#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 мая 2026 года Python SDK durabletask от Microsoft стал жертвой атаки на цепочку поставок в PyPI, в результате которой были загружены вредоносные версии, содержащие загрузчик для модульной облачной фреймворк инфраструктуры вторжений rope.pyz. Этот фреймворк осуществлял эксфильтрацию конфиденциальных данных из AWS, Azure и GCP, а также способствовал краже учетных данных через различные коллекторы. Атака, связанная с кампанией TeamPCP Mini Shai-Hulud, использовала техники для перемещение внутри компании в средах и могла развертывать деструктивный wiper, повышая риск для целевых систем.
-----

19 мая 2026 года Python SDK durabletask от Microsoft был скомпрометирован на PyPI, что стало значительной атакой на Цепочку поставок. Атакующий загрузил три вредоносные версии пакета (1.4.1, 1.4.2 и 1.4.3) в течение короткого промежутка времени, обойдя конвейер сборки репозитория GitHub Microsoft с помощью украденных учетных данных публикации. Вредоносная нагрузка, состоящая из 14 строк кода Python, действует как дроппер для более сложного модульного фреймворка облачного вторжения, известного как rope.pyz. Этот фреймворк содержит несколько модулей, предназначенных для эксфильтрации конфиденциальных данных через основные облачные платформы и системы, включая AWS, Azure и GCP.

При импорте скомпрометированного пакета вредоносное поведение запускалось практически мгновенно, устанавливая исходящие сетевые соединения с доменом управления (управление) и контроля (C2), а также обеспечивая кражу учетных данных с помощью различных сборщиков, адаптированных для AWS, Azure, GCP, Kubernetes и других платформ. Детальная архитектура полезной нагрузки позволяет осуществлять масштабную кражу данных, включая секреты от учетных записей облачных сервисов, конфигурационные файлы и переменные окружения. Важно отметить, что фреймворк также внедряет механизмы закрепления с использованием поддельных сервисов systemd, что гарантирует его непрерывную работу в скомпрометированных средах.

Инфраструктура C2, связанная с этой атакой, была прослежена до кампании TeamPCP Mini Shai-Hulud. Ключевые индикаторы, такие как конкретные соглашения об именовании, используемые в репозиториях для эксфильтрации данных, и исключение русскоязычных локалей для уклонения злоумышленника, связали инцидент с этим хорошо известным злоумышленником, который был вовлечен в серию атак на Цепочку поставок, нацеленных на различные программные экосистемы.

В плане перемещения внутри компании вредоносный фреймворк использует механизмы AWS SSM и Kubernetes для распространения. Он может выполнять свой полезный код на нескольких экземплярах или подов в сетевой среде, тем самым расширяя свою зону поражения. Атака также включает потенциальный деструктивный wiper, который может активировать процедуру очистки, создавая дополнительные риски для затронутых систем.

Стратегии смягчения последствий включают изоляцию затронутых систем, ротацию скомпрометированных учетных данных и проведение тщательных аудитов облачных ресурсов на предмет несанкционированного доступа. Для предотвращения подобных инцидентов в будущем передовые практики рекомендуют использовать привязку версий пакетов, применять проверку хеш-сумм и ограничивать исходящий сетевой доступ из конвейеров CI/CD. Данный инцидент служит суровым напоминанием об уязвимостях, присутствующих в цепочках поставок программного обеспечения, и необходимости внедрения надежных мер безопасности для предотвращения аналогичных атак в будущем.

#ParsedReport #CompletenessHigh
20-05-2026

Eimeria: five layers from RAR5 to RunPE

https://www.derp.ca/research/eimeria-multi-stage-loader/

Report completeness: High

Threats:
Eimeria
Runpe_tool
Darkgate
Process_hollowing_technique
Trojan.win32.gen.tl0101dn26zn
Dll_sideloading_technique

Industry:
Petroleum

Geo:
Russian, Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.013, T1036.005, T1053.005, T1055.012, T1057, T1059.010, T1071.001, T1140, T1497.001, T1497.003, have more...

IOCs:
Hash: 6
File: 8
Path: 3
Registry: 1
IP: 2

Soft:
Task Scheduler

Algorithms:
lznt1, aes-128-cbc, sha256, aes-cbc, rc4, aes, base64

Win API:
CreateProcess, BCryptGenRandom, decompress, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, EmptyWorkingSet, RtlZeroMemory, have more...

Languages:
autoit

Platforms:
x64, x86

Links:
https://github.com/kirkderp/yara/tree/main/eimeria\_multi\_stage\_loader

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Eimeria — это сложный вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки Троянской программы (RAT) и точки управления (C2) через архив RAR5, размещённый на Dedik Services во Франкфурте. Доставка включает подписанный исполняемый файл (dsclock.exe), использующий загрузку DLL для выполнения вредоносной DLL zlib, а также продвинутые методы, такие как AutoIt для Внедрения в пустой процесс и WebSocket-коммуникация с сервером управления. Eimeria применяет модификации реестра и запланированные задачи для закрепления, демонстрируя стратегическую эволюцию в киберугрозах через скрытность и обфускацию.
-----

Eimeria — это продвинутый вредоносный фреймворк, использующий пятиуровневую технику обфускации для доставки своего полезного груза, состоящего из Троянской программы (RAT) и узла управления (C2). Доставка начинается с архива RAR5, размещенного на инфраструктуре, связанной с Dedik Services Ltd во Франкфурте. Этот архив RAR5 содержит подписанный исполняемый файл (dsclock.exe), который использует подгрузку DLL для выполнения вредоносной DLL zlib. После этого вредоносное ПО использует самораспаковывающийся архив IExpress и AutoIt для Внедрения в пустой процесс, что завершается появлением C2 маяка на базе .NET.

Первоначальным компонентом является архив RAR5, идентифицируемый по хешу SHA256 c872cd101d9c2a773f08558dde7b716161cf977d4aa99c2347c0269423434f8c, загруженный в мае 2026 года. При запуске проверяемый исполняемый файл dsclock.exe не является вредоносным сам по себе, так как имеет подлинную подпись Authenticode от легитимной российской программной организации и импортирует функции из libcurl, ложно представляя себя безобидным приложением.

Следующий уровень раскрывает самораспаковывающийся исполняемый файл, способный скрывать свои основные компоненты, поскольку архив IExpress извлекает 26 файлов-отвлекающих маневров вместе с реальным полезным грузом. Главный загрузчик, Deal.exe, представляет собой исполняемый файл, скомпилированный в AutoIt, который выполняет техники внедрения в пустой процесс, восстанавливая чистую версию ntdll.dll из файловой системы для обхода систем обнаружения и реагирования на конечных точках (EDR). Он включает механизмы для маскировки своей деятельности, такие как встроенная задержка в 28 секунд перед выполнением любых вредоносных операций, а также различные проверки на эмуляцию, препятствующие статическому анализу.

Методы закрепления, используемые Eimeria, включают модификации реестра, запланированные задачи и скрытые атрибуты файлов, чтобы обеспечить его выживание после перезагрузки системы. ВПО работает через WebSocket-коммуникацию с сервером C2 по адресу ws://94.26.90.139:3006, который был подтвержден как активный. Примечательно, что Eimeria демонстрирует заметные архитектурные сходства с семейством DarkGate, но отличается многослойным подходом к доставке и использованием легитимного подписанного исполняемого файла-носителя, что указывает на стратегическую разработку, а не просто на использование существующих вредоносных инструментов.

В заключение, Eimeria представляет собой набор инструментов злоумышленника, отличающийся сложными механизмами доставки, техниками уклонения и целевым использованием Process Hollowing для развертывания .NET-загрузчика. Его отличительные характеристики подчеркивают растущий тренд в киберугрозах, где обфускация и скрытность являются критически важными компонентами современных операций с ВПО.

#ParsedReport #CompletenessLow
20-05-2026

Gremlin Stealer's Evolved Tactics: Hiding in Plain Sight With Resource Files

https://buaq.net/go-416797.html

Report completeness: Low

Threats:
Gremlin_stealer
Agent_tesla
Cloudeye
Loki_bot
Quasar_rat

Victims:
Browser users, Discord users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1005, T1027.002, T1027.009, T1027.013, T1115, T1140, T1185, T1528, T1539, T1560.001, have more...

IOCs:
Hash: 11
File: 1
Url: 1

Soft:
Discord, Telegram

Algorithms:
sha256, xor, zip

Functions:
c

Languages:
csharp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gremlin Stealer значительно эволюционировал, внедрив передовые техники обфускации для сокрытия своих полезной нагрузки, используя коммерческий упаковщик, который виртуализирует инструкции для избежания обнаружения. Эта вариация нацелена на чувствительные данные из веб-браузеров и содержимого буфера обмена, эксфильтруя их на новый сайт управления, одновременно применяя XOR-кодирование для уклонения от статического анализа. Примечательно, что он содержит модули для извлечения токенов Discord и перехвата буфера обмена для адресов криптовалюты, а также перехват сессий через WebSocket, что делает его более сложной и многогранной угрозой.
-----

Недавний анализ Gremlin Stealer выявил значительные улучшения в его техниках обфускации, позволяющие вредоносному ПО эффективно скрывать вредоносные загрузки во встроенных ресурсах. Среди его эволюционировавших тактик вредоносное ПО использует сложный коммерческий упаковщик, который применяет виртуализацию инструкций. Эта техника преобразует исходный код в проприетарный байт-код, выполняемый частной виртуальной машиной, что повышает его способность избегать обнаружения стандартными средствами защиты.

Gremlin Stealer в первую очередь предназначен для эксфильтрации конфиденциальной информации с скомпрометированных систем, нацелен на веб-браузеры, содержимое буфера обмена и локальное хранилище для сбора таких данных, как учетные данные и финансовая информация. Недавно выявленный вариант отправляет украденные данные на новый сайт управления, расположенный по адресу hxxp://194.87.92.109, который на момент обнаружения не имел обнаружений в VirusTotal.

Ключевым нововведением в этом варианте ВПО стала стратегическая размещение основного полезного груза в секции ресурсов .NET, зашифрованного с использованием кодирования XOR. Эта техника позволяет ему избегать статического анализа и обнаружения на основе сигнатур. Исследователи успешно применили метод дешифрования однобайтовым XOR для восстановления важных конфигурационных данных, включая жестко закодированные URL-адреса управления и пути эксфильтрации.

Gremlin Stealer также демонстрирует заметную эволюцию за счёт улучшений в своей операционной архитектуре. Теперь он включает выделенный модуль для извлечения токенов Discord, что свидетельствует о попытке нацелиться на цифровые идентичности. Кроме того, вредоносное ПО оснащено перехватчиком буфера обмена, который активно отслеживает адреса криптовалютных кошельков. При обнаружении адреса кошелька он заменяет его на адрес, контролируемый злоумышленником, в режиме реального времени, что способствует совершению финансовых мошенничеств.

Кроме того, последний вариант вводит возможность перехвата сессий на основе WebSocket, что является существенным улучшением, позволяющим ему захватывать активные браузерные сессии и извлекать данные непосредственно из работающих процессов, обходя защиты, обычно предоставляемые современными системами управления файлами cookie. Разработка этих новых тактик отражает более широкую тенденцию в киберугрозах, переходящую от базового сбора учетных записей к сложному модульному подходу, который интегрирует несколько векторов для эксплуатации.

В заключение, трансформация Gremlin Stealer в более сложное ВПО подчеркивает значительную эскалацию в его угрозовом ландшафте, сочетая изощренные техники обфускации с расширенным функционалом, направленным на максимизацию эксфильтрации данных и финансовой выгоды. Эта эволюция создает повышенные риски для пользователей, особенно тех, кто занимается криптовалютой и использует онлайн-сервисы, требующие безопасного хранения персональных данных.

#ParsedReport #CompletenessMedium
19-05-2026

The Worm That Keeps on Digging: TeamPCP Hits @antv in Latest Wave

https://www.wiz.io/blog/mini-shai-hulud-teampcp-hits-antv-supply-chain

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Kitty_tool

Victims:
Open source ecosystem, Developer environments, Ci cd environments, Repositories, Software supply chain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1195.001, T1528, T1552.004, T1555.003, T1567.001

IOCs:
IP: 1
File: 7
Hash: 1

Soft:
VSCode, macOS, Linux

Algorithms:
sha256, sha1, md5

Languages:
python

Platforms:
intel

Links:
https://github.com/nrwl/nx-console/issues/3139
have more...
https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда TeamPCP запустила атаку на цепочку поставок, нацеленную на компоненты программного обеспечения с открытым исходным кодом, затронувшую в первую очередь GitHub, пакеты NPM и расширение VSCode. Эта кампания, выявленная 19 мая, использует ВПО для кражи учетных данных и эксфильтрации конфиденциальных данных, опираясь на скомпрометированные пакеты npm и заброшенные коммиты GitHub для доставки полезной нагрузки. ВПО способно похищать различные конфиденциальные материалы и использует бэкдор на базе Python для выполнения удаленных команд, хотя признаков активной инфраструктуры управления не обнаружено.
-----

TeamPCP возродилась как злоумышленник, участвующий в компрометации цепочки поставок в рамках нескольких экосистем, затрагивающей компоненты программного обеспечения с открытым исходным кодом, в частности, GitHub, пакеты NPM и расширение VSCode. Кампания, которая была замечена 19 мая, использует распределенное ВПО, предназначенное для извлечения учетных данных, вывоза конфиденциальной информации и обеспечения постоянного доступа к зараженным системам. Это ВПО в основном нацелено на пакеты npm в пространстве имен @antv, действия GitHub, такие как actions-cool/issues-helper, и расширение VSCode nrwl.angular-console.

После установки скомпрометированных пакетов npm вредоносное ПО инициировало сложный многоэтапный процесс заражения, который извлекал дополнительные полезной нагрузки из инфраструктуры, размещенной на GitHub. Для избегания обнаружения эти полезной нагрузки часто хранились в заброшенных коммитах GitHub. После выполнения вредоносное ПО использовало инструмент под названием bun для установки вторичных полезной нагрузки, направленных на кражу учетных данных и закрепление на целевых системах.

Вредоносное ПО продемонстрировало способность собирать разнообразные конфиденциальные данные, включая токены GitHub, SSH-ключи, учетные данные облачных сервисов и секреты, сохраненные в браузере, с скомпрометированных систем. Для эксфильтрации собранных данных злоумышленники создали публичные репозитории GitHub, используя среду жертвы. Вредоносное ПО также устанавливало бэкдор на базе Python, который опрашивал GitHub на наличие подписанных команд. При обнаружении действительной команды, содержащей триггерную строку "firedalazer", оно загружало и выполняло удаленный Python-код, тем самым предоставляя операторам возможности постоянного удаленного выполнения. Однако на данный момент активных признаков этой инфраструктуры управления не наблюдается.

Расследование, проведенное командой Wiz Research, с умеренной уверенностью устанавливает, что TeamPCP несет ответственность за эту кампанию, что подтверждается совпадением инфраструктуры, функциональностью вредоносного ПО и наблюдаемыми оперативными паттернами, аналогичными предыдущим действиям группы. В условиях продолжающейся эволюции угроз организациям рекомендуется тщательно исследовать рабочие станции разработчиков, среды непрерывной интеграции/непрерывного развертывания (CI/CD) и репозитории на наличие индикаторов компрометации. Необходимо провести аудит систем на предмет затронутых пакетов и расширений, а также активно мониторить GitHub на предмет несанкционированной активности в репозиториях и подозрительного создания токенов.

Учитывая целевое хищение учетных данных разработчиков, организациям необходимо оценить потенциальные риски раскрытия информации и при необходимости сменить конфиденциальные учетные данные. Кроме того, командам безопасности рекомендуется искать механизмы закрепления и отслеживать необычные исходящие коммуникации, связанные с GitHub. Для снижения рисков в цепочке поставок программного обеспечения ключевое значение будут иметь такие стратегии, как создание белого списка зависимостей, генерация программного билля материалов (SBOM), проверка пакетов и усиление мониторинга сред разработки.

#ParsedReport #CompletenessHigh
20-05-2026

Gamaredon’s infection chain: Spoofed emails, GammaDrop and GammaLoad

https://harfanglab.io/insidethelab/gamaredon-gammadrop-gammaload/

Report completeness: High

Actors/Campaigns:
Gamaredon

Threats:
Gammadrop
Gammaload
Spear-phishing_technique
Fastflux_technique
Pterolnk

Victims:
Ukrainian state institutions, Security service of ukraine, Military units, Courts, Prosecutors, Local government, City councils, Mayor offices, Justice entities, Sanatorium associated with the security service of ukraine, have more...

Industry:
Military, Retail, Government

Geo:
Ukrainian, Russia, Luhansk, Crimea, Ukraine

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1036.008, T1059.005, T1071.001, T1078, T1082, T1105, T1203, T1218.005, have more...

IOCs:
IP: 8
Domain: 283
Hash: 126
File: 73
Path: 1
Url: 10
Registry: 1

Soft:
Chrome, mac os, macOS

Algorithms:
base64, deflate, sha1, gzip, sha256

Platforms:
intel

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR260501
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_gamaredon-1.txt
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, также известный как Aqua Blizzard, эксплуатирует уязвимость CVE-2025-8088 в WinRAR для атак на украинские государственные учреждения через кампании Целевой фишинг. Атака использует поддельные письма с компрометированных государственных учетных записей, доставляя многоэтапные VBScript-загрузчики GammaDrop и GammaLoad, которые обеспечивают дальнейшее получение полезной нагрузки и действуют как постоянные маячки управления. Злоумышленники применяют адаптивные техники, изменяя типы файлов и используя динамический DNS с легитимными сервисами для повышения уклонения и поддержания оперативной гибкости.
-----

Gamaredon, известная хакерская группировка, также идентифицируемая как Aqua Blizzard, активно эксплуатирует уязвимость CVE-2025-8088 для проведения Целевой фишинг кампаний, нацеленных преимущественно на украинские государственные учреждения. Эта уязвимость, позволяющая осуществлять атаки с обходом ограничений пути в версиях WinRAR вплоть до 7.13, использовалась злоумышленниками как минимум с сентября 2025 года, при этом последняя волна атак задокументирована в апреле 2026 года. Методология атаки включает отправку поддельных писем с компрометированных учетных записей в рамках государственных органов, которые доставляют многоэтапные загрузчики VBScript под названиями GammaDrop и GammaLoad.

GammaDrop выступает в роли начального загрузчика, используя зашифрованный VBScript для получения удаленного HTA-файла (GammaLoad) с динамически сгенерированного домена Cloudflare Workers. ВПО функционирует в рамках запутанной структуры URL, которая включает значения, производные от даты, и случайные целые числа для избежания обнаружения, что указывает на паттерн адаптивных операций, при котором инфраструктура изменяется с каждой итерацией кампании. Примечательно, что GammaLoad служит как постоянным C2-маяком, так и загрузчиком для дополнительных полезной нагрузки, выполняя последующие команды без необходимости непрерывного вмешательства со стороны оператора ВПО.

Злоумышленники используют сложные техники подделки электронной почты, что подтверждается применением ими учетных данных из скомпрометированных учетных записей для обхода мер безопасности электронной почты, включая проверки SPF и DKIM. Вредоносные вложения часто содержат архив RAR, эксплуатирующий уязвимость CVE-2025-8088 через механизм обхода пути для записи полезной нагрузки в папку автозагрузки Windows. В фазах активной эксплуатации наблюдаются изменения в типах файлов и форматах архивирования, при этом недавние кампании вместо архивов RAR начали использовать архивы ARJ, что указывает на постоянную адаптацию.

Инфраструктура Gamaredon сильно полагается на быстро меняющийся DNS, используя легитимные сервисы, такие как Cloudflare, для своей команды и управления операциями. Они установили IP-адреса, известные как связанные с их кампаниями, что позволяет определить их операционный след. Эта динамическая инфраструктура сочетает техники быстрого потока и динамического DNS для избегания обнаружения, одновременно используя известную подсеть (194.58.66.0/24) как постоянный операционный хаб.

В прошлом целевые атаки были направлены исключительно на украинские организации, особенно на сектора полиции и судебной системы, что указывает на стратегический фокус на региональной нестабильности. Паттерны атак демонстрируют низкую техническую сложность, вместо этого полагаясь на объем и автоматизацию для подавления средств защиты. Для смягчения последствий внедрение более строгих политик DMARC и выявление связанных IP-адресов для блокировки может существенно затруднить их операционную эффективность. В целом, хотя техническое исполнение может не отличаться сложностью, операционный темп и постоянная адаптивность Gamaredon представляют значительную угрозу для целевых организаций.

#ParsedReport #CompletenessMedium
20-05-2026

DoublePulsar: A User-Defined Reflective Loader in the Crystal Palace and Tradecraft Garden Era

https://memn0ps.github.io/doublepulsar-a-user-defined-reflective-loader-in-the-crystal-palace-and-tradecraft-garden-era/

Report completeness: Medium

Actors/Campaigns:
Equation
C5pider

Threats:
Crystal_palace_tool
Doublepulsar
Cobalt_strike_tool
Crystal-kit_tool
Reflective_dll_injection_technique
Dll_injection_technique
Shadow_brokers_tool
Titanldr
Aceldr
Bokuloader
Disco
Iat_hooking_technique
Havoc
Polymorphism_technique
Meteor_wiper
Process_injection_technique
Ekko_tool
Dll_sideloading_technique
Silentmoonwalk_technique
Antidebugging_technique
Sleepmask
Beacongate
Foliage_tool
Zilean_tool
Hellsgate_technique
Tartarusgate_tool
Process_hollowing_technique

TTPs:

IOCs:
File: 27
Path: 1

Soft:
Microsoft Defender for Endpoint, Windows Defender Application Control, DirectX, WinHTTP, Windows kernel, Hyper-V

Algorithms:
rc4, xor, ror13

Functions:
ReflectiveLoader, Link-Time, GetIp, StubAddr, OFFSET, ace, loader, null_mut, G_END, hook_iat, have more...

Win API:
VirtualAlloc, LoadLibraryA, GetProcAddress, NtSetContextThread, NtFlushInstructionCache, RtlCreateUserThread, LoadLibraryExA, NtProtectVirtualMemory, LoadLibrary, RtlUserThreadStart, have more...

Languages:
rust, java

Platforms:
x64, intel

Links:
https://github.com/kyleavery/AceLdr/
have more...
https://github.com/boku7/BokuLoader
https://github.com/benheise/TitanLdr

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DoublePulsar — это сложный пользовательский отражательный загрузчик (UDRL), разработанный на Rust, предназначенный для загрузки ВПО в память с целью обхода обнаружения. Он использует передовые техники, такие как отражательная инъекция DLL, стампинг модулей, изоляция памяти и динамическая перехват API, чтобы скрыть вредоносные компоненты внутри легитимных системных процессов. Его архитектура включает подделку стека вызовов и пользовательскую обфускацию сна для дальнейшего сокрытия операционного следа, что представляет значительные трудности для обнаружения системами безопасности.
-----

DoublePulsar — это пользовательский отражательный загрузчик (UDRL), предназначенный для загрузки вредоносного ПО в память без создания следов на диске.

Он разработан на языке Rust и использует рефлективную инъекцию DLL, динамическую перехватку API и изоляцию памяти для сокрытия своей деятельности.

Инъекция отражённой DLL позволяет загружать динамические библиотеки (DLL) непосредственно в память, что повышает эффективность техник уклонения.

DoublePulsar использует дизайн с предварительным загрузчиком, интегрируя логику загрузки в пространство памяти легитимного модуля для обхода обнаружения.

Архитектура использует модульное стампинг для внедрения кода в легитимную DLL, скрывая вредоносный полезный груз.

Изоляция кучи и перехват таблицы импорта адресов (IAT) манипулируют вызовами API, создавая контролируемую среду выполнения.

DoublePulsar реализует подделку стека вызовов для сокрытия своего операционного следа путем манипуляции кадрами стека.

Она включает обфускацию сна, заменяя традиционные механизмы сна на пользовательские реализации для усложнения обнаружения.

Загрузчик создан с использованием техник компиляции на языке C, предназначенных для позиционно-независимого кода.

Точки входа на языке ассемблера и стратегии выделения памяти направлены на предотвращение распространённых ловушек обнаружения в средах Windows.

Проблемы обнаружения включают маскировку внутри легитимных системных DLL, что затрудняет идентификацию сканерами памяти.

Синтетические вызовы стеков, создаваемые ВПО, предлагают потенциальные поведенческие шаблоны для обнаружения средствами защиты.

DoublePulsar демонстрирует современные тактики противника для скрытности и контроля в скомпрометированных средах.

#ParsedReport #CompletenessMedium
20-05-2026

Static Kitten APT Adversary Simulation

https://medium.com/@S3N4T0R/static-kitten-apt-adversary-simulation-8f595aa74118

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Rustywater
Rustric
Process_injection_technique
Spear-phishing_technique
Process_hacker_tool
Bear-c2

Victims:
Diplomatic, Maritime, Financial, Telecom, Middle east

Industry:
Telco, Maritime

Geo:
Turkmenistan, Middle east

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1012, T1016, T1027, T1033, T1036, T1055, T1057, T1059.001, T1059.003, have more...

IOCs:
File: 10

Soft:
VirtualBox, Xen, Windows Registry

Algorithms:
base64, xor

Functions:
Replace, Windows, WriteProcessMemory, CreateRemoteThread

Win API:
IsDebuggerPresent, irtualAllocEx to, riteProcessMemory, reateRemoteThread th

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка Static Kitten осуществляет сложные кибероперации, нацеленные на такие сектора, как дипломатия, финансы и телекоммуникации на Ближнем Востоке, развертывая внедрение RustyWater через целевой фишинг с использованием замаскированных макросов VBA. После выполнения вредоносное ПО осуществляет Внедрение кода в процессы для уклонения, имеет расширенные проверки на предмет сред анализа и взаимодействует с серверами C2 с использованием зашифрованных данных JSON. Этот модульный подход повышает скрытность, что указывает на эволюционирующие возможности группировки в области киберугроз.
-----

Группировка Static Kitten провела сложную операцию, нацеленную на различные секторы на Ближнем Востоке, в частности на дипломатические, морские, финансовые и телекоммуникационные отрасли. Эта кампания включает развертывание внедрения RustyWater, являющегося развитием их традиционного набора инструментов, начавшееся еще в январе 2026 года. Атакующие используют целевой фишинг в качестве первоначального метода доставки, специально создавая письма, которые выглядят как официальные, например, предупреждение по кибербезопасности. Доставка осуществляется с помощью вредоносных документов Word, содержащих сильно запутанные макросы VBA, предназначенные для уклонения от обнаружения.

После запуска вредоносный макрос VBA действует как загрузчик, который размещает внедрение RustyWater — исполняемый файл, скомпилированный на Rust, использующий Маскировка под видом легитимного программного обеспечения (например, Reddit.exe с поддельной иконкой Cloudflare). Внедрение демонстрирует продвинутые техники уклонения, включая Внедрение кода в процессы и закрепление на основе реестра, чтобы избежать обнаружения антивирусами и системами обнаружения и реагирования на конечных точках. Примечательно, что внедрение RustyWater включает восьмиуровневый механизм противодействия анализу, который определяет, работает ли оно в контролируемой среде, такой как виртуальная машина. Это включает проверку ядер CPU, идентификацию процессов, связанных с программным обеспечением виртуализации, и сканирование реестра на наличие инструментов отладки. Если обнаруживается какой-либо след среды анализа, внедрение самоуничтожается, гарантируя, что оно не выполнится в песочнице.

Операционный фреймворк внедрения RustyWater обеспечивает управление (C2) связью через HTTP с использованием библиотеки Rust reqwest. Он поддерживает такие надежные функции, как пул соединений и автоматические повторные попытки для обеспечения надежности. Данные, обмениваемые между внедрением и C2, структурированы в формате JSON, закодированы в Base64 и подвергнуты финальному слою XOR-шифрования для маскировки содержимого и усложнения анализа трафика.

Кроме того, внедренец использует техники Внедрения кода в процессы, нацеленные на explorer.exe, для выполнения своего полезного груза, при этом опираясь на доверенные процессы Windows. Эта техника позволяет ему сохранять закрепление даже в случае завершения основного вредоносного процесса. Вместо прямого выполнения основного полезного груза злоумышленники используют промежуточную программу, названную CertificationKit.ini, для обработки расшифровки и выполнения бинарного файла RustyWater, что дополнительно скрывает следы атаки. Этот загрузчик написан на Rust и содержит основной полезный груз в зашифрованном формате, развертывая его только во время выполнения, тем самым повышая свою скрытность.

По сути, использование группой Static Kitten вредоносного модуля RustyWater свидетельствует о переходе к модульным и низкошумным тактикам, что указывает на эволюцию их возможностей в кибероперациях. Их комплексный подход, сочетающий продвинутое поведение вредоносного ПО со стратегиями уклонения, представляет серьезную угрозу для целевых секторов в регионе.

#ParsedReport #CompletenessHigh
20-05-2026

Webworm: New burrowing techniques

https://www.welivesecurity.com/en/eset-research/webworm-new-burrowing-techniques/

Report completeness: High

Actors/Campaigns:
Webworm
Earth_lusca

Threats:
Echocreep
Graphworm
Wormfrp
Chainworm
Smuxproxy_tool
Wormsocket_tool
9002_rat
Mcrat
Trochilus_rat
Iox_tool
Impacket_tool
Mremoteng_tool
Nuclei_tool
Dirsearch_tool
Timestomp_technique

Victims:
Government, Education, Asia, Europe

Industry:
Education

Geo:
Serbian, South africa, China, Serbia, Ukraine, Asia, Hungary, Czechia, Spain, Nigeria, Poland, Belgium, Italy

CVEs:
CVE-2017-7692 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- squirrelmail (1.4.22)


TTPs:
Tactics: 8
Technics: 29

IOCs:
File: 5
Domain: 2
Url: 1
IP: 5
Hash: 6

Soft:
Discord, Graph API, SoftEther, Microsoft Visio, WordPress, curl, OpenSSL, Graph APIs

Algorithms:
aes-128-cbc, aes-256-cbc, base64, aes, sha1

Win API:
CreateProcessW

Links:
have more...
https://github.com/EddieIvan01/iox
https://github.com/fatedier/frp