#ParsedReport #CompletenessHigh
10-03-2026

GhostWeaver - a malware that lives up to its name

https://www.derp.ca/research/ghostweaver-tag124-powershell-rat/

Report completeness: High

Actors/Campaigns:
Ta582
Tag-124
Unc4108
Ta569
Ta866

Threats:
Ghostweaver
Pantera
Mintsloader
Uac_bypass_technique
Boinc_tool
Socgholish_loader
Parrot_tds_tool
Amsi_bypass_technique
Asyncrat
Nmap_tool
Formgrabber
Mitm_technique
Polymorphism_technique
Remcos_rat
Interlock
Rhysida
Oyster
Stealc
Obfus
Process_injection_technique
Violet_rat

Victims:
Enterprises, Wordpress site visitors, Windows domain controllers, General windows users

Industry:
Financial, Energy

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 19

IOCs:
File: 9
IP: 23
Hash: 17
Path: 4
Registry: 1
Command: 1

Soft:
Telegram, WordPress, Chrome, Firefox, Outlook, curl, Task Scheduler, Zimbra

Algorithms:
base64, sha256, gzip, sha512, sha1, xor, prng

Functions:
PowerShell, Get-Content, Get-MpComputerStatus

Win API:
AmsiOpenSession, VirtualProtectEx, WriteProcessMemory, ShowWindowAsync

Languages:
autoit, powershell, python, visual_basic, jscript, php, javascript

Platforms:
intel

YARA: Found

Links:
https://github.com/kirkderp/yara
have more...
https://github.com/CybercentreCanada/CCCS-Yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostWeaver — это продвинутая безфайловая PowerShell RAT, ассоциированная с группой угроз TA582, работающая через уникальные механизмы C2, использующие GZip- сжатый JSON через устаревший TLS 1.0 на порту 25658. Она использует алгоритм генерации доменов для обфускации C2, обширную операционную синхронизацию через несколько кластеров C2 и сложные методы сохранения, включая обход UAC и сбор данных с использованием Планировщика задач Windows. Вредоносное ПО избегает обнаружения, изменяя свое поведение в зависимости от конкретных антивирусных решений и загружает плагины рефлексивно из .NET DLL для выполнения задач, таких как кража учетных данных.
-----

GhostWeaver — это сложный безфайловый троян удаленного доступа (RAT) на базе PowerShell, который использует уникальный механизм командного и контрольного управления (C2), применяя GZip-сжатый JSON, передаваемый по устаревшим TLS 1.0 соединениям на порту 25658. Особенно примечателен своими скрытными операциями и техниками уклонения, включая алгоритм генерации доменов (DGA), который генерирует домены ежедневно и еженедельно, чтобы скрыть свои C2-коммуникации. Этот вредоносный код в основном доставляется через MintsLoader — систему оценки, которая различает реальные машины и виртуальные среды, гарантируя, что она нацеливается только на действительные системы.

Вредоносное ПО функционирует под эгидой группы угроз TA582, которую Mandiant называет UNC4108. Попытки деплоя GhostWeaver поддерживаются обширной инфраструктурой, состоящей из четырех кластеров C2. Текущие расследования выявили несколько узлов C2, которые активно работают с начала 2026 года. Каждый узел C2 может быстро отправлять байт-идентичные установщики постоянной загрузки на зараженные машины, демонстрируя высокую степень операционной синхронизации.

Загрузка GhostWeaver включает четыре различных режима постоянства, которые используют механизм обхода UAC, манипулируя полями блока окружения процесса (PEB) для подделки легитимных процессов Windows, тем самым уклоняясь от обнаружения программным обеспечением безопасности. Защищённая загрузка, выполняемая каждые три минуты, использует Планировщик заданий Windows, применяя обфусцированную команду PowerShell, которая собирает данные, не оставляя следов в стандартных журналах событий. Установщик для обеспечения постоянства разработан не только для установки контроля в системе, но и включает функции для противодействия обнаружению антивирусными решениями. Например, он может обнаруживать конкретные продукты AV и изменять свое поведение в зависимости от них.

Дополнительно, архитектура GhostWeaver позволяет загружать плагины рефлексивно во время выполнения из .NET DLL без оставления артефактов на диске, что улучшает его способности к скрытности. Эти плагины выполняют ряд злонамеренных действий, таких как кража учетных данных из браузеров и данных Outlook. Используемые протоколы C2 нестандартные и разработаны для уклонения от традиционных фильтров выезда, что делает обнаружение C2-трафика исключительно сложным. Вредоносное ПО также использует сложные техники разрешения DNS для обхода корпоративной фильтрации, используя закодированные в программе публичные DNS резолверы.

#ParsedReport #CompletenessLow
10-03-2026

GhostLoader Malware Spreads Through Fake OpenClaw npm Package

https://socradar.io/blog/ghostloader-malware-fake-openclaw-npm-package/

Report completeness: Low

Threats:
Ghostloader
Supply_chain_technique

Victims:
Software developers, Open source ecosystem

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1037.004, T1041, T1053.003, T1053.005, T1056.007, T1059.007, T1071.001, T1090.001, T1105, have more...

Soft:
OpenClaw, macOS, Firefox, Docker, iMessage

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Малicious npm пакет под названием @openclaw-ai/openclawai был идентифицирован как распространяющий GhostLoader, фреймворк для кражи информации, маскирующийся под инструмент для интеграции. После установки он использует скрипт postinstall для глобальной установки и запускает многоэтапный процесс заражения, собирая учетные данные пользователей через обманные подсказки. GhostLoader нацеливается на различные репозитории конфиденциальных данных, эксфильтрует собранные данные на инфраструктуру, контролируемую злоумышленниками, и поддерживает устойчивость с помощью множества техник уклонения, функционируя как Trojan удаленного доступа (RAT).
-----

Исследователи выявили вредоносный npm пакет под названием @openclaw-ai/openclawai, который распространяет GhostLoader, сложный фреймворк, предназначенный для кражи информации. Этот пакет ложным образом утверждает, что он является установщиком командной строки для интеграционного инструмента под названием OpenClaw. После установки он выполняет скрипт postinstall, который устанавливает его глобально в системе, обеспечивая его доступность в системном PATH и позволяя ему маскироваться под легитимный инструмент командной строки.

Первый этап атаки включает в себя запуск вредоносного ПО, инициирующего многоступенчатый процесс инфицирования, который приводит к развертыванию GhostLoader. Вредоносное ПО использует обманные тактики, такие как имитация запроса пароля системы для сбора учетных данных пользователя, которые затем проверяются по механизму аутентификации системы. Эти украденные учетные данные позволяют вредоносному ПО получать доступ к конфиденциальным данным системы, включая macOS Keychain, ключи шифрования браузера, пароли и другую личную информацию, хранящуюся в браузерах и приложениях.

Возможности GhostLoader по краже данных охватывают широкий спектр чувствительной информации. Это вредоносное ПО нацелено на различные хранилища учетных данных, данные браузера, криптовалютные кошельки, файлы конфигурации, связанные с облачными службами (например, AWS, Azure), и, что важно, инструменты разработки ИИ. После того как данные были собраны, они сжимаются и эксфильтруются на инфраструктуру, контролируемую атакующими, с использованием нескольких каналов, что обеспечивает атакающим постоянный доступ к украденной информации.

Устойчивость GhostLoader достигается через различные техники, включая размещение себя в скрытых директориях, добавление команд в конфигурационные файлы оболочки и планирование задач для перезапуска. Это позволяет вредоносному ПО функционировать как Trojan для удаленного доступа (RAT), позволяя злоумышленникам выполнять команды, загружать дополнительные вредоносные загрузки или устанавливать прокси-соединения через скомпрометированную систему.

Разработчикам рекомендуется оставаться бдительными против таких атак на цепочку поставок, внедряя защитные меры при работе с пакетами npm. Они должны проверять источники пакетов, чтобы избежать поддельных записей, тщательно анализировать пакеты, содержащие постустановочные сценарии, ограничивать привилегии установки для минимизации воздействия, использовать инструменты безопасности для обнаружения подозрительного поведения и следить за любыми учетными данными, к которым получают доступ потенциально вредоносные пакеты. Постоянная эволюция угроз цепочки поставок требует комбинации безопасных практик разработки и внешней разведки угроз, чтобы усилить защиту от атак, таких как GhostLoader.

#ParsedReport #CompletenessMedium
10-03-2026

Amos Stealer malext variant spread in a global malvertising campaign using free text-sharing websites

https://gi7w0rm.medium.com/amos-stealer-malext-variant-spread-in-a-global-malvertising-campaign-using-free-text-sharing-4d240e11d7e2

Report completeness: Medium

Threats:
Amos_stealer
Clickfix_technique
Traffer_technique
Odyssey_stealer

Victims:
Macos users, Cryptocurrency users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1056.002, T1057, T1059.002, T1059.004, T1070.004, T1105, T1140, have more...

IOCs:
Domain: 1
File: 10
IP: 1
Url: 1

Soft:
MacOS, curl, MacOS Gatekeeper, sudo, QEMU, Claude, Chrome, Telegram, Firefox, Waterfox, have more...

Wallets:
metamask, tonkeeper, ledger_wallet, trezor

Crypto:
binance

Algorithms:
xor, gzip, base64, zip, caesar_cipher

Functions:
chr, system

Languages:
applescript

Platforms:
intel, arm, apple

Links:
https://github.com/Gi7w0rm/Blogposts/blob/main/AMOSStealerMalext/TargetedExtensions.txt
have more...
https://github.com/Gi7w0rm/Blogposts/blob/main/AMOSStealerMalext/IoC\_AMOSCampaign.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания по злонамеренной рекламе, нацеленная на пользователей MacOS, которая использует вариант Amos Stealer, известный как "malext", через обманчивые рекламу, направляющую пользователей на загрузку вредоносных бинарных файлов. Вредоносное ПО обходит Gatekeeper MacOS и действует как похититель информации, собирая сенситивные данные, такие как пароли и токены сессий из браузеров и крипто-приложений, одновременно эксфильтрируя данные на сервер командования и управления по адресу malext.com. Используя передовые технологии уклонения, вредоносное ПО поддерживает постоянство через LaunchDaemons и нацелено на компрометацию криптовалютных приложений.
-----

Недавно была выявлена малвертизинговая кампания, нацеленная на пользователей MacOS с использованием техники, которая использует скомпрометированные аккаунты Google Ads и бесплатные платформы для обмена текстом. Указанное вредоносное ПО является вариантом Amos Stealer, называемым вариантом "malext". Эта кампания развертывает вредоносное ПО через обманчивые объявления, которые утверждают, что предлагают решения для распространенных проблем MacOS, что приводит к загрузке и выполнению вредоносных бинарных файлов.

Первоначальные расследования выявили, что кампании использовали простые шаблоны ловушек, часто инструктируя пользователей копировать команды в их терминал. После выполнения эти команды инициируют серию запросов curl, которые загружают полезную нагрузку вредоносного ПО. Примечательно, что создатели вредоносного ПО использовали метод обхода Gatekeeper в MacOS, удаляя атрибут карантина из загруженного бинарного файла, тем самым избегая предупреждений для пользователей.

Сам по себе малвер функционирует как кража информации, собирая конфиденциальные данные, такие как пароли и токены сессий из браузеров и приложений, таких как Telegram и Apple Notes. Он захватывает учетные данные, либо используя ранее кэшированный пароль, либо применяя тактики социальной инженерии, чтобы побудить пользователя ввести свой системный пароль. Если это удается, малвер сохраняет эти учетные данные для последующего использования и начинает эксфильтрацию данных обратно на свои серверы командования и управления (C2), идентифицированные доменом "malext.com." Процесс эксфильтрации использует curl для отправки собранной информации в сжатых архивах, гарантируя, что малвер постоянно пытается подключиться к C2, если начальные попытки терпят неудачу.

Вариант Amos Stealer демонстрирует сложные техники уклонения, такие как проверка виртуальных машин и песочниц перед выполнением своего кода. Это достигается с помощью скрипта, который проверяет конфигурацию и аппаратные детали системы. Более того, это вредоносное ПО нацелено на установление скрытого доступа к конкретным криптовалютным приложениям, в частности, целясь в Ledger Wallet и Trezor Suite, заменяя их бинарные файлы на вредоносные версии после получения пароля пользователя.

Устойчивость поддерживается через LaunchDaemons, запланировав запуск вредоносного ПО при старте системы. Конечная цель операции, по-видимому, заключается в максимизации эксфильтрации данных, включая обширный сбор информации из различных приложений, с особым акцентом на инструменты, связанные с криптовалютой. Информация, предоставленная этой кампанией, указывает на высокий уровень планирования, учитывая масштаб её операций и меры, принятые для того, чтобы оставаться вне поля зрения традиционных механизмов безопасности.

#ParsedReport #CompletenessHigh
10-03-2026

When Trusted Websites Turn Malicious: WordPress Compromises Advance Global Stealer Operation

https://www.rapid7.com/blog/post/tr-malicious-websites-wordpress-compromise-advances-global-stealer-operation

Report completeness: High

Threats:
Clickfix_technique
Donut
Doubledonut
Vidar_stealer
Dead_drop_technique
Vodkastealer
Process_injection_technique
Antidebugging_technique
Donut_loader
Lumma_stealer
Stealc
Purelogs
Rhadamanthys
Aurastealer
Chromelevator_tool
Password_spray_technique
Filefix_technique

Victims:
Wordpress websites, News media, Local business websites, Political campaign website, Individual users, Organizations

Industry:
Healthcare

Geo:
Russian, Norwegian, India, Czech, Switzerland, Danish, Latvian, Slovakia, Vietnamese, German, Ukrainian, Russia, Swedish, French, Australia, Germany, Czechia, Romanian, Italian, Brazil, Bulgarian, Canada, Portuguese, Dutch, Turkish, Indonesian, Australian, Belarus, Serbian, Hungarian, Polish, Israel, Spanish, Singapore

TTPs:
Tactics: 3
Technics: 30

IOCs:
Domain: 41
Command: 2
File: 53
Url: 67
IP: 9
Registry: 6
Hash: 23

Soft:
WordPress, Steam, Twitter, phantomjs\|curl, Chrome, Google Chrome, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium, have more...

Wallets:
electrum, jaxx, guarda_wallet, ledger_wallet, trezor, coinomi

Crypto:
bitcoin, litecoin

Algorithms:
rc4, 3des, aes-256-cbc, base64, chacha20, zip, sha256

Functions:
Write-Host, Write-Error, function

Win API:
WinMain, VirtualAlloc, CreateThread, GetCurrentProcess, SeDebugPrivilege, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, IsDebuggerPresent, CheckRemoteDebuggerPresent, have more...

Win Services:
vgauthservice

Languages:
powershell, javascript, python, java, php

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/rapid7/Rapid7-Labs/blob/main/Misc/ClickFix\_DoubleDonut\_Deobfuscated\_Payload.js.txt
https://github.com/rapid7/Rapid7-Labs/blob/main/Misc/ClickFix\_DoubleDonut\_Deobfuscated\_Injector.js.txt
have more...

#ParsedReport #CompletenessMedium
10-03-2026

Exfiltration in Plain Sight: SafePays OneDrive Play

https://www.sygnia.co/blog/safepay-onedrive-exfiltration-technique/

Report completeness: Medium

Threats:
Safepay
Sharpshares_tool
Sharefinder_tool
Netscan_tool
Snaffler_tool
Lolbin_technique
Credential_dumping_technique

Victims:
Global organizations

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 11
IP: 10
Registry: 1
Path: 13

Soft:
Microsoft OneDrive, active directory, Hyper-V, ESXI, Chrome

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей SafePay усилила свои операции с сентября 2024 года, заметно используя Microsoft OneDrive для эксфильтрации данных во время атаки с двойным вымогательством в 2025 году. Они получили доступ через неправильно настроенный FortiGate firewall и скомпрометированные учетные данные, что способствовало быстрому повышению привилегий до администратора домена. После применения техник "living-off-the-land" для снижения обнаружения они выполнили свой payload программ-вымогателей, locker.dll, через regsvr32.exe, зашифровав более 60 серверов, маскируя свои действия по эксфильтрации данных под легитимный HTTPS-трафик.
-----

SafePay — это новая группа программ-вымогателей, которая значительно усилила свою деятельность с сентября 2024 года, сосредоточившись на проведении быстрых, высоконапорных кампаний по вымогательству. В 2025 году Sygnia расследовала заметную атаку двойного вымогательства, приписываемую SafePay, которая использовала уникальную тактику с привлечением Microsoft OneDrive для экстракции данных. Этот подход является отклонением от ранее наблюдаемых тактик группы и подчеркивает их продолжающуюся эволюцию в стратегиях атак.

Атака началась с того, что SafePay воспользовался неправильно настроенным брандмауэром FortiGate и использовал компрометированные администраторские учетные данные для получения первоначального доступа через SSL VPN организации. После этого они быстро повысили свои привилегии, получив доступ администратора домена всего за несколько часов. Вторжение характеризовалось структурированными разведывательными усилиями, включая использование различных легитимных утилит Windows и сценариев для обнаружения и перечисления, что помогло им определить ценные цели для бокового перемещения.

Во время атаки SafePay удалось оставаться в тени, используя техники living-off-the-land. Это включало использование доверенных бинарных файлов для минимизации любых цифровых следов и выполнение скриптов, которые удаляли следы их деятельности после использования. Ключевым аспектом их операции был переход на Microsoft OneDrive для эксфильтрации данных; традиционные методы были сорваны, когда контроле брандмауэра заблокировали FTP-трафик. Они аутентифицировались в арендуемой Microsoft 365, контроль за которой осуществлял злоумышленник, и использовали клиент синхронизации OneDrive, установленный на скомпрометированном сервере, чтобы подготовить и передать украденные данные через легитимные HTTPS-соединения, эффективно маскируя свои злонамеренные действия под обычный трафик.

После экстракции данных SafePay развернули свой вредоносный код-вымогатель, идентифицированный как locker.dll, выполнив его через regsvr32.exe. Этот метод обеспечивал устойчивость, используя механизм на основе реестра, который гарантировал, что вредоносный код запускался при входе пользователя в систему, что позволяло удалительно шифровать файлы по всей сети. Вредоносный код-вымогатель зашифровал более 60 серверов, в основном нацеливаясь на критическую инфраструктуру, и атака соответствовала модели двойного вымогательства, когда данные были экстрагированы для использования против жертвы перед началом шифрования.

Последствия тактики SafePay, в частности использование OneDrive для эксфильтрации, представляют собой значительную проблему для традиционных мер безопасности. Их способность смешивать злонамеренные действия с легитимным сетевым трафиком Microsoft усложняет системы обнаружения, которые обычно полагаются на наблюдение аномального поведения, связанного с ненадежными методами передачи данных. Эта развивающаяся методология иллюстрирует тревожную тенденцию в операциях с программами-похитителями данных, что требует переоценки оборонительных стратегий для борьбы с этими сложными векторами атак.

#ParsedReport #CompletenessLow
10-03-2026

xygeni-action Compromised: C2 Reverse Shell Backdoor Injected via Tag Poisoning

https://www.stepsecurity.io/blog/xygeni-action-compromised-c2-reverse-shell-backdoor-injected-via-tag-poisoning

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Software supply chain, Github actions users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1059.004, T1071.001, T1078, T1105, T1195.003, T1199

IOCs:
IP: 1
Email: 1
File: 7
Domain: 1
Hash: 1

Soft:
xygeni-action, curl, Dependabot

Algorithms:
base64

Languages:
python

Links:
https://github.com/xygeni/xygeni-action/commit/4bf1d4e19ad81a3e8d4063755ae0f482dd3baf12
have more...
https://github.com/xygeni/xygeni-action

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
3 марта 2026 года атака на цепочку поставок скомпрометировала GitHub Action xygeni/xygeni-action, используемый более чем в 137 репозиториях, через внедренный C2 обратный шелл-бэкдор с помощью измененных изменяемых тегов. Бэкдор, устойчивый и незаметный, регистрируется на удаленном сервере (91.214.78.178), собирая информацию о системе и опрашивая команды, избегая обнаружения с помощью отключения проверки TLS. Атака использовала скомпрометированные учетные данные поддерживаетелей, подчеркивая риски, связанные с изменяемыми тегами, и потенциальную кражу учетных данных, а не внешний актор угроз.
-----

3 марта 2026 года значительная атака на цепочку поставок была нацелена на xygeni/xygeni-action, действие GitHub, широко используемое в более чем 137 репозиториях. Нападающий скомпрометировал учетные данные поддерживающего, чтобы внедрить командный и контрольный (C2) обратный шелл-бэкдор в кодовую базу. Атака включала три злонамеренные запросы на слияние (PR), которые несли одинаковый полезный груз, замаскированный под невинным заголовком, касающимся «телеметрии версии сканера». Хотя PR были закрыты без слияния, нападающему удалось изменить изменяемый тег v5, чтобы направить на скомпрометированный коммит (4bf1d4e), содержащий бэкдор, который все еще активен.

Инъецированный бэкдор работает как полный C2 имплант, регистрируясь на удалённом сервере, расположенном по адресу 91.214.78.178. Он собирает имя хоста GitHub runner, имя пользователя и версию ОС, и опрашивает команды каждые несколько секунд. Когда активен, бэкдор выполняет команды, полученные от C2 сервера, и отправляет обратно выходные данные, закодированные в base64, оставаясь при этом незамеченным в ходе обычных рабочих операций. Бэкдор также отключает проверку TLS, чтобы избежать ошибок, связанных с сертификатами, и использует заголовок аутентификации для защиты доступа к C2 конечной точке.

Атака иллюстрирует риск, связанный с изменяемыми тегами в GitHub Actions, которые могут быть изменены без ведома пользователя или дополнительных PR-слияний, усложняя традиционные меры безопасности, такие как мониторинг версий и процессы ревью. Этот метод позволяет выполнять бэкдор просто любому репозиторию, ссылающемуся на скомпрометированный тег, сохраняя видимость безопасной среды.

Атака не была результатом действий внешнего угрозного актера; она была осуществлена с использованием компрометированных учетных данных или токенов от внутренних администраторов Xygeni. Быстрое выполнение злонамеренных PR с использованием разных учетных записей подчеркивает возможность кражи учетных данных или фишинга, а не внутренней угрозы.

После инцидента команда Xygeni оперативно предприняла меры для смягчения последствий, но оставила тег v5 скомпрометированным на момент отчета. Эта ситуация длительно подвергает любую непрерывную интеграцию/непрерывное развертывание (CI/CD), использующую ссылку xygeni/xygeni-action@v5, воздействию C2 импланта. Лучшие практики для смягчения подобных уязвимостей включают фиксацию действий по полным коммитам SHAs, а не использование изменяемых тегов, использование контролируемых и поддерживаемых действий для уменьшения уязвимости, и активный мониторинг сетевого трафика от CI-исполнителей для обнаружения несанкционированных исходящих коммуникаций. Инцидент служит предостережением относительно угроз, исходящих от манипулированных тегов в среде CI/CD, и подчеркивает необходимость надежных мер безопасности для предотвращения компрометаций в цепочке поставок.

#ParsedReport #CompletenessMedium
10-03-2026

Iranian MOIS Actors & the Cyber Crime Connection

https://research.checkpoint.com/2026/iranian-mois-actors-the-cyber-crime-connection/

Report completeness: Medium

Actors/Campaigns:
Void_manticore (motivation: financially_motivated)
Handala (motivation: financially_motivated)
Muddywater (motivation: cyber_espionage)
Handala-hacking-team
Qilin

Threats:
Rhadamanthys
Tsundere
Dindoor
Fakeset
Qilin_ransomware
Rclone_tool
Castleloader
Stagecomp

Victims:
Government sector, Private sector, Telecommunications sector, Defense sector, Energy sector, Hospitals, Israeli hospitals, Albania targets, Israeli targets

Industry:
Government, E-commerce, Telco, Healthcare, Energy

Geo:
Iranian, Tehran, Middle east, Israeli, Swedish, Albania, Sweden, Israel, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.007, T1553.002, T1555.003, T1566, T1567.002

IOCs:
IP: 1
Hash: 15

Soft:
Node.js

Wallets:
wassabi

Algorithms:
sha256

Languages:
typescript, javascript

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибер-актеры, связанные с MOIS, все чаще применяют криминальные методологии, напрямую используя коммерчески доступное вредоносное ПО и криминальные сети, как это видно на примере групп MuddyWater и Void Manticore. Void Manticore использует инфостилер Rhadamanthys наряду с собственным шифровальщиком в целевых фишинговых кампаниях против израильских объектов, в то время как MuddyWater был связан с Tsundere Botnet и Castle Loader, демонстрируя переход к более сложным тактикам. Слияние операций, спонсируемых государством, с киберпреступностью усложняет атрибуцию и подчеркивает их развивающиеся операционные возможности.
-----

Иранские активисты, связанные с Министерством разведки и безопасности (MOIS), все больше интегрируются в экосистему киберпреступности, переходя от простого подражания преступным методам к прямому использованию преступных инструментов и инфраструктуры. Этот сдвиг exemplified группами, такими как MuddyWater и Void Manticore, которые начали использовать коммерчески доступное вредоносное ПО и использовать установленные преступные сети для своих операций. Исторически, иранская киберактивность часто маскировала государственные намерения под предлогом киберпреступности, но последние тенденции указывают на более прямую совместную работу с киберпреступниками, улучшая их оперативные возможности, одновременно затрудняя усилия по атрибуции.

Void Manticore, также известная своими тактиками хак-энд-лик, приняла личность "Handala" и применила различные формы вредоносного ПО, включая инфостилер Rhadamanthys, известный своими частыми обновлениями и сложным дизайном. Этот инфостилер был сочетан с пользовательским малвари для затирания в фишинговых кампаниях, нацеленных на израильские организации, что демонстрирует стратегическое сочетание оперативных тактик.

С другой стороны, MuddyWater была связана с несколькими киберпреступными группами, что еще больше усложняет атрибуцию её действий. Эта группа, известная своими шпионскими усилиями и постоянными кампаниями, нацеленными на сущности на Ближнем Востоке, была связана с Tsundere Botnet, который работает через Node.js и JavaScript-скрипты. Недавние анализы выявили вариант под названием DinDoor, где было замечено переключение на использование Deno, что указывает на адаптацию техник для повышения скрытности и эффективности.

Более того, MuddyWater также был ассоциирован с вредоносным ПО Castle Loader, инструментом, который функционирует как загрузчик для различных нагрузок через общий набор сертификатов кода. Эта ассоциация может не означать прямую аффилиацию; скорее, она указывает на общий метод приобретения вредоносных инструментов, который облегчает сокрытие ответственности.

Заметный случай, иллюстрирующий эти динамики, произошел в октябре 2025 года, когда кибератака была нацелена на израильский Шамирский медицинский центр, первоначально воспринятая как инцидент с программой-вымогателем. Хотя считалось, что в этом случае участвует группа Qilin, известная своими операциями по программам-вымогателям как услуге, более поздние оценки указывали на то, что реальными исполнителями атаки были иранские аффилиаты. Этот инцидент подчеркивает эффективное использование криминального брендинга программ-вымогателей связанными с Ираном акторами, демонстрируя как оперативные преимущества, так и стратегическое согласование с государственными целями.

Суть в том, что вовлечение связанных с MOIS акторов в экосистему киберпреступности значительно развилось. Они уже не просто маскируются под преступников, но активно используют преступные методологии, такие как вредоносное ПО, программы-вымогатели и модели типа аффилиатов, чтобы продвигать геополитические амбиции, одновременно улучшая свои киберспособности. Эта интеграция предоставляет значительные операционные преимущества и добавляет уровни сложности в отслеживании и атрибуции злонамеренной кибердеятельности обратно к иранским государственным актерам.