CTT Report Hub
#ParsedReport #CompletenessHigh 24-04-2026 Chaos is a ladder : Vidar's recent rise to the top https://www.intrinsec.com/wp-content/uploads/2026/04/TLP_CLEAR-20260424-New_Vidar.pdf Report completeness: High Actors/Campaigns: 0ktapus Loadbaks Threats: Vidar_stealer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Vidar, вредоносная программа-стиллер ВПО, получившая известность в российской среде киберугроз, использует сложные методы доставки, такие как Целевой фишинг и скачивание с диска, замаскированное под законное программное обеспечение. ВПО вредоносной программы использует 'NeoHub.exe " исполняемый файл и "msedge_elf.dll "работать, скрывая свои коммуникации управления с помощью dead drop Resolvers, таких как Steam и Телеграм. Vidar автоматизирует эксфильтрацию конфиденциальных данных, ориентируясь на браузеры для получения учетных данных и информации о криптовалюте, используя при этом методы уклонения, такие как зашифрованная связь и фрагментированная передача данных.
-----
В последнее время ВПО Vidar заняло видное место в сфере киберугроз, позиционируясь как ведущий стиллер информации на российском рынке с ноября 2025 года. Этот сдвиг в экосистеме stealer последовал за значительными сбоями, вызванными операциями по уничтожению таких крупных игроков, как Lumma и Rhadamanthys, в результате чего образовался вакуум, на котором Vidar извлек выгоду. Появление Vidar 2.0, выпущенного в октябре 2025 года, внесло усовершенствования, которые повысили его привлекательность среди киберпреступников. Распространение ВПО еще более усилилось благодаря сотрудничеству с каналами Телеграм, которые служат платформами для обмена украденными данными и их рекламы, что способствует росту числа отдельных злоумышленников, ищущих выгодные возможности.
Vidar использует сложную цепочку уничтожения для доставки своих полезных данных, часто инициируя атаки с помощью таких тактик, как Целевой фишинг со ссылками и скачивание с диска, часто замаскированное под законное программное обеспечение. После успешной установки Vidar запускает серию вредоносных процессов, которые основаны на хорошо документированных тактиках, техниках и процедурах (TTP). Примечательно, что использование 'NeoHub.exe "исполняемый файл вместе со вредоносным ПО "msedge_elf.dll "который маскируется под законный компонент Microsoft Edge и облегчает работу ВПО. Эта библиотека DLL упакована с использованием GO packer, включающего сглаживание потока управления, чтобы затруднить анализ.
Важной особенностью Vidar является использование dead drop Resolvers, часто использующих такие платформы, как Steam и Телеграм, для скрытия связи по управлению (C2). Способность ВПО размещаться и координироваться с помощью этих платформ обеспечивает высокий уровень устойчивости к попыткам удаления. Дополнительные возможности включают Автоматизированную эксфильтрацию конфиденциальных данных с возможностью таргетинга на браузеры и извлечения сохраненных учетных данных, информации о криптовалютном кошельке и сеансовых файлах cookie для перехвата учетной записи.
Архитектура ВПО демонстрирует попытки избежать обнаружения, используя зашифрованные каналы связи и фрагментированную передачу данных для тонкого управления большими отфильтрованными наборами данных. Появились ключевые признаки компрометации, включая конкретные доменные имена, связанные с инфраструктурой C2, а также различные модификации реестра, свидетельствующие о методах закрепления.
Поскольку Vidar продолжает адаптироваться к меняющемуся ландшафту угроз, его зрелость в качестве инструмента для злонамеренных инсайдеров или оппортунистических акторов вызывает серьезные опасения у организаций по всему миру. Компаниям рекомендуется усилить свою защиту от таких угроз путем внедрения многоуровневых мер безопасности, как описано в различных рекомендациях по безопасности, нацеленных на эти новые методы атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Vidar, вредоносная программа-стиллер ВПО, получившая известность в российской среде киберугроз, использует сложные методы доставки, такие как Целевой фишинг и скачивание с диска, замаскированное под законное программное обеспечение. ВПО вредоносной программы использует 'NeoHub.exe " исполняемый файл и "msedge_elf.dll "работать, скрывая свои коммуникации управления с помощью dead drop Resolvers, таких как Steam и Телеграм. Vidar автоматизирует эксфильтрацию конфиденциальных данных, ориентируясь на браузеры для получения учетных данных и информации о криптовалюте, используя при этом методы уклонения, такие как зашифрованная связь и фрагментированная передача данных.
-----
В последнее время ВПО Vidar заняло видное место в сфере киберугроз, позиционируясь как ведущий стиллер информации на российском рынке с ноября 2025 года. Этот сдвиг в экосистеме stealer последовал за значительными сбоями, вызванными операциями по уничтожению таких крупных игроков, как Lumma и Rhadamanthys, в результате чего образовался вакуум, на котором Vidar извлек выгоду. Появление Vidar 2.0, выпущенного в октябре 2025 года, внесло усовершенствования, которые повысили его привлекательность среди киберпреступников. Распространение ВПО еще более усилилось благодаря сотрудничеству с каналами Телеграм, которые служат платформами для обмена украденными данными и их рекламы, что способствует росту числа отдельных злоумышленников, ищущих выгодные возможности.
Vidar использует сложную цепочку уничтожения для доставки своих полезных данных, часто инициируя атаки с помощью таких тактик, как Целевой фишинг со ссылками и скачивание с диска, часто замаскированное под законное программное обеспечение. После успешной установки Vidar запускает серию вредоносных процессов, которые основаны на хорошо документированных тактиках, техниках и процедурах (TTP). Примечательно, что использование 'NeoHub.exe "исполняемый файл вместе со вредоносным ПО "msedge_elf.dll "который маскируется под законный компонент Microsoft Edge и облегчает работу ВПО. Эта библиотека DLL упакована с использованием GO packer, включающего сглаживание потока управления, чтобы затруднить анализ.
Важной особенностью Vidar является использование dead drop Resolvers, часто использующих такие платформы, как Steam и Телеграм, для скрытия связи по управлению (C2). Способность ВПО размещаться и координироваться с помощью этих платформ обеспечивает высокий уровень устойчивости к попыткам удаления. Дополнительные возможности включают Автоматизированную эксфильтрацию конфиденциальных данных с возможностью таргетинга на браузеры и извлечения сохраненных учетных данных, информации о криптовалютном кошельке и сеансовых файлах cookie для перехвата учетной записи.
Архитектура ВПО демонстрирует попытки избежать обнаружения, используя зашифрованные каналы связи и фрагментированную передачу данных для тонкого управления большими отфильтрованными наборами данных. Появились ключевые признаки компрометации, включая конкретные доменные имена, связанные с инфраструктурой C2, а также различные модификации реестра, свидетельствующие о методах закрепления.
Поскольку Vidar продолжает адаптироваться к меняющемуся ландшафту угроз, его зрелость в качестве инструмента для злонамеренных инсайдеров или оппортунистических акторов вызывает серьезные опасения у организаций по всему миру. Компаниям рекомендуется усилить свою защиту от таких угроз путем внедрения многоуровневых мер безопасности, как описано в различных рекомендациях по безопасности, нацеленных на эти новые методы атак.
#ParsedReport #CompletenessMedium
22-04-2026
Malicious Checkmarx Artifacts Found in Official KICS Docker Repository and Code Extensions
https://socket.dev/blog/checkmarx-supply-chain-compromise
Report completeness: Medium
Actors/Campaigns:
Teampcp
Threats:
Supply_chain_technique
Victims:
Checkmarx, Trivy, Litellm, Software development teams, Ci cd environments
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1036, T1059.001, T1059.007, T1072, T1078, T1105, T1140, T1195.001, have more...
IOCs:
File: 9
Command: 9
Url: 1
Hash: 17
IP: 1
Soft:
Docker, Open VSX, alpine, Kubernetes, debian, OpenVSX, Trivy, LiteLLM, VSCode, Claude, have more...
Algorithms:
base64, gzip, zip, md5, sha1, sha256
Functions:
Get-AzAccessToken, Write-Output
Languages:
powershell, javascript, golang, python
Platforms:
amd64, arm
Links:
22-04-2026
Malicious Checkmarx Artifacts Found in Official KICS Docker Repository and Code Extensions
https://socket.dev/blog/checkmarx-supply-chain-compromise
Report completeness: Medium
Actors/Campaigns:
Teampcp
Threats:
Supply_chain_technique
Victims:
Checkmarx, Trivy, Litellm, Software development teams, Ci cd environments
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036, T1059.001, T1059.007, T1072, T1078, T1105, T1140, T1195.001, have more...
IOCs:
File: 9
Command: 9
Url: 1
Hash: 17
IP: 1
Soft:
Docker, Open VSX, alpine, Kubernetes, debian, OpenVSX, Trivy, LiteLLM, VSCode, Claude, have more...
Algorithms:
base64, gzip, zip, md5, sha1, sha256
Functions:
Get-AzAccessToken, Write-Output
Languages:
powershell, javascript, golang, python
Platforms:
amd64, arm
Links:
https://github.com/Checkmarx/ast-vscode-extension/commit/68ed490b575a57ef51a419f43b2b087e8ce16a46Socket
Malicious Checkmarx Artifacts Found in Official KICS Docker ...
Docker and Socket have uncovered malicious Checkmarx KICS images and suspicious code extension releases in a broader supply chain compromise.
CTT Report Hub
#ParsedReport #CompletenessMedium 22-04-2026 Malicious Checkmarx Artifacts Found in Official KICS Docker Repository and Code Extensions https://socket.dev/blog/checkmarx-supply-chain-compromise Report completeness: Medium Actors/Campaigns: Teampcp Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена значительная Компрометация цепочки поставок, связанная с TeamPCP - престпной группировкой, которая манипулировала изображениями Checkmarx KICS Docker и расширениями VS Code для внедрения вредоносных функций. Образ KICS, подвергнутый компрометации, облегчает несанкционированную эксфильтрацию данных, в то время как расширение VS Code активирует полезную нагрузку, которая собирает конфиденциальные учетные данные и использует токены GitHub для внедрения вредоносных рабочих процессов. Такие методы, как манипулирование историей Git и запутывание полезных данных, позволяют выполнять скрытые операции, усложняя обнаружение и расширяя зону досягаемости злоумышленника.
-----
Недавние расследования выявили наличие вредоносных изображений Checkmarx KICS и подозрительных расширений кода в значительной Компрометации цепочки поставок, атрибутированной с TeamPCP престпной группировкой. Внутренний мониторинг Docker выявил необычные действия в официальном репозитории checkmarx/kics Docker Hub, выявив, что злоумышленники перезаписали существующие теги, в том числе законные, и внедрили вредоносные варианты. Образ KICS, подвергшийся компрометации, был изменен для встраивания функций несанкционированного сбора данных и эксфильтрации, что повышает серьезные риски для пользователей, сканирующих файлы инфраструктуры в виде кода. Этот модифицированный двоичный файл KICS может генерировать отчеты о сканировании без цензуры, шифровать их и передавать данные на внешние конечные точки, потенциально раскрывая конфиденциальные данные конфигурации.
Расследование вышло за рамки изображений Docker и включило вредоносную активность в инструментах разработчика Checkmarx, в частности, в выпусках расширений VS Code. Эти расширения для компрометации активировали функцию, которая загружала скрытую полезную нагрузку JavaScript, mcpAddon.js , с жестко закодированного URL-адреса GitHub при активации. Эта полезная нагрузка способна собирать различные конфиденциальные учетные данные, такие как токены аутентификации GitHub, учетные данные AWS и токены аутентификации Microsoft Azure, и впоследствии отправлять их на внешние конечные точки или в общедоступные хранилища GitHub, контролируемые жертвами. Использование токенов GitHub также используется для внедрения вредоносных рабочих процессов GitHub Actions, предназначенных для захвата секретов из репозиториев, что еще больше усугубляет угрозу.
Критический прием в этой операции включал манипулирование историей Git, чтобы замаскировать внедрение вредоносных полезных нагрузок, при этом фиксация задним числом казалась законной, но затрудняла анализ. Файл JavaScript, mcpAddon.js , выполняемый с использованием среды выполнения Bun, включает методы запутывания, позволяющие избежать обнаружения, и имеет встроенные функциональные возможности для целого ряда действий по эксфильтрации. Это включает в себя многоэтапную атаку, которая может беспрепятственно распространяться по каналам supply chain, используя украденные учетные данные как для кражи данных, так и в качестве средства расширения доступа злоумышленника к экосистеме разработчиков.
Более того, репозитории, созданные для эксфильтрации ВПО, следовали обманчивой схеме именования, что еще больше запутывало злой умысел, стоящий за их созданием. Злоумышленник эффективно использовал украденные учетные данные GitHub для обнаружения подходящих репозиториев, специально нацеливаясь на тех, у кого есть секреты действий GitHub, чтобы внедрить вредоносные рабочие процессы, которые извлекут конфиденциальные данные и удалят все следы после эксфильтрации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была выявлена значительная Компрометация цепочки поставок, связанная с TeamPCP - престпной группировкой, которая манипулировала изображениями Checkmarx KICS Docker и расширениями VS Code для внедрения вредоносных функций. Образ KICS, подвергнутый компрометации, облегчает несанкционированную эксфильтрацию данных, в то время как расширение VS Code активирует полезную нагрузку, которая собирает конфиденциальные учетные данные и использует токены GitHub для внедрения вредоносных рабочих процессов. Такие методы, как манипулирование историей Git и запутывание полезных данных, позволяют выполнять скрытые операции, усложняя обнаружение и расширяя зону досягаемости злоумышленника.
-----
Недавние расследования выявили наличие вредоносных изображений Checkmarx KICS и подозрительных расширений кода в значительной Компрометации цепочки поставок, атрибутированной с TeamPCP престпной группировкой. Внутренний мониторинг Docker выявил необычные действия в официальном репозитории checkmarx/kics Docker Hub, выявив, что злоумышленники перезаписали существующие теги, в том числе законные, и внедрили вредоносные варианты. Образ KICS, подвергшийся компрометации, был изменен для встраивания функций несанкционированного сбора данных и эксфильтрации, что повышает серьезные риски для пользователей, сканирующих файлы инфраструктуры в виде кода. Этот модифицированный двоичный файл KICS может генерировать отчеты о сканировании без цензуры, шифровать их и передавать данные на внешние конечные точки, потенциально раскрывая конфиденциальные данные конфигурации.
Расследование вышло за рамки изображений Docker и включило вредоносную активность в инструментах разработчика Checkmarx, в частности, в выпусках расширений VS Code. Эти расширения для компрометации активировали функцию, которая загружала скрытую полезную нагрузку JavaScript, mcpAddon.js , с жестко закодированного URL-адреса GitHub при активации. Эта полезная нагрузка способна собирать различные конфиденциальные учетные данные, такие как токены аутентификации GitHub, учетные данные AWS и токены аутентификации Microsoft Azure, и впоследствии отправлять их на внешние конечные точки или в общедоступные хранилища GitHub, контролируемые жертвами. Использование токенов GitHub также используется для внедрения вредоносных рабочих процессов GitHub Actions, предназначенных для захвата секретов из репозиториев, что еще больше усугубляет угрозу.
Критический прием в этой операции включал манипулирование историей Git, чтобы замаскировать внедрение вредоносных полезных нагрузок, при этом фиксация задним числом казалась законной, но затрудняла анализ. Файл JavaScript, mcpAddon.js , выполняемый с использованием среды выполнения Bun, включает методы запутывания, позволяющие избежать обнаружения, и имеет встроенные функциональные возможности для целого ряда действий по эксфильтрации. Это включает в себя многоэтапную атаку, которая может беспрепятственно распространяться по каналам supply chain, используя украденные учетные данные как для кражи данных, так и в качестве средства расширения доступа злоумышленника к экосистеме разработчиков.
Более того, репозитории, созданные для эксфильтрации ВПО, следовали обманчивой схеме именования, что еще больше запутывало злой умысел, стоящий за их созданием. Злоумышленник эффективно использовал украденные учетные данные GitHub для обнаружения подходящих репозиториев, специально нацеливаясь на тех, у кого есть секреты действий GitHub, чтобы внедрить вредоносные рабочие процессы, которые извлекут конфиденциальные данные и удалят все следы после эксфильтрации.
#ParsedReport #CompletenessHigh
24-04-2026
Inside Vidar (2026): From Infection to Memory Execution via JPEG and TXT Payloads
https://www.pointwild.com/threat-intelligence/inside-vidar-2026-from-infection-to-memory-execution-via-jpeg-and-txt-payloads/
Report completeness: High
Threats:
Vidar_stealer
Arkei_stealer
Clickfix_technique
Process_injection_technique
Lolbin_technique
Goloader
Process_hollowing_technique
Runpe_tool
Jump_cloud_tool
Nautilus
Credential_harvesting_technique
Victims:
Software developers, Gaming communities, Cryptocurrency users, Organizations, Individual users
Industry:
Entertainment, Petroleum
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1027.002, T1027.007, T1027.010, T1036.008, T1055.012, T1059.001, T1059.005, T1071.001, T1090, have more...
IOCs:
IP: 2
File: 10
Domain: 1
BrowserExtension: 219
Coin: 25
Hash: 8
Url: 3
Soft:
Telegram, Claude, WordPress, Discord, Process Explorer, Visual Studio, Chrome, Google Chrome, Microsoft Edge, Bitwarden, have more...
Wallets:
metamask, enkrypt, math_wallet, braavos_wallet, tronlink, yoroi, coinbase, iwallet, ronin_wallet, neoline, have more...
Crypto:
binance, solana, casper, bitcoin, ethereum, multiversx, aptos, uniswap, dogecoin, starcoin, have more...
Algorithms:
exhibit, md5, base64, xor
Functions:
Debug
Win API:
CreateProcess, WriteProcessMemory, CreateRemoteThread, IsDebuggerPresent, IsProcessorFeaturePresent
Win Services:
WebClient
Languages:
powershell
Platforms:
cross-platform
24-04-2026
Inside Vidar (2026): From Infection to Memory Execution via JPEG and TXT Payloads
https://www.pointwild.com/threat-intelligence/inside-vidar-2026-from-infection-to-memory-execution-via-jpeg-and-txt-payloads/
Report completeness: High
Threats:
Vidar_stealer
Arkei_stealer
Clickfix_technique
Process_injection_technique
Lolbin_technique
Goloader
Process_hollowing_technique
Runpe_tool
Jump_cloud_tool
Nautilus
Credential_harvesting_technique
Victims:
Software developers, Gaming communities, Cryptocurrency users, Organizations, Individual users
Industry:
Entertainment, Petroleum
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.002, T1027.007, T1027.010, T1036.008, T1055.012, T1059.001, T1059.005, T1071.001, T1090, have more...
IOCs:
IP: 2
File: 10
Domain: 1
BrowserExtension: 219
Coin: 25
Hash: 8
Url: 3
Soft:
Telegram, Claude, WordPress, Discord, Process Explorer, Visual Studio, Chrome, Google Chrome, Microsoft Edge, Bitwarden, have more...
Wallets:
metamask, enkrypt, math_wallet, braavos_wallet, tronlink, yoroi, coinbase, iwallet, ronin_wallet, neoline, have more...
Crypto:
binance, solana, casper, bitcoin, ethereum, multiversx, aptos, uniswap, dogecoin, starcoin, have more...
Algorithms:
exhibit, md5, base64, xor
Functions:
Debug
Win API:
CreateProcess, WriteProcessMemory, CreateRemoteThread, IsDebuggerPresent, IsProcessorFeaturePresent
Win Services:
WebClient
Languages:
powershell
Platforms:
cross-platform
Point Wild
Inside Vidar (2026): From Infection to Memory Execution via JPEG and TXT Payloads | Point Wild
CTT Report Hub
#ParsedReport #CompletenessHigh 24-04-2026 Inside Vidar (2026): From Infection to Memory Execution via JPEG and TXT Payloads https://www.pointwild.com/threat-intelligence/inside-vidar-2026-from-infection-to-memory-execution-via-jpeg-and-txt-payloads/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
К 2026 году Vidar превратился из простого средства для кражи учетных данных в сложный фреймворк для ВПО, использующий методы многоэтапных атак и стратегии ВПО как услуги (MaaS). Он использует тактику социальной инженерии, используя сайты компрометации и поддельные страницы, чтобы заманить пользователей на выполнение ВПО, которое выполняется с помощью запутанных скриптов и доверенных компонентов Windows для выполнения без файлов. Вредоносное ПО ВПО нацелено на расширения браузера для более широкого сбора данных и взаимодействует с каналом управления через Телеграм, подчеркивая его продвинутые операции по запутыванию и скрытности.
-----
В 2018 году Vidar превратился в сложный фреймворк для ВПО, изначально предназначенный для кражи учетных данных. К 2026 году она интегрировала методы многоэтапных атак, методологии "ВПО как услуга" (MaaS) и инновационные стратегии уклонения, доказав, что является серьезной угрозой в киберпространстве.
Внедрение Vidar все больше опиралось на тактику социальной инженерии. Злоумышленники используют сайты WordPress с компрометацией, лживые репозитории GitHub и поддельные страницы с капчей, чтобы заманить пользователей на выполнение ВПО. Этот метод отошел от традиционного использования к более управляемым пользователем цепочкам выполнения, подчеркивая значительную роль обмана в первоначальных переносчиках инфекции.
Одной из отличительных особенностей реализации 2026 года является использование запутанных сценариев и доверенных компонентов Windows для облегчения пути выполнения без файлов. Первоначальное заражение часто начинается со сценариев, выполняемых с помощью WScript или PowerShell. После злоупотребления этими компонентами скрипт JavaScript или PowerShell динамически восстанавливает команду, которая нацелена на определенный IP-адрес, в конечном итоге загружая полезную нагрузку, замаскированную под изображение в формате JPEG. Дизайн ВПО включает в себя встраивание вредоносных данных Base64 в пользовательские маркеры, которые извлекаются и декодируются во время выполнения, демонстрируя передовые методы обфускации.
Последующие этапы включают фазу выполнения на основе .NET с использованием RegAsm.exe в качестве прокси—сервера, позволяющего выполнять дополнительные полезные нагрузки без записи на диск - метод, характеризуемый как "Living Off the Land". Этот механизм распространения использует законные двоичные файлы для обеспечения скрытой работы. После выполнения полезные нагрузки могут впоследствии взаимодействовать с контролируемым каналом управления (C2), часто через инфраструктуру Телеграм, дополнительно используя Cloudflare в качестве прикрытия для вредоносных операций в домене. Благодаря этим механизмам Vidar не только извлекает конфиденциальную информацию, но и органично вписывается в обычную работу системы.
В дополнение к своим возможностям уклонения, Vidar специально нацелен на браузерные расширения на основных платформах, тем самым расширяя возможности сбора данных, выходящие за рамки простой кражи учетных данных. Этот сдвиг в сторону нацеливания на более широкий спектр браузерных расширений увеличивает потенциальное воздействие ВПО.
Обнаружение и смягчение угрозы, исходящей от Vidar, требует обновленных стратегий защиты, в которых приоритет отдается раннему обнаружению файлов начальной стадии, особенно тех, которые доставляются через авторитетные платформы, такие как GitHub, и веб-сайты с компрометацией. Наблюдаемая эволюция и изощренность Vidar подчеркивает критическую тенденцию в современных киберугрозах, подчеркивая необходимость усовершенствованных мер безопасности против многоплановых фреймворков, ориентированных на скрытность атак. Следовательно, Vidar представляет собой насущную проблему для Кибербезопасности, заявляя о себе как о модульной, адаптивной платформе, способной к краже данных и их закреплению.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
К 2026 году Vidar превратился из простого средства для кражи учетных данных в сложный фреймворк для ВПО, использующий методы многоэтапных атак и стратегии ВПО как услуги (MaaS). Он использует тактику социальной инженерии, используя сайты компрометации и поддельные страницы, чтобы заманить пользователей на выполнение ВПО, которое выполняется с помощью запутанных скриптов и доверенных компонентов Windows для выполнения без файлов. Вредоносное ПО ВПО нацелено на расширения браузера для более широкого сбора данных и взаимодействует с каналом управления через Телеграм, подчеркивая его продвинутые операции по запутыванию и скрытности.
-----
В 2018 году Vidar превратился в сложный фреймворк для ВПО, изначально предназначенный для кражи учетных данных. К 2026 году она интегрировала методы многоэтапных атак, методологии "ВПО как услуга" (MaaS) и инновационные стратегии уклонения, доказав, что является серьезной угрозой в киберпространстве.
Внедрение Vidar все больше опиралось на тактику социальной инженерии. Злоумышленники используют сайты WordPress с компрометацией, лживые репозитории GitHub и поддельные страницы с капчей, чтобы заманить пользователей на выполнение ВПО. Этот метод отошел от традиционного использования к более управляемым пользователем цепочкам выполнения, подчеркивая значительную роль обмана в первоначальных переносчиках инфекции.
Одной из отличительных особенностей реализации 2026 года является использование запутанных сценариев и доверенных компонентов Windows для облегчения пути выполнения без файлов. Первоначальное заражение часто начинается со сценариев, выполняемых с помощью WScript или PowerShell. После злоупотребления этими компонентами скрипт JavaScript или PowerShell динамически восстанавливает команду, которая нацелена на определенный IP-адрес, в конечном итоге загружая полезную нагрузку, замаскированную под изображение в формате JPEG. Дизайн ВПО включает в себя встраивание вредоносных данных Base64 в пользовательские маркеры, которые извлекаются и декодируются во время выполнения, демонстрируя передовые методы обфускации.
Последующие этапы включают фазу выполнения на основе .NET с использованием RegAsm.exe в качестве прокси—сервера, позволяющего выполнять дополнительные полезные нагрузки без записи на диск - метод, характеризуемый как "Living Off the Land". Этот механизм распространения использует законные двоичные файлы для обеспечения скрытой работы. После выполнения полезные нагрузки могут впоследствии взаимодействовать с контролируемым каналом управления (C2), часто через инфраструктуру Телеграм, дополнительно используя Cloudflare в качестве прикрытия для вредоносных операций в домене. Благодаря этим механизмам Vidar не только извлекает конфиденциальную информацию, но и органично вписывается в обычную работу системы.
В дополнение к своим возможностям уклонения, Vidar специально нацелен на браузерные расширения на основных платформах, тем самым расширяя возможности сбора данных, выходящие за рамки простой кражи учетных данных. Этот сдвиг в сторону нацеливания на более широкий спектр браузерных расширений увеличивает потенциальное воздействие ВПО.
Обнаружение и смягчение угрозы, исходящей от Vidar, требует обновленных стратегий защиты, в которых приоритет отдается раннему обнаружению файлов начальной стадии, особенно тех, которые доставляются через авторитетные платформы, такие как GitHub, и веб-сайты с компрометацией. Наблюдаемая эволюция и изощренность Vidar подчеркивает критическую тенденцию в современных киберугрозах, подчеркивая необходимость усовершенствованных мер безопасности против многоплановых фреймворков, ориентированных на скрытность атак. Следовательно, Vidar представляет собой насущную проблему для Кибербезопасности, заявляя о себе как о модульной, адаптивной платформе, способной к краже данных и их закреплению.
#technique
Linux ELF Malware Generator Evades ML Detection With Semantic-Preserving Changes
https://arxiv.org/pdf/2604.22639
Linux ELF Malware Generator Evades ML Detection With Semantic-Preserving Changes
https://arxiv.org/pdf/2604.22639
#ParsedReport #CompletenessLow
28-04-2026
✅ Report Title: Threat Group Profile: Silver Fox
https://s2w.inc/en/resource/detail/1050
Report completeness: Low
Actors/Campaigns:
Silver_fox (motivation: cyber_espionage)
Atlascross
Threats:
Typosquatting_technique
Valleyrat
Winos
Nidhogg
Holdinghands
Cleversoar
Cringe
Pngplug
Catena
Gh0st_rat
Byovd_technique
Spear-phishing_technique
Seo_poisoning_technique
Victims:
Individual users, Medical, Financial, Corporate, China, Taiwan, Japan, Southeast asia, Malaysia, Indonesia, have more...
Industry:
Healthcare
Geo:
Singapore, Asia, Philippines, Taiwan, China, Japan, Malaysia, Indonesia, Thailand
ChatGPT TTPs:
T1036, T1055.001, T1105, T1204.001, T1204.002, T1219, T1560, T1563.002, T1566.001, T1567, have more...
IOCs:
File: 4
Soft:
Telegram, Zoom, Microsoft Teams, WeChat
Languages:
python
28-04-2026
✅ Report Title: Threat Group Profile: Silver Fox
https://s2w.inc/en/resource/detail/1050
Report completeness: Low
Actors/Campaigns:
Silver_fox (motivation: cyber_espionage)
Atlascross
Threats:
Typosquatting_technique
Valleyrat
Winos
Nidhogg
Holdinghands
Cleversoar
Cringe
Pngplug
Catena
Gh0st_rat
Byovd_technique
Spear-phishing_technique
Seo_poisoning_technique
Victims:
Individual users, Medical, Financial, Corporate, China, Taiwan, Japan, Southeast asia, Malaysia, Indonesia, have more...
Industry:
Healthcare
Geo:
Singapore, Asia, Philippines, Taiwan, China, Japan, Malaysia, Indonesia, Thailand
ChatGPT TTPs:
do not use without manual checkT1036, T1055.001, T1105, T1204.001, T1204.002, T1219, T1560, T1563.002, T1566.001, T1567, have more...
IOCs:
File: 4
Soft:
Telegram, Zoom, Microsoft Teams, WeChat
Languages:
python
s2w.inc
Threat Group Profile: Silver Fox
Silver Fox is a China-based threat group that has been active since at least 2022, initially conducting campaigns for financial purposes.
CTT Report Hub
#ParsedReport #CompletenessLow 28-04-2026 ✅ Report Title: Threat Group Profile: Silver Fox https://s2w.inc/en/resource/detail/1050 Report completeness: Low Actors/Campaigns: Silver_fox (motivation: cyber_espionage) Atlascross Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Silver Fox, китайский злоумышленник, эволюционировала от кампаний, мотивированных финансовой выгодой, до включения шпионажа, нацеленного на Тайвань и Японию с использованием техник фишинга и тайпсквоттинга. Их арсенал включает передовое ВПО, такое как ValleyRAT и AtlasCross, с акцентом на психологическое манипулирование в своих TTPs. Они эксплуатируют доверие через тактики Имперсонация и используют метод Bring Your Own Vulnerable Driver (BYOVD) для обхода мер безопасности, что обеспечивает непрерывный доступ и эксфильтрацию данных.
-----
Группа Silver Fox, китайский злоумышленник, активна как минимум с 2022 года, изначально сосредоточившись на кампаниях, мотивированных финансовой выгодой. По состоянию на 2024 год их операции эволюционировали, чтобы охватить как оппортунистические, так и шпионские активности, расширив диапазон целей от Китая, чтобы включить Тайвань и Японию. На Тайване они особенно использовали фишинг-кампании, имитируя Национальное налоговое бюро для эксплуатации местных налоговых периодов, и применяли техники тайпсквоттинга для отражения местных предпочтений программного обеспечения. К 2025 году, используя улучшенный ValleyRAT, Silver Fox расширил свою зону атак по всей Юго-Восточной Азии, нацеливаясь на такие отрасли, как медицинские, финансовые и корпоративные сектора в странах, включая Малайзию, Индонезию, Сингапур, Таиланд и Филиппины.
Группа разработала сложный арсенал, включающий различные ПО для удаленного доступа (RAT), такие как ValleyRAT и AtlasCross, а также другое ВПО, например Nidhogg и CleverSoar. В настоящее время они не используют общедоступно известные уязвимости в своих атаках. Тактика, техники и процедуры (TTPs) Silver Fox сосредоточены на психологическом манипулировании и технической уклончивости. Их основные векторы атаки — фишинг и Имперсонация, а также метод, известный как Bring Your Own Vulnerable Driver (BYOVD).
Фишинг является ключевой стратегией Silver Fox, где они используют высококастомные фишинговые письма, соответствующие сезонным вопросам, актуальным для их целей. Эти письма часто маскируются под налоговые уведомления или обновления программного обеспечения для финансового управления, с целью заставить получателей загрузить ВПО. Недавние кампании включали многоэтапную доставку полезной нагрузки, где нажатие ссылок в фишинговом письме приводило к загрузке RAT или инструмента Remote Monitoring and Management (RMM), что обеспечивало непрерывный доступ и эксфильтрацию данных из скомпрометированной сети.
В рамках тактик имперсонации Silver Fox маскирует ВПО под доверенное программное обеспечение, включая популярные приложения и отраслевые документы. Они использовали SEO-отравление, чтобы их поддельные страницы загрузки занимали высокие позиции в результатах поиска, заманивая пользователей на загрузку ВПО, такого как AtlasCross RAT, которое обладает возможностями, такими как перехват сессий RDP и внедрение вредоносных DLL в легитимные приложения, например WeChat, для дальнейшего распространения во внутренних сетях.
Техника BYOVD, используемая Silver Fox, опирается на легитимные, но уязвимые драйверы для отключения современных средств защиты, эффективно обходя антивирусные решения и средства обнаружения на конечных точках. Для снижения угрозы, создаваемой данной группой, организациям необходимо ужесточить контроль за электронной почтой и поддельными доменами, внедрить политики, запрещающие использование уязвимых драйверов, усилить механизмы защиты на уровне ядра, а также применять стратегии контроля приложений для ограничения возможностей запуска вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Silver Fox, китайский злоумышленник, эволюционировала от кампаний, мотивированных финансовой выгодой, до включения шпионажа, нацеленного на Тайвань и Японию с использованием техник фишинга и тайпсквоттинга. Их арсенал включает передовое ВПО, такое как ValleyRAT и AtlasCross, с акцентом на психологическое манипулирование в своих TTPs. Они эксплуатируют доверие через тактики Имперсонация и используют метод Bring Your Own Vulnerable Driver (BYOVD) для обхода мер безопасности, что обеспечивает непрерывный доступ и эксфильтрацию данных.
-----
Группа Silver Fox, китайский злоумышленник, активна как минимум с 2022 года, изначально сосредоточившись на кампаниях, мотивированных финансовой выгодой. По состоянию на 2024 год их операции эволюционировали, чтобы охватить как оппортунистические, так и шпионские активности, расширив диапазон целей от Китая, чтобы включить Тайвань и Японию. На Тайване они особенно использовали фишинг-кампании, имитируя Национальное налоговое бюро для эксплуатации местных налоговых периодов, и применяли техники тайпсквоттинга для отражения местных предпочтений программного обеспечения. К 2025 году, используя улучшенный ValleyRAT, Silver Fox расширил свою зону атак по всей Юго-Восточной Азии, нацеливаясь на такие отрасли, как медицинские, финансовые и корпоративные сектора в странах, включая Малайзию, Индонезию, Сингапур, Таиланд и Филиппины.
Группа разработала сложный арсенал, включающий различные ПО для удаленного доступа (RAT), такие как ValleyRAT и AtlasCross, а также другое ВПО, например Nidhogg и CleverSoar. В настоящее время они не используют общедоступно известные уязвимости в своих атаках. Тактика, техники и процедуры (TTPs) Silver Fox сосредоточены на психологическом манипулировании и технической уклончивости. Их основные векторы атаки — фишинг и Имперсонация, а также метод, известный как Bring Your Own Vulnerable Driver (BYOVD).
Фишинг является ключевой стратегией Silver Fox, где они используют высококастомные фишинговые письма, соответствующие сезонным вопросам, актуальным для их целей. Эти письма часто маскируются под налоговые уведомления или обновления программного обеспечения для финансового управления, с целью заставить получателей загрузить ВПО. Недавние кампании включали многоэтапную доставку полезной нагрузки, где нажатие ссылок в фишинговом письме приводило к загрузке RAT или инструмента Remote Monitoring and Management (RMM), что обеспечивало непрерывный доступ и эксфильтрацию данных из скомпрометированной сети.
В рамках тактик имперсонации Silver Fox маскирует ВПО под доверенное программное обеспечение, включая популярные приложения и отраслевые документы. Они использовали SEO-отравление, чтобы их поддельные страницы загрузки занимали высокие позиции в результатах поиска, заманивая пользователей на загрузку ВПО, такого как AtlasCross RAT, которое обладает возможностями, такими как перехват сессий RDP и внедрение вредоносных DLL в легитимные приложения, например WeChat, для дальнейшего распространения во внутренних сетях.
Техника BYOVD, используемая Silver Fox, опирается на легитимные, но уязвимые драйверы для отключения современных средств защиты, эффективно обходя антивирусные решения и средства обнаружения на конечных точках. Для снижения угрозы, создаваемой данной группой, организациям необходимо ужесточить контроль за электронной почтой и поддельными доменами, внедрить политики, запрещающие использование уязвимых драйверов, усилить механизмы защиты на уровне ядра, а также применять стратегии контроля приложений для ограничения возможностей запуска вредоносного ПО.
#ParsedReport #CompletenessLow
28-04-2026
Kimsuky Malware Targets Specialty Pharmaceutical Companies-White Life Sciences ERP Specification Sheet
https://wezard4u.tistory.com/429764
Report completeness: Low
Actors/Campaigns:
Kimsuky
Victims:
Specialty pharmaceutical companies
Industry:
Healthcare, Telco
Geo:
North korean, Korean
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1016.001, T1027, T1033, T1036.005, T1041, T1053.005, T1057, T1059.001, T1059.003, T1059.007, have more...
IOCs:
File: 21
Hash: 3
Command: 1
Soft:
Task Scheduler, Dropbox
Algorithms:
sha256, sha1, xor, md5, base64, rc4
Functions:
Seek, Get-Process
Languages:
powershell, javascript
28-04-2026
Kimsuky Malware Targets Specialty Pharmaceutical Companies-White Life Sciences ERP Specification Sheet
https://wezard4u.tistory.com/429764
Report completeness: Low
Actors/Campaigns:
Kimsuky
Victims:
Specialty pharmaceutical companies
Industry:
Healthcare, Telco
Geo:
North korean, Korean
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016.001, T1027, T1033, T1036.005, T1041, T1053.005, T1057, T1059.001, T1059.003, T1059.007, have more...
IOCs:
File: 21
Hash: 3
Command: 1
Soft:
Task Scheduler, Dropbox
Algorithms:
sha256, sha1, xor, md5, base64, rc4
Functions:
Seek, Get-Process
Languages:
powershell, javascript
꿈을꾸는 파랑새
김수키(Kimsuky) 전문의약품 제약 회사를 노리는 악성코드-화이트 생명과학 ERP 사양서
오늘은 북한 해킹 조직 김수키(Kimsuky)에서는 만든 전문의약품 제약 회사를 노리는 악성코드-화이트 생명과학 ERP 사양서 에 대해서 알아보겠습니다.일단 ERP 사양서는 회사의 업무를 컴퓨터 프로그램으로 옮기려고 누가, 언제, 어디서, 어떤 자료, 어떻게 처리할지를 상세히 기록한 문서라고 생각을 하시면 됩니다. 일단 해당 업체는 전문의약품과 일반 의약품을 생산하는 전문 의약품 생산 업체로 속여서 아마도 다른 곳을 노린 것이 아닐까? 생각이 됩니다.파일명:…
CTT Report Hub
#ParsedReport #CompletenessLow 28-04-2026 Kimsuky Malware Targets Specialty Pharmaceutical Companies-White Life Sciences ERP Specification Sheet https://wezard4u.tistory.com/429764 Report completeness: Low Actors/Campaigns: Kimsuky Victims: Specialty…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Kimsuky нацелено на специализированные фармацевтические компании, маскируясь под документ с именем "White Life Sciences ERP Specification.lnk" и используя техники для имитации файла Excel. После запуска оно выполняет зашифрованные команды PowerShell, которые извлекают полезную нагрузку, скрывая операционные файлы в указанной папке. Вредоносное ПО работает через Dropbox как платформа управления, собирая конфиденциальную информацию и облегчая дальнейшие злонамеренные действия с использованием JavaScript-загрузчика и скриптов PowerShell, демонстрируя продвинутые механизмы обфускации и закрепления.
-----
ВПО Kimsuky целенаправленно атакует специализированные фармацевтические компании, маскируясь под документ с названием "White Life Sciences ERP Specification.lnk". Этот вредоносный файл использует обманные техники, чтобы выглядеть как электронная таблица Excel, эксплуатируя недоверчивость пользователей к расширениям файлов. Полезная нагрузка файла включает различные уровни обфускации, включая использование XOR-шифрования, чтобы скрыть его истинное назначение. При выполнении LNK-файл запускает сложный набор команд PowerShell, направленных на компрометацию системы цели.
Вредоносное ПО использует структурированную последовательность действий, начиная с выполнения PowerShell, который выбирается на основе архитектуры системы для обеспечения совместимости (32-битная или 64-битная). Оно ищет LNK-файлы определенного размера для обнаружения своего полезного груза, извлекая файл-приманку Excel и скрывая свои истинные рабочие файлы в скрытой папке с именем "C:\sysconfigs". Структура команд предназначена для кодирования различных скриптов и полезного груза с использованием шифрования RC4, подчеркивая применение безопасных методов для защиты своей связи с сервером управления (C2).
Одной из основных функций вредоносного ПО является использование Dropbox в качестве платформы C2. Оно собирает конфиденциальную информацию о системе, такую как публичный IP-адрес, список процессов и версия ОС, которую кодирует и загружает в Dropbox. Скрипты вредоносного ПО включают генерацию уникального идентификатора жертвы и выдачу OAuth-токена для аутентификации соединения с Dropbox. Кроме того, оно запрограммировано на загрузку BAT-файла, содержащего команды, из Dropbox, который затем выполняется на скомпрометированной машине.
Структурированные зависимости в ВПО включают загрузчик JavaScript (называемый copa08o.js) и скрипт PowerShell (названный opakib.ps1). Эти компоненты взаимодействуют для обеспечения загрузки и извлечения данных, специфичных для жертвы, а также выполнения дополнительных вредоносных команд. ВПО демонстрирует высокую степень сложности в способности поддерживать закрепление с помощью запланированных задач и эффективно маскировать свои операции, что подчеркивает необходимость бдительности в практике Кибербезопасности в таких уязвимых секторах, как фармацевтика.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Kimsuky нацелено на специализированные фармацевтические компании, маскируясь под документ с именем "White Life Sciences ERP Specification.lnk" и используя техники для имитации файла Excel. После запуска оно выполняет зашифрованные команды PowerShell, которые извлекают полезную нагрузку, скрывая операционные файлы в указанной папке. Вредоносное ПО работает через Dropbox как платформа управления, собирая конфиденциальную информацию и облегчая дальнейшие злонамеренные действия с использованием JavaScript-загрузчика и скриптов PowerShell, демонстрируя продвинутые механизмы обфускации и закрепления.
-----
ВПО Kimsuky целенаправленно атакует специализированные фармацевтические компании, маскируясь под документ с названием "White Life Sciences ERP Specification.lnk". Этот вредоносный файл использует обманные техники, чтобы выглядеть как электронная таблица Excel, эксплуатируя недоверчивость пользователей к расширениям файлов. Полезная нагрузка файла включает различные уровни обфускации, включая использование XOR-шифрования, чтобы скрыть его истинное назначение. При выполнении LNK-файл запускает сложный набор команд PowerShell, направленных на компрометацию системы цели.
Вредоносное ПО использует структурированную последовательность действий, начиная с выполнения PowerShell, который выбирается на основе архитектуры системы для обеспечения совместимости (32-битная или 64-битная). Оно ищет LNK-файлы определенного размера для обнаружения своего полезного груза, извлекая файл-приманку Excel и скрывая свои истинные рабочие файлы в скрытой папке с именем "C:\sysconfigs". Структура команд предназначена для кодирования различных скриптов и полезного груза с использованием шифрования RC4, подчеркивая применение безопасных методов для защиты своей связи с сервером управления (C2).
Одной из основных функций вредоносного ПО является использование Dropbox в качестве платформы C2. Оно собирает конфиденциальную информацию о системе, такую как публичный IP-адрес, список процессов и версия ОС, которую кодирует и загружает в Dropbox. Скрипты вредоносного ПО включают генерацию уникального идентификатора жертвы и выдачу OAuth-токена для аутентификации соединения с Dropbox. Кроме того, оно запрограммировано на загрузку BAT-файла, содержащего команды, из Dropbox, который затем выполняется на скомпрометированной машине.
Структурированные зависимости в ВПО включают загрузчик JavaScript (называемый copa08o.js) и скрипт PowerShell (названный opakib.ps1). Эти компоненты взаимодействуют для обеспечения загрузки и извлечения данных, специфичных для жертвы, а также выполнения дополнительных вредоносных команд. ВПО демонстрирует высокую степень сложности в способности поддерживать закрепление с помощью запланированных задач и эффективно маскировать свои операции, что подчеркивает необходимость бдительности в практике Кибербезопасности в таких уязвимых секторах, как фармацевтика.
#ParsedReport #CompletenessHigh
28-04-2026
Hiding in plain sight: How PhantomCore disguises its activity with legitimate tools
https://ptsecurity.com/research/pt-esc-threat-intelligence/hiding-in-plain-sight-how-phantomcore-masks-its-activity-with-legitimate-tools/
Report completeness: High
Actors/Campaigns:
Phantomcore
Threats:
Phantomcore
Rsocx_tool
Tsocks_tool
Wstunnel_tool
Microsocks_tool
Localtonet_tool
Phantomsscp_tool
Mactunnelrat
Phantomproxylite_tool
Phantompxpigeon
Dumpit_tool
Memprocfs_tool
Adrecon_tool
Lolbin_technique
Trojan.win32.recon.c
Spear-phishing_technique
Impacket_tool
Credential_dumping_technique
Smbexec_tool
Winrm_tool
Lockbit
Phantomheart
Evil-winrm_tool
Socks5proxy_tool
Phantomrshell
Victims:
Russian organizations, Public organizations, Private organizations, Video conferencing servers
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 12
Technics: 43
IOCs:
File: 48
Command: 17
Path: 9
Hash: 20
Url: 1
Registry: 1
IP: 19
Soft:
Rsocx, TrueConf, OpenGL, Velociraptor, OpenSSH, Linux, Windows Service, Active Directory, Windows Defender, Windows PowerShell, have more...
Algorithms:
xor, md5, sha256, aes-128-cbc, sha1, aes-128, base64, cbc, fnv-1a
Functions:
MiniDump, Set-MpPreference, taskId, taskType, Get-OrCreatePortFromRegistry
Win API:
GetSystemFirmwareTable, GetUserNameW, NetUserAdd f, LookupAccountNameW, ConvertStringSidToSidW, NetLocalGroupAddMembers
Win Services:
WEBclient
Languages:
rust, php, python, powershell
Links:
have more...
28-04-2026
Hiding in plain sight: How PhantomCore disguises its activity with legitimate tools
https://ptsecurity.com/research/pt-esc-threat-intelligence/hiding-in-plain-sight-how-phantomcore-masks-its-activity-with-legitimate-tools/
Report completeness: High
Actors/Campaigns:
Phantomcore
Threats:
Phantomcore
Rsocx_tool
Tsocks_tool
Wstunnel_tool
Microsocks_tool
Localtonet_tool
Phantomsscp_tool
Mactunnelrat
Phantomproxylite_tool
Phantompxpigeon
Dumpit_tool
Memprocfs_tool
Adrecon_tool
Lolbin_technique
Trojan.win32.recon.c
Spear-phishing_technique
Impacket_tool
Credential_dumping_technique
Smbexec_tool
Winrm_tool
Lockbit
Phantomheart
Evil-winrm_tool
Socks5proxy_tool
Phantomrshell
Victims:
Russian organizations, Public organizations, Private organizations, Video conferencing servers
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 12
Technics: 43
IOCs:
File: 48
Command: 17
Path: 9
Hash: 20
Url: 1
Registry: 1
IP: 19
Soft:
Rsocx, TrueConf, OpenGL, Velociraptor, OpenSSH, Linux, Windows Service, Active Directory, Windows Defender, Windows PowerShell, have more...
Algorithms:
xor, md5, sha256, aes-128-cbc, sha1, aes-128, base64, cbc, fnv-1a
Functions:
MiniDump, Set-MpPreference, taskId, taskType, Get-OrCreatePortFromRegistry
Win API:
GetSystemFirmwareTable, GetUserNameW, NetUserAdd f, LookupAccountNameW, ConvertStringSidToSidW, NetLocalGroupAddMembers
Win Services:
WEBclient
Languages:
rust, php, python, powershell
Links:
https://github.com/dokan-dev/dokanyhttps://github.com/ufrisk/MemProcFS?tab=readme-ov-filehttps://github.com/b23r0/rsocx/tree/mainhave more...
CTT Report Hub
#ParsedReport #CompletenessHigh 28-04-2026 Hiding in plain sight: How PhantomCore disguises its activity with legitimate tools https://ptsecurity.com/research/pt-esc-threat-intelligence/hiding-in-plain-sight-how-phantomcore-masks-its-activity-with-legitimate…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PhantomCore, активная преступная группировка, с сентября 2025 года атакует серверы видеоконференцсвязи TrueConf, эксплуатируя уязвимости удаленного выполнения команд для первоначального доступа. Они развертывают кастомные инструменты, включая MacTunnelRAT и модифицированные утилиты с открытым исходным кодом, для закрепления и обеспечения обратного туннелирования SSH. Методы, используемые для сбора учетных записей, включают извлечение из оперативной памяти, дампинг процессов и внутреннюю разведку с использованием скомпрометированных учетных данных, что дополнительно усиливается тактиками фишинга с использованием вредоносных LNK-файлов.
-----
PhantomCore, активная преступная группировка в российском киберпространстве, с сентября 2025 года всё чаще атакует серверы видеоконференцсвязи TrueConf. Они используют ряд уязвимостей в TrueConf для получения первоначального доступа, в частности уязвимости, связанные с удалённым выполнением команд. Чтобы скрыть следы и обеспечить закрепление в скомпрометированных сетях, они применяют набор модифицированных утилит с открытым исходным кодом, включая их собственные инструменты, такие как MacTunnelRAT и PhantomSscp, которые позволяют создавать обратные SSH-туннели и туннелировать трафик.
Первоначальный доступ часто начинается с эксплуатации уязвимостей, выявленных в сервисе TrueConf, что позволяет злоумышленникам выполнять произвольные команды в контексте процесса tc_webmgr. Эта эксплуатация фиксируется в журналах сервера TrueConf, при этом конкретные сообщения об ошибках указывают на попытки внедрения команд. После первоначальной компрометации на сервере развертываются такие инструменты, как PHP веб-шеллы (например, http.php и conference.php), обеспечивающие возможности удаленной загрузки файлов и выполнения команд. Веб-шеллы создаются таким образом, чтобы обмануть защитников, имитируя легитимный трафик.
PhantomCore использует несколько отличительных техник для сбора учетных записей, включая извлечение из оперативной памяти с помощью таких инструментов, как DumpIT и MemProcFS в сочетании с библиотекой Dokan, которая создает точку монтирования файловой системы для дампа оперативной памяти. Злоумышленники также применяют распространенные тактики, такие как дампинг процесса LSASS и извлечение данных из базы данных NTDS, что дополнительно укрепляет их позиции в сети.
Для внутренней разведки они используют скомпрометированные учетные данные для перемещения по сети с помощью таких протоколов, как RDP и WinRM, часто применяя Evil-WinRM для расширенных возможностей управления. Они также создают запланированные задачи и Службы Windows, маскирующиеся под легитимные процессы, для поддержания закрепления, что приводит к выполнению скриптов PowerShell и другого ВПО по всей системе.
Что касается их арсенала ВПО, PhantomCore модифицирует такие инструменты, как rsocx, tsocks и microsocks, для туннелирования трафика, что позволяет им маршрутизировать сетевой трафик и поддерживать контроль над скомпрометированными средами. Они применяют передовые техники, включая внедрение процессов и маскированные Службы Windows, чтобы избежать обнаружения и обеспечить непрерывный доступ.
В дополнение к эксплуатации уязвимостей программного обеспечения PhantomCore использует фишинг для первоначального доступа, часто применяя вредоносные LNK-файлы, замаскированные под обычные форматы документов, которые используют PowerShell для выполнения произвольных команд.
В заключение, PhantomCore использует сложный набор инструментов и различные методы для эксплуатации уязвимостей, перехвата управления системами и навигации по сетевым инфраструктурам, что подчеркивает их возможности в рамках постоянной кибершпионажной деятельности и скоординированного похищения конфиденциальных данных в корпоративных средах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PhantomCore, активная преступная группировка, с сентября 2025 года атакует серверы видеоконференцсвязи TrueConf, эксплуатируя уязвимости удаленного выполнения команд для первоначального доступа. Они развертывают кастомные инструменты, включая MacTunnelRAT и модифицированные утилиты с открытым исходным кодом, для закрепления и обеспечения обратного туннелирования SSH. Методы, используемые для сбора учетных записей, включают извлечение из оперативной памяти, дампинг процессов и внутреннюю разведку с использованием скомпрометированных учетных данных, что дополнительно усиливается тактиками фишинга с использованием вредоносных LNK-файлов.
-----
PhantomCore, активная преступная группировка в российском киберпространстве, с сентября 2025 года всё чаще атакует серверы видеоконференцсвязи TrueConf. Они используют ряд уязвимостей в TrueConf для получения первоначального доступа, в частности уязвимости, связанные с удалённым выполнением команд. Чтобы скрыть следы и обеспечить закрепление в скомпрометированных сетях, они применяют набор модифицированных утилит с открытым исходным кодом, включая их собственные инструменты, такие как MacTunnelRAT и PhantomSscp, которые позволяют создавать обратные SSH-туннели и туннелировать трафик.
Первоначальный доступ часто начинается с эксплуатации уязвимостей, выявленных в сервисе TrueConf, что позволяет злоумышленникам выполнять произвольные команды в контексте процесса tc_webmgr. Эта эксплуатация фиксируется в журналах сервера TrueConf, при этом конкретные сообщения об ошибках указывают на попытки внедрения команд. После первоначальной компрометации на сервере развертываются такие инструменты, как PHP веб-шеллы (например, http.php и conference.php), обеспечивающие возможности удаленной загрузки файлов и выполнения команд. Веб-шеллы создаются таким образом, чтобы обмануть защитников, имитируя легитимный трафик.
PhantomCore использует несколько отличительных техник для сбора учетных записей, включая извлечение из оперативной памяти с помощью таких инструментов, как DumpIT и MemProcFS в сочетании с библиотекой Dokan, которая создает точку монтирования файловой системы для дампа оперативной памяти. Злоумышленники также применяют распространенные тактики, такие как дампинг процесса LSASS и извлечение данных из базы данных NTDS, что дополнительно укрепляет их позиции в сети.
Для внутренней разведки они используют скомпрометированные учетные данные для перемещения по сети с помощью таких протоколов, как RDP и WinRM, часто применяя Evil-WinRM для расширенных возможностей управления. Они также создают запланированные задачи и Службы Windows, маскирующиеся под легитимные процессы, для поддержания закрепления, что приводит к выполнению скриптов PowerShell и другого ВПО по всей системе.
Что касается их арсенала ВПО, PhantomCore модифицирует такие инструменты, как rsocx, tsocks и microsocks, для туннелирования трафика, что позволяет им маршрутизировать сетевой трафик и поддерживать контроль над скомпрометированными средами. Они применяют передовые техники, включая внедрение процессов и маскированные Службы Windows, чтобы избежать обнаружения и обеспечить непрерывный доступ.
В дополнение к эксплуатации уязвимостей программного обеспечения PhantomCore использует фишинг для первоначального доступа, часто применяя вредоносные LNK-файлы, замаскированные под обычные форматы документов, которые используют PowerShell для выполнения произвольных команд.
В заключение, PhantomCore использует сложный набор инструментов и различные методы для эксплуатации уязвимостей, перехвата управления системами и навигации по сетевым инфраструктурам, что подчеркивает их возможности в рамках постоянной кибершпионажной деятельности и скоординированного похищения конфиденциальных данных в корпоративных средах.
#ParsedReport #CompletenessMedium
23-04-2026
Fake Document, Real Access: Foxit Impersonation Enables Stealth VNC Control
https://blog.gdatasoftware.com/2026/04/38409-fake-foxit-vnc
Report completeness: Medium
Threats:
Ultra_vnc_tool
Notfoxit
Evilvnc
Victims:
Foxit software users, Pdf software users
Geo:
United kingdom, Danish, Ukraine, Germany
TTPs:
Tactics: 3
Technics: 8
IOCs:
File: 7
Url: 2
Hash: 5
Domain: 1
Soft:
Foxit, Windows Installer
Platforms:
intel
23-04-2026
Fake Document, Real Access: Foxit Impersonation Enables Stealth VNC Control
https://blog.gdatasoftware.com/2026/04/38409-fake-foxit-vnc
Report completeness: Medium
Threats:
Ultra_vnc_tool
Notfoxit
Evilvnc
Victims:
Foxit software users, Pdf software users
Geo:
United kingdom, Danish, Ukraine, Germany
TTPs:
Tactics: 3
Technics: 8
IOCs:
File: 7
Url: 2
Hash: 5
Domain: 1
Soft:
Foxit, Windows Installer
Platforms:
intel
Gdatasoftware
Foxit Impersonation: Fake PDF Installer Deploys VNC Malware
Attackers impersonate Foxit PDF Reader to spread malware via fake installers. Learn how this campaign uses UltraVNC for stealthy remote access.