#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция GriefLure представляет собой целевой фишинг, использующий вредоносный файл LNK Windows в двойном архиве RAR для компрометации старших руководителей Viettel Group и St. Luke's Medical Center. Атака применяет полиморфную полезную нагрузку (sfsvc.exe), которая выполняется скрытно, демонстрируя при этом легитимный файл PDF-декой, что обеспечивает выполнение без файлов, внедрение кода в процессы и сбор учетных записей. Сложные возможности вредоносного ПО, включая связь с центром управления через HTTPS и XOR-обфускацию, указывают на его связь со сложной целенаправленной угрозой, связанной с Китаем.
-----

Операция GriefLure нацелена на старших руководителей Viettel Group и St. Luke's Medical Center с использованием целевого фишинга.

В рамках кампании используется вредоносный файл LNK Windows, находящийся внутри двойного архива RAR.

Он использует ftp.exe в качестве дропера Living-off-the-Land для обхода обнаружения.

Злоумышленники используют подлинные юридические документы и сфабрикованную жалобу информатора для социальной инженерии.

Первоначальный доступ обеспечивается архивом RAR, который беззвучно устанавливает вредоносный модуль (sfsvc.exe).

Процесс заражения завершается в течение десяти секунд без предупреждений для пользователя.

Используется пакетный фреймворк для объединения и сборки бинарных фрагментов, замаскированных под документы.

ВПО использует методы управления процессами для стирания или манипуляции пользовательскими интерфейсами в целях скрытности.

Оно обладает расширенными возможностями, такими как выполнение без файлов и внедрение кода в процессы через фреймворк sfsvc.exe.

Рутинные процедуры ВПО включают сбор учетных записей, разведку системы и захват скриншотов.

Он использует HTTPS для связи управления и для обфускации XOR полезной нагрузки.

Учетные данные извлекаются из жестко закодированных путей часто используемых приложений.

ВПО обладает высокой модульностью, адаптируя действия в зависимости от командных вводов от атакующего.

Операция связана с кластером угроз, связанным с Китаем, использующим провайдера пуленепробиваемого хостинга в Юго-Восточной Азии.

Кампания демонстрирует стратегии сложной целенаправленной угрозы (APT) и техники психологического манипулирования.

#ParsedReport #CompletenessHigh
07-05-2026

Operation HumanitarianBait: An Infostealer Campaign in Disguise

https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/

Report completeness: High

Actors/Campaigns:
Humanitarianbait (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique
Pyarmor_tool
Rustdesk_tool
Anydesk_tool
Spear-phishing_technique

Victims:
Russian speaking individuals, Humanitarian aid organizations, Civil administration, Government

Industry:
Government

Geo:
Usa, Russian

TTPs:
Tactics: 9
Technics: 19

IOCs:
Hash: 3
Url: 4
File: 8
IP: 1

Soft:
Telegram, Windows Scheduled Task, Firefox, Chromium, Chrome, Opera, Yandex Browser, Ubuntu Linux, Flask

Algorithms:
zip, aes-gcm, sha256

Languages:
python, powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, windows: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция HumanitarianBait — это кампания кибершпионажа, направленная против русскоязычных лиц, использующая социальную инженерию через фишинговые электронные письма с вредоносными файлами LNK, замаскированными под запросы гуманитарной помощи. При взаимодействии активируется безфайловый вредоносный модуль на базе Python, обеспечивающий сбор учетных записей, регистрацию нажатий клавиш и эксфильтрацию данных на сервер C2. ВПО применяет передовые методы обфускации и обнаружения, включая использование GitHub для доставки полезной нагрузки, что обеспечивает скрытность работы и закрепление.
-----

Операция HumanitarianBait — это сложная кампания кибершпионажа, преимущественно направленная против русскоязычных лиц или организаций, использующая тактики социальной инженерии для получения доступа к системам жертв. Атака начинается с фишинговых писем, содержащих вредоносный LNK-файл, скрытый внутри архива RAR, под видом запроса гуманитарной помощи для эксплуатации контекстного доверия. Эта стратегия не только инициирует заражение, но и демонстрирует фокус злоумышленников на адаптации своих методов на основе наблюдаемых уязвимостей.

После того как жертва взаимодействует с файлом LNK, происходит многоэтапный процесс заражения, протекающий незаметно. Вначале отображается поддельный документ, якобы связанный с гуманитарной помощью, в то время как выполняется сильно зашифрованный безфайловый вредоносный модуль на базе Python. Этот модуль загружает дополнительные компоненты из GitHub Releases, что позволяет ему маскировать вредоносную активность под легитимный трафик и эффективно избегать систем обнаружения. Модуль обеспечивает закрепление через запланированные задачи, гарантируя его работу после перезагрузок системы.

ВПО функционирует как комплексный инструмент слежки, обеспечивая сбор учетных записей, регистрацию нажатий клавиш, мониторинг буфера обмена, эксфильтрацию конфиденциальных файлов и удаленный доступ через такие приложения, как RustDesk и AnyDesk. Оно собирает широкий спектр конфиденциальной информации, включая пароли и сеансовые куки из различных веб-браузеров, и загружает собранные данные на управляемый злоумышленниками сервер управления (C2), в настоящее время размещенный на коммерческом VPS. Использование самодостаточной среды Python, размещенной на GitHub, отражает высокий уровень технической квалификации среди злоумышленников.

Файл LNK, используемый в кампании, содержит самообфусцированное содержимое, которое выполняется через PowerShell, что демонстрирует намеренный дизайн для обхода систем автоматического обнаружения. Он также реализует техники противодействия песочнице, полагаясь на наличие определенных файлов на диске. Полезная нагрузка, защищенная с помощью PyArmor — коммерческого инструмента обфускации, значительно усложняет статический анализ и усилия по реверс-инжинирингу.

Закрепление обеспечивается путем регистрации запланированной задачи, которая выполняется каждые пять минут, в то время как техники маскировки заставляют вредоносное ПО имитировать легитимные системные компоненты. Внедренный модуль выполняет мониторинг данных из буфера обмена в реальном времени, захватывая потенциально конфиденциальную скопированную информацию. Кроме того, он активно сканирует пользовательские каталоги для эксфильтрации важных документов и конфигурационных файлов. Процессы эксфильтрации данных спроектированы таким образом, чтобы использовать протоколы HTTP, что затрудняет для инструментов сетевого мониторинга различие между легитимным и вредоносным трафиком.

Хотя точная личность злоумышленника остается неопределенной, сложные техники, примененные в операции HumanitarianBait, указывают на целенаправленный шпионаж, потенциально приоритизирующий сбор разведывательных данных о политически значимых лицах или организациях, участвующих в гуманитарных усилиях в русскоязычных регионах.

#ParsedReport #CompletenessMedium
08-05-2026

MacSync Stealer: C2 Infrastructure Rotation

https://www.rstcloud.com/macsync-stealer-c2-infrastructure-rotation/

Report completeness: Medium

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Clickfix_technique

Victims:
Technology, Cryptocurrency

TTPs:
Tactics: 2
Technics: 4

IOCs:
Domain: 15
Url: 4
Hash: 1

Soft:
macOS, Chrome, IndexedDB, ChatGPT, curl, credential dialog, Mac OS, openssl

Algorithms:
gzip, md5, sha1, zip, sha256, base64

Functions:
daemon_function

Languages:
swift, applescript

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 мая 2026 года система Jamf Protect перехватила попытку загрузки MacSync Stealer, который использует быструю ротацию инфраструктуры для своих доменов управления (C2). ВПО использует обертку zsh для эксфильтрации конфиденциальных данных с систем macOS, применяя диалоги AppleScript для манипуляции пользователями с целью получения паролей системы. Примечательно, что статические API-ключи и уникальный токен сборки были связаны с несколькими доменами C2, что указывает на взаимосвязанные преступные операции и нацеленность ВПО на учетные данные Связки ключей и криптовалютные кошельки.
-----

5 мая 2026 года был выявлен инцидент с MacSync Stealer, когда Jamf Protect заблокировал попытку загрузки вредоносного полезного груза с домена jacksonvillemma.com. Это произошло всего через несколько дней после того, как предыдущий домен управления (C2) был публично раскрыт, что подчеркивает быструю ротацию инфраструктуры, типичную для злоумышленника. Последующие действия RST Cloud, включая анализ обнаруженного образца ВПО, выявили системный подход к поддержанию оперативной непрерывности несмотря на растущее внимание.

Загрузчик, связанный с этой атакой, работает на основе архитектуры обертки zsh, предназначенной для эксфильтрации конфиденциальной информации из сред macOS. Значимые выводы расследования включали выявление статических API-ключей, общих для нескольких доменов C2, в частности ключа "5190ef1733183a0dc63fb623357f56d6", и уникального токена сборки "7980485fb1e0b1b1d6307a92b5750c7055bc53b662005cbaa662ac634984363d". Эти идентификаторы были прослежены через четыре различных домена C2, что указывает на одни и те же или взаимосвязанные преступные предприятия, использующие это ВПО как услуга.

Вредоносная полезная нагрузка доставляется с помощью механизмов, эксплуатирующих взаимодействие с пользователем, например, путем запроса паролей системы macOS через манипулятивные диалоговые окна AppleScript. Первый этап включает HTTP-запрос для получения обертки zsh, которая впоследствии декодирует и выполняет встраиваемую полезную нагрузку. Этот код обрабатывает как сбор, так и эксфильтрацию конфиденциальной информации, такой как пароли и данные, хранящиеся в браузере, через зашифрованный скрипт, который упаковывает украденные данные в ZIP-файл перед выполнением фрагментированных загрузок на инфраструктуру C2 оператора.

Исследование также показало, что C2-URL-адреса следуют определённому шаблону, что отражает параллельную C2-операцию. В ходе расследования было выявлено ещё одиннадцать кандидатов, связанных с этой инфраструктурой. Эти кандидаты были определены на основе обнаружения URI-шаблонов, что подтверждает вывод о том, что операторы поддерживают несколько активных доменов, тем самым усложняя усилия по отслеживанию и смягчению последствий.

Этот конкретный штамм вредоносного ПО, идентифицированный как MacSync Stealer, известен своим широким охватом пользователей macOS, включая кражу учетных данных из Связки ключей и данных из различных криптовалютных кошельков. Адаптивный характер его методов распространения включал несколько кампаний, с эволюционирующими техниками, которые демонстрируют способность актора перестраиваться в соответствии с операционными неудачами и выводами из предыдущих инцидентов.

С точки зрения обнаружения существуют устоявшиеся правила YARA, которые могут выявлять поведение этого ВПО, но могут потребовать обновления для учета новых тактик уклонения. В отчете подчеркивается необходимость усиления бдительности против этого семейства ВПО, поскольку его закрепление и эволюционирующие стратегии создают постоянные риски для сред macOS. Тщательное описание этих механизмов служит важным источником информации для защитников, стремящихся укрепить свои стратегии кибербезопасности против эволюционирующих угроз ВПО.

#ParsedReport #CompletenessMedium
05-05-2026

UAT-8302 and its box full of malware

https://blog.talosintelligence.com/uat-8302/

Report completeness: Medium

Actors/Campaigns:
Uat-8302
Earth_alux
Cl-sta-0049
Longnosedgoblin
Webworm
Unc5174
Unc6586
Ghostemperor
Earth_naga

Threats:
Netdraft
Finaldraft
Squiddoor
Cloudsorcerer
Vshell
Snowlight
Snowrust
Impacket_tool
Nosydoor
Luckystrike
Poisonplug
Zingdoor
Draculoader
Qscan_tool
Naabu_tool
Portqry_tool
Ad_explorer_tool
Squidoor
Costura_tool
Fringeporch_tool
Dll_sideloading_technique
Sliver_c2_tool
Hades
Stowaway_tool

Victims:
Government, It organizations, South america, Southeastern europe, Southeast asia, Japan, Russian government entities, Americas

Industry:
Government, Critical_infrastructure

Geo:
Japan, America, Russian, China, Asia, Americas, Chinese

CVEs:
CVE-2025-0994 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- trimble cityworks (<15.8.9, <23.10)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1005, T1014, T1018, T1027, T1033, T1041, T1046, T1047, T1053.005, have more...

IOCs:
File: 9

Soft:
Active Directory, Azure AD, Graph API, Dropbox, SoftEther

Algorithms:
xor

Languages:
golang, rust, powershell, python

Links:
https://github.com/qi4L/qscan
https://github.com/chainreactors/gogo
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-8302 — это китайская хакерская группировка, нацеленная на правительственные организации в Южной Америке и юго-восточной Европе, развертывающая широкий спектр пользовательского ВПО, включая бэкдор NetDraft на базе .NET и CloudSorcerer v3. Их оперативные методы включают разведку с использованием пользовательских скриптов, сбор учетных данных и использование легитимных исполняемых файлов для подгрузки вредоносных DLL. Группировка применяет такие инструменты, как Draculoader, для распространения и демонстрирует значительное пересечение с другими китайскими злоумышленниками, что указывает на совместную среду в киберкриминале.
-----

UAT-8302 — это хакерская группировка, связанная с Китаем, которая с конца 2024 года атакует государственные организации в Южной Америке, а в 2025 году — в юго-восточной Европе. После успешных компрометаций группировка развертывает различные виды пользовательского ВПО, используя инструменты, ранее связанные с другими известными китайскими APT-группировками. Cisco Talos выявил несколько семейств ВПО, используемых UAT-8302, включая бэкдор на базе .NET под названием NetDraft, который является вариантом семейства FinalDraft/SquidDoor, связанного с другими китайскими хакерскими группировками. Еще одним значимым инструментом в их арсенале является CloudSorcerer, в частности его версия 3, также используемая в атаках на российские государственные цели.

Среди прочего внедренного ВПО UAT-8302 использует VSHELL вместе с новым стейджером на базе Rust под названием SNOWRUST и более ранней версией SNOWLIGHT, оба из которых применяются для выполнения последующих этапов загрузки полезной нагрузки. Их методология включает обширную начальную разведку с использованием пользовательских скриптов и инструментов с открытым исходным кодом, таких как Impacket, для исследования и эксплуатации сетей. UAT-8302 стремится собирать учетные данные и другую критически важную информацию, применяя скрипты для сканирования данных активного каталога, журналов событий, общих ресурсов SMB и информации для входа в систему.

Стратегия развертывания UAT-8302 является сложной, она использует легитимные исполняемые файлы для подгрузки вредоносных динамических библиотек (DLL), которые несут полезную нагрузку. Например, NetDraft работает в связке с вспомогательной библиотекой FringePorch для выполнения команд, управления файлами и запуска плагинов, предоставленных сервером управления (управление). CloudSorcerer v3 использует легитимные файлы для загрузки своей DLL для вредоносных операций, в зависимости от контекста процесса, с которым она взаимодействует, для сбора системной информации или выполнения команд.

Кроме того, APT использует Draculoader, универсальный загрузчик shellcode, в своих усилиях по распространению, часто применяя инструменты для создания прокси-серверов или настройки VPN-клиентов на скомпрометированных системах для дальнейшего доступа. UAT-8302 демонстрирует заметную степень операционного пересечения с другими злоумышленниками, связанными с Китаем, что указывает на совместную среду в деятельности киберкриминала.

Разнообразие ВПО, используемых UAT-8302, указывает на продвинутые оперативные возможности, включая механизмы управления через легитимные сервисы и масштабную эксфильтрацию данных. Это подтверждает цель группы по установлению долгосрочного доступа к своим целям и подчеркивает значительные риски, создаваемые такими скоординированными киберактивностями в глобальном масштабе.

#ParsedReport #CompletenessHigh
07-05-2026

OpenClaw’s Hologram: Fake Installer Ships Rust Infostealer

https://www.netskope.com/blog/openclaw-hologram-fake-installer-ships-rust-infostealer

Report completeness: High

Threats:
Hologram
Typosquatting_technique
Stealth_packer_tool
Supply_chain_technique
Hookdeck_tool
Clroxide_tool
Vidar_stealer
Purelogs
Dead_drop_technique
Pathfinder
Com_hijacking_technique

Victims:
Cryptocurrency wallet users, Password manager users, Two factor authenticator users, Legal services

Geo:
Chinese, German, Brazilian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.001, T1033, T1036, T1036.008, T1041, T1053.005, T1055, T1059.001, T1071.001, have more...

IOCs:
Domain: 15
Path: 5
File: 6
IP: 9
Command: 1
Url: 12
Hash: 12
Registry: 3

Soft:
OpenClaw, Telegram, WinLogon, VirtualBox, Ledger Live, Bitwarden, LastPass, 1Password, NordPass, Dashlane, have more...

Wallets:
metamask, coinbase, rabby

Algorithms:
xor, sha256, base64

Functions:
CreateInterface

Win API:
NtAllocateVirtualMemory, NtProtectVirtualMemory, NtGetContextThread, NtSetContextThread, NtSuspendThread, NtResumeThread

Languages:
rust, powershell

Platforms:
x86

Links:
https://github.com/yamakadi/clroxide
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Hologram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Hologram использует стиллер на базе Rust, распространяемый через поддельный установщик под именем OpenClaw_x64.exe, нацеленный на более чем 250 расширений браузера, включая криптокошельки. ВПО применяет передовые техники уклонения от мер безопасности, такие как требование движений мыши и проверка сигнатур виртуальной машины, а также использует двухканальную архитектуру C2 с динамическими обновлениями для скрытности. Его модульная структура включает возможности кражи учетных данных и сложные механизмы закрепления, что демонстрирует эволюцию тактик криминального ПО.
-----

Кампания Hologram, связанная с установщиком OpenClaw, представляет собой сложную вредоносную атаку, при которой поддельный установщик доставляет стиллер на базе Rust, способный атаковать более 250 расширений браузера, включая криптокошельки и Менеджеры паролей. ВПО, представляющее собой 130-мегабайтный исполняемый файл с именем OpenClaw_x64.exe, надежно спроектировано для обхода автоматических средств защиты. Этот дроппер управляется с использованием нескольких легитимных сервисов, таких как Azure DevOps и Телеграм, что позволяет ему скрытно функционировать в обход систем обнаружения в корпоративной среде.

Hologram использует различные техники уклонения для обхода песочницы, включая необходимость реальных движений мыши и проведение комплексных проверок на наличие сигнатур виртуальной машины перед выполнением вредоносных процедур. После успешного выполнения он развертывает встроенный PowerShell-пэйлоад, который отключает меры безопасности, такие как Windows Defender. Затем вредоносное ПО загружает дополнительные пэйлоады второго этапа, размещаясь в таких местах, как C:\Users\Public, и применяет несколько стратегий резервирования для поддержания закрепления даже в случае удаления его частей.

Фреймворк ВПО состоит как минимум из шести модульных бинарных файлов, каждый из которых выполняет отдельные функции. В его состав входят возможности для отражённой загрузки PE-файлов, кражи учётных данных различными способами и сложные механизмы закрепления, такие как перехват WinLogon Userinit. Одной из примечательных особенностей этого фреймворка является использование Rust-кредита clroxide для загрузки .NET-сборок в памяти, что обычно встречается в продвинутых постоянных угрозах. Кампания Hologram активно несколько раз меняла свою инфраструктуру во время анализа безопасности, что указывает на намерение оператора поддерживать операционную устойчивость и скрытность.

Hologram использует двухканальную архитектуру управления (C2). Изначально он получает адреса C2 из канала в Телеграм, один из которых принадлежит скомпрометированной бразильской юридической фирме. ВПО может легко переключать свою связь C2 через динамические обновления, что помогает избегать обнаружения. Связь маршрутизируется через Hookdeck, ретранслятор, который скрывает его истинный бэкенд, повышая анонимность оператора.

Манифест целевой ориентации вредоносного ПО динамически перечисляет расширения браузеров для кражи, позволяя оператору мгновенно обновлять возможности кражи учетных данных без перекомпиляции. Тщательно сконструированный механизм доставки и многоуровневые оперативные техники способствуют его скрытности и потенциалу для значительной кражи информации, отмечая заметную эволюцию в криминальном ПО, использующем Rust. Усилия по обнаружению поддерживаются мерами передовой защиты от угроз, однако передовое закрепление и полиморфные качества Hologram создают постоянные вызовы для усилий в области кибербезопасности.

#friday

Если не Битрикс, то кто же тебя еще порадует :)
Если у тебя нет задач, то ты эффективен на 100% - полностью поддерживаю такой подход.
Скорее всего это бородатый прикол, но все же.

#ParsedReport #CompletenessMedium
08-05-2026

PamDOORa: Analyzing a New Linux PAM-Based Backdoor for Sale on the Dark Web

https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web

Report completeness: Medium

Actors/Campaigns:
Darkworm

Threats:
Pamdoora
Credential_harvesting_technique
Linux-pam-backdoor
Pam_auth_backdoor
Pamdoor
Dayofd00m
Madlib_tool
Ssh-door
Duar-pamspy
Paminant
Libpam_spooky_tool

Victims:
Linux servers, Enterprise infrastructure, Cloud environments, Authentication systems

Industry:
Government, E-commerce, Financial

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1049, T1070.002, T1070.006, T1074.001, T1556.003, T1622

Soft:
Linux, OpenSSH, sudo, systemd, SELinux

Algorithms:
xor

Languages:
python

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4