#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Microsoft HTML Application Host (MSHTA) для содействия кампаниям ВПО из-за встроенного доверия в системах Windows. Техники включают многоэтапное выполнение без файлов с использованием HTA-скриптов и PowerShell, а злоумышленники часто применяют тактики социальной инженерии для распространения приманок. Известное ВПО, связанное с MSHTA, включает LummaStealer, Amatera, PurpleFox и CountLoader, при этом недавние тенденции показывают сдвиг в использовании вредоносных доменов для доставки HTA-вредоносных программ.
-----

Исследование Bitdefender подчеркивает продолжающуюся эксплуатацию Microsoft HTML Application Host (MSHTA) — устаревшего инструмента в системах Windows, который обеспечивает выполнение VBScript и JavaScript как из локальных, так и из удаленных файлов. Несмотря на то, что MSHTA был выведен из эксплуатации в рамках экосистемы Internet Explorer, он остается популярным выбором для злоумышленников из-за встроенного доверия и интеграции в операционную систему. Киберпреступники используют эту утилиту, часто в тактиках living-off-the-land (LOLBIN), для содействия широкому спектру кампаний ВПО, охватывающих от простых крадильщиков паролей до более сложных угроз.

Злоумышленники часто используют многоэтапные последовательности выполнения без файлов, которые задействуют HTA-скрипты и PowerShell вместе с MSHTA. Эти кампании, как правило, включают методы социальной инженерии, такие как поддельные загрузки программного обеспечения или приманки в стиле ClickFix, подчеркивая важность обучения пользователей и применения многоуровневых мер безопасности.

В спектр вредоносного ПО, выявленного в деятельности, связанной с MSHTA, входят такие массовые крадильщики, как LummaStealer и Amatera, а также более продвинутые угрозы, такие как PurpleFox и ClipBanker. Использование MSHTA в качестве вектора выполнения часто является частью более широкой цепочки атаки, при которой оно напрямую загружает и выполняет дополнительные вредоносные компоненты, хранящиеся на внешних серверах. Например, CountLoader представляет собой загрузчик на основе HTA, используемый для каскадного распространения различных ВПО, обычно эксплуатируя подозрительные URL-адреса, замаскированные под легитимные сервисы.

Последние тенденции указывают на смену доменной структуры злоумышленниками, которые переходят от использования доменов верхнего уровня .cc к доменам .vg и .gl для создания вредоносной инфраструктуры. Эти домены, часто выглядящие безобидно, служат механизмами доставки вредоносного контента HTA, который после выполнения извлекает дополнительные вредоносные компоненты, такие как зашифрованные скрипты PowerShell.

Кампания Emmenhtal Loader демонстрирует слаженность использования MSHTA и PowerShell в скоординированных атаках. В данном случае злоумышленники применяют MSHTA для запуска HTA-документа, который активирует вредоносный JavaScript, позволяя ему загружать дополнительные полез нагрузки через PowerShell, одновременно скрывая операции от жертвы. Аналогичным образом ClipBanker использует MSHTA для манипуляции содержимым буфера обмена, стремясь заменить адреса криптовалютных кошельков для эксплуатации.

Кроме того, MSHTA была замечена в операциях, связанных с PurpleFox, устойчивым вариантом вредоносного ПО, который адаптировался с течением времени, часто используя MSHTA для скрытой установки и процессов выполнения команд.

Хотя не каждое использование MSHTA свидетельствует о злонамеренных намерениях — что видно из его легитимных применений, таких как DriverPack, — его роль во множестве успешных атак является значительной. Поэтому организациям рекомендуется внедрять комплексные стратегии безопасности, которые должны включать обучение пользователей потенциальным рискам, надежные механизмы обнаружения аномалий выполнения скриптов, а также непрерывный мониторинг сетевой активности для снижения угроз, связанных с устаревшими утилитами, такими как MSHTA.

#ParsedReport #CompletenessLow
20-05-2026

The World Cup Fraud Infrastructure is Nearly Three Times Larger Than We First Reported

https://flare.io/learn/resources/blog/world-cup-fraud-infrastructure-three-times-larger-than-original-reporting

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Fifa, World cup fans, Sports, Ticketing, Retail, Streaming, Betting

Geo:
Mexico, Canada, China

ChatGPT TTPs:
do not use without manual check
T1090.002, T1583.001, T1588.002, T1656

IOCs:
Email: 1
IP: 5

Soft:
GoDaddy, Alibaba Cloud, HiChina, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование фишинговой инфраструктуры, связанной с Чемпионатом мира по футболу, выявило как минимум 222 мошеннических домена, связанных с четырьмя различными кластерами операторов, что значительно расширяет масштаб угрозы. Эти кластеры занимаются различными мошенническими действиями, включая тайпсквоттинг официального сайта ФИФА, и отражают распределенную сеть киберпреступников, использующих общие наборы для мошенничества. Текущий мониторинг выявляет тенденции, такие как увеличение регистраций доменов и потенциальные миграции в ответ на блокировки, что подчеркивает растущую сложность этого фишингового ландшафта.
-----

Расширенное расследование фишинговой инфраструктуры, связанной с Чемпионатом мира по футболу, выявило значительно более широкую и сложную сеть мошеннических доменов, чем сообщалось ранее. Изначально было выявлено 79 доменов, однако дальнейшие исследования увеличили это число до как минимум 222 доменов, работающих на 203 уникальных IP-адресах, что представляет собой рост количества доменов примерно в 2,8 раза и увеличение хостингового следа более чем в 14 раз. Кампания характеризуется наличием как минимум четырех отдельных кластеров операторов, что указывает на распределенную сеть киберпреступников, а не на одного централизованного злоумышленника.

Анализ показывает, что регистрации продолжают расти, при этом с начала апреля по середину апреля 2026 года было зарегистрировано еще 52 домена, что отражает резкий рост по мере приближения Чемпионата мира по футболу 2026 года. Расширенный набор данных выявляет различные паттерны регистрации, варианты размещения и отпечатки WHOIS среди кластеров, что указывает на независимых операторов, использующих общие мошеннические наборы инструментов. Примечательно, что около 10% набора данных включает идентифицируемую информацию об операторах, которые не применяли скрытие конфиденциальных данных, предоставляя основу для постоянного отслеживания этих субъектов.

Детальный анализ инфраструктуры выявляет конкретные кластеры. Кластер A в основном включает домены, напрямую использующие тайпсквоттинг официального сайта ФИФА (fifa.com), и насчитывает 86 доменов, которые обычно служат посадочными страницами для мошеннических схем продажи билетов на матчи ФИФА. Кластер B состоит из доменов, которые изначально казались предназначенными для универсального дропшиппинга, но теперь связаны с мошенничеством в рамках Чемпионата мира, при этом один из заметных доменов был зарегистрирован еще в 2015 году. Это демонстрирует операционную сложность, включающую повторное использование старых доменов для современных мошеннических схем.

Кластер C включает три домена, зарегистрированных у китайского регистратора, что указывает на то, что актор, базирующийся в Китае, функционирует параллельно с другими кластерами, тогда как кластер D связан с устоявшейся организацией под названием «888 World Cup Management Co Ltd.» Структурное разнообразие между этими кластерами подчеркивает сложность текущей фишинговой среды, где общие шаблоны могут эксплуатироваться несколькими децентрализованными акторами.

Cloudflare выделил определенные домены в этой сети как связанные с фишинговой деятельностью, подчеркивая масштаб проблемы для провайдеров CDN и команд по защите брендов. Постоянный мониторинг указывает на потенциальные тенденции, на которые следует обратить внимание перед турниром, включая дальнейшую регистрацию доменов, синхронизированную с официальными продажами билетов, и потенциальные миграции по мере того, как инфраструктура подвергается отключениям. Индикаторы компрометации, такие как домены и отпечатки операторов в этой обширной мошеннической экосистеме, предоставляются для дальнейшего анализа и мониторинга специалистами по кибербезопасности.

#ParsedReport #CompletenessLow
20-05-2026

WantToCry ransomware remotely encrypts files

https://www.sophos.com/en-us/blog/wanttocry-ransomware-remotely-encrypts-files

Report completeness: Low

Threats:
Wanttocry
Wannacry
Wannacryptor
Qtox_tool
Netsupportmanager_rat
Lockbit
Qilin_ransomware
Blackcat

Victims:
Organizations with internet exposed smb services

Geo:
Russian federation, America, Russia, Singapore, Germany

ChatGPT TTPs:
do not use without manual check
T1021.002, T1078, T1110.001, T1486, T1595.001

IOCs:
Url: 1
IP: 6

Soft:
Telegram

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware WantToCry нацелено на службы SMB, эксплуатируя слабую аутентификацию на TCP-портах 139 и 445 для получения доступа и выполнения эксфильтрации файлов и удаленного шифрования без локального выполнения ВПО. Злоумышленники используют методы брутфорса для кражи учетных данных и хранят зашифрованные файлы на своей инфраструктуре. Хотя кампания не демонстрирует тактики двойного вымогательства, обнаружение затруднено из-за отсутствия локального выполнения кода, что усложняет традиционные средства защиты безопасности.
-----

Ransomware WantToCry выдвинулся на роль критической киберугрозы, используя службы Server Message Block (SMB) для получения первоначального доступа, эксфильтрации файлов и удаленного шифрования данных жертв без необходимости локального выполнения ВПО. Аналитики SophosLabs сообщают, что атаки применяют автоматизированные методы брутфорса, направленные на службы SMB, подверженные слабому аутентифицированию, особенно через TCP-порты 139 и 445. Сканируя интернет на предмет уязвимых портов SMB, злоумышленники могут выявлять потенциальные цели с помощью сервисов разведки, таких как Shodan и Censys.

После успешной аутентификации злоумышленники инициируют эксфильтрацию файлов через аутентифицированные сеансы SMB, что является значительным отклонением от традиционных методов развертывания ВПО. Зашифрованные файлы хранятся на инфраструктуре, контролируемой злоумышленниками, прежде чем записываются обратно в исходные расположения на системах жертв. Заметки с вымогательством, оставленные под именем !Want_To_Cry.txt, предоставляют каналы связи через qTox или Телеграм для того, чтобы жертвы могли договориться о выплатах выкупа, которые обычно устанавливаются на уровне около 600 долларов США, но могут варьироваться в зависимости от инцидента. В отличие от многих кампаний с использованием ransomware, которые применяют тактику двойного вымогательства, в настоящее время нет никаких доказательств того, что WantToCry использует украденные данные для дальнейшего принуждения.

Инфраструктура атаки, используемая WantToCry, разделена на различные фазы, при этом разведка и аутентификация связаны с конкретными IP-адресами, некоторые из которых соответствуют российскому хостинг-провайдеру. Примечательно, что в этих операциях выявлены два устройства на базе Windows Server, также связанные с другой деятельностью ВПО; однако легитимность этих серверов усложняет атрибуцию атак. Использование виртуальных машин усложняет обнаружение, поскольку они могут быть перепрофилированы различными злоумышленниками.

Обнаружение представляет собой значительную сложность из-за характера операций WantToCry, которые не включают локальное выполнение кода, оставляя решения по безопасности зависимыми от индикаторов на основе процессов, с малым количеством артефактов для анализа. Системы обнаружения и реагирования на конечных точках (EDR) часто ошибочно классифицируют операции с файлами через SMB как нормальное поведение, что делает традиционные механизмы защиты менее эффективными. SophosCryptoGuard упоминается как полезный инструмент для мониторинга изменений содержимого файлов и обнаружения вредоносной активности шифрования независимо от источника.

Для снижения угрозы, связанной с WantToCry, организациям рекомендуется отключить SMBv1, удалить анонимный доступ к SMB и заблокировать входящий трафик SMB через интернет. Расширенные стратегии обнаружения, такие как расширенное обнаружение и реагирование (XDR), могут помочь выявить разведку и брутфорс-попытки, тем самым обеспечивая ранние предупреждения о потенциальных операциях WannaCry и подчеркивая важность надежных превентивных мер в области кибербезопасности.

#ParsedReport #CompletenessMedium
20-05-2026

Reverse Shai-Hulud: Supply chain compromise impacts @antv packages

https://www.threatlocker.com/blog/reverse-shai-hulud-supply-chain-compromise-impacts-antv-packages

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud

Victims:
Software, Open source developers, Npm ecosystem

Industry:
Education, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1041, T1059.007, T1140, T1195.001, T1485, T1528, T1546, T1550.001, have more...

IOCs:
File: 1
Url: 6
Domain: 1
Hash: 1

Soft:
Docker, Linux

Algorithms:
sha256, aes-256-gcm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud атакует экосистему npm @antv в рамках атаки на Цепочку поставок, компрометируя учетные данные администраторов и публикуя вредоносные версии пакетов, что затрагивает более 300 пакетов и влияет на тысячи пользователей. Зашифрованный полезный нагрузка червя захватывает конфиденциальные секреты CI/CD, такие как токены и учетные данные, во время установки npm, используя прямое HTTPS-соединение и публичные репозитории GitHub для эксфильтрации, шифруя данные с помощью AES-256-GCM и RSA. Кроме того, он использует механизмы закрепления и «мертвую кнопку» для удаления данных при определенных условиях, что указывает на тревожную тенденцию в распространении вредоносного ПО в цепочках поставок.
-----

Червь Mini Shai-Hulud возродился в рамках масштабной атаки на Цепочка поставок, затронувшей экосистему npm @antv. Эта кампания включала компрометацию учетных записей разработчиков, в частности, аккаунта atool, который опубликовал вредоносные версии нескольких пакетов с 5:19 до 5:06 UTC 19 мая 2026 года. Этот инцидент привел к компрометации более 300 пакетов, при этом ожидается, что более 600 затронутых версий окажут воздействие на тысячи пользователей, использующих эти пакеты в качестве зависимостей.

Вредоносная нагрузка встроена в обфусцированный файл `index.js`, который активируется во время действий prepare или preinstall в файле `package.json`. Это раннее выполнение позволяет червю работать незамеченным, поскольку пользователи получают ожидаемый пакет, неосознанно устанавливая вредоносный код. Функциональность червя в основном сосредоточена на краже и эксфильтрации конфиденциальных секретов CI/CD, включая токены npm и GitHub, учетные данные AWS, SSH-ключи и файлы .env. Метод захвата секретов GitHub Actions включает чтение секретов в открытом виде из памяти локального процесса Runner.

Эксфильтрация осуществляется двумя способами: через прямые HTTPS-соединения и, в качестве резервного варианта, через публичные репозитории GitHub. Собранные данные шифруются с использованием алгоритмов AES-256-GCM и RSA перед отправкой на вредоносные конечные точки. Примечательно, что для эксфильтрации используется новый публичный репозиторий GitHub, когда накоплено достаточное количество секретов GitHub, при этом названия репозиториев отражают номенклатуру, основанную на тематике «Дюны». Червь также установил механизмы закрепления, включая добавление хуков выполнения в файлы, такие как `.vscode/tasks.json`, и использование механизма «мертвой руки» для стирания данных при выполнении определенных условий.

Такие атаки на цепочку поставок подчеркивают тревожную тенденцию, при которой злоумышленники переходят от эксплуатации устаревшего программного обеспечения к распространению ВПО через доверенные источники пакетов. Следовательно, разработчики и пользователи сталкиваются с рисками, связанными с автоматическими обновлениями, поскольку целостность зависимостей больше нельзя считать гарантированной. Смена тактик не только увеличивает потенциальное воздействие кибератак, но и усложняет ландшафт безопасности для организаций, требуя тщательного и контролируемого подхода к обновлениям пакетов для снижения риска компрометации.

#ParsedReport #CompletenessLow
20-05-2026

Steganography Secrets: Malware Hidden in Plain Sight

https://cofense.com/blog/steganography-secrets-malware-hidden-in-plain-sight

Report completeness: Low

Threats:
Steganography_technique
Remcos_rat
Agent_tesla
Xworm_rat
Formbook

Victims:
Finance

Industry:
Financial

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1005, T1027.003, T1027.013, T1055, T1056.001, T1059.007, T1105, T1112, T1113, T1140, have more...

IOCs:
Domain: 4
File: 1

Soft:
Windows Explorer, Windows Registry

Algorithms:
base64

Win Services:
bits

Languages:
dotnet, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Стеганографию для внедрения вредоносного кода в изображения, размещенные на таких платформах, как "uploaddeimagens.com.br" и "archive.org", что позволяет им обходить обнаружение системами безопасности. Эти кампании часто доставляют трояны удаленного доступа (RAT), такие как Remcos и Agent Tesla, часто используя JavaScript Dropper для инициирования загрузки замаскированных вредоносных файлов. Применяемые техники включают кодирование Base64 и использование DLL DotNET Loader для повышения привилегий, что усложняет обнаружение традиционными инструментами безопасности.
-----

Злоумышленники всё чаще используют Стеганографию, особенно через сервисы размещения и обмена изображениями, для доставки ВПО скрытым образом, что часто позволяет обойти системы безопасности предприятий. Этот сложный тактический приём заключается во внедрении вредоносного кода в изображения, которые выглядят безобидно, с использованием таких методов, как кодирование Base64 и обфускация, чтобы скрыть их истинное намерение. В этих кампаниях успешная доставка ВПО обычно завершается выполнением троянов удалённого доступа (RAT) и программ-шпионов, при этом избегая обнаружения продуктами Endpoint Detection and Response (EDR).

В отчете отмечается, что 27% стеганографических кампаний были обнаружены доставляющими RAT Remcos, 21% нацелены на пользователей через кейлоггер Agent Tesla, а еще 18% используют RAT XWorm. Скрытный характер этих атак усиливается за счет использования DLL-загрузчика DotNET, который обеспечивает повышение привилегий и позволяет ВПО запускаться непосредственно в памяти легитимных процессов, что затрудняет обнаружение угрозы традиционными средствами защиты. Наиболее примечательно, что кампании часто нацелены на темы, связанные с финансами, при этом значительное количество вредоносных изображений было получено с таких доменов, как "uploaddeimagens.com.br" и "archive.org.".

При выполнении этих атак злоумышленники обычно используют JavaScript Dropper в качестве начального механизма доставки. Например, фишинговое письмо может содержать看似 безобидный документ, который при запуске загружает файл изображения, скрывающий вредоносную DLL. Эти файлы изображений имитируют обои рабочего стола и форматируются таким образом, чтобы избежать обнаружения, сохраняя безобидные метаданные и незначительное увеличение размера, часто оставаясь менее одного мегабайта. Вредоносная нагрузка, часто закодированная, может быть получена только специфическими механизмами доставки, разработанными злоумышленниками.

Эта эволюция доставки ВПО указывает на эскалацию как в уровне сложности, так и в целевых стратегиях, применяемых киберпреступниками. Поскольку постоянное злоупотребление платформами для размещения изображений включает методы, усложняющие усилия поставщиков безопасности по дифференциации между легитимным и вредоносным контентом, специалистам по безопасности необходимо усилить свой подход, делая акцент на поведенческом анализе наряду с традиционным статическим мониторингом файлов, чтобы эффективно противостоять этим более скрытным векторам атак. Стойкость этой тревожной тенденции требует повышенной бдительности и проактивных мер как от команд безопасности, так и от отдельных пользователей.

#ParsedReport #CompletenessHigh
20-05-2026

CrystalX: unpacking a Go RAT through three encrypted layers

https://www.derp.ca/research/crystalx-go-rat/

Report completeness: High

Threats:
Crystalx_rat
Webcrystal_rat
Mitm_technique
Wevtutil_tool
Procmon_tool
Process_hacker_tool

Industry:
Healthcare, Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1053.005, T1056.001, T1059.001, T1059.003, T1070.001, T1070.004, T1071.001, T1083, have more...

IOCs:
Url: 4
Hash: 4
File: 8
Domain: 4
Path: 3
Command: 1

Soft:
discord, Windows Security, Chrome, Opera, discordcanary, discordptb, Telegram, Steam, Roblox, VirtualBox, have more...

Algorithms:
sha1, aes, sha256, xor, chacha20, rc4, base64, deflate, aes-ctr, aes-gcm

Functions:
TaskScheduler

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, NtTraceEvent, AmsiScanBuffer, EtwEventWrite

Win Services:
WinDefend

Languages:
powershell

Platforms:
x64

Links:
https://github.com/kirkderp/yara/tree/main/crystalx\_go\_rat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrystalX — это сложная троянская программа (RAT), разработанная на языке Go и доставляемая через загрузчик NursultanCracked.exe. Она использует передовые техники обфускации, включая несколько слоёв шифрования, для сокрытия вредоносного кода и взаимодействует с сервером управления (C2) crystalxrat.net через защищённые WebSocket-соединения. RAT предназначена для комплексного управления системой, включая кражу учётных данных и удалённый доступ, а также применяет тактики противодействия анализу для уклонения от обнаружения в виртуальных средах.
-----

CrystalX — это сложная Троянская программа удалённого доступа (RAT), написанная на языке Go и доставляемая через нативный загрузчик Windows под названием NursultanCracked.exe, размер которого составляет чуть более 3 МБ. Вредоносный полезный код скрыт в зашифрованном разделе ресурсов и проходит три слоя трансформации: XOR-шифрование, зависящее от позиции, шифрование ChaCha20 и сжатие DEFLATE в сыром виде. Распакованная Троянская программа на Go добавляет дополнительный слой шифрования для операционных строк, раскрывая критически важную информацию после расшифровки, включая пути управления (C2), механизмы закрепления и обширный набор команд для различных вредоносных действий, таких как управление файлами, кража учётных данных и доступ к удалённому рабочему столу.

RAT CrystalX использует протокол WebSocket для связи с C2, применяя защищённые соединения к домену crystalxrat.net. Он использует как жёстко закодированные, так и расшифровываемые во время выполнения строки для взаимодействия с набором команд, который включает более 40 команд для выполнения системных задач, управления файлами и сбора конфиденциальной информации, такой как содержимое буфера обмена и установленное программное обеспечение. Механизмы закрепления вредоносного ПО отличаются высокой надёжностью: оно использует запланированные задачи и фильтры WMI для поддержания своего присутствия на затронутых системах. В частности, оно использует запланированную задачу для выполнения файла-рабочего процесса при входе в систему и потребителя WMI для мониторинга системных изменений.

Техники антианализа являются центральными для функциональности CrystalX. RAT проводит тщательные проверки окружения для обнаружения виртуальных машин и инструментов анализа, отключая Windows Defender и очищая журналы событий, если он определяет песочницу или среду безопасности. Он собирает и реагирует на исчерпывающий список условий и артефактов, обычно связанных с виртуальными машинами, обеспечивая скрытность своих операций от средств защиты.

Анализ сетевого поведения показывает, что CrystalX подключается к своему C2-серверу через TLS, управляя значительными объемами передачи данных, не раскрывая полезную нагрузку из-за шифрования. C2-инфраструктура выглядит сложной, использует CDN-сервисы и домены, зарегистрированные для поддержки операций в течение длительного времени. Улики указывают на то, что CrystalX является продолжением ранее выявленного ВПО, с публичной историей, связывающей его с более ранним брендингом WebCrystal RAT.

#ParsedReport #CompletenessHigh
20-05-2026

Lorem Ipsum Malware: Trojanized MS Teams Installers Deliver Multi-Stage Loader and Backdoor

https://www.bluevoyant.com/blog/lorem-ipsum-trojanized-microsoft-teams-installers-multi-stage-loader-backdoor

Report completeness: High

Threats:
Lorem_ipsum_loader
Seo_poisoning_technique
Dll_sideloading_technique
Dead_drop_technique
Aitm_technique
Supply_chain_technique

Victims:
Healthcare, Users searching for microsoft teams

Industry:
Healthcare

Geo:
Russia, Middle east, America, India, Asia, Iceland

TTPs:
Tactics: 2
Technics: 16

IOCs:
Command: 1
File: 6
Domain: 7
Url: 2
Hash: 4

Soft:
Microsoft Teams, Windows registry, Pastebin, Telegram, Twitter

Algorithms:
xor, aes, base64, gzip

Win API:
decompress, LoadLibraryA, GetProcAddress, CreateMutexA, UuidFromStringA, VirtualProtect, CryptBinaryToStringA

Languages:
php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Lorem Ipsum эволюционировала, чтобы использовать глобальную стратегию Отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатые загрузчики shellcode и бэкдоры. ВПО применяет передовые техники, такие как XOR-шифрование и подгрузка DLL, используя скомпрометированные методы SEO для заманивания жертв на поддельные сайты установщиков. Связь с его инфраструктурой управления осуществляется через файлы изображений JFIF, что демонстрирует постоянное совершенствование злоумышленников в уклонении от обнаружения при сохранении операционных возможностей.
-----

Вредоносная кампания Lorem Ipsum эволюционировала в сложную угрозу, характеризующуюся глобальной стратегией отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатый загрузчик shellcode и бэкдор. Операция, активная с февраля 2026 года, нацелена на пользователей, ищущих Microsoft Teams в нескольких странах, включая сектор здравоохранения США. Эволюция вредоносного ПО демонстрирует передовые техники, включающие декодирование шифра подстановки, заглушки shellcode с XOR-шифрованием и подгрузку DLL, что указывает на хорошо финансируемого актора среднего уровня, использующего потенциально методы программирования с помощью ИИ.

Сначала вредоносное ПО использует скомпрометированное SEO для перенаправления пользователей на поддельные веб-сайты, где размещены фальшивые установщики. Эти установщики, хотя и выглядят легитимными благодаря действительным подписанным сертификатам Microsoft ID с коротким сроком действия, содержат встроенные вредоносные скрипты PowerShell. При выполнении скрипты расшифровывают различные этапы полезной нагрузки с помощью шифрования AES, скрывая фактическое вредоносное содержимое с помощью слоев обфускации и методов противодействия анализу. Полезные нагрузки разработаны так, чтобы обеспечивать закрепление в системе жертвы путем записи в реестр Windows.

Инфраструктура command-and-control (C2) использует инновационные тактики, такие как использование letsdiskuss.com для разрешения dead-drop. Профили на этой платформе содержат закодированные данные C2, передаваемые через стандартные HTTP-запросы, замаскированные под безобидный трафик. Malware взаимодействует с использованием файлов изображений JFIF с добавленными данными, скрытно внедряя команды и полезную нагрузку, что позволяет обходить традиционные методы обнаружения.

Последние итерации ВПО, начавшиеся в конце апреля, демонстрируют техники подгрузки DLL (DLL sideloading) наряду с оригинальным механизмом закрепления на основе PowerShell. Эта адаптация демонстрирует постоянную доработку подхода злоумышленников для обхода обнаружения при сохранении функциональных возможностей, предоставляемых бэкдором. ВПО собирает информацию о хосте и поддерживает активную связь с C2, где при необходимости может выполнять дополнительные команды.

Оперативный темп этой кампании, наблюдавшийся в течение краткого периода, подчеркивает целенаправленное и итеративное развитие возможностей ВПО. Злоумышленники успешно перешли от базовых троянизированных сборок к более сложным архитектурам загрузчиков, постоянно совершенствуя техники уклонения и инфраструктуру. Учитывая устойчивые усилия по манипулированию поисковыми системами, получению сертификатов и регистрации доменов, кампания Lorem Ipsum указывает на растущую сложность, что должно побуждать защитников кибербезопасности к постоянной бдительности. Надежные шаблоны обнаружения, установленные в отчете, включая поведение трафика к letsdiskuss.com и уникальные структуры обратных вызовов, могут служить важными индикаторами для выявления активности этой хакерской группировки в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's durabletask PyPI Package Compromised in Supply Chain Attack

https://www.stepsecurity.io/blog/microsofts-durabletask-pypi-package-compromised-in-supply-chain-attack

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Tailscale_tool
Firescale

Victims:
Software development, Cloud services, Continuous integration and delivery, Server infrastructure, Containerized environments

Geo:
Tehran, Russian

CVEs:
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.004, T1041, T1059.004, T1059.006, T1102.001, T1105, T1110, T1195.001, T1485, have more...

IOCs:
Domain: 2
File: 17
IP: 1
Url: 4
Hash: 7

Soft:
systemd, Kubernetes, TanStack, LiteLLM, netes recon, nviro, reco, Linux, Claude, Docker, have more...

Algorithms:
rsa-4096, sha256, base64, aes-256-gcm, gzip

Functions:
PyPI, memfd_create

Languages:
python

Platforms:
intel

Links:
https://github.com/step-security/harden-runner