#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleRAT — это сложная кампания вредоносного ПО, использующая среду выполнения Deno JavaScript для выполнения полезной нагрузки с помощью социальной инженерии под названием "ClickFix", когда пользователей заставляют скачать вредоносный установщик. Она использует техники обфускации и рефлексивную загрузку PE для выполнения полностью в памяти, избегая обнаружения традиционными антивирусными программами. Обладая обширным контролем, она проводит шпионские действия, крадет цифровые идентичности и активирует функции наблюдения, при этом обеспечивая сохранение через Запланированную задачу, зарегистрированную с помощью PowerShell.
-----

Кампания вредоносного ПО CastleRAT является значительным шагом вперед в тактиках киберугроз, используя среду выполнения Deno JavaScript для выполнения своего полезного нагрузки, избегая при этом обнаружения традиционными мерами безопасности. Эта сложная цепь инфекции начинается с тактики социальной инженерии, при которой жертвы направляются на скомпрометированную веб-страницу с вводящими в заблуждение сообщениями об ошибках или подсказками CAPTCHA, побуждающими их вручную выполнить команду. Этот подход, известный как "ClickFix," позволяет злоумышленникам обходить веб-фильтры безопасности, заставляя пользователей добровольно инициировать загрузку вредоносного установщика.

Атака использует Deno runtime, легитимное ПО с действительной цифровой подписью, что позволяет злоумышленникам выполнять обфусцированный JavaScript код под видом доверенного процесса. Этот первоначальный скрипт загружает переносимую среду Python, представленную как легитимный компонент, наряду с обманчиво безвредным JPEG файлом. Однако это изображение скрывает зашифрованный полезный груз, который декодируется в памяти с помощью сильно обфусцированного скрипта Python, защищенного PyArmor. Эта техника, известная как reflective PE loading, гарантирует, что вредоносное ПО не затрагивает жесткий диск, что делает его фактически невидимым для традиционных антивирусных движков, сканирующих файлы.

После полного выполнения в памяти, CastleRAT предоставляет широкий контроль над скомпрометированной системой благодаря нескольким расширенным возможностям. Он выполняет отпечатки хоста и устанавливает связь с сервером командования и управления (C2), собирая телеметрию системы, такую как имя компьютера, имя пользователя, GUID машины и публичный IP-адрес. Более того, он использует низкоуровневые Windows API для проведения шпионских операций, захватывая все нажатия клавиш и сохраняя их в скрытых файлах, таким образом способствуя продолжающейся кражи данных.

CastleRAT также проводит кражу цифровой идентичности и криптовалюты, нацеливаясь на учетные данные, куки, токены сессий различных приложений (включая Telegram и Discord), а также SSH-ключи разработчиков. Для поддержания операционной скрытности он использует техники перехвата буфера обмена, имитируя действия вставки для извлечения конфиденциальной информации. Вредоносное ПО дополнительно включает возможности аудио- и видеонаблюдения, активируя веб-камеры и микрофоны незаметно.

Чтобы обеспечить стойкость после перезагрузки систем, CastleRAT регистрирует Запланированную Задачу через PowerShell, направляя выполнение обратно к обфусцированному загрузчику Python. Этот инновационный подход иллюстрирует способность вредоносного ПО работать без традиционных двоичных файлов или видимых окон консоли, подчеркивая необходимость мониторинга поведения конечных точек для обнаружения. Как показано, традиционные методы, сосредоточенные исключительно на анализе файлов, недостаточны, что требует использованияadvanced monitoring solutions для выявления аномалий и разрыва соединений с серверами C2 до того, как произойдет эксфиляция данных.

#ParsedReport #CompletenessMedium
10-03-2026

BeatBanker: A dual-mode Android Trojan

https://securelist.com/beatbanker-miner-and-banker/119121/

Report completeness: Medium

Threats:
Beatbanker
Btmob_rat
Xmrig_miner
Craxsrat
Spynote_rat
Spysolr

Victims:
Mobile users, Financial services, Cryptocurrency users

Industry:
Government, Healthcare, Financial

Geo:
Brazil, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1056.001, T1071.001, T1115, T1123, T1125, T1401, T1406, T1407, have more...

IOCs:
Domain: 9
File: 5
Hash: 2

Soft:
Android, Google Play, Chrome, Firefox, Opera, StarLink, Telegram, WhatsApp

Crypto:
binance, monero

Algorithms:
base64, md5, xor, sha1

Functions:
CipherInputStream

Languages:
java

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BeatBanker — это продвинутый Android-троян, который в первую очередь нацелен на пользователей из Бразилии, сосредотачиваясь на краже банковских учетных данных и майнинге криптовалюты. Он распространяется через фишинг, используя поддельный сайт Google Play Store для доставки троянского приложения, выдающего себя за легитимный сервис бразильского социального обеспечения. Ключевые функции включают скрытый механизм постоянного действия с использованием не слышимого аудиоцикла, возможности манипулировать обсуждениями с популярными криптовалютными приложениями через поддельные оверлеи и возможность контролировать функции устройства через команды, отправленные с C2-сервера.
-----

BeatBanker — это продвинутый Android Trojan, нацеленный на пользователей в Бразилии, использующий многоаспектный подход, который включает как кражу банковских учетных данных, так и добычу криптовалюты. Этот вредоносный софт распространяется в первую очередь через методы фишинга, используя поддельный вебсайт, разработанный так, чтобы имитировать Google Play Store, где пользователи обманываются и загружают Trojan-приложение, замаскированное под официальное приложение национального социального страхования Бразилии. Вредоносный APK включает в себя различные компоненты, такие как банк Trojan и майнер криптовалюты.

Одной из заметных характеристик BeatBanker является его инновационный механизм устойчивости, при котором он воспроизводит практически не слышимый аудиофайл на повторе, чтобы избежать завершения системой. Эта стратегия воспроизведения аудио интегрирована с его функциями мониторинга, которые оценивают состояние батареи и использование устройства, чтобы оставаться активными. Вредоносное ПО может создавать поддельные страницы наложения, чтобы манипулировать пользователями и заставлять их предоставлять данные о банковских транзакциях, особенно во время взаимодействия с популярными криптовалютными приложениями, такими как Binance и Trust Wallet.

Начальный процесс инфекции основывается на поддельном веб-сайте, который предлагает приложение с трояном, известное как "INSS Reembolso." Приложение маскируется под легитимную услугу, но его цель состоит в том, чтобы выполнять вредоносные команды после установки. Оно использует сложную технику для выполнения своего полезного груза без создания файлов на устройстве, применяя Java Native Interface для выполнения и используя различные меры против анализа, чтобы избежать обнаружения системой безопасности.

Более того, после установки BeatBanker загружает ELF-файл, содержащий полезную нагрузку для майнинга криптовалюты, который связывается с его сервером командования и управления (C2) через службу Google Firebase Cloud Messaging. Эта механика позволяет злоумышленникам отправлять команды для получения личной информации и управления функциональными возможностями устройства, включая захват экрана и запись аудио.

Появились новые варианты BeatBanker, которые заменяют банковские функции инструментом удаленного администрирования BTMOB (RAT). Этот вариант также демонстрирует сложную устойчивость, используя аналогичные тактики, как и его предшественник, такие как поддержание слабого звукового цикла и использование возможностей мошеннического приложения для обеспечения надежного удержания на инфицированных устройствах.

Угрозы, исходящие от BeatBanker, включают в себя сочетание финансового воровства, слежки за устройствами и общего контроля над скомпрометированными устройствами. Пользователям рекомендуется проявлять осторожность, загружая приложения исключительно из официальных источников, поддерживать осведомленность о разрешениях приложений и обновлять свои системы и решения безопасности, чтобы снизить риск воздействия таких развивающихся угроз.

#ParsedReport #CompletenessHigh
10-03-2026

APT36: A Nightmare of Vibeware

https://businessinsights.bitdefender.com/apt36-nightmare-vibeware

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft)

Threats:
Cobalt_strike_tool
Havoc
Polyglot_ransomware
Warcode
Crystalshell
Lolbin_technique
Nimshellcodeloader
Creepdropper
Sheetcreep
Mailcreep
Google_rat
Gc2-sheet_tool
Supaserv
Luminousstealer
Crystallshell
Zigshell
Crystalfile_tool
Luminouscookies
Process_injection_technique
Xaitax_tool
Process_hollowing_technique
Backupspy
Zigloader
Timestomp_technique
Gatesentinel_tool
Allrounder_tool
Filecopyu_tool
Mythic_c2_tool
Xaitaz_cromeelevator_tool
Carved4_tool

Victims:
Indian government, Indian embassies, Afghanistan government, Private businesses

Industry:
Healthcare, Military, Government

Geo:
Asian, Pakistan, Pakistani, Afghanistan, Indian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1033, T1036, T1036.005, T1049, T1053.005, T1055, T1055.001, T1059, have more...

IOCs:
File: 18
Path: 14
IP: 2
Domain: 1
Email: 3
Hash: 47
Command: 1
Url: 2

Soft:
Slack, Discord, Supabase, chrome, Google Chrome, Graph API, PostgreSQL, curl, Chromium, Google Chrome, Microsoft Edge, have more...

Algorithms:
aes, base64, md5, cbc, sha256, xor, zip, des

Win API:
VirtualAllocEx, WriteProcessMemory, LoadLibrary, CreateRemoteThread, NtAllocateVirtualMemory, CreateThread, NtFreeVirtualMemory

Languages:
powershell, rust

Platforms:
x64, cross-platform

Links:
have more...
https://github.com/ytisf/theZoo
https://github.com/vxunderground/MalwareSourceCode

#ParsedReport #ExtractedSchema

Classified images:
schema: 8, chart: 1, code: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, перешла на более автоматизированную стратегию использования вредоносного ПО, управляемую ИИ, под названием "vibeware", сосредоточив внимание на нишевых языках программирования, таких как Nim, Zig и Crystal, для создания сложного, но уязвимого вредоносного ПО, его труднее обнаруживать. Группа в основном нацелена на индийские государственные структуры через фишинг, часто используя ZIP-файлы с ярлыками скриптов для первоначального доступа и применяя такие инструменты, как Warcode и CreepDropper, для выполнения и поддержания устойчивости вредоносного ПО. Их тактика включает использование платформ, таких как Discord и Google Sheets, для управления и контроля, усложняя обнаружение, при этом обеспечивая продолжение оперативной эффективности, несмотря на низкое качество отдельных компонентов вредоносного ПО.
-----

APT36, также известная как Transparent Tribe, переходит на автоматизированную стратегию вредоносного ПО, управляемую ИИ, названную "vibeware.".

Группа в основном нацелена на индийские государственные учреждения.

APT36 разрабатывает вредоносное ПО с использованием нишевых языков программирования, таких как Nim, Zig и Crystal, чтобы избежать обнаружения традиционными мерами безопасности.

Использование этих языков позволяет APT36 создавать полиглотные бинарные файлы, усложняя обнаружение злонамеренного поведения.

Vibeware характеризуется быстрой производственной линией вариаций вредоносного ПО, что приводит к коду, который может быть синтаксически верным, но логически незавершенным.

Развертывание временного вредоносного ПО часто страдает от ошибок выполнения, таких как сбой в подключении к его командной инфраструктуре из-за неправильно сопоставленных URL.

APT36 использует 'Living Off Trusted Services' (LOTS) для командования и управления, используя платформы такие как Discord, Slack и Google Sheets для сокрытия вредоносной деятельности.

Первоначальный доступ к целям обычно происходит через техники фишинга, включая эксплуатацию ZIP-архивов с ярлыками, которые выполняют скрипты для загрузки бэкдоров.

Группа развертывает несколько вариантов вредоносного ПО одновременно, чтобы обеспечить избыточность в каналах связи.

Инструменты, используемые APT36, включают Warcode, NimShellcodeLoader и CreepDropper.

Warcode — это загрузчик на языке Crystal, который выполняет более сложные вредоносные программы, такие как Havoc C2 framework.

NimShellcodeLoader используется для запуска маяков Cobalt Strike.

CreepDropper функционирует как дроппер, устанавливая файлы, замаскированные под легитимные процессы, при этом использует запланированные задачи для обеспечения постоянства.

Операционные компоненты, такие как MailCreep и SheetCreep, извлекают данные из Microsoft Graph API и управляют командами через Google Sheets.

Несмотря на отсутствие значительных технических инноваций, APT36 поддерживает развивающийся ландшафт угроз через массовое производство вредоносного ПО.

Инструменты и тактики группы используют доверенные коммуникационные инфраструктуры, адаптивные методы реагирования и техники обфускации, усложняя обнаружение и усилия по устранению.

#ParsedReport #CompletenessMedium
10-03-2026

FortiGate Edge Intrusions \| Stolen Service Accounts Lead to Rogue Workstations and Deep AD Compromise

https://www.sentinelone.com/blog/fortigate-edge-intrusions/

Report completeness: Medium

Threats:
Password_spray_technique
Meshagent_tool
Dll_sideloading_technique
Shadow_copies_delete_technique
Credential_harvesting_technique
Impacket_tool

Victims:
Enterprises using fortinet products, Organizations with active directory

Geo:
Ukraine, Kazakhstan

CVEs:
CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
- fortinet fortios (le7.0.18, le7.2.12, <7.4.11, <7.6.6)
have more...
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


ChatGPT TTPs:
do not use without manual check
T1003.002, T1003.003, T1021.002, T1041, T1046, T1053.005, T1059.001, T1070.004, T1071.001, T1078, have more...

IOCs:
Url: 2
Command: 1
IP: 4
Path: 1
Domain: 3
File: 3

Soft:
Active Directory, SoftPerfect Network Scanner, SQL Server Management Studio, Pulseway, Windows Registry, PsExec

Algorithms:
zip

Functions:
Remove-Item

Languages:
java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fortinet сообщила о высокосерьезных уязвимостях (CVE-2025-59718, CVE-2025-59719 и CVE-2026-24858) в устройствах FortiGate, которые позволяют злоумышленникам несанкционированный доступ к конфигурациям сети через эксплуатируемые механизмы единого входа (Single Sign-On, SSO). Злоумышленники использовали эти уязвимости для подключения подделанных рабочих станций к Active Directory, занимаясь получением учетных данных и развёртыванием инструментов удалённого мониторинга и управления (Remote Monitoring and Management, RMM) для поддержания доступа. Они также запускали вредоносное ПО для связи с серверами командования и управления, что привело к эксфильтрации данных конфиденциальных файлов, таких как NTDS.dit.
-----

Fortinet сообщила о высокосерьезных уязвимостях в устройствах FortiGate, CVE-2025-59718 и CVE-2025-59719, позволяющих несанкционированный доступ к конфиденциальным сетевым конфигурациям через дефектные механизмы Единого Входа (Single Sign-On, SSO). Для эксплуатации требуется отправка сгенерированных токенов SSO для административного доступа. CVE-2026-24858 предоставляет несанкционированный доступ с включенным FortiCloud SSO. Злоумышленники использовали эти уязвимости для аутентификации в сети и использования учетных записей служб для интеграции недобросовестных рабочих станций в Active Directory. Они использовали атрибут mS-DS-MachineAccountQuota, позволяя стандартные присоединения рабочих станций. Оповещения безопасности были вызваны сканированием сети и многочисленными неудачными попытками входа из Украины и Казахстана, что указывает на попытки подбора паролей. Злоумышленники развернули инструменты Удаленного Мониторинга и Удаленного Управления (Remote Monitoring and Management, RMM), а именно Pulseway и MeshAgent, из URL-адресов облачного хранилища, контролируемых злоумышленниками, настроенных для постоянства через запланированные задачи. Они изменили параметры реестра Windows, чтобы скрыть эти инструменты из списка "Программы и компоненты". Было загружено вредоносное ПО, которое установило связь с удаленными серверами командования и управления (C2), позволяя злоумышленникам создавать резервные копии снимков тени (Volume Shadow Copy) контроллеров домена и извлекать конфиденциальные файлы, включая NTDS.dit. Это включало сжатие файлов и подключение к внешним IP-инфраструктуре облака, что указывает на попытки эксфиляции данных. Эффективный логгинг и мониторинг активности FortiGate имеют решающее значение для обнаружения несанкционированного доступа и трафика вредоносного ПО, с рекомендованными системами SIEM для отслеживания аномальных поведения.

#ParsedReport #CompletenessLow
10-03-2026

NetSupport RAT: How Legitimate Tools Can Be as Damaging as Malware

https://www.darktrace.com/blog/netsupport-rat-how-legitimate-tools-can-be-as-damaging-as-malware

Report completeness: Low

Threats:
Netsupportmanager_rat
Clickfix_technique
Seo_poisoning_technique
Rhadamanthys

Victims:
Information technology, Government, Financial services, Information and communication, Manufacturing, Arts entertainment and recreation, Technology, Energy, Education

Industry:
Education, Energy, Entertainment, Government

Geo:
Middle east, Asia, Africa, Americas, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.001, T1071.001, T1105, T1189, T1204, T1219, T1566, T1583.001, have more...

IOCs:
Domain: 6
IP: 11
File: 1

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NetSupport Manager, инструмент удаленного доступа для ИТ, эксплуатируется угрозами в качестве Trojan Remote Access (RAT), что облегчает несанкционированный доступ с помощью тактик социальной инженерии, таких как метод ClickFix. Злоумышленники устанавливают его в нестандартные директории после эксплуатации, что позволяет осуществлять мониторинг, эксфильтрацию данных и связь с серверами командования и управления. Использование различных векторов атаки, таких как фишинг и загрузки с помощью драйва, указывает на растущую тенденцию в нескольких секторах, подчеркивая проблемы в обнаружении вредоносной активности, спрятанной под легитимным использованием программного обеспечения.
-----

NetSupport Manager, законный инструмент удаленного доступа IT, все чаще используется злоумышленниками, что привело к его классификации как Троян удаленного доступа (RAT). Неправомерное использование этого инструмента стало заметным вектором для несанкционированного доступа, при этом атакующие используют различные методы социальной инженерии, такие как метод ClickFix, чтобы заманить жертв к выполнению вредоносных команд PowerShell под предлогом решения вымышленных проблем или поддельной проверки CAPTCHA. Дополнительные пути атаки включают фишинговые электронные письма, поддельные обновления программного обеспечения, вредоносные веб-сайты, SEO-поisoning, malvertising и загрузки с помощью drive-by, все они нацелены на перенаправление пользователей на скомпрометированные страницы, где их обманывают, чтобы они выполнили эти вредоносные скрипты.

После успешного выполнения атаки злоумышленник устанавливает NetSupport Manager в нестандартные директории, что позволяет ему получить удаленный доступ к зараженной машине. Этот доступ позволяет мониторить действия пользователей, выполнять эксфильтрацию данных, общаться с серверами управления и контроля (C2) и поддерживать постоянное присутствие в скомпрометированной сети. Особенно стоит отметить, что было замечено поведение после эксплуатации, когда злоумышленники используют RAT для загрузки дополнительных вредоносных программ.

Последние отчеты о кибердеятельности указывают на злоупотребление NetSupport Manager в различных секторах по всему миру, с значительными случаями в таких регионах, как Европа, Ближний Восток, Африка и Северная Америка. Разнообразие пострадавших отраслей — от информационных технологий, государственного сектора, финансовых услуг до образования — подчеркивает доступность и злонамеренный потенциал этого инструмента для киберпреступников. Нацеливание на такие сектора, как образование, дополнительно указывает на то, что злоумышленники могут воспользоваться доверием, связанным с широко используемым программным обеспечением в этих средах.

Проблемы с обнаружением возникают потому, что традиционные базирующиеся на сигнатурах защиты могут упустить эволюционирующие индикаторы компрометации (IoCs), связанные с NetSupport RAT. Хотя аномальная система обнаружения от Darktrace предоставляет значительные сведения, она подчеркивает важность анализа легитимных инструментов удаленного управления для выявления любых злонамеренных действий. Идентификация C2 коммуникаций, замаскированных под легитимный трафик NetSupport Manager, иллюстрирует сложность этих атак, что подчеркивает необходимость постоянного мониторинга на предмет необычного использования программного обеспечения для значительного снижения риска несанкционированного доступа.

В заключение, хотя такие инструменты, как NetSupport Manager, выполняют законные административные функции, они стали инструментами для злонамеренной эксплуатации. Эта двуликость требует бдительности от команд безопасности, чтобы эффективно различать доброкачественные и злонамеренные действия, особенно в эпоху возросшей зависимости от удаленной работы.

#ParsedReport #CompletenessLow
10-03-2026

Behind the console: Active phishing campaign targeting AWS console credentials

https://securitylabs.datadoghq.com/articles/behind-the-console-aws-aitm-phishing-campaign/

Report completeness: Low

Threats:
Aitm_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Aws users

Geo:
Emea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1090.003, T1204.001, T1557.003, T1566.002, T1583.001, T1589.003, T1606.002

IOCs:
Domain: 35
IP: 5
Url: 5
File: 3

Soft:
twitter

Algorithms:
sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования выявили сложную фишинг-кампанию AiTM, нацеленную на учетные данные AWS Console с использованием фишинг-кита с прокси в реальном времени. Операция использует типосквотированные домены и многоступенчатые редиректы, критически захватывая учетные данные пользователей и потенциально коды двуфакторной аутентификации. Активная инфраструктура, связанная с Mullvad VPN, указывает на быстрое использование скомпрометированных аккаунтов, подчеркивая необходимость бдительности против таких продвинутых техник сбора учетных данных.
-----

Недавнее расследование в области кибербезопасности, проведенное Datadog Security Research, обнаружило активную кампанию фишинга с атакой «средним человеком» (AiTM), нацеленную на получение учетных данных AWS Console. Эта сложная кампания использует комплект для фишинга, который проксирует запросы аутентификации к законному конечному пункту входа в AWS в режиме реального времени. В результате, когда жертвы вводят свои учетные данные, комплект их проверяет и может перехватывать одноразовые пароли (OTP) перед перенаправлением пользователей. Примечательно, что потенциальный доступ к учетным записям консоли AWS после компрометации был идентифицирован в течение 20 минут после ввода учетных данных, при этом действия были отслежены до инфраструктуры, связанной с Mullvad VPN.

Операция основана на доменах с опечатками, которые имитируют легитимные наименования AWS, что повышает ее доверие и эффективность. Аналитики отметили наличие двух активных кластеров фишинговой инфраструктуры, а также третьего домена с общими метаданными регистратора. В одном зафиксированном случае злоумышленник получил доступ к скомпрометированной учетной записи AWS вскоре после проверки учетных данных пользователя.

Фишинговая кампания использует многоступенчатые редирекции, чтобы направить жертв на фишинговую страницу, исходя из электронного письма, оформленного так, чтобы напоминать AWS Organization Security Alert. Фишинговый URL использовал AWS Simple Email Service (SES) для отслеживания кликов, что усиливало способность злоумышленника оценивать успех своей кампании. Последовательность URL включала переход через несколько шагов редиректа перед тем, как достичь страницы сбора учетных данных, которая была высококачественной копией легитимной AWS Management Console.

Фишинг-кит действует как прозрачный обратный прокси, эффективно захватывая учетные данные пользователей в реальном времени и пересылая их на AWS. Он также потенциально включает возможности захвата кодов двухфакторной аутентификации. В дополнение к основной странице сбора учетных данных, фишинговый домен хостит посадочные страницы продуктов, которые еще больше имитируют законные предложения AWS, тем самым добавляя еще один уровень обмана для потенциальных жертв.

Исследователи по безопасности также обнаружили административную панель, связанную с phishing kit, доступную на TCP порту 3000, что указывает на то, что несколько участников могут использовать этот общий инструмент. Подчеркнута быстрая активность после компрометации, что предполагает, что злоумышленники могут быстро использовать украденные учетные данные через идентифицированные узлы выхода VPN.

В ответ на эту продолжающуюся угрозу, организациям следует приоритизировать мониторинг необычных событий аутентификации AWS CloudTrail, аномалий в многофакторной аутентификации и признаков повышения привилегий, которые критичны для обнаружения и смягчения последствий успешного фишинга. Последствия этой кампании подчеркивают необходимость надежных мер киберзащиты против все более продвинутых техник фишинга, нацеленных на учетные данные облачных сервисов.