#technique

Linux ELF Malware Generator Evades ML Detection With Semantic-Preserving Changes

https://arxiv.org/pdf/2604.22639

#ParsedReport #CompletenessLow
28-04-2026

✅ Report Title: Threat Group Profile: Silver Fox

https://s2w.inc/en/resource/detail/1050

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: cyber_espionage)
Atlascross

Threats:
Typosquatting_technique
Valleyrat
Winos
Nidhogg
Holdinghands
Cleversoar
Cringe
Pngplug
Catena
Gh0st_rat
Byovd_technique
Spear-phishing_technique
Seo_poisoning_technique

Victims:
Individual users, Medical, Financial, Corporate, China, Taiwan, Japan, Southeast asia, Malaysia, Indonesia, have more...

Industry:
Healthcare

Geo:
Singapore, Asia, Philippines, Taiwan, China, Japan, Malaysia, Indonesia, Thailand

ChatGPT TTPs:
do not use without manual check
T1036, T1055.001, T1105, T1204.001, T1204.002, T1219, T1560, T1563.002, T1566.001, T1567, have more...

IOCs:
File: 4

Soft:
Telegram, Zoom, Microsoft Teams, WeChat

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Silver Fox, китайский злоумышленник, эволюционировала от кампаний, мотивированных финансовой выгодой, до включения шпионажа, нацеленного на Тайвань и Японию с использованием техник фишинга и тайпсквоттинга. Их арсенал включает передовое ВПО, такое как ValleyRAT и AtlasCross, с акцентом на психологическое манипулирование в своих TTPs. Они эксплуатируют доверие через тактики Имперсонация и используют метод Bring Your Own Vulnerable Driver (BYOVD) для обхода мер безопасности, что обеспечивает непрерывный доступ и эксфильтрацию данных.
-----

Группа Silver Fox, китайский злоумышленник, активна как минимум с 2022 года, изначально сосредоточившись на кампаниях, мотивированных финансовой выгодой. По состоянию на 2024 год их операции эволюционировали, чтобы охватить как оппортунистические, так и шпионские активности, расширив диапазон целей от Китая, чтобы включить Тайвань и Японию. На Тайване они особенно использовали фишинг-кампании, имитируя Национальное налоговое бюро для эксплуатации местных налоговых периодов, и применяли техники тайпсквоттинга для отражения местных предпочтений программного обеспечения. К 2025 году, используя улучшенный ValleyRAT, Silver Fox расширил свою зону атак по всей Юго-Восточной Азии, нацеливаясь на такие отрасли, как медицинские, финансовые и корпоративные сектора в странах, включая Малайзию, Индонезию, Сингапур, Таиланд и Филиппины.

Группа разработала сложный арсенал, включающий различные ПО для удаленного доступа (RAT), такие как ValleyRAT и AtlasCross, а также другое ВПО, например Nidhogg и CleverSoar. В настоящее время они не используют общедоступно известные уязвимости в своих атаках. Тактика, техники и процедуры (TTPs) Silver Fox сосредоточены на психологическом манипулировании и технической уклончивости. Их основные векторы атаки — фишинг и Имперсонация, а также метод, известный как Bring Your Own Vulnerable Driver (BYOVD).

Фишинг является ключевой стратегией Silver Fox, где они используют высококастомные фишинговые письма, соответствующие сезонным вопросам, актуальным для их целей. Эти письма часто маскируются под налоговые уведомления или обновления программного обеспечения для финансового управления, с целью заставить получателей загрузить ВПО. Недавние кампании включали многоэтапную доставку полезной нагрузки, где нажатие ссылок в фишинговом письме приводило к загрузке RAT или инструмента Remote Monitoring and Management (RMM), что обеспечивало непрерывный доступ и эксфильтрацию данных из скомпрометированной сети.

В рамках тактик имперсонации Silver Fox маскирует ВПО под доверенное программное обеспечение, включая популярные приложения и отраслевые документы. Они использовали SEO-отравление, чтобы их поддельные страницы загрузки занимали высокие позиции в результатах поиска, заманивая пользователей на загрузку ВПО, такого как AtlasCross RAT, которое обладает возможностями, такими как перехват сессий RDP и внедрение вредоносных DLL в легитимные приложения, например WeChat, для дальнейшего распространения во внутренних сетях.

Техника BYOVD, используемая Silver Fox, опирается на легитимные, но уязвимые драйверы для отключения современных средств защиты, эффективно обходя антивирусные решения и средства обнаружения на конечных точках. Для снижения угрозы, создаваемой данной группой, организациям необходимо ужесточить контроль за электронной почтой и поддельными доменами, внедрить политики, запрещающие использование уязвимых драйверов, усилить механизмы защиты на уровне ядра, а также применять стратегии контроля приложений для ограничения возможностей запуска вредоносного ПО.

#ParsedReport #CompletenessLow
28-04-2026

Kimsuky Malware Targets Specialty Pharmaceutical Companies-White Life Sciences ERP Specification Sheet

https://wezard4u.tistory.com/429764

Report completeness: Low

Actors/Campaigns:
Kimsuky

Victims:
Specialty pharmaceutical companies

Industry:
Healthcare, Telco

Geo:
North korean, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016.001, T1027, T1033, T1036.005, T1041, T1053.005, T1057, T1059.001, T1059.003, T1059.007, have more...

IOCs:
File: 21
Hash: 3
Command: 1

Soft:
Task Scheduler, Dropbox

Algorithms:
sha256, sha1, xor, md5, base64, rc4

Functions:
Seek, Get-Process

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Kimsuky нацелено на специализированные фармацевтические компании, маскируясь под документ с именем "White Life Sciences ERP Specification.lnk" и используя техники для имитации файла Excel. После запуска оно выполняет зашифрованные команды PowerShell, которые извлекают полезную нагрузку, скрывая операционные файлы в указанной папке. Вредоносное ПО работает через Dropbox как платформа управления, собирая конфиденциальную информацию и облегчая дальнейшие злонамеренные действия с использованием JavaScript-загрузчика и скриптов PowerShell, демонстрируя продвинутые механизмы обфускации и закрепления.
-----

ВПО Kimsuky целенаправленно атакует специализированные фармацевтические компании, маскируясь под документ с названием "White Life Sciences ERP Specification.lnk". Этот вредоносный файл использует обманные техники, чтобы выглядеть как электронная таблица Excel, эксплуатируя недоверчивость пользователей к расширениям файлов. Полезная нагрузка файла включает различные уровни обфускации, включая использование XOR-шифрования, чтобы скрыть его истинное назначение. При выполнении LNK-файл запускает сложный набор команд PowerShell, направленных на компрометацию системы цели.

Вредоносное ПО использует структурированную последовательность действий, начиная с выполнения PowerShell, который выбирается на основе архитектуры системы для обеспечения совместимости (32-битная или 64-битная). Оно ищет LNK-файлы определенного размера для обнаружения своего полезного груза, извлекая файл-приманку Excel и скрывая свои истинные рабочие файлы в скрытой папке с именем "C:\sysconfigs". Структура команд предназначена для кодирования различных скриптов и полезного груза с использованием шифрования RC4, подчеркивая применение безопасных методов для защиты своей связи с сервером управления (C2).

Одной из основных функций вредоносного ПО является использование Dropbox в качестве платформы C2. Оно собирает конфиденциальную информацию о системе, такую как публичный IP-адрес, список процессов и версия ОС, которую кодирует и загружает в Dropbox. Скрипты вредоносного ПО включают генерацию уникального идентификатора жертвы и выдачу OAuth-токена для аутентификации соединения с Dropbox. Кроме того, оно запрограммировано на загрузку BAT-файла, содержащего команды, из Dropbox, который затем выполняется на скомпрометированной машине.

Структурированные зависимости в ВПО включают загрузчик JavaScript (называемый copa08o.js) и скрипт PowerShell (названный opakib.ps1). Эти компоненты взаимодействуют для обеспечения загрузки и извлечения данных, специфичных для жертвы, а также выполнения дополнительных вредоносных команд. ВПО демонстрирует высокую степень сложности в способности поддерживать закрепление с помощью запланированных задач и эффективно маскировать свои операции, что подчеркивает необходимость бдительности в практике Кибербезопасности в таких уязвимых секторах, как фармацевтика.

#ParsedReport #CompletenessHigh
28-04-2026

Hiding in plain sight: How PhantomCore disguises its activity with legitimate tools

https://ptsecurity.com/research/pt-esc-threat-intelligence/hiding-in-plain-sight-how-phantomcore-masks-its-activity-with-legitimate-tools/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Rsocx_tool
Tsocks_tool
Wstunnel_tool
Microsocks_tool
Localtonet_tool
Phantomsscp_tool
Mactunnelrat
Phantomproxylite_tool
Phantompxpigeon
Dumpit_tool
Memprocfs_tool
Adrecon_tool
Lolbin_technique
Trojan.win32.recon.c
Spear-phishing_technique
Impacket_tool
Credential_dumping_technique
Smbexec_tool
Winrm_tool
Lockbit
Phantomheart
Evil-winrm_tool
Socks5proxy_tool
Phantomrshell

Victims:
Russian organizations, Public organizations, Private organizations, Video conferencing servers

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 12
Technics: 43

IOCs:
File: 48
Command: 17
Path: 9
Hash: 20
Url: 1
Registry: 1
IP: 19

Soft:
Rsocx, TrueConf, OpenGL, Velociraptor, OpenSSH, Linux, Windows Service, Active Directory, Windows Defender, Windows PowerShell, have more...

Algorithms:
xor, md5, sha256, aes-128-cbc, sha1, aes-128, base64, cbc, fnv-1a

Functions:
MiniDump, Set-MpPreference, taskId, taskType, Get-OrCreatePortFromRegistry

Win API:
GetSystemFirmwareTable, GetUserNameW, NetUserAdd f, LookupAccountNameW, ConvertStringSidToSidW, NetLocalGroupAddMembers

Win Services:
WEBclient

Languages:
rust, php, python, powershell

Links:
https://github.com/dokan-dev/dokany
https://github.com/ufrisk/MemProcFS?tab=readme-ov-file
https://github.com/b23r0/rsocx/tree/main
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCore, активная преступная группировка, с сентября 2025 года атакует серверы видеоконференцсвязи TrueConf, эксплуатируя уязвимости удаленного выполнения команд для первоначального доступа. Они развертывают кастомные инструменты, включая MacTunnelRAT и модифицированные утилиты с открытым исходным кодом, для закрепления и обеспечения обратного туннелирования SSH. Методы, используемые для сбора учетных записей, включают извлечение из оперативной памяти, дампинг процессов и внутреннюю разведку с использованием скомпрометированных учетных данных, что дополнительно усиливается тактиками фишинга с использованием вредоносных LNK-файлов.
-----

PhantomCore, активная преступная группировка в российском киберпространстве, с сентября 2025 года всё чаще атакует серверы видеоконференцсвязи TrueConf. Они используют ряд уязвимостей в TrueConf для получения первоначального доступа, в частности уязвимости, связанные с удалённым выполнением команд. Чтобы скрыть следы и обеспечить закрепление в скомпрометированных сетях, они применяют набор модифицированных утилит с открытым исходным кодом, включая их собственные инструменты, такие как MacTunnelRAT и PhantomSscp, которые позволяют создавать обратные SSH-туннели и туннелировать трафик.

Первоначальный доступ часто начинается с эксплуатации уязвимостей, выявленных в сервисе TrueConf, что позволяет злоумышленникам выполнять произвольные команды в контексте процесса tc_webmgr. Эта эксплуатация фиксируется в журналах сервера TrueConf, при этом конкретные сообщения об ошибках указывают на попытки внедрения команд. После первоначальной компрометации на сервере развертываются такие инструменты, как PHP веб-шеллы (например, http.php и conference.php), обеспечивающие возможности удаленной загрузки файлов и выполнения команд. Веб-шеллы создаются таким образом, чтобы обмануть защитников, имитируя легитимный трафик.

PhantomCore использует несколько отличительных техник для сбора учетных записей, включая извлечение из оперативной памяти с помощью таких инструментов, как DumpIT и MemProcFS в сочетании с библиотекой Dokan, которая создает точку монтирования файловой системы для дампа оперативной памяти. Злоумышленники также применяют распространенные тактики, такие как дампинг процесса LSASS и извлечение данных из базы данных NTDS, что дополнительно укрепляет их позиции в сети.

Для внутренней разведки они используют скомпрометированные учетные данные для перемещения по сети с помощью таких протоколов, как RDP и WinRM, часто применяя Evil-WinRM для расширенных возможностей управления. Они также создают запланированные задачи и Службы Windows, маскирующиеся под легитимные процессы, для поддержания закрепления, что приводит к выполнению скриптов PowerShell и другого ВПО по всей системе.

Что касается их арсенала ВПО, PhantomCore модифицирует такие инструменты, как rsocx, tsocks и microsocks, для туннелирования трафика, что позволяет им маршрутизировать сетевой трафик и поддерживать контроль над скомпрометированными средами. Они применяют передовые техники, включая внедрение процессов и маскированные Службы Windows, чтобы избежать обнаружения и обеспечить непрерывный доступ.

В дополнение к эксплуатации уязвимостей программного обеспечения PhantomCore использует фишинг для первоначального доступа, часто применяя вредоносные LNK-файлы, замаскированные под обычные форматы документов, которые используют PowerShell для выполнения произвольных команд.

В заключение, PhantomCore использует сложный набор инструментов и различные методы для эксплуатации уязвимостей, перехвата управления системами и навигации по сетевым инфраструктурам, что подчеркивает их возможности в рамках постоянной кибершпионажной деятельности и скоординированного похищения конфиденциальных данных в корпоративных средах.

#ParsedReport #CompletenessMedium
23-04-2026

Fake Document, Real Access: Foxit Impersonation Enables Stealth VNC Control

https://blog.gdatasoftware.com/2026/04/38409-fake-foxit-vnc

Report completeness: Medium

Threats:
Ultra_vnc_tool
Notfoxit
Evilvnc

Victims:
Foxit software users, Pdf software users

Geo:
United kingdom, Danish, Ukraine, Germany

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 7
Url: 2
Hash: 5
Domain: 1

Soft:
Foxit, Windows Installer

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют доверие пользователей, маскируясь под программу для чтения PDF-файлов Foxit с помощью троянских установщиков, которые обманом заставляют пользователей выполнить установку. Эти вредоносные файлы, названные так, чтобы казаться безобидными, инициируют скрытую загрузку маскированного MSI-пакета и устанавливают сервер UltraVNC, замаскированный под легитимные файлы, что обеспечивает удаленный доступ без обнаружения. Кампания демонстрирует широкий географический охват, применяя такие техники, как маскировка, обфускация и скрипты автозапуска, чтобы обеспечить постоянное управление и обход защиты.
-----

Ландшафт угроз продемонстрировал значительное использование доверия пользователей, особенно через имперсонацию легитимного программного обеспечения, такого как Foxit, широко используемого PDF-ридера. Вместо эксплуатации уязвимостей внутри самого Foxit, злоумышленники применяют техники, основанные на обмане пользователей с целью установки троянизированных установщиков, замаскированных под легитимное ПО. Эти поддельные установщики распространяются различными способами, включая отравление поисковых систем, при этом кампании, зафиксированные в 2024 году, продемонстрировали опору на этот метод для масштабирования.

Злоумышленники используют имена файлов, которые выглядят безобидно, такие как Datei.exe, 1.exe и Document09.10.2025.exe, которые обманчиво созданы, чтобы выглядеть как безвредные файлы документов. Эта тактика именования играет на ожиданиях пользователей, заставляя их игнорировать несоответствия, которые могут указывать на потенциальные угрозы. После запуска эти вредоносные файлы инициируют загрузку маскированного MSI-пакета, который имитирует легитимный компонент Foxit. Однако этот поддельный установщик отклоняется от ожидаемого поведения; вместо того чтобы отображать типичные интерфейсы установки, он скрытно устанавливает компоненты, не вызывая тревог, по сути, обходя внимание пользователей.

В основе этой кампании лежит развертывание скрытого сервера UltraVNC — инструмента удаленного доступа, который злоумышленники маскируют под легитимные файлы GPU и драйверов в каталоге C:\intel-GPU. Такая обфускация направлена на избегание обнаружения, даже пользователями с умеренной технической квалификацией. В результате создается скрытый и устойчивый механизм для удаленного управления зараженными системами.

Отмечено географическое распространение кампании: данные телеметрии VirusTotal указывают на обнаружения в нескольких регионах, включая Германию, США, Великобританию и Украину. Это свидетельствует о широкомасштабной операции, а не о целевой работе с ограниченным кругом целей.

Соотнесение этой атаки с фреймворком MITRE ATT&CK выявляет несколько техник, использованных злоумышленниками: Маскировка через использование метаданных в стиле Foxit, полагание на пользователей для запуска поддельных установщиков, применение зашифрованных и закодированных файлов для сокрытия компонентов, эксплуатация выполнения прокси-бинарных файлов с подписью через MSI-файл и развертывание UltraVNC для обеспечения удаленного доступа. Закрепление достигается с помощью скриптов, автоматически запускающих ВПО, тактики обхода защиты включают использование скрытого пользовательского интерфейса и имен файлов, имитирующих легитимные драйверы. В совокупности эти стратегии демонстрируют сложный и многогранный подход к распространению вредоносного программного обеспечения и компрометации удаленных систем.

#ParsedReport #CompletenessLow
28-04-2026

M3rx ransomware: inside a new leak-site actor and Go encryptor

https://www.derp.ca/research/m3rx-ransomware-go-encryptor/

Report completeness: Low

Threats:
M3rx

Geo:
Switzerland, Australia, Canada

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1070.004, T1486

IOCs:
File: 3
Domain: 2
Hash: 3
Path: 2

Crypto:
bitcoin

Algorithms:
aes-gcm, aes, md5, aes-256, sha256, sha1, ecdh, aes-ctr, curve25519, gzip

Win API:
SHEmptyRecycleBin, decompress, RmShutdown

Languages:
powershell

Platforms:
x64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
M3rx — это новый вариант ransomware, который работает на основе Windows-шифровальщика и выделенного сайта утечек. Он нацелен на пользовательские файлы, переименовывая их с расширением .8hmlsewu и используя методы шифрования, такие как обмен ключами X25519 для управления ключами, AES-CTR для шифрования содержимого файлов и AES-GCM для инкапсуляции ключей. Ransomware демонстрирует уникальное поведение, включая саморазрушение через PowerShell и запись зашифрованной заметки для восстановления, при этом его происхождение и связи с известными злоумышленниками остаются неподтвержденными.
-----

M3rx — это новый вариант ransomware-программы, который инкапсулирует свою деятельность в рамках выделенного сайта утечек и использует шифровальщик на базе Windows. По состоянию на 27 апреля 2026 года актор опубликовал шесть публичных сообщений, описывающих его деятельность, что указывает на активное участие M3rx в атаках с использованием ransomware. Значительная активность наблюдалась 23 и 26 апреля, с заявлениями о нацеливании на жертв в США, Канаде, Австралии, Великобритании и Швейцарии, хотя атрибуция к какому-либо известному злоумышленнику или группе остается неподтвержденной.

Технический анализ вредоносного ПО M3rx показывает, что оно использует бинарный файл PE32+ x64, написанный на языке Go, который был передан на анализ 25 апреля 2026 года. Поведение вредоносного ПО включает запись зашифрованного сообщения о восстановлении в файл RECOVERY_NOTES.TXT, переименование затронутых файлов в случайные 16-символьные строки, состоящие из букв и цифр, с добавлением специфического расширения .8hmlsewu, очистку Корзины и выполнение команды PowerShell для удаления самого себя после завершения работы, если не указано иное.

С точки зрения криптографии M3rx использует сложную стратегию управления ключами. Шифровальщик применяет обмен ключами X25519 при каждом запуске, AES-CTR для шифрования содержимого файлов и AES-GCM для инкапсуляции индивидуальных AES-ключей для каждого файла, с добавлением фиксированного хвоста размером 0x400 байт для проверки целостности файлов. Наличие восстанавливаемой конфигурации внутри бинарного файла позволяет аналитикам исследовать детали его операционных параметров, хотя его базовый блок данных хранится в формате, который становится узнаваемым после обработки.

Анализированный образец указывает, что M3rx нацелен на пользовательские файлы, шифруя их и оставляя их с указанным выше расширением файла, а также выполняя процедуры очистки, направленные на затруднение процессов восстановления. Структура и операции бинарного файла подчеркивают потенциальные возможности для обнаружения и смягчения, такие как распознавание расширения файла и конкретного шаблона футера, который он использует. Тем не менее, связь M3rx с какой-либо установленной киберпреступной организацией или тактиками остается неопределенной на данный момент, что делает его уникальной сущностью в развивающемся ландшафте угроз программ-вымогателей.

#ParsedReport #CompletenessHigh
20-04-2026

Nightmare-Eclipse Tooling Moves From Public PoC to Real-World Intrusion

https://www.huntress.com/blog/nightmare-eclipse-intrusion

Report completeness: High

Threats:
Nightmare_eclipse_tool
Bluehammer_tool
Redsun_tool
Undefend_tool
Beigeburrow_tool
Yamux_tool
Toctou_vuln
Shadow_copies_delete_technique
Dirty_cow_vuln
Credential_harvesting_technique

Victims:
Organizations using fortigate ssl vpn, Windows environments

Geo:
Singapore, Switzerland, Russian, Russian federation, Russia

CVEs:
CVE-2026-33825 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft defender_antimalware_platform (<4.18.26030.3011)


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Path: 6
IP: 3
Domain: 1
Hash: 1

Soft:
Windows Defender, Linux, indows Defender wi

Algorithms:
sha256

Functions:
runAgent, DefaultConfig

Win Services:
WinDefend

Platforms:
intel

YARA: Found

Links:
https://github.com/hashicorp/yamux
https://github.com/RussianPanda95/Yara-Rules/blob/main/BeigeBurrow/win\_mal\_BeigeBurrow.yar
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Huntress сообщил об использовании набора инструментов Nightmare-Eclipse, который эксплуатирует уязвимости в Windows Defender с помощью таких инструментов, как BlueHammer и RedSun, для повышения привилегий на локальном уровне. BlueHammer манипулирует уязвимостью TOCTOU для доступа к базе данных диспетчера учетных записей безопасности (SAM), в то время как RedSun обеспечивает доступ на уровне SYSTEM посредством состояния гонки. Расследование также связало атаки с агентом туннелирования BeigeBurrow на базе Go, вредоносным бинарным файлом, обеспечивающим постоянное обратное подключение к серверу управления (command-and-control) по протоколам HTTP/S.
-----

Huntress сообщил об использовании набора инструментов Nightmare-Eclipse в ходе расследования реальной атаки. Эта активность включала эксплуатацию уязвимостей в Windows Defender с использованием трёх основных инструментов: BlueHammer, RedSun и UnDefend, которые основаны на публичных доказательствах концепции (PoC) эксплойтов. Атаки были прослежены до скомпрометированного доступа к SSL VPN FortiGate, связанного с несколькими подозрительными исходными IP-адресами, особенно с одним, идентифицированным как находящийся в России. Примечательно, что артефакты этих атак часто обнаруживались в директориях, доступных для записи пользователями, особенно в папках «Изображения» и «Загрузки».

Основу угрозы составляли эксплойты BlueHammer и RedSun для повышения привилегий на локальном уровне. BlueHammer использует уязвимость Time Of Check, Time Of Use (TOCTOU), манипулируя поведением Windows Defender для получения доступа к базе данных диспетчера учетных записей безопасности (SAM). В частности, он приостанавливает работу Defender во время создания теневой копии тома, что позволяет злоумышленнику эксплуатировать момент обращения к базе данных. В сравнении с этим, RedSun получает доступ на уровне SYSTEM через другую гонку условий в процессе восстановления файлов Windows Defender, эффективно размещая свой вредоносный файл в системных каталогах, которые обычно защищены.

UnDefend служит инструментом противодействия Windows Defender путём блокировки файлов определений и предотвращения корректной загрузки обновлений службой после события выполнения. Этот инструмент эффективно лишает Defender доступа в критические моменты, но не обеспечивает постоянной защиты, поскольку блокировки удерживаются только до тех пор, пока UnDefend работает.

В ходе расследования были обнаружены доказательства, связывающие атаку с подозрительным бинарным файлом под названием BeigeBurrow, который идентифицируется как туннелирующий агент на базе Go, предоставляющий злоумышленникам удаленный доступ через HTTP/S-коммуникацию по порту 443. Его функциональная архитектура позволяет устанавливать постоянное обратное туннельное соединение с сервером управления (C2). BeigeBurrow принимает настраиваемые параметры командной строки, включая настройки сервера и опции для визуальных элементов, таких как видимость консоли, хотя некоторые параметры, например -chain, по-видимому, не функционируют в проанализированном образце.

Рекомендации по смягчению последствий для организаций включают немедленные действия по реагированию на инциденты при обнаружении любых признаков выполнения BlueHammer, RedSun или UnDefend. Мониторинг телеметрии конечных точек на предмет необычных запусков из записываемых путей, анализ предупреждений безопасности, связанных с активностью BlueHammer, выявление команд разведки, таких как "whoami /priv," и аномальных шаблонов доступа через VPN являются обязательными. Эти меры направлены на защиту систем от эксплуатации с использованием инструментов из арсенала Nightmare-Eclipse, которые представляют собой развивающийся ландшафт угроз, использующих ранее раскрытые уязвимости в системах Windows.

#ParsedReport #CompletenessMedium
28-04-2026

TeamPCP Injects Two-Stage Credential Stealer into xinference PyPI Package

https://www.stepsecurity.io/blog/teampcp-injects-two-stage-credential-stealer-into-xinference-pypi-package

Report completeness: Medium

Actors/Campaigns:
Xinference_compromise
Teampcp

Threats:
Credential_stealing_technique
Supply_chain_technique

Victims:
Artificial intelligence, Machine learning operations, Software development, Cloud services, Cryptocurrency

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.006, T1070.004, T1071.001, T1083, T1140, T1195.001, T1526, T1552.001, have more...

IOCs:
File: 17
Hash: 3

Soft:
curl, litellm, Kubernetes, Docker, travis, slack, discord

Crypto:
bitcoin, ethereum, cardano, solana

Algorithms:
rsa-4096, aes-256-cbc, sha256, base64

Functions:
_install, exec, Popen, start, run, IMDS

Languages:
python

Platforms:
intel