#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Kimsuky нацелено на специализированные фармацевтические компании, маскируясь под документ с именем "White Life Sciences ERP Specification.lnk" и используя техники для имитации файла Excel. После запуска оно выполняет зашифрованные команды PowerShell, которые извлекают полезную нагрузку, скрывая операционные файлы в указанной папке. Вредоносное ПО работает через Dropbox как платформа управления, собирая конфиденциальную информацию и облегчая дальнейшие злонамеренные действия с использованием JavaScript-загрузчика и скриптов PowerShell, демонстрируя продвинутые механизмы обфускации и закрепления.
-----

ВПО Kimsuky целенаправленно атакует специализированные фармацевтические компании, маскируясь под документ с названием "White Life Sciences ERP Specification.lnk". Этот вредоносный файл использует обманные техники, чтобы выглядеть как электронная таблица Excel, эксплуатируя недоверчивость пользователей к расширениям файлов. Полезная нагрузка файла включает различные уровни обфускации, включая использование XOR-шифрования, чтобы скрыть его истинное назначение. При выполнении LNK-файл запускает сложный набор команд PowerShell, направленных на компрометацию системы цели.

Вредоносное ПО использует структурированную последовательность действий, начиная с выполнения PowerShell, который выбирается на основе архитектуры системы для обеспечения совместимости (32-битная или 64-битная). Оно ищет LNK-файлы определенного размера для обнаружения своего полезного груза, извлекая файл-приманку Excel и скрывая свои истинные рабочие файлы в скрытой папке с именем "C:\sysconfigs". Структура команд предназначена для кодирования различных скриптов и полезного груза с использованием шифрования RC4, подчеркивая применение безопасных методов для защиты своей связи с сервером управления (C2).

Одной из основных функций вредоносного ПО является использование Dropbox в качестве платформы C2. Оно собирает конфиденциальную информацию о системе, такую как публичный IP-адрес, список процессов и версия ОС, которую кодирует и загружает в Dropbox. Скрипты вредоносного ПО включают генерацию уникального идентификатора жертвы и выдачу OAuth-токена для аутентификации соединения с Dropbox. Кроме того, оно запрограммировано на загрузку BAT-файла, содержащего команды, из Dropbox, который затем выполняется на скомпрометированной машине.

Структурированные зависимости в ВПО включают загрузчик JavaScript (называемый copa08o.js) и скрипт PowerShell (названный opakib.ps1). Эти компоненты взаимодействуют для обеспечения загрузки и извлечения данных, специфичных для жертвы, а также выполнения дополнительных вредоносных команд. ВПО демонстрирует высокую степень сложности в способности поддерживать закрепление с помощью запланированных задач и эффективно маскировать свои операции, что подчеркивает необходимость бдительности в практике Кибербезопасности в таких уязвимых секторах, как фармацевтика.

#ParsedReport #CompletenessHigh
28-04-2026

Hiding in plain sight: How PhantomCore disguises its activity with legitimate tools

https://ptsecurity.com/research/pt-esc-threat-intelligence/hiding-in-plain-sight-how-phantomcore-masks-its-activity-with-legitimate-tools/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Rsocx_tool
Tsocks_tool
Wstunnel_tool
Microsocks_tool
Localtonet_tool
Phantomsscp_tool
Mactunnelrat
Phantomproxylite_tool
Phantompxpigeon
Dumpit_tool
Memprocfs_tool
Adrecon_tool
Lolbin_technique
Trojan.win32.recon.c
Spear-phishing_technique
Impacket_tool
Credential_dumping_technique
Smbexec_tool
Winrm_tool
Lockbit
Phantomheart
Evil-winrm_tool
Socks5proxy_tool
Phantomrshell

Victims:
Russian organizations, Public organizations, Private organizations, Video conferencing servers

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 12
Technics: 43

IOCs:
File: 48
Command: 17
Path: 9
Hash: 20
Url: 1
Registry: 1
IP: 19

Soft:
Rsocx, TrueConf, OpenGL, Velociraptor, OpenSSH, Linux, Windows Service, Active Directory, Windows Defender, Windows PowerShell, have more...

Algorithms:
xor, md5, sha256, aes-128-cbc, sha1, aes-128, base64, cbc, fnv-1a

Functions:
MiniDump, Set-MpPreference, taskId, taskType, Get-OrCreatePortFromRegistry

Win API:
GetSystemFirmwareTable, GetUserNameW, NetUserAdd f, LookupAccountNameW, ConvertStringSidToSidW, NetLocalGroupAddMembers

Win Services:
WEBclient

Languages:
rust, php, python, powershell

Links:
https://github.com/dokan-dev/dokany
https://github.com/ufrisk/MemProcFS?tab=readme-ov-file
https://github.com/b23r0/rsocx/tree/main
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCore, активная преступная группировка, с сентября 2025 года атакует серверы видеоконференцсвязи TrueConf, эксплуатируя уязвимости удаленного выполнения команд для первоначального доступа. Они развертывают кастомные инструменты, включая MacTunnelRAT и модифицированные утилиты с открытым исходным кодом, для закрепления и обеспечения обратного туннелирования SSH. Методы, используемые для сбора учетных записей, включают извлечение из оперативной памяти, дампинг процессов и внутреннюю разведку с использованием скомпрометированных учетных данных, что дополнительно усиливается тактиками фишинга с использованием вредоносных LNK-файлов.
-----

PhantomCore, активная преступная группировка в российском киберпространстве, с сентября 2025 года всё чаще атакует серверы видеоконференцсвязи TrueConf. Они используют ряд уязвимостей в TrueConf для получения первоначального доступа, в частности уязвимости, связанные с удалённым выполнением команд. Чтобы скрыть следы и обеспечить закрепление в скомпрометированных сетях, они применяют набор модифицированных утилит с открытым исходным кодом, включая их собственные инструменты, такие как MacTunnelRAT и PhantomSscp, которые позволяют создавать обратные SSH-туннели и туннелировать трафик.

Первоначальный доступ часто начинается с эксплуатации уязвимостей, выявленных в сервисе TrueConf, что позволяет злоумышленникам выполнять произвольные команды в контексте процесса tc_webmgr. Эта эксплуатация фиксируется в журналах сервера TrueConf, при этом конкретные сообщения об ошибках указывают на попытки внедрения команд. После первоначальной компрометации на сервере развертываются такие инструменты, как PHP веб-шеллы (например, http.php и conference.php), обеспечивающие возможности удаленной загрузки файлов и выполнения команд. Веб-шеллы создаются таким образом, чтобы обмануть защитников, имитируя легитимный трафик.

PhantomCore использует несколько отличительных техник для сбора учетных записей, включая извлечение из оперативной памяти с помощью таких инструментов, как DumpIT и MemProcFS в сочетании с библиотекой Dokan, которая создает точку монтирования файловой системы для дампа оперативной памяти. Злоумышленники также применяют распространенные тактики, такие как дампинг процесса LSASS и извлечение данных из базы данных NTDS, что дополнительно укрепляет их позиции в сети.

Для внутренней разведки они используют скомпрометированные учетные данные для перемещения по сети с помощью таких протоколов, как RDP и WinRM, часто применяя Evil-WinRM для расширенных возможностей управления. Они также создают запланированные задачи и Службы Windows, маскирующиеся под легитимные процессы, для поддержания закрепления, что приводит к выполнению скриптов PowerShell и другого ВПО по всей системе.

Что касается их арсенала ВПО, PhantomCore модифицирует такие инструменты, как rsocx, tsocks и microsocks, для туннелирования трафика, что позволяет им маршрутизировать сетевой трафик и поддерживать контроль над скомпрометированными средами. Они применяют передовые техники, включая внедрение процессов и маскированные Службы Windows, чтобы избежать обнаружения и обеспечить непрерывный доступ.

В дополнение к эксплуатации уязвимостей программного обеспечения PhantomCore использует фишинг для первоначального доступа, часто применяя вредоносные LNK-файлы, замаскированные под обычные форматы документов, которые используют PowerShell для выполнения произвольных команд.

В заключение, PhantomCore использует сложный набор инструментов и различные методы для эксплуатации уязвимостей, перехвата управления системами и навигации по сетевым инфраструктурам, что подчеркивает их возможности в рамках постоянной кибершпионажной деятельности и скоординированного похищения конфиденциальных данных в корпоративных средах.

#ParsedReport #CompletenessMedium
23-04-2026

Fake Document, Real Access: Foxit Impersonation Enables Stealth VNC Control

https://blog.gdatasoftware.com/2026/04/38409-fake-foxit-vnc

Report completeness: Medium

Threats:
Ultra_vnc_tool
Notfoxit
Evilvnc

Victims:
Foxit software users, Pdf software users

Geo:
United kingdom, Danish, Ukraine, Germany

TTPs:
Tactics: 3
Technics: 8

IOCs:
File: 7
Url: 2
Hash: 5
Domain: 1

Soft:
Foxit, Windows Installer

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют доверие пользователей, маскируясь под программу для чтения PDF-файлов Foxit с помощью троянских установщиков, которые обманом заставляют пользователей выполнить установку. Эти вредоносные файлы, названные так, чтобы казаться безобидными, инициируют скрытую загрузку маскированного MSI-пакета и устанавливают сервер UltraVNC, замаскированный под легитимные файлы, что обеспечивает удаленный доступ без обнаружения. Кампания демонстрирует широкий географический охват, применяя такие техники, как маскировка, обфускация и скрипты автозапуска, чтобы обеспечить постоянное управление и обход защиты.
-----

Ландшафт угроз продемонстрировал значительное использование доверия пользователей, особенно через имперсонацию легитимного программного обеспечения, такого как Foxit, широко используемого PDF-ридера. Вместо эксплуатации уязвимостей внутри самого Foxit, злоумышленники применяют техники, основанные на обмане пользователей с целью установки троянизированных установщиков, замаскированных под легитимное ПО. Эти поддельные установщики распространяются различными способами, включая отравление поисковых систем, при этом кампании, зафиксированные в 2024 году, продемонстрировали опору на этот метод для масштабирования.

Злоумышленники используют имена файлов, которые выглядят безобидно, такие как Datei.exe, 1.exe и Document09.10.2025.exe, которые обманчиво созданы, чтобы выглядеть как безвредные файлы документов. Эта тактика именования играет на ожиданиях пользователей, заставляя их игнорировать несоответствия, которые могут указывать на потенциальные угрозы. После запуска эти вредоносные файлы инициируют загрузку маскированного MSI-пакета, который имитирует легитимный компонент Foxit. Однако этот поддельный установщик отклоняется от ожидаемого поведения; вместо того чтобы отображать типичные интерфейсы установки, он скрытно устанавливает компоненты, не вызывая тревог, по сути, обходя внимание пользователей.

В основе этой кампании лежит развертывание скрытого сервера UltraVNC — инструмента удаленного доступа, который злоумышленники маскируют под легитимные файлы GPU и драйверов в каталоге C:\intel-GPU. Такая обфускация направлена на избегание обнаружения, даже пользователями с умеренной технической квалификацией. В результате создается скрытый и устойчивый механизм для удаленного управления зараженными системами.

Отмечено географическое распространение кампании: данные телеметрии VirusTotal указывают на обнаружения в нескольких регионах, включая Германию, США, Великобританию и Украину. Это свидетельствует о широкомасштабной операции, а не о целевой работе с ограниченным кругом целей.

Соотнесение этой атаки с фреймворком MITRE ATT&CK выявляет несколько техник, использованных злоумышленниками: Маскировка через использование метаданных в стиле Foxit, полагание на пользователей для запуска поддельных установщиков, применение зашифрованных и закодированных файлов для сокрытия компонентов, эксплуатация выполнения прокси-бинарных файлов с подписью через MSI-файл и развертывание UltraVNC для обеспечения удаленного доступа. Закрепление достигается с помощью скриптов, автоматически запускающих ВПО, тактики обхода защиты включают использование скрытого пользовательского интерфейса и имен файлов, имитирующих легитимные драйверы. В совокупности эти стратегии демонстрируют сложный и многогранный подход к распространению вредоносного программного обеспечения и компрометации удаленных систем.

#ParsedReport #CompletenessLow
28-04-2026

M3rx ransomware: inside a new leak-site actor and Go encryptor

https://www.derp.ca/research/m3rx-ransomware-go-encryptor/

Report completeness: Low

Threats:
M3rx

Geo:
Switzerland, Australia, Canada

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1070.004, T1486

IOCs:
File: 3
Domain: 2
Hash: 3
Path: 2

Crypto:
bitcoin

Algorithms:
aes-gcm, aes, md5, aes-256, sha256, sha1, ecdh, aes-ctr, curve25519, gzip

Win API:
SHEmptyRecycleBin, decompress, RmShutdown

Languages:
powershell

Platforms:
x64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
M3rx — это новый вариант ransomware, который работает на основе Windows-шифровальщика и выделенного сайта утечек. Он нацелен на пользовательские файлы, переименовывая их с расширением .8hmlsewu и используя методы шифрования, такие как обмен ключами X25519 для управления ключами, AES-CTR для шифрования содержимого файлов и AES-GCM для инкапсуляции ключей. Ransomware демонстрирует уникальное поведение, включая саморазрушение через PowerShell и запись зашифрованной заметки для восстановления, при этом его происхождение и связи с известными злоумышленниками остаются неподтвержденными.
-----

M3rx — это новый вариант ransomware-программы, который инкапсулирует свою деятельность в рамках выделенного сайта утечек и использует шифровальщик на базе Windows. По состоянию на 27 апреля 2026 года актор опубликовал шесть публичных сообщений, описывающих его деятельность, что указывает на активное участие M3rx в атаках с использованием ransomware. Значительная активность наблюдалась 23 и 26 апреля, с заявлениями о нацеливании на жертв в США, Канаде, Австралии, Великобритании и Швейцарии, хотя атрибуция к какому-либо известному злоумышленнику или группе остается неподтвержденной.

Технический анализ вредоносного ПО M3rx показывает, что оно использует бинарный файл PE32+ x64, написанный на языке Go, который был передан на анализ 25 апреля 2026 года. Поведение вредоносного ПО включает запись зашифрованного сообщения о восстановлении в файл RECOVERY_NOTES.TXT, переименование затронутых файлов в случайные 16-символьные строки, состоящие из букв и цифр, с добавлением специфического расширения .8hmlsewu, очистку Корзины и выполнение команды PowerShell для удаления самого себя после завершения работы, если не указано иное.

С точки зрения криптографии M3rx использует сложную стратегию управления ключами. Шифровальщик применяет обмен ключами X25519 при каждом запуске, AES-CTR для шифрования содержимого файлов и AES-GCM для инкапсуляции индивидуальных AES-ключей для каждого файла, с добавлением фиксированного хвоста размером 0x400 байт для проверки целостности файлов. Наличие восстанавливаемой конфигурации внутри бинарного файла позволяет аналитикам исследовать детали его операционных параметров, хотя его базовый блок данных хранится в формате, который становится узнаваемым после обработки.

Анализированный образец указывает, что M3rx нацелен на пользовательские файлы, шифруя их и оставляя их с указанным выше расширением файла, а также выполняя процедуры очистки, направленные на затруднение процессов восстановления. Структура и операции бинарного файла подчеркивают потенциальные возможности для обнаружения и смягчения, такие как распознавание расширения файла и конкретного шаблона футера, который он использует. Тем не менее, связь M3rx с какой-либо установленной киберпреступной организацией или тактиками остается неопределенной на данный момент, что делает его уникальной сущностью в развивающемся ландшафте угроз программ-вымогателей.

#ParsedReport #CompletenessHigh
20-04-2026

Nightmare-Eclipse Tooling Moves From Public PoC to Real-World Intrusion

https://www.huntress.com/blog/nightmare-eclipse-intrusion

Report completeness: High

Threats:
Nightmare_eclipse_tool
Bluehammer_tool
Redsun_tool
Undefend_tool
Beigeburrow_tool
Yamux_tool
Toctou_vuln
Shadow_copies_delete_technique
Dirty_cow_vuln
Credential_harvesting_technique

Victims:
Organizations using fortigate ssl vpn, Windows environments

Geo:
Singapore, Switzerland, Russian, Russian federation, Russia

CVEs:
CVE-2026-33825 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft defender_antimalware_platform (<4.18.26030.3011)


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Path: 6
IP: 3
Domain: 1
Hash: 1

Soft:
Windows Defender, Linux, indows Defender wi

Algorithms:
sha256

Functions:
runAgent, DefaultConfig

Win Services:
WinDefend

Platforms:
intel

YARA: Found

Links:
https://github.com/hashicorp/yamux
https://github.com/RussianPanda95/Yara-Rules/blob/main/BeigeBurrow/win\_mal\_BeigeBurrow.yar
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Huntress сообщил об использовании набора инструментов Nightmare-Eclipse, который эксплуатирует уязвимости в Windows Defender с помощью таких инструментов, как BlueHammer и RedSun, для повышения привилегий на локальном уровне. BlueHammer манипулирует уязвимостью TOCTOU для доступа к базе данных диспетчера учетных записей безопасности (SAM), в то время как RedSun обеспечивает доступ на уровне SYSTEM посредством состояния гонки. Расследование также связало атаки с агентом туннелирования BeigeBurrow на базе Go, вредоносным бинарным файлом, обеспечивающим постоянное обратное подключение к серверу управления (command-and-control) по протоколам HTTP/S.
-----

Huntress сообщил об использовании набора инструментов Nightmare-Eclipse в ходе расследования реальной атаки. Эта активность включала эксплуатацию уязвимостей в Windows Defender с использованием трёх основных инструментов: BlueHammer, RedSun и UnDefend, которые основаны на публичных доказательствах концепции (PoC) эксплойтов. Атаки были прослежены до скомпрометированного доступа к SSL VPN FortiGate, связанного с несколькими подозрительными исходными IP-адресами, особенно с одним, идентифицированным как находящийся в России. Примечательно, что артефакты этих атак часто обнаруживались в директориях, доступных для записи пользователями, особенно в папках «Изображения» и «Загрузки».

Основу угрозы составляли эксплойты BlueHammer и RedSun для повышения привилегий на локальном уровне. BlueHammer использует уязвимость Time Of Check, Time Of Use (TOCTOU), манипулируя поведением Windows Defender для получения доступа к базе данных диспетчера учетных записей безопасности (SAM). В частности, он приостанавливает работу Defender во время создания теневой копии тома, что позволяет злоумышленнику эксплуатировать момент обращения к базе данных. В сравнении с этим, RedSun получает доступ на уровне SYSTEM через другую гонку условий в процессе восстановления файлов Windows Defender, эффективно размещая свой вредоносный файл в системных каталогах, которые обычно защищены.

UnDefend служит инструментом противодействия Windows Defender путём блокировки файлов определений и предотвращения корректной загрузки обновлений службой после события выполнения. Этот инструмент эффективно лишает Defender доступа в критические моменты, но не обеспечивает постоянной защиты, поскольку блокировки удерживаются только до тех пор, пока UnDefend работает.

В ходе расследования были обнаружены доказательства, связывающие атаку с подозрительным бинарным файлом под названием BeigeBurrow, который идентифицируется как туннелирующий агент на базе Go, предоставляющий злоумышленникам удаленный доступ через HTTP/S-коммуникацию по порту 443. Его функциональная архитектура позволяет устанавливать постоянное обратное туннельное соединение с сервером управления (C2). BeigeBurrow принимает настраиваемые параметры командной строки, включая настройки сервера и опции для визуальных элементов, таких как видимость консоли, хотя некоторые параметры, например -chain, по-видимому, не функционируют в проанализированном образце.

Рекомендации по смягчению последствий для организаций включают немедленные действия по реагированию на инциденты при обнаружении любых признаков выполнения BlueHammer, RedSun или UnDefend. Мониторинг телеметрии конечных точек на предмет необычных запусков из записываемых путей, анализ предупреждений безопасности, связанных с активностью BlueHammer, выявление команд разведки, таких как "whoami /priv," и аномальных шаблонов доступа через VPN являются обязательными. Эти меры направлены на защиту систем от эксплуатации с использованием инструментов из арсенала Nightmare-Eclipse, которые представляют собой развивающийся ландшафт угроз, использующих ранее раскрытые уязвимости в системах Windows.

#ParsedReport #CompletenessMedium
28-04-2026

TeamPCP Injects Two-Stage Credential Stealer into xinference PyPI Package

https://www.stepsecurity.io/blog/teampcp-injects-two-stage-credential-stealer-into-xinference-pypi-package

Report completeness: Medium

Actors/Campaigns:
Xinference_compromise
Teampcp

Threats:
Credential_stealing_technique
Supply_chain_technique

Victims:
Artificial intelligence, Machine learning operations, Software development, Cloud services, Cryptocurrency

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.006, T1070.004, T1071.001, T1083, T1140, T1195.001, T1526, T1552.001, have more...

IOCs:
File: 17
Hash: 3

Soft:
curl, litellm, Kubernetes, Docker, travis, slack, discord

Crypto:
bitcoin, ethereum, cardano, solana

Algorithms:
rsa-4096, aes-256-cbc, sha256, base64

Functions:
_install, exec, Popen, start, run, IMDS

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 апреля 2026 года пакеты xinference версий 2.6.0–2.6.2 на PyPI были скомпрометированы, в них был внедрен двухэтапный payload для кражи учетных данных, который выполнялся при импорте, захватывая конфиденциальные данные, такие как SSH-ключи и учетные данные AWS, перед их эксфильтрацией на сервер управления. Злоумышленник TeamPCP продемонстрировал тактику высокого уровня, скрывая вредоносный код внутри легитимных функций, эволюционируя от предыдущих методов. Примечательно, что malware эксфильтровал данные без шифрования, что сигнализирует о возможном изменении стратегии или актора, в то время как процесс эксфильтрации был перехвачен системами мониторинга.
-----

22 апреля 2026 года в версиях 2.6.0, 2.6.1 и 2.6.2 открытого пакета xinference на PyPI был обнаружен двухэтапный вредоносный код для кражи учетных данных. Этот код встроен в файл xinference/__init__.py, который автоматически выполняется при импорте пакета. После активации он декодирует сборщик второго этапа, который захватывает конфиденциальную информацию, включая SSH-ключи, облачные учетные данные, переменные окружения и данные криптокошельков. Эти данные впоследствии эксфильтруются в виде файла tar.gz с именем love.tar.gz на сервер управления (управление) по адресу whereisitat.lucyatemysuperbox.space с использованием POST-запроса curl. Целостность этих скомпрометированных версий была нарушена в достаточной степени, чтобы вызвать их немедленное удаление из PyPI.

Злоумышленник, идентифицированный как TeamPCP, ранее был связан с другими атаками на цепочку поставок, демонстрируя паттерн операционного совершенствования в своих методах. Примечательно, что они изменили место инъекции кода с простой инъекции на уровне модуля в версии 2.6.0 на скрытие её внутри легитимной функции в версии 2.6.2, что указывает на эволюционировавшую тактику для повышения скрытности. ВПО ведет себя как двухэтапный полезный груз, где начальный этап содержит сборщик, который при выполнении маскируется под безвредный код до тех пор, пока не начнется его разведка.

Оперативное поведение сборщика учетных данных включает масштабное сканирование целевых элементов в облачных средах. Он пытается собрать учетные данные AWS путем инспекции файловой системы, анализа переменных окружения и прямых вызовов API к службе метаданных экземпляра (IMDS). Кроме того, он проводит глубокий поиск по различным системным каталогам для выявления файлов окружения, которые могут содержать конфиденциальные ключи. Далее, сборщик также предназначен для нацеливания на данные криптографических кошельков, что соответствует его развертыванию в сферах, ориентированных на искусственный интеллект, где такая инфраструктура совпадает с интересами пользователей.

Процесс эксфильтрации примечателен полным отсутствием шифрования — отклонением от прошлых операций, связанных с TeamPCP. Учетные данные передаются в открытом виде внутри сжатого архива, а отсутствие специфических артефактов шифрования указывает либо на участие другого актора, либо на более упрощенный подход к процессу эксфильтрации. HTTP-трафик, генерируемый попытками ВПО, был перехвачен и заблокирован существующими защитными механизмами, что иллюстрирует важность проактивного мониторинга в защищенных средах.

Шаги по устранению подчеркивают острую необходимость ротации всех доступных учетных данных на любых затронутых системах — от ключей доступа AWS до различных токенов облачных служб и переменных окружения. Компрометация продемонстрировала потенциальную опасность атак через цепочку поставок и спровоцировала автоматические проверки безопасности на предмет любых существующих конфигураций рабочих процессов, использующих эти версии пакета xinference. Быстрый выпуск этих скомпрометированных пакетов в короткий промежуток времени подчеркивает критическую необходимость повышения бдительности в цепочках поставок программного обеспечения, обращая внимание на эволюционирующие стратегии, применяемые преступными группировками.

#ParsedReport #CompletenessLow
28-04-2026

“Chaos is a ladder”: Vidar’s recent rise to the top

https://www.intrinsec.com/chaos-is-a-ladder-vidar-rise-to-the-top/

Report completeness: Low

Threats:
Chaos_ransomware
Vidar_stealer
Lumma_stealer
Rhadamanthys
Dead_drop_technique
Aurastealer
Redsun_tool

Victims:
Corporate employees, Organisations

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1102.001, T1204.002, T1587.001

Soft:
Telegram, Microsoft Defender

Algorithms:
des

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года вредоносное ПО Vidar усилило свои позиции в экосистеме стиллеров, используя сбои в инфраструктуре конкурентов. Последняя версия, Vidar 2.0, использует поддельные загрузки программного обеспечения для начала атак путем распаковки стиллера и продажи украденных учетных данных на российских рынках. Оно оснащено продвинутой инфраструктурой с разрешителями мертвых дропов и выравниванием потока управления, в то время как появление AuraStealer сигнализирует о продолжающейся эволюции в ландшафте инфостиллеров после действий правоохранительных органов. Кроме того, уязвимость REDSUN подчеркивает проблемы в обнаружении, требующие инновационных стратегий криминалистического анализа, несмотря на ограниченную телеметрию конечных точек.
-----

В начале 2026 года ВПО Vidar стало заметным игроком в экосистеме стиллеров, воспользовавшись сбоями, вызванными операциями правоохранительных органов против конкурирующих инфраструктур, таких как Lumma и Rhadamanthys, в 2025 году. Последняя версия, Vidar 2.0, значительно способствовала этому росту, поддерживаемая стратегическими сотрудничествами через каналы Cloud Телеграм. Аналитики изучили конкретный вектор атаки, выполненный Vidar, который включал kill-chain, нацеленный на сотрудников корпораций. Атака началась с того, что жертвы скачивали поддельное программное обеспечение, рекламируемое на таких платформах, как YouTube, что способствовало распаковке стиллера Vidar и последующей продаже украденных учетных данных на российских киберпреступных рынках.

Инфраструктура Vidar была тщательно проанализирована, что выявило сложный механизм восстановления управления (управление), использующий dead drop resolvers. Кроме того, его архитектура включает уплощение потока выполнения для усложнения усилий по анализу ВПО. Интересное открытие было сделано на основе распакованного образца, возможно, загруженного российским злоумышленником на VirusTotal, демонстрирующего классические возможности кражи конфиденциальной информации.

Что касается операционной среды, связанной с угрозами, такими как Vidar, после пресечения деятельности Lumma наблюдается заметное появление AuraStealer. Это указывает на продолжающуюся эволюцию в ландшафте стиллеров, где злоумышленники адаптируются и внедряют инновации в ответ на действия правоохранительных органов.

Кроме того, в ходе недавних расследований внимание было привлечено к уязвимости REDSUN. Анализ практических стратегий обнаружения показывает, что даже при ограниченной телеметрии конечных точек последовательности эксплуатации могут быть восстановлены с использованием операционных журналов Microsoft Defender и различных артефактов файловой системы. Это подчеркивает критическую необходимость для организаций внедрять проактивные методы обнаружения, способные противостоять тактикам противника, таким как переименование и переупаковка вредоносных инструментов.

#ParsedReport #CompletenessMedium
21-04-2026

DinDoor's Caddy Problem: How One HTTP Header Exposed 20 Active C2 Servers

https://hunt.io/blog/dindoor-deno-runtime-backdoor-msi-analysis

Report completeness: Medium

Actors/Campaigns:
Muddywater
Graybravo

Threats:
Dindoor
Tsundere
Castleloader
Chainshell
Nightshade

Victims:
Financial services, Organizations in the united states, Financial services in the russian federation

Industry:
Healthcare, Telco

Geo:
Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1036.007, T1059.001, T1059.007, T1071.001, T1082, T1090, T1105, T1140, have more...

IOCs:
Domain: 17
File: 13
Path: 2
IP: 20
Hash: 2

Soft:
Caddy, Node.js

Crypto:
ethereum

Algorithms:
base64, sha256

Functions:
Get-WmiObject

Languages:
javascript, powershell, python

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator