#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JobStealer — это троян, нацеленный на пользователей macOS и Windows, основная задача которого заключается в краже конфиденциальных данных из криптовалютных кошельков. Он использует поддельные собеседования для найма, чтобы заманить жертв на загрузку вредоносного программного обеспечения, замаскированного под легитимное приложение для видеоконференцсвязи, которое доставляется через dmg-образы или команды терминала в macOS. Вредоносное ПО собирает обширную информацию о пользователе и передает ее на серверы злоумышленников, при этом аналогичная версия для Windows демонстрирует те же возможности, а потенциальные будущие версии намечены для платформ Linux, iOS и Android.
-----

Doctor Web выпустил предупреждение о появлении JobStealer — трояна, предназначенного для эксплуатации пользователей macOS и Windows с целью кражи конфиденциальных данных, в частности из криптовалютных кошельков. Киберпреступники, стоящие за этой операцией, используют поддельные собеседования при приеме на работу в качестве приманки, перенаправляя потенциальных жертв на обманные веб-сайты, которые продвигают установку приложения для видеоконференцсвязи, выглядящего легитимно, но на самом деле являющегося трояном JobStealer.

После начала взаимодействия жертвы получают приглашения на фиктивную вакансию, которая перенаправляет их на поддельные платформы для онлайн-встреч. Эти мошеннические сайты имитируют легитимные сервисы и наблюдались под различными названиями, включая MeetLab, Juseo и другие, иногда даже используя устоявшиеся имена, такие как Webex. Чтобы создать иллюзию подлинности, мошенники часто создают соответствующие каналы в социальных сетях.

При нацеливании на пользователей macOS троян JobStealer доставляется преимущественно двумя способами: в виде контейнера dmg или через команду bash, выполняемую в терминале. В первом случае пользователь монтирует образ dmg, который обманным образом предлагает запустить скрипт, который вместо установки безобидного программного обеспечения запускает троян. Данный троян, идентифицированный как Mac.PWS.JobStealer.1, спроектирован для поддержки нескольких архитектур процессоров, включая x64 и arm64. При запуске вредоносное ПО представляет фишинговый интерфейс, использующий Маскировка под ошибку программного обеспечения, побуждая пользователей вводить пароль своей учетной записи Mac на ложных основаниях.

Информационные возможности трояна обширны. Он собирает различные конфиденциальные данные, включая версию операционной системы, уникальные идентификаторы компьютера, подробную информацию о многочисленных расширениях браузера для криптовалютных кошельков, сеансовые файлы cookie, сохраненные пароли, информацию банковских карт, файлы данных Телеграм и пользовательские заметки из нативного приложения macOS Notes. Впоследствии эти собранные данные сжимаются в ZIP-архив и отправляются на сервер управления злоумышленников.

Кроме того, существует версия JobStealer для Windows, которая дублирует функциональность её аналога для macOS. Хотя вредоносные сайты анонсировали потенциальные версии для Linux, iOS и Android, эти дистрибутивы в настоящее время не работают. Однако имеются указания на то, что злоумышленники могут внедрить эти версии в будущем.

Для снижения рисков, связанных с JobStealer, Dr.Web успешно выявил и нейтрализовал все известные варианты троянца на обеих платформах. Веб-сайты, участвующие в распространении этого ВПО, были задокументированы и классифицированы как опасные ресурсы, что предотвратило дальнейшее воздействие на пользователей. Анализ JobStealer также позволил сопоставить его методы с фреймворком MITRE ATT&CK®, выделив несколько тактик, таких как выполнение пользователем, сбор данных, автоматизированная эксфильтрация и перехват вводимых данных, что подчеркивает сложную природу угрозы.

#ParsedReport #CompletenessMedium
06-05-2026

Threat Brief: Exploitation of PAN-OS Captive Portal Zero-Day for Unauthenticated Remote Code Execution

https://unit42.paloaltonetworks.com/captive-portal-zero-day/

Report completeness: Medium

Actors/Campaigns:
Cl-sta-1132
Volt_typhoon
Gelsemium
Uat-8337
Winnti

Threats:
Earthworm_tool
Reversesocks5_tool

Victims:
Firewalls, Edge network infrastructure

Industry:
Healthcare, Iot

Geo:
Asia, India, Australia, Middle east, Korea, Japan

CVEs:
CVE-2026-0300 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 1
Technics: 2

ChatGPT TTPs:
do not use without manual check
T1055, T1070, T1070.004, T1078.002, T1090, T1105, T1190, T1499, T1572

IOCs:
IP: 4
Url: 2
Hash: 1

Soft:
PAN-OS, AN-OS so, nginx, Active Directory, Linux, macOS

Functions:
SetUserID

Languages:
python

Platforms:
arm, x64, intel, mips

Links:
https://github.com/rootkiter/EarthWorm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Palo Alto Networks выявила критическую уязвимость переполнения буфера (CVE-2026-0300) в PAN-OS, позволяющую неаутентифицированным злоумышленникам выполнять произвольный код на межсетевых экранах с помощью вредоносных пакетов. Государственная спонсируемая группа CL-STA-1132 использовала эту уязвимость для Удаленного Выполнения Кода и занималась пост-эксплуатацией, развертывая туннелирующие инструменты, такие как EarthWorm и ReverseSocks5, одновременно маскируя свою деятельность. Их атаки также включали SAML-флудинг для повышения привилегий, что демонстрирует стратегию, сфокусированную на скрытности и закрепление.
-----

6 мая 2026 года компания Palo Alto Networks устранила критическую уязвимость безопасности, отслеживаемую как CVE-2026-0300, которая представляет собой переполнение буфера в службе User-ID™ Authentication Portal программного обеспечения PAN-OS. Эта уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код с привилегиями root на межсетевых экранах PA-Series и VM-Series путем отправки вредоносных сетевых пакетов. Недавние расследования подразделения Unit 42 показывают, что уязвимость эксплуатируется хакерская группировка, спонсируемая государством, обозначаемая как CL-STA-1132, которая использовала ее для достижения Удаленное Выполнение Кода (RCE) в системах PAN-OS.

Попытки эксплуатации начались 9 апреля 2026 года, хотя первоначальные усилия оказались безуспешными. Однако к 16 апреля злоумышленники успешно выполнили RCE, внедрив шеллкод в процесс worker nginx. После этой компрометации злоумышленники занялись обширной деятельностью после эксплуатации, включая развертывание инструментов туннелирования, таких как EarthWorm и ReverseSocks5, перечисление учетных данных в Active Directory и систематическое стирание журналов для сокрытия своей деятельности.

С точки зрения поведения вредоносного ПО, EarthWorm представляет собой утилиту туннелирования сети с открытым исходным кодом, которая позволяет осуществлять скрытую связь путем установления прокси-соединений SOCKS v5, что делает ее удобной для злоумышленников, которым необходимо перемещаться внутри скомпрометированных сетей. Она может проксировать входящие соединения, создавать обратные туннели и объединять несколько режимов передачи для сокрытия сетевой активности. Кроме того, ReverseSocks5 выполняет аналогичную задачу, обеспечивая исходящие соединения, которые позволяют злоумышленникам маршрутизировать трафик обратно во внутреннюю сеть цели.

Атакующие выполнили SAML-флуд 29 апреля, успешно осуществив переход от RCE к вторичному устройству, а затем приступили к загрузке инструментов EarthWorm и ReverseSocks5. Такое поведение иллюстрирует их оперативную стратегию, которая сочетает скрытность с закреплением, используя непостоянный доступ для поддержания присутствия без обнаружения.

Для снижения рисков, связанных с данной уязвимостью, компания Palo Alto Networks предоставила рекомендации для пользователей с подписками Advanced Threat Prevention, позволяющие блокировать попытки эксплуатации путем включения конкретных идентификаторов угроз. Учитывая растущее внимание со стороны акторов-государств к технологиям периферийных сетей, действия, предпринятые CL-STA-1132, подчеркивают более широкую тенденцию, при которой злоумышленники используют инструменты с открытым исходным кодом для обхода традиционных методов обнаружения и поддержания длительного доступа с минимальным следом.

#ParsedReport #CompletenessLow
07-05-2026

ClaudeBleed: A Flaw In Claude’s Browser Extension Allows Any Extension to Hijack It

https://layerxsecurity.com/blog/a-flaw-in-claudes-browser-extension-allows-any-extension-to-hijack-it/

Report completeness: Low

Actors/Campaigns:
Claudebleed

Victims:
Artificial intelligence services, Email services, Cloud storage, Software development platforms

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1176, T1213, T1530, T1537

Soft:
Claude, Chrome, Anthropic, Claude Chrome, Gmail

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость в расширении Chrome для Claude позволяет вредоносным расширениям перехватывать его функциональность без разрешения, что даёт возможность выполнения произвольного кода и манипулирования пользовательскими данными в различных сервисах. Ошибка возникает из-за проблемы доверия при выполнении кода в домене claude.ai, позволяя любому скрипту взаимодействовать с LLM Claude. Несмотря на частичное исправление, внесённое разработчиком, основная уязвимость остаётся, позволяя злоумышленникам выполнять несанкционированные действия с привилегиями пользователя.
-----

Исследователи безопасности LayerX выявили значительную уязвимость в расширении Chrome для Claude, которая позволяет вредоносным расширениям перехватывать его функциональность без необходимости получения каких-либо разрешений. Этот недостаток обусловлен реализацией кода, которая позволяет скриптам, выполняемым в домене claude.ai, взаимодействовать с большой языковой моделью (LLM) Claude без проверки подлинности или контекста выполняемого скрипта. В результате любое расширение может внедрить код, выполнить произвольные команды и манипулировать пользовательскими данными в рамках различных Веб-сервисов, таких как Gmail, Google Drive и GitHub, эффективно превращая Claude в прокси-сервер для злоумышленника.

Исследователи продемонстрировали, как злоумышленник может похищать конфиденциальную информацию или выполнять действия от имени пользователя, например, делиться файлами или отправлять электронные письма, эксплуатируя эту уязвимость. Примечательно, что проблема усугублялась использованием Claude настройки манифеста «externally_connectable», которая доверяет источнику (origin), а не контексту выполнения. Этот недостаток архитектуры позволяет любому JavaScript-коду, выполняемому на claude.ai — который может быть внедрен вредоносным расширением — отправлять привилегированные команды напрямую расширению Claude.

Хотя Anthropic, разработчик Claude, признал наличие уязвимости и выпустил частичное исправление, оно не устранило основную уязвимость. Исправление заключалось во внедрении дополнительных внутренних проверок безопасности, но не затронуло базовую модель доверия, которая по-прежнему позволяет обходить эти проверки. Например, даже включение «привилегированного режима» позволяет злоумышленнику манипулировать поведением расширения без уведомления пользователя.

Воздействие этой уязвимости является серьезным, поскольку оно по сути нарушает парадигму безопасности расширений Chrome, позволяя расширениям с нулевыми разрешениями выполнять действия, обычно зарезервированные для доверенных приложений. Отсутствие надлежащей аутентификации для сообщений, отправляемых в интерфейсы Claude, означает, что несанкционированные действия могут выполняться с привилегиями пользователя, обходя потоки согласия и приводя к потенциально непреднамеренным или вредным последствиям.

#ParsedReport #CompletenessMedium
07-05-2026

Abuse of Cloud-Native Infrastructure in Modern Phishing Campaigns

https://www.cyfirma.com/research/abuse-of-cloud-native-infrastructure-in-modern-phishing-campaigns/

Report completeness: Medium

Threats:
Blobphish
Credential_harvesting_technique
Blob_url_obfuscation_technique
Aitm_technique
Supply_chain_technique
Spear-phishing_technique
Typosquatting_technique

Victims:
Manufacturing, Technology, Financial services, Finance, Government, Transportation, Telecommunications, Consumer finance, Thailand, Southeast asia, have more...

Industry:
Retail, Financial, Transport, Telco, Government

Geo:
Asia, Asia-pacific, Thailand, America, Asian, Middle east

TTPs:
Tactics: 7
Technics: 14

IOCs:
IP: 6

Soft:
Azure Blob

Functions:
SaaS

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Доверенная инфраструктура фишинга (TIP) эволюционировала, изменив методы фишинга, работая полностью в облачных средах, которым доверяют организации, что затрудняет обнаружение из-за легитимного характера используемых сервисов. Атакующие используют протоколы OAuth для сбора токенов доступа и инструментов автоматизации рабочих процессов для доставки фишинговых писем, направляя жертв на кажущиеся безобидными страницы на таких сервисах, как Azure и SharePoint. TIP использует передовые тактики уклонения, включая методы в памяти и проксирование «противник посередине», для закрепления без вызова тревог.
-----

Доверенная инфраструктура фишинга (TIP) — это новый метод фишинга, который работает исключительно в доверенных облачных средах предприятия.

TIP устраняет традиционные индикаторы злонамеренных намерений, используя легитимные облачные сервисы на всех этапах атаки.

Злоумышленники перешли от фишинга на основе ВПО к сбору учетных записей через легитимные структуры, избегая типичных следов криминалистический анализ.

Фишинговые письма часто отправляются с использованием легальных инструментов автоматизации рабочих процессов из систем облачных провайдеров, что позволяет обходить спам-фильтры и меры безопасности электронной почты.

Жертв перенаправляют на фишинговые страницы, размещенные на признанных облачных сервисах хранения данных, таких как Azure и SharePoint, которые выглядят легитимно благодаря защищенным сертификатам и брендингу.

Расширенные варианты TIP используют техники в памяти для динамического создания фишинговых страниц на основе возможностей браузера жертвы, что позволяет избегать обнаружения.

Этот подход позволяет избежать фильтрации на сетевом уровне, поскольку вредоносный контент не передается по сети.

Злоумышленники используют протоколы OAuth для перехвата токенов доступа вместо паролей, применяя проксирование «злоумышленник посередине» для ретрансляции потоков аутентификации.

После получения первоначального доступа злоумышленники сохраняют присутствие в облачной среде жертвы и создают правила для постоянного доступа без вызова тревог.

Фишинговые кампании, нацеленные на организации в Северной Америке, успешно использовали механизмы OAuth для токенов доступа, обеспечив закрепление.

Другие операции имитируют легитимные организации, применяя мониторинг в реальном времени и локализованные стратегии для манипуляции пользователями и извлечения конфиденциальной информации.

Скомпрометированные бэкенд-интерфейсы могут раскрывать подробные журналы взаимодействия, выявляя плохие практики безопасности.

Для противодействия TIP организациям необходимо внедрить более строгие меры аутентификации, управлять разрешениями OAuth и улучшить обнаружение на основе поведения пользователей, а не только сетевого трафика.

Будущие меры защиты потребуют архитектурных изменений в связи с эволюцией фишинга на фоне растущего внедрения облачных технологий.

#ParsedReport #CompletenessMedium
10-05-2026

Update: Ongoing Checkmarx Supply Chain Security Incident

https://checkmarx.com/blog/ongoing-security-updates/

Report completeness: Medium

Actors/Campaigns:
Teampcp
Lapsus

Threats:
Supply_chain_technique

Victims:
Checkmarx, Github repositories, Ci cd pipelines, Developer workstations, Open vsx registry users

Industry:
E-commerce

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1195.001, T1195.002, T1213.003

IOCs:
IP: 3
Domain: 1
File: 7
Hash: 2

Soft:
OpenVSX, Jenkins, Trivy, DockerHub, debian, alpine, Open VSX, Open-VSX, docker, VSCode, have more...

Algorithms:
sha256

Links:
have more...
https://github.com/checkmarx/ast-github-action

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
23 марта 2026 года Checkmarx столкнулся с нарушением безопасности Цепочки поставок из-за скомпрометированных артефактов разработчиков, связанных с уязвимостями в сканере Trivy, что позволило злоумышленникам публиковать вредоносный код в его репозиториях GitHub. Этот инцидент включал выпуск модифицированных версий плагина Checkmarx Jenkins AST и других компонентов на нескольких маркетплейсах, что привело к эксфильтрации данных группой LAPSUS$. Хотя вредоносные артефакты не перезаписывали безопасные версии, атака выявила значительные риски, связанные с зависимостью от стороннего кода.
-----

23 марта 2026 года Checkmarx стал жертвой инцидента безопасности цепочки поставок, связанного с компрометацией артефактов разработчиков после атаки на цепочку поставок Trivy. Злоумышленники использовали уязвимости в сканере Trivy, потенциально похищая учетные данные у пользователей, использующих его в своих процессах. Этот несанкционированный доступ позволил им публиковать вредоносный код в репозиториях GitHub Checkmarx, где они взаимодействовали с окружением и публиковали скомпрометированные версии плагинов.

Злоумышленники публиковали модифицированные версии плагина Checkmarx Jenkins AST в маркетплейс Jenkins, а также различные плагины в реестре OpenVSX. В частности, были обнаружены вредоносные теги и связанные с ними SHA-хэши для образов Docker, действий GitHub и расширений VS Code, что затронуло такие версии, как публичный образ KICS на DockerHub от Checkmarx и несколько расширений как в маркетплейсе Microsoft, так и в Open VSX.

30 марта 2026 года произошла эксфильтрация данных, что впоследствии привело к утечке конфиденциальных данных группой киберпреступников LAPSUS$ 25 апреля 2026 года. Этот инцидент был идентифицирован как компрометация определенных компонентов, связанных с Checkmarx One, но не с его локальной установкой CxSAST. Расследование показало, что вредоносные артефакты не перезаписывали известные безопасные версии, что позволило клиентам, использующим более ранние версии, остаться без изменений.

В ответ на атаку Checkmarx предпринял меры по сдерживанию, расследованию и устранению последствий, включая привлечение правоохранительных органов и привлечение сторонней криминалистический анализ компании. Дополнительные действия по защите их систем включали ротацию учетные данные, ужесточение контроля доступа и проведение аудитов кода для подтверждения отсутствия вредоносного кода.

Клиентам было рекомендовано заблокировать доступ к конкретным доменам и IP-адресам, связанным с компрометацией, заменить потенциально затронутые учетные данные, включая те, что используются для облачных сервисов и GitHub, а также удалить любые вредоносные версии расширений, полученные из реестра OpenVSX. Были предоставлены инструменты для выявления затронутых сред, включая проверку журналов CI/CD и рабочих станций на наличие подозрительной активности, связанной с скомпрометированными плагинами.

Результаты инцидента показали, что уязвимости в Цепочка поставок могут существенно воздействовать как на пользователей, так и на платформы, зависящие от стороннего кода. В качестве превентивных мер Checkmarx заявил о намерениях усилить средства защиты, направленные на снижение аналогичных рисков в будущем. Ожидается, что текущее расследование позволит провести формальный анализ первопричины и подготовить комплексное заявление о воздействии для затронутых клиентов.

#ParsedReport #CompletenessLow
10-05-2026

Industrialized Smishing Infrastructure Targeting the UAE and Singapore Transportation, Government, and Logistics Sectors

https://medium.com/@raghavtiresearch/industrialized-smishing-infrastructure-targeting-the-uae-and-singapore-transportation-government-cd754e76a5c8?source=rss-2f156a402f32------2

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Threats:
Smishing_technique
Credential_harvesting_technique

Victims:
Transportation, Government, Logistics, Digital identity

Industry:
Logistic, Transport, Government, Financial

Geo:
Asia, Singapore, Middle east, Emirates

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.004, T1588.004, T1656

IOCs:
Domain: 6
IP: 1

Soft:
Alibaba Cloud

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена инфраструктура фишинга и смишинга, нацеленная на ОАЭ и Сингапур, использующая модель PhaaS с динамически генерируемыми поддоменами на Alibaba Cloud, в частности с доменом emiratespost.ae.tcsz.top. Эта кампания включает высокодоверенные сервисы и использует случайные четырехсимвольные корневые домены для создания обманных поддоменов, стремясь к сбору учетных записей и финансовому мошенничеству. Она демонстрирует признаки сложной автоматизации, включая быструю регистрацию доменов и адаптированную географическую таргетинг, параллельно тактикам группы Smishing Triad.
-----

Обнаружена значительная инфраструктура фишинга и смишинга, нацеленная на транспортный, государственный и логистический секторы ОАЭ и Сингапура. Эта инфраструктура, характеризующаяся как экосистема фишинга как услуга (PhaaS), в основном использует динамически генерируемые поддомены, размещенные на Alibaba Cloud. Выявленный фишинговый домен — emiratespost.ae.tcsz.top, вместе с IP-адресом хостинга 47.254.56.221, который был связан с операциями, напоминающими те, что ассоциируются с Smishing Triad, признанной хакерской группировкой.

В рамках кампании активно используются домены .top и .cc, при этом эксплуатируются короткие случайные домены верхнего уровня в сочетании с названиями легитимных организаций для создания обманных поддоменов. Под атаками находятся высокодоверенные публичные сервисы, такие как Emirates Post, Salik, Parkin, Dubai Police, Aramex и Сингапурская администрация наземного транспорта (Land Transport Authority). Оперативная цель, по всей видимости, заключается в финансовом мошенничестве, включающем сбор учетных записей, кражу платежных карт и возможные атаки на национальные системы цифровой идентификации, такие как UAE Pass.

Эта смишинг-кампания отличается признаками автоматизации в промышленных масштабах, такими как быстрая регистрация доменов, выпуск SSL-сертификатов и методы фишинговой доставки с геотаргетингом. Злоумышленники адаптировали свои операции для целенаправленного воздействия на сервисы, связанные с регулярными платежами и проверкой личности, что подчеркивает их стратегический фокус на секторах, где пользователи часто взаимодействуют с конфиденциальной информацией.

Кроме того, инфраструктура демонстрирует характеристики, типичные для зрелых фишинговых операций, включая систематическое использование случайных четырехсимвольных доменов верхнего уровня в зонах .top и .cc, которые часто предпочтительны для фишинга из-за их низкой стоимости и простоты быстрого развертывания. Фишинговая инфраструктура спроектирована для доставки вредоносного контента на основе географической привязки, что указывает на организованный подход к максимизации эффективности и воздействия.

Анализ показывает, что, хотя окончательная атрибуция остается сложной задачей, сходство в шаблонах инфраструктуры и методологиях с теми, что используются Smishing Triad, представляет убедительный случай для операционного сходства. Кампания подчеркивает тревожную тенденцию в киберугрозах, иллюстрируя эволюцию ландшафта мобильных фишинговых стратегий, особенно в контексте правительственных и транспортных систем на Ближнем Востоке и в Юго-Восточной Азии, поскольку злоумышленники все чаще смещают фокус на высокодоверительные цифровые среды.

#ParsedReport #CompletenessHigh
10-05-2026

OPERATION SILENTCANVAS : JPEG BASED MULTISTAGE POWERSHELL INTRUSION

https://www.cyfirma.com/research/operation-silentcanvas-jpeg-based-multistage-powershell-intrusion/

Report completeness: High

Actors/Campaigns:
Silentcanvas (motivation: cyber_espionage, financially_motivated)

Threats:
Screenconnect_tool
Uac_bypass_technique
Amsi_bypass_technique
Lolbin_technique
Credential_harvesting_technique
Sysupdate
Spear-phishing_technique

Victims:
Enterprise environments, Organizations utilizing rmm software, Remote support platforms

TTPs:
Tactics: 10
Technics: 37

IOCs:
File: 16
Domain: 1
Registry: 1
IP: 1
Command: 1
Hash: 6

Soft:
Windows service, Active Directory, Windows authentication, Windows shell, NET Framework, Microsoft OneDrive

Algorithms:
sha256, zip, pbkdf2

Functions:
DeriveSecureRandomValuesForConnection, MaintainEphemeralUsers, MaintainClientProcesses, SetSafeModeReboot, AddWindowTaskbarButtonIfApplicable, RemoveWindowTaskbarButtonIfPresent, TryLaunch, CreateProcessAsUser, CreateRemoteProcess, EnableCurrentProcessPrivilege, have more...

Win API:
WndProc, DuplicateToken, ImpersonateLoggedOnUser, SeDebugPrivilege, NetUserAdd, DuplicateTokenEx, GetDIBits

Languages:
powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция SilentCanvas — это сложная многоэтапная хакерская кампания, использующая замаскированный PowerShell-пэйлоад, доставляемый через фишинг, для получения скрытого удалённого доступа через модифицированную версию ConnectWise ScreenConnect. Атака применяет передовые методы, такие как обход AMSI, повышение привилегий без использования файлов и выполнение кода в памяти, что обеспечивает постоянное присутствие через Службу Windows, имитирующую легитимное программное обеспечение. Обладая возможностями перехвата учётных данных и масштабного наблюдения, операция подчёркивает растущий тренд среди злоумышленников в сторону скрытности.
-----

Хакерская кампания под названием Operation SilentCanvas использует сложную многоэтапную атаку, которая задействует оружией PowerShell-пакет, замаскированный под файл JPEG, для обеспечения скрытого и постоянного удаленного доступа через модифицированную версию ConnectWise ScreenConnect. ВПО изначально доставляется с помощью методов социальной инженерии, таких как фишинговые письма и вредоносные вложения. В частности, оно эксплуатирует доверие пользователей, Маскируясь как sysupdate.jpeg, обходя протоколы проверки расширений файлов.

После запуска вредоносное ПО создает среду развертывания, использует компилятор Microsoft .NET (csc.exe) для динамической компиляции дополнительных вредоносных загрузок и извлекает дальнейшие компоненты с серверов, контролируемых злоумышленниками. Сюда входит троянизированная версия ScreenConnect, предназначенная для скрытых операций. Атака использует передовые тактики, такие как обход интерфейса сканирования антивирусного ПО (AMSI), выполнение кода в памяти, злоупотребление исполняемыми файлами living-off-the-land (LOLBin) и безфайловое повышение привилегий через подмену реестра с участием ComputerDefaults.exe. Это позволяет вредоносному ПО получать повышенные привилегии без вызова запросов контроля учетных записей (UAC).

Модифицированный фреймворк ScreenConnect обеспечивает широкий спектр функциональных возможностей, включая перехват учетных данных, выполнение удаленных команд и расширенные возможности наблюдения, такие как захват экрана и мониторинг аудио. Связь с злоумышленниками осуществляется по зашифрованным каналам, при этом для повышения устойчивости к усилиям по обнаружению используются нестандартные порты. Кроме того, ВПО включает различные уклонистские техники, такие как использование легитимных подписанных бинарных файлов, антикриминалистический анализ поведения и манипуляции с реестром для снижения криминалистической видимости своих действий.

При запуске вредоносного ПО оно создает постоянную Службу Windows, замаскированную под OneDriveServers, что обеспечивает сохранение доступа после перезагрузки. Кроме того, оно перечисляет установленные решения безопасности для адаптации своей деятельности, демонстрируя высокий уровень операционной зрелости. Архитектура вредоносного ПО указывает на фокус на скрытности и сложности, включая децентрализованную инфраструктуру управления, широкие возможности сбора учетных записей и фреймворк для перемещения внутри компании по скомпрометированным сетям.

Сочетание передовых тактик уклонения и возможностей для долгосрочного закрепления указывает на то, что эта операция может привести к значительным последствиям для предприятий, включая кражу данных, шпионаж и потенциальное развертывание программ-вымогателей. В целом, операция SilentCanvas отражает растущий тренд среди злоумышленников использовать доверенное программное обеспечение в злонамеренных целях, применяя модульные фреймворки, направленные на поддержание скрытого доступа в скомпрометированных средах.