#ParsedReport #CompletenessMedium
04-05-2026

Analyzing Iranian Tradecraft: Leveraging Loader Scripts and Telegram for C2

https://blog.pulsedive.com/analyzing-iranian-tradecraft-leveraging-loader-scripts-and-telegram-for-c2/

Report completeness: Medium

Threats:
Bloat_technique

Victims:
Users

Industry:
E-commerce

Geo:
Iran, Iranian

TTPs:
Tactics: 3
Technics: 7

IOCs:
File: 8
Url: 2
Path: 2
Hash: 5

Soft:
Telegram, Microsoft Defender

Algorithms:
base64, sha256, zip, md5, sha1

Languages:
visual_basic, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские злоумышленники, связанные с Министерством разведки и безопасности (MOIS), используют скрипты-загрузчики на базе PowerShell для загрузки вторичных полезной нагрузки, включая исполняемый файл RuntimeSSH.exe, который участвует в эксфильтрации данных. Телеграм используется как платформа управления и как маркетплейс киберуслуг, обеспечивая оперативную связь и способствуя эксфильтрации данных. Злоумышленники часто начинают с тактик социальной инженерии для запуска ВПО, которое может захватывать экран/аудио и манипулировать ключами реестра Windows для закрепления.
-----

Согласно последним анализам, иранские злоумышленники, особенно те, кто связан с Министерством разведки и безопасности (MOIS), используют загрузочные скрипты в рамках своих киберопераций. Эти скрипты, как правило, имеют базовую структуру, и их основная цель — обеспечить загрузку вторичных полезной нагрузки, размещенных на объектном хранилище Vultr. В частности, загрузочный скрипт на базе PowerShell использует кодировку base64 для сокрытия своей полезной нагрузки, что приводит к скачиванию zip-архива, содержащего исполняемый файл RuntimeSSH.exe. Этот исполняемый файл, упомянутый в отчете FBI FLASH, связан с эксфильтрацией конфиденциальных данных с зараженных устройств.

Телеграм стал важным инструментом для этих злоумышленников, функционируя как платформа управления (C2). Его использование опирается на способность платформы маскироваться под легитимный сетевой трафик и относительную простоту создания ботов. Телеграм выполняет двойную функцию, позволяя злоумышленникам не только управлять операциями, но и действовать как маркетплейс для киберпреступных услуг и ВПО. В частности, это включало такие группы, как Handela Hack, которые активно используют Телеграм для оперативной связи.

Внедрение обычно начинается с тактик социальной инженерии, когда злоумышленники выдают себя за сотрудников службы поддержки или известных личностей, чтобы обманом заставить жертв выполнить вредоносное ПО. Злоумышленники использовали популярные приложения для маскировки своего ВПО, которое развертывается с помощью скриптов PowerShell и способно изменять ключи реестра Windows для поддержания закрепления. После установки ВПО демонстрирует функциональность, такую как захват экрана и аудиоданных, а также извлечение данных из локальных кэшей. Сообщается, что эксфильтрация собранных данных происходит через каналы Телеграм.

Два конкретных скрипта PowerShell, идентифицированных как ps.ps1 и cmd.ps1, входят в число обнаруженных образцов загрузчиков. Оба скрипта выполняют закодированные в base64 команды с использованием скрытых окон PowerShell, незначительно различаясь в спецификациях команд. Еще один заметный скрипт, написанный на VBScript, запрашивает размер диска и может выполнять команды PowerShell, если размер диска превышает определенный порог. Это наряду с большим набором скриптов указывает на сложный метод уклонения от обнаружения при обеспечении выполнения вредоносных задач.

Кроме того, полезная нагрузка, упомянутая в отчете ФБР — smqdservice.exe — содержит более сложные тактики. Этот исполняемый файл стремится избежать обнаружения Microsoft Defender, создавая исключения в его конфигурации. При запуске smqdservice.exe загружаются различные модули Python, включая python311.dll, для расширения функциональности ВПО. Извлеченные из ВПО данные раскрывают конкретные конфигурации бота Телеграм, предоставляющие представление об их операционной архитектуре.

#ParsedReport #CompletenessLow
05-05-2026

New Phishing Campaign Targets US with Credential Theft: What CISOs Need to Know

https://any.run/cybersecurity-blog/us-fake-invitation-phishing/

Report completeness: Low

Threats:
Centrastage_tool
Screenconnect_tool
Itarian_tool
Logmein_tool

Victims:
United states organizations

Industry:
Government, Education, Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1056.003, T1111, T1219, T1583.001

IOCs:
Domain: 2
File: 6
Hash: 6

Soft:
Linux, Android, Gmail

Algorithms:
sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания направлена против организаций США с использованием обманных приглашений на мероприятия для кражи учетных данных и перехвата одноразовых паролей (OTP). В рамках этой кампании применяются автоматизированные фреймворки для генерации множества фишинговых страниц, при этом зарегистрировано около 80 доменов, преимущественно с доменом верхнего уровня .de, а также используются легитимные инструменты удаленного управления для несанкционированного доступа. Ее фокус на критических секторах, таких как образование, банковская сфера и здравоохранение, указывает на значительную эволюцию тактик фишинга, которая усложняет усилия по обнаружению и реагированию.
-----

Недавняя широкомасштабная фишинг-кампания целенаправленно атакует организации США, используя обманные приглашения на мероприятия, предназначенные для кражи учетных данных, перехвата OTP (одноразовых паролей) и установки легитимных инструментов удаленного управления (RMM). Исследователи из ANY.RUN выявили, что данная кампания использует масштабируемый фреймворк, генерирующий приманочные страницы на тему мероприятий, которые могут вовлечь пользователей в кажущиеся безобидными взаимодействия, прежде чем в конечном итоге скомпрометировать их учетные данные.

На начальных этапах атаки жертвам предлагается пройти проверку CAPTCHA в рамках фишинговой приманки. За этим следует страница-приглашение, запрашивающая учетные данные. После ввода учетных данных появляется запрос на одноразовый пароль (OTP), что дополнительно повышает шансы на успешную компрометацию учетной записи. Кампания использует структурированный подход с несколькими фишинговыми доменами — выявлено около 80, преимущественно зарегистрированных в зоне .de. Фреймворк демонстрирует признаки автоматизации, что указывает на возможное использование элементов, сгенерированных искусственным интеллектом, для быстрого создания больших объемов фишинговых страниц.

Риски, связанные с этой кампанией, выходят за рамки типичных фишинговых угроз. Использование легитимных инструментов RMM, таких как ScreenConnect и LogMeIn Rescue, усложняет усилия по обнаружению. Эти инструменты могут обеспечивать несанкционированный удаленный доступ, позволяющий обойти обычные меры безопасности, особенно когда их установка выглядит рутинной. Операционный дизайн фишинговых страниц следует последовательному шаблону, что позволяет аналитикам угроз распознавать общие элементы на разных доменах и URL-адресах, облегчая более быстрое выявление и реагирование на эти угрозы.

Эта кампания оказала особое воздействие на такие сектора, как образование, банковское дело, государственное управление, технологии и здравоохранение — отрасли, где критически важны удаленный доступ и управление идентификацией. Сочетание украденных учетных данных и калиброванной развертки инструментов RMM представляет собой значительный сдвиг в тактиках фишинга, создавая большие задержки в обнаружении и реагировании со стороны центров безопасности (SOC). Повышенная сложность этих фишинговых попыток требует улучшения мониторинга и методов быстрой идентификации, поскольку структурированная инфраструктура и шаблоны URL-адресов могут помочь аналитикам связывать связанные активности.

Любое успешное фишинг-атака, особенно та, что связана с кажущимися легитимными сервисами, представляет реальную угрозу для организаций. Руководителям по информационной безопасности (CISO) рекомендуется усилить свои стратегии реагирования на фишинг с помощью инструментов, обеспечивающих видимость атак в реальном времени и поддержку поведенческого анализа подозрительных ссылок. Используя фреймворки разведки об угрозах, команды безопасности могут не только ускорить проверку угроз, но и принимать обоснованные решения по изоляции, тем самым укрепляя свою защиту от эволюционирующих тактик фишинга.

#ParsedReport #CompletenessLow
06-05-2026

Lazarus Group Uses Git Hooks To Hide Malware

https://opensourcemalware.com/blog/dprk-git-hooks-malware

Report completeness: Low

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Invisibleferret
Beavertail
Supply_chain_technique

Victims:
Software developers, Cryptocurrency sector, Decentralized finance sector

Geo:
Dprk

ChatGPT TTPs:
do not use without manual check
T1036.008, T1059.004, T1071.001, T1082, T1105, T1204, T1546, T1656

IOCs:
File: 4
Domain: 1
Url: 3
Path: 1

Soft:
curl, Linux

Algorithms:
sha256

Functions:
TaskJacker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus усовершенствовала свои методы атак в кампаниях Contagious Interview и TaskJacker, внедрив загрузчик в Git-хуки, в частности используя скрипт `.githooks/pre-commit` для выполнения вредоносного ПО сразу после того, как кандидат клонирует репозиторий. Этот новый метод определяет операционную систему жертвы и загружает полезную нагрузку с сервера управления, применяя тактики социальной инженерии, замаскированные под процесс рекрутинга, направленный на кандидатов из технологической сферы. Кроме того, группа использует хуки post-checkout для дальнейшего сокрытия своей деятельности, что указывает на изощренный подход к развертыванию вредоносного ПО в рабочих процессах разработчиков.
-----

Группа Lazarus, связанная с Северной Кореей, внедрила новую технику в своих кампаниях Contagious Interview и TaskJacker, разместив загрузчик второго этапа внутри Git-хуков. Это представляет собой отход от их предыдущих методов сокрытия загрузчика в таких файлах, как .vscode/tasks.json, скрипты postinstall в package.json или поддельные файлы шрифтов .woff2. Новый этап происходит сразу после того, как кандидат клонирует репозиторий с кодовой оценкой, при этом вредоносный загрузчик выполняется до фиксации любых изменений в коде.

Вредоносное действие выполняется через скрипт `.githooks/pre-commit`, который действует как легковесный загрузчик, отвечающий за определение операционной системы жертвы с помощью команды `uname -s`. Затем он загружает платформозависимый полезный груз с назначенного сервера управления по адресу precommit.vercel.app, используя `curl` или `wget`, и передает результат напрямую в оболочку на системах Unix-подобного типа или в `cmd.exe` на вариантах Windows с использованием Git Bash, MSYS или Cygwin. Примечательно, что команда, отправляемая на сервер, включает параметр запроса `flag=5`, указывающий на уникальный идентификатор кампании или варианта, что отражает последовательное использование группой числовых флагов для отслеживания своих доставок. Скрипт предназначен для подавления вывода путем перенаправления его в `/dev/null`, и он гарантирует успешное выполнение коммита, всегда завершаясь со статусом 0, тем самым избегая любых сбоев, которые мог бы заметить разработчик.

Эта тактика продолжает использовать социальную инженерию под видом фиктивного процесса найма, направленного на технических кандидатов. Основная цель остается прежней: развернуть вредоносное ПО, в частности имплантаты в стиле InvisibleFerret для кражи криптокошельков и учетных данных. Наблюдается, что злоумышленники используют этот же pre-commit hook в нескольких репозиториях GitHub, которые демонстрируют типичные паттерны Contagious Interview, включая тематику проектов в области децентрализованных финансов или криптовалюты, создание новых аккаунтов и минимальную историю коммитов, побуждающую кандидатов выполнять код локально.

Кроме того, группа также использует хуки после проверки (post-checkout), которые активируются при изменении веток, повышая скрытность своих операций. Постоянная эволюция местоположения загрузчика подчеркивает растущую сложность действий группы Lazarus Group, которая ищет всё более эффективные способы внедрения ВПО в рабочие процессы разработчиков. Эта стратегическая адаптация сигнализирует о том, что, пока разработчики автоматически запускают произвольные скрипты, группа будет продолжать внедрять вредоносные компоненты, делая обнаружение и предотвращение угроз непрерывной задачей для усилий в области кибербезопасности.

#ParsedReport #CompletenessHigh
05-05-2026

Malicious OpenClaw Skill Distributes Remcos RAT and GhostLoader

https://www.zscaler.com/blogs/security-research/malicious-openclaw-skill-distributes-remcos-rat-and-ghostloader

Report completeness: High

Actors/Campaigns:
Ghostclaw

Threats:
Remcos_rat
Ghostloader
Dllsearchorder_hijacking_technique
Amsi_bypass_technique
Credential_harvesting_technique
Dll_sideloading_technique
Supply_chain_technique

Victims:
Developers, Developer environments, Ai workflows

TTPs:
Tactics: 8
Technics: 16

IOCs:
Command: 2
Url: 16
File: 16
Registry: 5
Hash: 5
IP: 1

Soft:
OpenClaw, Clawdbot, Moltbot, Windows Installer, Event Tracing for Windows, macOS, Linux, Node.js, DeepSeek, Windows security, have more...

Algorithms:
ecc, rc4, xor, cbc

Win API:
EtwEventWrite, NtGlobalFlag, RegOpenKeyExA, CreateToolhelp32Snapshot

Languages:
javascript, powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали фреймворк OpenClaw для доставки Троянской программы Remcos и GhostLoader, кроссплатформенного стиллера информации. Атака использует вредоносный навык под названием DeepSeek-Claw для подгрузки вредоносной DLL из легитимного исполняемого файла GoToMeeting, применяя передовые техники уклонения, такие как Динамическое разрешение API и патчинг ETW и AMSI. Кроме того, для проникновения в среды GhostLoader использует зашифрованные Node.js-полезные нагрузки и методы социальной инженерии для сбора конфиденциальных данных, поддерживая при этом зашифрованную связь для эксфильтрации данных.
-----

В ходе недавней кампании, выявленной Zscaler, фреймворк OpenClaw был изменен злоумышленниками для доставки Троянской программы Remcos (RAT) и GhostLoader, кроссплатформенного стиллера информации. OpenClaw, изначально являвшийся инструментом с открытым исходным кодом для автономных ИИ-агентов, теперь используется как оружие для эксплуатации ИИ-рабочих процессов путем распространения обманных навыков, которые заставляют как ИИ-агентов, так и разработчиков выполнять вредоносное программное обеспечение.

Атака начинается с внедрения вредоносного навыка под названием DeepSeek-Claw, который позиционируется как легитимная интеграция OpenClaw. Выполняя определенную команду PowerShell или следуя предоставленным инструкциям по установке, злоумышленники загружают удаленный установщик Windows (MSI) для развертывания RAT Remcos. Злоумышленники используют легитимный, цифрово подписанный исполняемый файл GoToMeeting G2M.exe для подгрузки вредоносной DLL-библиотеки g2m.dll, которая действует как загрузчик shellcode. Такой подход позволяет вредоносному ПО маскироваться под доверенное программное обеспечение и обходить традиционные механизмы обнаружения. В памяти загрузчик применяет такие техники, как Динамическое разрешение API, и интегрирует защитные контрмеры для затруднения анализа, включая патчинг Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI).

Для альтернативных путей выполнения вредоносное ПО использует сильно замаскированный payload Node.js, встроенный в скрипты npm, для развертывания GhostLoader. Этот кроссплатформенный злоумышленник использует тактики социальной инженерии, такие как поддельные запросы sudo, для сбора конфиденциальных учетных данных пользователей. После проникновения GhostLoader может извлекать критически важную информацию из сред разработки, включая данные Связки ключей macOS, SSH-ключи и токены API.

RAT Remcos устанавливает зашифрованный канал управления, позволяя злоумышленнику собирать системную активность и конфиденциальные данные, такие как нажатия клавиш и куки-файлы сеансов браузера. Путем выгрузки этих данных злоумышленник стремится обойти многофакторную аутентификацию и сохранить постоянный доступ к зараженным системам.

Кроме того, ВПО использует передовые техники уклонения для противодействия мерам безопасности. В частности, оно применяет методы динамического шифрования с использованием алгоритма шифрования Tiny Encryption Algorithm (TEA) для сокрытия полезной нагрузки Remcos в памяти. Оно использует механизмы для обнаружения того, контролируется ли оно или выполняется в виртуальной среде, и прекращает свою работу при обнаружении таких условий.

Эта кампания демонстрирует тревожную тенденцию, при которой новые рабочие процессы на базе искусственного интеллекта используются в преступных целях, что требует более тщательной проверки сторонних плагинов и внедрения комплексных стратегий мониторинга для защиты от таких многоаспектных атак.

#ParsedReport #CompletenessHigh
06-05-2026

Operation Silent Rotor: Targeted Campaign Compromises Unmanned Aviation Sector Ahead of Moscow Summit

https://www.seqrite.com/blog/operation-silent-rotor-rust-malware-unmanned-aviation-sector/

Report completeness: High

Actors/Campaigns:
Silent_rotor

Threats:
Spear-phishing_technique

Victims:
Unmanned aviation sector, Aviation professionals, International business professionals, Translation related activities, Eurasia, Russia

Industry:
Aerospace

Geo:
Russia, Tajikistan, Russian, Middle east, Moscow, Asia

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 1
Url: 1
IP: 3
Hash: 5
Domain: 1

Algorithms:
aes-256, xor, sha256, aes, zip

Win API:
GetComputerNameExW, GetVolumeInformationW, GetAdaptersAddresses, InetNtopW, NtWriteFile, CreateProcessA

Languages:
rust

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Silent Rotor нацелена на евразийский сектор беспилотной авиации, применяя тактики целевого фишинга через ZIP-файл, содержащий исполняемый файл на Rust, который маскируется под документ с подтверждением заказа. ВПО сначала собирает системную информацию, а затем загружает вторичную полезную нагрузку с идентифицированного сервера управления в Москве, используя шифрование AES-256 для полезной нагрузки. Первоначальный исполняемый файл выполняет разведку, собирая данные, специфичные для машины, и служит вектором для развертывания дополнительной вредоносной функциональности.
-----

Операция Silent Rotor — это целевая киберкампания, направленная на сектор евразийской беспилотной авиации, стратегически согласованная с предстоящим XIII Евразийским международным форумом беспилотной авиации 2026 в Москве. Кампания использует целевой фишинг, распространяя архив с именем cai partner.zip, содержащий исполняемый файл на базе Rust, маскирующийся под легитимный документ подтверждения заказа от Российского центра аэронавигационной информации.

Исследователи из SEQRITE Labs выявили первоначальную подозрительную активность, связанную с ZIP-файлом, на платформах открытой разведки об угрозах, хотя изначально она избежала обнаружения системами безопасности. Дальнейшее исследование выявило основной исполняемый файл с именем Подтверждение заказа продукции ЦАИ.exe, который служит основным носителем вредоносной функциональности. Этот исполняемый файл работает в два этапа: сначала он собирает системную информацию, а затем загружает второй этап полезной нагрузки с выделенного сервера управления (C2).

Обнаруженная инфраструктура использует домен C2 (hxxp://kleymarket.ru), который был зарегистрирован незадолго до проведения анализа. Домен имеет несколько исторических разрешений, ведущих на активный C2-сервер по IP-адресу 45.142.36.76, расположенный в Москве и являющийся частью российской автономной системы. Хотя на данный момент нет прямых указаний на связь с известными злоумышленниками, конкретная целевая направленность и использование приманок на русском языке свидетельствуют о высоком уровне сложности, характерном для спланированной операции.

При анализе поведения вредоносного исполняемого файла выяснилось, что он сначала взаимодействует с документами-приманками, которые выглядят легитимно и предназначены для введения жертв в заблуждение. Эти документы используют реалистичные элементы, связанные с авиационными бизнес-сделками, тем самым повышая свою убедительность. После запуска вредоносная программа начинает сбор информации о системе для создания уникального идентификатора, собирая имя хоста машины, серийный номер тома и обширные сетевые данные. Эти данные подготавливаются и отправляются на сервер C2 после того, как они собраны в формат JSON и зашифрованы с использованием простого метода XOR.

На втором этапе атаки ВПО переходит от разведки к развертыванию полезной нагрузки. Оно получает зашифрованную полезную нагрузку с сервера C2, которая расшифровывается через многоступенчатый процесс с использованием шифрования AES-256. Расшифрованная полезная нагрузка сохраняется под случайным именем и выполняется без каких-либо указаний на её происхождение, тем самым запуская новый процесс на машине жертвы.

#ParsedReport #CompletenessMedium
05-05-2026

CloudZ RAT potentially steals OTP messages using Pheno plugin

https://blog.talosintelligence.com/cloudz-pheno-infostealer/

Report completeness: Medium

Threats:
Cloudz_rat
Pheno
Screenconnect_tool
Lolbin_technique
Confuserex_tool
Bitsadmin_tool

Victims:
Users of microsoft phone link, Credentials, One time passwords

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1057, T1059.001, T1071.001, T1095, T1102.001, T1105, have more...

IOCs:
File: 7
Command: 1
Url: 11
IP: 1
Path: 1
Hash: 5
Domain: 3

Soft:
Android, task scheduler, NET Framework, Windows task scheduler, Pastebin, Mac OS, curl

Algorithms:
xor, base64

Functions:
Get-CimInstance, GetWidgetLog, RemovePlugins

Win API:
GetEnvironmentVariable

Languages:
powershell, rust

Platforms:
apple, x64

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2026/05/cloudz-pheno-infostealer.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos сообщает о продолжающейся кибератаке с использованием инструмента удаленного доступа (RAT) CloudZ и плагина Pheno, направленной на кражу учетных данных и одноразовых паролей (OTP). Злоумышленники эксплуатируют приложение Microsoft Phone Link для перехвата конфиденциальных данных, развертывая ВПО через вредоносный исполняемый файл, замаскированный под легитимное обновление. CloudZ использует сложные техники уклонения, включая выполнение в памяти и проверку окружения, чтобы оставаться незамеченным, при этом тщательно отслеживая активность Phone Link в целях потенциального извлечения данных.
-----

Команда Cisco Talos выявила продолжающуюся кибератаку, связанную с инструментом удаленного доступа CloudZ (RAT) и новым плагином под названием Pheno. Эта операция активна как минимум с января 2026 года и характеризуется целью похищения учетных данных и одноразовых паролей (OTP). RAT CloudZ использует приложение Microsoft Phone Link для установления соединения между ПК жертвы и ее смартфоном, что позволяет Pheno отслеживать активные действия Phone Link. Этот метод позволяет злоумышленнику перехватывать конфиденциальные данные, такие как SMS и OTP, без необходимости развертывать ВПО непосредственно на мобильном устройстве. Примечательно, что CloudZ применяет различные техники уклонения, выполняя вредоносные функции в памяти и проводя проверки окружения для избежания обнаружения средствами защиты.

Приложение Phone Link, интегрированное в Windows 10 и 11, синхронизирует уведомления телефона, SMS-сообщения и журналы вызовов с ПК пользователя через Wi-Fi и Bluetooth. Во время наблюдаемой инциденте злоумышленник использовал приложение Phone Link для мониторинга данных и потенциальной компрометации OTP-сообщений, основанных на SMS. Первоначальный доступ был получен с помощью вредоносного исполняемого файла, замаскированного под легитимное обновление приложения ScreenConnect, которое запустило промежуточный загрузчик .NET, впоследствии развернувший CloudZ на зараженной машине.

Вредоносное ПО действует как дроппер, выполняя встроенный PowerShell-скрипт, который обеспечивает закрепление через запланированные задачи. Этот скрипт проверяет, запущен ли уже вредоносный .NET-загрузчик, и создает новую запланированную задачу, если он не активен, обеспечивая сохранение вредоносного ПО после перезагрузок. Во время выполнения загрузчик применяет сложные меры уклонения, включая проверку наличия активных средств защиты, и использует техники обфускации для затруднения реверс-инжиниринга.

Сам CloudZ RAT представляет собой модульный .NET-исполняемый файл, скомпилированный недавно, и спроектирован с использованием нескольких уровней защиты от анализа. Он использует встроенные конфигурационные данные, которые расшифровывает и загружает в память, обеспечивая различные функции управления (C2). RAT может похищать учетные данные из браузеров и собирать данные из приложения Phone Link, передавая их обратно злоумышленнику через каналы управления, установленные после получения конфигураций сервера из определенных URL-адресов. Это включает ротацию строк пользовательского агента и применение мер против кэширования в своих HTTP-запросах для маскировки своего трафика под легитимную активность.

Плагин Pheno играет ключевую роль, проводя разведку приложения Phone Link. Он сканирует наличие конкретных процессов, связанных с синхронизацией Phone Link, регистрирует соответствующие данные и проверяет наличие признаков активных прокси-соединений, что подтвердило бы, что сеанс Phone Link в данный момент маршрутизирует трафик. Выявляя эти аспекты, злоумышленник может эффективно отслеживать конфиденциальные коммуникации, такие как SMS-сообщения и запросы OTP, что значительно усиливает его возможности перехвата данных.

#ParsedReport #CompletenessHigh
06-05-2026

Easter Bunny

https://lab52.io/blog/easterbunny/

Report completeness: High

Actors/Campaigns:
Apt29 (motivation: cyber_espionage)

Threats:
Easterbunny
Cobalt_strike_tool
Sliver_c2_tool
Trailblazer
Golden_ticket_technique
Golden_saml_technique
Supply_chain_technique
Junk_code_technique
Steganography_technique
Dcsync_technique
Mimikatz_tool
Process_injection_technique
Brc4_tool

Victims:
Government agencies, Nongovernmental organizations, Think tanks, Foreign ministries, Diplomatic delegations, National defense organizations, Pharmaceutical companies, Information technology service providers, Political organizations, Spain, have more...

Industry:
Ics, Government, Petroleum, Healthcare, Media

Geo:
Spain, Italian, Russian, New zealand, Canada, Australia, German, Russian federation, Asia

TTPs:
Tactics: 4
Technics: 13

IOCs:
File: 60
Hash: 14
IP: 24
Command: 1

Soft:
Chrome, Visual Studio, Windows Error Reporting, virtualBox, Microsoft Powershell, Firefox, Mozilla Firefox, Nginx, Linux

Algorithms:
md5, sha1, des, xor, base64, aes

Functions:
GetProcAddressO, GetUserName, GetComputerName, getPoraasfuddr, getAddrf

Win API:
SetErrorMode, OpenFile, HeapFree, GetProcAddress, GetProcessHeap, HeapAlloc, VirtualAlloc, VirtualProtect, VirtualFree, ExitProcess, have more...

Win Services:
bits

Languages:
php, javascript, powershell

Platforms:
intel, x86, arm, x64

Links:
https://gist.github.com/
https://github.com/dlvoy/lzg
have more...