#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, также известный как Manlinghua или BITTER, — это стойкий злоумышленник, нацеленный на государственные, военные и академические секторы Южной Азии с использованием ВПО на Python, упакованного в NUITKA. Его основной метод заключается в доставке вредоносных исполняемых файлов, которые выполняют инструкции командной строки, загружают бэкдоры и используют Стеганографию для эксфильтрации данных. Недавние образцы указывают на использование Python 3.12 и демонстрируют возможности удаленного выполнения команд, сбора системной информации и поддержания связи с серверами управления.
-----

Группа APT-C-08, также известная как Manlinghua или BITTER, — это сложный целенаправленный актор, известный своими обширными возможностями кибератак как минимум с 2013 года. Эта группа в первую очередь нацелена на государственные учреждения, военные сектора, университеты и организации, связанные с иностранными государствами, в Южной Азии, представляя собой постоянную угрозу для региональной кибербезопасности.

Недавние исследования 360 Security Brain показали, что Manlinghua использует образцы Python, упакованные с помощью NUITKA, для доставки атак — как напрямую, так и через CHM-файлы, которые загружают эти образцы. Основной полезной нагрузкой является скрипт Python, упакованный в исполняемый файл, который затем загружает различные компоненты бэкдора. Эти бэкдоры предназначены для выполнения командных инструкций удаленно, что позволяет злоумышленникам собирать информацию о системе, загружать дополнительные вредоносные полезной нагрузки и выполнять стеганографические операции.

Анализ захваченных вредоносных образцов показывает, что используется версия Python 3.12, при этом компоненты извлекаются во временную папку на скомпрометированных системах. Распакованный образец предназначен для подключения к серверу управления (C2) и ожидает команд для выполнения. Это включает получение команд на установку необходимых инструментов, таких как среда выполнения Python, а также проведение действий, таких как сканирование устройств хранения на наличие конфиденциальных данных перед синхронизацией этой информации с C2.

Взаимодействие с сервером C2 включает передачу системных сведений, включая имена пользователей и версии системы, а полезная нагрузка поддерживает асинхронные операции для обеспечения загрузки файлов на основе приоритета задач, установленного сервером C2. Конфигурация образца интегрирует стеганографические техники для мониторинга устройств хранения, обеспечивая периодическую передачу данных на сервер, контролируемый злоумышленником.

Среди инструментов, используемых в этой кампании, находится компонент удаленного управления Remcos, что соответствует прошлым методологиям нацеливания, применяемым группировкой против таких регионов, как Пакистан. Структура команд и процессы выполнения напрямую связаны с ранее задокументированными кампаниями, что подтверждает атрибуцию к APT-C-08. Общие операционные паттерны указывают на устойчивую и развивающуюся приверженность кибероперациям против конкретных геополитических целей в Южной Азии, подчеркивая их высокий уровень угрозы в ландшафте угроз.

#ParsedReport #CompletenessLow
29-04-2026

Increase in Email Bombing and IT Impersonation Campaigns

https://www.esentire.com/security-advisories/increase-in-email-bombing-and-it-impersonation-campaigns

Report completeness: Low

Actors/Campaigns:
0ktapus
Payouts_king
Unc6692

Threats:
Email_bombing_technique
Microsoft_quick_assist_tool
Anydesk_tool
Rclone_tool
Megasync_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1219, T1566.003, T1583.001, T1656, T1660

IOCs:
File: 1
Email: 1

Soft:
Microsoft Teams, WinSCP, Office 365, Windows Security

Algorithms:
zip

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С начала 2026 года наблюдается рост фишинговых атак с использованием Microsoft Teams, при этом злоумышленники имитируют службу технической поддержки для получения удаленного доступа к устройствам. Такие группы, как Scattered Spider и UNC6692, применяют email-бомбардировку и прямое взаимодействие, используя инструменты вроде Quick Assist для первоначального доступа, за которыми следуют эксфильтрация данных и развертывание ВПО через утилиты, такие как WinSCP. Эти организованные атаки все чаще включают реалистичные псевдонимы и одноразовые домены, что указывает на скоординированные усилия с высокой эффективностью в обмане пользователей.
-----

С начала 2026 года атаки фишинга на основе Microsoft Teams резко увеличились, в основном с участием злоумышленников, выдающих себя за команды IT Support и Helpdesk, чтобы обманом заставить пользователей предоставить удаленный доступ к своим устройствам. Эти атаки часто начинаются с email bombing, за которым следует прямое взаимодействие с пользователями под предлогом оказания помощи. Общая цель — получить удаленный доступ, что позволяет злоумышленникам похищать конфиденциальные данные и развертывать дополнительное ВПО, включая ransomware, для закрепления в скомпрометированных системах.

Наблюдаемые техники атак включают злоупотребление совместными платформами, такими как Microsoft Teams, для имперсонации легитимных сотрудников ИТ. Известные группы, такие как Scattered Spider, Payouts King и UNC6692, применяли аналогичные тактики. Первоначальный доступ обычно достигается за счет того, что пользователей обманом заставляют разрешить доступ через инструменты удаленного мониторинга и управления (RMM), такие как Quick Assist или AnyDesk. Получив доступ, злоумышленники часто развертывают утилиты передачи файлов, такие как WinSCP, для эксфильтрации данных или внедрения вредоносных загрузок, например, через ZIP-архив, который запускает вредоносные Java-приложения.

Инфраструктура, поддерживающая эти атаки, демонстрирует высокий уровень организованности, при этом угрозы исходят от так называемых провайдеров пуленепробиваемого хостинга. Эти атаки отличаются использованием как недавно созданных доменов .onmicrosoft.com с названиями, ориентированными на ИТ-специалистов, так и одноразовых доменов, используемых для оперативного фишинга. В заметном сдвиге злоумышленники начали использовать реалистичные персонажи, связанные с их фишинговыми попытками, отказываясь от общих названий учетных записей, основанных на ролях, что повышает достоверность их сообщений.

Недавние наблюдения указывают на значительный рост инцидентов, связанных с эксфильтрацией данных с помощью тактик Имперсонация. Анализ eSentire выявляет не только методы проникновения, но и устойчивые шаблоны в злонамеренных сообщениях Teams, что указывает на скоординированные усилия, а не на изолированные инциденты. Учитывая обнаруженную эскалацию и 72-процентный уровень успешности этих фишинговых стратегий, ожидания относительно продолжения широкого распространения атак с использованием email-бомбардировок и атак с использованием Имперсонация в сфере ИТ высоки на оставшуюся часть 2026 года. Организациям настоятельно рекомендуется внедрять строгие меры, такие как ограничение внешней коммуникации через инструменты совместной работы и повышение осведомленности пользователей для защиты от этих сложных угроз.

#ParsedReport #CompletenessHigh
30-04-2026

Inside Shadow-Earth-053: A China-Aligned Cyberespionage Campaign Against Government and Defense Sectors in Asia

https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html

Report completeness: High

Actors/Campaigns:
Earth_alux
Cl-sta-0049
Winnti
Hafnium

Threats:
Dll_sideloading_technique
Proxylogon_exploit
Godzilla_webshell
Shadowpad
Anydesk_tool
Nood_rat
React2shell_vuln
Nltest_tool
Powerview_tool
Iox_tool
Passthehash_technique
Wstunnel_tool
Ringq_tool
Smbexec_tool
Mimikatz_tool
Lsadump_tool
Dcsync_technique
Vshell
Squidoor
Vargeit
Finaldraft
Supply_chain_technique

Industry:
Government, Telco, Critical_infrastructure, Transport

Geo:
Thailand, Sri lanka, Brazil, China, Asia, Malaysia, Myanmar, Asian, India, Poland, Taiwan, Pakistan, Chinese, Latin america

CVEs:
CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 43
IP: 4
Coin: 1
Domain: 2
Hash: 4

Soft:
Microsoft Exchange, Microsoft Exchange Server, Linux, Active Directory, MySQL, MS SQL, Windows Registry

Algorithms:
sha256, exhibit

Functions:
Get-DomainUser, Get-Mailbox, Get-User

Win API:
GetComputerNameA, VirtualAlloc, EnumDesktopsA

Languages:
powershell

Links:
https://github.com/EddieIvan01/iox/
https://github.com/checkymander/Sharp-SMBExec/
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1

#ParsedReport #CompletenessMedium
04-05-2026

Breaking the code: Multi-stage ‘code of conduct' phishing campaign leads to AiTM token compromise

https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

Report completeness: Medium

Threats:
Aitm_technique
Credential_harvesting_technique
Device_code_phishing_technique

Victims:
Healthcare and life sciences, Financial services, Professional services, Technology and software

Industry:
Healthcare

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.004, T1550.004, T1557, T1566.001, T1566.002

IOCs:
File: 2
Domain: 5
Email: 5
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, Twitter

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя сложная многоэтапная фишинговая кампания нацелилась на более чем 35 000 пользователей в США, используя отполированные HTML-шаблоны электронных писем, тематически связанные с проверками кодекса поведения, для повышения доверия. Используя техники adversary-in-the-middle (AiTM), злоумышленники перехватывали сеансы аутентификации, обходя традиционную многофакторную аутентификацию для захвата токенов и получения доступа к учетным записям. В электронных письмах содержались вводящие в заблуждение PDF-вложения, а пользователи направлялись на страницу входа в Microsoft, выглядящую легитимно, что повышало вероятность успешного кражи учетных данных.
-----

Недавняя многоэтапная фишинговая кампания, направленная на кражу учетных данных, демонстрирует растущую сложность киберугроз, как это наблюдалось исследователями Microsoft Defender Research. Эта кампания, произошедшая с 14 по 16 апреля 2026 года, затронула более 35 000 пользователей в более чем 13 000 организаций, преимущественно в Соединенных Штатах. Используя тему кодекса поведения, злоумышленники применяли отполированные HTML-шаблоны электронных писем для повышения достоверности фишинговых сообщений. Эти сообщения сочетали тактики социальной инженерии, включая срочные временные метки и приманки в виде внутренних коммуникаций, чтобы подтолкнуть пользователей к немедленным действиям.

Атака использовала протокол «злоумышленник в середине» (AiTM), позволяющий злоумышленникам перехватывать сеансы аутентификации в реальном времени и обходить традиционные меры безопасности, такие как многофакторная аутентификация (MFA). Фишинговый поток завершился легитимным процессом входа в систему, что позволило злоумышленникам захватить токены аутентификации и получить немедленный доступ к скомпрометированным учетным записям. В отличие от стандартного сбора учетных записей, который полагается на то, что пользователи раскрывают свои учетные данные, атаки AiTM создают сценарий перехвата сеанса, который может существенно подорвать защиту организации.

В рамках кампании рассылались электронные письма с документами, в которых утверждалось, что они связаны с текущими проверками соблюдения кодекса поведения, и которые были персонализированы с учетом специфики организации. Эти письма содержали вложения в формате PDF, которые якобы содержали материалы по делам, побуждая получателей перейти по ссылке для дальнейшего ознакомления. При переходе пользователи проходили проверку CAPTCHA, а затем направлялись на промежуточную страницу, которая подготавливала их к финальному этапу аутентификации, замаскированному под легитимную страницу входа Microsoft. Такой поток действий не только усиливал достоверность атаки, но и тактически фильтровал автоматические средства защиты за счет многоэтапного взаимодействия.

Специалистам по безопасности рекомендуется укреплять защиту от подобных фишинговых тактик путем обучения пользователей, внедрения передовых технологий противодействия фишингу и настройки надежных параметров безопасности электронной почты. Усовершенствованные механизмы обнаружения угроз и повышение осведомленности пользователей имеют решающее значение по мере эволюции фишингового ландшафта, особенно с учетом интеграции функций реагирования на основе искусственного интеллекта, предоставляемых такими инструментами, как Microsoft Security Copilot. Организации должны сохранять бдительность в отношении этих продвинутых фишинговых техник, чтобы минимизировать риски, связанные с кражей учетных данных, и обеспечить целостность пользовательских учетных записей.

#ParsedReport #CompletenessMedium
04-05-2026

Analyzing Iranian Tradecraft: Leveraging Loader Scripts and Telegram for C2

https://blog.pulsedive.com/analyzing-iranian-tradecraft-leveraging-loader-scripts-and-telegram-for-c2/

Report completeness: Medium

Threats:
Bloat_technique

Victims:
Users

Industry:
E-commerce

Geo:
Iran, Iranian

TTPs:
Tactics: 3
Technics: 7

IOCs:
File: 8
Url: 2
Path: 2
Hash: 5

Soft:
Telegram, Microsoft Defender

Algorithms:
base64, sha256, zip, md5, sha1

Languages:
visual_basic, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские злоумышленники, связанные с Министерством разведки и безопасности (MOIS), используют скрипты-загрузчики на базе PowerShell для загрузки вторичных полезной нагрузки, включая исполняемый файл RuntimeSSH.exe, который участвует в эксфильтрации данных. Телеграм используется как платформа управления и как маркетплейс киберуслуг, обеспечивая оперативную связь и способствуя эксфильтрации данных. Злоумышленники часто начинают с тактик социальной инженерии для запуска ВПО, которое может захватывать экран/аудио и манипулировать ключами реестра Windows для закрепления.
-----

Согласно последним анализам, иранские злоумышленники, особенно те, кто связан с Министерством разведки и безопасности (MOIS), используют загрузочные скрипты в рамках своих киберопераций. Эти скрипты, как правило, имеют базовую структуру, и их основная цель — обеспечить загрузку вторичных полезной нагрузки, размещенных на объектном хранилище Vultr. В частности, загрузочный скрипт на базе PowerShell использует кодировку base64 для сокрытия своей полезной нагрузки, что приводит к скачиванию zip-архива, содержащего исполняемый файл RuntimeSSH.exe. Этот исполняемый файл, упомянутый в отчете FBI FLASH, связан с эксфильтрацией конфиденциальных данных с зараженных устройств.

Телеграм стал важным инструментом для этих злоумышленников, функционируя как платформа управления (C2). Его использование опирается на способность платформы маскироваться под легитимный сетевой трафик и относительную простоту создания ботов. Телеграм выполняет двойную функцию, позволяя злоумышленникам не только управлять операциями, но и действовать как маркетплейс для киберпреступных услуг и ВПО. В частности, это включало такие группы, как Handela Hack, которые активно используют Телеграм для оперативной связи.

Внедрение обычно начинается с тактик социальной инженерии, когда злоумышленники выдают себя за сотрудников службы поддержки или известных личностей, чтобы обманом заставить жертв выполнить вредоносное ПО. Злоумышленники использовали популярные приложения для маскировки своего ВПО, которое развертывается с помощью скриптов PowerShell и способно изменять ключи реестра Windows для поддержания закрепления. После установки ВПО демонстрирует функциональность, такую как захват экрана и аудиоданных, а также извлечение данных из локальных кэшей. Сообщается, что эксфильтрация собранных данных происходит через каналы Телеграм.

Два конкретных скрипта PowerShell, идентифицированных как ps.ps1 и cmd.ps1, входят в число обнаруженных образцов загрузчиков. Оба скрипта выполняют закодированные в base64 команды с использованием скрытых окон PowerShell, незначительно различаясь в спецификациях команд. Еще один заметный скрипт, написанный на VBScript, запрашивает размер диска и может выполнять команды PowerShell, если размер диска превышает определенный порог. Это наряду с большим набором скриптов указывает на сложный метод уклонения от обнаружения при обеспечении выполнения вредоносных задач.

Кроме того, полезная нагрузка, упомянутая в отчете ФБР — smqdservice.exe — содержит более сложные тактики. Этот исполняемый файл стремится избежать обнаружения Microsoft Defender, создавая исключения в его конфигурации. При запуске smqdservice.exe загружаются различные модули Python, включая python311.dll, для расширения функциональности ВПО. Извлеченные из ВПО данные раскрывают конкретные конфигурации бота Телеграм, предоставляющие представление об их операционной архитектуре.

#ParsedReport #CompletenessLow
05-05-2026

New Phishing Campaign Targets US with Credential Theft: What CISOs Need to Know

https://any.run/cybersecurity-blog/us-fake-invitation-phishing/

Report completeness: Low

Threats:
Centrastage_tool
Screenconnect_tool
Itarian_tool
Logmein_tool

Victims:
United states organizations

Industry:
Government, Education, Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1056.003, T1111, T1219, T1583.001

IOCs:
Domain: 2
File: 6
Hash: 6

Soft:
Linux, Android, Gmail

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания направлена против организаций США с использованием обманных приглашений на мероприятия для кражи учетных данных и перехвата одноразовых паролей (OTP). В рамках этой кампании применяются автоматизированные фреймворки для генерации множества фишинговых страниц, при этом зарегистрировано около 80 доменов, преимущественно с доменом верхнего уровня .de, а также используются легитимные инструменты удаленного управления для несанкционированного доступа. Ее фокус на критических секторах, таких как образование, банковская сфера и здравоохранение, указывает на значительную эволюцию тактик фишинга, которая усложняет усилия по обнаружению и реагированию.
-----

Недавняя широкомасштабная фишинг-кампания целенаправленно атакует организации США, используя обманные приглашения на мероприятия, предназначенные для кражи учетных данных, перехвата OTP (одноразовых паролей) и установки легитимных инструментов удаленного управления (RMM). Исследователи из ANY.RUN выявили, что данная кампания использует масштабируемый фреймворк, генерирующий приманочные страницы на тему мероприятий, которые могут вовлечь пользователей в кажущиеся безобидными взаимодействия, прежде чем в конечном итоге скомпрометировать их учетные данные.

На начальных этапах атаки жертвам предлагается пройти проверку CAPTCHA в рамках фишинговой приманки. За этим следует страница-приглашение, запрашивающая учетные данные. После ввода учетных данных появляется запрос на одноразовый пароль (OTP), что дополнительно повышает шансы на успешную компрометацию учетной записи. Кампания использует структурированный подход с несколькими фишинговыми доменами — выявлено около 80, преимущественно зарегистрированных в зоне .de. Фреймворк демонстрирует признаки автоматизации, что указывает на возможное использование элементов, сгенерированных искусственным интеллектом, для быстрого создания больших объемов фишинговых страниц.

Риски, связанные с этой кампанией, выходят за рамки типичных фишинговых угроз. Использование легитимных инструментов RMM, таких как ScreenConnect и LogMeIn Rescue, усложняет усилия по обнаружению. Эти инструменты могут обеспечивать несанкционированный удаленный доступ, позволяющий обойти обычные меры безопасности, особенно когда их установка выглядит рутинной. Операционный дизайн фишинговых страниц следует последовательному шаблону, что позволяет аналитикам угроз распознавать общие элементы на разных доменах и URL-адресах, облегчая более быстрое выявление и реагирование на эти угрозы.

Эта кампания оказала особое воздействие на такие сектора, как образование, банковское дело, государственное управление, технологии и здравоохранение — отрасли, где критически важны удаленный доступ и управление идентификацией. Сочетание украденных учетных данных и калиброванной развертки инструментов RMM представляет собой значительный сдвиг в тактиках фишинга, создавая большие задержки в обнаружении и реагировании со стороны центров безопасности (SOC). Повышенная сложность этих фишинговых попыток требует улучшения мониторинга и методов быстрой идентификации, поскольку структурированная инфраструктура и шаблоны URL-адресов могут помочь аналитикам связывать связанные активности.

Любое успешное фишинг-атака, особенно та, что связана с кажущимися легитимными сервисами, представляет реальную угрозу для организаций. Руководителям по информационной безопасности (CISO) рекомендуется усилить свои стратегии реагирования на фишинг с помощью инструментов, обеспечивающих видимость атак в реальном времени и поддержку поведенческого анализа подозрительных ссылок. Используя фреймворки разведки об угрозах, команды безопасности могут не только ускорить проверку угроз, но и принимать обоснованные решения по изоляции, тем самым укрепляя свою защиту от эволюционирующих тактик фишинга.

#ParsedReport #CompletenessLow
06-05-2026

Lazarus Group Uses Git Hooks To Hide Malware

https://opensourcemalware.com/blog/dprk-git-hooks-malware

Report completeness: Low

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Invisibleferret
Beavertail
Supply_chain_technique

Victims:
Software developers, Cryptocurrency sector, Decentralized finance sector

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1036.008, T1059.004, T1071.001, T1082, T1105, T1204, T1546, T1656

IOCs:
File: 4
Domain: 1
Url: 3
Path: 1

Soft:
curl, Linux

Algorithms:
sha256

Functions:
TaskJacker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus усовершенствовала свои методы атак в кампаниях Contagious Interview и TaskJacker, внедрив загрузчик в Git-хуки, в частности используя скрипт `.githooks/pre-commit` для выполнения вредоносного ПО сразу после того, как кандидат клонирует репозиторий. Этот новый метод определяет операционную систему жертвы и загружает полезную нагрузку с сервера управления, применяя тактики социальной инженерии, замаскированные под процесс рекрутинга, направленный на кандидатов из технологической сферы. Кроме того, группа использует хуки post-checkout для дальнейшего сокрытия своей деятельности, что указывает на изощренный подход к развертыванию вредоносного ПО в рабочих процессах разработчиков.
-----

Группа Lazarus, связанная с Северной Кореей, внедрила новую технику в своих кампаниях Contagious Interview и TaskJacker, разместив загрузчик второго этапа внутри Git-хуков. Это представляет собой отход от их предыдущих методов сокрытия загрузчика в таких файлах, как .vscode/tasks.json, скрипты postinstall в package.json или поддельные файлы шрифтов .woff2. Новый этап происходит сразу после того, как кандидат клонирует репозиторий с кодовой оценкой, при этом вредоносный загрузчик выполняется до фиксации любых изменений в коде.

Вредоносное действие выполняется через скрипт `.githooks/pre-commit`, который действует как легковесный загрузчик, отвечающий за определение операционной системы жертвы с помощью команды `uname -s`. Затем он загружает платформозависимый полезный груз с назначенного сервера управления по адресу precommit.vercel.app, используя `curl` или `wget`, и передает результат напрямую в оболочку на системах Unix-подобного типа или в `cmd.exe` на вариантах Windows с использованием Git Bash, MSYS или Cygwin. Примечательно, что команда, отправляемая на сервер, включает параметр запроса `flag=5`, указывающий на уникальный идентификатор кампании или варианта, что отражает последовательное использование группой числовых флагов для отслеживания своих доставок. Скрипт предназначен для подавления вывода путем перенаправления его в `/dev/null`, и он гарантирует успешное выполнение коммита, всегда завершаясь со статусом 0, тем самым избегая любых сбоев, которые мог бы заметить разработчик.

Эта тактика продолжает использовать социальную инженерию под видом фиктивного процесса найма, направленного на технических кандидатов. Основная цель остается прежней: развернуть вредоносное ПО, в частности имплантаты в стиле InvisibleFerret для кражи криптокошельков и учетных данных. Наблюдается, что злоумышленники используют этот же pre-commit hook в нескольких репозиториях GitHub, которые демонстрируют типичные паттерны Contagious Interview, включая тематику проектов в области децентрализованных финансов или криптовалюты, создание новых аккаунтов и минимальную историю коммитов, побуждающую кандидатов выполнять код локально.

Кроме того, группа также использует хуки после проверки (post-checkout), которые активируются при изменении веток, повышая скрытность своих операций. Постоянная эволюция местоположения загрузчика подчеркивает растущую сложность действий группы Lazarus Group, которая ищет всё более эффективные способы внедрения ВПО в рабочие процессы разработчиков. Эта стратегическая адаптация сигнализирует о том, что, пока разработчики автоматически запускают произвольные скрипты, группа будет продолжать внедрять вредоносные компоненты, делая обнаружение и предотвращение угроз непрерывной задачей для усилий в области кибербезопасности.

#ParsedReport #CompletenessHigh
05-05-2026

Malicious OpenClaw Skill Distributes Remcos RAT and GhostLoader

https://www.zscaler.com/blogs/security-research/malicious-openclaw-skill-distributes-remcos-rat-and-ghostloader

Report completeness: High

Actors/Campaigns:
Ghostclaw

Threats:
Remcos_rat
Ghostloader
Dllsearchorder_hijacking_technique
Amsi_bypass_technique
Credential_harvesting_technique
Dll_sideloading_technique
Supply_chain_technique

Victims:
Developers, Developer environments, Ai workflows

TTPs:
Tactics: 8
Technics: 16

IOCs:
Command: 2
Url: 16
File: 16
Registry: 5
Hash: 5
IP: 1

Soft:
OpenClaw, Clawdbot, Moltbot, Windows Installer, Event Tracing for Windows, macOS, Linux, Node.js, DeepSeek, Windows security, have more...

Algorithms:
ecc, rc4, xor, cbc

Win API:
EtwEventWrite, NtGlobalFlag, RegOpenKeyExA, CreateToolhelp32Snapshot

Languages:
javascript, powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4