#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom Stealer — это сложный стиллер, использующий вредоносный загрузчик pdh.dll для скрытого проникновения через подмену DLL, внедряя свой полезный груз в приостановленный процесс Microsoft с помощью внедрения в пустой процесс. Он обладает передовыми техниками уклонения, включая компиляцию NativeAOT, и проводит обширные проверки для предотвращения анализа, чтобы избежать обнаружения. ВПО извлекает данные из более чем 70 браузеров и криптовалютных кошельков, управляет клиппером для манипуляции транзакциями, фиксирует нажатия клавиш и обеспечивает закрепление путем модификации ключей реестра, демонстрируя свою серьезную угрозу и возможности эксплуатации.
-----

Phantom Stealer — это сложный двухуровневый Windows infostealer, предназначенный для проникновения в системы скрытно и избегания обнаружения. Атакующая цепочка начинается с вредоносного загрузчика pdh.dll, выполняющего маскировку под легитимную библиотеку Windows Performance Data Helper. После выполнения этот загрузчик осуществляет DLL hijacking целевых приложений для запуска встроенного полезного груза, который представляет собой коммерческий infostealer с богатым функционалом, внедряемый в приостановленный процесс Microsoft (jsc.exe) с помощью Process Hollowing.

Архитектура внешнего загрузчика использует компиляцию NativeAOT, которая удаляет общие артефакты .NET, повышая его возможности по уклонению от традиционных средств обнаружения. После развертывания Phantom Stealer выполняет агрессивные проверки на антианализ более чем по 80 идентификаторам, включая профили песочницы и исследователей, чтобы убедиться, что он работает в легитимной среде. Если эти проверки не проходят, ВПО самоуничтожается до того, как начнутся какие-либо вредоносные действия.

После активации полезной нагрузки Phantom Stealer выполняет различные методы эксфильтрации данных, нацеленные на широкий спектр источников. Он собирает учетные данные из более чем 70 браузеров и 30 настольных криптовалютных кошельков, а также перехватывает пароли Wi-Fi, скриншоты и содержимое буфера обмена, одновременно развертывая криптовалютный клиппер для манипуляции транзакциями. Кроме того, этот infostealer может захватывать нажатия клавиш, проявляя особый интерес к коммуникациям и финансовым данным, тем самым повышая уровень угрозы от простого кражи учетных данных до более широких рисков шпионажа и вымогательства.

Способность вредоносного ПО обходить шифрование App-Bound в Chrome, меру безопасности, направленную на защиту сохраненных учетных данных, подчеркивает его продвинутые возможности. Это обход достигается с помощью многоэтапного процесса, включающего внедрение в процесс Chrome для получения необходимых ключей шифрования. Кроме того, наличие кейлоггера и возможность перехватывать сессии Телеграм усиливают его оперативную эффективность при извлечении конфиденциальной информации без опоры на традиционные методы аутентификации учетных данных.

Более того, механизмы закрепления Phantom Stealer обеспечивают его долговечность на зараженных системах, поскольку вредоносный загрузчик создает ключи реестра для поддержания работоспособности даже после перезагрузки системы. Вся конфигурация указывает на хорошо организованную криминальную платформу; ее коммерческий характер позволяет различным злоумышленникам использовать ее в рамках разных кампаний, адаптируя настройки эксфильтрации и оперативные тактики.

В заключение, Phantom Stealer представляет собой значительную угрозу в киберпространстве благодаря своим передовым тактикам уклонения, широким возможностям целеполагания и эффективности в рамках более крупной экосистемы криминального ПО, основанной на повторном использовании. Он выходит за рамки простого кражи учетных данных, согласуясь с эволюционирующими методологиями киберпреступников, ориентированными на комплексное извлечение данных и закрепление в скомпрометированных средах.

#ParsedReport #CompletenessLow
19-05-2026

From PDB strings to MaaS: Tracking a commodity BadIIS ecosystem used by Chinese-speaking threat

https://blog.talosintelligence.com/from-pdb-strings-to-maas-tracking-a-commodity-badiis-ecosystem/

Report completeness: Low

Actors/Campaigns:
Dragonrank
Uat-8099

Threats:
Badiis

Victims:
Iis servers, Web servers, Search engine ecosystem

Geo:
America, South africa, Chinese, Asia-pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.004, T1059.003, T1071.001, T1090, T1105, T1491.002, T1505.004, T1543.003, T1564.001, have more...

IOCs:
File: 9
Command: 1
Url: 7
Hash: 151

Soft:
n antivirus) versi, Windows service, active directory

Algorithms:
base64, xor

Languages:
php, javascript

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2026/05/commodity\_badiis.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вариация вредоносного ПО BadIIS функционирует в рамках фреймворка ВПО как услуга, преимущественно связанного с китайскоязычными группами киберкриминала. Оно позволяет осуществлять вредоносные действия, такие как перенаправление трафика, перехват контента и SEO-мошенничество, с помощью сложного инструмента сборки, который настраивает полезную нагрузку и использует JavaScript для манипуляций. Кроме того, вредоносное ПО использует двухэтапные процессы установки, динамическое управление конфигурацией и продвинутые техники уклонения для поддержания закрепления, маскируясь под легитимные службы Windows.
-----

Cisco Talos выявил новый вариант вредоносного ПО BadIIS, отличающийся уникальными строками demo.pdb, что указывает на его работу в рамках фреймворка malware-as-a-service (MaaS), вероятно, используемого различными группами киберкриминала, говорящими на китайском языке. Автор, использующий псевдоним lwxat, последовательно разрабатывает и обновляет это вредоносное ПО как минимум с сентября 2021 года, причем постоянные усилия очевидны в многолетней эволюции инструментов, что отражает сложную архитектуру и операционную модель.

Вариант вредоносного ПО BadIIS позволяет осуществлять вредоносную деятельность, такую как перенаправление трафика на нелегальные сайты, захват контента, использование обратного прокси-сервера для манипуляций с поисковыми системами и инъекция обратных ссылок для SEO-мошенничества. Был извлечен специализированный инструмент сборки, который позволяет злоумышленникам создавать конфигурационные файлы и настраивать полезную нагрузку бинарных файлов BadIIS, тем самым усиливая его возможности. Этот инструмент сборки обеспечивает манипуляцию трафиком через редиректоры JavaScript и может внедрять вредоносный контент на веб-сайты, изменяя опыт пользователей и поисковых роботов.

Помимо основной функциональности, критически важную роль играет разработка вспомогательных инструментов. Эти инструменты включают установщики и дропперы на основе сервисов, которые автоматизируют развертывание BadIIS, обеспечивая закрепление при перезагрузках сервера IIS и уклонение от обнаружения с помощью кастомных методов кодирования и обфускации. Архитектура указывает на модульный подход к разработке ВПО, позволяющий быстро адаптироваться и обновляться, особенно в ответ на конкретные меры безопасности от целевых вендоров, таких как Norton.

Анализ строк PDB выявил значимые выводы. Последовательные соглашения об именовании и структуры путей, преимущественно на китайском языке, не только облегчают отслеживание эволюции ВПО, но и раскрывают паттерны автора ВПО. Наблюдаемые тактики подтверждают постоянные обновления для устранения уязвимостей и расширения возможностей, такие как настройка сборок для конкретных компрометаций, например, обхода обнаружения Norton.

Особенностью данного варианта BadIIS является его комплексная стратегия установки, характеризующаяся двухэтапными процессами, включающими аутентификацию с сервером C2, динамическое управление конфигурацией и методы закрепления через хитрую регистрацию в качестве системных служб. ВПО также может маскироваться под легитимные службы Windows, внедряя передовые меры обхода традиционных средств защиты.

#ParsedReport #CompletenessMedium
18-05-2026

Observed PCPJack and infected npm packages, new attacks targeting peninsula, several vulnerabilities reported

https://www.telsy.com/osservato-pcpjack-e-pacchetti-npm-infetti-nuovi-attacchi-rivolti-alla-penisola-segnalate-diverse-vulnerabilita/

Report completeness: Medium

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Pcpjack_tool
Supply_chain_technique
Trickmo
Smishing_technique
Nightmare_eclipse_tool
Yellowkey_vuln
Greenplasma_vuln

Victims:
Cloud infrastructure, Software supply chain, Software development, Banking, Financial technology, Digital wallets, Authentication services, Jewelry

Industry:
Financial, Transport

Geo:
Middle east, Austria, France, Italy, Italia

CVEs:
CVE-2026-23918 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (2.4.66)

CVE-2026-34486 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (9.0.116, 10.1.53, 11.0.20)

CVE-2026-43284 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.255, <5.15.205, <6.1.171, <6.6.138, <6.12.87)

CVE-2026-42945 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-42231 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.123.32, <2.17.4, 2.18.0)

CVE-2026-6973 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<12.6.1.1, 12.7.0.0, 12.8.0.0)


ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.002, T1070.004, T1111, T1113, T1190, T1195.001, T1195.002, T1486, T1518, have more...

Soft:
Linux, TanStack, Jenkins, Android, WhatsApp, Ivanti, NGINX, Apache Tomcat

Crypto:
bitcoin

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность киберугроз, связанная с кражей учетных данных и атаками на Цепочку поставок, усилилась, в частности, благодаря червю PCPJack, нацеленному на облачную инфраструктуру Linux для финансового мошенничества и перепродажи учетных данных. Кампания Mini Shai-Hulud, связанная с группой TeamPCP, выпустила несколько вредоносных пакетов npm, включая скомпрометированную версию @tanstack/react-router, что повышает риски для разработчиков. Кроме того, критические уязвимости, такие как CVE-2026-43284 в ядре Linux и CVE-2026-42945 в веб-сервере F5 NGINX, создают серьезную угрозу, включая потенциальное Удаленное Выполнение Кода.
-----

Червь PCPJack нацелен на кражу учётных данных из облачных инфраструктур Linux.

PCPJack специализируется на финансовом мошенничестве, спама, вымогательстве или перепродаже украденных учетных данных.

Произошла компрометация сайта jdownloader.org злоумышленниками, которые перенаправили ссылки на легитимные установщики программного обеспечения.

Группа TeamPCP выпустила 84 вредоносные версии пакетов в реестре npm в мае 2026 года, затронув разработчиков, использующих @tanstack/react-router.

Кампания Mini Shai-Hulud подчеркивает риски в цепочках поставок программного обеспечения.

Плагин AST Scanner для Jenkins от Checkmarx стал целью атаки, что поставило под угрозу множество сред разработки.

Новый вариант банковского трояна TrickMo нацелен на финансовые приложения с использованием тактик фишинга учетных данных, регистрации нажатий клавиш и подавления уведомлений.

Проведено четырнадцать смишинг-кампаний с использованием названия INPS, направленных на сбор информации о кредитных картах для несанкционированных транзакций.

Схема фишинга, использующая платежи за проезд по платным дорогам, собирает данные платежных карт.

Уязвимость Dirty Frag в ядре Linux (CVE-2026-43284) может быть эксплуатирована с высокой вероятностью успеха и без критических условий по времени.

Веб-сервер NGINX от F5 содержит серьезную уязвимость переполнения буфера в куче (CVE-2026-42945), которая может привести к отказу в обслуживании и Удаленному Выполнению Кода.

Также были раскрыты уязвимости, затрагивающие серверы Apache и платформу n8n, с доступными доказательными концепциями (PoC) эксплойтов.

Ivanti устранила уязвимость нулевого дня (CVE-2026-6973), которая эксплуатировалась в реальных условиях.

Две не исправленные уязвимости нулевого дня в Microsoft Windows, названные YellowKey и GreenPlasma, были раскрыты.

#ParsedReport #CompletenessMedium
19-05-2026

Exposing Fox Tempest: A malware-signing service operation

https://www.microsoft.com/en-us/security/blog/2026/05/19/exposing-fox-tempest-a-malware-signing-service-operation/

Report completeness: Medium

Actors/Campaigns:
Vice_society
Storm-0501
Storm-2561
Storm-0249
Muddywater

Threats:
Lumma_stealer
Rhysida
Oyster
Vidar_stealer
Seo_poisoning_technique
Qilin_ransomware
Akira_ransomware
Spyder
Malgent
Tedy
Fragtor
Inc_ransomware
Blackbyte
Trojan:win32/malcert
Ransom:win64/inc

Victims:
Healthcare, Education, Government, Financial services, Organizations globally

Industry:
Healthcare, Education, Government

Geo:
Canada, India, Russian, China, France

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.001, T1082, T1105, T1204.002, T1486, T1553.002, T1583.003, T1583.008, T1585.001, have more...

IOCs:
Domain: 1
File: 4
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Microsoft Teams, icrosoft Defender fo, Twitter

Algorithms:
sha256

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fox Tempest — это мотивированный финансовыми интересами злоумышленник, предлагающий услугу подписи вредоносного программного обеспечения как сервиса (malware-signing-as-a-service), позволяющая киберпреступникам распространять программы-вымогатели и другой вредоносный код с использованием кратковременных мошеннических сертификатов подписи кода. Данный актор эксплуатировал множество арен Azure и оказывает помощь угрозам, предоставляя подписанные полезную нагрузку, в частности, способствуя распространению вредоносного программного обеспечения, такого как программа-вымогатель Rhysida и бэкдор Oyster, которые часто маскируются под легитимное программное обеспечение. Эволюционировавшие методы работы группы обеспечивают беспрепятственное взаимодействие с другими преступными структурами, одновременно усложняя усилия по обнаружению и реагированию.
-----

Fox Tempest — это злоумышленник, мотивированный финансовой выгодой, специализирующийся на malware-signing-as-a-service (MSaaS), что позволяет распространять вредоносный код, особенно ransomware, путем предоставления поддельных Сертификатов подписи кода. Этот сервис использует Microsoft Artifact Signing для создания кратковременных сертификатов, которые придают видимость легитимности, позволяя ВПО обходить механизмы защиты. Fox Tempest создала более тысячи таких сертификатов и эксплуатировала сотни арендаторов и подписок Azure для содействия своей деятельности, которая включала поддержку различных семейств ВПО, таких как ransomware Rhysida, Oyster, Lumma Stealer и Vidar.

Сервис MSaaS, предоставляемый Fox Tempest, позволяет киберпреступникам загружать свои вредоносные загрузки для подписи с использованием этих сертификатов, действительных в течение 72 часов, что значительно повышает вероятность успешного выполнения вредоносного ПО. Операция нацелена на множество отраслей по всему миру, включая здравоохранение и финансы, а жертвы были выявлены в таких странах, как США, Франция, Индия и Китай. Microsoft отметила, что Fox Tempest не занимается прямой целевой атакой на жертв, но предоставляет необходимую сервисную поддержку другим злоумышленникам, включая такие группы, как Vanilla Tempest, Storm-0501 и Storm-2561.

Операционный фреймворк Fox Tempest эволюционировал для повышения эффективности и безопасности. Изначально предлагая услуги через ныне недействующий сайт signspace.cloud, инфраструктура в начале 2026 года перешла на предоставление предварительно настроенных виртуальных машин, размещенных на инфраструктуре провайдера Cloudzy. Этот переход позволил другим акторам напрямую взаимодействовать с средами, контролируемыми Fox Tempest, что дополнительно способствовало упрощенной и безопасной доставке подписанных вредоносных бинарных файлов.

Важно отметить, что метод доставки ВПО часто включал использование доверенных брендов программного обеспечения для заманивания жертв. Например, Vanilla Tempest использовал возможности Fox Tempest для создания троянизированных установщиков Microsoft Teams, которые при запуске разворачивали бэкдор Oyster — многоэтапный имплантат, позволяющий осуществлять персистентный удаленный доступ и коммуникации управления. Эта стратегия не только скрывала ВПО, но и использовала легитимные каналы программного обеспечения для маскировки под нормальные операции, что создавало сложности в обнаружении.

Служба Microsoft Threat Intelligence тщательно отслеживала эти активности и выявила IoC и методы обнаружения в рамках экосистемы Microsoft Defender, которая обеспечивает комплексное покрытие против угроз, связанных с Fox Tempest. Выявленные семейства вредоносного ПО и техники подчеркивают взаимодействие между различными преступными группами и роль, которую Fox Tempest играет в ландшафте киберкриминала. Microsoft остается сосредоточенной на разрушении этой операции, отозвав более тысячи сертификатов и продолжая сотрудничество с партнерами для смягчения этих угроз.

#ParsedReport #CompletenessMedium
18-05-2026

Click, Install, Compromised: The New Wave of Zoom-Themed Attacks

https://cofense.com/blog/click-install-compromised-the-new-wave-of-zoom-themed-attacks

Report completeness: Medium

Threats:
Credential_harvesting_technique
Screenconnect_tool

Victims:
Organizations

ChatGPT TTPs:
do not use without manual check
T1036.007, T1059.005, T1105, T1204.001, T1204.002, T1219, T1564.003, T1566.002, T1656

IOCs:
IP: 3
File: 1
Url: 3
Hash: 2

Soft:
Zoom

Algorithms:
sha256, md5

Languages:
visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинг-кампания, в ходе которой злоумышленники имитировали Zoom для доставки ВПО через инструмент удаленного управления ConnectWise ScreenConnect. Фишинговые письма направляют жертв на поддельный сайт, побуждая их загрузить Visual Basic Script, замаскированный под установщик Zoom, который тайно извлекает и выполняет инструмент ConnectWise, обеспечивая несанкционированный доступ и дальнейшие вредоносные действия. Это отражает сдвиг в сторону более сложных, многоэтапных тактик в фишинге, направленных на долгосрочный доступ к системе, а не только на кражу учетных данных.
-----

Недавняя фишинговая кампания, зафиксированная Центром защиты от фишинга Cofense (PDC), демонстрирует изменяющийся ландшафт угроз, где злоумышленники все чаще применяют тактики социальной инженерии для доставки ВПО и установления несанкционированного удаленного доступа. В рамках этой кампании атакующие выдают себя за Zoom, чтобы заманить жертв на загрузку легитимного инструмента удаленного мониторинга и управления ConnectWise ScreenConnect. После установки этот инструмент позволяет злоумышленникам получать доступ к конфиденциальным данным, поддерживать удаленное присутствие и развертывать дополнительное ВПО, включая программы-вымогатели.

Фишинговые письма, используемые в этой кампании, содержат минимальный объем контента и лишены официальной айдентики, что делает их подозрительными при сравнении с подлинными приглашениями Zoom. Гиперссылка внутри письма направляет потенциальных жертв на поддельную целевую страницу, созданную для имитации легитимного брендинга Zoom. Эта страница включает различные обманные элементы, такие как интерактивный запрос, имитирующий интерфейс встречи Zoom, поддельный ведущий встречи и искаженная аудиодорожка, предназначенная для усиления иллюзии подлинности.

При «подключении» к этой поддельной встрече пользователи видят всплывающее окно с уведомлением о доступности обновления, что побуждает их загрузить файл, маскирующийся под установщик Zoom. На самом деле этот файл представляет собой сценарий Visual Basic (VBS), который служит легковесным загрузчиком для настоящего установщика ConnectWise ScreenConnect. Сценарий незаметно извлекает этот установщик с жёстко заданного URL-адреса и запускает его в Скрытое окно, тем самым минимизируя осведомлённость пользователя о вредоносной активности.

Техника использования ConnectWise ScreenConnect в качестве полезной нагрузки особенно примечательна, поскольку она опирается на легитимный административный инструмент, позволяя злоумышленникам выполнять дальнейшие вредоносные действия под видом нормальной работы. Этот подход демонстрирует сложную эволюцию фишинговых операций, переходя от простого кражи учетных данных к более сложным многоэтапным рабочим процессам, направленным на обеспечение долгосрочного доступа к системам жертв.

#ParsedReport #CompletenessHigh
18-05-2026

UAC-0184: From HTA to a Signed Network Stack

https://blog.synapticsystems.de/uac-0184-from-hta-to-a-signed-network-stack/

Report completeness: High

Actors/Campaigns:
Uac-0184
Gamaredon
Fancy_bear

Threats:
Lolbin_technique
Bitsadmin_tool
Kraken_cryptor
Dll_sideloading_technique
Dll_hijacking_technique
Steganography_technique
Dllsearchorder_hijacking_technique

Victims:
Ukrainian defense forces, Military related targets

Industry:
Military

Geo:
Ukrainian, Russian, Ukraine

TTPs:
Tactics: 2
Technics: 5

IOCs:
Hash: 9
File: 27
Url: 4
Path: 7
IP: 1

Soft:
DirectX, OpenGL, Windows Media Player, Unicorn, Microsoft Visual Studio, BurnInTest, Visual Studio

Algorithms:
sha256, aes, lznt1, zip, xor, rc4

Win API:
RtlDecompressBuffer, RtlCompressBuffer, GetAdaptersAddresses, if_nametoindex, MiniDumpWriteDump, decompress

Win Services:
bits

Languages:
python, jscript

Platforms:
x64

Links:
https://github.com/MalwareboxEU/IIM-Feed/tree/main/UAC-0184

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка хакерская группировка UAC-0184 усилила целенаправленные атаки на украинских военнослужащих, используя приманки и тактики социальной инженерии на тему Украины через мессенджеры и платформы знакомств, преимущественно для шпионажа, направленного на кражу конфиденциальных данных. Их многоэтапная методология атак включает использование легитимного программного обеспечения, перепрофилированного для злонамеренного использования, например, подгрузку DLL для сокрытия ВПО внутри безобидных приложений. ВПО использует сложный шеллкод для декодирования данных, полагаясь на динамические механизмы для связи с C2, что указывает на сложную и адаптивную киберугрозу.
-----

Группировка злоумышленников UAC-0184 продемонстрировала значительный рост активности, направленной на украинских военнослужащих, в частности представителей Вооруженных Сил Украины. Их тактика включает использование приманок на украинскую тематику и применение методов социальной инженерии через мессенджеры и платформы знакомств, часто сфокусированных на чувствительных темах, таких как боевые действия и судебные разбирательства. Это указывает на стратегическую направленность на получение доступа к компьютерам в целях шпионажа, в частности для кражи конфиденциальных документов и данных этих лиц.

Анализ образцов вредоносного программного обеспечения, связанных с UAC-0184, выявил многоэтапную методологию атаки, включающую различные инструменты, в том числе легитимное программное обеспечение, перепрофилированное для злонамеренных целей. Были зафиксированы использование инструментов, таких как bitsadmin, и интеграция техник географического ограничения (geofencing) для обеспечения механизмов контролируемой доставки, позволяющих злоумышленникам управлять тем, кто получит вредоносный payload, на основе их местоположения или характеристик клиента.

Механика вредоносного ПО использует технику подгрузки DLL (DLL sideloading), при которой внешне безобидные приложения загружают вредоносные библиотеки из локальных каталогов. Этот метод маскирует вредоносные намерения, а фактические вредоносные возможности скрыты внутри этих вторичных компонентов, а не в основном видимом исполняемом файле. Например, один из компонентов полезной нагрузки был идентифицирован как Plane9 engine, который обрабатывает мультимедийные данные, и было замечено, что он использует Enhanced Video Renderer (evr.dll) из Microsoft Windows для выполнения своих функций.

В анализе подробно описана сложная структура шеллкода, обнаруженная внутри полезной нагрузки, которая отвечала за декодирование данных и выявление следующих этапов работы ВПО. Декодированный шеллкод функционирует как парсер PNG-чанков, используя операции XOR для извлечения вредоносных компонентов из структурированного блока данных. Примечательно, что, несмотря на всесторонний анализ, в проанализированных артефактах не был установлен надежный узел управления (управление). Вместо этого операция, по-видимому, полагалась на динамические механизмы для определения адресов пиров во время выполнения, что исключало необходимость использования жестко закодированных IP-адресов.

Меры защиты от этого злоумышленника должны приоритизировать мониторинг необычных развертываний таких инструментов, как Visual Studio или программное обеспечение PassMark, в средах, где они не являются стандартными, а также отслеживание индикаторов поведения, таких как вызовы MiniDumpWriteDump от связанных процессов. Эволюционирующие техники UAC-0184 подчеркивают важность непрерывной бдительности и адаптивности в киберзащите, особенно в высококонфликтных геополитических контекстах, таких как текущие конфликты, связанные с Украиной.

#ParsedReport #CompletenessMedium
18-05-2026

SHub Reaper \| macOS Stealer Spoofs Apple, Google, and Microsoft in a Single Attack Chain

https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/

Report completeness: Medium

Threats:
Reaper
Shubstealer
Clickfix_technique
Typosquatting_technique
Amos_stealer

Victims:
Macos users, Cryptocurrency wallet users

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027.010, T1036.005, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1074.001, have more...

IOCs:
Domain: 4
Url: 4
File: 3
Hash: 1

Soft:
macOS, curl, WeChat, url co, 1Password, Bitwarden, LastPass, Telegram, Chrome, Firefox, Opera, have more...

Wallets:
metamask, exodus_wallet, electrum, trezor, atomicwallet, ledger_wallet

Algorithms:
base64, zip

Win API:
Arc

Languages:
javascript, applescript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, windows: 1