#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник использовал уязвимость в устаревшем балансировщике нагрузки F5 BIG-IP в Azure, получив доступ SSH к внутреннему хосту Linux с привилегированными учетными данными. Актор провел обширную разведку с использованием таких инструментов, как Nmap и HackTool:Linux/MalPack.B, что привело к эксплуатации уязвимого сервера Atlassian Confluence для Удаленного Выполнения Кода. Это обеспечило доступ к конфиденциальным учетным данным, позволив проводить атаки с ретрансляцией Kerberos и продемонстрировав, как внутренние уязвимости могут быть использованы за пределами прямого доступа через интернет.
-----

Описанный инцидент отражает тревожную тенденцию, при которой интернет-ориентированные периферийные устройства, в частности межсетевые экраны и VPN-шлюзы, служат начальными векторами кибератак. Злоумышленник использовал уязвимость в балансировщике нагрузки F5 BIG-IP, а именно в версии, работающей в среде Azure, которая достигла конца жизненного цикла (EOL), что указывает на критическую проблему безопасности из-за отсутствия дальнейшей поддержки таких устройств.

После компрометации устройства BIG-IP актор получил доступ по SSH к внутреннему хосту Linux с использованием привилегированной учетной записи. Этот доступ поддерживался без создания явных механизмов закрепления, что демонстрирует опасность, создаваемую избыточно привилегированными учетными записями, обладающими правами sudo. На протяжении всей атаки злоумышленник проявлял прямой контроль во время сеанса SSH, активно взаимодействуя с затронутыми системами.

Фаза разведки характеризовалась обширной активностью по перечислению и сканированию сети. Злоумышленник использовал такие инструменты, как Nmap и автоматизированные оболочки скриптов, для выявления подключенных устройств и служб в сети, применяя детальные сканирования для обнаружения служб HTTP/HTTPS и потенциальных целей. Инструмент, обозначенный как HackTool:Linux/MalPack.B, был отмечен за свою роль в разведке, которая заключалась в зондировании нескольких веб-приложений, взаимодействующих с скомпрометированным сервером, тем самым стремясь получить представление о контроле доступа.

Перемещение внутри компании произошло после выявления уязвимого сервера Atlassian Confluence в сети. Актор использовал уязвимости этого сервера для выполнения удаленного кода. Несмотря на то что попытки разместить вредоносные полезн

Этот инцидент подчеркивает, что уязвимые приложения не требуют прямого доступа из интернета, чтобы представлять серьезную угрозу безопасности. После получения первоначального доступа злоумышленники могут перемещаться внутри сети, нацеливаясь на доступные сервисы для повышения привилегий и более глубокого проникновения в организационные сети. Атака продемонстрировала несколько техник, соответствующих фреймворку MITRE ATT&CK, что подчеркивает необходимость бдительного мониторинга и стратегий смягчения последствий в условиях сложных киберугроз.

#ParsedReport #CompletenessMedium
22-05-2026

Decentralized Threat: Stealthy P2P Cryptominer Targeting Ollama Endpoints

https://www.akamai.com/blog/security-research/2026/may/stealthy-p2p-cryptominer-ollama-endpoints

Report completeness: Medium

Threats:
Upx_tool
Xmrig_miner
Supply_chain_technique

Victims:
Ollama endpoints, Artificial intelligence environments

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1053.003, T1059.004, T1059.006, T1070.004, T1090, T1095, T1105, have more...

IOCs:
Url: 2
File: 2
Coin: 1
Hash: 3
Domain: 2

Soft:
Ollama, curl, supabase, WebRTC, crontab

Crypto:
monero

Functions:
exec

Languages:
python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Криминалистический анализ выявил сложную атаку на приманку (honeypot) большой языковой модели, в ходе которой использовалось вредоносное ПО на языке Go под названием 'vc', функционирующее как Троянская программа для удаленного доступа и криптомайнер. Атака инициируется через API-запросы, направленные на конкретную конечную точку, и использует многокомпонентный механизм доставки с логикой переключения на резервный канал для загрузки вредоносного ПО. 'Vc' использует собственный P2P-протокол для уклонения от обнаружения, маскируется под поток ядра и обеспечивает закрепление, используя системные утилиты crontab, что подчеркивает сложности, связанные с децентрализованными архитектурами ВПО.
-----

В ходе недавнего криминалистический анализ расследования серии атак на специально созданный honeypot для больших языковых моделей была выявлена сложная угроза, использующая децентрализованное сетевое взаимодействие для уклонения. Основное ВПО, идентифицированное как бинарный файл на Go под названием 'vc', функционирует как Троянская программа (RAT) и загрузчик криптомайнера. Это ВПО выполняет команды с привилегиями владельца процесса Ollama и использует сжатие UPX, хотя стандартные инструменты UPX могут отменить эту защиту для анализа.

Атака инициируется через API-запросы к конечной точке `/api/create`, в частности, нацеленными на порт 11434. Первый payload атакующего пытается загрузить установочный скрипт под названием `i.sh`, который содержит логику резервного загрузчика. Этот скрипт пробует несколько методов — `curl`, `wget` и Python-скрипт — перед тем как загрузить бинарный файл `vc` в расположение в оперативной памяти (/dev/shm/.sys-update). После выполнения бинарный файл удаляется с диска, чтобы избежать обнаружения.

ВПО vc использует собственный протокол peer-to-peer (P2P), построенный на базе фреймворка libp2p, что позволяет ему обходить межсетевые экраны и барьеры NAT с использованием технологий, включая WebRTC и QUIC. Архитектура ВПО позволяет ему имитировать легитимные системные процессы — в частности, оно маскируется под поток ядра с именем `kworker`. Закрепление обеспечивается функцией hydraPersistence, которая добавляет задачу в crontab системы для периодического повторного внедрения.

ВПО функционирует как дроппер P2P-криптоминера с четко определенным путем выполнения. Сначала оно копирует себя в другое расположение на RAM-диске, затем размещает два дополнительных бинарных файла: один служит P2P-сетевым прокси, а другой действует как майнер Monero. Переименовывая свой процесс в `kworker-main`, оно дополнительно маскируется. Майнер запускает локальный прокси для маршрутизации трафика майнинга через децентрализованную P2P-сеть, эффективно обходя традиционные методы блокировки соединений. Оно ограничивает потребление ресурсов 50% ЦП, чтобы оставаться незамеченным.

Вредоносное ПО vc подчеркивает тревожную эволюцию в сегменте коммерческого ВПО, переходя от централизованных инфраструктур управления к децентрализованным системам, которые усложняют усилия по обнаружению и реагированию. Эксплуатируя уязвимости в Цепочке поставок и API, эта атака демонстрирует критическую необходимость изменений в стратегиях мониторинга безопасности. Защитникам рекомендуется сосредоточиться на анализе аномалий протоколов, особенно касающихся QUIC и неожиданного трафика WebSocket, вместо того чтобы полагаться исключительно на традиционные методы блокировки IP-адресов или доменов. Эта сложность в поведении вредоносного ПО подчеркивает насущную потребность в улучшенном поведенческом анализе для борьбы с продвинутыми, многогранными киберугрозами.

#ParsedReport #CompletenessMedium
22-05-2026

Help-Desk Lures Drop KongTuke's Evolved ModeloRAT

https://reliaquest.com/blog/threat-spotlight-help-desk-lures-drop-kongtukes-evolved-modelorat/

Report completeness: Medium

Threats:
Kongtuke
Modelorat
Clickfix_technique
Crashfix
Blackbasta
Pysoxy_tool
Winpython_tool

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1033, T1036.005, T1053.005, T1059.001, T1059.005, T1069.002, T1070.004, T1071.001, T1082, T1087.002, have more...

IOCs:
File: 6
Command: 3
Path: 2
Url: 2
Email: 1
IP: 6

Soft:
Microsoft Teams, WordPress, Slack, Zoom

Algorithms:
zip

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KongTuke, брокер первоначального доступа, использует Microsoft Teams для первоначального доступа, отходя от методов, ориентированных на веб. Они развертывают эволюционировавшее ВПО ModeloRAT с повышенной устойчивостью благодаря нескольким каналам управления и надежным механизмам закрепления, таким как ключи реестра и задачи на уровне SYSTEM, что усложняет устранение последствий. Применяя тактики социальной инженерии для имитации сотрудников службы поддержки, они обманом заставляют пользователей загружать вредоносные диагностические инструменты, демонстрируя быстро развертываемую точку входа в целевых средах.
-----

KongTuke, брокер первоначального доступа (IAB), мотивированный финансовой выгодой, эволюционировал в тактиках, используя внешние чаты Microsoft Teams в качестве средства получения первоначального доступа, что знаменует собой отход от его предыдущих подходов, ориентированных на веб. Этот переход позволяет группе использовать доверенный интерфейс инструментов совместной работы, облегчая злоумышленникам обман пользователей для развертывания их эволюционировавшего вредоносного ПО ModeloRAT. Новая вариация ModeloRAT демонстрирует повышенную устойчивость, имея три независимых канала управления (C2), что усложняет усилия по сдерживанию; если один канал прерван, другие остаются работоспособными. Набор инструментов может установить постоянный доступ в течение пяти минут после того, как жертва выполнит одну команду PowerShell, демонстрируя быстрый переход от первоначального контакта к укреплению позиций.

Выдавая себя за сотрудников службы поддержки, злоумышленники используют тактики социальной инженерии, чтобы убедить пользователей загрузить вредоносные диагностические инструменты, размещенные в ZIP-архивах на легитимных облачных хранилищах. После запуска этот инструмент инициализирует портативную среду WinPython и активирует сборщик разведки для сбора информации о хосте. Эти данные критически важны для злоумышленников, чтобы определить приоритетность последующих действий. Что касается закрепления, ModeloRAT использует несколько триггеров, включая ключи реестра Run, записи в папке Автозагрузка и загрузчики VBScript, что гарантирует возможность сохранения после стандартных попыток устранения последствий и поддержания foothold даже после перезагрузок. Кроме того, запланированная задача на уровне SYSTEM добавляет дополнительную долговечность, указывая на то, что простое удаление видимых компонентов вторжения не будет достаточным для эффективного устранения последствий.

Переход к использованию Microsoft Teams для первоначального доступа отражает более широкие тенденции среди злоумышленников, поскольку он обеспечивает точку входа с низким уровнем трения, которая часто подвергается меньшему контролю, чем традиционные каналы электронной почты. Ожидается, что эта стратегия проявится и на других платформах для совместной работы, что повышает необходимость для организаций переоценить свои позиции в области безопасности для инструментов внешней коммуникации. Командам безопасности рекомендуется внедрить более строгие контроль над внешней федерацией Teams и проактивно мониторить индикаторы активности ModeloRAT, в частности, обращая внимание на портативные установки Python в директориях AppData пользователей, что напрямую коррелирует с индикаторами компрометации этой кампании. Кроме того, полные аудиты всех механизмов закрепления имеют решающее значение перед объявлением хостов безопасными, чтобы убедиться, что не осталось никаких следов компрометации, которые могли бы позволить злоумышленнику восстановить доступ.

В заключение, эволюция тактик KongTuke свидетельствует о переходе к активным методам социальной инженерии, использующим современные платформы для совместной работы, в сочетании с продвинутым набором ВПО, предназначенным для закрепления и устойчивости к традиционным методам обнаружения и реагирования.

#ParsedReport #CompletenessMedium
22-05-2026

Fast and Furious – Nimbus Manticore Operations During the Iranian Conflict

https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/

Report completeness: Medium

Actors/Campaigns:
Tortoiseshell
Irgc

Threats:
Minifast
Seo_poisoning_technique
Minijunk
Appdomain_hijacking_technique
Dll_sideloading_technique

Victims:
Aviation, Software, Defense, Telecommunications, Europe, Middle east, Africa, Israel, United arab emirates, United states, have more...

Industry:
Military, Telco, Software_development, Aerospace

Geo:
Israeli, Saudi arabia, Iran, United arab emirates, Australia, Arab emirates, Africa, Israel, Iranian, Middle east

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036, T1041, T1053.005, T1057, T1059.003, T1071.001, T1082, T1083, have more...

IOCs:
Hash: 27
Domain: 25
File: 15
Path: 2
Command: 2

Soft:
Zoom, OnlyOffice, Chrome

Algorithms:
base64, zip, sha256

Functions:
TaskDescriptor, TaskRecord, taskId, taskIdLen, GetUserName

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 3, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus Manticore, иранский злоумышленник, расширил свои кибервозможности, в частности, путем развертывания ВПО через Отравление поисковой оптимизации (SEO) и внедрения нового бэкдора под названием MiniFast. Этот бэкдор функционирует как 64-битная Windows PE DLL для постоянного выполнения команд, взаимодействуя со своей инфраструктурой C2 с использованием JSON. Использование группой перехвата AppDomain с легитимными приложениями, такими как модифицированный установщик Zoom, демонстрирует тактическую изощренность и соответствие стратегическим целям IRGC на фоне продолжающихся геополитических напряжений.
-----

Nimbus Manticore, злоумышленник, связанный с Корпусом стражей исламской революции (IRGC), появился вновь на фоне геополитической напряженности, особенно во время военной операции США «Epic Fury», направленной против Ирана. Эта группа приняла передовые методы и расширила возможности, включая использование вредоносных приманок, имитирующих авторитетные организации в сфере авиации и программного обеспечения. Примечательно, что они впервые применили Отравление поисковой оптимизации (SEO) как метод доставки ВПО, стремясь повысить видимость и заманить жертв на вредоносные загрузки.

Значительным нововведением этой кампании стало появление ранее не документированного бэкдора под названием MiniFast. Данный бэкдор, по-видимому, использует практики разработки с поддержкой искусственного интеллекта, что указывает на то, что злоумышленник эволюционирует свой инструментарий, чтобы воспользоваться современными стратегиями разработки. Эта адаптивность позволяет осуществлять быструю разработку и обновление своего ВПО в ответ на изменение оперативной обстановки. В ходе операции Nimbus Manticore провела фишинговую кампанию с использованием троянизированных установщиков, включая модифицированный установщик Zoom. Тактика заключалась в злоупотреблении стандартным процессом установки оригинального приложения для создания бесшовной, но коварной цепочки заражения.

Оперативные техники, применяемые группировкой Nimbus Manticore, включали перехват AppDomain — метод, позволяющий злоумышленникам загружать вредоносный код через легитимные приложения. Размещая вредоносные конфигурационные файлы рядом с безобидным программным обеспечением, они инициировали выполнение ВПО, не вызывая немедленного подозрения. В частности, цепочка заражения начиналась с Setup.exe — легитимного исполняемого файла с подписью Microsoft, который в процессе перехвата выполнял загрузчик первого этапа (InitInstall.dll). Этот загрузчик затем переходил ко второму этапу (Updater.dll), который в конечном итоге развертывал финальный полезный груз, MiniFast.

MiniFast — это 64-битная Windows PE DLL, разработанная как комплексный бэкдор для длительного закрепления и выполнения команд. Он использует архитектуру на основе API для взаимодействия с инфраструктурой управления (C2), обмениваясь командами и ответами в формате JSON. Этот бэкдор структурирован так, чтобы сливаться с легальным сетевым трафиком, имитируя строку User-Agent браузера Chrome, тем самым снижая риск обнаружения.

В ходе операции Nimbus Manticore продемонстрировала впечатляющую устойчивость и адаптивность, показав способности поддерживать инфраструктуру и разрабатывать новое программное обеспечение, несмотря на возникшие трудности. Использование разработки с помощью ИИ стало все более очевидным, что отражается в системном подходе к проектированию и выполнению ВПО. Фокус актора на критических секторах, особенно в авиационной и оборонной отраслях, согласуется с более широкими разведывательными целями IRGC, что указывает на стратегический замысел, стоящий за их кибероперациями.

По мере развития конфликта на Ближнем Востоке Nimbus Manticore остаётся значимой угрозой благодаря своим сложным методологиям и манёвренности в развёртывании передовых кибертактик, что подчёркивает опасное пересечение геополитического конфликта и кибервойны.

#ParsedReport #CompletenessMedium
22-05-2026

ClickFix Evolves with PySoxy Proxying

https://reliaquest.com/blog/threat-spotlight-clickfix-evolves-with-pysoxy-proxying/

Report completeness: Medium

Threats:
Clickfix_technique
Pysoxy_tool
Ai-clickfix_technique
Socgholish_loader

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4
Command: 1
IP: 4
Path: 2
Url: 2
Domain: 3

Soft:
curl, Node.js

Functions:
taskId

Languages:
perl, cscript, powershell, python, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники усовершенствовали киберугрозу ClickFix, используя запланированные задачи для закрепления и SOCKS5-прокси PySoxy для зашифрованного доступа, перейдя к модульной технике постэксплуатации. Внедрение начинается с команды PowerShell, запущенной в результате социальной инженерии, которая обеспечивает закрепление, позволяя осуществлять удаленный доступ и разведку с помощью встроенных инструментов Windows для оценки среды перед развертыванием прокси PySoxy. Этот прокси выполняется из нестандартного каталога, чтобы скрыть свою активность, что указывает на целенаправленную и организованную стратегию злоумышленников.
-----

Наблюдается новое развитие киберугрозы ClickFix, при котором злоумышленники используют комбинацию запланированных задач для закрепления и PySoxy — десятилетней давности открытого SOCKS5-прокси — для создания зашифрованного прокси-доступа. Этот новый подход знаменует собой отход от традиционного однократного события выполнения, характерного для тактик ClickFix, что позволяет реализовать то, что можно назвать модульной постэксплуатацией. Используя PySoxy, злоумышленники получают дополнительный метод доступа через зашифрованное управление, избегая зависимости от известных ВПО и инструментов удаленного мониторинга.

Внедрение начинается с того, что пользователь выполняет看似 безобидную команду PowerShell в результате социальной инженерии, что запускает цепочку событий, обеспечивающих закрепление через запланированные задачи. Эти запланированные задачи гарантируют, что даже если исходящие подключения к инфраструктуре злоумышленника заблокированы, атака может продолжаться за счет повторных попыток выполнения. Скрипт PowerShell функционирует не только как загрузчик, но и как легковесный инструмент удаленного доступа, способный опрашивать наличие команд и позволять злоумышленнику поддерживать активную сессию с скомпрометированным хостом.

Атака включает разведку после первоначального выполнения, где встроенные инструменты Windows используются для оценки скомпрометированной среды — сбора информации, такой как членство в группах, роли в домене и идентификация потенциальных целей. Эта разведка закладывает основу для развертывания прокси PySoxy, который повышает оперативную гибкость атакующего, создавая второй канал доступа.

При внедрении PySoxy он выполняется из нестандартного каталога, а его работа искусно маскируется под рутинную активность Python. Злоумышленники обеспечивают доступность необходимой инфраструктуры перед развертыванием этого дополнительного слоя. Выполнение происходит сразу после операций PowerShell и настройки запланированных задач, что указывает на тщательно спланированную стратегию, а не на оппортунистические действия.

Для защитников вызов, который представляет этот метод атаки, является значительным. Наличие запланированной задачи означает, что завершение действий по динамическому сдерживанию угроз не может опираться исключительно на обнаружение и блокировку первоначального обратного вызова. Защитные меры должны включать изоляцию скомпрометированных хостов, проверку запланированных задач и поиск аномальных выполнений команд Python, особенно тех, которые связаны с поведением, характерным для прокси. Фокус исключительно на заблокированных соединениях не решает проблему механизмов закрепления, которые поддерживают работу атаки.

#ParsedReport #CompletenessLow
22-05-2026

ShinyHunters Delivers Outsized Impact

https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q1-2026/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, information_theft)
Gentlemen_ransomware
Alp-001 (motivation: financially_motivated, information_theft)

Threats:
Aitm_technique
Akira_ransomware
Qilin_ransomware
0apt_syndicate
Supply_chain_technique
Ransomhub
Blackcat
Disabling_antivirus_technique
Inc_ransomware
Credential_harvesting_technique

Victims:
Large enterprises, Legal services, Law firms, Critical infrastructure, Health care, Finance, Banking, Manufacturing, United states, India, have more...

Industry:
Financial, Critical_infrastructure, Healthcare

Geo:
Thailand, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1078, T1078.004, T1098, T1133, T1190, T1213, T1484.001, T1557, have more...

Soft:
Salesforce, Linux, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters стали одним из наиболее значимых акторов угроз в 2026 году, используя intrusion-операции, ориентированные на компрометацию цифровых идентичностей (identity-first intrusions), а также SaaS-native методы хищения данных. Основной фокус группы — кража данных и вымогательство без применения традиционных ransomware-тактик.

В качестве основных векторов первоначального доступа злоумышленники используют vishing-атаки с применением подмены Caller ID и фишинговых сайтов. В результате ими было развернуто около 500 фишинговых доменов, а учетные данные жертв похищались с использованием техник adversary-in-the-middle (AiTM).

Группа также эксплуатирует ошибки конфигурации в таких платформах, как Salesforce, компрометируя учетные записи и извлекая чувствительную информацию через API и механизмы массовой выгрузки данных. Активность ShinyHunters подчеркивает необходимость повышенной бдительности и адаптации защитных мер к их постоянно эволюционирующим тактикам.-----

ShinyHunters стал значимым злоумышленником в первом квартале 2026 года, используя атаки с первичным захватом учётных данных и методы кражи данных, характерные для SaaS-среды.

Группа сосредоточена на краже данных и вымогательстве, не развертывая вредоносные шифровальщики, и нацелена на среды с ограниченной видимостью безопасности.

Основные методы доступа включают атаки vishing, при которых злоумышленники выдают себя за сотрудников службы технической поддержки IT для получения учетных данных.

Они используют поддельные Caller ID и фишинг-сайты, имитирующие доверенные сервисы, что помогает им обходить корпоративные меры безопасности.

Обнаружено около 500 фишинг-доменов, связанных с ShinyHunters, что увеличивает их доступ к бизнес-данным.

Техники «злоумышленник посередине» (AiTM) используются для быстрого захвата учётных данных и доступа к устройствам многофакторной аутентификации (MFA).

Попав внутрь, они используют подключения единого входа (SSO) для доступа к таким платформам, как Salesforce и SharePoint, извлекая конфиденциальную информацию через API или массовые загрузки.

ShinyHunters неправильно настраивает Salesforce Experience Cloud с модифицированным инструментом AuraInspector для взлома сотен учетных записей без взаимодействия с пользователем.

Другие группировки вымогателей, такие как Akira и Qilin, продолжают свою деятельность, в то время как новые акторы, такие как хакерская группировка The Gentlemen, демонстрируют повышенную активность.

0APT и ALP-001 — сомнительные сайты утечек, оказывающие давление на предприятия с потенциально сфабрикованными утверждениями.

Организациям рекомендуется усилить киберзащиту от компрометации идентификации, эксплуатации внешних сервисов и латерального перемещения через административные протоколы.

Рекомендуется внедрение надежных политик доступа, повышение осведомленности о рисках, связанных с фишингом через голосовую связь (vishing), а также активный мониторинг журналов SaaS на предмет необычной активности.

Давление со стороны программ-вымогателей сместилось: организациям необходимо быстро проверять вымогательские требования, одновременно адаптируя защиту к эволюционирующим тактикам.

Проактивные меры должны быть сосредоточены на поведении, способствующем проникновению, а не только на выявлении злоумышленников, чтобы повысить устойчивость к постоянным угрозам программ-вымогателей.

#ParsedReport #CompletenessHigh
22-05-2026

Cloud Atlas activity in the second half of 2025 and early 2026: new tools and a new payload

https://securelist.com/cloud-atlas-2026/119895/

Report completeness: High

Actors/Campaigns:
Cloudatlas
Head_mare

Threats:
Revsocks_tool
Vbcloud_tool
Powershower_tool
Kerberoasting_technique
Shadow_copies_delete_technique
Uac_bypass_technique
Paexec_tool
Ps2exe_tool
Phantomheart
Reversesocks_tool

Victims:
Government agencies, Diplomatic entities, Commercial companies

Industry:
Government

Geo:
Belarus, Russia, Russian

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1003.004, T1005, T1018, T1021.001, T1027, T1036, T1036.008, T1041, T1057, have more...

IOCs:
File: 50
Hash: 69
Domain: 26
IP: 19

Soft:
Microsoft Office, Active Directory, Remote Desktop Services, PsExec, OpenSSH, Tor Browser, Chrome, Firefox, Windows ime, Windows setup, have more...

Algorithms:
base64, rc4, md5, zip

Functions:
WriteToSchedulerKillSSH, WriteToSchedulerGenerateKey

Win Services:
BITS

Languages:
powershell, python, golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4