#ParsedReport #CompletenessHigh
05-05-2026

Malicious OpenClaw Skill Distributes Remcos RAT and GhostLoader

https://www.zscaler.com/blogs/security-research/malicious-openclaw-skill-distributes-remcos-rat-and-ghostloader

Report completeness: High

Actors/Campaigns:
Ghostclaw

Threats:
Remcos_rat
Ghostloader
Dllsearchorder_hijacking_technique
Amsi_bypass_technique
Credential_harvesting_technique
Dll_sideloading_technique
Supply_chain_technique

Victims:
Developers, Developer environments, Ai workflows

TTPs:
Tactics: 8
Technics: 16

IOCs:
Command: 2
Url: 16
File: 16
Registry: 5
Hash: 5
IP: 1

Soft:
OpenClaw, Clawdbot, Moltbot, Windows Installer, Event Tracing for Windows, macOS, Linux, Node.js, DeepSeek, Windows security, have more...

Algorithms:
ecc, rc4, xor, cbc

Win API:
EtwEventWrite, NtGlobalFlag, RegOpenKeyExA, CreateToolhelp32Snapshot

Languages:
javascript, powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали фреймворк OpenClaw для доставки Троянской программы Remcos и GhostLoader, кроссплатформенного стиллера информации. Атака использует вредоносный навык под названием DeepSeek-Claw для подгрузки вредоносной DLL из легитимного исполняемого файла GoToMeeting, применяя передовые техники уклонения, такие как Динамическое разрешение API и патчинг ETW и AMSI. Кроме того, для проникновения в среды GhostLoader использует зашифрованные Node.js-полезные нагрузки и методы социальной инженерии для сбора конфиденциальных данных, поддерживая при этом зашифрованную связь для эксфильтрации данных.
-----

В ходе недавней кампании, выявленной Zscaler, фреймворк OpenClaw был изменен злоумышленниками для доставки Троянской программы Remcos (RAT) и GhostLoader, кроссплатформенного стиллера информации. OpenClaw, изначально являвшийся инструментом с открытым исходным кодом для автономных ИИ-агентов, теперь используется как оружие для эксплуатации ИИ-рабочих процессов путем распространения обманных навыков, которые заставляют как ИИ-агентов, так и разработчиков выполнять вредоносное программное обеспечение.

Атака начинается с внедрения вредоносного навыка под названием DeepSeek-Claw, который позиционируется как легитимная интеграция OpenClaw. Выполняя определенную команду PowerShell или следуя предоставленным инструкциям по установке, злоумышленники загружают удаленный установщик Windows (MSI) для развертывания RAT Remcos. Злоумышленники используют легитимный, цифрово подписанный исполняемый файл GoToMeeting G2M.exe для подгрузки вредоносной DLL-библиотеки g2m.dll, которая действует как загрузчик shellcode. Такой подход позволяет вредоносному ПО маскироваться под доверенное программное обеспечение и обходить традиционные механизмы обнаружения. В памяти загрузчик применяет такие техники, как Динамическое разрешение API, и интегрирует защитные контрмеры для затруднения анализа, включая патчинг Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI).

Для альтернативных путей выполнения вредоносное ПО использует сильно замаскированный payload Node.js, встроенный в скрипты npm, для развертывания GhostLoader. Этот кроссплатформенный злоумышленник использует тактики социальной инженерии, такие как поддельные запросы sudo, для сбора конфиденциальных учетных данных пользователей. После проникновения GhostLoader может извлекать критически важную информацию из сред разработки, включая данные Связки ключей macOS, SSH-ключи и токены API.

RAT Remcos устанавливает зашифрованный канал управления, позволяя злоумышленнику собирать системную активность и конфиденциальные данные, такие как нажатия клавиш и куки-файлы сеансов браузера. Путем выгрузки этих данных злоумышленник стремится обойти многофакторную аутентификацию и сохранить постоянный доступ к зараженным системам.

Кроме того, ВПО использует передовые техники уклонения для противодействия мерам безопасности. В частности, оно применяет методы динамического шифрования с использованием алгоритма шифрования Tiny Encryption Algorithm (TEA) для сокрытия полезной нагрузки Remcos в памяти. Оно использует механизмы для обнаружения того, контролируется ли оно или выполняется в виртуальной среде, и прекращает свою работу при обнаружении таких условий.

Эта кампания демонстрирует тревожную тенденцию, при которой новые рабочие процессы на базе искусственного интеллекта используются в преступных целях, что требует более тщательной проверки сторонних плагинов и внедрения комплексных стратегий мониторинга для защиты от таких многоаспектных атак.

#ParsedReport #CompletenessHigh
06-05-2026

Operation Silent Rotor: Targeted Campaign Compromises Unmanned Aviation Sector Ahead of Moscow Summit

https://www.seqrite.com/blog/operation-silent-rotor-rust-malware-unmanned-aviation-sector/

Report completeness: High

Actors/Campaigns:
Silent_rotor

Threats:
Spear-phishing_technique

Victims:
Unmanned aviation sector, Aviation professionals, International business professionals, Translation related activities, Eurasia, Russia

Industry:
Aerospace

Geo:
Russia, Tajikistan, Russian, Middle east, Moscow, Asia

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 1
Url: 1
IP: 3
Hash: 5
Domain: 1

Algorithms:
aes-256, xor, sha256, aes, zip

Win API:
GetComputerNameExW, GetVolumeInformationW, GetAdaptersAddresses, InetNtopW, NtWriteFile, CreateProcessA

Languages:
rust

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Silent Rotor нацелена на евразийский сектор беспилотной авиации, применяя тактики целевого фишинга через ZIP-файл, содержащий исполняемый файл на Rust, который маскируется под документ с подтверждением заказа. ВПО сначала собирает системную информацию, а затем загружает вторичную полезную нагрузку с идентифицированного сервера управления в Москве, используя шифрование AES-256 для полезной нагрузки. Первоначальный исполняемый файл выполняет разведку, собирая данные, специфичные для машины, и служит вектором для развертывания дополнительной вредоносной функциональности.
-----

Операция Silent Rotor — это целевая киберкампания, направленная на сектор евразийской беспилотной авиации, стратегически согласованная с предстоящим XIII Евразийским международным форумом беспилотной авиации 2026 в Москве. Кампания использует целевой фишинг, распространяя архив с именем cai partner.zip, содержащий исполняемый файл на базе Rust, маскирующийся под легитимный документ подтверждения заказа от Российского центра аэронавигационной информации.

Исследователи из SEQRITE Labs выявили первоначальную подозрительную активность, связанную с ZIP-файлом, на платформах открытой разведки об угрозах, хотя изначально она избежала обнаружения системами безопасности. Дальнейшее исследование выявило основной исполняемый файл с именем Подтверждение заказа продукции ЦАИ.exe, который служит основным носителем вредоносной функциональности. Этот исполняемый файл работает в два этапа: сначала он собирает системную информацию, а затем загружает второй этап полезной нагрузки с выделенного сервера управления (C2).

Обнаруженная инфраструктура использует домен C2 (hxxp://kleymarket.ru), который был зарегистрирован незадолго до проведения анализа. Домен имеет несколько исторических разрешений, ведущих на активный C2-сервер по IP-адресу 45.142.36.76, расположенный в Москве и являющийся частью российской автономной системы. Хотя на данный момент нет прямых указаний на связь с известными злоумышленниками, конкретная целевая направленность и использование приманок на русском языке свидетельствуют о высоком уровне сложности, характерном для спланированной операции.

При анализе поведения вредоносного исполняемого файла выяснилось, что он сначала взаимодействует с документами-приманками, которые выглядят легитимно и предназначены для введения жертв в заблуждение. Эти документы используют реалистичные элементы, связанные с авиационными бизнес-сделками, тем самым повышая свою убедительность. После запуска вредоносная программа начинает сбор информации о системе для создания уникального идентификатора, собирая имя хоста машины, серийный номер тома и обширные сетевые данные. Эти данные подготавливаются и отправляются на сервер C2 после того, как они собраны в формат JSON и зашифрованы с использованием простого метода XOR.

На втором этапе атаки ВПО переходит от разведки к развертыванию полезной нагрузки. Оно получает зашифрованную полезную нагрузку с сервера C2, которая расшифровывается через многоступенчатый процесс с использованием шифрования AES-256. Расшифрованная полезная нагрузка сохраняется под случайным именем и выполняется без каких-либо указаний на её происхождение, тем самым запуская новый процесс на машине жертвы.

#ParsedReport #CompletenessMedium
05-05-2026

CloudZ RAT potentially steals OTP messages using Pheno plugin

https://blog.talosintelligence.com/cloudz-pheno-infostealer/

Report completeness: Medium

Threats:
Cloudz_rat
Pheno
Screenconnect_tool
Lolbin_technique
Confuserex_tool
Bitsadmin_tool

Victims:
Users of microsoft phone link, Credentials, One time passwords

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1057, T1059.001, T1071.001, T1095, T1102.001, T1105, have more...

IOCs:
File: 7
Command: 1
Url: 11
IP: 1
Path: 1
Hash: 5
Domain: 3

Soft:
Android, task scheduler, NET Framework, Windows task scheduler, Pastebin, Mac OS, curl

Algorithms:
xor, base64

Functions:
Get-CimInstance, GetWidgetLog, RemovePlugins

Win API:
GetEnvironmentVariable

Languages:
powershell, rust

Platforms:
apple, x64

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2026/05/cloudz-pheno-infostealer.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos сообщает о продолжающейся кибератаке с использованием инструмента удаленного доступа (RAT) CloudZ и плагина Pheno, направленной на кражу учетных данных и одноразовых паролей (OTP). Злоумышленники эксплуатируют приложение Microsoft Phone Link для перехвата конфиденциальных данных, развертывая ВПО через вредоносный исполняемый файл, замаскированный под легитимное обновление. CloudZ использует сложные техники уклонения, включая выполнение в памяти и проверку окружения, чтобы оставаться незамеченным, при этом тщательно отслеживая активность Phone Link в целях потенциального извлечения данных.
-----

Команда Cisco Talos выявила продолжающуюся кибератаку, связанную с инструментом удаленного доступа CloudZ (RAT) и новым плагином под названием Pheno. Эта операция активна как минимум с января 2026 года и характеризуется целью похищения учетных данных и одноразовых паролей (OTP). RAT CloudZ использует приложение Microsoft Phone Link для установления соединения между ПК жертвы и ее смартфоном, что позволяет Pheno отслеживать активные действия Phone Link. Этот метод позволяет злоумышленнику перехватывать конфиденциальные данные, такие как SMS и OTP, без необходимости развертывать ВПО непосредственно на мобильном устройстве. Примечательно, что CloudZ применяет различные техники уклонения, выполняя вредоносные функции в памяти и проводя проверки окружения для избежания обнаружения средствами защиты.

Приложение Phone Link, интегрированное в Windows 10 и 11, синхронизирует уведомления телефона, SMS-сообщения и журналы вызовов с ПК пользователя через Wi-Fi и Bluetooth. Во время наблюдаемой инциденте злоумышленник использовал приложение Phone Link для мониторинга данных и потенциальной компрометации OTP-сообщений, основанных на SMS. Первоначальный доступ был получен с помощью вредоносного исполняемого файла, замаскированного под легитимное обновление приложения ScreenConnect, которое запустило промежуточный загрузчик .NET, впоследствии развернувший CloudZ на зараженной машине.

Вредоносное ПО действует как дроппер, выполняя встроенный PowerShell-скрипт, который обеспечивает закрепление через запланированные задачи. Этот скрипт проверяет, запущен ли уже вредоносный .NET-загрузчик, и создает новую запланированную задачу, если он не активен, обеспечивая сохранение вредоносного ПО после перезагрузок. Во время выполнения загрузчик применяет сложные меры уклонения, включая проверку наличия активных средств защиты, и использует техники обфускации для затруднения реверс-инжиниринга.

Сам CloudZ RAT представляет собой модульный .NET-исполняемый файл, скомпилированный недавно, и спроектирован с использованием нескольких уровней защиты от анализа. Он использует встроенные конфигурационные данные, которые расшифровывает и загружает в память, обеспечивая различные функции управления (C2). RAT может похищать учетные данные из браузеров и собирать данные из приложения Phone Link, передавая их обратно злоумышленнику через каналы управления, установленные после получения конфигураций сервера из определенных URL-адресов. Это включает ротацию строк пользовательского агента и применение мер против кэширования в своих HTTP-запросах для маскировки своего трафика под легитимную активность.

Плагин Pheno играет ключевую роль, проводя разведку приложения Phone Link. Он сканирует наличие конкретных процессов, связанных с синхронизацией Phone Link, регистрирует соответствующие данные и проверяет наличие признаков активных прокси-соединений, что подтвердило бы, что сеанс Phone Link в данный момент маршрутизирует трафик. Выявляя эти аспекты, злоумышленник может эффективно отслеживать конфиденциальные коммуникации, такие как SMS-сообщения и запросы OTP, что значительно усиливает его возможности перехвата данных.

#ParsedReport #CompletenessHigh
06-05-2026

Easter Bunny

https://lab52.io/blog/easterbunny/

Report completeness: High

Actors/Campaigns:
Apt29 (motivation: cyber_espionage)

Threats:
Easterbunny
Cobalt_strike_tool
Sliver_c2_tool
Trailblazer
Golden_ticket_technique
Golden_saml_technique
Supply_chain_technique
Junk_code_technique
Steganography_technique
Dcsync_technique
Mimikatz_tool
Process_injection_technique
Brc4_tool

Victims:
Government agencies, Nongovernmental organizations, Think tanks, Foreign ministries, Diplomatic delegations, National defense organizations, Pharmaceutical companies, Information technology service providers, Political organizations, Spain, have more...

Industry:
Ics, Government, Petroleum, Healthcare, Media

Geo:
Spain, Italian, Russian, New zealand, Canada, Australia, German, Russian federation, Asia

TTPs:
Tactics: 4
Technics: 13

IOCs:
File: 60
Hash: 14
IP: 24
Command: 1

Soft:
Chrome, Visual Studio, Windows Error Reporting, virtualBox, Microsoft Powershell, Firefox, Mozilla Firefox, Nginx, Linux

Algorithms:
md5, sha1, des, xor, base64, aes

Functions:
GetProcAddressO, GetUserName, GetComputerName, getPoraasfuddr, getAddrf

Win API:
SetErrorMode, OpenFile, HeapFree, GetProcAddress, GetProcessHeap, HeapAlloc, VirtualAlloc, VirtualProtect, VirtualFree, ExitProcess, have more...

Win Services:
bits

Languages:
php, javascript, powershell

Platforms:
intel, x86, arm, x64

Links:
https://gist.github.com/
https://github.com/dlvoy/lzg
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT29, связанная с российской Службой внешней разведки (SVR), создала высоконастраиваемое ВПО под названием EasterBunny, которое использует передовые техники оперативной безопасности, включая шифрование и обфускацию. Оно обладает модульной архитектурой для динамических обновлений, системой управления, имитирующей легитимный трафик, а также возможностями для сбора учетных записей при сохранении закрепления. Анализ указывает на его сложность и целевой характер, подчеркивая серьезную угрозу со стороны спонсируемых государством акторов.
-----

Кибершпионская группа APT29, связанная с Службой внешней разведки Российской Федерации (SVR), разработала сложное ВПО под названием EasterBunny, которое было подробно проанализировано компанией S2GRUPO и её аналитическим подразделением LAB52. ВПО отличается высокой степенью настраиваемости, что делает его серьезной угрозой, которую сложно обнаружить с помощью традиционных индикаторов компрометации, таких как хеши или домены. Уникальная инфраструктура и артефакты ВПО указывают на целевой подход, адаптированный под конкретных жертв.

EasterBunny применяет передовые практики операционной безопасности, включая различные уровни шифрования и запутывания, эффективно маскируя свою внутреннюю логику и тем самым усложняя усилия по обнаружению и атрибуции. ВПО использует модульную архитектуру, которая способствует динамическим обновлениям и модификациям во время продолжающейся атаки. Эта модульность позволяет операторам повторно внедрять дополнительные инструменты или модули для эксфильтрации информации. Примечательно, что некоторые из этих инструментов имеют сходство с фреймворками Cobalt Strike и Sliver, известными своими возможностями пост-эксплуатации.

Вредоносное ПО оснащено операционным бэкдором, обеспечивающим долгосрочное закрепление в скомпрометированных организациях. Его структуры позволяют систематический сбор учетных записей, избегая при этом механизмов обнаружения, включая уклонение от действий по сбросу паролей администраторов с помощью таких техник, как Golden Ticket Kerberos и атаки DCSync. APT29 использует различные тактики, техники и процедуры (TTPs), которые варьируются в зависимости от атакующей организации, что дополнительно повышает ее скрытность и эффективность.

Анализ выявил несколько исполняемых артефактов из семейства вредоносного ПО EasterBunny, раскрывающих конкретные операционные поведения, включая сложную платформу управления для операций управления (C2). Вредоносное ПО, по-видимому, использует продвинутые техники для поддержания скрытой связи со своим C2, имитируя легитимный интернет-трафик и внедряя обманные скрипты для дальнейшего маскирования своей деятельности. Важно отметить, что использование позиционно-независимого кода повышает способность вредоносного ПО работать незамеченным.

Свидетельства указывают на то, что APT29 имеет десятилетнюю историю аналогичной деятельности, включая такие заметные инциденты, как вмешательство в выборы в США и кибератаки на данные о вакцинах во время пандемии COVID-19. Сложная природа EasterBunny, особенно его техники обфускации и операционный дизайн, позиционируют его как одну из самых продвинутых угроз вредоносного ПО, выявленных на сегодняшний день, подчеркивая постоянный риск, создаваемый спонсируемыми государством акторами в киберпространстве.

Представленные здесь результаты сосредоточены на предоставлении ценных сведений о методах APT29, с целью усиления обнаружения и защитных мер среди специалистов по кибербезопасности против этой и подобных продвинутых угроз. Сложная конструкция и операционная сложность вредоносного ПО подчеркивают эволюцию тактик киберугроз и необходимость постоянной адаптации защитных стратегий.

#ParsedReport #CompletenessHigh
06-05-2026

DAEMON Tools software infected – supply chain attack ongoing since April 8, 2026

https://securelist.com/tr/daemon-tools-backdoor/119654/

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Individuals, Businesses and organizations, Retail, Scientific research, Government, Manufacturing, Education

Industry:
Retail, Healthcare, Government

Geo:
Italy, China, Belarus, France, Turkey, Germany, Russia, Thailand, Brazil, Spain, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1059.001, T1059.003, T1070.004, T1071.001, T1071.004, T1082, T1095, have more...

IOCs:
File: 18
Path: 1
Hash: 20
Url: 2
Command: 2
Domain: 1
IP: 1

Soft:
WolfSSL, eScan, CPU-Z

Algorithms:
rc4, sha1

Win API:
WriteProcessMemory, CreateRemoteThread

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года атака на Цепочку поставок была направлена на программное обеспечение DAEMON Tools, в ходе которой в легитимные установщики были внедрены вредоносные компоненты, затронувшие тысячи пользователей по всему миру. Первичный вредоносный модуль, 'envchk.exe', собирал системную информацию и взаимодействовал с сервером C2, предположительно управляемым злоумышленником, говорящим на китайском языке. Атака продемонстрировала детальное понимание инфраструктуры цели, при этом были развернуты вторичные компоненты, включая скрытый бэкдор и сложный RAT QUIC против конкретных организаций, что указывает на потенциальные мотивы кибершпионажа.
-----

В мае 2026 года было выявлено значительное нападение на цепочку поставок, направленное на программное обеспечение DAEMON Tools, в ходе которого в легитимные установщики внедрялись вредоносные компоненты. Эти скомпрометированные установщики, распространяемые с официального сайта DAEMON Tools и подписанные действительными цифровыми сертификатами, затронули версии с 12.5.0.2421 по 12.5.0.2434 по состоянию на 8 апреля 2026 года. Первоначальный анализ предполагает, что атака была осуществлена актором, говорящим на китайском языке, хотя конкретная атрибуция пока не установлена. Внедренное программное обеспечение затронуло тысячи пользователей более чем в 100 странах, при этом последующие компоненты внедрялись только для избранных организаций, что указывает на целевой характер атаки.

Атака включала бэкдор, активированный во время загрузки машины, который отправлял GET-запросы на вредоносный сервер, использующий тайпсквоттинг легитимного домена. Регистрация сервера началась незадолго до атаки. Зараженные машины выполняли команды PowerShell для загрузки и выполнения дополнительных вредоносных файлов без сбоев. Первый обнаруженный полезный груз, получивший название 'envchk.exe', служил сборщиком информации, нацеленным на системную информацию и отправляющим данные на сервер управления (C2). Этот исполняемый файл примечателен наличием строк на китайском языке, что подтверждает предположение о наличии злоумышленника, говорящего на китайском языке.

Более того, хотя сборщик информации был развернут широко, лишь небольшое количество систем было атаковано для доставки вторичного полезного груза — минималистичного бэкдора, предназначенного для более скрытной работы. Этот бэкдор распространялся с помощью аналогичных команд PowerShell и использовал шеллкод для скрытных операций, позволяя злоумышленникам выполнять широкий спектр команд удаленно при этом общаясь через различные протоколы, включая HTTP и потенциально QUIC.

В некоторых случаях злоумышленники пытались развернуть более сложную Троянскую программу (RAT) под названием QUIC RAT, которая применялась против одного образовательного учреждения в России. Эта RAT, разработанная на C++ и сильно запутанная, демонстрировала расширенные функции, такие как внедрение полезной нагрузки в доверенные процессы.

Шаблоны развертывания, продемонстрированные в этой атаке, отражают глубокое понимание инфраструктуры цели, при этом около 10% затронутых систем принадлежат бизнесу и организациям. Большинство заражений ограничивалось сборщиком информации, тогда как более сложные полезная нагрузка использовались редко, вероятно, в соответствии с конкретными стратегическими целями, такими как кибершпионаж.

Решения Kaspersky активно выявляли аспекты этой вредоносной кампании, при этом механизмы обнаружения были сосредоточены на мониторинге активности PowerShell, подозрительных инъекциях кода и необычном сетевом трафике, связанном с коммуникациями C2, что свидетельствует о надежном ответе безопасности на текущие угрозы, исходящие от подобных компрометаций Цепочки поставок.

#ParsedReport #CompletenessLow
06-05-2026

Turbulence Ahead: Cyber Threats Targeting Aviation and Aerospace in 2026

https://blog.polyswarm.io/turbulence-ahead-cyber-threats-targeting-aviation-and-aerospace-in-2026

Report completeness: Low

Actors/Campaigns:
0ktapus
Apt33
Winnti
Fancy_bear (motivation: cyber_espionage)

Threats:
Qilin_ransomware
Lockbit
Clop
Darkrace
Supply_chain_technique
Sim_swapping_technique

Victims:
Airports, Airlines, Aerospace suppliers, Aerospace manufacturers, Ground handlers, Maintenance providers, Reservation platforms, Aviation it vendors

Industry:
E-commerce, Aerospace, Military, Energy, Government

Geo:
Berlin

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1486, T1656

IOCs:
Hash: 90

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сектор авиации и аэрокосмической отрасли сталкивается с повышенными киберугрозами, включая программы-вымогатели от группировок Qilin и LockBit, атаки на основе идентификации со стороны Scattered Spider и шпионаж со стороны Refined Kitten. Уязвимости возникают из-за зависимости от общих ИТ-систем, что может привести к системным сбоям, как это произошло в инциденте с Collins Aerospace в 2025 году. Кроме того, злоумышленники эксплуатируют существующие слабости в операционных технологиях и уязвимости Глобальной навигационной спутниковой системы (GNSS), что вызывает опасения как по поводу немедленных сбоев, так и долгосрочных операционных последствий.
-----

Авиационная и аэрокосмическая отрасль сталкивается с киберугрозами, в основном исходящими от программ-вымогателей, вторжений на основе идентификации и сбоев на уровне платформ. Значительный инцидент с программой-вымогателем в 2025 году затронул Collins Aerospace и затронул системы обработки пассажиров, вызвав хаос в крупных европейских аэропортах. Группы программ-вымогателей, такие как Qilin, получили доступ к конфиденциальным данным в международном аэропорту Талсы в январе 2026 года и опубликовали их в интернете. LockBit использует модель, основанную на аффилиатах, которая нацелена на критических поставщиков, влияя на работу авиакомпаний-потребителей. Тактики вторжения на основе идентификации со стороны групп, таких как Scattered Spider, включают передовую социальную инженерию и манипуляцию MFA для несанкционированного доступа. Refine

#ParsedReport #CompletenessMedium
06-05-2026

MicroStealer

https://any.run/malware-trends/microstealer/

Report completeness: Medium

Threats:
Microstealer
Donut_loader
Donut
Godfather
Grandoreiro
Btmob_rat
Asyncrat
Ssload
Discord-c2
Bec_technique
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique

Victims:
Businesses, Organizations, Education, Telecommunications, Banking, Cryptocurrency, Gaming, Windows endpoints, Android endpoints, Spanish speaking countries, have more...

Industry:
Entertainment, E-commerce, Telco, Education, Financial

Geo:
Germany, Brazil, Latin american, Spain, Mexico, Peru

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1059.007, T1082, T1113, T1204.002, T1497.001, T1539, have more...

IOCs:
File: 8
Path: 1

Soft:
Discord, Android, lectron →, Electron, NSIS installer, Node.js, Chromium, Steam

Functions:
spawn

Languages:
java