполнения команд со своего сервера управление (C2). Основной двоичный файл содержит около 8000 строк кода на промежуточном языке и 120 ветвей команд для различных функций, включая программы-вымогатели, удаленный доступ к рабочему столу, Регистрация нажатий клавиш и кражу учетных данных.
Диспетчер команд использует .СЕТЕВОЙ фреймворк и VB.NET поздние методы привязки для выполнения методов. Violet RAT использует в своих командах вращающуюся разделительную строку, что оказывает воздействие на поведение во время выполнения и шифрование. Он использует кодировку base64 с трехуровневой схемой для запутывания конфиденциальных данных и обменивается данными через HTTP POST-запросы без TLS. Домены C2 включают в себя vijdklet.duckdns.org и vigroup2125.duckdns.org , работающий на портах 7575 и 2125.
У RAT есть механизмы закрепление, которые отключают антивирусные продукты, манипулируют процессами, чтобы скрыть файлы, и использует технологию распространения по USB с помощью обманчивых файлов быстрого доступа. Он поддерживает сетевую разведка и может участвовать в DDoS-атаках. Violet RAT родственна XWorm, но имеет модификации для улучшения команд и запутывания. История его развертывания показывает, что он часто поставляется вместе с другим вредоносное ПО при скоординированных атаках, что усложняет анализ из-за его подключаемого подхода, зависящего от инфраструктуры C2 для выполнения важнейших функций.
#ParsedReport #CompletenessLow
25-02-2026
Librarian Likho scales attacks: analyze the group's new campaign
https://securelist.ru/librarian-likho-ongoing-campaign/114879/
Report completeness: Low
Actors/Campaigns:
Librarian_ghouls (motivation: information_theft)
Threats:
Anydesk_tool
Passview_tool
Defendercontrol_tool
Victims:
Public sector, Construction, Industrial production, Russian organizations
Geo:
Russian
ChatGPT TTPs:
T1005, T1027, T1036, T1048, T1059.003, T1070.004, T1071.001, T1105, T1204.002, T1543.003, have more...
IOCs:
File: 19
Path: 1
Hash: 41
Domain: 6
Email: 3
Soft:
curl, Windows Defender, Microsoft Defender
25-02-2026
Librarian Likho scales attacks: analyze the group's new campaign
https://securelist.ru/librarian-likho-ongoing-campaign/114879/
Report completeness: Low
Actors/Campaigns:
Librarian_ghouls (motivation: information_theft)
Threats:
Anydesk_tool
Passview_tool
Defendercontrol_tool
Victims:
Public sector, Construction, Industrial production, Russian organizations
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036, T1048, T1059.003, T1070.004, T1071.001, T1105, T1204.002, T1543.003, have more...
IOCs:
File: 19
Path: 1
Hash: 41
Domain: 6
Email: 3
Soft:
curl, Windows Defender, Microsoft Defender
Securelist
Новая кампания Librarian Likho с массовой рассылкой фишинговых писем
Разбираем новую кампанию Librarian Likho с массовой рассылкой фишинговых писем и обновленными скриптами. Атаки продолжаются на момент публикации.
CTT Report Hub
#ParsedReport #CompletenessLow 25-02-2026 Librarian Likho scales attacks: analyze the group's new campaign https://securelist.ru/librarian-likho-ongoing-campaign/114879/ Report completeness: Low Actors/Campaigns: Librarian_ghouls (motivation: information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ноябре 2025 года группа Librarian Likho запустила вредоносная кАмпания, нацеленная на российские организации, используя автоматизированную тактику фишинг и рассылая вложения электронной почты, которые должны выглядеть законными. Вредоносное ПО, созданное с помощью Smart Install Maker, загружает архивы .cab для извлечения файлов для выполнения команд, эксфильтрация данных и закрепление, используя динамически генерируемые URL-адреса C2. Кампания по-прежнему сосредоточена на удаленном доступе через AnyDesk и краже конфиденциальных учетные данные, используя как новую тактику, так и знакомые инструменты предыдущих атак.
-----
В начале ноября 2025 года была выявлена масштабная вредоносная кАмпания, атрибутирован с группой Librarian Likho, специально нацеленная на российские организации в различных секторах. Продолжающиеся атаки используют автоматизированные стратегии фишинг-рассылки, доставляя более тысячи электронных писем с вредоносными вложениями, имитирующими предложения о сотрудничестве или завершенные контракты. Примечательно, что векторы атак и набор инструментов в значительной степени соответствуют предыдущим кампаниям, хотя и с некоторыми изменениями в командах сценариев для повышения операционной эффективности.
Вредоносные электронные письма содержат исполняемые вложения, названия которых вводят в заблуждение, чтобы они напоминали законные документы. Примечательно, что вложения создаются с помощью Smart Install Maker и предназначены для того, чтобы использовать невнимательность пользователя. После выполнения они загружают архивы .cab в определенный временный каталог зараженной системы, впоследствии извлекая несколько файлов, критически важных для функциональности атаки. Среди этих файлов есть скрипты и утилиты, которые облегчают выполнение команд, эксфильтрация данных и закрепление системы.
Одним из важнейших обновлений в этой кампании является динамическая генерация URL-адресов сервера command and control (C2), которая достигается за счет замены переменных, а не жестко закодированных путей. Скрипт find.cmd, играющий важную роль в кампании, не только облегчает загрузку вредоносное ПО, но также создает виртуальную среду и настраивает переменные для конкретных адресов, извлеченных из url.txt файл. Затем загруженные полезные файлы выполняются, в то время как предыдущий способ хранения исполняемых файлов был изменен на каталог %APPDATA%\Windows.
Ключевые компоненты этой кампании включают установку AnyDesk для удаленного доступа наряду с выполнением различных служебных функций, направленных на обход механизмов безопасности, включая отключение Microsoft Defender и удаление признаков компрометация. Последовательность выполнения включает в себя несколько сценариев, предназначенных для обмена конфиденциальными данными по электронной почте, в частности, для паролей от браузеров и почтовых клиентов с использованием таких инструментов, как blat.exe .
Несмотря на обновления в технической реализации, многие инструменты и определенные скрипты из предыдущих кампаний остаются неизменными, что дает веские основания утверждать, что эта волна атак организована одной и той же группой. Злоумышленник перешел к более широкому нацелен на взаимодействие с возросшим объемом попыток неизбирательного фишинг, а не нацелен на усилия с высокой степенью целенаправленности. Такая эволюция стратегии усиливает необходимость принятия мер по Кибербезопасность в затронутых отраслях, особенно в государственном секторе и промышленных сферах. Основные цели сохраняются: обеспечение удаленного доступа к компьютеру через AnyDesk и сбор конфиденциальных учетные данные пользователя.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ноябре 2025 года группа Librarian Likho запустила вредоносная кАмпания, нацеленная на российские организации, используя автоматизированную тактику фишинг и рассылая вложения электронной почты, которые должны выглядеть законными. Вредоносное ПО, созданное с помощью Smart Install Maker, загружает архивы .cab для извлечения файлов для выполнения команд, эксфильтрация данных и закрепление, используя динамически генерируемые URL-адреса C2. Кампания по-прежнему сосредоточена на удаленном доступе через AnyDesk и краже конфиденциальных учетные данные, используя как новую тактику, так и знакомые инструменты предыдущих атак.
-----
В начале ноября 2025 года была выявлена масштабная вредоносная кАмпания, атрибутирован с группой Librarian Likho, специально нацеленная на российские организации в различных секторах. Продолжающиеся атаки используют автоматизированные стратегии фишинг-рассылки, доставляя более тысячи электронных писем с вредоносными вложениями, имитирующими предложения о сотрудничестве или завершенные контракты. Примечательно, что векторы атак и набор инструментов в значительной степени соответствуют предыдущим кампаниям, хотя и с некоторыми изменениями в командах сценариев для повышения операционной эффективности.
Вредоносные электронные письма содержат исполняемые вложения, названия которых вводят в заблуждение, чтобы они напоминали законные документы. Примечательно, что вложения создаются с помощью Smart Install Maker и предназначены для того, чтобы использовать невнимательность пользователя. После выполнения они загружают архивы .cab в определенный временный каталог зараженной системы, впоследствии извлекая несколько файлов, критически важных для функциональности атаки. Среди этих файлов есть скрипты и утилиты, которые облегчают выполнение команд, эксфильтрация данных и закрепление системы.
Одним из важнейших обновлений в этой кампании является динамическая генерация URL-адресов сервера command and control (C2), которая достигается за счет замены переменных, а не жестко закодированных путей. Скрипт find.cmd, играющий важную роль в кампании, не только облегчает загрузку вредоносное ПО, но также создает виртуальную среду и настраивает переменные для конкретных адресов, извлеченных из url.txt файл. Затем загруженные полезные файлы выполняются, в то время как предыдущий способ хранения исполняемых файлов был изменен на каталог %APPDATA%\Windows.
Ключевые компоненты этой кампании включают установку AnyDesk для удаленного доступа наряду с выполнением различных служебных функций, направленных на обход механизмов безопасности, включая отключение Microsoft Defender и удаление признаков компрометация. Последовательность выполнения включает в себя несколько сценариев, предназначенных для обмена конфиденциальными данными по электронной почте, в частности, для паролей от браузеров и почтовых клиентов с использованием таких инструментов, как blat.exe .
Несмотря на обновления в технической реализации, многие инструменты и определенные скрипты из предыдущих кампаний остаются неизменными, что дает веские основания утверждать, что эта волна атак организована одной и той же группой. Злоумышленник перешел к более широкому нацелен на взаимодействие с возросшим объемом попыток неизбирательного фишинг, а не нацелен на усилия с высокой степенью целенаправленности. Такая эволюция стратегии усиливает необходимость принятия мер по Кибербезопасность в затронутых отраслях, особенно в государственном секторе и промышленных сферах. Основные цели сохраняются: обеспечение удаленного доступа к компьютеру через AnyDesk и сбор конфиденциальных учетные данные пользователя.
#ParsedReport #CompletenessLow
25-02-2026
PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem
https://www.derp.ca/purecrypter-loader-analysis/
Report completeness: Low
Actors/Campaigns:
Purecoder (motivation: information_theft)
Threats:
Purecryptor
Confuserex_tool
Purelogs
Credential_harvesting_technique
Purehvnc_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat
ChatGPT TTPs:
T1005, T1027, T1105, T1140, T1555, T1620, T1622
IOCs:
File: 43
Hash: 3
Algorithms:
base64, xor, gzip, sha256, 3des
Functions:
Main, Orchestrator, ArgumentException, CopyTo, SetDecider
Win API:
decompress
Languages:
autoit, powershell
Platforms:
x86
25-02-2026
PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem
https://www.derp.ca/purecrypter-loader-analysis/
Report completeness: Low
Actors/Campaigns:
Purecoder (motivation: information_theft)
Threats:
Purecryptor
Confuserex_tool
Purelogs
Credential_harvesting_technique
Purehvnc_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1105, T1140, T1555, T1620, T1622
IOCs:
File: 43
Hash: 3
Algorithms:
base64, xor, gzip, sha256, 3des
Functions:
Main, Orchestrator, ArgumentException, CopyTo, SetDecider
Win API:
decompress
Languages:
autoit, powershell
Platforms:
x86
www.derp.ca
PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem
Technical analysis of PureCrypter, a builder-generated .NET crypter from the PureCoder malware-as-a-service ecosystem, recovered from a multi-stage intrusion tracked as SERPENTINE#CLOUD. Two builds fully reversed.
CTT Report Hub
#ParsedReport #CompletenessLow 25-02-2026 PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem https://www.derp.ca/purecrypter-loader-analysis/ Report completeness: Low Actors/Campaigns: Purecoder (motivation: information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Анализ детализирует два .NET исполняемых файла, связанных с PureCrypter вредоносное ПО как услуга, идентифицируемые по их хэшам SHA256 и использующие ConfuserEx для запутывания. Они функционируют как загрузчики, расшифровывая и распаковывая встроенные ресурсы для выполнения .NET сборки, используя при этом агрессивные, но тривиальные методы запутывания, включая подавление ошибок. Эти загрузчики распространяют различные полезные приложения PureLogs для сбора конфиденциальной информации, включая кражу кошельков и сбор учетных записей, в рамках кампании SERPENTINE#CLOUD.
-----
Анализ сосредоточен на двух .NET исполняемые файлах, восстановленных во время многоэтапного вторжения, оба сгенерированы коммерческим шифровальщиком, известным как PureCrypter, который является частью экосистемы вредоносное ПО PureCoder "как услуга". Было обнаружено, что эти загрузчики были запутаны с помощью ConfuserEx и работали в условиях обнаружения общего вредоносное ПО без указания конкретного семейства. Их основная функция заключается в расшифровке и распаковке встроенного ресурса перед загрузкой его в виде сборки .NET посредством отражения.
Проанализированные исполняемые файлы содержали хэши SHA256 dcd22d338a0bc4cf615d126b84dfcda149a34cf18bc43b85f16142dfb019e608 и имели размер приблизительно 590 848 байт каждый, ориентированный на формат PE32 .NET и использующий CLR v4.0.30319. Оба загрузчика работают бесшумно, применяя меры обработки ошибок, которые подавляют любую обратную связь о сбоях.
Используемая обфускация описывается как агрессивная, но, по сути, тривиальная, как только будут поняты шаблоны. Это включает в себя внедрение "мертвого кода", когда проверки, которые не добавляют функциональной ценности, распределяются по всем методам, эффективно создавая помехи. Архитектура загрузчика поддерживает конвейер, управляемый событиями, для которого характерны тихие сбои из-за блоков "перехвата".
После выполнения загрузчики расшифровывают встроенную сборку .NET, используя схему шифрования 3DES-CBC, распаковывая данные с помощью схемы GZip, которая включает заголовок size. Процесс динамической загрузки требует выполнения определенных целевых методов путем разрешения имен классов и методов сборки.
Загрузчики распределяют различные варианты полезной нагрузки PureLogs, которые обладают различными эксплуатационными возможностями. Внутренняя полезная нагрузка Qdjlj.dll функционирует как комплексный клиент для сбора конфиденциальной информации, включая кражу криптографических кошельков и сбор учетных записей, в то время как Mvfsxog.библиотека dll служит в качестве промежуточного модуля, способного получать новые сборки .NET, загружаемые из инфраструктур command and control (C2).
Оба загрузчика связаны с более широкой операционной темой кампании SERPENTINE#CLOUD, описанной Securonix, и представляют более широкий набор возможностей в наборе инструментов PureCoder, который также включает инструменты для удаленного доступа и различные улучшения функциональности. Примечательно, что уровень закрепление, ответственный за обеспечение непрерывной работы загрузчиков после перезагрузки, рассматривается отдельно в более широком анализе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Анализ детализирует два .NET исполняемых файла, связанных с PureCrypter вредоносное ПО как услуга, идентифицируемые по их хэшам SHA256 и использующие ConfuserEx для запутывания. Они функционируют как загрузчики, расшифровывая и распаковывая встроенные ресурсы для выполнения .NET сборки, используя при этом агрессивные, но тривиальные методы запутывания, включая подавление ошибок. Эти загрузчики распространяют различные полезные приложения PureLogs для сбора конфиденциальной информации, включая кражу кошельков и сбор учетных записей, в рамках кампании SERPENTINE#CLOUD.
-----
Анализ сосредоточен на двух .NET исполняемые файлах, восстановленных во время многоэтапного вторжения, оба сгенерированы коммерческим шифровальщиком, известным как PureCrypter, который является частью экосистемы вредоносное ПО PureCoder "как услуга". Было обнаружено, что эти загрузчики были запутаны с помощью ConfuserEx и работали в условиях обнаружения общего вредоносное ПО без указания конкретного семейства. Их основная функция заключается в расшифровке и распаковке встроенного ресурса перед загрузкой его в виде сборки .NET посредством отражения.
Проанализированные исполняемые файлы содержали хэши SHA256 dcd22d338a0bc4cf615d126b84dfcda149a34cf18bc43b85f16142dfb019e608 и имели размер приблизительно 590 848 байт каждый, ориентированный на формат PE32 .NET и использующий CLR v4.0.30319. Оба загрузчика работают бесшумно, применяя меры обработки ошибок, которые подавляют любую обратную связь о сбоях.
Используемая обфускация описывается как агрессивная, но, по сути, тривиальная, как только будут поняты шаблоны. Это включает в себя внедрение "мертвого кода", когда проверки, которые не добавляют функциональной ценности, распределяются по всем методам, эффективно создавая помехи. Архитектура загрузчика поддерживает конвейер, управляемый событиями, для которого характерны тихие сбои из-за блоков "перехвата".
После выполнения загрузчики расшифровывают встроенную сборку .NET, используя схему шифрования 3DES-CBC, распаковывая данные с помощью схемы GZip, которая включает заголовок size. Процесс динамической загрузки требует выполнения определенных целевых методов путем разрешения имен классов и методов сборки.
Загрузчики распределяют различные варианты полезной нагрузки PureLogs, которые обладают различными эксплуатационными возможностями. Внутренняя полезная нагрузка Qdjlj.dll функционирует как комплексный клиент для сбора конфиденциальной информации, включая кражу криптографических кошельков и сбор учетных записей, в то время как Mvfsxog.библиотека dll служит в качестве промежуточного модуля, способного получать новые сборки .NET, загружаемые из инфраструктур command and control (C2).
Оба загрузчика связаны с более широкой операционной темой кампании SERPENTINE#CLOUD, описанной Securonix, и представляют более широкий набор возможностей в наборе инструментов PureCoder, который также включает инструменты для удаленного доступа и различные улучшения функциональности. Примечательно, что уровень закрепление, ответственный за обеспечение непрерывной работы загрузчиков после перезагрузки, рассматривается отдельно в более широком анализе.
#ParsedReport #CompletenessHigh
25-02-2026
Remcos Banking Fraud via Three AutoIt Persistence Chains
https://www.derp.ca/remcos-autoit-persistence/
Report completeness: High
Actors/Campaigns:
Serpentine_cloud
Purecoder
Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Dcrat
Asyncrat
Venomrat
Screen_shotting_technique
Hvnc_tool
Donut
Victims:
Banking customers, Financial sector
Industry:
Financial, Foodtech
Geo:
American, Canadian, Budapest
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1036.004, T1053.005, T1055.012, T1056.001, T1059.003, T1059.006, T1071.001, T1113, have more...
IOCs:
File: 11
Hash: 10
Path: 1
IP: 1
Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise
Wallets:
bitpay, exodus_wallet, atomicwallet, metamask
Algorithms:
aes-256-cbc, aes-256, lznt1, sha256, ecc, gzip, base64, aes, rsa-4096, rc4
Functions:
TestFunction
Win API:
ecompress
Languages:
autoit, python
Platforms:
x64
25-02-2026
Remcos Banking Fraud via Three AutoIt Persistence Chains
https://www.derp.ca/remcos-autoit-persistence/
Report completeness: High
Actors/Campaigns:
Serpentine_cloud
Purecoder
Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Dcrat
Asyncrat
Venomrat
Screen_shotting_technique
Hvnc_tool
Donut
Victims:
Banking customers, Financial sector
Industry:
Financial, Foodtech
Geo:
American, Canadian, Budapest
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1036.004, T1053.005, T1055.012, T1056.001, T1059.003, T1059.006, T1071.001, T1113, have more...
IOCs:
File: 11
Hash: 10
Path: 1
IP: 1
Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise
Wallets:
bitpay, exodus_wallet, atomicwallet, metamask
Algorithms:
aes-256-cbc, aes-256, lznt1, sha256, ecc, gzip, base64, aes, rsa-4096, rc4
Functions:
TestFunction
Win API:
ecompress
Languages:
autoit, python
Platforms:
x64
www.derp.ca
Remcos Banking Fraud via Three AutoIt Persistence Chains
Three AutoIt persistence chains deliver Remcos v7.0.1 Pro for Canadian banking fraud. The third delivers PureHVNC on shared PureLogs C2 infrastructure.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-02-2026 Remcos Banking Fraud via Three AutoIt Persistence Chains https://www.derp.ca/remcos-autoit-persistence/ Report completeness: High Actors/Campaigns: Serpentine_cloud Purecoder Threats: Remcos_rat Purehvnc_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил три цепочки закрепление, использующие AutoIt, нацеленные на канадские банки через Remcos RAT. Эти цепочки, EcoOptimize, WealthWise и UrbanEco, устанавливают запланированные задачи для обеспечения устойчивости к вредоносное ПО, при этом Remcos делает снимки экрана банковского портала с использованием определенных ключевых слов, используя шифрование и взаимный протокол TLS для командной и контрольной аутентификации. Каждая цепочка работает с различными двоичными файлами и конфигурациями для повышения избыточности и скрытности операций, что создает значительную угрозу финансовым системам.
-----
Недавний анализ детализирует работу трех цепочек закрепление, использующих AutoIt, в первую очередь ориентированных на канадские банки с помощью инструмента удаленного доступа Remcos (RAT). Каждая цепочка имитирует законные бизнес-приложения и устанавливается в ненавязчивый каталог в пределах пути %LocalAppData%, настраивая запланированные задачи, которые гарантируют, что вредоносное ПО возобновляется через короткие промежутки времени, потенциально каждые пять минут. Примечательно, что две сети поставляют Remcos версии 7.0.1 Pro, настроенную для получения скриншотов банковских порталов каждые пять секунд, в то время как третья поставляет PureHVNC.
Выявленные цепочки закрепление включают EcoOptimize, WealthWise и UrbanEco. В каждом из них используются различные запланированные задачи с безобидными дескрипторами, чтобы избежать обнаружения, такие как “Отмена” и “Задействовано” для EcoOptimize и “QuantifyPro” для WealthWise, которые настойчиво пытаются запустить процесс вредоносное ПО, о чем свидетельствует обнаружение скрипта WealthWise более 3500 раз в течение двух дней на зараженном компьютере. машина.
С точки зрения функциональности, полезная нагрузка Remcos использует законные двоичные файлы Windows для выполнения своих команд. Цепочка EcoOptimize получает доступ к TapiUnattend.exe , в то время как сеть PureHVNC UrbanEco взаимодействует с RegAsm.exe двоичный код. Используемая версия Remcos использует механизм шифрования, использующий RC4, со встроенным ключом, позволяющим красть конфиденциальные данные, когда в заголовках окон появляются определенные ключевые слова, связанные с банковской деятельностью.
Инфраструктура командования и контроля (C2) диверсифицирована по нескольким доменам и поставщикам для обеспечения устойчивости к попыткам взлома, используя общий IP-адрес, на котором также размещаются другие RAT, что указывает на комплексную операционную инфраструктуру. Кроме того, вредоносное ПО использует взаимный протокол TLS со встроенными самозаверяющими сертификатами ECC, что позволяет ему легко проходить аутентификацию на сервере C2.
Конфигурации демонстрируют четкую ориентацию на канадские банковские системы, примером чего может служить список из 62 ключевых слов, нацелен на создание скриншотов, с особым акцентом на названия конкретных банковских порталов. В анализе отмечается, что, хотя конфигурация WealthWise сокращает количество ключевых слов с 62 до 50, она сохраняет ключевые нацелен, такие как EasyWeb из TD Bank, что указывает на изменение тактики, направленное на сужение нацелен на активное мошенничество.
Наконец, сеть UrbanEco указала на отдельную операцию по доставке PureHVNC, повторно использующую аналогичные конфигурации C2. Эта независимая цепочка служит для повышения операционной избыточности, гарантируя, что даже если один способ доставки нейтрализован, другие продолжают функционировать.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил три цепочки закрепление, использующие AutoIt, нацеленные на канадские банки через Remcos RAT. Эти цепочки, EcoOptimize, WealthWise и UrbanEco, устанавливают запланированные задачи для обеспечения устойчивости к вредоносное ПО, при этом Remcos делает снимки экрана банковского портала с использованием определенных ключевых слов, используя шифрование и взаимный протокол TLS для командной и контрольной аутентификации. Каждая цепочка работает с различными двоичными файлами и конфигурациями для повышения избыточности и скрытности операций, что создает значительную угрозу финансовым системам.
-----
Недавний анализ детализирует работу трех цепочек закрепление, использующих AutoIt, в первую очередь ориентированных на канадские банки с помощью инструмента удаленного доступа Remcos (RAT). Каждая цепочка имитирует законные бизнес-приложения и устанавливается в ненавязчивый каталог в пределах пути %LocalAppData%, настраивая запланированные задачи, которые гарантируют, что вредоносное ПО возобновляется через короткие промежутки времени, потенциально каждые пять минут. Примечательно, что две сети поставляют Remcos версии 7.0.1 Pro, настроенную для получения скриншотов банковских порталов каждые пять секунд, в то время как третья поставляет PureHVNC.
Выявленные цепочки закрепление включают EcoOptimize, WealthWise и UrbanEco. В каждом из них используются различные запланированные задачи с безобидными дескрипторами, чтобы избежать обнаружения, такие как “Отмена” и “Задействовано” для EcoOptimize и “QuantifyPro” для WealthWise, которые настойчиво пытаются запустить процесс вредоносное ПО, о чем свидетельствует обнаружение скрипта WealthWise более 3500 раз в течение двух дней на зараженном компьютере. машина.
С точки зрения функциональности, полезная нагрузка Remcos использует законные двоичные файлы Windows для выполнения своих команд. Цепочка EcoOptimize получает доступ к TapiUnattend.exe , в то время как сеть PureHVNC UrbanEco взаимодействует с RegAsm.exe двоичный код. Используемая версия Remcos использует механизм шифрования, использующий RC4, со встроенным ключом, позволяющим красть конфиденциальные данные, когда в заголовках окон появляются определенные ключевые слова, связанные с банковской деятельностью.
Инфраструктура командования и контроля (C2) диверсифицирована по нескольким доменам и поставщикам для обеспечения устойчивости к попыткам взлома, используя общий IP-адрес, на котором также размещаются другие RAT, что указывает на комплексную операционную инфраструктуру. Кроме того, вредоносное ПО использует взаимный протокол TLS со встроенными самозаверяющими сертификатами ECC, что позволяет ему легко проходить аутентификацию на сервере C2.
Конфигурации демонстрируют четкую ориентацию на канадские банковские системы, примером чего может служить список из 62 ключевых слов, нацелен на создание скриншотов, с особым акцентом на названия конкретных банковских порталов. В анализе отмечается, что, хотя конфигурация WealthWise сокращает количество ключевых слов с 62 до 50, она сохраняет ключевые нацелен, такие как EasyWeb из TD Bank, что указывает на изменение тактики, направленное на сужение нацелен на активное мошенничество.
Наконец, сеть UrbanEco указала на отдельную операцию по доставке PureHVNC, повторно использующую аналогичные конфигурации C2. Эта независимая цепочка служит для повышения операционной избыточности, гарантируя, что даже если один способ доставки нейтрализован, другие продолжают функционировать.
#ParsedReport #CompletenessLow
24-02-2026
One Thousand and One Nights: C77L Affiliate Program
https://www.f6.ru/blog/c77l-ransomware
Report completeness: Low
Threats:
C77l_ransomware
Voidcrypt
Ouroboros
Lockbit
Proxima
Blackcat
Shadow_copies_delete_technique
Phobos
Loki_locker
Sauron
Hardbit
Enmity
Mimikatz_tool
Iobit_tool
Process_hacker_tool
Neshta
Wapomi
Wevtutil_tool
Dharma
Makop
Victims:
Small and medium businesses, Trade sector, Manufacturing sector, Services sector, State organizations
Geo:
Russia, Russian, Belarusian, Middle east
ChatGPT TTPs:
T1003.001, T1018, T1027, T1036, T1036.004, T1046, T1053.005, T1057, T1059.003, T1070.001, have more...
IOCs:
File: 8
Command: 2
Path: 3
Registry: 2
Soft:
openssl, Discord, SoftPerfect Network Scanner, Microsoft Visual Studio, MySQL, PostgreSQL, Windows Defender, bcdedit, Telegram, VKontakte, have more...
Algorithms:
aes, aes-256, rsa-2048, fnv-1a, curve25519, cbc
Win Services:
WinDefend, wuauserv
Links:
24-02-2026
One Thousand and One Nights: C77L Affiliate Program
https://www.f6.ru/blog/c77l-ransomware
Report completeness: Low
Threats:
C77l_ransomware
Voidcrypt
Ouroboros
Lockbit
Proxima
Blackcat
Shadow_copies_delete_technique
Phobos
Loki_locker
Sauron
Hardbit
Enmity
Mimikatz_tool
Iobit_tool
Process_hacker_tool
Neshta
Wapomi
Wevtutil_tool
Dharma
Makop
Victims:
Small and medium businesses, Trade sector, Manufacturing sector, Services sector, State organizations
Geo:
Russia, Russian, Belarusian, Middle east
ChatGPT TTPs:
do not use without manual checkT1003.001, T1018, T1027, T1036, T1036.004, T1046, T1053.005, T1057, T1059.003, T1070.001, have more...
IOCs:
File: 8
Command: 2
Path: 3
Registry: 2
Soft:
openssl, Discord, SoftPerfect Network Scanner, Microsoft Visual Studio, MySQL, PostgreSQL, Windows Defender, bcdedit, Telegram, VKontakte, have more...
Algorithms:
aes, aes-256, rsa-2048, fnv-1a, curve25519, cbc
Win Services:
WinDefend, wuauserv
Links:
https://github.com/f6-dfir/RansomwareF6
Тысяча и одна ночь: партнерская программа C77L - F6
CTT Report Hub
#ParsedReport #CompletenessLow 24-02-2026 One Thousand and One Nights: C77L Affiliate Program https://www.f6.ru/blog/c77l-ransomware Report completeness: Low Threats: C77l_ransomware Voidcrypt Ouroboros Lockbit Proxima Blackcat Shadow_copies_delete_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель C77L как услуга (RaaS), нацеленная на малый и средний бизнес в России и Беларуси, в основном использует методы шифрования данных для получения быстрой финансовой выгоды. Его инструментарий автоматизирует такие задачи, как отключение восстановления системы и управление настройками антивируса, и использует сложный механизм шифрования с изменяющимся идентификатором в разных версиях. Первоначальный доступ часто получают с помощью методов кражи паролей, при этом вредоносное ПО использует такие утилиты, как Mimikatz, и после выполнения передает результаты через Discord webhooks.
-----
Партнерская программа C77L, запущенная примерно в марте 2025 года, стала заметной угрозой "программы-вымогатели как услуга" (RaaS), нацеленной в первую очередь на малый и средний бизнес в России и Беларуси. Аналитики сообщают по меньшей мере о 40 атаках с использованием этой программы, которые первоначально были основаны на закрытии предыдущей программы Phobos. Филиалы C77L фокусируются в первую очередь на шифровании данных, а не на эксфильтрация, стремясь к быстрой финансовой выгоде за счет внедрения программ-вымогателей. Программа-вымогатель C77L специально нацелена на системы Windows, позволяя злоумышленникам с низкой квалификацией эффективно выполнять эти операции.
Отличительной особенностью C77L toolkit является использование файла a.bat, который автоматизирует различные задачи в процессе атаки. Это включает в себя отключение функций восстановления системы, очистку shadow copies, остановку критически важных Системные службы и управление настройками антивируса для повышения шансов на успешную атаку. Сама программа-вымогатель использует открытый мастер-ключ для шифрования сгенерированного сеансового ключа AES и оперирует идентификатором, который меняется в зависимости от используемой версии вредоносное ПО.
Программа-вымогатель C77L, в основном закодированная на C++ и замаскированная для защиты, запускается как консольное приложение, состоящее как из 32-разрядной, так и из 64-разрядной версий. Используя библиотеку OpenSSL для криптографии, он использует многопоточное шифрование, оптимизируя производительность во время атак. Механизм шифрования эволюционировал в различных версиях с интеграцией различных методов асимметричного шифрования и соглашений об именовании файлов, тем самым увеличивая сложность инструментов дешифрования. Недавние обновления C77L привели к рандомизации именования файлов, следуя тенденции, которая усложняет идентификацию в разных семействах программ-вымогателей.
Векторы атак часто включают использование методов кражи паролей с помощью таких утилит, как Mimikatz и NirSoft, чтобы получить первоначальный доступ к сети, как правило, во внепиковые часы. Проникнув внутрь, злоумышленники могут быстро повысить привилегии и внедрить программу-вымогателя на критически важные ресурсы, уделяя особое внимание базам данных и системам резервного копирования, чтобы максимизировать потенциальный ущерб.
Каждая атака C77L завершается ручным запуском программы-вымогателя, часто в сочетании со старыми, доброкачественными файловыми вирусами для облегчения проникновения. После запуска вредоносное ПО отправляет захваченные данные и результаты шифрования через веб-каналы Discord, что указывает на предпочтение знакомых средств коммуникации для повышения операционной эффективности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель C77L как услуга (RaaS), нацеленная на малый и средний бизнес в России и Беларуси, в основном использует методы шифрования данных для получения быстрой финансовой выгоды. Его инструментарий автоматизирует такие задачи, как отключение восстановления системы и управление настройками антивируса, и использует сложный механизм шифрования с изменяющимся идентификатором в разных версиях. Первоначальный доступ часто получают с помощью методов кражи паролей, при этом вредоносное ПО использует такие утилиты, как Mimikatz, и после выполнения передает результаты через Discord webhooks.
-----
Партнерская программа C77L, запущенная примерно в марте 2025 года, стала заметной угрозой "программы-вымогатели как услуга" (RaaS), нацеленной в первую очередь на малый и средний бизнес в России и Беларуси. Аналитики сообщают по меньшей мере о 40 атаках с использованием этой программы, которые первоначально были основаны на закрытии предыдущей программы Phobos. Филиалы C77L фокусируются в первую очередь на шифровании данных, а не на эксфильтрация, стремясь к быстрой финансовой выгоде за счет внедрения программ-вымогателей. Программа-вымогатель C77L специально нацелена на системы Windows, позволяя злоумышленникам с низкой квалификацией эффективно выполнять эти операции.
Отличительной особенностью C77L toolkit является использование файла a.bat, который автоматизирует различные задачи в процессе атаки. Это включает в себя отключение функций восстановления системы, очистку shadow copies, остановку критически важных Системные службы и управление настройками антивируса для повышения шансов на успешную атаку. Сама программа-вымогатель использует открытый мастер-ключ для шифрования сгенерированного сеансового ключа AES и оперирует идентификатором, который меняется в зависимости от используемой версии вредоносное ПО.
Программа-вымогатель C77L, в основном закодированная на C++ и замаскированная для защиты, запускается как консольное приложение, состоящее как из 32-разрядной, так и из 64-разрядной версий. Используя библиотеку OpenSSL для криптографии, он использует многопоточное шифрование, оптимизируя производительность во время атак. Механизм шифрования эволюционировал в различных версиях с интеграцией различных методов асимметричного шифрования и соглашений об именовании файлов, тем самым увеличивая сложность инструментов дешифрования. Недавние обновления C77L привели к рандомизации именования файлов, следуя тенденции, которая усложняет идентификацию в разных семействах программ-вымогателей.
Векторы атак часто включают использование методов кражи паролей с помощью таких утилит, как Mimikatz и NirSoft, чтобы получить первоначальный доступ к сети, как правило, во внепиковые часы. Проникнув внутрь, злоумышленники могут быстро повысить привилегии и внедрить программу-вымогателя на критически важные ресурсы, уделяя особое внимание базам данных и системам резервного копирования, чтобы максимизировать потенциальный ущерб.
Каждая атака C77L завершается ручным запуском программы-вымогателя, часто в сочетании со старыми, доброкачественными файловыми вирусами для облегчения проникновения. После запуска вредоносное ПО отправляет захваченные данные и результаты шифрования через веб-каналы Discord, что указывает на предпочтение знакомых средств коммуникации для повышения операционной эффективности.
#ParsedReport #CompletenessMedium
25-02-2026
Python Loader Evolution: Five Encryption Generations
https://www.derp.ca/python-loader-evolution/
Report completeness: Medium
Actors/Campaigns:
Serpentine_cloud
Threats:
Violet_rat
Purelogs
Purecryptor
Remcos_rat
Donut
Amsi_bypass_technique
Process_injection_technique
Mof_obfuscation_technique
Junk_code_technique
Apc_injection_technique
Dcrat
Purehvnc_tool
Asyncrat
Venomrat
Polymorphism_technique
Bloat_technique
Xworm_rat
Hvnc_tool
Victims:
Multiple sectors, General users
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1055.004, T1055.012, T1059.003, T1059.006, T1106, T1140, T1204.002, T1562.001, have more...
IOCs:
File: 17
Hash: 24
Soft:
trycloudflare
Algorithms:
md5, zip, double-xor, aes, rc4, aes-256-cbc, chaskey, cbc, base64, xor, 3des, gzip, aes-256
Functions:
print, exit, shellcode_func, execute_shellcode, Get-CimInstance, Get-Process
Win API:
WriteProcessMemory, VirtualAlloc, VirtualProtect, AmsiInitialize, AmsiScanBuffer, AmsiScanString
Win Services:
bits
Languages:
autoit, python
Platforms:
x64, x86
25-02-2026
Python Loader Evolution: Five Encryption Generations
https://www.derp.ca/python-loader-evolution/
Report completeness: Medium
Actors/Campaigns:
Serpentine_cloud
Threats:
Violet_rat
Purelogs
Purecryptor
Remcos_rat
Donut
Amsi_bypass_technique
Process_injection_technique
Mof_obfuscation_technique
Junk_code_technique
Apc_injection_technique
Dcrat
Purehvnc_tool
Asyncrat
Venomrat
Polymorphism_technique
Bloat_technique
Xworm_rat
Hvnc_tool
Victims:
Multiple sectors, General users
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1055.004, T1055.012, T1059.003, T1059.006, T1106, T1140, T1204.002, T1562.001, have more...
IOCs:
File: 17
Hash: 24
Soft:
trycloudflare
Algorithms:
md5, zip, double-xor, aes, rc4, aes-256-cbc, chaskey, cbc, base64, xor, 3des, gzip, aes-256
Functions:
print, exit, shellcode_func, execute_shellcode, Get-CimInstance, Get-Process
Win API:
WriteProcessMemory, VirtualAlloc, VirtualProtect, AmsiInitialize, AmsiScanBuffer, AmsiScanString
Win Services:
bits
Languages:
autoit, python
Platforms:
x64, x86
www.derp.ca
Python Loader Evolution: Five Encryption Generations
Five generations of Python loader encryption in a 9-RAT campaign: from plaintext RC4 to polymorphic Unicode bytecode, with Donut Chaskey CTR shellcode bridging to .NET.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-02-2026 Python Loader Evolution: Five Encryption Generations https://www.derp.ca/python-loader-evolution/ Report completeness: Medium Actors/Campaigns: Serpentine_cloud Threats: Violet_rat Purelogs Purecryptor Remcos_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания SERPENTINE#CLOUD демонстрирует сложный метод выполнения и доставки Троянская программа удаленного доступа (RAT), использующая nine RAT семейства в различных цепочках атак в течение 176 дней. Ключевые методы включают использование пакетных файлов для извлечения полезной нагрузки через туннели Cloudflare, расширенное шифрование, такое как AES-256-CBC, и методы внедрения, использующие процессы Windows, такие как explorer.exe для скрытного исполнения. Кроме того, в ходе кампании использовались сложные стратегии запутывания и меры по борьбе с криминалистический анализ, чтобы усилить закрепление и избежать обнаружения.
-----
Анализ кампании SERPENTINE#CLOUD выявляет сложный и эволюционирующий подход к выполнению и доставке Троянская программа удаленного доступа (RAT). В кампании использовались семейства Nine RAT в шести цепочках атак, используя пакетный файл для извлечения ZIP-файла из временного туннеля Cloudflare. Этот ZIP-файл включал среду выполнения на Python и сценарии загрузки, которые расшифровывали шелл-код для начальной загрузки среды выполнения на общем языке .NET (CLR) для выполнения полезных нагрузок. Кампания продемонстрировала пять различных волн эволюции загрузчиков за период в 176 дней.
В первой волне использовались две архитектуры загрузчика, использующие такие методы шифрования, как double XOR и RC4. Загрузчики выполняли шелл-код непосредственно из процесса на Python, используя при этом методы внедрения, включающие как блокнот, так и операции, связанные с созданием приостановленных процессов. Последующие волны интегрировали шифрование AES-256-CBC и передовые методы внедрения, повышая скрытность и эффективность за счет использования процессов Windows, таких как explorer.exe для early bird APC injection, которая произошла до того, как процесс выполнил свою первую инструкцию.
Значительный переход произошел в волнах 4 и 5 с внедрением обфускатора Крамера, который компилировал загрузчики в байт-код Python. Эта волна продемонстрировала возврат к более простому шифрованию RC4, но объединила его с расширенными параметрами запутывания, в результате чего размеры файлов были значительно больше по сравнению с предыдущими волнами — некоторые загрузчики Bloated превышали 20 МБ. Они также продемонстрировали более высокую сложность своих архитектур, демонстрируя детализированные настройки этапов с уникальными механизмами извлечения и исполнения.
Кампания эффективно использовала фреймворк Donut для перехода от выполнения шеллкода на Python к полезным нагрузкам .NET, включив передовые методы исправления интерфейса сканирования вредоносных программ Microsoft (AMSI), чтобы избежать обнаружения во время выполнения. Кроме того, для выборочного завершения процессов, связанных с выполнением вредоносных программ на Python, были использованы методы анти-криминалистический анализ, что повысило закрепление RAT с помощью автоматизированных сценариев, предназначенных для поддержания активности сеансов.
На протяжении всех этапов кампании поведенческие показатели включали аномальное появление explorer.exe от python.exe , конкретные методологии внедрения, которые нацелен на существующие процессы, и сложные методы управления ключами, которые обеспечивают уникальные ключи для каждого развертывания, тем самым усложняя усилия по обнаружению. В конечном счете, кампания продемонстрировала адаптивную и устойчивую методологию доставки RAT, постоянно развивающуюся для улучшения маскировки и операционной эффективности, с использованием нескольких уровней запутывания и тактики антианализа, чтобы минимизировать влияние и избежать обнаружения системой безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания SERPENTINE#CLOUD демонстрирует сложный метод выполнения и доставки Троянская программа удаленного доступа (RAT), использующая nine RAT семейства в различных цепочках атак в течение 176 дней. Ключевые методы включают использование пакетных файлов для извлечения полезной нагрузки через туннели Cloudflare, расширенное шифрование, такое как AES-256-CBC, и методы внедрения, использующие процессы Windows, такие как explorer.exe для скрытного исполнения. Кроме того, в ходе кампании использовались сложные стратегии запутывания и меры по борьбе с криминалистический анализ, чтобы усилить закрепление и избежать обнаружения.
-----
Анализ кампании SERPENTINE#CLOUD выявляет сложный и эволюционирующий подход к выполнению и доставке Троянская программа удаленного доступа (RAT). В кампании использовались семейства Nine RAT в шести цепочках атак, используя пакетный файл для извлечения ZIP-файла из временного туннеля Cloudflare. Этот ZIP-файл включал среду выполнения на Python и сценарии загрузки, которые расшифровывали шелл-код для начальной загрузки среды выполнения на общем языке .NET (CLR) для выполнения полезных нагрузок. Кампания продемонстрировала пять различных волн эволюции загрузчиков за период в 176 дней.
В первой волне использовались две архитектуры загрузчика, использующие такие методы шифрования, как double XOR и RC4. Загрузчики выполняли шелл-код непосредственно из процесса на Python, используя при этом методы внедрения, включающие как блокнот, так и операции, связанные с созданием приостановленных процессов. Последующие волны интегрировали шифрование AES-256-CBC и передовые методы внедрения, повышая скрытность и эффективность за счет использования процессов Windows, таких как explorer.exe для early bird APC injection, которая произошла до того, как процесс выполнил свою первую инструкцию.
Значительный переход произошел в волнах 4 и 5 с внедрением обфускатора Крамера, который компилировал загрузчики в байт-код Python. Эта волна продемонстрировала возврат к более простому шифрованию RC4, но объединила его с расширенными параметрами запутывания, в результате чего размеры файлов были значительно больше по сравнению с предыдущими волнами — некоторые загрузчики Bloated превышали 20 МБ. Они также продемонстрировали более высокую сложность своих архитектур, демонстрируя детализированные настройки этапов с уникальными механизмами извлечения и исполнения.
Кампания эффективно использовала фреймворк Donut для перехода от выполнения шеллкода на Python к полезным нагрузкам .NET, включив передовые методы исправления интерфейса сканирования вредоносных программ Microsoft (AMSI), чтобы избежать обнаружения во время выполнения. Кроме того, для выборочного завершения процессов, связанных с выполнением вредоносных программ на Python, были использованы методы анти-криминалистический анализ, что повысило закрепление RAT с помощью автоматизированных сценариев, предназначенных для поддержания активности сеансов.
На протяжении всех этапов кампании поведенческие показатели включали аномальное появление explorer.exe от python.exe , конкретные методологии внедрения, которые нацелен на существующие процессы, и сложные методы управления ключами, которые обеспечивают уникальные ключи для каждого развертывания, тем самым усложняя усилия по обнаружению. В конечном счете, кампания продемонстрировала адаптивную и устойчивую методологию доставки RAT, постоянно развивающуюся для улучшения маскировки и операционной эффективности, с использованием нескольких уровней запутывания и тактики антианализа, чтобы минимизировать влияние и избежать обнаружения системой безопасности.