#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amatera Stealer, вариант стиллера информации на C++, являющийся производной от ACR Stealer, значительно эволюционировал, особенно в своей версии 4.0.2 Beta, улучшив методы обхода защиты, функциональность и эксфильтрацию данных. Ключевые особенности включают шифрование строк XTEA, улучшенные меры антиотладки, сложную коммуникацию C2 с использованием обмена ключами ECDH и шифрования ChaCha20-Poly1305, а также широкие возможности сбора данных, нацеленные на множество файлов браузеров и менеджеров паролей. Вредоносное ПО использует продвинутые техники разрешения вызовов, проверки на наличие сред песочницы и отладчиков, а также включает методы разрешения API для обхода обнаружения, сохраняя статус постоянной угрозы в сфере кибербезопасности.
-----

В конце апреля 2026 года аналитики перехватили попытку доставки Amatera Stealer, варианта ранее известного ACR (AcridRain) Stealer, в среде финансового сектора. Amatera Stealer представляет собой сложный стиллер на базе C++ и присутствует на рынке как минимум с 2018 года, претерпевая непрерывную эволюцию. Эта недавняя версия 4.0.2 Beta вводит множество критических улучшений, сосредоточенных на возможностях обхода, функциональности и эксфильтрации данных.

Одной из ключевых особенностей является реализация шифрования строк с помощью XTEA, при этом указатели на расшифрованные строки кэшируются в глобальных переменных. Номера системных сервисов (SysCall SSN) разрешаются с использованием комбинации техник FreshyCalls и Hell's Gate, что повышает способность ВПО избегать обнаружения и позволяет осуществлять динамическое разрешение системных вызовов. Возможности антиотладки были усилены, добавлены дополнительные меры геофенсинга, завершающие выполнение на системах с продуктами Kaspersky или использующих украинские раскладки клавиатуры.

Связь по каналу Command and Control (C2) была изменена с базового AES-256-CBC на использование обмена ключами Elliptic Curve Diffie-Hellman (ECDH) с применением NIST P-256 в сочетании с шифрованием ChaCha20-Poly1305. Это существенное изменение усложняет дешифровку трафика, требуя перехвата Private Keys или общих секретов из памяти. Атакующая цепочка инициируется через ClickFix, после чего выполняются команды PowerShell, загружающие shellcode, с последующим выполнением дешифровки и исполнения в памяти.

Возможности сбора данных Amatera обширны: теперь они охватывают 65 целей в браузерах, включая малоизвестные браузеры, а количество целей для десктопных кошельков увеличено с 41 до 137. Вредоносное ПО целенаправленно атакует файлы менеджеров паролей из различных приложений и имеет обновленный модуль сбора файлов, способный искать в папке «Загрузки» жертвы конфиденциальную информацию, такую как семенные фразы для криптовалюты и Закрытые ключи.

Структура полезной нагрузки включает сложное блобовое содержимое, содержащее ключи дешифрования, которое удаляет заголовки PE после выполнения для предотвращения статического анализа. В частности, вредоносное ПО включает надежные проверки для выявления сред отладки и песочницы, завершая работу или изменяя свое поведение при обнаружении таких условий. Это включает проверку количества установленных программ и активных процессов для уклонения от виртуализованных сред.

Кроме того, шеллкод использует инновационные техники разрешения API для обхода мер безопасности путем хеширования имен экспортов и проверки их на наличие известных уязвимостей. Внедрены новые проверки на эмуляторы для выявления виртуальных машин и распространенных сред песочницы, что повышает его выживаемость в условиях работы средств обнаружения.

Закрепление и эволюционирующие возможности Amatera Stealer подчеркивают постоянные вызовы для специалистов по кибербезопасности, акцентируя необходимость активного взаимодействия и механизмов защиты против эволюционирующих угроз в ландшафте ВПО.

#ParsedReport #CompletenessMedium
14-05-2026

The Supply Chain Strikes Again: Credential-Stealing Malware Hidden in node-ipc

https://www.upwind.io/feed/malicious-node-ipc-npm-package-credential-theft

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Software development, Cloud services, Ci cd, Kubernetes, Artificial intelligence tooling

Geo:
French

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Domain: 2
IP: 1
Email: 1
Hash: 1

Soft:
Kubernetes, Node.js, Alibaba Cloud, Docker, Claude

Algorithms:
gzip, xor, md5, sha256, hmac

Functions:
main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
14 мая 2026 года злоумышленники использовали аккаунт легитимного разработчика для публикации вредоносных версий пакета npm node-ipc, внедрив в них payload для сбора учетных записей, который активировался молча через команду require('node-ipc'). ВПО действовало скрытно, собирая конфиденциальные учетные данные, связанные с средами разработки и облачными сервисами, и осуществляло эксфильтрацию данных через DNS TXT-запросы для уклонения от обнаружения. Этот инцидент ознаменовал значительную эволюцию угроз цепочки поставок программного обеспечения, продемонстрировав передовые техники сбора учетных записей без срабатывания тревог в ходе нормальной работы приложения.
-----

14 мая 2026 года злоумышленники опубликовали вредоносные версии широко используемого пакета npm node-ipc через аккаунт легитимного сопровождающего, внедрив в пакет, который ранее собирал около 3,35 миллиона загрузок в месяц, сложный payload для кражи учетных данных. ВПО было скрыто внутри CommonJS-сборки, а именно в файле node-ipc.cjs, и активировалось незаметно, когда приложения загружали пакет с помощью команды require('node-ipc'). Такая стратегическая конструкция обеспечивала сбор чувствительных учетных данных, связанных с средами разработки, конвейерами CI/CD и Облачными сервисами, не мешая нормальной работе приложения, что позволяло ему функционировать скрытно.

Атака демонстрирует значительную эволюцию в угрозах цепочки поставок программного обеспечения, переходя от базовой доставки ВПО к более продвинутым и осведомленным об инфраструктуре методам сбора учетных записей. Идентификация инфраструктуры управления атакой подтвердила ее функционирование, при этом опасный домен azurestaticprovider.net был зарегистрирован в тот же день, когда были опубликованы вредоносные пакеты. Анализ показал, что кампания произошла из-за скомпрометированной учетной записи эл. почты бывшего сопровождающего, что позволило злоумышленникам выполнить несанкционированную имперсонацию без прямого взлома систем npm. Вредоносная нагрузка была собрана локально и распространена под видом легитимных обновлений для node-ipc, который не менялся почти 20 месяцев до инцидента.

При выполнении вредоносное ПО нацеливалось на конфиденциальные API в среде Node.js в многоэтапном процессе. Сначала оно выполнялось скрытно, не вызывая тревог, что позволяло ему собирать учетные данные и секреты, распределенные по нескольким местам, включая облачные идентификаторы и инструменты разработчика. Для эксфильтрации этих украденных данных оно инновационно использовало DNS TXT-запросы вместо традиционных HTTP-методов. Этот выбор способа передачи данных обеспечил скрытный канал, поскольку организации часто игнорируют DNS-трафик в своем мониторинге безопасности, который обычно больше сосредоточен на HTTP-запросах.

Дизайн вредоносного ПО включал функциональность для создания отсоединённого дочернего процесса, что позволяло ему закрепляться независимо от родительского приложения Node.js. Этот механизм закрепления дополнительно усложняет усилия по обнаружению. Злоумышленники воспользовались доверием, установленным для пакета node-ipc, сохраняя нормальную функциональность, в то время как вредоносная активность происходила скрыто в фоновом режиме, тем самым значительно снижая вероятность немедленного обнаружения потенциальными жертвами.

Кампания установила новый операционный базис для атак на цепочку поставок, продемонстрировав способность злоумышленников использовать доверенные программные инструменты для сложных, целевых операций сбора учетных записей без вызова видимых индикаторов компрометации. Это событие подчеркивает важность повышенной бдительности и расширенного мониторинга для выявления аномалий в процессах node.js, необычной активности DNS и несанкционированного доступа к конфиденциальным учетным данным.

#ParsedReport #CompletenessHigh
13-05-2026

Phantom Stealer Analysis: Inside the Two-Layer Attack Chain Hidden Behind a Windows DLL

https://darkatlas.io/blog/phantom-stealer-analysis-inside-the-two-layer-attack-chain-hidden-behind-a-windows-dll

Report completeness: High

Threats:
Phantom_stealer
Dll_hijacking_technique
Process_hollowing_technique
Costura_tool
Heavens_gate_technique
Dllsearchorder_hijacking_technique

Victims:
Cryptocurrency, Financial services, Technology, Email services, Communications

Industry:
Financial

Geo:
Japanese

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 24
Domain: 3
Path: 3
Email: 2
Coin: 5
Command: 3
Url: 1
Registry: 1
Hash: 3

Soft:
Chrome, Telegram, Discord, VirtualBox, TelegramAPI, WinScp, twitter, viber, gmail, protonmail, have more...

Wallets:
coinbase, electrum, atomicwallet, atomicdex, wassabi, electron_cash, coinomi, tronlink, metamask, jaxx, have more...

Crypto:
bitcoin, monero, litecoin, binance, ethereum, dogecoin, mincoin, yacoin, starcoin, solana, have more...

Algorithms:
xor, sha256, zip, base64, aes-gcm, aes-256-cbc, bcrypt, md5, rc4

Functions:
COM, SetWindowsHookEx, GetKeyString

Win API:
PdhAddCounterA, CopyFileW, RegCreateKeyExW, RegSetValueExW, RegCloseKey, PdhGetCounterInfoA

Languages:
java, swift, php

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom Stealer — это сложный стиллер, использующий вредоносный загрузчик pdh.dll для скрытого проникновения через подмену DLL, внедряя свой полезный груз в приостановленный процесс Microsoft с помощью внедрения в пустой процесс. Он обладает передовыми техниками уклонения, включая компиляцию NativeAOT, и проводит обширные проверки для предотвращения анализа, чтобы избежать обнаружения. ВПО извлекает данные из более чем 70 браузеров и криптовалютных кошельков, управляет клиппером для манипуляции транзакциями, фиксирует нажатия клавиш и обеспечивает закрепление путем модификации ключей реестра, демонстрируя свою серьезную угрозу и возможности эксплуатации.
-----

Phantom Stealer — это сложный двухуровневый Windows infostealer, предназначенный для проникновения в системы скрытно и избегания обнаружения. Атакующая цепочка начинается с вредоносного загрузчика pdh.dll, выполняющего маскировку под легитимную библиотеку Windows Performance Data Helper. После выполнения этот загрузчик осуществляет DLL hijacking целевых приложений для запуска встроенного полезного груза, который представляет собой коммерческий infostealer с богатым функционалом, внедряемый в приостановленный процесс Microsoft (jsc.exe) с помощью Process Hollowing.

Архитектура внешнего загрузчика использует компиляцию NativeAOT, которая удаляет общие артефакты .NET, повышая его возможности по уклонению от традиционных средств обнаружения. После развертывания Phantom Stealer выполняет агрессивные проверки на антианализ более чем по 80 идентификаторам, включая профили песочницы и исследователей, чтобы убедиться, что он работает в легитимной среде. Если эти проверки не проходят, ВПО самоуничтожается до того, как начнутся какие-либо вредоносные действия.

После активации полезной нагрузки Phantom Stealer выполняет различные методы эксфильтрации данных, нацеленные на широкий спектр источников. Он собирает учетные данные из более чем 70 браузеров и 30 настольных криптовалютных кошельков, а также перехватывает пароли Wi-Fi, скриншоты и содержимое буфера обмена, одновременно развертывая криптовалютный клиппер для манипуляции транзакциями. Кроме того, этот infostealer может захватывать нажатия клавиш, проявляя особый интерес к коммуникациям и финансовым данным, тем самым повышая уровень угрозы от простого кражи учетных данных до более широких рисков шпионажа и вымогательства.

Способность вредоносного ПО обходить шифрование App-Bound в Chrome, меру безопасности, направленную на защиту сохраненных учетных данных, подчеркивает его продвинутые возможности. Это обход достигается с помощью многоэтапного процесса, включающего внедрение в процесс Chrome для получения необходимых ключей шифрования. Кроме того, наличие кейлоггера и возможность перехватывать сессии Телеграм усиливают его оперативную эффективность при извлечении конфиденциальной информации без опоры на традиционные методы аутентификации учетных данных.

Более того, механизмы закрепления Phantom Stealer обеспечивают его долговечность на зараженных системах, поскольку вредоносный загрузчик создает ключи реестра для поддержания работоспособности даже после перезагрузки системы. Вся конфигурация указывает на хорошо организованную криминальную платформу; ее коммерческий характер позволяет различным злоумышленникам использовать ее в рамках разных кампаний, адаптируя настройки эксфильтрации и оперативные тактики.

В заключение, Phantom Stealer представляет собой значительную угрозу в киберпространстве благодаря своим передовым тактикам уклонения, широким возможностям целеполагания и эффективности в рамках более крупной экосистемы криминального ПО, основанной на повторном использовании. Он выходит за рамки простого кражи учетных данных, согласуясь с эволюционирующими методологиями киберпреступников, ориентированными на комплексное извлечение данных и закрепление в скомпрометированных средах.

#ParsedReport #CompletenessLow
19-05-2026

From PDB strings to MaaS: Tracking a commodity BadIIS ecosystem used by Chinese-speaking threat

https://blog.talosintelligence.com/from-pdb-strings-to-maas-tracking-a-commodity-badiis-ecosystem/

Report completeness: Low

Actors/Campaigns:
Dragonrank
Uat-8099

Threats:
Badiis

Victims:
Iis servers, Web servers, Search engine ecosystem

Geo:
America, South africa, Chinese, Asia-pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.004, T1059.003, T1071.001, T1090, T1105, T1491.002, T1505.004, T1543.003, T1564.001, have more...

IOCs:
File: 9
Command: 1
Url: 7
Hash: 151

Soft:
n antivirus) versi, Windows service, active directory

Algorithms:
base64, xor

Languages:
php, javascript

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2026/05/commodity\_badiis.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вариация вредоносного ПО BadIIS функционирует в рамках фреймворка ВПО как услуга, преимущественно связанного с китайскоязычными группами киберкриминала. Оно позволяет осуществлять вредоносные действия, такие как перенаправление трафика, перехват контента и SEO-мошенничество, с помощью сложного инструмента сборки, который настраивает полезную нагрузку и использует JavaScript для манипуляций. Кроме того, вредоносное ПО использует двухэтапные процессы установки, динамическое управление конфигурацией и продвинутые техники уклонения для поддержания закрепления, маскируясь под легитимные службы Windows.
-----

Cisco Talos выявил новый вариант вредоносного ПО BadIIS, отличающийся уникальными строками demo.pdb, что указывает на его работу в рамках фреймворка malware-as-a-service (MaaS), вероятно, используемого различными группами киберкриминала, говорящими на китайском языке. Автор, использующий псевдоним lwxat, последовательно разрабатывает и обновляет это вредоносное ПО как минимум с сентября 2021 года, причем постоянные усилия очевидны в многолетней эволюции инструментов, что отражает сложную архитектуру и операционную модель.

Вариант вредоносного ПО BadIIS позволяет осуществлять вредоносную деятельность, такую как перенаправление трафика на нелегальные сайты, захват контента, использование обратного прокси-сервера для манипуляций с поисковыми системами и инъекция обратных ссылок для SEO-мошенничества. Был извлечен специализированный инструмент сборки, который позволяет злоумышленникам создавать конфигурационные файлы и настраивать полезную нагрузку бинарных файлов BadIIS, тем самым усиливая его возможности. Этот инструмент сборки обеспечивает манипуляцию трафиком через редиректоры JavaScript и может внедрять вредоносный контент на веб-сайты, изменяя опыт пользователей и поисковых роботов.

Помимо основной функциональности, критически важную роль играет разработка вспомогательных инструментов. Эти инструменты включают установщики и дропперы на основе сервисов, которые автоматизируют развертывание BadIIS, обеспечивая закрепление при перезагрузках сервера IIS и уклонение от обнаружения с помощью кастомных методов кодирования и обфускации. Архитектура указывает на модульный подход к разработке ВПО, позволяющий быстро адаптироваться и обновляться, особенно в ответ на конкретные меры безопасности от целевых вендоров, таких как Norton.

Анализ строк PDB выявил значимые выводы. Последовательные соглашения об именовании и структуры путей, преимущественно на китайском языке, не только облегчают отслеживание эволюции ВПО, но и раскрывают паттерны автора ВПО. Наблюдаемые тактики подтверждают постоянные обновления для устранения уязвимостей и расширения возможностей, такие как настройка сборок для конкретных компрометаций, например, обхода обнаружения Norton.

Особенностью данного варианта BadIIS является его комплексная стратегия установки, характеризующаяся двухэтапными процессами, включающими аутентификацию с сервером C2, динамическое управление конфигурацией и методы закрепления через хитрую регистрацию в качестве системных служб. ВПО также может маскироваться под легитимные службы Windows, внедряя передовые меры обхода традиционных средств защиты.

#ParsedReport #CompletenessMedium
18-05-2026

Observed PCPJack and infected npm packages, new attacks targeting peninsula, several vulnerabilities reported

https://www.telsy.com/osservato-pcpjack-e-pacchetti-npm-infetti-nuovi-attacchi-rivolti-alla-penisola-segnalate-diverse-vulnerabilita/

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Pcpjack_tool
Supply_chain_technique
Trickmo
Smishing_technique
Nightmare_eclipse_tool
Yellowkey_vuln
Greenplasma_vuln

Victims:
Cloud infrastructure, Software supply chain, Software development, Banking, Financial technology, Digital wallets, Authentication services, Jewelry

Industry:
Financial, Transport

Geo:
Middle east, Austria, France, Italy, Italia

CVEs:
CVE-2026-23918 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (2.4.66)

CVE-2026-34486 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (9.0.116, 10.1.53, 11.0.20)

CVE-2026-43284 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.255, <5.15.205, <6.1.171, <6.6.138, <6.12.87)

CVE-2026-42945 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-42231 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.123.32, <2.17.4, 2.18.0)

CVE-2026-6973 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<12.6.1.1, 12.7.0.0, 12.8.0.0)


ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.002, T1070.004, T1111, T1113, T1190, T1195.001, T1195.002, T1486, T1518, have more...

Soft:
Linux, TanStack, Jenkins, Android, WhatsApp, Ivanti, NGINX, Apache Tomcat

Crypto:
bitcoin

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность киберугроз, связанная с кражей учетных данных и атаками на Цепочку поставок, усилилась, в частности, благодаря червю PCPJack, нацеленному на облачную инфраструктуру Linux для финансового мошенничества и перепродажи учетных данных. Кампания Mini Shai-Hulud, связанная с группой TeamPCP, выпустила несколько вредоносных пакетов npm, включая скомпрометированную версию @tanstack/react-router, что повышает риски для разработчиков. Кроме того, критические уязвимости, такие как CVE-2026-43284 в ядре Linux и CVE-2026-42945 в веб-сервере F5 NGINX, создают серьезную угрозу, включая потенциальное Удаленное Выполнение Кода.
-----

Червь PCPJack нацелен на кражу учётных данных из облачных инфраструктур Linux.

PCPJack специализируется на финансовом мошенничестве, спама, вымогательстве или перепродаже украденных учетных данных.

Произошла компрометация сайта jdownloader.org злоумышленниками, которые перенаправили ссылки на легитимные установщики программного обеспечения.

Группа TeamPCP выпустила 84 вредоносные версии пакетов в реестре npm в мае 2026 года, затронув разработчиков, использующих @tanstack/react-router.

Кампания Mini Shai-Hulud подчеркивает риски в цепочках поставок программного обеспечения.

Плагин AST Scanner для Jenkins от Checkmarx стал целью атаки, что поставило под угрозу множество сред разработки.

Новый вариант банковского трояна TrickMo нацелен на финансовые приложения с использованием тактик фишинга учетных данных, регистрации нажатий клавиш и подавления уведомлений.

Проведено четырнадцать смишинг-кампаний с использованием названия INPS, направленных на сбор информации о кредитных картах для несанкционированных транзакций.

Схема фишинга, использующая платежи за проезд по платным дорогам, собирает данные платежных карт.

Уязвимость Dirty Frag в ядре Linux (CVE-2026-43284) может быть эксплуатирована с высокой вероятностью успеха и без критических условий по времени.

Веб-сервер NGINX от F5 содержит серьезную уязвимость переполнения буфера в куче (CVE-2026-42945), которая может привести к отказу в обслуживании и Удаленному Выполнению Кода.

Также были раскрыты уязвимости, затрагивающие серверы Apache и платформу n8n, с доступными доказательными концепциями (PoC) эксплойтов.

Ivanti устранила уязвимость нулевого дня (CVE-2026-6973), которая эксплуатировалась в реальных условиях.

Две не исправленные уязвимости нулевого дня в Microsoft Windows, названные YellowKey и GreenPlasma, были раскрыты.

#ParsedReport #CompletenessMedium
19-05-2026

Exposing Fox Tempest: A malware-signing service operation

https://www.microsoft.com/en-us/security/blog/2026/05/19/exposing-fox-tempest-a-malware-signing-service-operation/

Report completeness: Medium

Actors/Campaigns:
Vice_society
Storm-0501
Storm-2561
Storm-0249
Muddywater

Threats:
Lumma_stealer
Rhysida
Oyster
Vidar_stealer
Seo_poisoning_technique
Qilin_ransomware
Akira_ransomware
Spyder
Malgent
Tedy
Fragtor
Inc_ransomware
Blackbyte
Trojan:win32/malcert
Ransom:win64/inc

Victims:
Healthcare, Education, Government, Financial services, Organizations globally

Industry:
Healthcare, Education, Government

Geo:
Canada, India, Russian, China, France

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.001, T1082, T1105, T1204.002, T1486, T1553.002, T1583.003, T1583.008, T1585.001, have more...

IOCs:
Domain: 1
File: 4
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Microsoft Teams, icrosoft Defender fo, Twitter

Algorithms:
sha256

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fox Tempest — это мотивированный финансовыми интересами злоумышленник, предлагающий услугу подписи вредоносного программного обеспечения как сервиса (malware-signing-as-a-service), позволяющая киберпреступникам распространять программы-вымогатели и другой вредоносный код с использованием кратковременных мошеннических сертификатов подписи кода. Данный актор эксплуатировал множество арен Azure и оказывает помощь угрозам, предоставляя подписанные полезную нагрузку, в частности, способствуя распространению вредоносного программного обеспечения, такого как программа-вымогатель Rhysida и бэкдор Oyster, которые часто маскируются под легитимное программное обеспечение. Эволюционировавшие методы работы группы обеспечивают беспрепятственное взаимодействие с другими преступными структурами, одновременно усложняя усилия по обнаружению и реагированию.
-----

Fox Tempest — это злоумышленник, мотивированный финансовой выгодой, специализирующийся на malware-signing-as-a-service (MSaaS), что позволяет распространять вредоносный код, особенно ransomware, путем предоставления поддельных Сертификатов подписи кода. Этот сервис использует Microsoft Artifact Signing для создания кратковременных сертификатов, которые придают видимость легитимности, позволяя ВПО обходить механизмы защиты. Fox Tempest создала более тысячи таких сертификатов и эксплуатировала сотни арендаторов и подписок Azure для содействия своей деятельности, которая включала поддержку различных семейств ВПО, таких как ransomware Rhysida, Oyster, Lumma Stealer и Vidar.

Сервис MSaaS, предоставляемый Fox Tempest, позволяет киберпреступникам загружать свои вредоносные загрузки для подписи с использованием этих сертификатов, действительных в течение 72 часов, что значительно повышает вероятность успешного выполнения вредоносного ПО. Операция нацелена на множество отраслей по всему миру, включая здравоохранение и финансы, а жертвы были выявлены в таких странах, как США, Франция, Индия и Китай. Microsoft отметила, что Fox Tempest не занимается прямой целевой атакой на жертв, но предоставляет необходимую сервисную поддержку другим злоумышленникам, включая такие группы, как Vanilla Tempest, Storm-0501 и Storm-2561.

Операционный фреймворк Fox Tempest эволюционировал для повышения эффективности и безопасности. Изначально предлагая услуги через ныне недействующий сайт signspace.cloud, инфраструктура в начале 2026 года перешла на предоставление предварительно настроенных виртуальных машин, размещенных на инфраструктуре провайдера Cloudzy. Этот переход позволил другим акторам напрямую взаимодействовать с средами, контролируемыми Fox Tempest, что дополнительно способствовало упрощенной и безопасной доставке подписанных вредоносных бинарных файлов.

Важно отметить, что метод доставки ВПО часто включал использование доверенных брендов программного обеспечения для заманивания жертв. Например, Vanilla Tempest использовал возможности Fox Tempest для создания троянизированных установщиков Microsoft Teams, которые при запуске разворачивали бэкдор Oyster — многоэтапный имплантат, позволяющий осуществлять персистентный удаленный доступ и коммуникации управления. Эта стратегия не только скрывала ВПО, но и использовала легитимные каналы программного обеспечения для маскировки под нормальные операции, что создавало сложности в обнаружении.

Служба Microsoft Threat Intelligence тщательно отслеживала эти активности и выявила IoC и методы обнаружения в рамках экосистемы Microsoft Defender, которая обеспечивает комплексное покрытие против угроз, связанных с Fox Tempest. Выявленные семейства вредоносного ПО и техники подчеркивают взаимодействие между различными преступными группами и роль, которую Fox Tempest играет в ландшафте киберкриминала. Microsoft остается сосредоточенной на разрушении этой операции, отозвав более тысячи сертификатов и продолжая сотрудничество с партнерами для смягчения этих угроз.

#ParsedReport #CompletenessMedium
18-05-2026

Click, Install, Compromised: The New Wave of Zoom-Themed Attacks

https://cofense.com/blog/click-install-compromised-the-new-wave-of-zoom-themed-attacks

Report completeness: Medium

Threats:
Credential_harvesting_technique
Screenconnect_tool

Victims:
Organizations

ChatGPT TTPs:
do not use without manual check
T1036.007, T1059.005, T1105, T1204.001, T1204.002, T1219, T1564.003, T1566.002, T1656

IOCs:
IP: 3
File: 1
Url: 3
Hash: 2

Soft:
Zoom

Algorithms:
sha256, md5

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4