#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники всё чаще используют Стеганографию для доставки ВПО, как это было продемонстрировано в фишинговой кампании с использованием .NET стиллера PureLogs. Атака начинается с вредоносного архива TXZ, содержащего зашифрованный JavaScript, который запускает conhost.exe и вызывает скрипт PowerShell для расшифровки зашифрованных полезной нагрузки, включая загрузчик PawsRunner, который дополнительно скрывает свою полезную нагрузку внутри изображений PNG. PureLogs, конечная полезная нагрузка, работает асинхронно для сбора конфиденциальных данных и взаимодействует со своим сервером управления через HTTP-запросы, применяя шифрование для передачи данных.
-----

Злоумышленники всё чаще используют Стеганографию для доставки вредоносных загрузок, как это наблюдалось в недавней фишинг-кампании с .NET стиллером под названием PureLogs. Атака начинается с фишингового письма, содержащего архив TXZ, который заманивает потенциальных жертв сообщением на тему счёта-фактуры. После извлечения архив раскрывает файл JavaScript, наполненный функциями, которые включают вводящие в заблуждение комментарии на нескольких языках для сокрытия их намерений.

JavaScript выполняется путем объявления множества переменных окружения, заполненных бессмысленным текстом, после чего запускается conhost.exe в безголовом режиме для сокрытия своей активности. Вызывается скрытый PowerShell-скрипт, который извлекает переменные окружения и использует шифрование AES для расшифровки своей полезной нагрузки, за которой следует распаковка Gzip. Такая динамическая запуск ВПО позволяет избежать традиционных методов обнаружения путем загрузки .NET-сборки без использования файлов.

Загрузчик, идентифицированный как PawsRunner, дополнительно усиливает скрытность атаки, маскируя свой полезный груз внутри кажущихся безобидными PNG-изображений, которые используют Стеганографию для сокрытия данных в своей структуре. Загрузчик PawsRunner продемонстрировал прогресс в своих методах, эволюционировав от простого скачивания PE-файла до извлечения и выполнения зашифрованных полезной нагрузки, скрытых внутри файлов изображений.

Финальный полезный код PureLogs представляет собой стиллер, разработанный PureCoder, и является наиболее сложным в семействе Pure. Он использует .NET Reactor для защиты и Protobuf для сериализации при управлении конфигурацией. После запуска PureLogs извлекает критически важную информацию, включая данные сервера управления (C2) и настройки конфигурации. Его асинхронная работа позволяет эффективно выполнять различные действия, включая проверку доступности связи и сбор данных жертвы.

Для связи с C2 PureLogs использует HTTP-запросы вместо традиционных сокетов, с различными конечными точками для разных операций, такими как /ping и /plugin. Такая структура позволяет осуществлять систематическую эксфильтрацию данных, при которой собранная информация о жертве передается по зашифрованным каналам. Обработка данных следует схеме шифрования AES в сочетании со сжатием Gzip, защищая информацию от перехвата во время передачи.

#ParsedReport #CompletenessLow
14-05-2026

YouTube DMCA Phishing Infrastructure: Six Months Later

https://www.validin.com/blog/dmca_phishing_revisited/

Report completeness: Low

Actors/Campaigns:
Dmca_takedown

Threats:
Bitm_technique
Credential_harvesting_technique

Victims:
Youtube creators, Content creators

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.002, T1583.001, T1583.004

IOCs:
IP: 7
Domain: 222

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании фишинга через DMCA на YouTube демонстрируют эволюцию тактик, включая использование метода «Браузер в браузере» для имперсонации входа в Google. Инфраструктура, связанная с этими атаками, отличается высокой волатильностью с неактивными IP-адресами, однако согласованные отпечатки управления позволяют отслеживать злоумышленников. Основные фишинговые домены, такие как dmca-notification.info и blacklivesmattergood4.com, применяют сложные приманки и техники кластеризации, что подчеркивает устойчивый характер этих угроз по сбор учетных записей.
-----

Анализ фишинговых кампаний на YouTube, связанных с тематикой DMCA, выявляет эволюционирующие тактики и устойчивые угрозы. После первоначального расследования в ноябре 2025 года, в ходе которого были выявлены IP-адреса и простые хеш-индикаторы, связанные со схемой DMCA Takedown, последующий анализ в апреле 2026 года обнаружил альтернативный поток фишинга, использующий сложную технику Browser-in-the-Browser для имперсонации входа в Google. Этот новый метод представляет собой значительный шаг в сторону повышения сложности, подчеркивая необходимость как для пользователей, так и для аналитиков более пристального изучения потенциальных фишинговых попыток.

Изначальная кампания была разработана, чтобы обманом заставить создателей YouTube загрузить ВПО под предлогом решения проблем с жалобами на нарушение авторских прав. Инфраструктура, связанная с этой атакой, демонстрировала высокую изменчивость; IP-адреса, связанные с фишинговой активностью, быстро становились неактивными, что указывает на стратегию сокрытия атакующей инфраструктуры. Однако такие индикаторы, как уникальные отпечатки ответов C2 (управление), продолжали появляться, что позволяло отслеживать связанную инфраструктуру. Эта непрерывность в поведении подчеркивает потенциал для более широкой идентификации связанных злонамеренных активностей.

Заметные IP-адреса, связанные с инфраструктурой C2, демонстрировали согласованные паттерны, такие как самоподписанные сертификаты с единообразными соглашениями об именовании, что позволяло устанавливать дополнительные связи между разрозненными фишинговыми кампаниями. Конкретный хеш баннера, наблюдаемый на нескольких IP-адресах, дополнительно подтверждал эти связи, предоставляя надежный индикатор для исследователей, отслеживающих данный ландшафт угроз.

В последних кампаниях prominently фигурировали домены, такие как dmca-notification.info, которые служили основным фишинговым вектором, в то время как домен для сбора учетных записей — blacklivesmattergood4.com — функционировал как конечная точка для похищенных учетных данных. Путем обхода этих сайтов были выявлены связанные домены и инфраструктура, что указывает на то, как злоумышленники используют техники кластеризации для максимизации своего воздействия.

Фишинговая приманка, используемая кампаниями, включала специфические теги заголовков, которые были связаны с множеством других доменов в попытке избежать обнаружения. Постоянный этап разведки продолжает подчеркивать важность использования исторических данных DNS, хешей заголовков и наблюдаемых шаблонов перенаправления для связывания временных индикаторов с активными угрозами. Исследователи утверждают, что такой динамичный и проактивный сканирование доменов имеет критическое значение для выявления полного масштаба фишинговых инфраструктур, что способствует более быстрому реагированию на эти постоянные угрозы.

По сути, хотя технические детали этих фишинговых кампаний эволюционируют, фундаментальные тактики Имперсонации и сбора учетных записей остаются неизменными, что указывает на устойчивую угрозу, требующую бдительного мониторинга и адаптивных средств защиты.

#ParsedReport #CompletenessMedium
15-05-2026

SHADOW-EARTH-053 Uses Legacy Exchange Exploitation to Target Asia-Pacific Governments

https://blog.polyswarm.io/shadow-earth-053-uses-legacy-exchange-exploitation-to-target-asia-pacific-governments

Report completeness: Medium

Actors/Campaigns:
Shadow-earth-053 (motivation: cyber_espionage)
Shadow-earth-054 (motivation: cyber_espionage)
Winnti (motivation: cyber_espionage)

Threats:
Shadowpad
Godzilla_webshell
Nood_rat
Iox_tool
Wstunnel_tool
Ringq_tool
Vshell
Proxylogon_exploit
Dll_sideloading_technique
Anydesk_tool
Powerview_tool
Mimikatz_tool
Evil-createdump_tool
Sharp-smbexec_tool
Lsadump_tool
Credential_harvesting_technique
Supply_chain_technique

Victims:
Government, Defense contractors, Critical infrastructure, Transportation organizations, Technology consulting firms, Government it contractors, Ministry of defense suppliers, Strategic technology firms

Industry:
E-commerce, Government, Critical_infrastructure, Transport

Geo:
Malaysia, Thailand, Myanmar, China, India, Poland, Chinese, Sri lanka, Pakistan, Asian, Asia, Taiwan, Asia-pacific

CVEs:
CVE-2021-26857 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-26858 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.002, T1003.006, T1018, T1021.001, T1021.002, T1046, T1047, T1069.002, T1087.002, have more...

IOCs:
File: 14
Hash: 13

Soft:
Microsoft Exchange, Microsoft Exchange Server, Active Directory, Windows Registry

Win API:
VirtualAlloc, EnumDesktopsA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания кибершпионажа SHADOW-EARTH-053, связанная с злоумышленником, лояльным Китаю, нацелена на правительственные учреждения и объекты критической инфраструктуры в регионе Азиатско-Тихоокеанского региона, эксплуатируя уязвимости устаревших систем Microsoft Exchange, в частности через цепочку эксплойтов ProxyLogon. Атакующие используют ВПО ShadowPad, подгрузку DLL (DLL sideloading) и веб-шеллы GODZILLA для закрепления и кражи учетных данных с помощью таких инструментов, как Mimikatz, одновременно проводя обширную разведку для извлечения конфиденциальной информации. Кампания демонстрирует риски, связанные с незакрытыми системами Microsoft Exchange, а также показывает общие методологии и цели атак с группой SHADOW-EARTH-054.
-----

Кампания кибершпионажа SHADOW-EARTH-053 связана с злоумышленником, лояльным Китаю.

Целями являются правительственные учреждения, оборонные подрядчики и критическая инфраструктура в регионе Азиатско-Тихоокеанского региона.

Кампания использует неподпатченные уязвимости в Microsoft Exchange и IIS.

Ключевые методы эксплуатации включают уязвимости устаревших версий Microsoft Exchange, в частности цепочку эксплойтов ProxyLogon, которая включает CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065.

Злоумышленники развернули ВПО ShadowPad с использованием техник подгрузки DLL.

Веб-шеллы GODZILLA использовались для поддержания постоянного доступа.

Методы кражи учетных данных включали такие инструменты, как Mimikatz и Evil-CreateDump, которые часто выполнялись через процессы-рабочие IIS.

Они провели обширную разведку, картируя внутренние инфраструктуры и извлекая конфиденциальные электронные письма.

Для извлечения данных почтовых ящиков использовались модифицированные API Exchange.

Скрытая связь использовала туннельные фреймворки, такие как IOX Proxy и GOST, для обеспечения операционной избыточности.

В рамках кампании была зафиксирована высокая концентрация усилий, направленных против военных подрядчиков и государственных поставщиков технологий в Южной и Юго-Восточной Азии, а также жертвы, расположенной в Польше.

Существует операционное пересечение между SHADOW-EARTH-053 и другой группой, SHADOW-EARTH-054.

Устаревшие системы Microsoft Exchange остаются значительной поверхностью атаки из-за медленных циклов обновления.

Скрытые оперативные тактики подчеркивают важность методов поведенческого обнаружения по сравнению с традиционными сигнатурными методами.

Организациям рекомендуется сосредоточиться на комплексной видимости, оперативном управлении исправлениями и проактивном поиске угроз для смягчения постоянных угроз.

#ParsedReport #CompletenessHigh
15-05-2026

The Gentlemen Ransomware Group — Leak Analysis

https://ransom-isac.org/blog/the-gentlemen-leak-analysis/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated, cyber_criminal)
Zeta88
Protagor
Water_hydra
Dragonforce
Shadowbyt3
Chaos_raas
Hastalamuerte
Armcorp

Threats:
Gentlemen_ransomware
Blackbasta
G-bot
Zeropulse_tool
Netexec_tool
Crackmapexec_tool
Freerdp_tool
Openconnect_tool
Rclone_tool
Mimikatz_tool
Credential_dumping_technique
Chisel_tool
Bloodhound_tool
Psexec_tool
Password_spray_technique
Ntlmrelayx_tool
Kslkatz_tool
Ksldump_tool
Dumpbrowsersecrets_tool
Qtox_tool
Fobosloader
Phemedrone
Htmlsmug_tool
Smuggling_technique
Clickfix_technique
Msi-dropper_tool
Polyglot_technique
Smtpsmug_tool
Uriurl_tool
Selfdelete_tool
Pydropper_tool
Bitmbmitb_tool
Bitm_technique
Js-smuggler
Xaitax_tool
Edrstartuphinder_tool
Nightmare_eclipse_tool
Redsun_tool
Titanis_tool
Regpwn_tool
Manspider_tool
Certihound_tool
Powerzure_tool
Chisel-ng_tool
Fobos_tool
Proxychains_tool
Nsocks_tool
Passthehash_technique
Credential_harvesting_technique
Qilin_ransomware
Clop
Gunra
Hyflock
Anubis
Bobthesmuggler_tool
Xenorat
Xenallpasswordpro_tool
Printerbug_tool
Petitpotam_vuln
Lockbit
Emotet
Deadbolt
Xenarmor_tool
Conti
Devman
Embargo_ransomware
Medusa_ransomware
Spear-phishing_technique
Shadow_copies_delete_technique
Vssadmin_tool
Aitm_technique
Winrm_tool
Robocopy_tool
Lolbin_technique

Victims:
Banking, Financial services, Cement, Ceramics, Investment, Telecommunications, Shipping and logistics, Government, Mining, Education, have more...

Industry:
Healthcare, Logistic, E-commerce, Financial, Transport, Education, Aerospace, Telco, Government

Geo:
Taiwan, Koreans, Poland, Usa, China, Korea, Indian, Turkish, Brazilian, Asia, Thailand, African, Turkey, Ghana, Chinese, Singapore, Madagascar, South africa, Russia, Spanish, Russian, Asian

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)


TTPs:
Tactics: 12
Technics: 38

IOCs:
File: 43
Coin: 3
IP: 12
Email: 1
Path: 5
Hash: 2
Registry: 1
Command: 4

Soft:
Obsidian, Velociraptor, Claude, psexec, Tor Browser, ec / wmi, ec: 5, w, ciraptor 14 -, Browser - - O, WinSCP, have more...

Wallets:
guarda_wallet, exodus_wallet

Crypto:
bitcoin

Algorithms:
sha256, sha1, md5, zip

Functions:
VoIP, Get-PSDrive, Remove-Item

Win Services:
ent, CVE-20, WebClient

Languages:
powershell, rust, python

Platforms:
cross-platform

YARA: Found

Links:
have more...
https://github.com/Ransom-ISAC-Org/LOCKSTAR/tree/main/The%20Gentlemen%20Leaks

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогательского ПО Gentlemen, русскоязычная операция RaaS, столкнулась с утечкой в мае 2026 года, которая раскрыла их внутренние коммуникации и TTPs, показав эволюцию от базовой эксплуатации VPN к продвинутым техникам фишинга и управления командами за шесть месяцев. Их основной метод первоначального доступа заключался в использовании уязвимостей Fortinet (CVE-2024-55591) и скомпрометированных учетных данных, тогда как перемещение внутри компании осуществлялось через эксплуатацию SMB. Утечка коммуникаций также подчеркивала стратегическое планирование группы по высокоценным целям и использование ими продвинутых инструментов для сбора учетных записей, намекая на операционную связь с более ранними группами вымогательского ПО, такими как Black Basta.
-----

Группа вымогателей Gentlemen — это русскоязычная операция в рамках Программы-вымогатель как услуга (RaaS).

Значительный инцидент безопасности в мае 2026 года привел к утечке внутренних коммуникаций и операционных данных группы.

Утечка данных произошла из-за компрометации на стороне хостинг-провайдера 4VPS.

Утечка данных включала их тактики, техники и процедуры (TTPs), охватывающие операции с ноября 2025 года по апрель 2026 года.

В число их жертв входило 66 высокопоставленных целей, таких как финансовые учреждения и производственные компании, из более чем 400 общих жертв.

Первоначальный доступ был в основном получен через уязвимости обхода аутентификации Fortinet (CVE-2024-55591).

Они использовали комбинацию стратегий повторного использования учётных данных и базовой эксплуатации уязвимостей FortiGate VPN.

Перемещение внутри компании, сосредоточенное на перечислении и эксплуатации SMB с использованием таких инструментов, как nxc (NetExec).

Учетные данные из скомпрометированных конфигураций Fortigate часто содержали учетные данные привязки LDAP в открытом виде, что позволяло осуществлять несанкционированный доступ к Active Directory.

Группа использовала различные инструменты для фишинга, сбора учетных записей и попыток входа, включая передовые приложения для сбора учетных записей.

Они демонстрировали операционную преемственность с группами, такими как Black Basta, что указывает на пересечение кадров.

По сообщениям, ИИ использовался для улучшения процессов переговоров и стратегического планирования против конкурентных операций RaaS.

SOCKS-проксирование использовалось для сетевого пивотинга, что позволяло осуществлять скрытые латеральные перемещения и эксфильтрацию данных.

Их поведение при развертывании включало фазу перед шифрованием, которая использовала скрипты уничтожения для отключения резервных копий перед выполнением вредоносных кодов вымогателей.

Устранение известных уязвимостей и строгое обеспечение аутентификации являются критическими мерами защиты против их тактик.

#ParsedReport #CompletenessMedium
14-05-2026

Compromised node-ipc on npm: Credential Stealer via DNS Exfiltration

https://safedep.io/malicious-node-ipc-npm-compromise/

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Dns_tunneling_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Software development, Cloud services, Artificial intelligence development

Geo:
Belarusian, Russian

CVEs:
CVE-2022-23812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- node-ipc_project node-ipc (<10.1.3, *)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 11
Hash: 5
Domain: 2
Email: 1
IP: 1

Soft:
Kubernetes, Linux, macOS, claude, Node.js, curl, TanStack, OpenSearch

Algorithms:
base64, sha256, hmac

Functions:
require

Languages:
javascript

Links:
have more...
https://github.com/safedep/pmg
https://github.com/RIAEvangelist/node-ipc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет npm node-ipc был скомпрометирован благодаря зашифрованной полезной нагрузке, внедренной скомпрометированным сопровождающим, что позволило похищать конфиденциальную информацию, такую как SSH-ключи и учетные данные облачных сервисов, по множеству путей файлов в Linux и macOS. Атакующий использовал эксфильтрацию через DNS с помощью архивов gzipped tar, отправляемых через DNS TXT-запросы, опираясь на структуру пакета для немедленного выполнения полезной нагрузки и применяя различные методы кодирования для сокрытия своей деятельности. ВПО поддерживает закрепление с помощью переменной окружения `__ntw` и взаимодействует с поддельной доменной областью C2.
-----

Недавняя компрометация пакета npm node-ipc, затронувшая версии 9.1.6, 9.2.3 и 12.0.1, заключалась во внедрении 80-килобайтного зашифрованного полезного груза учетной записью компрометированного разработчика, atiertant. Эта вредоносная нагрузка предназначена для кражи широкого спектра конфиденциальной информации, включая SSH-ключи, учетные данные облачных провайдеров и конфигурации, связанные с инструментами для написания кода с использованием ИИ, и прочее, что в сумме составляет более 100 целевых путей к файлам на системах Linux и macOS. Атакующий использовал DNS-экфильтрацию для отправки украденных данных, инкапсулированных в архивы gzipped tar, через DNS TXT-запросы, что помогает избежать обнаружения, поскольку DNS-трафик менее тщательно проверяется системами безопасности.

Пакет node-ipc сам по себе широко используется для межпроцессного взаимодействия в Node.js, а три скомпрометированные версии были опубликованы вскоре после предыдущего инцидента с протестным ПО, связанного с оригинальным сопровождающим. Атака использовала изменения в структуре пакета, где полезная нагрузка заменила легитимный код в node-ipc.cjs, позволяя ей выполняться немедленно при вызове библиотеки без каких-либо хуков установки. Полезная нагрузка замаскирована с использованием стандартных методов, что затрудняет анализ без методов деобфускации. Заметные особенности ВПО включают эксфильтрацию данных с HMAC-подписью, кодированием base64 и разбиением на фрагменты, что объединяет различные механизмы кодирования для сокрытия операций и индикаторов компрометации (IoC). В частности, конфиденциальные строки, такие как параметры конфигурации, кодируются с использованием пользовательской схемы кодирования base-16 для избежания обнаружения.

Механизм выполнения включает стратегию закрепления, которая позволяет вредоносному ПО продолжать работу после завершения работы родительского приложения Node.js. Используя переменную окружения `__ntw`, вредоносное ПО способно поддерживать свою работу, предоставляя достаточно времени для кражи данных и эксфильтрации. Домен управления (C2), используемый для передачи данных, имитирует инфраструктуру Azure Static Web Apps, что позволяет ему сливаться с легитимными службами.

Атака вызывает серьезные опасения относительно безопасности систем управления пакетами с открытым исходным кодом, подчеркивая необходимость для разработчиков ротации учетных данных, если они установили скомпрометированные версии, а также внедрения более строгих практик управления пакетами, таких как привязка к известным безопасным версиям или проведение тщательных аудитов зависимостей. Этот инцидент выявляет уязвимости, присущие сопровождению пакетов, особенно в отношении контроля учетных записей и потенциального широкого воздействия на популярные библиотеки в экосистеме разработчиков.

#ParsedReport #CompletenessHigh
13-05-2026

crpx0 Ransomware Operations Double Extortion, Crypto Theft, and Network Footprint

https://www.aryaka.com/docs/reports/crpx0-ransomware-operations-report.pdf

Report completeness: High

Threats:
Crpx0
Qtox_tool
Spear-phishing_technique

Victims:
Corporate organizations, Government organizations, Cryptocurrency users

Industry:
Government, Aerospace

Geo:
India, Russian, Chinese

TTPs:
Tactics: 9
Technics: 24

IOCs:
File: 52
Url: 10
Command: 1
Domain: 5
Email: 2
Hash: 1

Soft:
MacOS, Linux, curl, Telegram, PostgreSQL

Wallets:
tron

Crypto:
bitcoin, ethereum, dogecoin, litecoin, solana, ripple

Algorithms:
sha256, aes, zip, base64

Functions:
set, GET_IDENTIFIER

Win Services:
WebClient

Languages:
python, php, powershell

Platforms:
cross-platform, x64, apple, arm, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания crpx0 нацелена на Windows и macOS с планами будущей совместимости с Linux, используя социальную инженерию через поддельные предложения OnlyFans для доставки вредоносного ZIP-файла. После запуска она создает папку и использует многоступенчатый загрузчик, применяя PowerShell и Python для скрытой доставки полезной нагрузки, одновременно обеспечивая закрепление после перезагрузок. ВПО осуществляет кражу криптовалюты путем перехвата буфера обмена и может эволюционировать в шифровальщик, шифруя файлы и требуя выкуп, а также собирая системные данные для целевых атак.
-----

Сложная вредоносная кампания, идентифицированная как crpx0, осуществляет многоплатформенную атаку, в первую очередь нацеленную на Windows и macOS, с возможной будущей поддержкой Linux. Злоумышленники используют тактики социальной инженерии, заманивая пользователей обманными предложениями, связанными с аккаунтами OnlyFans, что служит начальным вектором заражения через вредоносный ZIP-архив, содержащий замаскированный ярлык. При выполнении этот ярлык запускает команды для создания папки для полезной нагрузки и загружает VBScript, который играет ключевую роль в развитии атаки.

ВПО использует многоэтапную систему загрузчика, которая включает использование Python для загрузки, установки и выполнения различных вредоносных компонентов скрытным образом. Примечательно, что ВПО использует PowerShell для загрузки дополнительных компонентов, оставаясь при этом скрытым от пользователя. Оно включает механизмы закрепления как в средах Windows, так и macOS, обеспечивая возможность возврата ВПО после перезагрузок системы путем создания записей автозагрузки или файлов LaunchAgent.

После запуска вредоносное ПО передает данные на свой сервер управления (C2), включая информацию об аппаратном обеспечении и системе, что позволяет злоумышленникам отслеживать зараженные машины. Его функциональные возможности включают перехват буфера обмена, направленный на кражу криптовалюты, при котором вредоносное ПО незаметно заменяет скопированные адреса кошельков на адреса, контролируемые злоумышленниками. Кроме того, вредоносное ПО может проводить операцию сбора seed-фраз для получения доступа к криптовалютным кошелькам жертв.

Угроза перерастает в программное обеспечение-вымогатель, способное шифровать файлы пользователей и выводить сообщения с требованием выкупа на нескольких языках. Эта стратегия двойного вымогательства не только угрожает шифрованием файлов, но и ведет к потенциальной публичной разглашении украденных данных, если выкуп не будет выплачен. Злоумышленники поддерживают портал утечек для жертв, что дополнительно подчеркивает организованную и систематическую природу кампании.

Целями шифрования являются широкий набор расширений файлов, что позволяет нанести значительный ущерб данным, при этом критические системные каталоги остаются нетронутыми, чтобы компьютер оставался работоспособным. Вся инфраструктура ВПО построена таким образом, чтобы адаптировать свои возможности в зависимости от среды и поведения пользователя, что способствует модульному подходу к эксплуатации.

Помимо кражи криптовалюты и сбора данных, вредоносное ПО обладает возможностью обновлять себя до более новых версий, что обеспечивает его эффективность против средств обнаружения и противодействия. Его архитектура и операционный охват свидетельствуют о высоком уровне сложности, подчеркивая необходимость применения надежных мер безопасности в личных и корпоративных средах для снижения рисков, связанных с подобными киберугрозами.

#ParsedReport #CompletenessHigh
14-05-2026

Amatera Stealer 4.0.2 Beta: What's New in This Variant

https://www.esentire.com/blog/amatera-stealer-4-0-2-beta-whats-new-in-this-variant

Report completeness: High

Threats:
Amatera_stealer
Acridrain
Hellsgate_technique
Freshycalls_technique
Clickfix_technique
Pe_injection_technique
Antidebugging_technique
Sparrow

Victims:
Finance

Industry:
Financial

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1027.007, T1041, T1057, T1059.001, T1071.001, T1082, T1083, have more...

IOCs:
Hash: 3
File: 20
Registry: 1
BrowserExtension: 12
Coin: 2
Path: 2
Url: 1
Domain: 2
Command: 3
IP: 1

Soft:
Chromium, Discord, Bitwarden, 1Password, NordPass, QEMU, VirtualBox, Active Directory, SRWare Iron, Comodo Dragon, have more...

Wallets:
electrum, swash, tokenpocket, harmony_wallet, finnie, core_wallet, exodus_wallet, multidoge, mymonero, mycrypto, have more...

Crypto:
ripple, tezos, vechain, zilliqa, litecoin, dogecoin, bitcoin, monero, binance, ethereum, have more...

Algorithms:
aes-256-cbc, zip, xor, sha256, ecdh, chacha20-poly1305, chacha20, base64

Functions:
DllMain

Win API:
ecompress it, VirtualAlloc, VirtualProtect, ExitProcess, VirtualFree, LoadLibraryA, GetModuleHandleA, GetProcAddress, AcquireCredentialsHandleA, NtQueryInformationProcess, have more...

Languages:
powershell, python

Platforms:
x86

YARA: Found

Links:
https://github.com/eSentire/iocs/raw/refs/heads/main/Amatera/Amatera-4.0.2.zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amatera Stealer, вариант стиллера информации на C++, являющийся производной от ACR Stealer, значительно эволюционировал, особенно в своей версии 4.0.2 Beta, улучшив методы обхода защиты, функциональность и эксфильтрацию данных. Ключевые особенности включают шифрование строк XTEA, улучшенные меры антиотладки, сложную коммуникацию C2 с использованием обмена ключами ECDH и шифрования ChaCha20-Poly1305, а также широкие возможности сбора данных, нацеленные на множество файлов браузеров и менеджеров паролей. Вредоносное ПО использует продвинутые техники разрешения вызовов, проверки на наличие сред песочницы и отладчиков, а также включает методы разрешения API для обхода обнаружения, сохраняя статус постоянной угрозы в сфере кибербезопасности.
-----

В конце апреля 2026 года аналитики перехватили попытку доставки Amatera Stealer, варианта ранее известного ACR (AcridRain) Stealer, в среде финансового сектора. Amatera Stealer представляет собой сложный стиллер на базе C++ и присутствует на рынке как минимум с 2018 года, претерпевая непрерывную эволюцию. Эта недавняя версия 4.0.2 Beta вводит множество критических улучшений, сосредоточенных на возможностях обхода, функциональности и эксфильтрации данных.

Одной из ключевых особенностей является реализация шифрования строк с помощью XTEA, при этом указатели на расшифрованные строки кэшируются в глобальных переменных. Номера системных сервисов (SysCall SSN) разрешаются с использованием комбинации техник FreshyCalls и Hell's Gate, что повышает способность ВПО избегать обнаружения и позволяет осуществлять динамическое разрешение системных вызовов. Возможности антиотладки были усилены, добавлены дополнительные меры геофенсинга, завершающие выполнение на системах с продуктами Kaspersky или использующих украинские раскладки клавиатуры.

Связь по каналу Command and Control (C2) была изменена с базового AES-256-CBC на использование обмена ключами Elliptic Curve Diffie-Hellman (ECDH) с применением NIST P-256 в сочетании с шифрованием ChaCha20-Poly1305. Это существенное изменение усложняет дешифровку трафика, требуя перехвата Private Keys или общих секретов из памяти. Атакующая цепочка инициируется через ClickFix, после чего выполняются команды PowerShell, загружающие shellcode, с последующим выполнением дешифровки и исполнения в памяти.

Возможности сбора данных Amatera обширны: теперь они охватывают 65 целей в браузерах, включая малоизвестные браузеры, а количество целей для десктопных кошельков увеличено с 41 до 137. Вредоносное ПО целенаправленно атакует файлы менеджеров паролей из различных приложений и имеет обновленный модуль сбора файлов, способный искать в папке «Загрузки» жертвы конфиденциальную информацию, такую как семенные фразы для криптовалюты и Закрытые ключи.

Структура полезной нагрузки включает сложное блобовое содержимое, содержащее ключи дешифрования, которое удаляет заголовки PE после выполнения для предотвращения статического анализа. В частности, вредоносное ПО включает надежные проверки для выявления сред отладки и песочницы, завершая работу или изменяя свое поведение при обнаружении таких условий. Это включает проверку количества установленных программ и активных процессов для уклонения от виртуализованных сред.

Кроме того, шеллкод использует инновационные техники разрешения API для обхода мер безопасности путем хеширования имен экспортов и проверки их на наличие известных уязвимостей. Внедрены новые проверки на эмуляторы для выявления виртуальных машин и распространенных сред песочницы, что повышает его выживаемость в условиях работы средств обнаружения.

Закрепление и эволюционирующие возможности Amatera Stealer подчеркивают постоянные вызовы для специалистов по кибербезопасности, акцентируя необходимость активного взаимодействия и механизмов защиты против эволюционирующих угроз в ландшафте ВПО.

#ParsedReport #CompletenessMedium
14-05-2026

The Supply Chain Strikes Again: Credential-Stealing Malware Hidden in node-ipc

https://www.upwind.io/feed/malicious-node-ipc-npm-package-credential-theft

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Software development, Cloud services, Ci cd, Kubernetes, Artificial intelligence tooling

Geo:
French

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Domain: 2
IP: 1
Email: 1
Hash: 1

Soft:
Kubernetes, Node.js, Alibaba Cloud, Docker, Claude

Algorithms:
gzip, xor, md5, sha256, hmac

Functions:
main