#ParsedReport #CompletenessLow
12-03-2026

CO-PILOT, DISENGAGE AUTOPHISH: The New Phishing Surface Hiding Inside AI Email Summaries

https://permiso.io/blog/copilot-prompt-injection-ai-email-phishing

Report completeness: Low

Threats:
Cross_prompt_injection_technique

Victims:
Enterprise users, Microsoft 365 users

CVEs:
CVE-2026-26133 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1213, T1566

Soft:
Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследования систем Copilot компании Microsoft выявили уязвимости в инструментах суммирования электронных писем, подверженных эксплуатации с помощью техники, называемой cross prompt injection (XPIA), которая позволяет злоумышленникам внедрять вредоносный текст в электронные письма. Это может генерировать правдоподобные фишинговые сообщения, которые эксплуатируют доверие пользователей к результатам ИИ, способствуя фишингу, основанному на моделях. Потенциал этого шаблона атаки для масштабирования создает большие риски для платформ Microsoft 365, что подчеркивает слабости в обработке и отображении ссылок в различных клиентских средах, как было установлено в недавних отчетах CVE-2026-26133.
-----

Недавние расследования систем Copilot компании Microsoft указали на уязвимости в инструментах суммирования электронной почты, которые могут быть использованы для фишинговых атак. Конкретная техника, идентифицированная как cross prompt injection (XPIA), позволяет злоумышленникам добавлять вредоносный текст в электронные письма, что может повлиять на выходные данные Copilot. Эта манипуляция может производить, по всей видимости, достоверные сообщения "предупреждения о безопасности", которые интегрируются в интерфейс сводки Copilot, тем самым используя врождённое доверие пользователей к контенту, сгенерированному ИИ.

Исследование подчеркнуло различные поведения Copilot в разных интерфейсах, включая Outlook (с использованием кнопки "Summarize"), панель Copilot и Teams. Функция суммирования в Outlook продемонстрировала потенциал обнаружения и блокировки подозрительного контента в некоторых случаях. Однако панель Copilot часто подчинялась скрытым инструкциям, демонстрируя непоследовательную эффективность безопасности. Особенно стоит отметить, что, хотя Teams Copilot сохранял в целом осторожную позицию, он также мог повторять контент, предоставленный атакующими, в своих выводах.

Данная проблема подчеркивает значительный риск, известный как phishing, основанный на модели, когда легитимность резюме, созданных ИИ, может маскировать злонамеренный характер контента. Поскольку пользователи склонны рассматривать выводы ИИ какгенерируемые системой и заслуживающие доверия, злоумышленники могут создавать фишинговые сообщения, которые обошли традиционные защиты, маскируясь под авторитетную информацию от признанной системы.

Дальнейшее осложнение ситуации заключается в потенциальной возможности масштабирования этой схемы атаки. С ИИ-ассистентами, способными извлекать данные из платформ Microsoft 365 — включая Teams, OneDrive и SharePoint, риск выходит за рамки простой манипуляции с электронной почтой и включает потенциальную "эксфильтрацию данных в один клик." Увеличенный эффект XPIA может значительно увеличить радиус поражения таких атак, что представляет собой проблему для рамок кибербезопасности, которые должны защищать от сложных цепочек эксплуатации.

Предоставленная временная шкала показывает быстроту реакции Microsoft после первоначального сообщения о этих уязвимостях, классифицируя их под CVE-2026-26133 и начиная многофазный процесс смягчения. Подтверждения внутренних воспроизводств векторов атаки привели к идентификации слабых мест в поведении рендеринга и обработки ссылок в затронутых клиентских окружениях.

#ParsedReport #CompletenessMedium
15-03-2026

Payload ransomware group: mutex MakeAmericaGreatAgain

https://www.derp.ca/research/payload-ransomware-babuk-derivative/

Report completeness: Medium

Actors/Campaigns:
Payload_ransomware (motivation: financially_motivated)
Ra-group

Threats:
Payload_ransomware
Babuk
Shadow_copies_delete_technique
Win.ransomware.babuk-10032520-1
Nitrogen
Schoolboy
Neshta

Victims:
Hospital, Real estate sector, Energy sector, Healthcare sector, Telecom sector, Agriculture sector, Mid to large organisations

Industry:
Energy, Foodtech, Telco, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1070.001, T1070.004, T1083, T1106, T1486, T1489, T1490, T1497.003, T1518.001, have more...

IOCs:
Hash: 3
Domain: 2
File: 17
Command: 2
Path: 1

Soft:
Linux, ESXi, nginx, QuickBooks, Microsoft Office, outlook, onenote, thebat, firefox, steam, have more...

Algorithms:
curve25519-donna, sha512, hc-128, crc-32, xor, md5, base64, ecdh, curve25519, rc4, chacha20, sha256, salsa20

Functions:
MakeAmericaGreatAgain

Win API:
CryptGenRandom, NtReadFile, NtWriteFile, EtwEventWrite, EtwEventWriteFull, EtwEventWriteTransfer, VirtualProtect, EvtOpenChannelEnum, EvtNextChannelPath, EvtClearLog, have more...

Win Services:
bits, YooBackup, dbsnmp, dbeng50, powerpnt, infopath

Platforms:
x86, intel

Links:
https://github.com/kirkderp/yara
have more...
https://github.com/Hildaboo/BabukRansomwareSourceCode

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа-вымогатель Payload, основанная в марте 2026 года, заявляет, что смогла эксфильтровать 110 ГБ данных из различных секторов, в первую очередь нацеливаясь на организации среднего и крупного размера. Ее программа-вымогатель работает в оффлайн-режиме, используя сильные методы шифрования с помощью Curve25519 и ChaCha20, с надежным механизмом самоуничтожения, который использует альтернативные потоки данных NTFS для уклонения от обнаружения. Кроме того, она демонстрирует функциональность на двух платформах: Windows и ESXi, что подчеркивает оперативную сложность и продвинутые тактики уклонения, с признаками родства с программой-вымогателем Babuk.
-----

Ransomware Payload появился 15 марта 2026 года, нацеливаясь на средние и крупные организации в различных секторах, включая здравоохранение и недвижимость. Он эксфильтровал 110 ГБ из больницы и затрагивает в общей сложности 2 603 ГБ среди 12 жертв. Этот ransomware работает в офлайн-режиме, шифруя файлы на локальных и сетевых дисках без связи с серверами управления и контроля. Он добавляет 56-байтный зашифрованный с помощью RC4 нижний колонтитул к каждому файлу и переименовывает их, добавляя расширение .payload. Для обмена ключами используется Curve25519, а для шифрования файлов — ChaCha20, при этом закрытые ключи надежно удаляются после блокировки каждого файла, чтобы сделать их невозможными для восстановления. В его криптографических процессах нет уязвимостей. Бинарный файл останавливает сервисы резервного копирования и удаляет теневые копии Windows, чтобы затруднить восстановление данных. Он использует альтернативные потоки данных NTFS для самоуничтожения и очищает журналы событий Windows для антикриминальных возможностей. Payload работает как в средах Windows, так и ESXi, при этом вариант для Windows больше и содержит дополнительные антикриминальные функции. Оба варианта используют одни и те же криптографические техники, что предполагает связь с ransomware Babuk. Payload демонстрирует высокую степень устойчивости, тактики уклонения и имеет схожие списки остановки сервисов и процессов с более ранними вариантами Babuk, что указывает на возможную связь с рамками ransomware-as-a-service.

#ParsedReport #CompletenessMedium
12-03-2026

Windows and macOS Malware Spreads via Fake Claude Code Google Ads

https://www.bitdefender.com/en-us/blog/labs/fake-claude-code-google-ads-malware

Report completeness: Medium

Threats:
Zilla
Kuaibu8
Clickfix_technique
Amos_stealer

Victims:
General users, Software developers

Geo:
Malaysian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.004, T1105, T1204.001, T1204.002, T1218.005, T1583.002, T1586.003, T1608.004, have more...

IOCs:
File: 3
Url: 4
Hash: 6

Soft:
macOS, Claude, curl

Algorithms:
base64

Languages:
powershell

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловредная кампания Google Ads, выдающая себя за "Claude Code", нацелена на пользователей Windows и macOS, перенаправляя их на поддельную страницу документации. Пользователи Windows выполняют команды, которые устанавливают различные трояны, такие как Trojan.Stealer.GJ, в то время как пользователи macOS сталкиваются с sofisticированным Mach-O backdoor, который использует обфусцированные команды и сохраняет устойчивость. Атака полагается на социальную инженерию, побуждая пользователей сотрудничать, а не эксплуатируя уязвимости программного обеспечения.
-----

Недавние исследования выявили зловредную кампанию в Google Ads, которая выдает себя за "Claude Code," языковую модель, разработанную компанией Anthropic, нацеленную на пользователей Windows и macOS. Зловредная реклама перенаправляет пользователей на мошенническую страницу документации, подражающую официальным ресурсам Claude Code, размещенным на поддомене Squarespace. Нападающие использовали скомпрометированную учетную запись рекламодателя, связанную с малазийской компанией, чтобы облегчить эту кампанию.

После перехода на поддельный сайт пользователей просят выполнить команды терминала, замаскированные под инструкции по установке. Пользователи Windows непреднамеренно запускают вредоносное ПО через mshta.exe, выполняя команды PowerShell и загружая полезные нагрузки, которые Bitdefender распознает как различные трояны, в частности Trojan.Stealer.GJ и Trojan.Stealer.GK. Напротив, пользователи macOS сталкиваются с более сложной цепочкой, включающей Mach-O backdoor, которая использует обфусцированные команды оболочки для выполнения вредоносных полезных нагрузок.

Методология атаки основывается на социальном инжиниринге, в значительной степени полагаясь на соблюдение пользователями команд, а не на использование конкретных уязвимостей программного обеспечения. Нападающие используют технику, известную как ClickFix, чтобы уговорить пользователей выполнять эти команды, что, для систем Windows, приводит к многоступенчатой инфекции через файл HTA, который в конечном итоге раскрывает полезную нагрузку, внедренную в память на Microsoft Intermediate Language (MSIL). Этот MSIL-этап запускает другую стадию инфекции, описанную несколькими идентификаторами трояна.

Для macOS скрипт инфекции сложен и запутан, удаляя атрибуты файлов и предоставляя разрешения на выполнение перед тем, как бесшумно запустить вредоносный бинарный файл, без запросов пользователя. Вредоносная программа Mach-O проявляется как обратный шелл, предназначенный для выполнения произвольных команд и проведения проверок против анализа, чтобы избежать обнаружения. Вредоносное ПО использует агрессивные методы обфускации, чтобы скрыть свою основную функциональность и поддерживает постоянство, используя глобальный конструктор, который выполняется автоматически при загрузке.

Общая структура атаки показывает, что основной вектор включает обман пользователей, а не использование уязвимостей системы, подчеркивая важность осведомленности пользователей для борьбы с угрозами социальной инженерии. Зловредная реклама, которая выглядела законной и прошла системы валидации Google, в итоге привела к деактивации скомпрометированной учетной записи. Тем не менее, последствия для безопасности распространяются на обе операционные системы, представляя значительные риски, если пользователи не будут проявлять осторожность при следовании онлайн-подсказкам для загрузки инструментов или программного обеспечения.

#ParsedReport #CompletenessMedium
16-03-2026

Malware Insights : MacOS Phexia Campaign

https://cookie.engineer/weblog/articles/malware-insights-macos-phexia-campaign.html

Report completeness: Medium

Actors/Campaigns:
Fancy_bear
Apt29

Threats:
Phexia
Clickfix_technique
Amatera_stealer

Victims:
Macos users, Web users, Ukrainian networks

Geo:
Ukrainian, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.003, T1056.002, T1059.004, T1071.001, T1082, T1102.002, T1105, T1204.001, have more...

IOCs:
Domain: 5
IP: 1
Url: 1

Soft:
MacOS, Telegram, curl, Ubuntu

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Phexia нацелена на системы macOS и использует многоуровневую атаку, которая начинается с полезной нагрузки Clickfix, выполняемой через команду терминала, обфусцированную с помощью base64. Она использует структуру управления и командования для поддержания связи через Telegram Bot, что облегчает динамическое обновление доменов и выполнение задач, включая Phexia Stealer, сосредоточенный на эксфильтрации данных из браузеров macOS и менеджеров паролей. Вредоносное программное обеспечение использует такие техники, как сброс разрешений пользователей и отображение постоянных диалоговых окон для сбора конфиденциальной информации, при этом скрывая свою деятельность через хостинговые услуги на vdsina.com и Cloudflare, чтобы замаскировать свои происхождения.
-----

Кампания Phexia в первую очередь нацелена на системы macOS с помощью многоэтапной атаки, детализированной в серии технических маневров. Сначала пользователей обманывают, заставляя их выполнить полезную нагрузку Clickfix, вставляя команду в приложение Terminal после того, как злоумышленник скомпрометировал веб-сайт. Эта команда зашифрована с использованием кодирования base64 и выполняет запрос curl для загрузки вредоносного файла osascript.

Кампания функционирует через структуру командного и контролирующего (CNC) сервера, которая использует дополнительные osascript файлы для облегчения циклов соединения и обновлений доменов. Функциональность CNC включает в себя механизм запроса новых доменных имен через интеграцию с Telegram Bot, который служит каналом связи для оператора ботнета. Это позволяет вредоносному ПО поддерживать постоянную связь с сервером CNC.

Значительная часть сложности этого вредоносного ПО заключается в его авторизации CNC и цикле подключения, который использует команду `tccutil reset All`. Эта команда сбрасывает разрешения для текущего пользователя, обходя любые предшествующие блокировки, установленные на вредоносное ПО. В результате пользователи сталкиваются с повторяющимися диалогами разрешений, которые предназначены для отвлечения и запутывания жертвы, пытаясь извлечь конфиденциальную информацию.

Каждую минуту вредоносное ПО пытается загрузить новые задания с CNC-сервера, используя либо curl, либо внедренный обфусцированный скрипт оболочки. Это включает загрузку задач-имплантов, таких как Phexia Stealer, который сосредоточен на эксфильтрации данных из различных браузеров macOS, расширений, кошельков и менеджеров паролей. Этот процесс эксфильтрации включает в себя идентификацию по UUID и сбор информации о именах пользователей и паролях, с использованием постоянных и некнопочных диалоговых окон для повышения вероятности успешного захвата данных.

Ботнет, как известно, размещен на VPS-серверах vdsina.com, ранее использовавших номера автономных систем (ASN) России, прежде чем мигрировать на Cloudflare для маскировки домена. Основная инфраструктура использует Apache 2.4.58 на Ubuntu, раскрывая отслеживаемую, но скрытую связь с потенциальными группами угроз из России, такими как APT28, которые исторически связаны с операциями, нацеленными на украинские сети.

#ParsedReport #CompletenessMedium
11-03-2026

Fileless Multi-Stage Remcos RAT: From Phishing to Memory-Resident Execution

https://www.trellix.com/blogs/research/fileless-multi-stage-remcos-rat-phishing-to-memory/

Report completeness: Medium

Threats:
Remcos_rat
Process_injection_technique
Process_hollowing_technique
Lolbin_technique
Spear-phishing_technique
Tedy
Agent_tesla

Victims:
Procurement and supply chain

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 7
Path: 1
Hash: 7
Domain: 2
Url: 2

Algorithms:
base64, aes-256, aes, rc4, cbc

Win API:
CreateMutexA, GetLastError

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ кампании Remcos RAT указывает на переход к безфайловым методам выполнения для уклонения от обнаружения, начиная с фишинговых писем, которые поставляют загрузчик на JavaScript. Этот загрузчик получает AES-обфусцированный PowerShell полезный груз, который выполняется полностью в памяти, позволяя многоступенчатой инфекции проходить без оставления артефактов на диске. Вредоносное ПО использует процессное хлование для внедрения себя в легитимный процесс Windows и связывается с сервером командования и управления, используя собственный TCP-протокол, передавая конфиденциальные операционные данные, минимизируя свои поведенческие следы.
-----

Анализ недавней кампании Remcos RAT показывает сдвиг в методах атаки от традиционных способов доставки файлов к безфайловым стратегиям выполнения, которые избегают обнаружения. Эта кампания начинается с фишинговых электронных писем на тему закупок, которые содержат заархивированный вложение с JavaScript-загрузчиком. Этот загрузчик загружает вредоносный код PowerShell, зашифрованный с помощью AES, с серверов, контролируемых злоумышленниками, что позволяет создать многоступенчатую цепочку заражения, которая в конечном итоге избегает создания любых артефактов на диске.

После выполнения JavaScript функционирует исключительно как загрузчик, отправляя HTTP-запросы для получения закодированного скрипта PowerShell, который выполняется целиком в памяти. Этот загрузчик PowerShell отвечает за выполнение AES-дешифрования в памяти, восстанавливая полезную нагрузку без оставления следов в файловой системе. Затем он использует управляемый .NET инжектор для опустошения легитимного процесса Windows, конкретно aspnet_compiler.exe, в который инжектируется и выполняется Remcos RAT. Эта техника опустошения процесса позволяет вредоносному ПО работать под прикрытием доверенного процесса, минимизируя вероятность обнаружения с помощью поведенческих и основанных на сигнатурах средств безопасности.

Установка вредоносного ПО начинается с электронных писем, выдающих себя за законную деловую переписку, с темами, намекающими на бизнес-транзакции, чтобы заманить жертвы в выполнение вредоносных вложений. Внутри вложения файл JavaScript маскируется под деловой документ, который при выполнении загружает необходимые файлы для дальнейших стадий инфекции.

Скрипт PowerShell использует техники распаковки в памяти и загрузки функций, что значительно уменьшает его поведенческий отпечаток. После внедрения Remcos RAT выполняет инициализацию во время выполнения, динамическое разрешение API Windows и профилирование целевой среды для определения данных о ОС и архитектуре, при этом обеспечивая однократное выполнение через механизм мьютекса.

После установления связи со своим сервером управления и контроля (C2), Remcos RAT передает профиль зараженной машины вместе с оперативными данными, включая имена узлов, версии операционных систем и любые собранные данные о нажатиях клавиш. Связь использует настраиваемый протокол по TCP, подчеркивая способность этого вредоносного ПО смешиваться с обычным сетевым трафиком.

Этот случай иллюстрирует растущую сложность вредоносного ПО, такого как Remcos RAT, использующего современные техники, такие как выполнение в памяти и использование функциональности встроенных инструментов для скрытных операций. Чтобы противостоять этим развивающимся угрозам, организациям следует сосредоточиться на выявлении поведенческих аномалий и минимизации зависимости от традиционных методов на основе сигнатур, выступая за надежную стратегию, которая включает строгий контроль доступа, проверку памяти и выполнения скриптов, а также повышенную видимость через проактивный мониторинг и ведение журналов.

#ParsedReport #CompletenessHigh
16-03-2026

COVERT RAT: Phishing Campaign

https://www.pointwild.com/threat-intelligence/covert-rat-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Covert_accesss

Threats:
Covertrat
Cobalt_strike_tool
Spear-phishing_technique
Antivm_technique
Antidebugging_technique
Credential_harvesting_technique

Victims:
Judicial ecosystem, Federal courts, Legal practitioners, Justice related government agencies, Academic institutions, Advocacy groups

Industry:
Government

Geo:
Argentina

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1057, T1059.001, T1070.004, T1071.001, T1082, T1105, T1140, have more...

IOCs:
File: 24
Registry: 5
IP: 1
Hash: 5

Soft:
Microsoft Edge, Windows registry, VirtualBox, HyperV, QEMU, Hyper V, Xen, task scheduler

Algorithms:
exhibit, sha256, zip, xor, base64

Win API:
IsDebuggerPresent, QueryPerformanceFrequency

Win Services:
WebClient

Languages:
powershell, rust

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 5, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"Operation Covert Access" нацеливается на судебный сектор Аргентины с помощью сложного трояна удаленного доступа (RAT), доставленного через спифишинг. Атака использует обманные судебные документы в ZIP-файле, содержащем вредоносное ярлык Windows, который выполняет пакетный скрипт для загрузки RAT, скрытого под именем "msedge_proxy.exe." После активации RAT использует антианалитические техники, устанавливает постоянный канал управления и контроля, и может динамически загружать дополнительные модули, включая программное обеспечение-вымогатели и собиратели учетных данных, демонстрируя свои продвинутые возможности.
-----

Анализируемая кампания, получившая название "Operation Covert Access", сосредоточена на доставке сложного Remote Access Trojan (RAT) с помощью тактики целевого фишинга, специально нацеливаясь на судебный сектор Аргентины. Кампания характеризуется многоступенчатой цепочкой инфицирования, где злоумышленники используют обманчивые судебные документы, эксплуатируя доверие пользователей к официальным коммуникациям, чтобы получить доступ к целевым системам. Зловредный компонент представляет собой RAT на основе Rust, разработанный для скрытного и постоянного проникновения в сети федеральных судов, юридических практиков и связанных учреждений.

Атака начинается с тщательно подготовленных целевых фишинговых писем, содержащих сжатый ZIP-архив. Внутри этого архива находится злонамеренный ярлык Windows (.LNK), предназначенный для выполнения пакетного скрипта с использованием PowerShell в скрытом режиме, одновременно открывая выглядящий легитимно PDF. Эта двойная активация эффективно скрывает злонамеренную активность, позволяя фактическому полезному компоненту быть доставленным и активированным без поднятия подозрений у пользователя.

Пакетный скрипт, установленный в файле LNK, подключается к репозиторию GitHub для загрузки основного полезного груза, замаскированного под "msedge_proxy.exe" в директории пользовательских данных Microsoft Edge. Этот выбор имени файла и местоположения служит для дальнейшей маскировки его истинной природы. После выполнения RAT демонстрирует несколько мер противодействия анализу, таких как обнаружение выполнения в виртуализированных или контролируемых средах путем сканирования на наличие индикаторов технологий виртуализации и мониторинговых инструментов. Если он выявляет такие условия, он немедленно завершает свой процесс, чтобы избежать обнаружения.

После успешного выполнения вредоносное ПО устанавливает надежный канал связи командованием и управления (C2) с резервными возможностями как для IPv4, так и для IPv6, обеспечивая ему постоянный доступ. Операционная структура включает в себя различные команды для управления файлами, сбора данных и повышения привилегий. RAT может динамически загружать дополнительные модули, включая основанный на DLL программный комплекс для вымогательства и инструменты для сбора учетных данных, что обеспечивает универсальность и адаптивность к изменяющимся задачам.

Ключевые команды, такие как PERSIST_ENABLE, PERSIST_REMOVE, HARVEST, ENCRYPT и ELEVATE, иллюстрируют всеобъемлющие контрольные возможности вредоносного ПО, позволяя ему выполнять передачу файлов, шифровать данные и поддерживать устойчивость с помощью различных методов, таких как записи в реестре и запланированные задачи. Кроме того, входящие команды C2 кодируются в Base64, подчеркивая необходимость наличия надежной рутинной декодировки внутри вредоносного ПО для эффективного выполнения инструкций.

Операция завершает выделением необходимости в улучшении мер кибербезопасности, особенно из-за эффективности методов выполнения атаки и упорного характера развернутого RAT. Это подчеркивает критическую проблему для защитников против сложных тактик социального инженерии, совмещенных с современными механизмами доставки вредоносного ПО, что усиливает необходимость бдительности и улучшенных защитных стратегий в институциональных условиях.

#ParsedReport #CompletenessMedium
13-03-2026

Body Title Malware distribution using a fake FileZilla site Malware Analysis Report by 4 2026. 3. 13. 14:38

https://blog.alyac.co.kr/5738

Report completeness: Medium

Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Hvnc_tool

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1071.001, T1102, T1106, T1113, T1140, T1204.002, T1497.001, T1555, have more...

IOCs:
File: 18
Domain: 2
Url: 3
Hash: 3
IP: 1

Soft:
VirtualBox

Algorithms:
exhibit, md5, zip

Win Services:
VGauthService

#ParsedReport #GeneratedSchema
Generated with GPT-4