Всем привет 👋.
Инсека и Технологии киберугроз приглашают вас на CTI meetup #5.

🍻 обсуждаем рабочие моменты, делимся опытом
📆 23 мая, 14:00-20:00

📍 Место: Лофт «Москва» по адресу Москва, Берсеневская набережная, 6с3

Программа CTI meetup #5:
Сбор гостей 13:30-14:00
Начало выступлений 14:00

1. Threat Hunting в опенсорсе: злоумышленники используют ИИ, мы тоже, но есть нюанс
Раковский Станислав (руководитель группы Supply Chain Security в Positive Technologies)

2. Хватит «приручать фиды»: что реально работает в телекоме
Елютин Павел (руководитель направления анализа киберугроз, Билайн)
Снежков Александр (эксперт по анализу киберугроз, Билайн)

3. Докладчик уточняется

🍻 Кофе-брейк 15:30-16:00

4. Практический CTI 2.0: добро пожаловать в Cyberpunk. Ну почти.
Мешков Андрей (независимый эксперт)

5. Квиз

✌️17:00-20:00 С вас общение, с нас пиво.
Мы рады будем видеть всех желающих, но к сожалению, количество мест ограничено размерами помещения.

👉🏼 Зарегистрироваться

Ну и на митапе мы презентуем наше первого исследование по киберугрозам за 2025 год.

#SOC #CISO #CISOCLUB #CyberThreatTech

«Ваш TI – это просто дорогой способ ничего не делать»

Вместе с Виталием Евсиковым (Inseca) и Юрием Наместниковым (Yandex Cloud) при поддержке CISOCLUB мы записали жёсткий разговор. Без купюр, без рекламы, только реальные «точки отказа».

Суть: SOC тонет в алертах, CISO не может обосновать бюджет, а бизнес не понимает, зачем платить за Threat Intelligence. Разобрали три главные причины разрыва и как его зашить.

Гости:
- Виталий – технический директор Inseca, руководитель SOC крупной промышленной компании.
- Юрий – руководитель SOC в Yandex Cloud, провайдер услуг для десятков клиентов.
- Николай – генеральный директор и основатель компании Технологии Киберугроз

Кому смотреть обязательно: CISO, руководителям SOC, TI‑аналитикам, интеграторам и всем, кто устал от шума вместо сигнала.

Смотреть запись

#technique

AIMap

Internet-scale discovery and security testing platform for exposed AI agent infrastructure.

https://github.com/BishopFox/aimap

#technique

WafRift

A programmable WAF-evasion engine. Encoding × grammar-aware mutation × HTTP smuggling × content-type confusion × TLS fingerprint rotation — every layer addressable, every winning combination cached. Point it at a WAF and an evolutionary loop (hill-climb / SA / tabu / novelty / MAP-Elites) discovers what bypasses that exact stack, then persists the winners to a per-WAF gene bank so the next scan starts with zero discovery.

https://github.com/santhsecurity/wafrift

#ParsedReport #CompletenessHigh
20-05-2026

Fake Microsoft Teams Campaign Delivers ValleyRAT via NSIS Installer and DLL Sideloading

https://labs.k7computing.com/index.php/fake-microsoft-teams-campaign-delivers-valleyrat-via-nsis-installer-and-dll-sideloading/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Dll_sideloading_technique
Valleyrat

Victims:
Microsoft teams users

Geo:
China, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.007, T1027.013, T1041, T1056.001, T1059.001, T1105, T1112, T1115, T1140, T1204.002, have more...

IOCs:
File: 3
Domain: 2
Command: 3
IP: 1
Hash: 3

Soft:
Microsoft Teams, NSIS Installer, Windows Defender, Twitter

Algorithms:
zip, aes, xor

Functions:
SetFileAttributes

Win API:
BcryptDecrypt, CreateThread, GetClipboardData

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 6, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская кампания использует поддельные сайты распространения Microsoft Teams для развертывания варианта вредоносного ПО ValleyRAT через троянизированный установщик. Установщик применяет подгрузку DLL, используя легитимный GameBox.exe в качестве фасада, при этом размещая загрузчик, вредоносную DLL (utility.dll) и другие двоичные файлы. Вредоносное ПО использует передовые техники уклонения, такие как изменение настроек Windows Defender, отражательная загрузка для избежания обнаружения и поддержание связи с сервером C2 для эксфильтрации конфиденциальных данных, что указывает на связь с хакерской группировкой SilverFox APT.
-----

Выявлена недавняя преступная хакерская кампания, использующая поддельные сайты распространения Microsoft Teams для доставки варианта вредоносного ПО ValleyRAT. Сайты, созданные для того, чтобы максимально имитировать легальную страницу загрузки Microsoft Teams, используют обманные домены, такие как teams-securecall.com и teamszs.com. Пользователи, не подозревающие об опасности, которые скачивают zip-архив, становятся жертвами троянизированного установщика, использующего подгрузку DLL (DLL sideloading) с помощью легитимного исполняемого файла GameBox.exe, разработанного Tencent.

После запуска установщик выступает в роли механизма развертывания, а не выполняет традиционную установку программного обеспечения. Он размещает несколько компонентов, включая загрузчик, вредоносную DLL-библиотеку (utility.dll) и дополнительные двоичные файлы, одновременно помещая на рабочий стол пользователя легитимный установщик Microsoft Teams для маскировки установки вредоносных компонентов. Значительным методом обхода является изменение настроек Windows Defender для игнорирования действий, связанных с ВПО, путем выполнения определенных команд PowerShell, которые добавляют исключения в систему.

Вредоносное ПО также использует техники скрытности, такие как изменение атрибутов файлов для скрытия установленных компонентов и хранение конфигурационной информации в ключах реестра, которые напоминают предыдущие реализации ValleyRAT. Полезная нагрузка, зашифрованная с помощью AES, расшифровывается в памяти во время выполнения, что способствует бесшовному процессу проникновения. Загрузчик использует техники отраженной загрузки для выполнения вредоносного ПО без создания обнаруживаемых файлов на диске.

Анализ сетевой коммуникации показывает, что ВПО поддерживает исходящие TCP-соединения с сервером управления (C2), что обеспечивает двустороннюю передачу данных. Оно собирает конфиденциальную информацию, включая нажатия клавиш и данные из буфера обмена, которые логируются для последующей эксфильтрации на C2. Модульная природа ВПО позволяет злоумышленнику динамически обновлять полезную нагрузку, повышая её эффективность в различных кампаниях.

Ключевые индикаторы компрометации (IOCs), связанные с этой кампанией, включают zip-файл (98653.2.87.teamsx.zip), utility.dll и зашифрованный файл user.dat. Кампания демонстрирует использование социальной инженерии, сложных тактик уклонения и многоэтапного развертывания ВПО, подчеркивая четкий фокус злоумышленников на скрытности и закреплении, которые, как полагают, связаны с хакерской группировкой SilverFox APT.

#ParsedReport #CompletenessLow
20-05-2026

New VoidStealer Trojan bypasses Chrome’s stored data protection

https://www.kaspersky.com/blog/chrome-application-bound-encryption-bypass-voidstealer/55735/

Report completeness: Low

Threats:
Voidstealer
Meduza
Lumma_stealer
Whitesnake_stealer
Lumar
Poverty_stealer
Clickfix_technique

Victims:
Chrome users, Windows users, Chromium based browser users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1539, T1555.003

Soft:
Chrome, Google Chrome, Microsoft Edge, Opera, Vivaldi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidStealer — это новый стиллер-троян, который обходит App-Bound Encryption (ABE) в Chrome для извлечения конфиденциальных пользовательских данных, в частности сохраненных сеансовых файлов cookie и учетных данных. Он использует момент, когда мастер-ключ шифрования находится в памяти в виде открытого текста, применяя технику отладчика для приостановки выполнения браузера и доступа к этому ключу. Архитектура вредоносного ПО построена по модели ВПО как услуга, что делает его более доступным для злоумышленников и подчеркивает наличие уязвимостей, несмотря на достижения в области безопасности.
-----

Троян VoidStealer — это недавно обнаруженный стиллер, использующий сложную технику для обхода привязанного к приложению шифрования (App-Bound Encryption, ABE) в Chrome, что позволяет ему красть конфиденциальные данные пользователей. Эта возможность позволяет VoidStealer атаковать сохраненные сеансовые файлы cookie и учетные данные, которые должны были быть защищены мерами безопасности Chrome, разработанными для защиты от несанкционированного доступа, особенно с уже скомпрометированных систем.

ABE, представленная Google в июле 2024 года с версией Chrome 127, была разработана для усиления защиты данных путем привязки шифрования к конкретному приложению — в данном случае к Chrome. Она использует отдельный сервис для защиты мастер-ключа, необходимого для расшифровки конфиденциальной информации. Цель заключалась в том, чтобы предотвратить доступ инфостилеров к защищенным данным, даже если ВПО работает с привилегиями пользователя. Однако авторы ВПО постоянно находят способы обойти эти защиты, что указывает на сохранение уязвимостей.

Метод VoidStealer использует момент, когда мастер-ключ существует в виде открытого текста в памяти браузера. Это происходит, когда Chrome расшифровывает данные для операционного использования, например, при входе на веб-сайты. VoidStealer прикрепляется к Chrome в качестве отладчика, что позволяет ему контролировать выполнение программы. Когда происходит процесс расшифровки, вредоносное ПО устанавливает точку останова, замораживая выполнение браузера, что предоставляет ему доступ к мастер-ключу напрямую из оперативной памяти (RAM).

Эта тактика отражает более широкую тенденцию: разработчики ВПО быстро адаптируются к мерам безопасности. До появления VoidStealer другие инфостилеры, включая Meduza, Whitesnake и Lumma Stealer, уже заявляли о возможности обхода ABE, что демонстрирует непрерывный цикл адаптации и контр-адаптации между разработчиками вредоносного ПО и исследователями безопасности.

Кроме того, архитектура VoidStealer работает по модели ВПО как услуга, что облегчает её развертывание менее квалифицированными злоумышленниками. Это повышает риск массовых атак, поскольку вредоносное ПО можно арендовать, а не разрабатывать собственные решения. Учитывая растущую сложность таких угроз, полагаться исключительно на встроенные функции безопасности недостаточно для предотвращения утечек данных. Пользователям рекомендуется избегать установки программного обеспечения из непроверенных источников, обновлять операционные системы и использовать надежные инструменты управления паролями вместо хранения конфиденциальной информации непосредственно в браузерах, таких как Chrome.

#ParsedReport #CompletenessLow
19-05-2026

Popular Go Decimal Library Targeted by Long-Running Typosquat with DNS Backdoor

https://socket.dev/blog/popular-go-decimal-library-typosquat-dns-backdoor

Report completeness: Low

Actors/Campaigns:
Boltdb-go

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Software development, Financial services, Billing, Cryptocurrency, Analytics, Continuous integration

TTPs:
Tactics: 4
Technics: 6

IOCs:
Domain: 2
File: 7
Hash: 4

Wallets:
metamask

Algorithms:
sha256, zip, md5, sha1

Functions:
init, main, CombinedOutput

Links:
https://socket.dev/go/package/github.com/shopsprint/decimal?version=v1.3.3
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль Go, маскирующийся под легитимную библиотеку shopspring/decimal, был использован для создания канала управления с помощью DNS TXT-записей. Активный с 2017 года и модифицированный в августе 2023 года, он включает троянизированную функцию init(), которая каждые пять минут опрашивает жестко заданный домен DNS для выполнения команд. Это представляет значительные риски, позволяя выполнять несанкционированные команды в средах, импортирующих скомпрометированную библиотеку, без вызова предупреждений из-за неограниченного кэширования версий модулей.
-----

Вредоносный Go-модуль с именем github.com/shopsprint/decimal имитирует легитимную библиотеку shopspring/decimal.

Этот тайпсквотинг-инструмент активен с 8 ноября 2017 года и был вооружён 19 августа 2023 года с выпуском версии v1.3.3.

Версия v1.3.3 содержит вредоносную функцию init(), которая устанавливает канал управления (C2) через DNS TXT-записи к домену, контролируемому злоумышленником.

Модуль использует бесплатный провайдер динамической DNS для своей инфраструктуры C2.

Вредоносная версия сохраняет публичный API и функциональность легитимной библиотеки, одновременно внедряя полезную нагрузку, которая выполняет команды через DNS TXT-записи.

Заражённое программное обеспечение опрашивает вредоносную DNS-запись каждые пять минут для выполнения полученных команд в скрытом режиме.

Изменения в версиях v1.3.2 и v1.3.3 включают дополнительные импорты (net, os/exec и time), цикл C2 в горутине и нефункциональную функцию main() для маскировки.

Встроенный домен C2 — dnslog-cdn-images.freemyip.com, который разрешается в поддельный IP-адрес.

Использование DNS TXT-записей помогает злоумышленнику избегать обнаружения, которое обычно сосредоточено на HTTP-трафике.

Разработчики, загрузившие вредоносную версию, не получали бы предупреждений, поскольку Go Module Proxy кэширует все версии модулей неограниченно долго.

Заражение позволяет выполнять широкие команды с теми же правами пользователя, что создает риск компрометации учетных данных и токенов доступа в таких средах, как конвейеры CI/CD.

Разработчикам рекомендуется провести аудит зависимостей на наличие опечатанного модуля и заменить его на легитимный.

Командам безопасности следует отслеживать вредоносные DNS-запросы и ограничивать исходящий трафик на скомпрометированные домены, а также сканировать кэши модулей Go на наличие вредоносных зависимостей.

#ParsedReport #CompletenessMedium
20-05-2026

Tracking TamperedChef Clusters via Certificate and Code Reuse

https://unit42.paloaltonetworks.com/tracking-tampered-chef-clusters/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1089
Cl-unk-1090
Cl-unk-1100

Threats:
Tamperedchef
Evilai
Appsuite
Justaskjacky
Residential_proxy_technique
Bloat_technique

Victims:
Global users, Productivity software users, Israel, United states

Industry:
Government, Logistic, E-commerce, Media, Healthcare, Education, Iot

Geo:
Israeli, Malaysia, Malaysian, Singapore, Ukraine, Ukrainian, Israel, Togo

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1033, T1036, T1041, T1053.005, T1082, T1090, T1105, T1204.002, have more...

IOCs:
Url: 1
File: 2
Domain: 2
Hash: 2

Soft:
CrystalPDF, DocuFlex, Neutralinojs, 7zSFX, PDFPrime, SwiftNav, RapiDoc, RapiDoc RapiDoc, PAN-OS

Wallets:
harmony_wallet

Algorithms:
zip, sha256

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО TamperedChef, также известное как EvilAI, представляет собой значительную киберугрозу, распространяемую через троянизированные приложения для продуктивности, такие как редакторы PDF, что приводит пользователей к вредоносным загрузкам. Оно демонстрирует сходство с рекламным ПО, но обладает скрытым закреплением и способностью выполняться после длительных периодов бездействия. Вредоносное ПО, наблюдаемое в различных кампаниях и связанное с организованными сетями, использует обманные механизмы доставки, такие как Сертификаты подписи кода и сайты, выглядящие легитимно, для распространения вторичных загрузок, таких как крадущие информацию программы и RAT.
-----

Вредоносное ПО TamperedChef, также известное как EvilAI, распространяется через троянизированные приложения для повышения продуктивности, такие как редакторы PDF и календари.

Это часто приводит пользователей к вредоносным полезным нагрузкам через обманные рекламные объявления.

Данный тип ВПО имеет сходство с потенциально нежелательными программами (PUPs) и рекламным ПО, обладая сильными механизмами закрепления.

TamperedChef обладает скрытными характеристиками, оставаясь в спящем режиме в течение длительных периодов перед выполнением вредоносных компонентов.

Наблюдаются кластеры активности, связанные с данным ВПО, выявлено более 4 000 образцов и около 100 уникальных вариантов.

Вторичные полезная нагрузка из этих кампаний включает в себя инфостилеры и удаленные доступ трояны (RATs), доставляемые через серверы управления (C2).

В 2025 году наблюдается рост вредоносных приложений, имитирующих легитимные инструменты, что привело к выявлению более 100 новых связанных вариантов ВПО.

Эти приложения используют обманные механизмы доставки и тщательно разработанные веб-сайты для уклонения от обнаружения, а также мошеннические тактики рекламы и задачи, запланированные по расписанию.

Операторы ВПО повышают легитимность с помощью Сертификатов подписи кода, хотя плохая гигиена в этих сертификатах может способствовать обнаружению.

Существует значительная связь между кластерами активности и корпоративными структурами в Израиле и Украине, что указывает на организованную сеть, стоящую за операциями.

Вертикальная интеграция разработки ВПО и рекламных операций указывает на наличие обширных возможностей для проведения рекламных кампаний.

TamperedChef ведет себя как рекламное ПО, но также собирает конфиденциальную информацию пользователей, включая учетные данные и сведения об устройстве.

Доставка полезной нагрузки часто включает скрытые RAT с акцентом на манипуляции с браузером.

Мониторинг журналов доступа на предмет потенциального несанкционированного использования учётных данных имеет решающее значение, поскольку кампании TamperedChef продолжают развиваться.

#ParsedReport #CompletenessHigh
20-05-2026

Operation Dragon Whistle: UNG002 Targets Chinese Academia via Weaponized Institutional Lure

https://www.seqrite.com/blog/operation-dragon-whistle-ung002-targets-chinese-academia-via-weaponized-institutional-lure/

Report completeness: High

Actors/Campaigns:
Dragon_whistle
Ung002
Cobalt_whisper

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Dllsearchorder_hijacking_technique
Cobalt_strike_tool

Victims:
Education, Government affiliated academic bodies, Sports and physical education departments, Students, Academic administration

Industry:
Education, Government, Healthcare

Geo:
Korean, Chinese, China

TTPs:
Tactics: 6
Technics: 18

IOCs:
File: 14
IP: 1
Domain: 1
Hash: 6

Soft:
macOS, Bandizip, Windows security, Event Tracing for Windows, Alibaba Cloud, Feishu, HiChina, baba Cloud spec

Algorithms:
sha256, zip

Functions:
CreateArk

Win API:
GetTickCount, CheckRemoteDebuggerPresent, IsDebuggerPresent, VirtualAlloc, CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
visual_basic