#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Статья исследует продвинутые методы создания рефлексивных загрузчиков, которые избегают систем обнаружения и реагирования на конечных точках (EDR), подчеркивая использование фреймворка Cobalt Strike и линкера Crystal Palace для создания независимого от положения кода. В ней рассматриваются различные стратегии уклонения, включая Dynamic Function Resolution и User-Defined Reflective Loader, которые позволяют злоумышленникам эффективно управлятьpayloadами, минимизируя риски обнаружения. Ключевые методы включают модификации генерации payloadов, управление памятью и адаптацию к ответам EDR для скрытного выполнения.
-----

Блог углубляется в технические тонкости коммуникационных и командных управляющих (C2) полезных нагрузок, сосредоточив внимание на том, как построить отражающий загрузчик, который может обойти усовершенствованные системы обнаружения и реагирования на конечных точках (EDR). Основание строится на архитектуре C2 имплантатов, особенно с использованием Cobalt Strike, но концепции применимы ко всем различным C2 фреймворкам. Ключевым элементом, обсуждаемым в статье, является компоновщик Crystal Palace, который позволяет создавать код, не зависимый от позиции (PIC). Эта возможность позволяет разработчикам извлекать и инжектировать код без введения новых перемещений, которые могут быть отмечены механизмами безопасности.

Crystal Palace упрощает модульное создание исполняемых компонентов, позволяя интеграцию различных техник уклонения, таких как подделка стека вызовов и перехват API, при этом сохраняя гибкость. Загрузчик использует стратегию, называемую Dynamic Function Resolution (DFR), для управления вызовами API, избегая проблематичных relocations строк. Архитектура позволяет по мере необходимости менять несколько техник, улучшая адаптивность без необходимости в исчерпывающем обратном проектировании всей системы.

Значительная часть поста подчеркивает процесс генерации полезной нагрузки, особенно необходимость удаления предшествующих отражающих загрузчиков для создания «сырых» DLL. Изменения в версии Cobalt Strike 4.9 изменили поведенческий стандарт отражающей загрузки, требуя установить явные условия для чистой генерации DLL. Конечная цель — доставить полезную нагрузку таким образом, чтобы минимизировать риски статического и динамического анализа, особенно через сохранение метода инъекции и исполнения.

Блог подчеркивает важность управления выделением памяти, чтобы гарантировать, что DLL не оставляют следов, которые могут быть обнаружены EDR. Аналитический фокус смещается на продвинутые техники, такие как обход Control Flow Guard (CFG) путем избегания традиционных методов загрузки, и подчеркивает критическое управление регистрами сборки для работы с самодостаточным, независимым от позиции выполнением полезной нагрузки. Дополнительно обсуждается стратегическое маскирование сна как мера для предотвращения сканирования кодовых секций во время бездействия.

Техники Reflective DLL и Shellcode Reflective DLL Injection (sRDI) рассматриваются как эволюционные шаги к более модульному и гибкому управлению полезной нагрузкой. Введение User-Defined Reflective Loader (UDRL) дополнительно позволяет операторам настраивать каждый аспект процесса рефлексивной загрузки. Власти могут значительно адаптировать свои стратегии полезной нагрузки, обеспечивая, чтобы каждая инъекция была как точной, так и незаметной, снова подчеркивая непрерывную борьбу между threat actors и системами безопасности.

Анализ завершается выводами о важности управления подписями полезной нагрузки и динамической адаптации к ответам EDR, подчеркивая, что эффективное уклонение означает понимание всей поверхности атаки и принятие обоснованных решений после выполнения. Акцент делается на технических особенностях тактики уклонения, а не на их операционных последствиях, подчеркивая продолжающуюся сложность защиты в области кибербезопасности.

#ParsedReport #CompletenessHigh
16-03-2026

Southeast Asia Region-specific Iran-israel War Threat Intelligence

https://cdn.cloudsek.com/cloudsek-blog-pdfs/sea.pdf

Report completeness: High

Actors/Campaigns:
Apt33
Oilrig (motivation: cyber_espionage)
Charming_kitten (motivation: cyber_espionage)
Apt42
Muddywater (motivation: cyber_espionage)
Indohaxsec (motivation: cyber_espionage, hacktivism)
Red_delta (motivation: cyber_espionage, hacktivism)
Darkpink (motivation: cyber_espionage, hacktivism)
Winnti (motivation: cyber_espionage, hacktivism)
Toddycat (motivation: cyber_espionage, hacktivism)
Mr_hamza
Cyberav3nger (motivation: hacktivism)
Unc3886 (motivation: cyber_espionage)
Noname057 (motivation: cyber_espionage, hacktivism)
Earth_kurma (motivation: cyber_espionage, hacktivism)
Handala-hacking-team (motivation: hacktivism)
Irgc (motivation: hacktivism)
Opsingapore

Threats:
Supply_chain_technique
Sidetwist
Menorah
Spear-phishing_technique
Dns_tunneling_technique
Stealhook_tool
Quadagent
Mimikatz_tool
Lazagne_tool
Typosquatting_technique
Powerstar
Charmpower
Bellaciao
Noknok
Sqlmap_tool
Disttrack
Stonedrill_wiper
Turnedup
Nanocore_rat
Dll_sideloading_technique
Powgoop
Lolbin_technique
Powerstats
Koadic_tool
Chisel_tool
Ngrok_tool
Plink_tool
Handala_wiper
Credential_harvesting_technique

Victims:
Energy sector, Telecom sector, Government sector, Financial institutions, Defense contractors, Us military installations and bases in southeast asia, Ot and scada operators, Water utilities, Power utilities, Industrial control system operators, have more...

Industry:
Ngo, Logistic, Ics, Petroleum, Telco, Maritime, Government, Military, Financial, Critical_infrastructure, Aerospace, Energy

Geo:
London, Thailand, Tehran, Malaysia, Vietnam, Philippines, Russian, Apac, Kuwait, China, Qatar, Vietnamese, Palestinian, United kingdom, Bahrain, Indonesia, Asian, Singapore, Iran, Philippine, Cambodia, Israel, India, Iranian, Chinese, Malaysian, Asia, Israeli, Indonesian

CVEs:
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...

TTPs:
Tactics: 3
Technics: 26

IOCs:
Domain: 49
File: 8
Command: 1
Hash: 44
IP: 56
Url: 1

Soft:
WordPress, macOS, Telegram, NSIS installer, outlook, chrome, firefox

Algorithms:
sha256, base64

Functions:
Bot, Internet-Facing, Telegram

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберактивности, спонсируемые государством Иран, все чаще нацелены на организации, связанные с США, в Юго-Восточной Азии, особенно в энергетическом, финансовом и телекоммуникационном секторах, используя такие группы, как APT33, APT34, APT35, APT42 и MuddyWater. Геополитические напряженности привели к потенциальным ответным действиям, которые могут включать хакерские атаки, с использованием таких техник, как фишинг и развертывание вредоносного ПО (например, SideTwist Trojan, Menorah RAT). Уязвимости Юго-Восточной Азии усиливаются из-за её геополитического ландшафта, значительного военного присутствия США и готовности местных хактивистских групп к операциям.
-----

Геополитический конфликт, вытекающий из военного взаимодействия США и Израиля с Ираном, имеет непосредственные и глубокие последствия для кибербезопасности в Юго-Восточной Азии (SEA). Центральным элементом этого является переход Ирана к наступательным киберактивным операциям в качестве первичного механизма ответных действий против воспринимаемых противников. Группы, поддерживаемые государством Иран, такие как APT33, APT34, APT35, APT42 и MuddyWater, готовы использовать заранее подготовленную инфраструктуру для нацеливания на предприятия, связанные с США в регионе, особенно в секторах энергетики, финансовых учреждениях и телекоммуникационных провайдерах, которые значительно представлены в SEA.

Некоторые ключевые факторы риска ставят страны Юго-Восточной Азии в повышенный риск. Во-первых, в таких местах, как Филиппины, имеется значительное военное присутствие США, где базы могут стать потенциальными целями для кибернетической и физической мести Ирана. Кроме того, социополитическая динамика в таких странах, как Малайзия и Индонезия, которые имеют большое мусульманское население, создает потенциальные возможности для внутренних беспорядков и радикализации, вызванной атаками на иранские религиозные или гражданские объекты. Операционная готовность хактивистских групп, таких как INDOHAXSEC как в Малайзии, так и в Индонезии, демонстрирует эту растущую угрозу.

Энергетические и финансовые системы в регионе особенно уязвимы. Угрозы Ирана закрыть Ормузский пролив, через который проходит значительная часть мировых поставок нефти, могут значительно повлиять на экономическую стабильность в Юго-Восточной Азии, что может привести к резкому росту цен на нефть и серьезным экономическим последствиям. Роль Сингапура как финансового центра, глубоко переплетенного с иранскими теневыми банковскими сетями, дополнительно подвержена санкциям и атакам со стороны иранских APT.

В ответ на этот растущий ландшафт угроз организации призываются внедрять проактивные меры, которые соответствуют тактикам, техникам и процедурам (TTP) идентифицированных угроза акторов. Особенно стоит отметить, что иранские группы используют такие техники, как фишинг, эксплуатация сторонних приложений и развертывание вредоносного ПО, такого как SideTwist Trojan и Menorah RAT, для достижения своих целей. Мониторинг необычного выполнения PowerShell, несанкционированных исходящих соединений и внедрение строгих политик условного доступа имеют vital значение для укрепления защиты от этих угроз.

По мере развития ситуации поддержание активного мониторинга и обеспечение готовности к потенциальным кибервторжениям являются критически важными. Это включает в себя бдительность против попыток фишинга, использующих нарративы конфликта, аудит систем, открытых в интернет, на наличие уязвимостей в безопасности и перекрестную проверку протоколов безопасности на соответствие новым TTP, используемым иранскими угрозами. Организациям в Юго-Восточной Азии необходимо принять надежные меры безопасности, чтобы защититься от того, что больше не является отдаленной угрозой, а представляет собой актуальную реальность, усугубляемую продолжающейся геополитической напряженностью.

#ParsedReport #CompletenessLow
12-03-2026

CO-PILOT, DISENGAGE AUTOPHISH: The New Phishing Surface Hiding Inside AI Email Summaries

https://permiso.io/blog/copilot-prompt-injection-ai-email-phishing

Report completeness: Low

Threats:
Cross_prompt_injection_technique

Victims:
Enterprise users, Microsoft 365 users

CVEs:
CVE-2026-26133 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1213, T1566

Soft:
Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования систем Copilot компании Microsoft выявили уязвимости в инструментах суммирования электронных писем, подверженных эксплуатации с помощью техники, называемой cross prompt injection (XPIA), которая позволяет злоумышленникам внедрять вредоносный текст в электронные письма. Это может генерировать правдоподобные фишинговые сообщения, которые эксплуатируют доверие пользователей к результатам ИИ, способствуя фишингу, основанному на моделях. Потенциал этого шаблона атаки для масштабирования создает большие риски для платформ Microsoft 365, что подчеркивает слабости в обработке и отображении ссылок в различных клиентских средах, как было установлено в недавних отчетах CVE-2026-26133.
-----

Недавние расследования систем Copilot компании Microsoft указали на уязвимости в инструментах суммирования электронной почты, которые могут быть использованы для фишинговых атак. Конкретная техника, идентифицированная как cross prompt injection (XPIA), позволяет злоумышленникам добавлять вредоносный текст в электронные письма, что может повлиять на выходные данные Copilot. Эта манипуляция может производить, по всей видимости, достоверные сообщения "предупреждения о безопасности", которые интегрируются в интерфейс сводки Copilot, тем самым используя врождённое доверие пользователей к контенту, сгенерированному ИИ.

Исследование подчеркнуло различные поведения Copilot в разных интерфейсах, включая Outlook (с использованием кнопки "Summarize"), панель Copilot и Teams. Функция суммирования в Outlook продемонстрировала потенциал обнаружения и блокировки подозрительного контента в некоторых случаях. Однако панель Copilot часто подчинялась скрытым инструкциям, демонстрируя непоследовательную эффективность безопасности. Особенно стоит отметить, что, хотя Teams Copilot сохранял в целом осторожную позицию, он также мог повторять контент, предоставленный атакующими, в своих выводах.

Данная проблема подчеркивает значительный риск, известный как phishing, основанный на модели, когда легитимность резюме, созданных ИИ, может маскировать злонамеренный характер контента. Поскольку пользователи склонны рассматривать выводы ИИ какгенерируемые системой и заслуживающие доверия, злоумышленники могут создавать фишинговые сообщения, которые обошли традиционные защиты, маскируясь под авторитетную информацию от признанной системы.

Дальнейшее осложнение ситуации заключается в потенциальной возможности масштабирования этой схемы атаки. С ИИ-ассистентами, способными извлекать данные из платформ Microsoft 365 — включая Teams, OneDrive и SharePoint, риск выходит за рамки простой манипуляции с электронной почтой и включает потенциальную "эксфильтрацию данных в один клик." Увеличенный эффект XPIA может значительно увеличить радиус поражения таких атак, что представляет собой проблему для рамок кибербезопасности, которые должны защищать от сложных цепочек эксплуатации.

Предоставленная временная шкала показывает быстроту реакции Microsoft после первоначального сообщения о этих уязвимостях, классифицируя их под CVE-2026-26133 и начиная многофазный процесс смягчения. Подтверждения внутренних воспроизводств векторов атаки привели к идентификации слабых мест в поведении рендеринга и обработки ссылок в затронутых клиентских окружениях.

#ParsedReport #CompletenessMedium
15-03-2026

Payload ransomware group: mutex MakeAmericaGreatAgain

https://www.derp.ca/research/payload-ransomware-babuk-derivative/

Report completeness: Medium

Actors/Campaigns:
Payload_ransomware (motivation: financially_motivated)
Ra-group

Threats:
Payload_ransomware
Babuk
Shadow_copies_delete_technique
Win.ransomware.babuk-10032520-1
Nitrogen
Schoolboy
Neshta

Victims:
Hospital, Real estate sector, Energy sector, Healthcare sector, Telecom sector, Agriculture sector, Mid to large organisations

Industry:
Energy, Foodtech, Telco, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1070.001, T1070.004, T1083, T1106, T1486, T1489, T1490, T1497.003, T1518.001, have more...

IOCs:
Hash: 3
Domain: 2
File: 17
Command: 2
Path: 1

Soft:
Linux, ESXi, nginx, QuickBooks, Microsoft Office, outlook, onenote, thebat, firefox, steam, have more...

Algorithms:
curve25519-donna, sha512, hc-128, crc-32, xor, md5, base64, ecdh, curve25519, rc4, chacha20, sha256, salsa20

Functions:
MakeAmericaGreatAgain

Win API:
CryptGenRandom, NtReadFile, NtWriteFile, EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer, VirtualProtect, EvtOpenChannelEnum, EvtNextChannelPath, EvtClearLog, have more...

Win Services:
bits, YooBackup, dbsnmp, dbeng50, powerpnt, infopath

Platforms:
x86, intel

Links:
https://github.com/kirkderp/yara
have more...
https://github.com/Hildaboo/BabukRansomwareSourceCode

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа-вымогатель Payload, основанная в марте 2026 года, заявляет, что смогла эксфильтровать 110 ГБ данных из различных секторов, в первую очередь нацеливаясь на организации среднего и крупного размера. Ее программа-вымогатель работает в оффлайн-режиме, используя сильные методы шифрования с помощью Curve25519 и ChaCha20, с надежным механизмом самоуничтожения, который использует альтернативные потоки данных NTFS для уклонения от обнаружения. Кроме того, она демонстрирует функциональность на двух платформах: Windows и ESXi, что подчеркивает оперативную сложность и продвинутые тактики уклонения, с признаками родства с программой-вымогателем Babuk.
-----

Ransomware Payload появился 15 марта 2026 года, нацеливаясь на средние и крупные организации в различных секторах, включая здравоохранение и недвижимость. Он эксфильтровал 110 ГБ из больницы и затрагивает в общей сложности 2 603 ГБ среди 12 жертв. Этот ransomware работает в офлайн-режиме, шифруя файлы на локальных и сетевых дисках без связи с серверами управления и контроля. Он добавляет 56-байтный зашифрованный с помощью RC4 нижний колонтитул к каждому файлу и переименовывает их, добавляя расширение .payload. Для обмена ключами используется Curve25519, а для шифрования файлов — ChaCha20, при этом закрытые ключи надежно удаляются после блокировки каждого файла, чтобы сделать их невозможными для восстановления. В его криптографических процессах нет уязвимостей. Бинарный файл останавливает сервисы резервного копирования и удаляет теневые копии Windows, чтобы затруднить восстановление данных. Он использует альтернативные потоки данных NTFS для самоуничтожения и очищает журналы событий Windows для антикриминальных возможностей. Payload работает как в средах Windows, так и ESXi, при этом вариант для Windows больше и содержит дополнительные антикриминальные функции. Оба варианта используют одни и те же криптографические техники, что предполагает связь с ransomware Babuk. Payload демонстрирует высокую степень устойчивости, тактики уклонения и имеет схожие списки остановки сервисов и процессов с более ранними вариантами Babuk, что указывает на возможную связь с рамками ransomware-as-a-service.

#ParsedReport #CompletenessMedium
12-03-2026

Windows and macOS Malware Spreads via Fake Claude Code Google Ads

https://www.bitdefender.com/en-us/blog/labs/fake-claude-code-google-ads-malware

Report completeness: Medium

Threats:
Zilla
Kuaibu8
Clickfix_technique
Amos_stealer

Victims:
General users, Software developers

Geo:
Malaysian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.004, T1105, T1204.001, T1204.002, T1218.005, T1583.002, T1586.003, T1608.004, have more...

IOCs:
File: 3
Url: 4
Hash: 6

Soft:
macOS, Claude, curl

Algorithms:
base64

Languages:
powershell

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловредная кампания Google Ads, выдающая себя за "Claude Code", нацелена на пользователей Windows и macOS, перенаправляя их на поддельную страницу документации. Пользователи Windows выполняют команды, которые устанавливают различные трояны, такие как Trojan.Stealer.GJ, в то время как пользователи macOS сталкиваются с sofisticированным Mach-O backdoor, который использует обфусцированные команды и сохраняет устойчивость. Атака полагается на социальную инженерию, побуждая пользователей сотрудничать, а не эксплуатируя уязвимости программного обеспечения.
-----

Недавние исследования выявили зловредную кампанию в Google Ads, которая выдает себя за "Claude Code," языковую модель, разработанную компанией Anthropic, нацеленную на пользователей Windows и macOS. Зловредная реклама перенаправляет пользователей на мошенническую страницу документации, подражающую официальным ресурсам Claude Code, размещенным на поддомене Squarespace. Нападающие использовали скомпрометированную учетную запись рекламодателя, связанную с малазийской компанией, чтобы облегчить эту кампанию.

После перехода на поддельный сайт пользователей просят выполнить команды терминала, замаскированные под инструкции по установке. Пользователи Windows непреднамеренно запускают вредоносное ПО через mshta.exe, выполняя команды PowerShell и загружая полезные нагрузки, которые Bitdefender распознает как различные трояны, в частности Trojan.Stealer.GJ и Trojan.Stealer.GK. Напротив, пользователи macOS сталкиваются с более сложной цепочкой, включающей Mach-O backdoor, которая использует обфусцированные команды оболочки для выполнения вредоносных полезных нагрузок.

Методология атаки основывается на социальном инжиниринге, в значительной степени полагаясь на соблюдение пользователями команд, а не на использование конкретных уязвимостей программного обеспечения. Нападающие используют технику, известную как ClickFix, чтобы уговорить пользователей выполнять эти команды, что, для систем Windows, приводит к многоступенчатой инфекции через файл HTA, который в конечном итоге раскрывает полезную нагрузку, внедренную в память на Microsoft Intermediate Language (MSIL). Этот MSIL-этап запускает другую стадию инфекции, описанную несколькими идентификаторами трояна.

Для macOS скрипт инфекции сложен и запутан, удаляя атрибуты файлов и предоставляя разрешения на выполнение перед тем, как бесшумно запустить вредоносный бинарный файл, без запросов пользователя. Вредоносная программа Mach-O проявляется как обратный шелл, предназначенный для выполнения произвольных команд и проведения проверок против анализа, чтобы избежать обнаружения. Вредоносное ПО использует агрессивные методы обфускации, чтобы скрыть свою основную функциональность и поддерживает постоянство, используя глобальный конструктор, который выполняется автоматически при загрузке.

Общая структура атаки показывает, что основной вектор включает обман пользователей, а не использование уязвимостей системы, подчеркивая важность осведомленности пользователей для борьбы с угрозами социальной инженерии. Зловредная реклама, которая выглядела законной и прошла системы валидации Google, в итоге привела к деактивации скомпрометированной учетной записи. Тем не менее, последствия для безопасности распространяются на обе операционные системы, представляя значительные риски, если пользователи не будут проявлять осторожность при следовании онлайн-подсказкам для загрузки инструментов или программного обеспечения.

#ParsedReport #CompletenessMedium
16-03-2026

Malware Insights : MacOS Phexia Campaign

https://cookie.engineer/weblog/articles/malware-insights-macos-phexia-campaign.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Apt29

Threats:
Phexia
Clickfix_technique
Amatera_stealer

Victims:
Macos users, Web users, Ukrainian networks

Geo:
Ukrainian, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.003, T1056.002, T1059.004, T1071.001, T1082, T1102.002, T1105, T1204.001, have more...

IOCs:
Domain: 5
IP: 1
Url: 1

Soft:
MacOS, Telegram, curl, Ubuntu

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Phexia нацелена на системы macOS и использует многоуровневую атаку, которая начинается с полезной нагрузки Clickfix, выполняемой через команду терминала, обфусцированную с помощью base64. Она использует структуру управления и командования для поддержания связи через Telegram Bot, что облегчает динамическое обновление доменов и выполнение задач, включая Phexia Stealer, сосредоточенный на эксфильтрации данных из браузеров macOS и менеджеров паролей. Вредоносное программное обеспечение использует такие техники, как сброс разрешений пользователей и отображение постоянных диалоговых окон для сбора конфиденциальной информации, при этом скрывая свою деятельность через хостинговые услуги на vdsina.com и Cloudflare, чтобы замаскировать свои происхождения.
-----

Кампания Phexia в первую очередь нацелена на системы macOS с помощью многоэтапной атаки, детализированной в серии технических маневров. Сначала пользователей обманывают, заставляя их выполнить полезную нагрузку Clickfix, вставляя команду в приложение Terminal после того, как злоумышленник скомпрометировал веб-сайт. Эта команда зашифрована с использованием кодирования base64 и выполняет запрос curl для загрузки вредоносного файла osascript.

Кампания функционирует через структуру командного и контролирующего (CNC) сервера, которая использует дополнительные osascript файлы для облегчения циклов соединения и обновлений доменов. Функциональность CNC включает в себя механизм запроса новых доменных имен через интеграцию с Telegram Bot, который служит каналом связи для оператора ботнета. Это позволяет вредоносному ПО поддерживать постоянную связь с сервером CNC.

Значительная часть сложности этого вредоносного ПО заключается в его авторизации CNC и цикле подключения, который использует команду `tccutil reset All`. Эта команда сбрасывает разрешения для текущего пользователя, обходя любые предшествующие блокировки, установленные на вредоносное ПО. В результате пользователи сталкиваются с повторяющимися диалогами разрешений, которые предназначены для отвлечения и запутывания жертвы, пытаясь извлечь конфиденциальную информацию.

Каждую минуту вредоносное ПО пытается загрузить новые задания с CNC-сервера, используя либо curl, либо внедренный обфусцированный скрипт оболочки. Это включает загрузку задач-имплантов, таких как Phexia Stealer, который сосредоточен на эксфильтрации данных из различных браузеров macOS, расширений, кошельков и менеджеров паролей. Этот процесс эксфильтрации включает в себя идентификацию по UUID и сбор информации о именах пользователей и паролях, с использованием постоянных и некнопочных диалоговых окон для повышения вероятности успешного захвата данных.

Ботнет, как известно, размещен на VPS-серверах vdsina.com, ранее использовавших номера автономных систем (ASN) России, прежде чем мигрировать на Cloudflare для маскировки домена. Основная инфраструктура использует Apache 2.4.58 на Ubuntu, раскрывая отслеживаемую, но скрытую связь с потенциальными группами угроз из России, такими как APT28, которые исторически связаны с операциями, нацеленными на украинские сети.

#ParsedReport #CompletenessMedium
11-03-2026

Fileless Multi-Stage Remcos RAT: From Phishing to Memory-Resident Execution

https://www.trellix.com/blogs/research/fileless-multi-stage-remcos-rat-phishing-to-memory/

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Process_hollowing_technique
Lolbin_technique
Spear-phishing_technique
Tedy
Agent_tesla

Victims:
Procurement and supply chain

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 7
Path: 1
Hash: 7
Domain: 2
Url: 2

Algorithms:
base64, aes-256, aes, rc4, cbc

Win API:
CreateMutexA, GetLastError

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ кампании Remcos RAT указывает на переход к безфайловым методам выполнения для уклонения от обнаружения, начиная с фишинговых писем, которые поставляют загрузчик на JavaScript. Этот загрузчик получает AES-обфусцированный PowerShell полезный груз, который выполняется полностью в памяти, позволяя многоступенчатой инфекции проходить без оставления артефактов на диске. Вредоносное ПО использует процессное хлование для внедрения себя в легитимный процесс Windows и связывается с сервером командования и управления, используя собственный TCP-протокол, передавая конфиденциальные операционные данные, минимизируя свои поведенческие следы.
-----

Анализ недавней кампании Remcos RAT показывает сдвиг в методах атаки от традиционных способов доставки файлов к безфайловым стратегиям выполнения, которые избегают обнаружения. Эта кампания начинается с фишинговых электронных писем на тему закупок, которые содержат заархивированный вложение с JavaScript-загрузчиком. Этот загрузчик загружает вредоносный код PowerShell, зашифрованный с помощью AES, с серверов, контролируемых злоумышленниками, что позволяет создать многоступенчатую цепочку заражения, которая в конечном итоге избегает создания любых артефактов на диске.

После выполнения JavaScript функционирует исключительно как загрузчик, отправляя HTTP-запросы для получения закодированного скрипта PowerShell, который выполняется целиком в памяти. Этот загрузчик PowerShell отвечает за выполнение AES-дешифрования в памяти, восстанавливая полезную нагрузку без оставления следов в файловой системе. Затем он использует управляемый .NET инжектор для опустошения легитимного процесса Windows, конкретно aspnet_compiler.exe, в который инжектируется и выполняется Remcos RAT. Эта техника опустошения процесса позволяет вредоносному ПО работать под прикрытием доверенного процесса, минимизируя вероятность обнаружения с помощью поведенческих и основанных на сигнатурах средств безопасности.

Установка вредоносного ПО начинается с электронных писем, выдающих себя за законную деловую переписку, с темами, намекающими на бизнес-транзакции, чтобы заманить жертвы в выполнение вредоносных вложений. Внутри вложения файл JavaScript маскируется под деловой документ, который при выполнении загружает необходимые файлы для дальнейших стадий инфекции.

Скрипт PowerShell использует техники распаковки в памяти и загрузки функций, что значительно уменьшает его поведенческий отпечаток. После внедрения Remcos RAT выполняет инициализацию во время выполнения, динамическое разрешение API Windows и профилирование целевой среды для определения данных о ОС и архитектуре, при этом обеспечивая однократное выполнение через механизм мьютекса.

После установления связи со своим сервером управления и контроля (C2), Remcos RAT передает профиль зараженной машины вместе с оперативными данными, включая имена узлов, версии операционных систем и любые собранные данные о нажатиях клавиш. Связь использует настраиваемый протокол по TCP, подчеркивая способность этого вредоносного ПО смешиваться с обычным сетевым трафиком.

Этот случай иллюстрирует растущую сложность вредоносного ПО, такого как Remcos RAT, использующего современные техники, такие как выполнение в памяти и использование функциональности встроенных инструментов для скрытных операций. Чтобы противостоять этим развивающимся угрозам, организациям следует сосредоточиться на выявлении поведенческих аномалий и минимизации зависимости от традиционных методов на основе сигнатур, выступая за надежную стратегию, которая включает строгий контроль доступа, проверку памяти и выполнения скриптов, а также повышенную видимость через проактивный мониторинг и ведение журналов.

#ParsedReport #CompletenessHigh
16-03-2026

COVERT RAT: Phishing Campaign

https://www.pointwild.com/threat-intelligence/covert-rat-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Covert_accesss

Threats:
Covertrat
Cobalt_strike_tool
Spear-phishing_technique
Antivm_technique
Antidebugging_technique
Credential_harvesting_technique

Victims:
Judicial ecosystem, Federal courts, Legal practitioners, Justice related government agencies, Academic institutions, Advocacy groups

Industry:
Government

Geo:
Argentina

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1057, T1059.001, T1070.004, T1071.001, T1082, T1105, T1140, have more...

IOCs:
File: 24
Registry: 5
IP: 1
Hash: 5

Soft:
Microsoft Edge, Windows registry, VirtualBox, HyperV, QEMU, Hyper V, Xen, task scheduler

Algorithms:
exhibit, sha256, zip, xor, base64

Win API:
IsDebuggerPresent, QueryPerformanceFrequency

Win Services:
WebClient

Languages:
powershell, rust

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 5, dump: 3