#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrystalX — это сложная троянская программа (RAT), разработанная на языке Go и доставляемая через загрузчик NursultanCracked.exe. Она использует передовые техники обфускации, включая несколько слоёв шифрования, для сокрытия вредоносного кода и взаимодействует с сервером управления (C2) crystalxrat.net через защищённые WebSocket-соединения. RAT предназначена для комплексного управления системой, включая кражу учётных данных и удалённый доступ, а также применяет тактики противодействия анализу для уклонения от обнаружения в виртуальных средах.
-----

CrystalX — это сложная Троянская программа удалённого доступа (RAT), написанная на языке Go и доставляемая через нативный загрузчик Windows под названием NursultanCracked.exe, размер которого составляет чуть более 3 МБ. Вредоносный полезный код скрыт в зашифрованном разделе ресурсов и проходит три слоя трансформации: XOR-шифрование, зависящее от позиции, шифрование ChaCha20 и сжатие DEFLATE в сыром виде. Распакованная Троянская программа на Go добавляет дополнительный слой шифрования для операционных строк, раскрывая критически важную информацию после расшифровки, включая пути управления (C2), механизмы закрепления и обширный набор команд для различных вредоносных действий, таких как управление файлами, кража учётных данных и доступ к удалённому рабочему столу.

RAT CrystalX использует протокол WebSocket для связи с C2, применяя защищённые соединения к домену crystalxrat.net. Он использует как жёстко закодированные, так и расшифровываемые во время выполнения строки для взаимодействия с набором команд, который включает более 40 команд для выполнения системных задач, управления файлами и сбора конфиденциальной информации, такой как содержимое буфера обмена и установленное программное обеспечение. Механизмы закрепления вредоносного ПО отличаются высокой надёжностью: оно использует запланированные задачи и фильтры WMI для поддержания своего присутствия на затронутых системах. В частности, оно использует запланированную задачу для выполнения файла-рабочего процесса при входе в систему и потребителя WMI для мониторинга системных изменений.

Техники антианализа являются центральными для функциональности CrystalX. RAT проводит тщательные проверки окружения для обнаружения виртуальных машин и инструментов анализа, отключая Windows Defender и очищая журналы событий, если он определяет песочницу или среду безопасности. Он собирает и реагирует на исчерпывающий список условий и артефактов, обычно связанных с виртуальными машинами, обеспечивая скрытность своих операций от средств защиты.

Анализ сетевого поведения показывает, что CrystalX подключается к своему C2-серверу через TLS, управляя значительными объемами передачи данных, не раскрывая полезную нагрузку из-за шифрования. C2-инфраструктура выглядит сложной, использует CDN-сервисы и домены, зарегистрированные для поддержки операций в течение длительного времени. Улики указывают на то, что CrystalX является продолжением ранее выявленного ВПО, с публичной историей, связывающей его с более ранним брендингом WebCrystal RAT.

#ParsedReport #CompletenessHigh
20-05-2026

Lorem Ipsum Malware: Trojanized MS Teams Installers Deliver Multi-Stage Loader and Backdoor

https://www.bluevoyant.com/blog/lorem-ipsum-trojanized-microsoft-teams-installers-multi-stage-loader-backdoor

Report completeness: High

Threats:
Lorem_ipsum_loader
Seo_poisoning_technique
Dll_sideloading_technique
Dead_drop_technique
Aitm_technique
Supply_chain_technique

Victims:
Healthcare, Users searching for microsoft teams

Industry:
Healthcare

Geo:
Russia, Middle east, America, India, Asia, Iceland

TTPs:
Tactics: 2
Technics: 16

IOCs:
Command: 1
File: 6
Domain: 7
Url: 2
Hash: 4

Soft:
Microsoft Teams, Windows registry, Pastebin, Telegram, Twitter

Algorithms:
xor, aes, base64, gzip

Win API:
decompress, LoadLibraryA, GetProcAddress, CreateMutexA, UuidFromStringA, VirtualProtect, CryptBinaryToStringA

Languages:
php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Lorem Ipsum эволюционировала, чтобы использовать глобальную стратегию Отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатые загрузчики shellcode и бэкдоры. ВПО применяет передовые техники, такие как XOR-шифрование и подгрузка DLL, используя скомпрометированные методы SEO для заманивания жертв на поддельные сайты установщиков. Связь с его инфраструктурой управления осуществляется через файлы изображений JFIF, что демонстрирует постоянное совершенствование злоумышленников в уклонении от обнаружения при сохранении операционных возможностей.
-----

Вредоносная кампания Lorem Ipsum эволюционировала в сложную угрозу, характеризующуюся глобальной стратегией отравления поисковой оптимизации (SEO), которая доставляет троянизированные установщики Microsoft Teams, развертывающие многоступенчатый загрузчик shellcode и бэкдор. Операция, активная с февраля 2026 года, нацелена на пользователей, ищущих Microsoft Teams в нескольких странах, включая сектор здравоохранения США. Эволюция вредоносного ПО демонстрирует передовые техники, включающие декодирование шифра подстановки, заглушки shellcode с XOR-шифрованием и подгрузку DLL, что указывает на хорошо финансируемого актора среднего уровня, использующего потенциально методы программирования с помощью ИИ.

Сначала вредоносное ПО использует скомпрометированное SEO для перенаправления пользователей на поддельные веб-сайты, где размещены фальшивые установщики. Эти установщики, хотя и выглядят легитимными благодаря действительным подписанным сертификатам Microsoft ID с коротким сроком действия, содержат встроенные вредоносные скрипты PowerShell. При выполнении скрипты расшифровывают различные этапы полезной нагрузки с помощью шифрования AES, скрывая фактическое вредоносное содержимое с помощью слоев обфускации и методов противодействия анализу. Полезные нагрузки разработаны так, чтобы обеспечивать закрепление в системе жертвы путем записи в реестр Windows.

Инфраструктура command-and-control (C2) использует инновационные тактики, такие как использование letsdiskuss.com для разрешения dead-drop. Профили на этой платформе содержат закодированные данные C2, передаваемые через стандартные HTTP-запросы, замаскированные под безобидный трафик. Malware взаимодействует с использованием файлов изображений JFIF с добавленными данными, скрытно внедряя команды и полезную нагрузку, что позволяет обходить традиционные методы обнаружения.

Последние итерации ВПО, начавшиеся в конце апреля, демонстрируют техники подгрузки DLL (DLL sideloading) наряду с оригинальным механизмом закрепления на основе PowerShell. Эта адаптация демонстрирует постоянную доработку подхода злоумышленников для обхода обнаружения при сохранении функциональных возможностей, предоставляемых бэкдором. ВПО собирает информацию о хосте и поддерживает активную связь с C2, где при необходимости может выполнять дополнительные команды.

Оперативный темп этой кампании, наблюдавшийся в течение краткого периода, подчеркивает целенаправленное и итеративное развитие возможностей ВПО. Злоумышленники успешно перешли от базовых троянизированных сборок к более сложным архитектурам загрузчиков, постоянно совершенствуя техники уклонения и инфраструктуру. Учитывая устойчивые усилия по манипулированию поисковыми системами, получению сертификатов и регистрации доменов, кампания Lorem Ipsum указывает на растущую сложность, что должно побуждать защитников кибербезопасности к постоянной бдительности. Надежные шаблоны обнаружения, установленные в отчете, включая поведение трафика к letsdiskuss.com и уникальные структуры обратных вызовов, могут служить важными индикаторами для выявления активности этой хакерской группировки в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Microsoft's durabletask PyPI Package Compromised in Supply Chain Attack

https://www.stepsecurity.io/blog/microsofts-durabletask-pypi-package-compromised-in-supply-chain-attack

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Tailscale_tool
Firescale

Victims:
Software development, Cloud services, Continuous integration and delivery, Server infrastructure, Containerized environments

Geo:
Tehran, Russian

CVEs:
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.004, T1041, T1059.004, T1059.006, T1102.001, T1105, T1110, T1195.001, T1485, have more...

IOCs:
Domain: 2
File: 17
IP: 1
Url: 4
Hash: 7

Soft:
systemd, Kubernetes, TanStack, LiteLLM, netes recon, nviro, reco, Linux, Claude, Docker, have more...

Algorithms:
rsa-4096, sha256, base64, aes-256-gcm, gzip

Functions:
PyPI, memfd_create

Languages:
python

Platforms:
intel

Links:
https://github.com/step-security/harden-runner

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 мая 2026 года Python SDK durabletask от Microsoft стал жертвой атаки на цепочку поставок в PyPI, в результате которой были загружены вредоносные версии, содержащие загрузчик для модульной облачной фреймворк инфраструктуры вторжений rope.pyz. Этот фреймворк осуществлял эксфильтрацию конфиденциальных данных из AWS, Azure и GCP, а также способствовал краже учетных данных через различные коллекторы. Атака, связанная с кампанией TeamPCP Mini Shai-Hulud, использовала техники для перемещение внутри компании в средах и могла развертывать деструктивный wiper, повышая риск для целевых систем.
-----

19 мая 2026 года Python SDK durabletask от Microsoft был скомпрометирован на PyPI, что стало значительной атакой на Цепочку поставок. Атакующий загрузил три вредоносные версии пакета (1.4.1, 1.4.2 и 1.4.3) в течение короткого промежутка времени, обойдя конвейер сборки репозитория GitHub Microsoft с помощью украденных учетных данных публикации. Вредоносная нагрузка, состоящая из 14 строк кода Python, действует как дроппер для более сложного модульного фреймворка облачного вторжения, известного как rope.pyz. Этот фреймворк содержит несколько модулей, предназначенных для эксфильтрации конфиденциальных данных через основные облачные платформы и системы, включая AWS, Azure и GCP.

При импорте скомпрометированного пакета вредоносное поведение запускалось практически мгновенно, устанавливая исходящие сетевые соединения с доменом управления (управление) и контроля (C2), а также обеспечивая кражу учетных данных с помощью различных сборщиков, адаптированных для AWS, Azure, GCP, Kubernetes и других платформ. Детальная архитектура полезной нагрузки позволяет осуществлять масштабную кражу данных, включая секреты от учетных записей облачных сервисов, конфигурационные файлы и переменные окружения. Важно отметить, что фреймворк также внедряет механизмы закрепления с использованием поддельных сервисов systemd, что гарантирует его непрерывную работу в скомпрометированных средах.

Инфраструктура C2, связанная с этой атакой, была прослежена до кампании TeamPCP Mini Shai-Hulud. Ключевые индикаторы, такие как конкретные соглашения об именовании, используемые в репозиториях для эксфильтрации данных, и исключение русскоязычных локалей для уклонения злоумышленника, связали инцидент с этим хорошо известным злоумышленником, который был вовлечен в серию атак на Цепочку поставок, нацеленных на различные программные экосистемы.

В плане перемещения внутри компании вредоносный фреймворк использует механизмы AWS SSM и Kubernetes для распространения. Он может выполнять свой полезный код на нескольких экземплярах или подов в сетевой среде, тем самым расширяя свою зону поражения. Атака также включает потенциальный деструктивный wiper, который может активировать процедуру очистки, создавая дополнительные риски для затронутых систем.

Стратегии смягчения последствий включают изоляцию затронутых систем, ротацию скомпрометированных учетных данных и проведение тщательных аудитов облачных ресурсов на предмет несанкционированного доступа. Для предотвращения подобных инцидентов в будущем передовые практики рекомендуют использовать привязку версий пакетов, применять проверку хеш-сумм и ограничивать исходящий сетевой доступ из конвейеров CI/CD. Данный инцидент служит суровым напоминанием об уязвимостях, присутствующих в цепочках поставок программного обеспечения, и необходимости внедрения надежных мер безопасности для предотвращения аналогичных атак в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Eimeria: five layers from RAR5 to RunPE

https://www.derp.ca/research/eimeria-multi-stage-loader/

Report completeness: High

Threats:
Eimeria
Runpe_tool
Darkgate
Process_hollowing_technique
Trojan.win32.gen.tl0101dn26zn
Dll_sideloading_technique

Industry:
Petroleum

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1053.005, T1055.012, T1057, T1059.010, T1071.001, T1140, T1497.001, T1497.003, have more...

IOCs:
Hash: 6
File: 8
Path: 3
Registry: 1
IP: 2

Soft:
Task Scheduler

Algorithms:
lznt1, aes-128-cbc, sha256, aes-cbc, rc4, aes, base64

Win API:
CreateProcess, BCryptGenRandom, decompress, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, EmptyWorkingSet, RtlZeroMemory, have more...

Languages:
autoit

Platforms:
x64, x86

Links:
https://github.com/kirkderp/yara/tree/main/eimeria\_multi\_stage\_loader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Eimeria — это сложный вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки Троянской программы (RAT) и точки управления (C2) через архив RAR5, размещённый на Dedik Services во Франкфурте. Доставка включает подписанный исполняемый файл (dsclock.exe), использующий загрузку DLL для выполнения вредоносной DLL zlib, а также продвинутые методы, такие как AutoIt для Внедрения в пустой процесс и WebSocket-коммуникация с сервером управления. Eimeria применяет модификации реестра и запланированные задачи для закрепления, демонстрируя стратегическую эволюцию в киберугрозах через скрытность и обфускацию.
-----

Eimeria — это продвинутый вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки своего полезного груза, состоящего из Троянской программы (RAT) и узла управления (C2). Доставка начинается с архива RAR5, размещенного на инфраструктуре, связанной с Dedik Services Ltd во Франкфурте. Этот архив RAR5 содержит подписанный исполняемый файл (dsclock.exe), который использует подгрузку DLL для выполнения вредоносной DLL zlib. После этого вредоносное ПО использует самораспаковывающийся архив IExpress и AutoIt для Внедрения в пустой процесс, что завершается появлением C2 маяка на базе .NET.

Первоначальным компонентом является архив RAR5, идентифицируемый по хешу SHA256 c872cd101d9c2a773f08558dde7b716161cf977d4aa99c2347c0269423434f8c, загруженный в мае 2026 года. При запуске проверяемый исполняемый файл dsclock.exe не является вредоносным сам по себе, так как имеет подлинную подпись Authenticode от легитимной российской программной организации и импортирует функции из libcurl, ложно представляя себя безобидным приложением.

Следующий уровень раскрывает самораспаковывающийся исполняемый файл, способный скрывать свои основные компоненты, поскольку архив IExpress извлекает 26 файлов-отвлекающих маневров вместе с реальным полезным грузом. Главный загрузчик, Deal.exe, представляет собой исполняемый файл, скомпилированный в AutoIt, который выполняет техники внедрения в пустой процесс, восстанавливая чистую версию ntdll.dll из файловой системы для обхода систем обнаружения и реагирования на конечных точках (EDR). Он включает механизмы для маскировки своей деятельности, такие как встроенная задержка в 28 секунд перед выполнением любых вредоносных операций, а также различные проверки на эмуляцию, препятствующие статическому анализу.

Методы закрепления, используемые Eimeria, включают модификации реестра, запланированные задачи и скрытые атрибуты файлов, чтобы обеспечить его выживание после перезагрузки системы. ВПО работает через WebSocket-коммуникацию с сервером C2 по адресу ws://94.26.90.139:3006, который был подтвержден как активный. Примечательно, что Eimeria демонстрирует заметные архитектурные сходства с семейством DarkGate, но отличается многослойным подходом к доставке и использованием легитимного подписанного исполняемого файла-носителя, что указывает на стратегическую разработку, а не просто на использование существующих вредоносных инструментов.

В заключение, Eimeria представляет собой набор инструментов злоумышленника, отличающийся сложными механизмами доставки, техниками уклонения и целевым использованием Process Hollowing для развертывания .NET-загрузчика. Его отличительные характеристики подчеркивают растущий тренд в киберугрозах, где обфускация и скрытность являются критически важными компонентами современных операций с ВПО.

#ParsedReport #CompletenessLow
20-05-2026

Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

https://buaq.net/go-416797.html

Report completeness: Low

Threats:
Gremlin_stealer
Agent_tesla
Cloudeye
Loki_bot
Quasar_rat

Victims:
Browser users, Discord users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1005, T1027.002, T1027.009, T1027.013, T1115, T1140, T1185, T1528, T1539, T1560.001, have more...

IOCs:
Hash: 11
File: 1
Url: 1

Soft:
Discord, Telegram

Algorithms:
sha256, xor, zip

Functions:
c

Languages:
csharp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gremlin Stealer значительно эволюционировал, внедрив передовые техники обфускации для сокрытия своих полезной нагрузки, используя коммерческий упаковщик, который виртуализирует инструкции для избежания обнаружения. Эта вариация нацелена на чувствительные данные из веб-браузеров и содержимого буфера обмена, эксфильтруя их на новый сайт управления, одновременно применяя XOR-кодирование для уклонения от статического анализа. Примечательно, что он содержит модули для извлечения токенов Discord и перехвата буфера обмена для адресов криптовалюты, а также перехват сессий через WebSocket, что делает его более сложной и многогранной угрозой.
-----

Недавний анализ Gremlin Stealer выявил значительные улучшения в его техниках обфускации, позволяющие вредоносному ПО эффективно скрывать вредоносные загрузки во встроенных ресурсах. Среди его эволюционировавших тактик вредоносное ПО использует сложный коммерческий упаковщик, который применяет виртуализацию инструкций. Эта техника преобразует исходный код в проприетарный байт-код, выполняемый частной виртуальной машиной, что повышает его способность избегать обнаружения стандартными средствами защиты.

Gremlin Stealer в первую очередь предназначен для эксфильтрации конфиденциальной информации с скомпрометированных систем, нацелен на веб-браузеры, содержимое буфера обмена и локальное хранилище для сбора таких данных, как учетные данные и финансовая информация. Недавно выявленный вариант отправляет украденные данные на новый сайт управления, расположенный по адресу hxxp://194.87.92.109, который на момент обнаружения не имел обнаружений в VirusTotal.

Ключевым нововведением в этом варианте ВПО стала стратегическая размещение основного полезного груза в секции ресурсов .NET, зашифрованного с использованием кодирования XOR. Эта техника позволяет ему избегать статического анализа и обнаружения на основе сигнатур. Исследователи успешно применили метод дешифрования однобайтовым XOR для восстановления важных конфигурационных данных, включая жестко закодированные URL-адреса управления и пути эксфильтрации.

Gremlin Stealer также демонстрирует заметную эволюцию за счёт улучшений в своей операционной архитектуре. Теперь он включает выделенный модуль для извлечения токенов Discord, что свидетельствует о попытке нацелиться на цифровые идентичности. Кроме того, вредоносное ПО оснащено перехватчиком буфера обмена, который активно отслеживает адреса криптовалютных кошельков. При обнаружении адреса кошелька он заменяет его на адрес, контролируемый злоумышленником, в режиме реального времени, что способствует совершению финансовых мошенничеств.

Кроме того, последний вариант вводит возможность перехвата сессий на основе WebSocket, что является существенным улучшением, позволяющим ему захватывать активные браузерные сессии и извлекать данные непосредственно из работающих процессов, обходя защиты, обычно предоставляемые современными системами управления файлами cookie. Разработка этих новых тактик отражает более широкую тенденцию в киберугрозах, переходящую от базового сбора учетных записей к сложному модульному подходу, который интегрирует несколько векторов для эксплуатации.

В заключение, трансформация Gremlin Stealer в более сложное ВПО подчеркивает значительную эскалацию в его угрозовом ландшафте, сочетая изощренные техники обфускации с расширенным функционалом, направленным на максимизацию эксфильтрации данных и финансовой выгоды. Эта эволюция создает повышенные риски для пользователей, особенно тех, кто занимается криптовалютой и использует онлайн-сервисы, требующие безопасного хранения персональных данных.

#ParsedReport #CompletenessMedium
19-05-2026

The Worm That Keeps on Digging: TeamPCP Hits @antv in Latest Wave

https://www.wiz.io/blog/mini-shai-hulud-teampcp-hits-antv-supply-chain

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Kitty_tool

Victims:
Open source ecosystem, Developer environments, Ci cd environments, Repositories, Software supply chain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1195.001, T1528, T1552.004, T1555.003, T1567.001

IOCs:
IP: 1
File: 7
Hash: 1

Soft:
VSCode, macOS, Linux

Algorithms:
sha256, sha1, md5

Languages:
python

Platforms:
intel

Links:
https://github.com/nrwl/nx-console/issues/3139
have more...
https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда TeamPCP запустила атаку на цепочку поставок, нацеленную на компоненты программного обеспечения с открытым исходным кодом, затронувшую в первую очередь GitHub, пакеты NPM и расширение VSCode. Эта кампания, выявленная 19 мая, использует ВПО для кражи учетных данных и эксфильтрации конфиденциальных данных, опираясь на скомпрометированные пакеты npm и заброшенные коммиты GitHub для доставки полезной нагрузки. ВПО способно похищать различные конфиденциальные материалы и использует бэкдор на базе Python для выполнения удаленных команд, хотя признаков активной инфраструктуры управления не обнаружено.
-----

TeamPCP возродилась как злоумышленник, участвующий в компрометации цепочки поставок в рамках нескольких экосистем, затрагивающей компоненты программного обеспечения с открытым исходным кодом, в частности, GitHub, пакеты NPM и расширение VSCode. Кампания, которая была замечена 19 мая, использует распределенное ВПО, предназначенное для извлечения учетных данных, вывоза конфиденциальной информации и обеспечения постоянного доступа к зараженным системам. Это ВПО в основном нацелено на пакеты npm в пространстве имен @antv, действия GitHub, такие как actions-cool/issues-helper, и расширение VSCode nrwl.angular-console.

После установки скомпрометированных пакетов npm вредоносное ПО инициировало сложный многоэтапный процесс заражения, который извлекал дополнительные полезной нагрузки из инфраструктуры, размещенной на GitHub. Для избегания обнаружения эти полезной нагрузки часто хранились в заброшенных коммитах GitHub. После выполнения вредоносное ПО использовало инструмент под названием bun для установки вторичных полезной нагрузки, направленных на кражу учетных данных и закрепление на целевых системах.

Вредоносное ПО продемонстрировало способность собирать разнообразные конфиденциальные данные, включая токены GitHub, SSH-ключи, учетные данные облачных сервисов и секреты, сохраненные в браузере, с скомпрометированных систем. Для эксфильтрации собранных данных злоумышленники создали публичные репозитории GitHub, используя среду жертвы. Вредоносное ПО также устанавливало бэкдор на базе Python, который опрашивал GitHub на наличие подписанных команд. При обнаружении действительной команды, содержащей триггерную строку "firedalazer", оно загружало и выполняло удаленный Python-код, тем самым предоставляя операторам возможности постоянного удаленного выполнения. Однако на данный момент активных признаков этой инфраструктуры управления не наблюдается.

Расследование, проведенное командой Wiz Research, с умеренной уверенностью устанавливает, что TeamPCP несет ответственность за эту кампанию, что подтверждается совпадением инфраструктуры, функциональностью вредоносного ПО и наблюдаемыми оперативными паттернами, аналогичными предыдущим действиям группы. В условиях продолжающейся эволюции угроз организациям рекомендуется тщательно исследовать рабочие станции разработчиков, среды непрерывной интеграции/непрерывного развертывания (CI/CD) и репозитории на наличие индикаторов компрометации. Необходимо провести аудит систем на предмет затронутых пакетов и расширений, а также активно мониторить GitHub на предмет несанкционированной активности в репозиториях и подозрительного создания токенов.

Учитывая целевое хищение учетных данных разработчиков, организациям необходимо оценить потенциальные риски раскрытия информации и при необходимости сменить конфиденциальные учетные данные. Кроме того, командам безопасности рекомендуется искать механизмы закрепления и отслеживать необычные исходящие коммуникации, связанные с GitHub. Для снижения рисков в цепочке поставок программного обеспечения ключевое значение будут иметь такие стратегии, как создание белого списка зависимостей, генерация программного билля материалов (SBOM), проверка пакетов и усиление мониторинга сред разработки.

#ParsedReport #CompletenessHigh
20-05-2026

Gamaredon’s infection chain: Spoofed emails, GammaDrop and GammaLoad

https://harfanglab.io/insidethelab/gamaredon-gammadrop-gammaload/

Report completeness: High

Actors/Campaigns:
Gamaredon

Threats:
Gammadrop
Gammaload
Spear-phishing_technique
Fastflux_technique
Pterolnk

Victims:
Ukrainian state institutions, Security service of ukraine, Military units, Courts, Prosecutors, Local government, City councils, Mayor offices, Justice entities, Sanatorium associated with the security service of ukraine, have more...

Industry:
Military, Retail, Government

Geo:
Ukrainian, Russia, Luhansk, Crimea, Ukraine

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1036.008, T1059.005, T1071.001, T1078, T1082, T1105, T1203, T1218.005, have more...

IOCs:
IP: 8
Domain: 283
Hash: 126
File: 73
Path: 1
Url: 10
Registry: 1

Soft:
Chrome, mac os, macOS

Algorithms:
base64, deflate, sha1, gzip, sha256

Platforms:
intel

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR260501
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_gamaredon-1.txt
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, также известный как Aqua Blizzard, эксплуатирует уязвимость CVE-2025-8088 в WinRAR для атак на украинские государственные учреждения через кампании Целевой фишинг. Атака использует поддельные письма с компрометированных государственных учетных записей, доставляя многоэтапные VBScript-загрузчики GammaDrop и GammaLoad, которые обеспечивают дальнейшее получение полезной нагрузки и действуют как постоянные маячки управления. Злоумышленники применяют адаптивные техники, изменяя типы файлов и используя динамический DNS с легитимными сервисами для повышения уклонения и поддержания оперативной гибкости.
-----

Gamaredon, известная хакерская группировка, также идентифицируемая как Aqua Blizzard, активно эксплуатирует уязвимость CVE-2025-8088 для проведения Целевой фишинг кампаний, нацеленных преимущественно на украинские государственные учреждения. Эта уязвимость, позволяющая осуществлять атаки с обходом ограничений пути в версиях WinRAR вплоть до 7.13, использовалась злоумышленниками как минимум с сентября 2025 года, при этом последняя волна атак задокументирована в апреле 2026 года. Методология атаки включает отправку поддельных писем с компрометированных учетных записей в рамках государственных органов, которые доставляют многоэтапные загрузчики VBScript под названиями GammaDrop и GammaLoad.

GammaDrop выступает в роли начального загрузчика, используя зашифрованный VBScript для получения удаленного HTA-файла (GammaLoad) с динамически сгенерированного домена Cloudflare Workers. ВПО функционирует в рамках запутанной структуры URL, которая включает значения, производные от даты, и случайные целые числа для избежания обнаружения, что указывает на паттерн адаптивных операций, при котором инфраструктура изменяется с каждой итерацией кампании. Примечательно, что GammaLoad служит как постоянным C2-маяком, так и загрузчиком для дополнительных полезной нагрузки, выполняя последующие команды без необходимости непрерывного вмешательства со стороны оператора ВПО.

Злоумышленники используют сложные техники подделки электронной почты, что подтверждается применением ими учетных данных из скомпрометированных учетных записей для обхода мер безопасности электронной почты, включая проверки SPF и DKIM. Вредоносные вложения часто содержат архив RAR, эксплуатирующий уязвимость CVE-2025-8088 через механизм обхода пути для записи полезной нагрузки в папку автозагрузки Windows. В фазах активной эксплуатации наблюдаются изменения в типах файлов и форматах архивирования, при этом недавние кампании вместо архивов RAR начали использовать архивы ARJ, что указывает на постоянную адаптацию.

Инфраструктура Gamaredon сильно полагается на быстро меняющийся DNS, используя легитимные сервисы, такие как Cloudflare, для своей команды и управления операциями. Они установили IP-адреса, известные как связанные с их кампаниями, что позволяет определить их операционный след. Эта динамическая инфраструктура сочетает техники быстрого потока и динамического DNS для избегания обнаружения, одновременно используя известную подсеть (194.58.66.0/24) как постоянный операционный хаб.

В прошлом целевые атаки были направлены исключительно на украинские организации, особенно на сектора полиции и судебной системы, что указывает на стратегический фокус на региональной нестабильности. Паттерны атак демонстрируют низкую техническую сложность, вместо этого полагаясь на объем и автоматизацию для подавления средств защиты. Для смягчения последствий внедрение более строгих политик DMARC и выявление связанных IP-адресов для блокировки может существенно затруднить их операционную эффективность. В целом, хотя техническое исполнение может не отличаться сложностью, операционный темп и постоянная адаптивность Gamaredon представляют значительную угрозу для целевых организаций.