#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce — оператор RaaS с двойным вымогательством, появившийся в конце декабря 2023 года, нацеленный на более чем 400 жертв, преимущественно в странах Запада с высоким ВВП. Группа использует фишинг, эксплуатацию уязвимостей и атаки брутфорс, особенно против RDP и VPN, применяя собственное программное обеспечение-вымогатель, такое как LockBit и Conti. Их тактика включает шифрование данных и эксфильтрацию конфиденциальной информации для оказания давления на жертв, а также партнерскую программу для управления атаками, что указывает на переход к картелю программ-вымогателей, связанному с российскими структурами.
-----

DragonForce — это оператор программы двойного вымогательства Ransomware-as-a-Service (RaaS), появившийся в конце декабря 2023 года и быстро закрепившийся в качестве заметной и развивающейся киберугрозы. Ориентируясь исключительно на финансовую выгоду, группа атаковала более 400 жертв, преимущественно в странах Запада с высоким ВВП, особенно в Соединенных Штатах, а также в таких секторах, как производство, бизнес-услуги, технологии, строительство и здравоохранение. Их метод работы включает компрометацию сетей через фишинговые кампании, эксплуатацию известных уязвимостей и брутфорс-атаки, особенно против Протокола удаленного рабочего стола (RDP) и VPN-сервисов. DragonForce использует техники living-off-the-land наряду с вредоносными загрузками, такими как кастомные версии программ-вымогателей LockBit и Conti для выполнения задач.

Методология двойного вымогательства, применяемая DragonForce, не только шифрует данные, но и похищает конфиденциационную информацию, угрожая раскрыть эти данные, если выкуп не будет выплачен. Эта стратегия усложняет процесс восстановления для жертв и усиливает финансовое давление для соблюдения требований. Группа работает с использованием сложной партнерской программы, позволяющей участникам управлять своими атаками через Панель управления, что способствует расширению операционного темпа группы и увеличению числа жертв. Ransomware DragonForce, способная затрагивать различные платформы, включая Windows и Linux, использует современные методы шифрования для защиты своих полезной нагрузки, делая восстановление без оплаты маловероятным.

Ключевые тактики, используемые DragonForce, могут быть сопоставлены с фреймворком MITRE ATT&CK, что подчеркивает методы получения первоначального доступа, выполнения команд, закрепления в скомпрометированных средах, перемещения внутри компании и уклонения от защитных механизмов. Группа продемонстрировала квалификацию в отключении служб безопасности и эксплуатации уязвимостей в системах, доступных через интернет, и ПО для удаленного доступа, уделяя особое внимание продуктам от Ivanti и Fortinet, что делает их критическими точками для потенциальных защитных мер.

Кроме того, имеются указания на то, что операции DragonForce могут находиться под влиянием связей с организациями из СНГ или российскими структурами, о чём свидетельствует их использование российских онлайн-форумов для коммуникации и поддержка инфраструктуры европейскими интернет-провайдерами. Их эволюционирующая структура перешла к формированию картеля вымогателей, что дополнительно консолидирует власть в подпольной экосистеме. Поскольку они разрабатывают стратегии по поглощению или кооптации конкурирующих групп, ландшафт угроз остаётся динамичным и требует непрерывного мониторинга.

Для усиления защиты от DragonForce и аналогичных угроз организациям рекомендуется внедрять надежные меры кибербезопасности, включая регулярное обучение по безопасности, управление уязвимостями и использование решений разведки угроз, адаптированных для обнаружения активности DragonForce. В целом, расширение группы и ее операционная сложность подчеркивают критическую необходимость повышения осведомленности и протоколов кибербезопасности в целевых секторах.

#ParsedReport #CompletenessHigh
24-05-2026

Analyzing Void Dokkaebi's Cython-Compiled InvisibleFerret Malware

https://www.trendmicro.com/en_us/research/26/e/analyzing-void-dokkaebi-invisibleferret-malware.html

Report completeness: High

Actors/Campaigns:
Famous_chollima (motivation: information_theft)

Threats:
Invisibleferret
Beavertail
Credential_harvesting_technique
Anydesk_tool

Victims:
Software developers, Cryptocurrency users, Organizations with developer access to wallet credentials signing keys and ci cd pipelines, Cryptocurrency sector, Software development sector, Artificial intelligence sector

Geo:
North korea

TTPs:
Tactics: 3
Technics: 20

IOCs:
File: 6
IP: 1
Hash: 23
Url: 45

Soft:
macOS, Chrome, vscode

Wallets:
metamask, coinbase

Algorithms:
exhibit, base64, xor

Functions:
_rum, dnp_m, dnp, PyMemoryView_FromMemory, PyRun_StringFlags

Win API:
decompress

Languages:
python, cpython, javascript, cython

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2, code: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Void Dokkaebi, хакерская группировка из Северной Кореи, усовершенствовала свое ВПО для кражи информации InvisibleFerret, переведя его с Python-скриптов на бинарные файлы, скомпилированные с помощью Cython, в формате файлов .pyd и .so, что повышает устойчивость к обнаружению. ВПО продолжает фокусироваться на бэкдор-доступе, краже учетных записей и мониторинге активности, при этом компонент BeaverTail эволюционировал, включив сбор учетных записей и троянизацию кошельков. Применение сложных методов обфускации и продвинутых методов сетевой коммуникации указывает на отточенную стратегию эффективной эксплуатации криптографических активов.
-----

Void Dokkaebi, хакерская группировка из Северной Кореи, усилила свое ВПО для кражи информации InvisibleFerret, переведя его с Python-скриптов на бинарные файлы, скомпилированные с помощью Cython. Эта стратегическая смена предполагает распространение ВПО в виде файлов .pyd для Windows и .so для macOS, что добавляет новый уровень уклонения от традиционных методов обнаружения на основе скриптов. InvisibleFerret сохраняет свои основные функции, такие как доступ через бэкдор, кража учетных записей, мониторинг буфера обмена, Регистрация нажатий клавиш и нацеливание на криптокошельки, а также расширяет свои возможности за счет BeaverTail, который теперь выполняет многогранную роль, включающую сбор учетных записей и троянизацию кошельков.

Процесс заражения обычно нацелен на программных разработчиков через поддельные рабочие места, что делает вредоносное ПО особенно актуальным для тех, кто управляет учетными данными криптовалюты и производственными системами. Адаптация к Cython означает, что защитникам необходимо перейти от полагания исключительно на методы обнаружения скриптов к использованию стратегий обнаружения, учитывающих бинарные файлы, которые могут анализировать модули расширения и встроенные артефакты. Эволюция BeaverTail примечательна тем, что она стала многоэтапным компонентом, способным загружать конкретные версии InvisibleFerret и избегать обнаружения с помощью сложных методов обфускации.

В процессе обфускации Cython код Python преобразуется в нативные бинарные файлы, что делает их зависимыми от скрипта выполнения Python или интерпретатора для запуска. Примечательно, что эти бинарные файлы могут сохранять значительную часть артефактов исходного программирования, таких как имена функций инициализации и встроенные пути к файлам, что может способствовать криминалистический анализ. Процесс деобфускации остается аналогичным предыдущим версиям, позволяя аналитикам угроз восстанавливать исходный полезный груз из бинарных файлов, несмотря на обфускацию Cython.

Кроме того, вредоносное ПО использует передовые методы сетевой коммуникации, включая кодирование IP-адресов с разделением и обменом (split-and-swap), что дополнительно усложняет усилия по обнаружению. Хотя кампания демонстрирует признакиongoщего развития, такие как незавершенные функции в отдельных компонентах, использование Cython указывает на приверженность группы совершенствованию методов уклонения от обнаружения. Нацеленность вредоносного ПО на криптокошельки — включая понижение версии Chrome на macOS для обхода современной безопасности браузера — демонстрирует намерение группы эффективнее эксплуатировать криптоактивы.

#ParsedReport #CompletenessHigh
22-05-2026

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

https://unit42.paloaltonetworks.com/tracking-iran-apt-screening-serpens/

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Iranian_dream_job
Dream_job

Threats:
Miniupdate
Minijunk
Spear-phishing_technique
Dll_sideloading_technique
Lolbin_technique
Junk_code_technique
Dll_hijacking_technique

Victims:
Technology, Aerospace, Defense manufacturing, Telecommunications, Middle east

Industry:
Healthcare, Aerospace, Telco

Geo:
Middle east, Iran, Israeli, Australia, Iranian, United arab emirates, India, Korea, Asia, Japan, Arab emirates, Israel

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.001, T1036.004, T1036.005, T1041, T1053.005, T1057, T1059.003, T1071.001, T1132.001, T1140, have more...

IOCs:
File: 17
Hash: 13
Url: 7
Domain: 23
Command: 1

Soft:
ONLYOFFICE, event tracing for Windows, Windows Task Scheduler, Task Scheduler, gatekeeper, Windows service, Microsoft Edge

Algorithms:
xor, zip, sha256

Functions:
Pre-Main

Languages:
java, javascript, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская хакерская группировка Screening Serpens (UNC1549) с 2022 года активизировала кибершпионскую деятельность, в частности нацеливаясь на США, Израиль, ОАЭ и страны Ближнего Востока на фоне региональных конфликтов. Они развернули два новых семейства ВПО — MiniUpdate и MiniJunk V2, используя передовые тактики, такие как перехват AppDomainManager и подгрузка DLL через приманки социальной инженерии, замаскированные под предложения о работе. Их операции характеризуются уникальными доменами C2 на платформе Azure, что повышает уровень уклонения от обнаружения и операционную устойчивость, а также способствует эксфильтрации данных.
-----

Исследования Unit 42 подчеркивают продолжающуюся деятельность по кибершпионажу иранской хакерской группировки Screening Serpens, также известной как UNC1549. Действуя как минимум с 2022 года, эта группировка проявляет все большую активность, особенно нацеливаясь на организации в США, Израиле, ОАЭ и других странах Ближнего Востока в период с февраля по апрель 2026 года. Примечательно, что этот всплеск атак совпал с началом регионального конфликта на Ближнем Востоке.

В течение этого недавнего периода Screening Serpens продемонстрировал повышенную операционную устойчивость и сложные тактики, развернув шесть новых вариантов троянской программы (Троянская программа) в рамках двух новых семейств ВПО, идентифицированных как MiniUpdate и MiniJunk V2. Векторы атак в основном используют высокоцелевые методы социальной инженерии, направленные на профессионалов технологического сектора, часто маскируясь под легитимные кампании по найму на работу. Распространение ВПО начинается с тщательно адаптированных приманок целевого фишинга, ведущих к методам подгрузки DLL для выполнения.

Значительная эволюция в их тактике — это использование перехвата AppDomainManager, техники, которая позволяет злоумышленникам манипулировать инициализацией приложений .NET. Делая это, они могут отключать механизмы безопасности приложений, позволяя RAT выполняться без обнаружения. Кроме того, их команды и управление (C2) коммуникации маршрутизируются через уникальные домены, преимущественно размещенные на Azure, что повышает их операционную безопасность и снижает риск перекрестного заражения.

В частности, RAT MiniUpdate использует сложную схему, при которой ВПО доставляется через замаскированные рекрутинговые материалы. Вредоносный файл, после извлечения, запускает последовательность подгрузки DLL, которая обманывает жертву, заставляя выполнить полезную нагрузку под видом легитимных приложений. ВПО обладает сложным диспетчером команд с возможностями произвольного выполнения кода и эксфильтрации данных, включая пакетную загрузку для более скрытой передачи данных.

Вариант MiniJunk V2 указывает на продолжающееся совершенствование тактик группы, включающее использование предыдущих методик при одновременном улучшении методов обхода обнаружения. Данный вариант обладает признаками подгрузки DLL (DLL sideloading) и связан с кампаниями против целей на Ближнем Востоке.

В заключение, Screening Serpens представляет собой стойкого и эволюционирующего злоумышленника, чьи недавние действия подчеркивают стратегический фокус на шпионаже против высокоценных секторов с использованием передовых методов, таких как перехват AppDomainManager. Последствия их тактик указывают на то, что организациям необходимо адаптировать свои позиции безопасности для противодействия этим сложным методам компрометации. Непрерывный мониторинг и усиление защиты, нацеленные на подгрузку DLL и связанные аномалии, имеют решающее значение для смягчения последствий таких угроз.

#ParsedReport #CompletenessMedium
24-05-2026

Paved With Intent: ROADtools and Nation-State Tactics in the Cloud

https://unit42.paloaltonetworks.com/roadtools-cloud-attacks/

Report completeness: Medium

Actors/Campaigns:
Apt29
Apt33
Uta0355
Void_blizzard

Threats:
Roadtools_tool
Roadrecon_tool
Spear-phishing_technique
Password_spray_technique

Victims:
Microsoft cloud environments

Geo:
Iranian

TTPs:
Tactics: 3
Technics: 3

IOCs:
File: 5

Soft:
Graph API, Microsoft Entra, Azure Active Directory, Azure AD Graph API, Azure AD, Office 365, curl

Functions:
Graph

Languages:
python

Links:
have more...
https://github.com/dirkjanm/ROADtools
https://github.com/dirkjanm/ROADtools/wiki/Getting-started-with-ROADrecon
https://github.com/dirkjanm/ROADtools/tree/msgraph

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ROADtools — это набор инструментов с открытым исходным кодом, использующий API Microsoft Entra ID, который пользуется популярностью у акторов государственного уровня для проведения атак в облачных средах. Он позволяет выполнять перечисление устройств и управление токенами аутентификации, применяя тактики скрытности за счет имитации трафика Microsoft API и настройки параметров запросов. В частности, такие модули, как ROADrecon, обеспечивают сбор информации для разведки, а roadtx позволяет управлять токенами и обходить многофакторную аутентификацию, что дает таким акторам, как Cloaked Ursa и Curious Serpens, возможность использовать эти методы для закрепления и повышения привилегий.
-----

ROADtools — это набор инструментов с открытым исходным кодом, использующий API Microsoft Entra ID и предназначенный как для наступательной безопасности (тестирования на проникновение), так и для оборонительных исследований. Злоумышленники, особенно акторы, представляющие государства, приняли ROADtools для проведения атак против облачных сред. Набор инструментов позволяет пользователям перечислять устройства в Entra ID и управлять связанными токенами аутентификации, которые имеют решающее значение для выполнения атак, включающих сбор организационных данных в злонамеренных целях.

Работа набора инструментов заключается в имитации обычного трафика Microsoft API для обхода обнаружения системами безопасности, что обеспечивает преимущество его пользователям. Его способность настраивать атрибуты запросов, включая строки user-agent, повышает возможности скрытности. Значительно, что инструмент напрямую связан с несколькими группами государств-наций, использующими сложные векторы атак, применяя такие техники, как закрепление, обход защиты и обнаружение.

ROADtools состоит из модулей, включая ROADrecon и roadtx, обеспечивающих различные функциональные возможности для атак. Модуль ROADrecon специализируется на внутренней разведке, собирая информацию об идентификации из Entra ID, сохраняя результаты для удобной визуализации и дальнейшей разведки. Этот модуль по-прежнему может эффективно функционировать несмотря на устаревание Azure AD Graph API, благодаря адаптациям, разработанным сообществом, которые теперь используют Microsoft Graph API. Модуль roadtx фокусируется на управлении токенами, предоставляя такие функции, как регистрация устройства и повторное использование токенов, что по сути позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и оставаться в средах незамеченными.

Ландшафт угроз демонстрирует постоянное использование, при котором такие акторы, как Cloaked Ursa и Curious Serpens, эксплуатируют ROADtools для разведки и повышения привилегий. Применяемые техники включают регистрацию поддельных устройств для получения постоянного доступа к средам и использование токенов OAuth 2.0 для маскировки вредоносных действий в рамках легитимных вызовов API, что затрудняет обнаружение.

Для защитников устранение риска, создаваемого ROADtools, требует многогранного подхода. Ключевые стратегии включают обеспечение надежной защиты токенов для минимизации воздействия украденных токенов, ограничение потоков OAuth доверенными условиями и проведение регулярных аудитов предоставленных разрешений приложений OAuth. Кроме того, организациям следует коррелировать журналы из различных источников для облегчения обнаружения аномального использования API, связанного с активностью ROADtools. Это может иметь решающее значение для выявления необычных шаблонов, указывающих на попытки потенциальной эксплуатации.

Проактивный поиск угроз имеет решающее значение, при этом внимание уделяется конкретным действиям, таким как регистрация устройств и аномальное использование токенов в среде Entra ID. Мониторинг большого объема запросов на перечисление ресурсов через Microsoft Graph API может указывать на злонамеренные шаблоны разведки со стороны атакующего, что дополнительно подчеркивает необходимость надежных механизмов логирования и оповещения.

#ParsedReport #CompletenessMedium
23-05-2026

GENTLEMEN RANSOMWARE LEAKS

https://theravenfile.com/2026/05/23/gentlemen-ransomware-leaks/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Zeta88

Threats:
Gentlemen_ransomware
Openconnect_tool
Edr-killer
Petitpotam_vuln
Netexec_tool
Wevtutil_tool
Megacmd_tool
Rclone_tool
Lockbit

Victims:
Banking, Public administration

Industry:
Financial

Geo:
Egyptian, Singapore, Germany, Sri lanka, Mexico, Mongolia, Russia, Russian, Austria, Netherlands, Egypt

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3
IP: 6

Soft:
ChatGPT, OpenAI, ux 7 (V, PsExec

Algorithms:
des, sha512, md5

#ParsedReport #ExtractedSchema

Classified images:
table: 3, code: 1, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогательского ПО Gentlemen Ransomware, активная с сентября 2025 года, в первую очередь нацелена на уязвимые устройства FortiGate, применяя брутфорс к панелям администраторов для извлечения конфигурационных данных и учетных данных доменных администраторов через интеграцию LDAP. Они используют туннели SSL-VPN для обеспечения постоянного доступа к сети и сталкиваются с трудностями при развертывании вымогательского ПО из-за конфигураций маршрутизации VPN и систем обнаружения конечных точек, таких как ESET, которые влияют на их возможности шифрования. Их инфраструктура включает собственное NAS-хранилище для временного хранения данных, при этом такие инструменты, как MEGAcmd, помогают в эксфильтрации данных, а их оперативные методы свидетельствуют о зависимости от распространенных инструментов, а не от проприетарных.
-----

Группа вымогателей Gentlemen Ransomware, появившаяся в сентябре 2025 года, быстро утвердилась как значимый злоумышленник в сфере киберкриминала, нанеся ущерб более чем 420 жертвам к маю 2026 года. Недавно утечка в мае 2026 года раскрыла важные артефакты, позволяющие получить представление об их операциях, методах и целях.

В основе их деятельности лежит использование уязвимых устройств FortiGate путем брутфорса веб-панелей администратора с использованием часто применяемых учетных данных. Получив доступ, они извлекают конфигурационные данные и используют интеграцию LDAP для получения учетных данных администратора домена. Группа также часто использует туннели SSL-VPN для поддержания постоянного доступа в сетях жертв. Заметной целью их операций является Elundini, где среди членов группы велись обширные обсуждения тактик, таких как разведка, перемещение внутри компании и стратегии развертывания программ-вымогателей, что подчеркивает трудности, с которыми они столкнулись в ходе этих процессов.

Операционные сложности вредоносного ПО для шифрования данных проявляются в их попытках зашифровать информацию. Возникло множество проблем, включая ошибки конфигурации маршрутов VPN и проблемы с системами обнаружения и реагирования на конечных точках (EDR), такими как ESET, которые часто препятствовали их развертыванию вредоносного ПО. Они сталкивались с конкретными трудностями при неполном шифровании файлов, особенно для крупных систем сетевых хранилищ (NAS), а также с проблемами, приводившими к сбоям хостов во время массового шифрования. Логи отражают их постоянную борьбу с обнаружением EDR и сканированием сети в реальном времени, особенно при доступе к защищенным внутренним системам.

Утеченные артефакты также демонстрируют инфраструктуру, используемую группой, в частности их кастомную систему хранения Synology NAS для подготовки и эксфильтрации данных. Инструменты MEGAcmd и rclone были подтверждены как работающие на этой системе NAS, что облегчало массовую загрузку эксфильтрованных данных. Логи показывают, что операторы группы использовали различные IP-адреса, часто связанные с Россией, что раскрывает их использование нескольких соединений и потенциально общих ресурсов.

В ходе расследования указания на их оперативные команды во время фаз вымогательства раскрывают сфокусированную методологию, подчеркивая отсутствие уникальных проприетарных инструментов. Вместо этого группа использует широко доступные ресурсы и адаптирует их для оптимальной эффективности в нацеливании и атаке на своих жертв.

Анализ артефактов вымогателя Gentlemen Ransomware рисует детальную картину их методов работы, стилей коммуникации и технических ограничений. Эта информация помогает понять их операционную динамику, предоставляя ценные разведывательные данные, которые могут быть использованы для формирования защитных стратегий против их тактик.

#ParsedReport #CompletenessMedium
19-05-2026

Living off the Land with VS Code: Inside a Sophisticated Phishing Campaign

https://joesecurity.org/blog/8858614039441223943

Report completeness: Medium

Threats:
Spear-phishing_technique
Lolbin_technique
Device_code_phishing_technique
Clickonce_tool

Victims:
Government, Public safety, Law enforcement

Geo:
Pakistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.008, T1059.005, T1078.004, T1102.003, T1105, T1127.002, T1204.002, T1219, T1547.001, T1566.001, have more...

IOCs:
File: 10
Hash: 4
Url: 2

Soft:
Microsoft Word, Discord, Visual Studio Code, Windows service, Internet Explorer, Chrome, Firefox, Microsoft Edge

Algorithms:
sha256

Functions:
AutoOpen, IsCodeExeRunning

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 4, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Многоэтапная фишинговая кампания, направленная против Управления безопасных городов Пенджаба, использовала целевой фишинг с письмами, замаскированными под внутренние коммуникации, с интеграцией знакомой терминологии для повышения доверия. Ключевыми компонентами были вредоносный документ Word с макросом, который выполнял бинарный файл с именем code.exe, захватывая коды авторизации через веб-хуки Discord и манипулируя удаленными туннелями Visual Studio Code для обеспечения постоянного доступа. Кроме того, кампания использовала манифест развертывания ClickOnce для выполнения .NET-загрузки, усугубляя компрометацию путем извлечения исполняемого файла, замаскированного под программное обеспечение Adobe.
-----

Был проанализирован сложный многоэтапный фишинговый кампания, нацеленная на Управление безопасных городов Пенджаба (PSCA) и PPIC3 в Пакистане, в ходе которого злоумышленники использовали интеллектуальные тактики. Кампания включала отправку писем целевого фишинга, маскирующихся под легитимные внутренние коммуникации, касающиеся проекта Safe Jail, с интеграцией знакомой терминологии о проектных работах и схемах систем. Такой подход свидетельствовал о тщательном исследовании внутренней структуры организации, что позволило злоумышленникам использовать конкретные имена и должности получателей для повышения достоверности обмана.

Ключевыми техническими компонентами фишинговой атаки стали документ Microsoft Word, содержащий макросы, предназначенные для загрузки и выполнения бинарного файла с именем code.exe. Макрос был разработан для захвата и эксфильтрации кодов авторизации устройств через веб-хуки Discord. После открытия документа вредоносный макрос выполнялся автоматически, что приводило к компрометации безопасности устройства и последующей подготовке JSON-пакета для отправки захваченной информации в Discord, обеспечивая связь для обновления статуса и кражи данных.

В частности, атака использовала командную строку Visual Studio Code (VS Code), творчески переиспользуя функцию VS Code Remote Tunnels. Эта легитимная функция обычно позволяет пользователям подключаться к удаленной машине; однако злоумышленники использовали её для получения несанкционированного доступа и закрепления на скомпрометированном устройстве. После того как жертва завершила аутентификацию устройства Microsoft, этот макрос информировал злоумышленников через Discord, что позволяло выполнять дальнейшие вредоносные действия с помощью службы туннеля VS Code, обеспечивающей постоянное соединение.

Эксплуатация VS Code представляла значительные риски, поскольку она предлагала полнофункциональную среду разработки, которой злоумышленник мог манипулировать. Эта манипуляция включала доступ к встроенному терминалу для действий через бэкдор, создание ВПО на машине жертвы и выполнение различных команд, которые могли способствовать достижению целей злоумышленника. Вместо того чтобы полагаться на традиционные методы бэкдора, злоумышленники использовали мошеннически полученные учетные данные, чтобы включить систему жертвы в свою вредоносную инфраструктуру.

Вторичным компонентом атаки стал манифест развертывания ClickOnce с названием ANPR Report.pdf. Этот файл обеспечивал установку и запуск .NET-_payload_ с использованием технологии Microsoft ClickOnce, предназначенной для загрузки исполняемого файла, предположительно называемого Adobe.exe, тем самым расширяя вектор заражения. Необычное именование и версионирование манифеста указывали на возможную тактику имперсонации, а анализ выявил важность среды: современные Microsoft Edge и Internet Explorer являлись подходящими целями, учитывая их поддержку ClickOnce и различающиеся механизмы обработки.

#ParsedReport #CompletenessMedium
24-05-2026

TrapDoor Crypto Stealer Supply Chain Attack Hits 34 Packages and Hundreds of Versions Across npm, PyPI, and Crates.io

https://socket.dev/blog/trapdoor-crypto-stealer-npm-pypi-crates

Report completeness: Medium

Actors/Campaigns:
Trapdoor

Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Cryptocurrency developers, Decentralized finance developers, Artificial intelligence developers, Security developers, Sui developers, Move developers, Developer tooling projects

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1036.005, T1053.003, T1059.006, T1059.007, T1083, T1105, T1119, T1195.001, have more...

IOCs:
File: 1
Url: 1
Domain: 1

Soft:
CLAUDE, systemd

Wallets:
aptos_wallet

Crypto:
solana

Algorithms:
xor, ecdh

Functions:
GitHub

Languages:
rust, javascript, python, solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4