#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Deep#Door — это бэкдор на базе Python, который инициирует атаки через пакетный файл, отключая функции безопасности Windows и извлекая встроенный Python-код, одновременно снижая количество артефактов на диске. Данный бэкдор действует как Троянская программа, предоставляя широкие возможности для наблюдения и используя публичный сервис туннелирования TCP для скрытой связи, что позволяет избегать традиционных методов обнаружения. Его продвинутые техники обфускации и многоуровневое декодирование полезной нагрузки подчеркивают растущий тренд в сторону более скрытных и устойчивых стратегий создания ВПО.
-----

Deep#Door — это сложный бэкдор на базе Python, выявленный группой Securonix Threat Research, который демонстрирует растущий тренд использования обфусцированных скриптов вместо традиционного исполняемого ВПО. Он начинает атаку с помощью начального пакетного файла (install_obf.bat), который отключает функции безопасности Windows и динамически извлекает встроенный Python-пэйлоад (svc.py). Такая архитектура снижает необходимость в отдельных этапах загрузки и минимизирует артефакты на диске, одновременно обеспечивая широкое закрепление с помощью таких методов, как скрипты в папке автозагрузки, ключи реестра Run, запланированные задачи и подписки WMI.

После активации Deep#Door предоставляет злоумышленникам надежный фреймворк Троянской программы (RAT), позволяющий выполнять полный набор команд и осуществлять многоаспектный мониторинг, включая Регистрация нажатий клавиш, доступ к веб-камере и отслеживание буфера обмена. ВПО использует публичный сервис туннелирования TCP bore.pub для обеспечения скрытой связи без раскрытия традиционных серверов управления (C2), тем самым избегая обнаружения.

Архитектура бэкдора включает несколько продвинутых техник обфускации и обхода защиты, направленных на срыв усилий по анализу и обнаружению. Это включает отключение критических средств защиты безопасности с помощью команд PowerShell, изменение настроек реестра и патчинг функций Windows Defender. Реализованы как стратегии обхода защиты до выполнения, так и во время выполнения, чтобы поддерживать секретность и операционную живучесть. Например, ВПО использует многослойный процесс декодирования для своей полезной нагрузки и применяет тактические методы для проверки среды, чтобы отличать настоящие системы от сред анализа.

Во время выполнения Deep#Door также структурирует свой канал связи для обеспечения устойчивости к потенциальным сбоям. ВПО сканирует широкие диапазоны портов для установления соединений с туннелирующим сервисом, применяя аутентификацию по принципу «запрос-ответ» для защиты взаимодействий с инфраструктурой атакующего.

Кроме того, основные функции встроенного Python-импланта (svc.py) создают широкую поверхность атаки, включая возможности для сбора учетных записей, обширные возможности удаленного управления и даже деструктивные действия, направленные на нарушение работы системы. Эта комбинация шпионажа и целенаправленного срыва работы подчеркивает его надежность как универсальной угрозы для длительных оперативных кампаний, отражая эволюцию ландшафта киберугроз, которые объединяют скриптовые фреймворки со скрытностью и устойчивостью к обнаружению.

В конечном итоге, Deep#Door представляет собой сдвиг в сторону более гибких, устойчивых и незаметных стратегий ВПО, использующих встроенные скриптовые техники для эксплуатации уязвимостей системы и маскировки вредоносной активности под нормальное поведение системы.

#ParsedReport #CompletenessHigh
30-04-2026

1. IOCONTROL (CyberAv3ngers) - High Confidence

https://krypt3ia.wordpress.com/2026/04/30/threat-intelligence-report-irgc-affiliated-ot-iot-malware-evolution/

Report completeness: High

Actors/Campaigns:
Cyberav3nger (motivation: cyber_espionage, sabotage)
Irgc
Apt33
Blackshadow
Cyber_av3ngers

Threats:
Iocontrol
Zionsiphon
Tickler
Credential_harvesting_technique

Victims:
Critical infrastructure, Fuel management systems, Water utilities, Defense, Energy, Telecommunications

Industry:
Energy, Telco, Ics, Iot, Critical_infrastructure, Petroleum

Geo:
Iran, Israel, Iranian, Israeli

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.002, T1037.004, T1046, T1059.004, T1070.004, T1071.005, T1082, T1140, T1485, T1491, have more...

IOCs:
File: 2
Hash: 5
Domain: 2
IP: 4

Soft:
Linux, Gasboy, Orpak, RabbitMQ

Algorithms:
sha1, aes-256-cbc, sha256, md5

Platforms:
mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
IOCONTROL, бэкдор для Linux ARM, связанный с группой CyberAv3ngers, связанной с Корпусом стражей исламской революции (IRGC) Ирана, расширяет операционные возможности в средах OT, обеспечивая постоянное управление и используя MQTT для command-and-control. Он позволяет профилировать устройства, выполнять команды и проводить внутреннее сканирование, особенно в системах управления топливом, что повышает риски для гражданской критической инфраструктуры. В отличие от этого, ZionSiphon оценивается как угроза более низкого уровня, нацеленная на водный сектор, но не имеющая функциональности, способной создать значительный киберфизический риск.
-----

IOCONTROL — это кастомный бэкдор для Linux ARM, связанный с группой CyberAv3ngers, связанной с Корпусом стражей исламской революции (IRGC) Ирана.

Бэкдор расширяет операционные возможности, обеспечивая постоянное подключение и зашифрованные конфигурации с использованием алгоритмов класса AES.

Он использует управление на основе MQTT (C2), что позволяет эффективно масштабировать и координировать действия по различным целям.

IOCONTROL задокументирован в реальных средах, особенно в системах управления топливом, что указывает на его потенциал для проникновения в гражданскую критическую инфраструктуру.

CyberAv3ngers эволюционировала от вандализма на программируемых логических контроллерах (ПЛК) к использованию сложного ВПО для обеспечения постоянного доступа на устройства OT-adjacent на базе Linux, такие как топливные контроллеры и маршрутизаторы.

ВПО может выполнять произвольные команды, выполнять внутреннее сканирование и имеет функциональность самоуничтожения на встроенных OT/IoT-системах.

Хотя CyberAv3ngers представляет собой значительную угрозу для секторов, зависящих от систем OT/IoT, они пока не продемонстрировали способности напрямую манипулировать логикой ПЛК.

Еще одно ВПО, ZionSiphon, связано с аналогичными темами, но оценивается как имеющее низкий или умеренный уровень угрозы, не обладая функциональными возможностями связи с АСУ ТП.

ZionSiphon нацелен на объекты водного сектора, но в основном рассматривается как демонстрация концепции, а не как значимая киберфизическая угроза.

Другие кластеры IRGC, такие как APT33, используют фишинг и пользовательские бэкдоры для тактик, ориентированных на ИТ, в критических секторах, таких как энергетика и телекоммуникации.

Ландшафт иранских кибервозможностей делится на корпоративный шпионаж, деструктивные операции и принудительные действия в области OT/IoT.

Меры обнаружения должны быть сосредоточены на необычном трафике MQTT от устройств АСУ ТП, сканирующем поведении и неожиданных инициализационных скриптах как индикаторах развертывания IOCONTROL.

#ParsedReport #CompletenessMedium
29-04-2026

Manlinghua group using NUITKA packaged python samples for delivery

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247508516&idx=1&sn=a869f67294b5777615ad597c3730105e&chksm=f9c1912dceb6183b4f7f359de87814c613d58b671245307a99857eb03847a0860743516e7fae&scene=178&cur_album_id=1955835290309230595&search_click_id=#rd

Report completeness: Medium

Actors/Campaigns:
Bitter

Threats:
Steganography_technique
Remcos_rat

Victims:
Government, Military industry, National defense, Universities, Foreign related institutions, South asia, Pakistan, Bangladesh

Industry:
Military, Government, Education

Geo:
Asian, Bangladesh, Pakistan, Asia

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027.002, T1033, T1041, T1059.003, T1059.006, T1082, T1083, T1105, have more...

IOCs:
Hash: 8
File: 9
IP: 3
Url: 13
Domain: 1

Soft:
NUITKA

Algorithms:
aes, rc4, md5

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 17, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, также известный как Manlinghua или BITTER, — это стойкий злоумышленник, нацеленный на государственные, военные и академические секторы Южной Азии с использованием ВПО на Python, упакованного в NUITKA. Его основной метод заключается в доставке вредоносных исполняемых файлов, которые выполняют инструкции командной строки, загружают бэкдоры и используют Стеганографию для эксфильтрации данных. Недавние образцы указывают на использование Python 3.12 и демонстрируют возможности удаленного выполнения команд, сбора системной информации и поддержания связи с серверами управления.
-----

Группа APT-C-08, также известная как Manlinghua или BITTER, — это сложный целенаправленный актор, известный своими обширными возможностями кибератак как минимум с 2013 года. Эта группа в первую очередь нацелена на государственные учреждения, военные сектора, университеты и организации, связанные с иностранными государствами, в Южной Азии, представляя собой постоянную угрозу для региональной кибербезопасности.

Недавние исследования 360 Security Brain показали, что Manlinghua использует образцы Python, упакованные с помощью NUITKA, для доставки атак — как напрямую, так и через CHM-файлы, которые загружают эти образцы. Основной полезной нагрузкой является скрипт Python, упакованный в исполняемый файл, который затем загружает различные компоненты бэкдора. Эти бэкдоры предназначены для выполнения командных инструкций удаленно, что позволяет злоумышленникам собирать информацию о системе, загружать дополнительные вредоносные полезной нагрузки и выполнять стеганографические операции.

Анализ захваченных вредоносных образцов показывает, что используется версия Python 3.12, при этом компоненты извлекаются во временную папку на скомпрометированных системах. Распакованный образец предназначен для подключения к серверу управления (C2) и ожидает команд для выполнения. Это включает получение команд на установку необходимых инструментов, таких как среда выполнения Python, а также проведение действий, таких как сканирование устройств хранения на наличие конфиденциальных данных перед синхронизацией этой информации с C2.

Взаимодействие с сервером C2 включает передачу системных сведений, включая имена пользователей и версии системы, а полезная нагрузка поддерживает асинхронные операции для обеспечения загрузки файлов на основе приоритета задач, установленного сервером C2. Конфигурация образца интегрирует стеганографические техники для мониторинга устройств хранения, обеспечивая периодическую передачу данных на сервер, контролируемый злоумышленником.

Среди инструментов, используемых в этой кампании, находится компонент удаленного управления Remcos, что соответствует прошлым методологиям нацеливания, применяемым группировкой против таких регионов, как Пакистан. Структура команд и процессы выполнения напрямую связаны с ранее задокументированными кампаниями, что подтверждает атрибуцию к APT-C-08. Общие операционные паттерны указывают на устойчивую и развивающуюся приверженность кибероперациям против конкретных геополитических целей в Южной Азии, подчеркивая их высокий уровень угрозы в ландшафте угроз.

#ParsedReport #CompletenessLow
29-04-2026

Increase in Email Bombing and IT Impersonation Campaigns

https://www.esentire.com/security-advisories/increase-in-email-bombing-and-it-impersonation-campaigns

Report completeness: Low

Actors/Campaigns:
0ktapus
Payouts_king
Unc6692

Threats:
Email_bombing_technique
Microsoft_quick_assist_tool
Anydesk_tool
Rclone_tool
Megasync_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1219, T1566.003, T1583.001, T1656, T1660

IOCs:
File: 1
Email: 1

Soft:
Microsoft Teams, WinSCP, Office 365, Windows Security

Algorithms:
zip

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С начала 2026 года наблюдается рост фишинговых атак с использованием Microsoft Teams, при этом злоумышленники имитируют службу технической поддержки для получения удаленного доступа к устройствам. Такие группы, как Scattered Spider и UNC6692, применяют email-бомбардировку и прямое взаимодействие, используя инструменты вроде Quick Assist для первоначального доступа, за которыми следуют эксфильтрация данных и развертывание ВПО через утилиты, такие как WinSCP. Эти организованные атаки все чаще включают реалистичные псевдонимы и одноразовые домены, что указывает на скоординированные усилия с высокой эффективностью в обмане пользователей.
-----

С начала 2026 года атаки фишинга на основе Microsoft Teams резко увеличились, в основном с участием злоумышленников, выдающих себя за команды IT Support и Helpdesk, чтобы обманом заставить пользователей предоставить удаленный доступ к своим устройствам. Эти атаки часто начинаются с email bombing, за которым следует прямое взаимодействие с пользователями под предлогом оказания помощи. Общая цель — получить удаленный доступ, что позволяет злоумышленникам похищать конфиденциальные данные и развертывать дополнительное ВПО, включая ransomware, для закрепления в скомпрометированных системах.

Наблюдаемые техники атак включают злоупотребление совместными платформами, такими как Microsoft Teams, для имперсонации легитимных сотрудников ИТ. Известные группы, такие как Scattered Spider, Payouts King и UNC6692, применяли аналогичные тактики. Первоначальный доступ обычно достигается за счет того, что пользователей обманом заставляют разрешить доступ через инструменты удаленного мониторинга и управления (RMM), такие как Quick Assist или AnyDesk. Получив доступ, злоумышленники часто развертывают утилиты передачи файлов, такие как WinSCP, для эксфильтрации данных или внедрения вредоносных загрузок, например, через ZIP-архив, который запускает вредоносные Java-приложения.

Инфраструктура, поддерживающая эти атаки, демонстрирует высокий уровень организованности, при этом угрозы исходят от так называемых провайдеров пуленепробиваемого хостинга. Эти атаки отличаются использованием как недавно созданных доменов .onmicrosoft.com с названиями, ориентированными на ИТ-специалистов, так и одноразовых доменов, используемых для оперативного фишинга. В заметном сдвиге злоумышленники начали использовать реалистичные персонажи, связанные с их фишинговыми попытками, отказываясь от общих названий учетных записей, основанных на ролях, что повышает достоверность их сообщений.

Недавние наблюдения указывают на значительный рост инцидентов, связанных с эксфильтрацией данных с помощью тактик Имперсонация. Анализ eSentire выявляет не только методы проникновения, но и устойчивые шаблоны в злонамеренных сообщениях Teams, что указывает на скоординированные усилия, а не на изолированные инциденты. Учитывая обнаруженную эскалацию и 72-процентный уровень успешности этих фишинговых стратегий, ожидания относительно продолжения широкого распространения атак с использованием email-бомбардировок и атак с использованием Имперсонация в сфере ИТ высоки на оставшуюся часть 2026 года. Организациям настоятельно рекомендуется внедрять строгие меры, такие как ограничение внешней коммуникации через инструменты совместной работы и повышение осведомленности пользователей для защиты от этих сложных угроз.

#ParsedReport #CompletenessHigh
30-04-2026

Inside Shadow-Earth-053: A China-Aligned Cyberespionage Campaign Against Government and Defense Sectors in Asia

https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html

Report completeness: High

Actors/Campaigns:
Earth_alux
Cl-sta-0049
Winnti
Hafnium

Threats:
Dll_sideloading_technique
Proxylogon_exploit
Godzilla_webshell
Shadowpad
Anydesk_tool
Nood_rat
React2shell_vuln
Nltest_tool
Powerview_tool
Iox_tool
Passthehash_technique
Wstunnel_tool
Ringq_tool
Smbexec_tool
Mimikatz_tool
Lsadump_tool
Dcsync_technique
Vshell
Squidoor
Vargeit
Finaldraft
Supply_chain_technique

Industry:
Government, Telco, Critical_infrastructure, Transport

Geo:
Thailand, Sri lanka, Brazil, China, Asia, Malaysia, Myanmar, Asian, India, Poland, Taiwan, Pakistan, Chinese, Latin america

CVEs:
CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 43
IP: 4
Coin: 1
Domain: 2
Hash: 4

Soft:
Microsoft Exchange, Microsoft Exchange Server, Linux, Active Directory, MySQL, MS SQL, Windows Registry

Algorithms:
sha256, exhibit

Functions:
Get-DomainUser, Get-Mailbox, Get-User

Win API:
GetComputerNameA, VirtualAlloc, EnumDesktopsA

Languages:
powershell

Links:
https://github.com/EddieIvan01/iox/
https://github.com/checkymander/Sharp-SMBExec/
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1

#ParsedReport #CompletenessMedium
04-05-2026

Breaking the code: Multi-stage ‘code of conduct' phishing campaign leads to AiTM token compromise

https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

Report completeness: Medium

Threats:
Aitm_technique
Credential_harvesting_technique
Device_code_phishing_technique

Victims:
Healthcare and life sciences, Financial services, Professional services, Technology and software

Industry:
Healthcare

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.004, T1550.004, T1557, T1566.001, T1566.002

IOCs:
File: 2
Domain: 5
Email: 5
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, Twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя сложная многоэтапная фишинговая кампания нацелилась на более чем 35 000 пользователей в США, используя отполированные HTML-шаблоны электронных писем, тематически связанные с проверками кодекса поведения, для повышения доверия. Используя техники adversary-in-the-middle (AiTM), злоумышленники перехватывали сеансы аутентификации, обходя традиционную многофакторную аутентификацию для захвата токенов и получения доступа к учетным записям. В электронных письмах содержались вводящие в заблуждение PDF-вложения, а пользователи направлялись на страницу входа в Microsoft, выглядящую легитимно, что повышало вероятность успешного кражи учетных данных.
-----

Недавняя многоэтапная фишинговая кампания, направленная на кражу учетных данных, демонстрирует растущую сложность киберугроз, как это наблюдалось исследователями Microsoft Defender Research. Эта кампания, произошедшая с 14 по 16 апреля 2026 года, затронула более 35 000 пользователей в более чем 13 000 организаций, преимущественно в Соединенных Штатах. Используя тему кодекса поведения, злоумышленники применяли отполированные HTML-шаблоны электронных писем для повышения достоверности фишинговых сообщений. Эти сообщения сочетали тактики социальной инженерии, включая срочные временные метки и приманки в виде внутренних коммуникаций, чтобы подтолкнуть пользователей к немедленным действиям.

Атака использовала протокол «злоумышленник в середине» (AiTM), позволяющий злоумышленникам перехватывать сеансы аутентификации в реальном времени и обходить традиционные меры безопасности, такие как многофакторная аутентификация (MFA). Фишинговый поток завершился легитимным процессом входа в систему, что позволило злоумышленникам захватить токены аутентификации и получить немедленный доступ к скомпрометированным учетным записям. В отличие от стандартного сбора учетных записей, который полагается на то, что пользователи раскрывают свои учетные данные, атаки AiTM создают сценарий перехвата сеанса, который может существенно подорвать защиту организации.

В рамках кампании рассылались электронные письма с документами, в которых утверждалось, что они связаны с текущими проверками соблюдения кодекса поведения, и которые были персонализированы с учетом специфики организации. Эти письма содержали вложения в формате PDF, которые якобы содержали материалы по делам, побуждая получателей перейти по ссылке для дальнейшего ознакомления. При переходе пользователи проходили проверку CAPTCHA, а затем направлялись на промежуточную страницу, которая подготавливала их к финальному этапу аутентификации, замаскированному под легитимную страницу входа Microsoft. Такой поток действий не только усиливал достоверность атаки, но и тактически фильтровал автоматические средства защиты за счет многоэтапного взаимодействия.

Специалистам по безопасности рекомендуется укреплять защиту от подобных фишинговых тактик путем обучения пользователей, внедрения передовых технологий противодействия фишингу и настройки надежных параметров безопасности электронной почты. Усовершенствованные механизмы обнаружения угроз и повышение осведомленности пользователей имеют решающее значение по мере эволюции фишингового ландшафта, особенно с учетом интеграции функций реагирования на основе искусственного интеллекта, предоставляемых такими инструментами, как Microsoft Security Copilot. Организации должны сохранять бдительность в отношении этих продвинутых фишинговых техник, чтобы минимизировать риски, связанные с кражей учетных данных, и обеспечить целостность пользовательских учетных записей.

#ParsedReport #CompletenessMedium
04-05-2026

Analyzing Iranian Tradecraft: Leveraging Loader Scripts and Telegram for C2

https://blog.pulsedive.com/analyzing-iranian-tradecraft-leveraging-loader-scripts-and-telegram-for-c2/

Report completeness: Medium

Threats:
Bloat_technique

Victims:
Users

Industry:
E-commerce

Geo:
Iran, Iranian

TTPs:
Tactics: 3
Technics: 7

IOCs:
File: 8
Url: 2
Path: 2
Hash: 5

Soft:
Telegram, Microsoft Defender

Algorithms:
base64, sha256, zip, md5, sha1

Languages:
visual_basic, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские злоумышленники, связанные с Министерством разведки и безопасности (MOIS), используют скрипты-загрузчики на базе PowerShell для загрузки вторичных полезной нагрузки, включая исполняемый файл RuntimeSSH.exe, который участвует в эксфильтрации данных. Телеграм используется как платформа управления и как маркетплейс киберуслуг, обеспечивая оперативную связь и способствуя эксфильтрации данных. Злоумышленники часто начинают с тактик социальной инженерии для запуска ВПО, которое может захватывать экран/аудио и манипулировать ключами реестра Windows для закрепления.
-----

Согласно последним анализам, иранские злоумышленники, особенно те, кто связан с Министерством разведки и безопасности (MOIS), используют загрузочные скрипты в рамках своих киберопераций. Эти скрипты, как правило, имеют базовую структуру, и их основная цель — обеспечить загрузку вторичных полезной нагрузки, размещенных на объектном хранилище Vultr. В частности, загрузочный скрипт на базе PowerShell использует кодировку base64 для сокрытия своей полезной нагрузки, что приводит к скачиванию zip-архива, содержащего исполняемый файл RuntimeSSH.exe. Этот исполняемый файл, упомянутый в отчете FBI FLASH, связан с эксфильтрацией конфиденциальных данных с зараженных устройств.

Телеграм стал важным инструментом для этих злоумышленников, функционируя как платформа управления (C2). Его использование опирается на способность платформы маскироваться под легитимный сетевой трафик и относительную простоту создания ботов. Телеграм выполняет двойную функцию, позволяя злоумышленникам не только управлять операциями, но и действовать как маркетплейс для киберпреступных услуг и ВПО. В частности, это включало такие группы, как Handela Hack, которые активно используют Телеграм для оперативной связи.

Внедрение обычно начинается с тактик социальной инженерии, когда злоумышленники выдают себя за сотрудников службы поддержки или известных личностей, чтобы обманом заставить жертв выполнить вредоносное ПО. Злоумышленники использовали популярные приложения для маскировки своего ВПО, которое развертывается с помощью скриптов PowerShell и способно изменять ключи реестра Windows для поддержания закрепления. После установки ВПО демонстрирует функциональность, такую как захват экрана и аудиоданных, а также извлечение данных из локальных кэшей. Сообщается, что эксфильтрация собранных данных происходит через каналы Телеграм.

Два конкретных скрипта PowerShell, идентифицированных как ps.ps1 и cmd.ps1, входят в число обнаруженных образцов загрузчиков. Оба скрипта выполняют закодированные в base64 команды с использованием скрытых окон PowerShell, незначительно различаясь в спецификациях команд. Еще один заметный скрипт, написанный на VBScript, запрашивает размер диска и может выполнять команды PowerShell, если размер диска превышает определенный порог. Это наряду с большим набором скриптов указывает на сложный метод уклонения от обнаружения при обеспечении выполнения вредоносных задач.

Кроме того, полезная нагрузка, упомянутая в отчете ФБР — smqdservice.exe — содержит более сложные тактики. Этот исполняемый файл стремится избежать обнаружения Microsoft Defender, создавая исключения в его конфигурации. При запуске smqdservice.exe загружаются различные модули Python, включая python311.dll, для расширения функциональности ВПО. Извлеченные из ВПО данные раскрывают конкретные конфигурации бота Телеграм, предоставляющие представление об их операционной архитектуре.

#ParsedReport #CompletenessLow
05-05-2026

New Phishing Campaign Targets US with Credential Theft: What CISOs Need to Know

https://any.run/cybersecurity-blog/us-fake-invitation-phishing/

Report completeness: Low

Threats:
Centrastage_tool
Screenconnect_tool
Itarian_tool
Logmein_tool

Victims:
United states organizations

Industry:
Government, Education, Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1056.003, T1111, T1219, T1583.001

IOCs:
Domain: 2
File: 6
Hash: 6

Soft:
Linux, Android, Gmail

Algorithms:
sha256

Languages:
php