#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Trapdoor представляет собой продвинутую схему мошенничества с рекламой и вредоносной рекламы (Malvertising), включающую 455 вредоносных приложений для Android и 183 домена C2, предназначенную для манипуляции пользователями с целью установки приложений, контролируемых злоумышленником и замаскированных под легитимные утилиты. После установки эти приложения инициируют дальнейшие вредоносные установки через скрытые WebViews, которые генерируют запросы на рекламу, принося значительную выгоду злоумышленникам. Операция использует техники противодействия анализу для уклонения от обнаружения, включая проверку устройств с root-доступом и имитацию легитимных SDK, что делает её сложной и устойчивой киберугрозой.
-----

Trapdoor — это сложная схема мошенничества с рекламой и вредоносной рекламы, включающая 455 вредоносных Android-приложений и 183 домена управления.

Злоумышленники манипулируют пользователями, чтобы те скачивали приложения, маскирующиеся под безобидные утилиты.

Установленные приложения перенаправляют пользователей на кампании вредоносной рекламы для дальнейшей загрузки вредоносных приложений.

Вторичные приложения запускают скрытые WebView, загружая домены, контролируемые злоумышленниками, и генерируя рекламные запросы.

На пике активности Trapdoor генерировал 659 миллионов запросов на показ рекламы ежедневно при более чем 24 миллионах загрузок приложений.

Операция использует инструменты атрибуции установок для различения органических установок и тех, что получены через обманные объявления.

Вредоносная реклама использует доверие пользователей к уведомлениям об обновлениях приложений для установки вредоносных приложений.

Приложения, активированные мошенническими методами, выполняют вредоносные действия после выявления обманной установки.

Зловредное поведение включает расшифровку встроенных файлов, содержащих сведения о доменах C2 и инструкциях по взаимодействию с рекламой.

Приложения имитируют человеческие взаимодействия для выполнения автоматических кликов по рекламным баннерам, отображаемым в полноэкранных WebView.

Trapdoor использует техники противодействия анализу, проверяя наличие признаков анализа, таких как рутированные устройства и индикаторы отладки.

Варианты Trapdoor могут имитировать легитимные комплекты разработки программного обеспечения (SDK) для уклонения от обнаружения.

#ParsedReport #CompletenessHigh
21-05-2026

Coruna Respawned: Compromised art-template npm Package Leads to iOS Browser Exploit Kit

https://socket.dev/blog/coruna-respawned-compromised-art-template-npm-package

Report completeness: High

Actors/Campaigns:
Unc6691 (motivation: financially_motivated)
Lazarus

Threats:
Coruna_tool
Watering_hole_technique
Supply_chain_technique
Blob_url_obfuscation_technique
Ironloader
Neuronloader
Gruber
Sparrow
Plasmagrid

Victims:
Software, Technology, Ios users, Macos safari users, Open source ecosystem

Geo:
Chinese

CVEs:
CVE-2023-43000 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<16.6)
- apple ipados (<15.8.7, <16.6)
- apple iphone_os (<15.8.7, <16.6)
- apple macos (<13.5)

CVE-2021-30952 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<15.2)
- apple ipados (<15.2)
- apple iphone_os (<15.2)
- apple macos (<12.1)
- apple tvos (<15.2)
have more...
CVE-2022-48503 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<15.6)
- apple ipados (<15.6)
- apple iphone_os (<15.6)
- apple macos (<12.5)
- apple tvos (<15.6)
have more...
CVE-2024-23222 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<17.3)
- apple ipados (<15.8.7, <16.7.5, <17.3)
- apple iphone_os (<15.8.7, <16.7.5, <17.3)
- apple macos (<12.7.3, <13.6.4, <14.3)
- apple tvos (<17.3)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1059.007, T1071.001, T1082, T1105, T1140, T1189, T1195.001, T1203, have more...

IOCs:
File: 57
Url: 24
Domain: 4
Hash: 38

Soft:
WebRTC, IndexedDB, macOS, Chrome, Firefox, Android, Chrome, Firefox, polyfill, Selenium, Mac OS, have more...

Algorithms:
base64, chacha20, sha1, md5, sha256, xor

Functions:
lr, loadScript, unescape, Example, fqMaGkNR, init, p, Yn, setTimeout, ZKvD0e, have more...

Languages:
javascript

Platforms:
apple, arm, intel

YARA: Found

Links:
https://github.com/goofychris/art-template/issues/665

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет npm `art-template` был скомпрометирован и использован для доставки фреймворка эксплойтов, нацеленного на iOS Safari через атаку watering-hole, напоминающую эксплойт-кит Coruna. В более ранних версиях он использовал обфусцированные загрузчики, а позже включал инъекции в виде открытого текста, предназначенные для эксплуатации уязвимостей в версиях iOS от 11.0 до 17.2. Кампания, приписываемая хакерской группировке UNC6691, включала сложные меры защиты от ботов и продемонстрировала точное нацеливание на JavaScript-движок Apple, одновременно передавая пользовательские данные на сервер управления.
-----

Скомпрометированный пакет npm `art-template`, библиотека шаблонов JavaScript, был захвачен злоумышленником, который использовал его для доставки фреймворка эксплойтов, нацеленного на iOS Safari, через сложную атаку типа «водопой». Этот метод атаки повторяет ранее известный эксплойт-кит Coruna и использует компрометацию Цепочки поставок для внедрения вредоносного кода.

Захват включал подавление отчетов об ошибках и постепенное усложнение вредоносного кода в различных версиях. Версия 4.13.3 использовала зашифрованный загрузчик для обращения к вредоносному файлу JavaScript, тогда как более поздние версии, 4.13.5 и 4.13.6, включали инъекцию в открытом виде, напрямую загружая скрипты, предназначенные для эксплуатации уязвимостей в iOS Safari, что охватывает несколько версий от iOS 11.0 до 17.2. Вредоносный код нацелен на браузеры пользователей, позволяя злоумышленнику выполнять эксплуатацию уязвимостей браузера незаметно.

Технический анализ полезной нагрузки показал, что она специально адаптирована для версий iOS 11.0–17.2, отклоняя все остальные платформы и версии. Она передавала пользовательскую информацию, такую как публичный IP-адрес и версия устройства, на сервер управления (C2), а также применяла значительные меры защиты от ботов, такие как вызовы WebAssembly, чтобы гарантировать подлинные попытки эксплуатации. Фреймворк эксплойта демонстрирует детальное знание JavaScript-движка Apple и способен различать архитектуры процессоров для точного применения конкретных эксплойтов.

Сходства между этим новым вариантом и набором Coruna поразительны, включая перекрывающиеся диапазоны целевых версий iOS, модули эксплойтов и обфускацию констант JavaScript. Структура управления в основном использует шаблон домена, характерный для набора Coruna, что подтверждает модель, согласно которой недавно выявленный фреймворк эксплойтов, вероятно, является производным или тесно связан с Coruna.

Эта кампания приписывается группе, известной как UNC6691, которая предположительно имеет связи с китайской киберпреступной деятельностью, сосредоточенной на финансовых мошенничествах через скомпрометированные веб-сайты. Рекомендуемые действия для организаций включают блокировку доступа к вредоносным доменам и обеспечение соблюдения политик безопасности для снижения рисков от подобных атак на цепочку поставок. Наблюдаемые сигнатуры, такие как определенные POST-запросы и URL-адреса исходного кода JavaScript, связаны с этим фреймворком эксплойтов, что позволяет осуществлять целевую обнаружение и вмешательство.

#ParsedReport #CompletenessMedium
21-05-2026

GitHub breach likely caused by Nx Console compromise

https://www.threatlocker.com/blog/github-breach-likely-caused-by-nx-console-compromise

Report completeness: Medium

Actors/Campaigns:
Teampcp
Lapsus
Mini_shai-hulud

Threats:
Kitty_tool
Dead_drop_technique
Shai-hulud
Supply_chain_technique
Dns_tunneling_technique

Victims:
Github, Software development

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.007, T1027, T1036, T1059.006, T1059.007, T1078, T1102.001, T1105, T1140, T1195.001, have more...

IOCs:
File: 5
IP: 3
Hash: 8
Domain: 2

Soft:
Bitwarden, 1Password, linux, Docker, Kubernetes

Algorithms:
sha256

Functions:
findRunnerWorkerPIDLinux

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 мая 2026 года GitHub стал жертвой инцидента, связанного с компрометированным расширением Visual Studio Code — Nx Console (версия 18.95.0), после того как учетные данные разработчика были украдены. ВПО использовало сложные техники обфускации для сокрытия своей истинной функциональности, развернув фреймворк на базе Python для управления и масштабного сбора учетных записей на таких платформах, как GitHub, PyPi и AWS, а также демонстрировало деструктивное поведение, удаляя директории жертв при определенных условиях. Его операции включали запрос локальной метаданных экземпляра и выполнение команд на основе коммитов программного обеспечения, что значительно повысило уровень угрозы.
-----

19 мая 2026 года GitHub сообщил о несанкционированном доступе к своим внутренним репозиториям, который был связан с вредоносным расширением Visual Studio Code (VS Code) под названием Nx Console (версия 18.95.0). Инцидент произошел из-за кражи учетных данных GitHub, принадлежащих разработчику Nx, что позволило распространить версию расширения с бэкдором.

Анализ вредоносного кода Nx Console показал, что он содержал сильно обфусцированный JavaScript, предназначенный для имитации легитимной функциональности сервера и развертывания дополнительных полезной нагрузки после активации. Начальный этап выполнения вызывал пакет, идентифицированный как `nx-next`, из заброшенного коммита в официальном репозитории, который содержал еще один слой JavaScript, дополнительно скрытый и предназначенный для противодействия анализу. Техники обфускации включали перемешанные строки, методы расшифровки во время выполнения, такие как PBKDF2, а также проверки факторов среды, таких как количество процессоров и географическое положение, чтобы избежать работы в определенных регионах, особенно в странах СНГ, таких как Россия.

После установки бэкдор создал фреймворк управления (C2) на базе Python, используя скрипт, сохраненный по пути `\~/.local/share/kitty/cat.py`. Этот фреймворк включал функциональность для запросов к API GitHub с целью получения учетных данных, связанных с «репозиториями мертвой загрузки», и имел механизмы выполнения команд на основе последних коммитов программного обеспечения. Бэкдор также выполнял масштабный сбор учетных записей, нацеливаясь на различные платформы, включая PyPi, NPM и AWS. Это осуществлялось с помощью запросов к локальным службам метаданных экземпляров AWS и анализа памяти процессов на наличие конфиденциальной информации.

Вредоносное ПО продемонстрировало дополнительные механизмы закрепления путем установки демона мониторинга, что обеспечивало постоянный удаленный доступ и управление скомпрометированными системами. Примечательно, что при выполнении определенных условий, касающихся репозиториев (например, их удаление), вредоносное ПО было запрограммировано на удаление личных директорий (домашней и документов) жертвы, что указывает на его деструктивный потенциал.

#ParsedReport #CompletenessHigh
21-05-2026

Ghost CMS Mass Compromised via CVE-2026-26980, Now Fueling ClickFix Attacks

https://blog.xlab.qianxin.com/ghost-cms-mass-compromised-via-cve-2026-26980-now-fueling-clickfix-attacks/

Report completeness: High

Threats:
Clickfix_technique
Ghost_admin
Fakecaptcha_tool
Cloaking_technique
Adspect_tool
Putty_tool
Aeternum

Victims:
Ghost cms sites, Universities, Blockchain, Ai and saas, Security research, Media, Fintech

Industry:
Healthcare, Entertainment, E-commerce, Retail, Education, Financial, Software_development, Transport, Foodtech, Religion

CVEs:
CVE-2026-26980 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ghost (<6.19.1)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1059.007, T1071.001, T1105, T1189, T1190, T1204.004, T1213, T1547, have more...

IOCs:
File: 21
Domain: 16
Url: 20
Command: 6
Path: 2
Hash: 7
IP: 1

Soft:
Electron

Algorithms:
sha1, md5, zip, xor, base64

Functions:
setTimeout, setLoginItemSettings

Languages:
php, javascript, rust

Links:
https://github.com/ubergrape/grape-electron?ref=blog.xlab.qianxin.com

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, code: 14, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года атака на Ghost CMS использовала уязвимость SQL-инъекции CVE-2026-26980, что позволило злоумышленникам получить доступ к конфиденциальной информации базы данных, включая ключи Admin API. Эта эксплуатация привела к масштабной манипуляции контентом на 700 доменах, где вредоносный JavaScript внедрялся для организации мошеннических схем ClickFix с использованием замаскированных доменов для уклонения от обнаружения и применения сложных тактик социальной инженерии. Злоумышленники также продемонстрировали адаптивные стратегии, при этом последующие атаки со стороны различных групп были направлены на использование аналогичных уязвимостей для перемещения (lateral movements) внутри затронутых систем.
-----

7 мая 2026 года было выявлено масштабное нападение на Ghost CMS, в ходе которого использовалась уязвимость SQL-инъекции CVE-2026-26980. Эта критическая уязвимость позволяла злоумышленникам без аутентификации получать доступ к содержимому базы данных, включая ключи Admin API. Используя эти ключи, атакующие изменяли статьи на затронутых сайтах, вставляя вредоносный JavaScript, что способствовало проведению атак ClickFix — мошеннических попыток обманом заставить пользователей выполнять вредоносные команды локально под видом процессов человеческой верификации, имитирующих механизмы защиты Cloudflare.

Атака состояла из нескольких этапов, начиная с проникновения и модификации контента на более чем 700 доменах, включая такие известные учреждения, как Гарвард и Оксфорд, что указывает на широкую кампанию, а не на целевое проникновение. Злоумышленники использовали домен-обманку, размещенный на Cloudflare, для первоначального распространения вредоносного контента, который они впоследствии обновляли для уклонения от обнаружения. Этот переход домена продемонстрировал, как злоумышленники адаптировали свои стратегии для поддержания операционной непрерывности без существенного противодействия со стороны служб обнаружения.

В ходе расследования внедренного вредоносного JavaScript выявило использование сложных методов для извлечения и выполнения скриптов с удаленных серверов, а также навигации по взаимодействиям пользователей через тактики социальной инженерии, замаскированные под запросы подтверждения. Злоумышленники спроектировали свой код так, чтобы он выполнялся с минимальным вниманием со стороны пользователя, используя функции, которые задерживали загрузку до тех пор, пока пользователь не взаимодействовал со страницей, тем самым обходя немедленное обнаружение.

Механизмы доставки полезной нагрузки включали несколько типов файлов, среди которых выделялись установщик с действительным сертификатом и вредоносное приложение на базе Electron. Выпущенные образцы выглядели безобидно при беглом осмотре, но содержали возможности для закрепления, позволяющие злоумышленникам сохранять контроль над зараженными системами путем выполнения произвольных команд через регулярные промежутки времени.

Кроме того, в ходе исследования было выявлено, что несколько сайтов подвергались последующим атакам со стороны различных групп, что демонстрирует конкуренцию среди злоумышленников, стремящихся использовать уязвимости, оставшиеся в установках Ghost CMS. Эти атаки не только представляли угрозу для напрямую скомпрометированных сайтов, но и распространялись на любую связанную инфраструктуру, поскольку захваченные учетные данные могли способствовать латеральному перемещению внутри экосистем жертв.

В заключение, инцидент подчеркивает важность своевременного обновления для известных уязвимостей и демонстрирует разнообразие ТТП (тактик, техник и процедур), используемых киберпреступниками. Организациям, использующим Ghost CMS, настоятельно рекомендуется незамедлительно выполнить обновление и провести тщательные проверки безопасности для снижения рисков, связанных с этим и потенциально аналогичными угрозами в будущем.

#ParsedReport #CompletenessHigh
21-05-2026

UAC-0244 / UAC-0247: Malware Targeting FPV drone operators

https://blog.synapticsystems.de/uac-0247-malware-targeting-fpv-operators/

Report completeness: High

Actors/Campaigns:
Uac-0244

Victims:
Fpv drone operators, Military, Defense sector

Industry:
Military

Geo:
Ukrainian, Russian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1053.005, T1055, T1059.001, T1059.003, T1059.007, T1105, T1140, T1204.002, have more...

IOCs:
Hash: 5
IP: 1
Domain: 1
File: 12
Command: 7
Url: 6
Path: 1

Soft:
curl, Windows Search

Algorithms:
zip, lznt1, sha256, base64, md5, xor, crc-32

Functions:
_0x2ef8, function, _0x151a

Win API:
NtOpenProcess, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx, NtWaitForSingleObject, LdrLoadDll, NtFreeVirtualMemory, RtlDecompressBuffer, inet_addr, have more...

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кластеры угроз UAC-0244 и UAC-0247 нацелены на операторов дронов в Украине, используя сложную вредоносную кампанию, которая начинается с вредоносного LNK-файла, ведущего к HTA-файлу, развертывающему зашифрованный JavaScript-дроппер. Этот дроппер загружает дополнительные полезную нагрузку и создает запланированные задачи для закрепления, применяя передовые техники обфускации, включая разрешение API по хешу и использование закодированных полезной нагрузки. Дизайн вредоносного ПО отражает структурированный подход к поддержанию управления на различных этапах атаки.
-----

Кластеры угроз UAC-0244 и UAC-0247 связаны с кибердеятельностью, направленной на операторов дронов, имеющих отношение к Украине. Эти кластеры приписываются одним и тем же акторам, которые сосредоточены на вредоносной кампании, использующей ряд тактик для получения доступа к системам Windows. Процесс заражения обычно начинается с файла LNK, который эксплуатирует цепочку, ведущую к вредоносному файлу HTA. Этот файл HTA выполняет легковесный, обфусцированный JavaScript-дроппер, использующий ActiveX, основной целью которого является снижение эффективности обнаружения при статическом анализе. Он выполняет такие операции, как загрузка дополнительных полезной нагрузки с использованием встроенных команд Windows, таких как cmd и curl.

Дроппер классифицируется как стадийный развертыватель (stage-0 deployer); он загружает основной полезный груз с указанного URL, декодирует его с помощью XOR и сохраняет как исполняемый файл в подкаталоге, предназначенном для закрепления (persistence) в %LOCALAPPDATA% с именем OneDriveUpdater. Кроме того, дропперы создают запланированные задачи для регулярного выполнения, тем самым обеспечивая непрерывную работу даже после перезагрузки системы.

С точки зрения поведения ВПО, последующие итерации загрузчика (например, в разных версиях HTA) демонстрируют вариации в структуре скрипта, такие как использование внешних ресурсов JavaScript для повышения скрытности и ограничения телеметрии PowerShell, что помогает ВПО избегать типичных методов обнаружения, связанных с PowerShell.

Использование кодирования внутри полезной нагрузки в сочетании с техникой внедрения подчеркивает сложность ВПО. Shellcode, находящийся в сегменте .data внешнего исполняемого файла (PE), не предоставляет напрямую стандартный PE, а вместо этого выдает вложенный загрузчик. Этот загрузчик впоследствии разрешает API по хешу, что указывает на продвинутый уровень обфускации и структурированную методологию поддержания управления над зараженными системами.

Весь процесс определяется моделью цепочки IIM (Intelligence, Infrastructure, Malware), которая описывает роли компонентов от этапа проникновения, подготовки, доставки полезной нагрузки до механизмов управления. Этот комплексный подход помогает понять взаимосвязь различных этапов работы ВПО, выявляя как структуру, так и возможность замены её инфраструктуры.

#ParsedReport #CompletenessHigh
21-05-2026

Inside the JDownloader Supply-Chain Attack: An r77 Rootkit Bot That Kills Your Antivirus

https://www.gendigital.com/blog/insights/research/inside-the-jdownloader-supply-chain-attack

Report completeness: High

Threats:
R77rk_tool
Supply_chain_technique
Dead_drop_technique
Pyarmor_tool
Amsi_bypass_technique
Icarus
Reflective_dll_injection_technique
Dll_injection_technique
Process_injection_technique

Victims:
Jdownloader, Software users, Hospitality

Industry:
Financial

Geo:
Sri lanka, Ghana

TTPs:
Tactics: 3
Technics: 10

IOCs:
Path: 2
File: 15
Registry: 3
Url: 9
Domain: 3
IP: 3
Hash: 10

Soft:
JDownloader, Windows Defender Application Control, Windows Defender, Windows security, Linux, winlogon, Windows service, Linux PyInstaller, Windows installer

Algorithms:
rc4, sha256, rsa-2048, xor, aes-256, aes-256-gcm, aes-gcm

Functions:
r77_hide_self, r77_hide_registry_path

Win API:
WaitForSingleObject, AmsiScanBuffer

Win Services:
AvastSvc, MsMpEng, SecurityHealthService

Languages:
powershell, php, python

Platforms:
x86, cross-platform

Links:
https://github.com/bytecode77/r77-rootkit
https://github.com/avast/ioc
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок JDownloader, начавшаяся 6 мая 2026 года, включала компрометацию официального сайта JDownloader, что привело к распространению троянизированных установщиков, содержащих руткит r77 и Python-бота с продвинутыми техниками уклонения, отключающими антивирусное программное обеспечение. Руткит обходит методы обнаружения, поддерживает закрепление через модификации реестра и использует резолверы мертвых капель для коммуникаций управления, зашифрованных с помощью RSA и AES. Атака нацеливалась на скомпрометированные сайты бронирования отелей, демонстрируя использование известных уязвимостей инфраструктуры.
-----

Атака на цепочку поставок JDownloader, начавшаяся 6 мая 2026 года, включала компрометацию официального сайта JDownloader, что привело к распространению троянизированных установщиков. Эти вредоносные установщики содержали сложный многокомпонентный полезный груз, включающий руткит r77, Python-бота и продвинутые техники уклонения для отключения антивирусного программного обеспечения. Атакующие внедрили политику Windows Defender Application Control (WDAC), которая блокировала 50 исполняемых файлов безопасности, сделав основные средства защиты от антивирусов неработоспособными после перезагрузки.

Когда пользователь попытался запустить неподписанный установщик, замаскированный вместе с легитимной версией JDownloader и требующий обхода Windows SmartScreen, вредоносное ПО выполнило свой полезный код. Он начинался с конфигурации бота, записанной в реестр в шестнадцатеричном формате с шифрованием RC4, что позволяло ему устанавливать связь с серверами управления (управление) через механизм, известный как dead-drop resolvers. Это легитимные веб-страницы, используемые для публикации зашифрованных адресов C2. Если инфраструктура C2 бота была нарушена, он мог получить новые адреса C2 с этих страниц.

Бот, защищённый PyArmor v9 для обфускации, выполнял произвольный Python-код, полученный с C2-сервера после регистрации. Его коммуникация опиралась на протоколы сильной шифрования, используя RSA и AES, что затрудняло отслеживание и перехват. Бот был разработан для поддержания операций жизненного цикла, таких как управление конфигурацией, выполнение команд и интеграция руткита.

Сам руткит r77 обладает несколькими возможностями: он обходит интерфейс сканирования Antimalware (AMSI), выполняет отражённую инъекцию DLL для скрытия процессов и артефактов, а также обеспечивает закрепление через модификации реестра и создание служб. Особо примечательной была его способность скрывать связанные процессы от стандартного диспетчера задач и инструментов проверки реестра путём добавления специального символа в начало имён.

Обнаруженные C2-серверы были связаны с скомпрометированными сайтами бронирования отелей, что указывает на целевую стратегию, использующую известные уязвимости инфраструктуры в программном обеспечении с открытым исходным кодом. Как C2, так и серверы подготовки (staging) работали на идентичных системах, что подчеркивает использование злоумышленниками согласованных методов развертывания. Общая архитектура вредоносного ПО включала различные сложные техники, затрудняющие стандартное обнаружение и устранение угроз, что закрепляет за ним статус значимой угрозы в сфере атак на Цепочку поставок.

#ParsedReport #CompletenessLow
21-05-2026

Misconfigured, Enrolled and Dormant: Anatomy of a P2Pinfect Kubernetes Compromise

https://www.fortinet.com/blog/threat-research/misconfigured-enrolled-and-dormant-anatomy-of-a-p2pinfect-kubernetes-compromise

Report completeness: Low

Threats:
P2pinfect
Metro4shell_vuln
Redishell_vuln
React2shell_vuln
Kryptik

Victims:
Kubernetes environments, Redis servers, Google kubernetes engine clusters, Cloud environments

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (-)

CVE-2025-11953 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- react-native-community react_native_community_cli (<19.1.2, 18.0.0, 20.0.0)

CVE-2025-49844 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (<6.2.20, <7.2.11, <7.4.6, <8.0.4, <8.2.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1027.002, T1059.004, T1105, T1110.003, T1190, T1496, T1571

IOCs:
Hash: 4
Url: 1
IP: 6

Soft:
Kubernetes, Redis, Linux

Algorithms:
chacha20, md5, base64

Languages:
rust, lua

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4