#ParsedReport #CompletenessHigh
18-05-2026

UAC-0184: From HTA to a Signed Network Stack

https://blog.synapticsystems.de/uac-0184-from-hta-to-a-signed-network-stack/

Report completeness: High

Actors/Campaigns:
Uac-0184
Gamaredon
Fancy_bear

Threats:
Lolbin_technique
Bitsadmin_tool
Kraken_cryptor
Dll_sideloading_technique
Dll_hijacking_technique
Steganography_technique
Dllsearchorder_hijacking_technique

Victims:
Ukrainian defense forces, Military related targets

Industry:
Military

Geo:
Ukrainian, Russian, Ukraine

TTPs:
Tactics: 2
Technics: 5

IOCs:
Hash: 9
File: 27
Url: 4
Path: 7
IP: 1

Soft:
DirectX, OpenGL, Windows Media Player, Unicorn, Microsoft Visual Studio, BurnInTest, Visual Studio

Algorithms:
sha256, aes, lznt1, zip, xor, rc4

Win API:
RtlDecompressBuffer, RtlCompressBuffer, GetAdaptersAddresses, if_nametoindex, MiniDumpWriteDump, decompress

Win Services:
bits

Languages:
python, jscript

Platforms:
x64

Links:
https://github.com/MalwareboxEU/IIM-Feed/tree/main/UAC-0184

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка хакерская группировка UAC-0184 усилила целенаправленные атаки на украинских военнослужащих, используя приманки и тактики социальной инженерии на тему Украины через мессенджеры и платформы знакомств, преимущественно для шпионажа, направленного на кражу конфиденциальных данных. Их многоэтапная методология атак включает использование легитимного программного обеспечения, перепрофилированного для злонамеренного использования, например, подгрузку DLL для сокрытия ВПО внутри безобидных приложений. ВПО использует сложный шеллкод для декодирования данных, полагаясь на динамические механизмы для связи с C2, что указывает на сложную и адаптивную киберугрозу.
-----

Группировка злоумышленников UAC-0184 продемонстрировала значительный рост активности, направленной на украинских военнослужащих, в частности представителей Вооруженных Сил Украины. Их тактика включает использование приманок на украинскую тематику и применение методов социальной инженерии через мессенджеры и платформы знакомств, часто сфокусированных на чувствительных темах, таких как боевые действия и судебные разбирательства. Это указывает на стратегическую направленность на получение доступа к компьютерам в целях шпионажа, в частности для кражи конфиденциальных документов и данных этих лиц.

Анализ образцов вредоносного программного обеспечения, связанных с UAC-0184, выявил многоэтапную методологию атаки, включающую различные инструменты, в том числе легитимное программное обеспечение, перепрофилированное для злонамеренных целей. Были зафиксированы использование инструментов, таких как bitsadmin, и интеграция техник географического ограничения (geofencing) для обеспечения механизмов контролируемой доставки, позволяющих злоумышленникам управлять тем, кто получит вредоносный payload, на основе их местоположения или характеристик клиента.

Механика вредоносного ПО использует технику подгрузки DLL (DLL sideloading), при которой внешне безобидные приложения загружают вредоносные библиотеки из локальных каталогов. Этот метод маскирует вредоносные намерения, а фактические вредоносные возможности скрыты внутри этих вторичных компонентов, а не в основном видимом исполняемом файле. Например, один из компонентов полезной нагрузки был идентифицирован как Plane9 engine, который обрабатывает мультимедийные данные, и было замечено, что он использует Enhanced Video Renderer (evr.dll) из Microsoft Windows для выполнения своих функций.

В анализе подробно описана сложная структура шеллкода, обнаруженная внутри полезной нагрузки, которая отвечала за декодирование данных и выявление следующих этапов работы ВПО. Декодированный шеллкод функционирует как парсер PNG-чанков, используя операции XOR для извлечения вредоносных компонентов из структурированного блока данных. Примечательно, что, несмотря на всесторонний анализ, в проанализированных артефактах не был установлен надежный узел управления (управление). Вместо этого операция, по-видимому, полагалась на динамические механизмы для определения адресов пиров во время выполнения, что исключало необходимость использования жестко закодированных IP-адресов.

Меры защиты от этого злоумышленника должны приоритизировать мониторинг необычных развертываний таких инструментов, как Visual Studio или программное обеспечение PassMark, в средах, где они не являются стандартными, а также отслеживание индикаторов поведения, таких как вызовы MiniDumpWriteDump от связанных процессов. Эволюционирующие техники UAC-0184 подчеркивают важность непрерывной бдительности и адаптивности в киберзащите, особенно в высококонфликтных геополитических контекстах, таких как текущие конфликты, связанные с Украиной.

#ParsedReport #CompletenessMedium
18-05-2026

SHub Reaper \| macOS Stealer Spoofs Apple, Google, and Microsoft in a Single Attack Chain

https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/

Report completeness: Medium

Threats:
Reaper
Shubstealer
Clickfix_technique
Typosquatting_technique
Amos_stealer

Victims:
Macos users, Cryptocurrency wallet users

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027.010, T1036.005, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1074.001, have more...

IOCs:
Domain: 4
Url: 4
File: 3
Hash: 1

Soft:
macOS, curl, WeChat, url co, 1Password, Bitwarden, LastPass, Telegram, Chrome, Firefox, Opera, have more...

Wallets:
metamask, exodus_wallet, electrum, trezor, atomicwallet, ledger_wallet

Algorithms:
base64, zip

Win API:
Arc

Languages:
javascript, applescript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вариант SHub Reaper представляет собой продвинутый macOS стиллер, использующий многослойную социальную инженерию и многоэтапное выполнение для доставки ВПО, замаскированного под легитимные обновления программного обеспечения. Он запускается через AppleScript с помощью созданной HTML-страницы, выполняя проверки для блокировки выполнения в определенных регионах и собирая телеметрию об окружении пользователя. ВПО нацелено на кражу конфиденциальной информации, такой как пароли браузеров и данные криптографических кошельков, и поддерживает закрепление путем установки LaunchAgent, позволяя злоумышленникам установить бэкдор для непрерывного доступа.
-----

Появление варианта SHub Reaper знаменует собой значительный прогресс в области macOS-информаторов, использующих многоуровневые тактики социальной инженерии и многоступенчатую цепочку выполнения для доставки вредоносного ПО, имитирующего легитимные обновления программного обеспечения от доверенных компаний, таких как Apple, Google и Microsoft. Данный вариант применяет поддельные установщики для таких приложений, как WeChat и Miro, манипулируя пользователями с целью запуска вредоносной нагрузки без какого-либо использования терминала, тем самым обходя меры безопасности Apple.

Пайплайн заражения начинается с развертывания AppleScript, инициируемого через сфабрикованную HTML-страницу, которая динамически формирует вредоносный скрипт, маскируя его ASCII-артом для уклонения от внимания пользователя. Скрипт выполняется в редакторе скриптов macOS и беззвучно загружает удаленный shell-скрипт. Этот скрипт выполняет предварительные проверки локали пользователя, блокируя выполнение в регионах СНГ для избежания обнаружения.

В частности, вариант Reaper включает веб-телеметрию, собирающую данные о конфигурациях браузеров и установленных расширениях для оценки среды перед выполнением вредоносного кода. Эта телеметрия передается злоумышленникам через жестко закодированного бота Телеграм. Кроме того, в вредоносных веб-страницах внедрены методы противодействия анализу, направленные на затруднение работы исследователей безопасности, включая перехват нажатий клавиш и динамическое изменение отображаемого содержимого при открытии инструментов разработчика в браузере.

После активации вредоносное ПО Reaper сосредоточено на краже конфиденциальной информации, такой как пароли из различных браузеров и криптовалютных кошельков. Оно оснащено модулем Filegrabber, способным искать ценные файлы на системе пользователя и подготавливать их для загрузки в назначенную временную директорию. Если размер собранных файлов превышает заданный порог, вредоносное ПО разделяет данные на ZIP-архивы для эксфильтрации через curl на сервер управления.

Кроме того, вариант Reaper нацелен на конкретные приложения криптовалютных кошельков, изменяя их основные файлы для перехвата будущих транзакций. Это включает использование техник для обхода macOS Gatekeeper путем манипуляции атрибутами файлов и применения ad hoc code signing.

Для закрепления вредоносное ПО устанавливает LaunchAgent, который выполняет скрипт в фоновом режиме, регулярно отправляя системную информацию на сервер управления. После выполнения оно ожидает любую полезную нагрузку, которую могут предоставить злоумышленники, тем самым эффективно устанавливая бэкдор для постоянного доступа.

Этот новый вариант SHub наглядно демонстрирует опасность изощрённого социального инжиниринга и важность мониторинга необычных выполнений AppleScript и неожиданных изменений в системе. Средствам безопасности необходимо сосредоточиться на поведенческом анализе, а не на традиционном обнаружении на основе сигнатур, чтобы эффективно противостоять таким эволюционирующим угрозам.

#ParsedReport #CompletenessMedium
19-05-2026

How Storm-2949 turned a compromised identity into a cloud-wide breach

https://www.microsoft.com/en-us/security/blog/2026/05/18/storm-2949-turned-compromised-identity-into-cloud-wide-breach/

Report completeness: Medium

Actors/Campaigns:
Storm-2949 (motivation: information_theft)

Threats:
Credential_harvesting_technique
Screenconnect_tool
Trojan:win32/suspadsyncaccess
Backdoor:win32/adsyncdump

Victims:
Cloud infrastructure, Microsoft 365, Azure environments, Information technology

TTPs:
Tactics: 8
Technics: 0

IOCs:
IP: 3

Soft:
Microsoft Defender, Microsoft Entra, Graph API, cURL, Azure App Service, Microsoft Defender for Endpoint, Azure Blob, icrosoft Defender for Endpoint -, icrosoft Defender fo, icrosoft Defender for Endpoint Un, have more...

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-2949, сложный злоумышленник, выполнил многослойную атаку на облачную инфраструктуру, в первую очередь нацеленную на Microsoft 365 и Azure для эксфильтрации конфиденциальных данных. Атака началась с социальной инженерии для компрометации учетных данных Microsoft Entra ID, что позволило получить доступ к облачным ресурсам через легитимные функции управления Azure без традиционного ВПО. Используя пользовательские скрипты для обнаружения каталогов и такие инструменты, как ScreenConnect, для удаленного доступа, злоумышленники манипулировали облачными конфигурациями и проводили масштабную эксфильтрацию данных, уклоняясь от обнаружения.
-----

Storm-2949 — это сложный злоумышленник, связанный с многоуровневой атакой, направленной на облачную инфраструктуру.

Основной целью было похищение конфиденциальных данных из приложений Microsoft 365 и ресурсов Azure.

Атака началась с компрометации учётной записи и переросла в полномасштабное наступление на уровни SaaS, PaaS и IaaS.

Storm-2949 использовал легитимные функции управления Azure для получения доступа к плоскости управления и плоскости данных.

Они выполняли код на виртуальных машинах и получали доступ к таким ресурсам, как Azure Key Vaults, без использования традиционного ВПО.

Атака началась с социальной инженерии учетных данных Microsoft Entra ID у целевых сотрудников с использованием функции восстановления пароля через самообслуживание.

Обнаружение каталогов проводилось через Microsoft Graph API с использованием пользовательского скрипта на Python для выявления высокоценных целей и перечисления учетных записей пользователей.

Конфиденциальные документы были похищены из приложений Microsoft 365, включая OneDrive и SharePoint.

Storm-2949 нацелился на Azure App Services, Azure Key Vaults и базы данных SQL для эксфильтрации конфиденциальных данных.

Атакующие злоупотребили функцией Microsoft.Web/sites/publishxml/action для получения профилей публикации приложений, содержащих конфиденциальные учетные данные.

Они использовали расширение VMAccess для создания бэкдор-аккаунтов и выполнили PowerShell-скрипт, разворачивающий инструмент удалённого доступа ScreenConnect.

Скрипт PowerShell был направлен на уклонение от обнаружения путем отключения средств защиты и маскировки своего присутствия.

Сбор учетных записей с конечных точек и манипулирование конфигурациями облачных сервисов были значимыми компонентами атаки.

Была проведена масштабная эксфильтрация данных с использованием шаблонов, снижающих индикаторы компрометации.

Срабатывания Microsoft Defender были зафиксированы во время атаки, связывая события между различными фазами.

Рекомендации включают обеспечение строгой гигиены учётных данных, применение методов расширенной аутентификации и соблюдение принципа наименьших привилегий в Azure.

Рекомендуется усилить практики мониторинга для отслеживания аномального поведения, указывающего на несанкционированный доступ или перемещение внутри компании.

Мы, вместе с INSECA проводим уже 5 митап для CTI-аналитиков.
Мест осталось совсем мало, спешите зарегаться.

Всем привет 👋.
Инсека и Технологии киберугроз приглашают вас на CTI meetup #5.

🍻 обсуждаем рабочие моменты, делимся опытом
📆 23 мая, 14:00-20:00

📍 Место: Лофт «Москва» по адресу Москва, Берсеневская набережная, 6с3

Программа CTI meetup #5:
Сбор гостей 13:30-14:00
Начало выступлений 14:00

1. Threat Hunting в опенсорсе: злоумышленники используют ИИ, мы тоже, но есть нюанс
Раковский Станислав (руководитель группы Supply Chain Security в Positive Technologies)

2. Хватит «приручать фиды»: что реально работает в телекоме
Елютин Павел (руководитель направления анализа киберугроз, Билайн)
Снежков Александр (эксперт по анализу киберугроз, Билайн)

3. Докладчик уточняется

🍻 Кофе-брейк 15:30-16:00

4. Практический CTI 2.0: добро пожаловать в Cyberpunk. Ну почти.
Мешков Андрей (независимый эксперт)

5. Квиз

✌️17:00-20:00 С вас общение, с нас пиво.
Мы рады будем видеть всех желающих, но к сожалению, количество мест ограничено размерами помещения.

👉🏼 Зарегистрироваться

Ну и на митапе мы презентуем наше первого исследование по киберугрозам за 2025 год.

#SOC #CISO #CISOCLUB #CyberThreatTech

«Ваш TI – это просто дорогой способ ничего не делать»

Вместе с Виталием Евсиковым (Inseca) и Юрием Наместниковым (Yandex Cloud) при поддержке CISOCLUB мы записали жёсткий разговор. Без купюр, без рекламы, только реальные «точки отказа».

Суть: SOC тонет в алертах, CISO не может обосновать бюджет, а бизнес не понимает, зачем платить за Threat Intelligence. Разобрали три главные причины разрыва и как его зашить.

Гости:
- Виталий – технический директор Inseca, руководитель SOC крупной промышленной компании.
- Юрий – руководитель SOC в Yandex Cloud, провайдер услуг для десятков клиентов.
- Николай – генеральный директор и основатель компании Технологии Киберугроз

Кому смотреть обязательно: CISO, руководителям SOC, TI‑аналитикам, интеграторам и всем, кто устал от шума вместо сигнала.

Смотреть запись

#technique

AIMap

Internet-scale discovery and security testing platform for exposed AI agent infrastructure.

https://github.com/BishopFox/aimap

#technique

WafRift

A programmable WAF-evasion engine. Encoding × grammar-aware mutation × HTTP smuggling × content-type confusion × TLS fingerprint rotation — every layer addressable, every winning combination cached. Point it at a WAF and an evolutionary loop (hill-climb / SA / tabu / novelty / MAP-Elites) discovers what bypasses that exact stack, then persists the winners to a per-WAF gene bank so the next scan starts with zero discovery.

https://github.com/santhsecurity/wafrift

#ParsedReport #CompletenessHigh
20-05-2026

Fake Microsoft Teams Campaign Delivers ValleyRAT via NSIS Installer and DLL Sideloading

https://labs.k7computing.com/index.php/fake-microsoft-teams-campaign-delivers-valleyrat-via-nsis-installer-and-dll-sideloading/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Dll_sideloading_technique
Valleyrat

Victims:
Microsoft teams users

Geo:
China, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.007, T1027.013, T1041, T1056.001, T1059.001, T1105, T1112, T1115, T1140, T1204.002, have more...

IOCs:
File: 3
Domain: 2
Command: 3
IP: 1
Hash: 3

Soft:
Microsoft Teams, NSIS Installer, Windows Defender, Twitter

Algorithms:
zip, aes, xor

Functions:
SetFileAttributes

Win API:
BcryptDecrypt, CreateThread, GetClipboardData

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 6, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4