#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware WantToCry нацелено на службы SMB, эксплуатируя слабую аутентификацию на TCP-портах 139 и 445 для получения доступа и выполнения эксфильтрации файлов и удаленного шифрования без локального выполнения ВПО. Злоумышленники используют методы брутфорса для кражи учетных данных и хранят зашифрованные файлы на своей инфраструктуре. Хотя кампания не демонстрирует тактики двойного вымогательства, обнаружение затруднено из-за отсутствия локального выполнения кода, что усложняет традиционные средства защиты безопасности.
-----

Ransomware WantToCry выдвинулся на роль критической киберугрозы, используя службы Server Message Block (SMB) для получения первоначального доступа, эксфильтрации файлов и удаленного шифрования данных жертв без необходимости локального выполнения ВПО. Аналитики SophosLabs сообщают, что атаки применяют автоматизированные методы брутфорса, направленные на службы SMB, подверженные слабому аутентифицированию, особенно через TCP-порты 139 и 445. Сканируя интернет на предмет уязвимых портов SMB, злоумышленники могут выявлять потенциальные цели с помощью сервисов разведки, таких как Shodan и Censys.

После успешной аутентификации злоумышленники инициируют эксфильтрацию файлов через аутентифицированные сеансы SMB, что является значительным отклонением от традиционных методов развертывания ВПО. Зашифрованные файлы хранятся на инфраструктуре, контролируемой злоумышленниками, прежде чем записываются обратно в исходные расположения на системах жертв. Заметки с вымогательством, оставленные под именем !Want_To_Cry.txt, предоставляют каналы связи через qTox или Телеграм для того, чтобы жертвы могли договориться о выплатах выкупа, которые обычно устанавливаются на уровне около 600 долларов США, но могут варьироваться в зависимости от инцидента. В отличие от многих кампаний с использованием ransomware, которые применяют тактику двойного вымогательства, в настоящее время нет никаких доказательств того, что WantToCry использует украденные данные для дальнейшего принуждения.

Инфраструктура атаки, используемая WantToCry, разделена на различные фазы, при этом разведка и аутентификация связаны с конкретными IP-адресами, некоторые из которых соответствуют российскому хостинг-провайдеру. Примечательно, что в этих операциях выявлены два устройства на базе Windows Server, также связанные с другой деятельностью ВПО; однако легитимность этих серверов усложняет атрибуцию атак. Использование виртуальных машин усложняет обнаружение, поскольку они могут быть перепрофилированы различными злоумышленниками.

Обнаружение представляет собой значительную сложность из-за характера операций WantToCry, которые не включают локальное выполнение кода, оставляя решения по безопасности зависимыми от индикаторов на основе процессов, с малым количеством артефактов для анализа. Системы обнаружения и реагирования на конечных точках (EDR) часто ошибочно классифицируют операции с файлами через SMB как нормальное поведение, что делает традиционные механизмы защиты менее эффективными. SophosCryptoGuard упоминается как полезный инструмент для мониторинга изменений содержимого файлов и обнаружения вредоносной активности шифрования независимо от источника.

Для снижения угрозы, связанной с WantToCry, организациям рекомендуется отключить SMBv1, удалить анонимный доступ к SMB и заблокировать входящий трафик SMB через интернет. Расширенные стратегии обнаружения, такие как расширенное обнаружение и реагирование (XDR), могут помочь выявить разведку и брутфорс-попытки, тем самым обеспечивая ранние предупреждения о потенциальных операциях WannaCry и подчеркивая важность надежных превентивных мер в области кибербезопасности.

#ParsedReport #CompletenessMedium
20-05-2026

Reverse Shai-Hulud: Supply chain compromise impacts @antv packages

https://www.threatlocker.com/blog/reverse-shai-hulud-supply-chain-compromise-impacts-antv-packages

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud

Victims:
Software, Open source developers, Npm ecosystem

Industry:
Education, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1041, T1059.007, T1140, T1195.001, T1485, T1528, T1546, T1550.001, have more...

IOCs:
File: 1
Url: 6
Domain: 1
Hash: 1

Soft:
Docker, Linux

Algorithms:
sha256, aes-256-gcm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Mini Shai-Hulud атакует экосистему npm @antv в рамках атаки на Цепочку поставок, компрометируя учетные данные администраторов и публикуя вредоносные версии пакетов, что затрагивает более 300 пакетов и влияет на тысячи пользователей. Зашифрованный полезный нагрузка червя захватывает конфиденциальные секреты CI/CD, такие как токены и учетные данные, во время установки npm, используя прямое HTTPS-соединение и публичные репозитории GitHub для эксфильтрации, шифруя данные с помощью AES-256-GCM и RSA. Кроме того, он использует механизмы закрепления и «мертвую кнопку» для удаления данных при определенных условиях, что указывает на тревожную тенденцию в распространении вредоносного ПО в цепочках поставок.
-----

Червь Mini Shai-Hulud возродился в рамках масштабной атаки на Цепочка поставок, затронувшей экосистему npm @antv. Эта кампания включала компрометацию учетных записей разработчиков, в частности, аккаунта atool, который опубликовал вредоносные версии нескольких пакетов с 5:19 до 5:06 UTC 19 мая 2026 года. Этот инцидент привел к компрометации более 300 пакетов, при этом ожидается, что более 600 затронутых версий окажут воздействие на тысячи пользователей, использующих эти пакеты в качестве зависимостей.

Вредоносная нагрузка встроена в обфусцированный файл `index.js`, который активируется во время действий prepare или preinstall в файле `package.json`. Это раннее выполнение позволяет червю работать незамеченным, поскольку пользователи получают ожидаемый пакет, неосознанно устанавливая вредоносный код. Функциональность червя в основном сосредоточена на краже и эксфильтрации конфиденциальных секретов CI/CD, включая токены npm и GitHub, учетные данные AWS, SSH-ключи и файлы .env. Метод захвата секретов GitHub Actions включает чтение секретов в открытом виде из памяти локального процесса Runner.

Эксфильтрация осуществляется двумя способами: через прямые HTTPS-соединения и, в качестве резервного варианта, через публичные репозитории GitHub. Собранные данные шифруются с использованием алгоритмов AES-256-GCM и RSA перед отправкой на вредоносные конечные точки. Примечательно, что для эксфильтрации используется новый публичный репозиторий GitHub, когда накоплено достаточное количество секретов GitHub, при этом названия репозиториев отражают номенклатуру, основанную на тематике «Дюны». Червь также установил механизмы закрепления, включая добавление хуков выполнения в файлы, такие как `.vscode/tasks.json`, и использование механизма «мертвой руки» для стирания данных при выполнении определенных условий.

Такие атаки на цепочку поставок подчеркивают тревожную тенденцию, при которой злоумышленники переходят от эксплуатации устаревшего программного обеспечения к распространению ВПО через доверенные источники пакетов. Следовательно, разработчики и пользователи сталкиваются с рисками, связанными с автоматическими обновлениями, поскольку целостность зависимостей больше нельзя считать гарантированной. Смена тактик не только увеличивает потенциальное воздействие кибератак, но и усложняет ландшафт безопасности для организаций, требуя тщательного и контролируемого подхода к обновлениям пакетов для снижения риска компрометации.

#ParsedReport #CompletenessLow
20-05-2026

Steganography Secrets: Malware Hidden in Plain Sight

https://cofense.com/blog/steganography-secrets-malware-hidden-in-plain-sight

Report completeness: Low

Threats:
Steganography_technique
Remcos_rat
Agent_tesla
Xworm_rat
Formbook

Victims:
Finance

Industry:
Financial

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1005, T1027.003, T1027.013, T1055, T1056.001, T1059.007, T1105, T1112, T1113, T1140, have more...

IOCs:
Domain: 4
File: 1

Soft:
Windows Explorer, Windows Registry

Algorithms:
base64

Win Services:
bits

Languages:
dotnet, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Стеганографию для внедрения вредоносного кода в изображения, размещенные на таких платформах, как "uploaddeimagens.com.br" и "archive.org", что позволяет им обходить обнаружение системами безопасности. Эти кампании часто доставляют трояны удаленного доступа (RAT), такие как Remcos и Agent Tesla, часто используя JavaScript Dropper для инициирования загрузки замаскированных вредоносных файлов. Применяемые техники включают кодирование Base64 и использование DLL DotNET Loader для повышения привилегий, что усложняет обнаружение традиционными инструментами безопасности.
-----

Злоумышленники всё чаще используют Стеганографию, особенно через сервисы размещения и обмена изображениями, для доставки ВПО скрытым образом, что часто позволяет обойти системы безопасности предприятий. Этот сложный тактический приём заключается во внедрении вредоносного кода в изображения, которые выглядят безобидно, с использованием таких методов, как кодирование Base64 и обфускация, чтобы скрыть их истинное намерение. В этих кампаниях успешная доставка ВПО обычно завершается выполнением троянов удалённого доступа (RAT) и программ-шпионов, при этом избегая обнаружения продуктами Endpoint Detection and Response (EDR).

В отчете отмечается, что 27% стеганографических кампаний были обнаружены доставляющими RAT Remcos, 21% нацелены на пользователей через кейлоггер Agent Tesla, а еще 18% используют RAT XWorm. Скрытный характер этих атак усиливается за счет использования DLL-загрузчика DotNET, который обеспечивает повышение привилегий и позволяет ВПО запускаться непосредственно в памяти легитимных процессов, что затрудняет обнаружение угрозы традиционными средствами защиты. Наиболее примечательно, что кампании часто нацелены на темы, связанные с финансами, при этом значительное количество вредоносных изображений было получено с таких доменов, как "uploaddeimagens.com.br" и "archive.org.".

При выполнении этих атак злоумышленники обычно используют JavaScript Dropper в качестве начального механизма доставки. Например, фишинговое письмо может содержать看似 безобидный документ, который при запуске загружает файл изображения, скрывающий вредоносную DLL. Эти файлы изображений имитируют обои рабочего стола и форматируются таким образом, чтобы избежать обнаружения, сохраняя безобидные метаданные и незначительное увеличение размера, часто оставаясь менее одного мегабайта. Вредоносная нагрузка, часто закодированная, может быть получена только специфическими механизмами доставки, разработанными злоумышленниками.

Эта эволюция доставки ВПО указывает на эскалацию как в уровне сложности, так и в целевых стратегиях, применяемых киберпреступниками. Поскольку постоянное злоупотребление платформами для размещения изображений включает методы, усложняющие усилия поставщиков безопасности по дифференциации между легитимным и вредоносным контентом, специалистам по безопасности необходимо усилить свой подход, делая акцент на поведенческом анализе наряду с традиционным статическим мониторингом файлов, чтобы эффективно противостоять этим более скрытным векторам атак. Стойкость этой тревожной тенденции требует повышенной бдительности и проактивных мер как от команд безопасности, так и от отдельных пользователей.

#ParsedReport #CompletenessHigh
20-05-2026

CrystalX: unpacking a Go RAT through three encrypted layers

https://www.derp.ca/research/crystalx-go-rat/

Report completeness: High

Threats:
Crystalx_rat
Webcrystal_rat
Mitm_technique
Wevtutil_tool
Procmon_tool
Process_hacker_tool

Industry:
Healthcare, Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1053.005, T1056.001, T1059.001, T1059.003, T1070.001, T1070.004, T1071.001, T1083, have more...

IOCs:
Url: 4
Hash: 4
File: 8
Domain: 4
Path: 3
Command: 1

Soft:
discord, Windows Security, Chrome, Opera, discordcanary, discordptb, Telegram, Steam, Roblox, VirtualBox, have more...

Algorithms:
sha1, aes, sha256, xor, chacha20, rc4, base64, deflate, aes-ctr, aes-gcm

Functions:
TaskScheduler

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, NtTraceEvent, AmsiScanBuffer, EtwEventWrite

Win Services:
WinDefend

Languages:
powershell

Platforms:
x64

Links:
https://github.com/kirkderp/yara/tree/main/crystalx\_go\_rat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrystalX — это сложная троянская программа (RAT), разработанная на языке Go и доставляемая через загрузчик NursultanCracked.exe. Она использует передовые техники обфускации, включая несколько слоёв шифрования, для сокрытия вредоносного кода и взаимодействует с сервером управления (C2) crystalxrat.net через защищённые WebSocket-соединения. RAT предназначена для комплексного управления системой, включая кражу учётных данных и удалённый доступ, а также применяет тактики противодействия анализу для уклонения от обнаружения в виртуальных средах.
-----

CrystalX — это сложная Троянская программа удалённого доступа (RAT), написанная на языке Go и доставляемая через нативный загрузчик Windows под названием NursultanCracked.exe, размер которого составляет чуть более 3 МБ. Вредоносный полезный код скрыт в зашифрованном разделе ресурсов и проходит три слоя трансформации: XOR-шифрование, зависящее от позиции, шифрование ChaCha20 и сжатие DEFLATE в сыром виде. Распакованная Троянская программа на Go добавляет дополнительный слой шифрования для операционных строк, раскрывая критически важную информацию после расшифровки, включая пути управления (C2), механизмы закрепления и обширный набор команд для различных вредоносных действий, таких как управление файлами, кража учётных данных и доступ к удалённому рабочему столу.

RAT CrystalX использует протокол WebSocket для связи с C2, применяя защищённые соединения к домену crystalxrat.net. Он использует как жёстко закодированные, так и расшифровываемые во время выполнения строки для взаимодействия с набором команд, который включает более 40 команд для выполнения системных задач, управления файлами и сбора конфиденциальной информации, такой как содержимое буфера обмена и установленное программное обеспечение. Механизмы закрепления вредоносного ПО отличаются высокой надёжностью: оно использует запланированные задачи и фильтры WMI для поддержания своего присутствия на затронутых системах. В частности, оно использует запланированную задачу для выполнения файла-рабочего процесса при входе в систему и потребителя WMI для мониторинга системных изменений.

Техники антианализа являются центральными для функциональности CrystalX. RAT проводит тщательные проверки окружения для обнаружения виртуальных машин и инструментов анализа, отключая Windows Defender и очищая журналы событий, если он определяет песочницу или среду безопасности. Он собирает и реагирует на исчерпывающий список условий и артефактов, обычно связанных с виртуальными машинами, обеспечивая скрытность своих операций от средств защиты.

Анализ сетевого поведения показывает, что CrystalX подключается к своему C2-серверу через TLS, управляя значительными объемами передачи данных, не раскрывая полезную нагрузку из-за шифрования. C2-инфраструктура выглядит сложной, использует CDN-сервисы и домены, зарегистрированные для поддержки операций в течение длительного времени. Улики указывают на то, что CrystalX является продолжением ранее выявленного ВПО, с публичной историей, связывающей его с более ранним брендингом WebCrystal RAT.

#ParsedReport #CompletenessHigh
20-05-2026

Lorem Ipsum Malware: Trojanized MS Teams Installers Deliver Multi-Stage Loader and Backdoor

https://www.bluevoyant.com/blog/lorem-ipsum-trojanized-microsoft-teams-installers-multi-stage-loader-backdoor

Report completeness: High

Threats:
Lorem_ipsum_loader
Seo_poisoning_technique
Dll_sideloading_technique
Dead_drop_technique
Aitm_technique
Supply_chain_technique

Victims:
Healthcare, Users searching for microsoft teams

Industry:
Healthcare

Geo:
Russia, Middle east, America, India, Asia, Iceland

TTPs:
Tactics: 2
Technics: 16

IOCs:
Command: 1
File: 6
Domain: 7
Url: 2
Hash: 4

Soft:
Microsoft Teams, Windows registry, Pastebin, Telegram, Twitter

Algorithms:
xor, aes, base64, gzip

Win API:
decompress, LoadLibraryA, GetProcAddress, CreateMutexA, UuidFromStringA, VirtualProtect, CryptBinaryToStringA

Languages:
php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Lorem Ipsum эволюционировала, чтобы использовать глобальную стратегию Отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатые загрузчики shellcode и бэкдоры. ВПО применяет передовые техники, такие как XOR-шифрование и подгрузка DLL, используя скомпрометированные методы SEO для заманивания жертв на поддельные сайты установщиков. Связь с его инфраструктурой управления осуществляется через файлы изображений JFIF, что демонстрирует постоянное совершенствование злоумышленников в уклонении от обнаружения при сохранении операционных возможностей.
-----

Вредоносная кампания Lorem Ipsum эволюционировала в сложную угрозу, характеризующуюся глобальной стратегией отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатый загрузчик shellcode и бэкдор. Операция, активная с февраля 2026 года, нацелена на пользователей, ищущих Microsoft Teams в нескольких странах, включая сектор здравоохранения США. Эволюция вредоносного ПО демонстрирует передовые техники, включающие декодирование шифра подстановки, заглушки shellcode с XOR-шифрованием и подгрузку DLL, что указывает на хорошо финансируемого актора среднего уровня, использующего потенциально методы программирования с помощью ИИ.

Сначала вредоносное ПО использует скомпрометированное SEO для перенаправления пользователей на поддельные веб-сайты, где размещены фальшивые установщики. Эти установщики, хотя и выглядят легитимными благодаря действительным подписанным сертификатам Microsoft ID с коротким сроком действия, содержат встроенные вредоносные скрипты PowerShell. При выполнении скрипты расшифровывают различные этапы полезной нагрузки с помощью шифрования AES, скрывая фактическое вредоносное содержимое с помощью слоев обфускации и методов противодействия анализу. Полезные нагрузки разработаны так, чтобы обеспечивать закрепление в системе жертвы путем записи в реестр Windows.

Инфраструктура command-and-control (C2) использует инновационные тактики, такие как использование letsdiskuss.com для разрешения dead-drop. Профили на этой платформе содержат закодированные данные C2, передаваемые через стандартные HTTP-запросы, замаскированные под безобидный трафик. Malware взаимодействует с использованием файлов изображений JFIF с добавленными данными, скрытно внедряя команды и полезную нагрузку, что позволяет обходить традиционные методы обнаружения.

Последние итерации ВПО, начавшиеся в конце апреля, демонстрируют техники подгрузки DLL (DLL sideloading) наряду с оригинальным механизмом закрепления на основе PowerShell. Эта адаптация демонстрирует постоянную доработку подхода злоумышленников для обхода обнаружения при сохранении функциональных возможностей, предоставляемых бэкдором. ВПО собирает информацию о хосте и поддерживает активную связь с C2, где при необходимости может выполнять дополнительные команды.

Оперативный темп этой кампании, наблюдавшийся в течение краткого периода, подчеркивает целенаправленное и итеративное развитие возможностей ВПО. Злоумышленники успешно перешли от базовых троянизированных сборок к более сложным архитектурам загрузчиков, постоянно совершенствуя техники уклонения и инфраструктуру. Учитывая устойчивые усилия по манипулированию поисковыми системами, получению сертификатов и регистрации доменов, кампания Lorem Ipsum указывает на растущую сложность, что должно побуждать защитников кибербезопасности к постоянной бдительности. Надежные шаблоны обнаружения, установленные в отчете, включая поведение трафика к letsdiskuss.com и уникальные структуры обратных вызовов, могут служить важными индикаторами для выявления активности этой хакерской группировки в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's durabletask PyPI Package Compromised in Supply Chain Attack

https://www.stepsecurity.io/blog/microsofts-durabletask-pypi-package-compromised-in-supply-chain-attack

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Tailscale_tool
Firescale

Victims:
Software development, Cloud services, Continuous integration and delivery, Server infrastructure, Containerized environments

Geo:
Tehran, Russian

CVEs:
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.004, T1041, T1059.004, T1059.006, T1102.001, T1105, T1110, T1195.001, T1485, have more...

IOCs:
Domain: 2
File: 17
IP: 1
Url: 4
Hash: 7

Soft:
systemd, Kubernetes, TanStack, LiteLLM, netes recon, nviro, reco, Linux, Claude, Docker, have more...

Algorithms:
rsa-4096, sha256, base64, aes-256-gcm, gzip

Functions:
PyPI, memfd_create

Languages:
python

Platforms:
intel

Links:
https://github.com/step-security/harden-runner

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 мая 2026 года Python SDK durabletask от Microsoft стал жертвой атаки на цепочку поставок в PyPI, в результате которой были загружены вредоносные версии, содержащие загрузчик для модульной облачной фреймворк инфраструктуры вторжений rope.pyz. Этот фреймворк осуществлял эксфильтрацию конфиденциальных данных из AWS, Azure и GCP, а также способствовал краже учетных данных через различные коллекторы. Атака, связанная с кампанией TeamPCP Mini Shai-Hulud, использовала техники для перемещение внутри компании в средах и могла развертывать деструктивный wiper, повышая риск для целевых систем.
-----

19 мая 2026 года Python SDK durabletask от Microsoft был скомпрометирован на PyPI, что стало значительной атакой на Цепочку поставок. Атакующий загрузил три вредоносные версии пакета (1.4.1, 1.4.2 и 1.4.3) в течение короткого промежутка времени, обойдя конвейер сборки репозитория GitHub Microsoft с помощью украденных учетных данных публикации. Вредоносная нагрузка, состоящая из 14 строк кода Python, действует как дроппер для более сложного модульного фреймворка облачного вторжения, известного как rope.pyz. Этот фреймворк содержит несколько модулей, предназначенных для эксфильтрации конфиденциальных данных через основные облачные платформы и системы, включая AWS, Azure и GCP.

При импорте скомпрометированного пакета вредоносное поведение запускалось практически мгновенно, устанавливая исходящие сетевые соединения с доменом управления (управление) и контроля (C2), а также обеспечивая кражу учетных данных с помощью различных сборщиков, адаптированных для AWS, Azure, GCP, Kubernetes и других платформ. Детальная архитектура полезной нагрузки позволяет осуществлять масштабную кражу данных, включая секреты от учетных записей облачных сервисов, конфигурационные файлы и переменные окружения. Важно отметить, что фреймворк также внедряет механизмы закрепления с использованием поддельных сервисов systemd, что гарантирует его непрерывную работу в скомпрометированных средах.

Инфраструктура C2, связанная с этой атакой, была прослежена до кампании TeamPCP Mini Shai-Hulud. Ключевые индикаторы, такие как конкретные соглашения об именовании, используемые в репозиториях для эксфильтрации данных, и исключение русскоязычных локалей для уклонения злоумышленника, связали инцидент с этим хорошо известным злоумышленником, который был вовлечен в серию атак на Цепочку поставок, нацеленных на различные программные экосистемы.

В плане перемещения внутри компании вредоносный фреймворк использует механизмы AWS SSM и Kubernetes для распространения. Он может выполнять свой полезный код на нескольких экземплярах или подов в сетевой среде, тем самым расширяя свою зону поражения. Атака также включает потенциальный деструктивный wiper, который может активировать процедуру очистки, создавая дополнительные риски для затронутых систем.

Стратегии смягчения последствий включают изоляцию затронутых систем, ротацию скомпрометированных учетных данных и проведение тщательных аудитов облачных ресурсов на предмет несанкционированного доступа. Для предотвращения подобных инцидентов в будущем передовые практики рекомендуют использовать привязку версий пакетов, применять проверку хеш-сумм и ограничивать исходящий сетевой доступ из конвейеров CI/CD. Данный инцидент служит суровым напоминанием об уязвимостях, присутствующих в цепочках поставок программного обеспечения, и необходимости внедрения надежных мер безопасности для предотвращения аналогичных атак в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Eimeria: five layers from RAR5 to RunPE

https://www.derp.ca/research/eimeria-multi-stage-loader/

Report completeness: High

Threats:
Eimeria
Runpe_tool
Darkgate
Process_hollowing_technique
Trojan.win32.gen.tl0101dn26zn
Dll_sideloading_technique

Industry:
Petroleum

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1053.005, T1055.012, T1057, T1059.010, T1071.001, T1140, T1497.001, T1497.003, have more...

IOCs:
Hash: 6
File: 8
Path: 3
Registry: 1
IP: 2

Soft:
Task Scheduler

Algorithms:
lznt1, aes-128-cbc, sha256, aes-cbc, rc4, aes, base64

Win API:
CreateProcess, BCryptGenRandom, decompress, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, EmptyWorkingSet, RtlZeroMemory, have more...

Languages:
autoit

Platforms:
x64, x86

Links:
https://github.com/kirkderp/yara/tree/main/eimeria\_multi\_stage\_loader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Eimeria — это сложный вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки Троянской программы (RAT) и точки управления (C2) через архив RAR5, размещённый на Dedik Services во Франкфурте. Доставка включает подписанный исполняемый файл (dsclock.exe), использующий загрузку DLL для выполнения вредоносной DLL zlib, а также продвинутые методы, такие как AutoIt для Внедрения в пустой процесс и WebSocket-коммуникация с сервером управления. Eimeria применяет модификации реестра и запланированные задачи для закрепления, демонстрируя стратегическую эволюцию в киберугрозах через скрытность и обфускацию.
-----

Eimeria — это продвинутый вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки своего полезного груза, состоящего из Троянской программы (RAT) и узла управления (C2). Доставка начинается с архива RAR5, размещенного на инфраструктуре, связанной с Dedik Services Ltd во Франкфурте. Этот архив RAR5 содержит подписанный исполняемый файл (dsclock.exe), который использует подгрузку DLL для выполнения вредоносной DLL zlib. После этого вредоносное ПО использует самораспаковывающийся архив IExpress и AutoIt для Внедрения в пустой процесс, что завершается появлением C2 маяка на базе .NET.

Первоначальным компонентом является архив RAR5, идентифицируемый по хешу SHA256 c872cd101d9c2a773f08558dde7b716161cf977d4aa99c2347c0269423434f8c, загруженный в мае 2026 года. При запуске проверяемый исполняемый файл dsclock.exe не является вредоносным сам по себе, так как имеет подлинную подпись Authenticode от легитимной российской программной организации и импортирует функции из libcurl, ложно представляя себя безобидным приложением.

Следующий уровень раскрывает самораспаковывающийся исполняемый файл, способный скрывать свои основные компоненты, поскольку архив IExpress извлекает 26 файлов-отвлекающих маневров вместе с реальным полезным грузом. Главный загрузчик, Deal.exe, представляет собой исполняемый файл, скомпилированный в AutoIt, который выполняет техники внедрения в пустой процесс, восстанавливая чистую версию ntdll.dll из файловой системы для обхода систем обнаружения и реагирования на конечных точках (EDR). Он включает механизмы для маскировки своей деятельности, такие как встроенная задержка в 28 секунд перед выполнением любых вредоносных операций, а также различные проверки на эмуляцию, препятствующие статическому анализу.

Методы закрепления, используемые Eimeria, включают модификации реестра, запланированные задачи и скрытые атрибуты файлов, чтобы обеспечить его выживание после перезагрузки системы. ВПО работает через WebSocket-коммуникацию с сервером C2 по адресу ws://94.26.90.139:3006, который был подтвержден как активный. Примечательно, что Eimeria демонстрирует заметные архитектурные сходства с семейством DarkGate, но отличается многослойным подходом к доставке и использованием легитимного подписанного исполняемого файла-носителя, что указывает на стратегическую разработку, а не просто на использование существующих вредоносных инструментов.

В заключение, Eimeria представляет собой набор инструментов злоумышленника, отличающийся сложными механизмами доставки, техниками уклонения и целевым использованием Process Hollowing для развертывания .NET-загрузчика. Его отличительные характеристики подчеркивают растущий тренд в киберугрозах, где обфускация и скрытность являются критически важными компонентами современных операций с ВПО.