#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Agent Tesla, нацеленная на предприятия в Чили и Латинской Америке, сосредоточена на краже учетных данных путем использования тактик социальной инженерии для доставки закодированных JScript дропперов, замаскированных под бизнес-файлы. После выполнения эти дропперы развертывают стейджеры PowerShell, которые взаимодействуют с сервером управления через легитимный румынский FTP-сайт. Agent Tesla — это основанный на .NET кейлоггер, способный красть конфиденциальную информацию из различных приложений, используя сложную обфускацию и Внедрение в пустой процесс для уклонения от обнаружения, что указывает на наличие устойчивого и хорошо обеспеченного ресурсами злоумышленника.
-----

Вредоносная кампания Agent Tesla, которая действует уже как минимум 18 месяцев, нацелена на предприятия в Чили и более широком регионе Латинской Америки с акцентом на кражу учетных данных. Она действует под видом финансовой и закупочной документации, используя тактики социальной инженерии для заманивания жертв в открытие вредоносных вложений, замаскированных под важные бизнес-файлы. ВПО в основном распространяется в виде закодированного загрузчика на JScript, который при выполнении разворачивает дополнительные компоненты через стейджеры PowerShell, использующие техники обхода политики выполнения.

После активации начального JScript-дроппера он извлекает несколько загрузчиков PowerShell, которые взаимодействуют с сервером управления (C2), используя легитимный румынский FTP-сайт для эксфильтрации и оперативных задач. Загрузчики PowerShell предназначены для загрузки полезной нагрузки Agent Tesla путем внедрения ее в доверенные системные процессы, в частности aspnet_compiler.exe, что помогает избежать обнаружения инструментами безопасности конечных точек.

Сам Agent Tesla представляет собой .NET-основанный стиллер и инструмент регистрации нажатий клавиш, способный извлекать конфиденциальную информацию из различных приложений, включая веб-браузеры, почтовые клиенты и FTP-приложения. Его возможности также включают мониторинг буфера обмена, регистрацию нажатий клавиш и возможность создания скриншотов. Примечательно, что вредоносное ПО использует сложные методы обфускации через .NET Reactor v6.x, что затрудняет его анализ с помощью традиционных методов статической детекции. Использование Внедрения в пустой процесс позволяет вредоносному ПО выполняться полностью в памяти, дополнительно снижая вероятность обнаружения.

Угроза выходит за рамки простого кражи учетных данных, поскольку она открывает путь для более масштабных атак, таких как компрометация бизнес-электронной почты (BEC) и финансовое мошенничество. Детальная целевая ориентация на финансовые и закупочные отделы указывает на стратегический подход злоумышленника к облегчению несанкционированного доступа к значительным финансовым транзакциям и конфиденциальным корпоративным данным.

Операционная инфраструктура кампании демонстрирует стабильность: один и тот же IP-адрес C2 используется на протяжении длительного времени, что подтверждает вероятность наличия хорошо обеспеченного и стойкого злоумышленника. Эта постоянная активность указывает на профессиональную операцию, которая постоянно адаптирует свои тактики, оставаясь незамеченной в бизнес-экосистеме Латинской Америки.

Для эффективного снижения рисков, связанных с Agent Tesla, организациям рекомендуется внедрять усиленные меры безопасности, такие как интерактивная песочница для анализа в реальном времени, целевые программы обучения киберграмотности для сотрудников уязвимых подразделений и мониторинг аномальной исходящей FTP-активности. Результаты подчеркивают устойчивый характер этой угрозы и острую необходимость в надежных стратегиях кибербезопасности, адаптированных для защиты от операций по краже учетных данных в регионе.

#ParsedReport #CompletenessHigh
14-05-2026

From PyInstaller to XWorm V7.4: Infection Chain Analysis

https://www.pointwild.com/threat-intelligence/from-pyinstaller-to-xworm-v7-4-infection-chain-analysis/

Report completeness: High

Threats:
Xworm_rat
Amsi_bypass_technique
Supply_chain_technique

Victims:
Organizations, Users

Industry:
Entertainment

TTPs:
Tactics: 7
Technics: 6

IOCs:
File: 10
Url: 1
Hash: 2

Soft:
PyInstaller, Windows service

Algorithms:
base64, aes, md5, sha512, aes-ecb, xor

Functions:
_IAT_PHANTOM_FIX

Win API:
AmsiScanBuffer, VirtualProtect, decompress

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Point Wild проанализировал многоэтапный загрузчик ВПО, связанный с кампанией XWorm V7.4, который использует обфускацию и техники антианализа для уклонения от обнаружения, включая патчинг AmsiScanBuffer для отключения AMSI. Загрузчик расшифровывает и распаковывает троян, обеспечивая несанкционированный доступ и связь с сервером C2. Ключевыми векторами заражения являются фишинг, скомпрометированное программное обеспечение и социальная инженерия, в то время как XWorm RAT демонстрирует расширенные возможности, такие как разведка хоста и выполнение удаленных команд.
-----

Point Wild провела детальный анализ вредоносного исполняемого файла, упакованного с помощью PyInstaller, который был идентифицирован как многоэтапный загрузчик ВПО, связанный с кампанией XWorm V7.4. Данное ВПО использует различные техники обфускации и механизмы противодействия анализу для сокрытия своей деятельности и уклонения от обнаружения стандартными средствами защиты.

Расследование показало, что основная вредоносная функциональность выполнялась через функцию с именем _VOID_DEPLOYER, после начального обманного кода, предназначенного для введения аналитиков в заблуждение. Примечательно, что ВПО использовало продвинутые техники обхода защиты, патчая AmsiScanBuffer в памяти, что эффективно отключало Microsoft Anti-Malware Scan Interface (AMSI) и минимизировало видимость для антивирусных и систем обнаружения на конечных точках перед развертыванием его полезной нагрузки. Загрузчик способен расшифровывать и распаковывать встроенный исполняемый файл непосредственно из пакета Python, затем записывает его в директорию %LOCALAPPDATA%, устанавливает для файла атрибуты скрытый и системный, и выполняет его тихо, без видимой консоли.

Вредоносная нагрузка, идентифицированная как XWorm V7.4, функционирует как Троянская программа (RAT), которая может обеспечивать несанкционированный доступ, выполнение команд и кражу учетных данных, а также проводить слежку и загружать вторичные вредоносные модули на скомпрометированные системы. Анализ выявил, что ВПО взаимодействует с сервером управления (C2) по адресу tcp://68.219.64.89:4444, что подтверждает его функциональность под контролем удаленных злоумышленников.

Кроме того, образец продемонстрировал характеристики, типичные для современных фреймворков доставки ВПО, включая многоэтапную обработку, обход AMSI и тактики скрытности полезной нагрузки. Механизм доставки вредоносного ПО описывал процесс, в котором различные вызовы API и компоненты реконструируются динамически для дальнейшего сокрытия его намерений и ограничения вероятности обнаружения.

Потенциальные векторы заражения этим ВПО включают фишинговые письма с вредоносными вложениями, скомпрометированные дистрибутивы программного обеспечения и тактики социальной инженерии, побуждающие пользователей запускать вредоносные исполняемые файлы.

Анализ внутренних операций XWorm RAT выявил несколько продвинутых техник. Он выполняет обширную разведку хоста и генерирует уникальный идентификатор клиента на основе атрибутов системы, что способствует идентификации скомпрометированных систем. Связь с сервером C2 осуществляется через TCP-сокеты со встроенными механизмами heartbeat, а также с использованием шифрования AES для скрытой передачи данных. Дополнительные возможности включают выполнение удаленных команд, внедрение дополнительных полезной нагрузки и организацию распределенных атак типа отказ в обслуживании (DDoS) под централизованным управлением.

В заключение, цепочка заражения XWorm V7.4 является сложной, используя многослойную обфускацию, скрытую развертку и динамические методы выполнения, что подчеркивает важность усиления стратегий обнаружения для борьбы с такими передовыми угрозами в ландшафте угроз.

#ParsedReport #CompletenessHigh
14-05-2026

VELVET CHOLLIMA Infostealer Campaign Using Trading App as Lure

https://hybrid-analysis.blogspot.com/2026/05/velvet-chollima-infostealer-campaign.html

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: financially_motivated)

Threats:
Moonpeak
Xenorat
Credential_harvesting_technique

Victims:
Cryptocurrency traders, Crypto signal communities, Professional networking platforms, Communications platforms

Geo:
North korea, Dprk

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1036, T1036.004, T1036.008, T1053.005, T1056.001, T1057, T1059.001, T1059.005, have more...

IOCs:
File: 11
IP: 2
Domain: 10
Hash: 4
Url: 2
Email: 4

Soft:
Windows Scheduled Task, Chrome, Android, ProtonMail

Algorithms:
gzip, sha256, sha1, md5

Functions:
GitLab, ReadMe

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Актор VELVET CHOLLIMA, связанный с Северной Кореей, проводит кампанию с использованием стиллера через поддельное криптоприложение Tralert FX и представляет собой многомодульный стиллер с низкими показателями обнаружения. Кампания использует действительные сертификаты подписи кода EV и применяет сложные тактики, включая разведку системы, кейлоггер и кражу учетных данных, которые выгружают данные через GitLab для избежания обнаружения. Кроме того, он использует зашифрованные загрузчики PowerShell для закрепления и собственную вариацию XenoRAT под названием MoonPeak, сфокусированную на целевой аудитории крипто-трейдеров и профессиональных сетей для кражи данных.
-----

Недавняя кампания стиллеров, приписываемая связанному с КНДР актору, известному как VELVET CHOLLIMA, использует поддельное приложение для торговли криптовалютой под названием Tralert FX. Этот метод распространения вредоносного ПО включает установщик MSI, который интегрирует многомодульный стиллер с заметно низким уровнем обнаружения антивирусами — всего 3 из 52. Кампания демонстрирует использование действительных сертификатов подписи кода EV от потенциальной компании-фронтера AgilusTech LLC для повышения легитимности ВПО и уклонения от обнаружения.

Набор вредоносного ПО имеет трёхкомпонентную структуру, включающую разведку системы, кейлоггер и стиллер учётных данных браузера, при этом все компоненты автоматизируют эксфильтрацию данных через репозитории GitLab. Эти полезная нагрузка бесшовно передаёт украденные данные с интервалом в 30 минут посредством автоматических git-коммитов, используя GitLab в качестве инфраструктуры для маскировки вредоносной активности под обычный трафик разработчиков, тем самым избегая механизмов периметрового оповещения. Система активно скомпрометировала более 90 хостов и выполнила более 4100 коммитов на момент обнаружения, при этом злоумышленник отдавал приоритет крипто-трейдерам для захвата учётных записей.

К продвинутым техникам, применяемым в этой кампании, относятся использование зашифрованных загрузчиков PowerShell и запланированных задач, таких как TimeZoneRegister, которые обеспечивают закрепление на зараженных машинах. При выполнении эти полезн

Значимым фактом является использование системы ручной сортировки для данных жертв, с организованными папками для хранения похищенной информации. Такая тщательная категоризация указывает на человеческий фактор в приоритизации целей на основе воспринимаемой ценности. Кампания нацелена не только на криптовалютные аккаунты, но и на профессиональные сети, что свидетельствует о более широком интересе к краже личных данных и потенциальной компрометации деловой электронной почты.

Инфраструктура распространения включала регистрацию множества доменов-двойников для имитации легитимных торговых платформ, что обеспечивало избыточность и стратегии широкого охвата. Актор проявлял умеренную операционную безопасность за счет ротации токенов и разделения инфраструктуры между несколькими аккаунтами, но допустил серьезные упущения, внедрив учетные данные доступа в код и сохранив один C2 IP-адрес на протяжении всей операции.

Этот модульный и систематический подход, в сочетании с мотивацией актора, основанной на финансовой выгоде, подчеркивает постоянную угрозу, исходящую от сложных групп киберпреступников, нацеленных на сектор криптовалют и использующих новые тенденции в цифровой экономике.

#ParsedReport #CompletenessLow
14-05-2026

APT-C-55 (Kimsuky) group's attack activity analysis relying on GitHub+Dropbox to distribute malicious payloads

https://www.ctfiot.com/307971.html

Report completeness: Low

Actors/Campaigns:
Kimsuky

Soft:
WeChat

#ParsedReport #CompletenessMedium
14-05-2026

HWMonitor Trojanized to Deliver Multi-Stage STX RAT via DLL Sideloading

https://gurucul.com/blog/hwmonitor-trojanized-to-deliver-multi-stage-stx-rat-via-dll-sideloading/

Report completeness: Medium

Threats:
Stxrat
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Supply_chain_technique

Victims:
Hwmonitor users, Software users

TTPs:
Tactics: 6
Technics: 13

IOCs:
Url: 2
File: 1
Hash: 6

Soft:
HWMonitor, Cloudflare R2

Algorithms:
md5, xor, zip, ror13

Win API:
BitBlt, Loadlibrary, VirtualAlloc, OpenWindowStationW, GetWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ подчеркивает распространение троянской версии HWMonitor через скомпрометированную загрузку, которая использует подгрузку DLL для выполнения вредоносной версии CRYPTBASE.DLL. Это ВПО, идентифицированное как STX RAT, применяет отраженную загрузку PE для выполнения в памяти, уклоняясь от обнаружения, и реализует методы антиотладки, одновременно позволяя осуществлять вредоносные действия, такие как создание сеансов удаленного рабочего стола и мониторинг ввода пользователя. Атака также соответствует тактикам компрометации цепочки поставок и методам обфускации, описанным в фреймворке MITRE ATT&CK.
-----

Недавний анализ выявил злоупотребление легитимным программным обеспечением HWMonitor, разработанным компанией CPUID, для распространения троянизированной версии через скомпрометированный метод загрузки. Злоумышленники предполагают, что вредоносный ZIP-архив размещен на конечной точке Cloudflare R2, маскируясь под легитимный пакет. После запуска атакующие применяют технику DLL sideloading, включая вредоносную версию CRYPTBASE.DLL в каталог программного обеспечения, которая затем получает приоритет над легитимной системной DLL Windows. Этот метод позволяет вредоносному программному обеспечению поддерживать нормальную функциональность приложения, одновременно инициируя многоступенчатую цепочку загрузки в памяти, ведущую к развертыванию STX RAT.

Первоначальное выполнение вредоносной DLL предназначено для загрузки легитимной cryptbase.dll с целью избежания обнаружения. Внутри функции DllMain вредоносное ПО создает два потока: один для выполнения вредоносных действий, а другой — для загрузки легитимной DLL, что позволяет обойти потенциальные проблемы блокировки загрузчика. Вредоносное ПО извлекает зашифрованные данные из собственных ресурсов и выделяет исполняемую память с правами RWX, используя техники отраженного загрузки PE для выполнения последующих полезной нагрузки исключительно в памяти, тем самым минимизируя следы криминалистический анализ.

Для сокрытия своей деятельности STX RAT динамически разрешает API с использованием хеш-рутины ROR13 в сочетании с обходом PEB, что устраняет явные зависимости от таблицы импорта и усложняет статический анализ. Кроме того, он включает легковесный механизм антиотладки, проверяя флаг BeingDebugged в блоке окружения процесса (PEB), что эффективно снижает видимость и позволяет вносить изменения в поток выполнения при обнаружении инструментов отладки.

STX RAT обладает возможностями, характерными для вредоносного ПО в стиле HVNC, что позволяет ему создавать интерактивные сеансы рабочего стола, захватывать активность экрана и контролировать ввод пользователя с использованием методов, согласованных с перечислением окон и обработкой данных из интерактивной оконной станции. Его связь через command-and-control (C2) осуществляется с использованием структурированных данных на основе JSON по Веб-протоколы, что повышает скрытность во время эксфильтрация данных.

Связываясь с фреймворком MITRE ATT&CK, эта кампания соответствует таким тактикам, как компрометация цепочки поставок через троянизированное ПО, подгрузка DLL для выполнения, отражательная загрузка для угроз на основе памяти и различные техники обфускации и антианализа. Усилия по обнаружению сосредоточены на выявлении этой многовекторной атаки с помощью передовых мер безопасности, которые отслеживают шаблоны загрузки DLL, поведение выделения памяти и активность C2. Такие проактивные меры помогают центрам безопасности (SOC) распознавать сложное поведение, связанное с этим вариантом ВПО.

#ParsedReport #CompletenessLow
14-05-2026

Device Code Phishing is an Evolution in Identity Takeover

https://www.proofpoint.com/us/blog/threat-insight/device-code-phishing-evolution-identity-takeover

Report completeness: Low

Actors/Campaigns:
Ta4903 (motivation: cyber_criminal)

Threats:
Device_code_phishing_technique
Eviltokens_tool
Bec_technique
Aitm_technique
Tycoon_2fa
Flowerstorm_tool
Clickfix_technique

Victims:
Small business, Government, Enterprise accounts, Microsoft 365 accounts, Organizations globally

Industry:
Government

Geo:
Spanish, German

ChatGPT TTPs:
do not use without manual check
T1078.004, T1528, T1550.001, T1566.001, T1566.002, T1586.002, T1588.002, T1656

IOCs:
Domain: 43

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с использованием кода устройства стал сложной угрозой, поскольку злоумышленники меняют тактику, чтобы эксплуатировать потоки авторизации устройств в таких платформах, как Microsoft 365, в основном используя фреймворк OAuth 2.0. Эти кампании часто применяют «прыжки при перехвате учетной записи», компрометируя первоначальную учетную запись эл. почты для распространения фишинговых ссылок, динамически генерируя коды устройств, что повышает эффективность атак и позволяет злоумышленникам захватывать токены аутентификации. Текущие злоумышленники, такие как TA4903, перешли от традиционных методов фишинга к этой технике, при этом кампании нацелены на глобальную аудиторию на нескольких языках.
-----

Фишинг с использованием кода устройства быстро стал значимой киберугрозой, развиваясь из традиционных методов фишинга учетных данных по мере того, как организации усиливают механизмы защиты от более распространенных техник, таких как фишинг с многофакторной аутентификацией (MFA). Эта эволюция отражает более широкий сдвиг в тактике среди злоумышленников, которые теперь используют потоки авторизации устройств, особенно нацеливаясь на платформы Microsoft 365 и, в меньшей степени, на учетные записи Google через фреймворк OAuth 2.0.

Недавний всплеск активности, связанной с фишингом с использованием кода устройства, коррелирует с публичным выпуском криминальных наборов инструментов и ростом предложений фишинга как услуга (PhaaS), таких как EvilTokens и Tycoon. Эти инструменты были разработаны для упрощения и масштабирования атак фишинга за счет упрощения создания и управления вредоносными приложениями, которые могут запрашивать доступ к учетным записям пользователей. В настоящее время кампании фишинга с использованием кода устройства в основном используют технику, известную как «прыжок при компрометации учетной записи», при которой злоумышленники осуществляют компрометацию начальной учетной записи электронной почты и используют ее для распространения ссылок фишинга на широкую аудиторию.

Заметный сдвиг в оперативном подходе этих атак заключается в динамической генерации кодов устройств в момент взаимодействия пользователя с фишинговой ссылкой, что позволяет обойти предыдущее ограничение, связанное с ограниченным временем действия кода. Это изменение повышает эффективность кампаний, позволяя злоумышленникам захватывать аутентификационные токены, когда пользователь вводит код на доверенных платформах, таких как легитимный портал аутентификации Microsoft.

Недавние кампании продемонстрировали различные методы заманивания жертв, включая электронные письма с вложениями и QR-коды, ведущие на фишинговые целевые страницы. На этих страницах обычно отображается уникальный код устройства, который пользователи должны ввести в интерфейс аутентификации устройств Microsoft. Успешное применение этих тактик может привести к серьезным последствиям, таким как захват учетных записей, кража конфиденциальной информации и компрометация в корпоративных средах.

Исследования выявили несколько вариантов наборов для фишинга с использованием кода устройства, которые демонстрируют сходство с существующими платформами PhaaS, а также обладают уникальными характеристиками, связанными с их операционной настройкой. Одним из примеров является актор TA4903, который перешел от традиционных методов компрометации деловой электронной почты к преимущественному использованию фишинга с кодом устройства, отправляя кажущиеся легитимными сообщения, которые обманом заставляют пользователей вводить свои учетные данные.

Более того, распространение фишинга с использованием кода устройства не ограничивается англоязычными целями, поскольку кампании наблюдались на различных языках, нацеленных на глобальную аудиторию. Эта адаптивность подчеркивает растущую эффективность и привлекательность метода среди киберпреступников.

#ParsedReport #CompletenessMedium
14-05-2026

Kazuar: Anatomy of a nation-state botnet

https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Gamaredon

Threats:
Kazuar
Lolbin_technique
Process_injection_technique
Amsi_bypass_technique
Shadowloader

Victims:
Government, Diplomatic sector, Ministries of foreign affairs, Embassies, Government offices, Defense departments, Defense related companies, Ukraine

Industry:
Military, Government

Geo:
Russia, Russian, Asia, Ukraine

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1008, T1010, T1016, T1027, T1029, T1041, T1049, T1055, have more...

IOCs:
File: 2
Hash: 4

Soft:
Microsoft Defender, Event Tracing for Windows, Outlook, Microsoft Defender for Endpoint, Twitter

Algorithms:
md5, aes, sha256

Functions:
TaskKill, taskIssue

Win API:
GetMailslotInfo

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kazuar, разработанный российским злоумышленником Secret Blizzard, представляет собой продвинутое модульное P2P ВПО для ботнета, предназначенное для шпионажа и нацеленное на государственные секторы Европы и Центральной Азии, а также на Украину. Его архитектура включает три основных модуля: Kernel, Bridge и Worker, при этом Kernel управляет операциями и техниками уклонения от безопасности. Kazuar использует различные методы доставки, включая загрузчик Pelmeni, и применяет эффективные протоколы связи через Google Protocol Buffers, что позволяет осуществлять обновления в реальном времени и скрытую эксфильтрацию данных.
-----

Kazuar — это сложное ВПО, разработанное российским злоумышленником Secret Blizzard, которое эволюционировало из стандартного бэкдора в модульный пиринговый (P2P) фреймворк ботнета, в первую очередь предназначенный для шпионажа. Это ВПО представляет собой значительное улучшение, направленное на обеспечение постоянного и скрытого доступа к целевым системам, особенно в правительственных и дипломатических секторах Европы и Центральной Азии, а также в Украине. Операционная структура Kazuar включает комбинацию различных модулей, что обеспечивает устойчивость и скрытность благодаря его дизайну.

Архитектура ВПО состоит из трёх основных типов модулей: Kernel, Bridge и Worker. Модуль Kernel служит основным координатором, выдаёт команды и ведёт журналы, а также управляет межмодульной коммуникацией. Он выполняет обширные проверки для обхода мер анализа и песочницы перед созданием рабочей среды со сложным набором конфигурации, включающим более 150 типов, которые определяют возможности коммуникации, выполнения, техник обхода безопасности, timing эксфильтрации данных и управления задачами.

Kazuar использует различные механизмы доставки, включая загрузчик Pelmeni, который связывает зашифрованный полезный груз с целевой средой, обеспечивая выполнение исключительно на предназначенном хосте. Управление конфигурацией осуществляется динамически через сервер C2, что позволяет обновлять его операционные параметры в реальном времени. Модуль Bridge обеспечивает внешнюю связь, выступая в качестве прокси между ядром (Kernel) и инфраструктурой C2, в то время как модули Worker выполняют назначенные задачи, такие как сбор данных и выполнение команд, агрегируя и подготавливая данные для эксфильтрации.

Взаимодействие между модулями структурировано и использует такие механизмы, как именованные каналы и Windows Messaging. Kazuar использует Google Protocol Buffers для эффективного обмена сообщениями и взаимодействия с C2, при этом поддерживаются настраиваемые методы транспорта, включая HTTP и Exchange Web Services. Такая модульная архитектура не только повышает оперативную скрытность, но и применяет техники запланированной эксфильтрации данных, маскируя вредоносную активность под нормальное сетевое поведение.

Общая цель Secret Blizzard — сбор разведывательной информации, с фокусом на системы, способные предоставить данные, релевантные для внешней политики России, особенно через сбор и эксфильтрацию конфиденциальных документов и коммуникаций. Детальный архитектурный дизайн Kazuar и адаптивные стратегии коммуникации иллюстрируют сложную и изощренную угрозу ВПО, отражающую растущие возможности акторов-государств в киберпространстве.

#ParsedReport #CompletenessLow
14-05-2026

Inside a Tor Backed Supply Chain Worm

https://www.cloudsek.com/blog/inside-a-tor-backed-supply-chain-worm

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Xmrig_miner
Hellcat
Shai-hulud

Victims:
Npm ecosystem, Linux developer systems, Ci cd environments, Software supply chain

ChatGPT TTPs:
do not use without manual check
T1027.009, T1036.005, T1059.006, T1078, T1083, T1090.003, T1195.001, T1496, T1497.001, T1543.002, have more...

IOCs:
File: 2

Soft:
systemd, Outlook, Claude, Travis, CircleCI, ledger-live, Linux

Wallets:
atomicwallet

Algorithms:
hmac, aes-cbc, pbkdf2, base64, sha256

Functions:
sendmsg

Win API:
lockfile

Languages:
javascript, rust, python