#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Стеганографию для внедрения вредоносного кода в изображения, размещенные на таких платформах, как "uploaddeimagens.com.br" и "archive.org", что позволяет им обходить обнаружение системами безопасности. Эти кампании часто доставляют трояны удаленного доступа (RAT), такие как Remcos и Agent Tesla, часто используя JavaScript Dropper для инициирования загрузки замаскированных вредоносных файлов. Применяемые техники включают кодирование Base64 и использование DLL DotNET Loader для повышения привилегий, что усложняет обнаружение традиционными инструментами безопасности.
-----

Злоумышленники всё чаще используют Стеганографию, особенно через сервисы размещения и обмена изображениями, для доставки ВПО скрытым образом, что часто позволяет обойти системы безопасности предприятий. Этот сложный тактический приём заключается во внедрении вредоносного кода в изображения, которые выглядят безобидно, с использованием таких методов, как кодирование Base64 и обфускация, чтобы скрыть их истинное намерение. В этих кампаниях успешная доставка ВПО обычно завершается выполнением троянов удалённого доступа (RAT) и программ-шпионов, при этом избегая обнаружения продуктами Endpoint Detection and Response (EDR).

В отчете отмечается, что 27% стеганографических кампаний были обнаружены доставляющими RAT Remcos, 21% нацелены на пользователей через кейлоггер Agent Tesla, а еще 18% используют RAT XWorm. Скрытный характер этих атак усиливается за счет использования DLL-загрузчика DotNET, который обеспечивает повышение привилегий и позволяет ВПО запускаться непосредственно в памяти легитимных процессов, что затрудняет обнаружение угрозы традиционными средствами защиты. Наиболее примечательно, что кампании часто нацелены на темы, связанные с финансами, при этом значительное количество вредоносных изображений было получено с таких доменов, как "uploaddeimagens.com.br" и "archive.org.".

При выполнении этих атак злоумышленники обычно используют JavaScript Dropper в качестве начального механизма доставки. Например, фишинговое письмо может содержать看似 безобидный документ, который при запуске загружает файл изображения, скрывающий вредоносную DLL. Эти файлы изображений имитируют обои рабочего стола и форматируются таким образом, чтобы избежать обнаружения, сохраняя безобидные метаданные и незначительное увеличение размера, часто оставаясь менее одного мегабайта. Вредоносная нагрузка, часто закодированная, может быть получена только специфическими механизмами доставки, разработанными злоумышленниками.

Эта эволюция доставки ВПО указывает на эскалацию как в уровне сложности, так и в целевых стратегиях, применяемых киберпреступниками. Поскольку постоянное злоупотребление платформами для размещения изображений включает методы, усложняющие усилия поставщиков безопасности по дифференциации между легитимным и вредоносным контентом, специалистам по безопасности необходимо усилить свой подход, делая акцент на поведенческом анализе наряду с традиционным статическим мониторингом файлов, чтобы эффективно противостоять этим более скрытным векторам атак. Стойкость этой тревожной тенденции требует повышенной бдительности и проактивных мер как от команд безопасности, так и от отдельных пользователей.

#ParsedReport #CompletenessHigh
20-05-2026

CrystalX: unpacking a Go RAT through three encrypted layers

https://www.derp.ca/research/crystalx-go-rat/

Report completeness: High

Threats:
Crystalx_rat
Webcrystal_rat
Mitm_technique
Wevtutil_tool
Procmon_tool
Process_hacker_tool

Industry:
Healthcare, Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1053.005, T1056.001, T1059.001, T1059.003, T1070.001, T1070.004, T1071.001, T1083, have more...

IOCs:
Url: 4
Hash: 4
File: 8
Domain: 4
Path: 3
Command: 1

Soft:
discord, Windows Security, Chrome, Opera, discordcanary, discordptb, Telegram, Steam, Roblox, VirtualBox, have more...

Algorithms:
sha1, aes, sha256, xor, chacha20, rc4, base64, deflate, aes-ctr, aes-gcm

Functions:
TaskScheduler

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, NtTraceEvent, AmsiScanBuffer, EtwEventWrite

Win Services:
WinDefend

Languages:
powershell

Platforms:
x64

Links:
https://github.com/kirkderp/yara/tree/main/crystalx\_go\_rat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrystalX — это сложная троянская программа (RAT), разработанная на языке Go и доставляемая через загрузчик NursultanCracked.exe. Она использует передовые техники обфускации, включая несколько слоёв шифрования, для сокрытия вредоносного кода и взаимодействует с сервером управления (C2) crystalxrat.net через защищённые WebSocket-соединения. RAT предназначена для комплексного управления системой, включая кражу учётных данных и удалённый доступ, а также применяет тактики противодействия анализу для уклонения от обнаружения в виртуальных средах.
-----

CrystalX — это сложная Троянская программа удалённого доступа (RAT), написанная на языке Go и доставляемая через нативный загрузчик Windows под названием NursultanCracked.exe, размер которого составляет чуть более 3 МБ. Вредоносный полезный код скрыт в зашифрованном разделе ресурсов и проходит три слоя трансформации: XOR-шифрование, зависящее от позиции, шифрование ChaCha20 и сжатие DEFLATE в сыром виде. Распакованная Троянская программа на Go добавляет дополнительный слой шифрования для операционных строк, раскрывая критически важную информацию после расшифровки, включая пути управления (C2), механизмы закрепления и обширный набор команд для различных вредоносных действий, таких как управление файлами, кража учётных данных и доступ к удалённому рабочему столу.

RAT CrystalX использует протокол WebSocket для связи с C2, применяя защищённые соединения к домену crystalxrat.net. Он использует как жёстко закодированные, так и расшифровываемые во время выполнения строки для взаимодействия с набором команд, который включает более 40 команд для выполнения системных задач, управления файлами и сбора конфиденциальной информации, такой как содержимое буфера обмена и установленное программное обеспечение. Механизмы закрепления вредоносного ПО отличаются высокой надёжностью: оно использует запланированные задачи и фильтры WMI для поддержания своего присутствия на затронутых системах. В частности, оно использует запланированную задачу для выполнения файла-рабочего процесса при входе в систему и потребителя WMI для мониторинга системных изменений.

Техники антианализа являются центральными для функциональности CrystalX. RAT проводит тщательные проверки окружения для обнаружения виртуальных машин и инструментов анализа, отключая Windows Defender и очищая журналы событий, если он определяет песочницу или среду безопасности. Он собирает и реагирует на исчерпывающий список условий и артефактов, обычно связанных с виртуальными машинами, обеспечивая скрытность своих операций от средств защиты.

Анализ сетевого поведения показывает, что CrystalX подключается к своему C2-серверу через TLS, управляя значительными объемами передачи данных, не раскрывая полезную нагрузку из-за шифрования. C2-инфраструктура выглядит сложной, использует CDN-сервисы и домены, зарегистрированные для поддержки операций в течение длительного времени. Улики указывают на то, что CrystalX является продолжением ранее выявленного ВПО, с публичной историей, связывающей его с более ранним брендингом WebCrystal RAT.

#ParsedReport #CompletenessHigh
20-05-2026

Lorem Ipsum Malware: Trojanized MS Teams Installers Deliver Multi-Stage Loader and Backdoor

https://www.bluevoyant.com/blog/lorem-ipsum-trojanized-microsoft-teams-installers-multi-stage-loader-backdoor

Report completeness: High

Threats:
Lorem_ipsum_loader
Seo_poisoning_technique
Dll_sideloading_technique
Dead_drop_technique
Aitm_technique
Supply_chain_technique

Victims:
Healthcare, Users searching for microsoft teams

Industry:
Healthcare

Geo:
Russia, Middle east, America, India, Asia, Iceland

TTPs:
Tactics: 2
Technics: 16

IOCs:
Command: 1
File: 6
Domain: 7
Url: 2
Hash: 4

Soft:
Microsoft Teams, Windows registry, Pastebin, Telegram, Twitter

Algorithms:
xor, aes, base64, gzip

Win API:
decompress, LoadLibraryA, GetProcAddress, CreateMutexA, UuidFromStringA, VirtualProtect, CryptBinaryToStringA

Languages:
php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Lorem Ipsum эволюционировала, чтобы использовать глобальную стратегию Отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатые загрузчики shellcode и бэкдоры. ВПО применяет передовые техники, такие как XOR-шифрование и подгрузка DLL, используя скомпрометированные методы SEO для заманивания жертв на поддельные сайты установщиков. Связь с его инфраструктурой управления осуществляется через файлы изображений JFIF, что демонстрирует постоянное совершенствование злоумышленников в уклонении от обнаружения при сохранении операционных возможностей.
-----

Вредоносная кампания Lorem Ipsum эволюционировала в сложную угрозу, характеризующуюся глобальной стратегией отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатый загрузчик shellcode и бэкдор. Операция, активная с февраля 2026 года, нацелена на пользователей, ищущих Microsoft Teams в нескольких странах, включая сектор здравоохранения США. Эволюция вредоносного ПО демонстрирует передовые техники, включающие декодирование шифра подстановки, заглушки shellcode с XOR-шифрованием и подгрузку DLL, что указывает на хорошо финансируемого актора среднего уровня, использующего потенциально методы программирования с помощью ИИ.

Сначала вредоносное ПО использует скомпрометированное SEO для перенаправления пользователей на поддельные веб-сайты, где размещены фальшивые установщики. Эти установщики, хотя и выглядят легитимными благодаря действительным подписанным сертификатам Microsoft ID с коротким сроком действия, содержат встроенные вредоносные скрипты PowerShell. При выполнении скрипты расшифровывают различные этапы полезной нагрузки с помощью шифрования AES, скрывая фактическое вредоносное содержимое с помощью слоев обфускации и методов противодействия анализу. Полезные нагрузки разработаны так, чтобы обеспечивать закрепление в системе жертвы путем записи в реестр Windows.

Инфраструктура command-and-control (C2) использует инновационные тактики, такие как использование letsdiskuss.com для разрешения dead-drop. Профили на этой платформе содержат закодированные данные C2, передаваемые через стандартные HTTP-запросы, замаскированные под безобидный трафик. Malware взаимодействует с использованием файлов изображений JFIF с добавленными данными, скрытно внедряя команды и полезную нагрузку, что позволяет обходить традиционные методы обнаружения.

Последние итерации ВПО, начавшиеся в конце апреля, демонстрируют техники подгрузки DLL (DLL sideloading) наряду с оригинальным механизмом закрепления на основе PowerShell. Эта адаптация демонстрирует постоянную доработку подхода злоумышленников для обхода обнаружения при сохранении функциональных возможностей, предоставляемых бэкдором. ВПО собирает информацию о хосте и поддерживает активную связь с C2, где при необходимости может выполнять дополнительные команды.

Оперативный темп этой кампании, наблюдавшийся в течение краткого периода, подчеркивает целенаправленное и итеративное развитие возможностей ВПО. Злоумышленники успешно перешли от базовых троянизированных сборок к более сложным архитектурам загрузчиков, постоянно совершенствуя техники уклонения и инфраструктуру. Учитывая устойчивые усилия по манипулированию поисковыми системами, получению сертификатов и регистрации доменов, кампания Lorem Ipsum указывает на растущую сложность, что должно побуждать защитников кибербезопасности к постоянной бдительности. Надежные шаблоны обнаружения, установленные в отчете, включая поведение трафика к letsdiskuss.com и уникальные структуры обратных вызовов, могут служить важными индикаторами для выявления активности этой хакерской группировки в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's durabletask PyPI Package Compromised in Supply Chain Attack

https://www.stepsecurity.io/blog/microsofts-durabletask-pypi-package-compromised-in-supply-chain-attack

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Tailscale_tool
Firescale

Victims:
Software development, Cloud services, Continuous integration and delivery, Server infrastructure, Containerized environments

Geo:
Tehran, Russian

CVEs:
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.004, T1041, T1059.004, T1059.006, T1102.001, T1105, T1110, T1195.001, T1485, have more...

IOCs:
Domain: 2
File: 17
IP: 1
Url: 4
Hash: 7

Soft:
systemd, Kubernetes, TanStack, LiteLLM, netes recon, nviro, reco, Linux, Claude, Docker, have more...

Algorithms:
rsa-4096, sha256, base64, aes-256-gcm, gzip

Functions:
PyPI, memfd_create

Languages:
python

Platforms:
intel

Links:
https://github.com/step-security/harden-runner

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 мая 2026 года Python SDK durabletask от Microsoft стал жертвой атаки на цепочку поставок в PyPI, в результате которой были загружены вредоносные версии, содержащие загрузчик для модульной облачной фреймворк инфраструктуры вторжений rope.pyz. Этот фреймворк осуществлял эксфильтрацию конфиденциальных данных из AWS, Azure и GCP, а также способствовал краже учетных данных через различные коллекторы. Атака, связанная с кампанией TeamPCP Mini Shai-Hulud, использовала техники для перемещение внутри компании в средах и могла развертывать деструктивный wiper, повышая риск для целевых систем.
-----

19 мая 2026 года Python SDK durabletask от Microsoft был скомпрометирован на PyPI, что стало значительной атакой на Цепочку поставок. Атакующий загрузил три вредоносные версии пакета (1.4.1, 1.4.2 и 1.4.3) в течение короткого промежутка времени, обойдя конвейер сборки репозитория GitHub Microsoft с помощью украденных учетных данных публикации. Вредоносная нагрузка, состоящая из 14 строк кода Python, действует как дроппер для более сложного модульного фреймворка облачного вторжения, известного как rope.pyz. Этот фреймворк содержит несколько модулей, предназначенных для эксфильтрации конфиденциальных данных через основные облачные платформы и системы, включая AWS, Azure и GCP.

При импорте скомпрометированного пакета вредоносное поведение запускалось практически мгновенно, устанавливая исходящие сетевые соединения с доменом управления (управление) и контроля (C2), а также обеспечивая кражу учетных данных с помощью различных сборщиков, адаптированных для AWS, Azure, GCP, Kubernetes и других платформ. Детальная архитектура полезной нагрузки позволяет осуществлять масштабную кражу данных, включая секреты от учетных записей облачных сервисов, конфигурационные файлы и переменные окружения. Важно отметить, что фреймворк также внедряет механизмы закрепления с использованием поддельных сервисов systemd, что гарантирует его непрерывную работу в скомпрометированных средах.

Инфраструктура C2, связанная с этой атакой, была прослежена до кампании TeamPCP Mini Shai-Hulud. Ключевые индикаторы, такие как конкретные соглашения об именовании, используемые в репозиториях для эксфильтрации данных, и исключение русскоязычных локалей для уклонения злоумышленника, связали инцидент с этим хорошо известным злоумышленником, который был вовлечен в серию атак на Цепочку поставок, нацеленных на различные программные экосистемы.

В плане перемещения внутри компании вредоносный фреймворк использует механизмы AWS SSM и Kubernetes для распространения. Он может выполнять свой полезный код на нескольких экземплярах или подов в сетевой среде, тем самым расширяя свою зону поражения. Атака также включает потенциальный деструктивный wiper, который может активировать процедуру очистки, создавая дополнительные риски для затронутых систем.

Стратегии смягчения последствий включают изоляцию затронутых систем, ротацию скомпрометированных учетных данных и проведение тщательных аудитов облачных ресурсов на предмет несанкционированного доступа. Для предотвращения подобных инцидентов в будущем передовые практики рекомендуют использовать привязку версий пакетов, применять проверку хеш-сумм и ограничивать исходящий сетевой доступ из конвейеров CI/CD. Данный инцидент служит суровым напоминанием об уязвимостях, присутствующих в цепочках поставок программного обеспечения, и необходимости внедрения надежных мер безопасности для предотвращения аналогичных атак в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Eimeria: five layers from RAR5 to RunPE

https://www.derp.ca/research/eimeria-multi-stage-loader/

Report completeness: High

Threats:
Eimeria
Runpe_tool
Darkgate
Process_hollowing_technique
Trojan.win32.gen.tl0101dn26zn
Dll_sideloading_technique

Industry:
Petroleum

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1053.005, T1055.012, T1057, T1059.010, T1071.001, T1140, T1497.001, T1497.003, have more...

IOCs:
Hash: 6
File: 8
Path: 3
Registry: 1
IP: 2

Soft:
Task Scheduler

Algorithms:
lznt1, aes-128-cbc, sha256, aes-cbc, rc4, aes, base64

Win API:
CreateProcess, BCryptGenRandom, decompress, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, EmptyWorkingSet, RtlZeroMemory, have more...

Languages:
autoit

Platforms:
x64, x86

Links:
https://github.com/kirkderp/yara/tree/main/eimeria\_multi\_stage\_loader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Eimeria — это сложный вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки Троянской программы (RAT) и точки управления (C2) через архив RAR5, размещённый на Dedik Services во Франкфурте. Доставка включает подписанный исполняемый файл (dsclock.exe), использующий загрузку DLL для выполнения вредоносной DLL zlib, а также продвинутые методы, такие как AutoIt для Внедрения в пустой процесс и WebSocket-коммуникация с сервером управления. Eimeria применяет модификации реестра и запланированные задачи для закрепления, демонстрируя стратегическую эволюцию в киберугрозах через скрытность и обфускацию.
-----

Eimeria — это продвинутый вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки своего полезного груза, состоящего из Троянской программы (RAT) и узла управления (C2). Доставка начинается с архива RAR5, размещенного на инфраструктуре, связанной с Dedik Services Ltd во Франкфурте. Этот архив RAR5 содержит подписанный исполняемый файл (dsclock.exe), который использует подгрузку DLL для выполнения вредоносной DLL zlib. После этого вредоносное ПО использует самораспаковывающийся архив IExpress и AutoIt для Внедрения в пустой процесс, что завершается появлением C2 маяка на базе .NET.

Первоначальным компонентом является архив RAR5, идентифицируемый по хешу SHA256 c872cd101d9c2a773f08558dde7b716161cf977d4aa99c2347c0269423434f8c, загруженный в мае 2026 года. При запуске проверяемый исполняемый файл dsclock.exe не является вредоносным сам по себе, так как имеет подлинную подпись Authenticode от легитимной российской программной организации и импортирует функции из libcurl, ложно представляя себя безобидным приложением.

Следующий уровень раскрывает самораспаковывающийся исполняемый файл, способный скрывать свои основные компоненты, поскольку архив IExpress извлекает 26 файлов-отвлекающих маневров вместе с реальным полезным грузом. Главный загрузчик, Deal.exe, представляет собой исполняемый файл, скомпилированный в AutoIt, который выполняет техники внедрения в пустой процесс, восстанавливая чистую версию ntdll.dll из файловой системы для обхода систем обнаружения и реагирования на конечных точках (EDR). Он включает механизмы для маскировки своей деятельности, такие как встроенная задержка в 28 секунд перед выполнением любых вредоносных операций, а также различные проверки на эмуляцию, препятствующие статическому анализу.

Методы закрепления, используемые Eimeria, включают модификации реестра, запланированные задачи и скрытые атрибуты файлов, чтобы обеспечить его выживание после перезагрузки системы. ВПО работает через WebSocket-коммуникацию с сервером C2 по адресу ws://94.26.90.139:3006, который был подтвержден как активный. Примечательно, что Eimeria демонстрирует заметные архитектурные сходства с семейством DarkGate, но отличается многослойным подходом к доставке и использованием легитимного подписанного исполняемого файла-носителя, что указывает на стратегическую разработку, а не просто на использование существующих вредоносных инструментов.

В заключение, Eimeria представляет собой набор инструментов злоумышленника, отличающийся сложными механизмами доставки, техниками уклонения и целевым использованием Process Hollowing для развертывания .NET-загрузчика. Его отличительные характеристики подчеркивают растущий тренд в киберугрозах, где обфускация и скрытность являются критически важными компонентами современных операций с ВПО.

#ParsedReport #CompletenessLow
20-05-2026

Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

https://buaq.net/go-416797.html

Report completeness: Low

Threats:
Gremlin_stealer
Agent_tesla
Cloudeye
Loki_bot
Quasar_rat

Victims:
Browser users, Discord users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1005, T1027.002, T1027.009, T1027.013, T1115, T1140, T1185, T1528, T1539, T1560.001, have more...

IOCs:
Hash: 11
File: 1
Url: 1

Soft:
Discord, Telegram

Algorithms:
sha256, xor, zip

Functions:
c

Languages:
csharp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gremlin Stealer значительно эволюционировал, внедрив передовые техники обфускации для сокрытия своих полезной нагрузки, используя коммерческий упаковщик, который виртуализирует инструкции для избежания обнаружения. Эта вариация нацелена на чувствительные данные из веб-браузеров и содержимого буфера обмена, эксфильтруя их на новый сайт управления, одновременно применяя XOR-кодирование для уклонения от статического анализа. Примечательно, что он содержит модули для извлечения токенов Discord и перехвата буфера обмена для адресов криптовалюты, а также перехват сессий через WebSocket, что делает его более сложной и многогранной угрозой.
-----

Недавний анализ Gremlin Stealer выявил значительные улучшения в его техниках обфускации, позволяющие вредоносному ПО эффективно скрывать вредоносные загрузки во встроенных ресурсах. Среди его эволюционировавших тактик вредоносное ПО использует сложный коммерческий упаковщик, который применяет виртуализацию инструкций. Эта техника преобразует исходный код в проприетарный байт-код, выполняемый частной виртуальной машиной, что повышает его способность избегать обнаружения стандартными средствами защиты.

Gremlin Stealer в первую очередь предназначен для эксфильтрации конфиденциальной информации с скомпрометированных систем, нацелен на веб-браузеры, содержимое буфера обмена и локальное хранилище для сбора таких данных, как учетные данные и финансовая информация. Недавно выявленный вариант отправляет украденные данные на новый сайт управления, расположенный по адресу hxxp://194.87.92.109, который на момент обнаружения не имел обнаружений в VirusTotal.

Ключевым нововведением в этом варианте ВПО стала стратегическая размещение основного полезного груза в секции ресурсов .NET, зашифрованного с использованием кодирования XOR. Эта техника позволяет ему избегать статического анализа и обнаружения на основе сигнатур. Исследователи успешно применили метод дешифрования однобайтовым XOR для восстановления важных конфигурационных данных, включая жестко закодированные URL-адреса управления и пути эксфильтрации.

Gremlin Stealer также демонстрирует заметную эволюцию за счёт улучшений в своей операционной архитектуре. Теперь он включает выделенный модуль для извлечения токенов Discord, что свидетельствует о попытке нацелиться на цифровые идентичности. Кроме того, вредоносное ПО оснащено перехватчиком буфера обмена, который активно отслеживает адреса криптовалютных кошельков. При обнаружении адреса кошелька он заменяет его на адрес, контролируемый злоумышленником, в режиме реального времени, что способствует совершению финансовых мошенничеств.

Кроме того, последний вариант вводит возможность перехвата сессий на основе WebSocket, что является существенным улучшением, позволяющим ему захватывать активные браузерные сессии и извлекать данные непосредственно из работающих процессов, обходя защиты, обычно предоставляемые современными системами управления файлами cookie. Разработка этих новых тактик отражает более широкую тенденцию в киберугрозах, переходящую от базового сбора учетных записей к сложному модульному подходу, который интегрирует несколько векторов для эксплуатации.

В заключение, трансформация Gremlin Stealer в более сложное ВПО подчеркивает значительную эскалацию в его угрозовом ландшафте, сочетая изощренные техники обфускации с расширенным функционалом, направленным на максимизацию эксфильтрации данных и финансовой выгоды. Эта эволюция создает повышенные риски для пользователей, особенно тех, кто занимается криптовалютой и использует онлайн-сервисы, требующие безопасного хранения персональных данных.

#ParsedReport #CompletenessMedium
19-05-2026

The Worm That Keeps on Digging: TeamPCP Hits @antv in Latest Wave

https://www.wiz.io/blog/mini-shai-hulud-teampcp-hits-antv-supply-chain

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Kitty_tool

Victims:
Open source ecosystem, Developer environments, Ci cd environments, Repositories, Software supply chain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1195.001, T1528, T1552.004, T1555.003, T1567.001

IOCs:
IP: 1
File: 7
Hash: 1

Soft:
VSCode, macOS, Linux

Algorithms:
sha256, sha1, md5

Languages:
python

Platforms:
intel

Links:
https://github.com/nrwl/nx-console/issues/3139
have more...
https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w

#ParsedReport #GeneratedSchema
Generated with GPT-4