#ParsedReport #CompletenessMedium
20-05-2026

KrakVM technical analysis

https://sublime.security/blog/flowerstorm-unleashes-the-krakvm-phaas-operators-turn-to-vm-based-obfuscation/

Report completeness: Medium

Threats:
Krakvm_tool
Flowerstorm_tool
Credential_harvesting_technique
Themida_tool
Asprotect_tool
Aitm_technique

Industry:
Logistic, Retail, Government

Geo:
Turkey, German

IOCs:
File: 11
Url: 1
Domain: 182

Soft:
GoDaddy

Algorithms:
base64, xor

Functions:
runVM, _0x52cb, sidedness

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KrakVM — это инструмент обфускации, используемый в связке с платформой FlowerStorm Фишинг как услуга для проведения фишинговых кампаний, направленных на сбор учетных записей и перехват MFA. Его сильно обфусцированный код использует кодировку Base64 и уникальный метод шифрования байт-кода, что усложняет анализ. Процесс атаки включает HTML-файлы, которые запускают JavaScript для перенаправления жертв на поддельные страницы ввода учетных данных, применяя продвинутые техники, такие как возможности атаки «злоумышленник посередине», для извлечения конфиденциальной информации из платформ, таких как Microsoft 365.
-----

KrakVM — это продвинутый инструмент обфускации, используемый в фишинговых кампаниях, в частности интегрированный с набором FlowerStorm Фишинг как услуга (PhaaS) для облегчения сбора учетных записей и перехвата многофакторной аутентификации (MFA). Его код сильно обфусцирован, использует значительное количество данных, закодированных в Base64, в байт-коде, который не является читаемым человеком. Код содержит несколько вызовов функций, включая обработчик исключений кода (__krak_throw) и функцию runVM(), что указывает на отсутствие кастомизации после компиляции.

Атака начинается с HTML-файла, закодированного KrakVM, который отправляется в качестве вложения в письмах в рамках фишинг-кампаний, тематически связанных с типичными деловыми коммуникациями. При открытии в веб-браузере встроенный JavaScript запускает последовательность действий, ведущую к странице сбора учетных записей. Кампании нацелены на различные сектора, в частности на местные органы власти, логистику, розничную торговлю, связь и недвижимость, используя доменные имена, созданные для имитации легитимных компаний. Эта стратегия демонстрирует минимальную потребность злоумышленников в технической изощренности, поскольку как KrakVM, так и FlowerStorm были развернуты быстро после выхода KrakVM.

С точки зрения технической работы, KrakVM использует уникальный подход к шифрованию, при котором каждый байт байт-кода индивидуально шифруется с использованием простого линейного конгруэнтного генератора (LCG) для расшифровки. Эта сложность добавляет слой неочевидности, затрудняя традиционный статический анализ. Вывод виртуальной машины — после расшифровки — показывает, что её единственная цель — передать адрес электронной почты жертвы в набор FlowerStorm, обеспечивая фишинговую схему.

Набор FlowerStorm, как было выявлено в последних образцах, способен выполнять сложные операции по краже учетных данных в различных онлайн-сервисах, включая Microsoft 365 и GoDaddy. Функциональность вредоносного ПО включает расширенные возможности атаки «злоумышленник посередине» (adversary-in-the-middle), позволяющие перехватывать и ретранслировать коды многофакторной аутентификации (MFA). Операционный процесс включает последовательные HTTP POST-запросы к серверу управления (управление), начиная с проверки пользователя и далее направляя жертву через поддельный процесс входа, который эксплуатирует привычное поведение пользователей для извлечения конфиденциальной информации.

Эффективность атаки зависит от её многоуровневого обфускации: начальный слой с помощью KrakVM создаёт барьер для обнаружения, тогда как набор FlowerStorm дополняет это, предоставляя легитимно выглядящие интерфейсы для ввода учётных данных. Эта сложная комбинация подчёркивает эволюцию ландшафта фишинговых операций, где новые доступные инструменты усиливают потенциал успешных атак. Интеграция KrakVM в такие кампании, вероятно, знаменует новую эволюцию тактик фишинга, приводящую к всё более сложным реализациям в будущем.

#ParsedReport #CompletenessLow
21-05-2026

Satori Threat Intelligence Alert: Trapdoor Funnels Malvertising into Ad Fraud

https://www.humansecurity.com/learn/resource/satori-threat-intelligence-alert-trapdoor-funnels-malvertising-into-ad-fraud/

Report completeness: Low

Actors/Campaigns:
Trapdoor (motivation: financially_motivated)
Slopads (motivation: financially_motivated)

Threats:
Badbox

Victims:
Digital advertising ecosystem, Android users, Advertising

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1140, T1406, T1437, T1475, T1480, T1497.001, T1622

IOCs:
File: 2

Soft:
Android

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Trapdoor представляет собой продвинутую схему мошенничества с рекламой и вредоносной рекламы (Malvertising), включающую 455 вредоносных приложений для Android и 183 домена C2, предназначенную для манипуляции пользователями с целью установки приложений, контролируемых злоумышленником и замаскированных под легитимные утилиты. После установки эти приложения инициируют дальнейшие вредоносные установки через скрытые WebViews, которые генерируют запросы на рекламу, принося значительную выгоду злоумышленникам. Операция использует техники противодействия анализу для уклонения от обнаружения, включая проверку устройств с root-доступом и имитацию легитимных SDK, что делает её сложной и устойчивой киберугрозой.
-----

Trapdoor — это сложная схема мошенничества с рекламой и вредоносной рекламы, включающая 455 вредоносных Android-приложений и 183 домена управления.

Злоумышленники манипулируют пользователями, чтобы те скачивали приложения, маскирующиеся под безобидные утилиты.

Установленные приложения перенаправляют пользователей на кампании вредоносной рекламы для дальнейшей загрузки вредоносных приложений.

Вторичные приложения запускают скрытые WebView, загружая домены, контролируемые злоумышленниками, и генерируя рекламные запросы.

На пике активности Trapdoor генерировал 659 миллионов запросов на показ рекламы ежедневно при более чем 24 миллионах загрузок приложений.

Операция использует инструменты атрибуции установок для различения органических установок и тех, что получены через обманные объявления.

Вредоносная реклама использует доверие пользователей к уведомлениям об обновлениях приложений для установки вредоносных приложений.

Приложения, активированные мошенническими методами, выполняют вредоносные действия после выявления обманной установки.

Зловредное поведение включает расшифровку встроенных файлов, содержащих сведения о доменах C2 и инструкциях по взаимодействию с рекламой.

Приложения имитируют человеческие взаимодействия для выполнения автоматических кликов по рекламным баннерам, отображаемым в полноэкранных WebView.

Trapdoor использует техники противодействия анализу, проверяя наличие признаков анализа, таких как рутированные устройства и индикаторы отладки.

Варианты Trapdoor могут имитировать легитимные комплекты разработки программного обеспечения (SDK) для уклонения от обнаружения.

#ParsedReport #CompletenessHigh
21-05-2026

Coruna Respawned: Compromised art-template npm Package Leads to iOS Browser Exploit Kit

https://socket.dev/blog/coruna-respawned-compromised-art-template-npm-package

Report completeness: High

Actors/Campaigns:
Unc6691 (motivation: financially_motivated)
Lazarus

Threats:
Coruna_tool
Watering_hole_technique
Supply_chain_technique
Blob_url_obfuscation_technique
Ironloader
Neuronloader
Gruber
Sparrow
Plasmagrid

Victims:
Software, Technology, Ios users, Macos safari users, Open source ecosystem

Geo:
Chinese

CVEs:
CVE-2023-43000 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<16.6)
- apple ipados (<15.8.7, <16.6)
- apple iphone_os (<15.8.7, <16.6)
- apple macos (<13.5)

CVE-2021-30952 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<15.2)
- apple ipados (<15.2)
- apple iphone_os (<15.2)
- apple macos (<12.1)
- apple tvos (<15.2)
have more...
CVE-2022-48503 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<15.6)
- apple ipados (<15.6)
- apple iphone_os (<15.6)
- apple macos (<12.5)
- apple tvos (<15.6)
have more...
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<17.3)
- apple ipados (<15.8.7, <16.7.5, <17.3)
- apple iphone_os (<15.8.7, <16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple tvos (<17.3)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1059.007, T1071.001, T1082, T1105, T1140, T1189, T1195.001, T1203, have more...

IOCs:
File: 57
Url: 24
Domain: 4
Hash: 38

Soft:
WebRTC, IndexedDB, macOS, Chrome, Firefox, Android, Chrome, Firefox, polyfill, Selenium, Mac OS, have more...

Algorithms:
base64, chacha20, sha1, md5, sha256, xor

Functions:
lr, loadScript, unescape, Example, fqMaGkNR, init, p, Yn, setTimeout, ZKvD0e, have more...

Languages:
javascript

Platforms:
apple, arm, intel

YARA: Found

Links:
https://github.com/goofychris/art-template/issues/665

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет npm `art-template` был скомпрометирован и использован для доставки фреймворка эксплойтов, нацеленного на iOS Safari через атаку watering-hole, напоминающую эксплойт-кит Coruna. В более ранних версиях он использовал обфусцированные загрузчики, а позже включал инъекции в виде открытого текста, предназначенные для эксплуатации уязвимостей в версиях iOS от 11.0 до 17.2. Кампания, приписываемая хакерской группировке UNC6691, включала сложные меры защиты от ботов и продемонстрировала точное нацеливание на JavaScript-движок Apple, одновременно передавая пользовательские данные на сервер управления.
-----

Скомпрометированный пакет npm `art-template`, библиотека шаблонов JavaScript, был захвачен злоумышленником, который использовал его для доставки фреймворка эксплойтов, нацеленного на iOS Safari, через сложную атаку типа «водопой». Этот метод атаки повторяет ранее известный эксплойт-кит Coruna и использует компрометацию Цепочки поставок для внедрения вредоносного кода.

Захват включал подавление отчетов об ошибках и постепенное усложнение вредоносного кода в различных версиях. Версия 4.13.3 использовала зашифрованный загрузчик для обращения к вредоносному файлу JavaScript, тогда как более поздние версии, 4.13.5 и 4.13.6, включали инъекцию в открытом виде, напрямую загружая скрипты, предназначенные для эксплуатации уязвимостей в iOS Safari, что охватывает несколько версий от iOS 11.0 до 17.2. Вредоносный код нацелен на браузеры пользователей, позволяя злоумышленнику выполнять эксплуатацию уязвимостей браузера незаметно.

Технический анализ полезной нагрузки показал, что она специально адаптирована для версий iOS 11.0–17.2, отклоняя все остальные платформы и версии. Она передавала пользовательскую информацию, такую как публичный IP-адрес и версия устройства, на сервер управления (C2), а также применяла значительные меры защиты от ботов, такие как вызовы WebAssembly, чтобы гарантировать подлинные попытки эксплуатации. Фреймворк эксплойта демонстрирует детальное знание JavaScript-движка Apple и способен различать архитектуры процессоров для точного применения конкретных эксплойтов.

Сходства между этим новым вариантом и набором Coruna поразительны, включая перекрывающиеся диапазоны целевых версий iOS, модули эксплойтов и обфускацию констант JavaScript. Структура управления в основном использует шаблон домена, характерный для набора Coruna, что подтверждает модель, согласно которой недавно выявленный фреймворк эксплойтов, вероятно, является производным или тесно связан с Coruna.

Эта кампания приписывается группе, известной как UNC6691, которая предположительно имеет связи с китайской киберпреступной деятельностью, сосредоточенной на финансовых мошенничествах через скомпрометированные веб-сайты. Рекомендуемые действия для организаций включают блокировку доступа к вредоносным доменам и обеспечение соблюдения политик безопасности для снижения рисков от подобных атак на цепочку поставок. Наблюдаемые сигнатуры, такие как определенные POST-запросы и URL-адреса исходного кода JavaScript, связаны с этим фреймворком эксплойтов, что позволяет осуществлять целевую обнаружение и вмешательство.

#ParsedReport #CompletenessMedium
21-05-2026

GitHub breach likely caused by Nx Console compromise

https://www.threatlocker.com/blog/github-breach-likely-caused-by-nx-console-compromise

Report completeness: Medium

Actors/Campaigns:
Teampcp
Lapsus
Mini_shai-hulud

Threats:
Kitty_tool
Dead_drop_technique
Shai-hulud
Supply_chain_technique
Dns_tunneling_technique

Victims:
Github, Software development

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1059.006, T1059.007, T1078, T1102.001, T1105, T1140, T1195.001, have more...

IOCs:
File: 5
IP: 3
Hash: 8
Domain: 2

Soft:
Bitwarden, 1Password, linux, Docker, Kubernetes

Algorithms:
sha256

Functions:
findRunnerWorkerPIDLinux

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 мая 2026 года GitHub стал жертвой инцидента, связанного с компрометированным расширением Visual Studio Code — Nx Console (версия 18.95.0), после того как учетные данные разработчика были украдены. ВПО использовало сложные техники обфускации для сокрытия своей истинной функциональности, развернув фреймворк на базе Python для управления и масштабного сбора учетных записей на таких платформах, как GitHub, PyPi и AWS, а также демонстрировало деструктивное поведение, удаляя директории жертв при определенных условиях. Его операции включали запрос локальной метаданных экземпляра и выполнение команд на основе коммитов программного обеспечения, что значительно повысило уровень угрозы.
-----

19 мая 2026 года GitHub сообщил о несанкционированном доступе к своим внутренним репозиториям, который был связан с вредоносным расширением Visual Studio Code (VS Code) под названием Nx Console (версия 18.95.0). Инцидент произошел из-за кражи учетных данных GitHub, принадлежащих разработчику Nx, что позволило распространить версию расширения с бэкдором.

Анализ вредоносного кода Nx Console показал, что он содержал сильно обфусцированный JavaScript, предназначенный для имитации легитимной функциональности сервера и развертывания дополнительных полезной нагрузки после активации. Начальный этап выполнения вызывал пакет, идентифицированный как `nx-next`, из заброшенного коммита в официальном репозитории, который содержал еще один слой JavaScript, дополнительно скрытый и предназначенный для противодействия анализу. Техники обфускации включали перемешанные строки, методы расшифровки во время выполнения, такие как PBKDF2, а также проверки факторов среды, таких как количество процессоров и географическое положение, чтобы избежать работы в определенных регионах, особенно в странах СНГ, таких как Россия.

После установки бэкдор создал фреймворк управления (C2) на базе Python, используя скрипт, сохраненный по пути `\~/.local/share/kitty/cat.py`. Этот фреймворк включал функциональность для запросов к API GitHub с целью получения учетных данных, связанных с «репозиториями мертвой загрузки», и имел механизмы выполнения команд на основе последних коммитов программного обеспечения. Бэкдор также выполнял масштабный сбор учетных записей, нацеливаясь на различные платформы, включая PyPi, NPM и AWS. Это осуществлялось с помощью запросов к локальным службам метаданных экземпляров AWS и анализа памяти процессов на наличие конфиденциальной информации.

Вредоносное ПО продемонстрировало дополнительные механизмы закрепления путем установки демона мониторинга, что обеспечивало постоянный удаленный доступ и управление скомпрометированными системами. Примечательно, что при выполнении определенных условий, касающихся репозиториев (например, их удаление), вредоносное ПО было запрограммировано на удаление личных директорий (домашней и документов) жертвы, что указывает на его деструктивный потенциал.

#ParsedReport #CompletenessHigh
21-05-2026

Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks

https://blog.xlab.qianxin.com/ghost-cms-mass-compromised-via-cve-2026-26980-now-fueling-clickfix-attacks/

Report completeness: High

Threats:
Clickfix_technique
Ghost_admin
Fakecaptcha_tool
Cloaking_technique
Adspect_tool
Putty_tool
Aeternum

Victims:
Ghost cms sites, Universities, Blockchain, Ai and saas, Security research, Media, Fintech

Industry:
Healthcare, Entertainment, E-commerce, Retail, Education, Financial, Software_development, Transport, Foodtech, Religion

CVEs:
CVE-2026-26980 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ghost (<6.19.1)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1059.007, T1071.001, T1105, T1189, T1190, T1204.004, T1213, T1547, have more...

IOCs:
File: 21
Domain: 16
Url: 20
Command: 6
Path: 2
Hash: 7
IP: 1

Soft:
Electron

Algorithms:
sha1, md5, zip, xor, base64

Functions:
setTimeout, setLoginItemSettings

Languages:
php, javascript, rust

Links:
https://github.com/ubergrape/grape-electron?ref=blog.xlab.qianxin.com

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, code: 14, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года атака на Ghost CMS использовала уязвимость SQL-инъекции CVE-2026-26980, что позволило злоумышленникам получить доступ к конфиденциальной информации базы данных, включая ключи Admin API. Эта эксплуатация привела к масштабной манипуляции контентом на 700 доменах, где вредоносный JavaScript внедрялся для организации мошеннических схем ClickFix с использованием замаскированных доменов для уклонения от обнаружения и применения сложных тактик социальной инженерии. Злоумышленники также продемонстрировали адаптивные стратегии, при этом последующие атаки со стороны различных групп были направлены на использование аналогичных уязвимостей для перемещения (lateral movements) внутри затронутых систем.
-----

7 мая 2026 года было выявлено масштабное нападение на Ghost CMS, в ходе которого использовалась уязвимость SQL-инъекции CVE-2026-26980. Эта критическая уязвимость позволяла злоумышленникам без аутентификации получать доступ к содержимому базы данных, включая ключи Admin API. Используя эти ключи, атакующие изменяли статьи на затронутых сайтах, вставляя вредоносный JavaScript, что способствовало проведению атак ClickFix — мошеннических попыток обманом заставить пользователей выполнять вредоносные команды локально под видом процессов человеческой верификации, имитирующих механизмы защиты Cloudflare.

Атака состояла из нескольких этапов, начиная с проникновения и модификации контента на более чем 700 доменах, включая такие известные учреждения, как Гарвард и Оксфорд, что указывает на широкую кампанию, а не на целевое проникновение. Злоумышленники использовали домен-обманку, размещенный на Cloudflare, для первоначального распространения вредоносного контента, который они впоследствии обновляли для уклонения от обнаружения. Этот переход домена продемонстрировал, как злоумышленники адаптировали свои стратегии для поддержания операционной непрерывности без существенного противодействия со стороны служб обнаружения.

В ходе расследования внедренного вредоносного JavaScript выявило использование сложных методов для извлечения и выполнения скриптов с удаленных серверов, а также навигации по взаимодействиям пользователей через тактики социальной инженерии, замаскированные под запросы подтверждения. Злоумышленники спроектировали свой код так, чтобы он выполнялся с минимальным вниманием со стороны пользователя, используя функции, которые задерживали загрузку до тех пор, пока пользователь не взаимодействовал со страницей, тем самым обходя немедленное обнаружение.

Механизмы доставки полезной нагрузки включали несколько типов файлов, среди которых выделялись установщик с действительным сертификатом и вредоносное приложение на базе Electron. Выпущенные образцы выглядели безобидно при беглом осмотре, но содержали возможности для закрепления, позволяющие злоумышленникам сохранять контроль над зараженными системами путем выполнения произвольных команд через регулярные промежутки времени.

Кроме того, в ходе исследования было выявлено, что несколько сайтов подвергались последующим атакам со стороны различных групп, что демонстрирует конкуренцию среди злоумышленников, стремящихся использовать уязвимости, оставшиеся в установках Ghost CMS. Эти атаки не только представляли угрозу для напрямую скомпрометированных сайтов, но и распространялись на любую связанную инфраструктуру, поскольку захваченные учетные данные могли способствовать латеральному перемещению внутри экосистем жертв.

В заключение, инцидент подчеркивает важность своевременного обновления для известных уязвимостей и демонстрирует разнообразие ТТП (тактик, техник и процедур), используемых киберпреступниками. Организациям, использующим Ghost CMS, настоятельно рекомендуется незамедлительно выполнить обновление и провести тщательные проверки безопасности для снижения рисков, связанных с этим и потенциально аналогичными угрозами в будущем.

#ParsedReport #CompletenessHigh
21-05-2026

UAC-0244 / UAC-0247: Malware Targeting FPV drone operators

https://blog.synapticsystems.de/uac-0247-malware-targeting-fpv-operators/

Report completeness: High

Actors/Campaigns:
Uac-0244

Victims:
Fpv drone operators, Military, Defense sector

Industry:
Military

Geo:
Ukrainian, Russian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1053.005, T1055, T1059.001, T1059.003, T1059.007, T1105, T1140, T1204.002, have more...

IOCs:
Hash: 5
IP: 1
Domain: 1
File: 12
Command: 7
Url: 6
Path: 1

Soft:
curl, Windows Search

Algorithms:
zip, lznt1, sha256, base64, md5, xor, crc-32

Functions:
_0x2ef8, function, _0x151a

Win API:
NtOpenProcess, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx, NtWaitForSingleObject, LdrLoadDll, NtFreeVirtualMemory, RtlDecompressBuffer, inet_addr, have more...

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластеры угроз UAC-0244 и UAC-0247 нацелены на операторов дронов в Украине, используя сложную вредоносную кампанию, которая начинается с вредоносного LNK-файла, ведущего к HTA-файлу, развертывающему зашифрованный JavaScript-дроппер. Этот дроппер загружает дополнительные полезную нагрузку и создает запланированные задачи для закрепления, применяя передовые техники обфускации, включая разрешение API по хешу и использование закодированных полезной нагрузки. Дизайн вредоносного ПО отражает структурированный подход к поддержанию управления на различных этапах атаки.
-----

Кластеры угроз UAC-0244 и UAC-0247 связаны с кибердеятельностью, направленной на операторов дронов, имеющих отношение к Украине. Эти кластеры приписываются одним и тем же акторам, которые сосредоточены на вредоносной кампании, использующей ряд тактик для получения доступа к системам Windows. Процесс заражения обычно начинается с файла LNK, который эксплуатирует цепочку, ведущую к вредоносному файлу HTA. Этот файл HTA выполняет легковесный, обфусцированный JavaScript-дроппер, использующий ActiveX, основной целью которого является снижение эффективности обнаружения при статическом анализе. Он выполняет такие операции, как загрузка дополнительных полезной нагрузки с использованием встроенных команд Windows, таких как cmd и curl.

Дроппер классифицируется как стадийный развертыватель (stage-0 deployer); он загружает основной полезный груз с указанного URL, декодирует его с помощью XOR и сохраняет как исполняемый файл в подкаталоге, предназначенном для закрепления (persistence) в %LOCALAPPDATA% с именем OneDriveUpdater. Кроме того, дропперы создают запланированные задачи для регулярного выполнения, тем самым обеспечивая непрерывную работу даже после перезагрузки системы.

С точки зрения поведения ВПО, последующие итерации загрузчика (например, в разных версиях HTA) демонстрируют вариации в структуре скрипта, такие как использование внешних ресурсов JavaScript для повышения скрытности и ограничения телеметрии PowerShell, что помогает ВПО избегать типичных методов обнаружения, связанных с PowerShell.

Использование кодирования внутри полезной нагрузки в сочетании с техникой внедрения подчеркивает сложность ВПО. Shellcode, находящийся в сегменте .data внешнего исполняемого файла (PE), не предоставляет напрямую стандартный PE, а вместо этого выдает вложенный загрузчик. Этот загрузчик впоследствии разрешает API по хешу, что указывает на продвинутый уровень обфускации и структурированную методологию поддержания управления над зараженными системами.

Весь процесс определяется моделью цепочки IIM (Intelligence, Infrastructure, Malware), которая описывает роли компонентов от этапа проникновения, подготовки, доставки полезной нагрузки до механизмов управления. Этот комплексный подход помогает понять взаимосвязь различных этапов работы ВПО, выявляя как структуру, так и возможность замены её инфраструктуры.

#ParsedReport #CompletenessHigh
21-05-2026

Inside the JDownloader Supply-Chain Attack: An r77 Rootkit Bot That Kills Your Antivirus

https://www.gendigital.com/blog/insights/research/inside-the-jdownloader-supply-chain-attack

Report completeness: High

Threats:
R77rk_tool
Supply_chain_technique
Dead_drop_technique
Pyarmor_tool
Amsi_bypass_technique
Icarus
Reflective_dll_injection_technique
Dll_injection_technique
Process_injection_technique

Victims:
Jdownloader, Software users, Hospitality

Industry:
Financial

Geo:
Sri lanka, Ghana

TTPs:
Tactics: 3
Technics: 10

IOCs:
Path: 2
File: 15
Registry: 3
Url: 9
Domain: 3
IP: 3
Hash: 10

Soft:
JDownloader, Windows Defender Application Control, Windows Defender, Windows security, Linux, winlogon, Windows service, Linux PyInstaller, Windows installer

Algorithms:
rc4, sha256, rsa-2048, xor, aes-256, aes-256-gcm, aes-gcm

Functions:
r77_hide_self, r77_hide_registry_path

Win API:
WaitForSingleObject, AmsiScanBuffer

Win Services:
AvastSvc, MsMpEng, SecurityHealthService

Languages:
powershell, php, python

Platforms:
x86, cross-platform

Links:
https://github.com/bytecode77/r77-rootkit
https://github.com/avast/ioc
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2