#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ROADtools — это набор инструментов с открытым исходным кодом, использующий API Microsoft Entra ID, который пользуется популярностью у акторов государственного уровня для проведения атак в облачных средах. Он позволяет выполнять перечисление устройств и управление токенами аутентификации, применяя тактики скрытности за счет имитации трафика Microsoft API и настройки параметров запросов. В частности, такие модули, как ROADrecon, обеспечивают сбор информации для разведки, а roadtx позволяет управлять токенами и обходить многофакторную аутентификацию, что дает таким акторам, как Cloaked Ursa и Curious Serpens, возможность использовать эти методы для закрепления и повышения привилегий.
-----

ROADtools — это набор инструментов с открытым исходным кодом, использующий API Microsoft Entra ID и предназначенный как для наступательной безопасности (тестирования на проникновение), так и для оборонительных исследований. Злоумышленники, особенно акторы, представляющие государства, приняли ROADtools для проведения атак против облачных сред. Набор инструментов позволяет пользователям перечислять устройства в Entra ID и управлять связанными токенами аутентификации, которые имеют решающее значение для выполнения атак, включающих сбор организационных данных в злонамеренных целях.

Работа набора инструментов заключается в имитации обычного трафика Microsoft API для обхода обнаружения системами безопасности, что обеспечивает преимущество его пользователям. Его способность настраивать атрибуты запросов, включая строки user-agent, повышает возможности скрытности. Значительно, что инструмент напрямую связан с несколькими группами государств-наций, использующими сложные векторы атак, применяя такие техники, как закрепление, обход защиты и обнаружение.

ROADtools состоит из модулей, включая ROADrecon и roadtx, обеспечивающих различные функциональные возможности для атак. Модуль ROADrecon специализируется на внутренней разведке, собирая информацию об идентификации из Entra ID, сохраняя результаты для удобной визуализации и дальнейшей разведки. Этот модуль по-прежнему может эффективно функционировать несмотря на устаревание Azure AD Graph API, благодаря адаптациям, разработанным сообществом, которые теперь используют Microsoft Graph API. Модуль roadtx фокусируется на управлении токенами, предоставляя такие функции, как регистрация устройства и повторное использование токенов, что по сути позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) и оставаться в средах незамеченными.

Ландшафт угроз демонстрирует постоянное использование, при котором такие акторы, как Cloaked Ursa и Curious Serpens, эксплуатируют ROADtools для разведки и повышения привилегий. Применяемые техники включают регистрацию поддельных устройств для получения постоянного доступа к средам и использование токенов OAuth 2.0 для маскировки вредоносных действий в рамках легитимных вызовов API, что затрудняет обнаружение.

Для защитников устранение риска, создаваемого ROADtools, требует многогранного подхода. Ключевые стратегии включают обеспечение надежной защиты токенов для минимизации воздействия украденных токенов, ограничение потоков OAuth доверенными условиями и проведение регулярных аудитов предоставленных разрешений приложений OAuth. Кроме того, организациям следует коррелировать журналы из различных источников для облегчения обнаружения аномального использования API, связанного с активностью ROADtools. Это может иметь решающее значение для выявления необычных шаблонов, указывающих на попытки потенциальной эксплуатации.

Проактивный поиск угроз имеет решающее значение, при этом внимание уделяется конкретным действиям, таким как регистрация устройств и аномальное использование токенов в среде Entra ID. Мониторинг большого объема запросов на перечисление ресурсов через Microsoft Graph API может указывать на злонамеренные шаблоны разведки со стороны атакующего, что дополнительно подчеркивает необходимость надежных механизмов логирования и оповещения.

#ParsedReport #CompletenessMedium
23-05-2026

GENTLEMEN RANSOMWARE LEAKS

https://theravenfile.com/2026/05/23/gentlemen-ransomware-leaks/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Zeta88

Threats:
Gentlemen_ransomware
Openconnect_tool
Edr-killer
Petitpotam_vuln
Netexec_tool
Wevtutil_tool
Megacmd_tool
Rclone_tool
Lockbit

Victims:
Banking, Public administration

Industry:
Financial

Geo:
Egyptian, Singapore, Germany, Sri lanka, Mexico, Mongolia, Russia, Russian, Austria, Netherlands, Egypt

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3
IP: 6

Soft:
ChatGPT, OpenAI, ux 7 (V, PsExec

Algorithms:
des, sha512, md5

#ParsedReport #ExtractedSchema

Classified images:
table: 3, code: 1, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогательского ПО Gentlemen Ransomware, активная с сентября 2025 года, в первую очередь нацелена на уязвимые устройства FortiGate, применяя брутфорс к панелям администраторов для извлечения конфигурационных данных и учетных данных доменных администраторов через интеграцию LDAP. Они используют туннели SSL-VPN для обеспечения постоянного доступа к сети и сталкиваются с трудностями при развертывании вымогательского ПО из-за конфигураций маршрутизации VPN и систем обнаружения конечных точек, таких как ESET, которые влияют на их возможности шифрования. Их инфраструктура включает собственное NAS-хранилище для временного хранения данных, при этом такие инструменты, как MEGAcmd, помогают в эксфильтрации данных, а их оперативные методы свидетельствуют о зависимости от распространенных инструментов, а не от проприетарных.
-----

Группа вымогателей Gentlemen Ransomware, появившаяся в сентябре 2025 года, быстро утвердилась как значимый злоумышленник в сфере киберкриминала, нанеся ущерб более чем 420 жертвам к маю 2026 года. Недавно утечка в мае 2026 года раскрыла важные артефакты, позволяющие получить представление об их операциях, методах и целях.

В основе их деятельности лежит использование уязвимых устройств FortiGate путем брутфорса веб-панелей администратора с использованием часто применяемых учетных данных. Получив доступ, они извлекают конфигурационные данные и используют интеграцию LDAP для получения учетных данных администратора домена. Группа также часто использует туннели SSL-VPN для поддержания постоянного доступа в сетях жертв. Заметной целью их операций является Elundini, где среди членов группы велись обширные обсуждения тактик, таких как разведка, перемещение внутри компании и стратегии развертывания программ-вымогателей, что подчеркивает трудности, с которыми они столкнулись в ходе этих процессов.

Операционные сложности вредоносного ПО для шифрования данных проявляются в их попытках зашифровать информацию. Возникло множество проблем, включая ошибки конфигурации маршрутов VPN и проблемы с системами обнаружения и реагирования на конечных точках (EDR), такими как ESET, которые часто препятствовали их развертыванию вредоносного ПО. Они сталкивались с конкретными трудностями при неполном шифровании файлов, особенно для крупных систем сетевых хранилищ (NAS), а также с проблемами, приводившими к сбоям хостов во время массового шифрования. Логи отражают их постоянную борьбу с обнаружением EDR и сканированием сети в реальном времени, особенно при доступе к защищенным внутренним системам.

Утеченные артефакты также демонстрируют инфраструктуру, используемую группой, в частности их кастомную систему хранения Synology NAS для подготовки и эксфильтрации данных. Инструменты MEGAcmd и rclone были подтверждены как работающие на этой системе NAS, что облегчало массовую загрузку эксфильтрованных данных. Логи показывают, что операторы группы использовали различные IP-адреса, часто связанные с Россией, что раскрывает их использование нескольких соединений и потенциально общих ресурсов.

В ходе расследования указания на их оперативные команды во время фаз вымогательства раскрывают сфокусированную методологию, подчеркивая отсутствие уникальных проприетарных инструментов. Вместо этого группа использует широко доступные ресурсы и адаптирует их для оптимальной эффективности в нацеливании и атаке на своих жертв.

Анализ артефактов вымогателя Gentlemen Ransomware рисует детальную картину их методов работы, стилей коммуникации и технических ограничений. Эта информация помогает понять их операционную динамику, предоставляя ценные разведывательные данные, которые могут быть использованы для формирования защитных стратегий против их тактик.

#ParsedReport #CompletenessMedium
19-05-2026

Living off the Land with VS Code: Inside a Sophisticated Phishing Campaign

https://joesecurity.org/blog/8858614039441223943

Report completeness: Medium

Threats:
Spear-phishing_technique
Lolbin_technique
Device_code_phishing_technique
Clickonce_tool

Victims:
Government, Public safety, Law enforcement

Geo:
Pakistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.008, T1059.005, T1078.004, T1102.003, T1105, T1127.002, T1204.002, T1219, T1547.001, T1566.001, have more...

IOCs:
File: 10
Hash: 4
Url: 2

Soft:
Microsoft Word, Discord, Visual Studio Code, Windows service, Internet Explorer, Chrome, Firefox, Microsoft Edge

Algorithms:
sha256

Functions:
AutoOpen, IsCodeExeRunning

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 4, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Многоэтапная фишинговая кампания, направленная против Управления безопасных городов Пенджаба, использовала целевой фишинг с письмами, замаскированными под внутренние коммуникации, с интеграцией знакомой терминологии для повышения доверия. Ключевыми компонентами были вредоносный документ Word с макросом, который выполнял бинарный файл с именем code.exe, захватывая коды авторизации через веб-хуки Discord и манипулируя удаленными туннелями Visual Studio Code для обеспечения постоянного доступа. Кроме того, кампания использовала манифест развертывания ClickOnce для выполнения .NET-загрузки, усугубляя компрометацию путем извлечения исполняемого файла, замаскированного под программное обеспечение Adobe.
-----

Был проанализирован сложный многоэтапный фишинговый кампания, нацеленная на Управление безопасных городов Пенджаба (PSCA) и PPIC3 в Пакистане, в ходе которого злоумышленники использовали интеллектуальные тактики. Кампания включала отправку писем целевого фишинга, маскирующихся под легитимные внутренние коммуникации, касающиеся проекта Safe Jail, с интеграцией знакомой терминологии о проектных работах и схемах систем. Такой подход свидетельствовал о тщательном исследовании внутренней структуры организации, что позволило злоумышленникам использовать конкретные имена и должности получателей для повышения достоверности обмана.

Ключевыми техническими компонентами фишинговой атаки стали документ Microsoft Word, содержащий макросы, предназначенные для загрузки и выполнения бинарного файла с именем code.exe. Макрос был разработан для захвата и эксфильтрации кодов авторизации устройств через веб-хуки Discord. После открытия документа вредоносный макрос выполнялся автоматически, что приводило к компрометации безопасности устройства и последующей подготовке JSON-пакета для отправки захваченной информации в Discord, обеспечивая связь для обновления статуса и кражи данных.

В частности, атака использовала командную строку Visual Studio Code (VS Code), творчески переиспользуя функцию VS Code Remote Tunnels. Эта легитимная функция обычно позволяет пользователям подключаться к удаленной машине; однако злоумышленники использовали её для получения несанкционированного доступа и закрепления на скомпрометированном устройстве. После того как жертва завершила аутентификацию устройства Microsoft, этот макрос информировал злоумышленников через Discord, что позволяло выполнять дальнейшие вредоносные действия с помощью службы туннеля VS Code, обеспечивающей постоянное соединение.

Эксплуатация VS Code представляла значительные риски, поскольку она предлагала полнофункциональную среду разработки, которой злоумышленник мог манипулировать. Эта манипуляция включала доступ к встроенному терминалу для действий через бэкдор, создание ВПО на машине жертвы и выполнение различных команд, которые могли способствовать достижению целей злоумышленника. Вместо того чтобы полагаться на традиционные методы бэкдора, злоумышленники использовали мошеннически полученные учетные данные, чтобы включить систему жертвы в свою вредоносную инфраструктуру.

Вторичным компонентом атаки стал манифест развертывания ClickOnce с названием ANPR Report.pdf. Этот файл обеспечивал установку и запуск .NET-_payload_ с использованием технологии Microsoft ClickOnce, предназначенной для загрузки исполняемого файла, предположительно называемого Adobe.exe, тем самым расширяя вектор заражения. Необычное именование и версионирование манифеста указывали на возможную тактику имперсонации, а анализ выявил важность среды: современные Microsoft Edge и Internet Explorer являлись подходящими целями, учитывая их поддержку ClickOnce и различающиеся механизмы обработки.

#ParsedReport #CompletenessMedium
24-05-2026

TrapDoor Crypto Stealer Supply Chain Attack Hits 34 Packages and Hundreds of Versions Across npm, PyPI, and Crates.io

https://socket.dev/blog/trapdoor-crypto-stealer-npm-pypi-crates

Report completeness: Medium

Actors/Campaigns:
Trapdoor

Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Cryptocurrency developers, Decentralized finance developers, Artificial intelligence developers, Security developers, Sui developers, Move developers, Developer tooling projects

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1036.005, T1053.003, T1059.006, T1059.007, T1083, T1105, T1119, T1195.001, have more...

IOCs:
File: 1
Url: 1
Domain: 1

Soft:
CLAUDE, systemd

Wallets:
aptos_wallet

Crypto:
solana

Algorithms:
xor, ecdh

Functions:
GitHub

Languages:
rust, javascript, python, solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TrapDoor — крипто-стиллера нацелена на разработчиков посредством атаки на цепочку поставок, развертывая более 36 вредоносных пакетов, работающих на npm, PyPI и Crates.io, с целью кражи конфиденциальной информации, такой как криптокошельки и учетные данные. Используя общий полезный груз trap-core.js, вредоносное ПО выполняется через postinstall-хуки или удаленный JavaScript, а также манипулирует средами разработки на базе ИИ с помощью скрытых команд. Атака демонстрирует продвинутые техники, включая стратегии закрепления и интеграцию в рабочие процессы разработчиков, что усложняет усилия по обнаружению.
-----

Кампания крипто-стиллера TrapDoor недавно нацелилась на разработчиков посредством скоординированной атаки на Цепочку поставок через популярные реестры пакетов, включая npm, PyPI и Crates.io. Эта операция включала более 36 вредоносных пакетов и как минимум 384 версии. Первый идентифицированный пакет, eth-security-auditor@0.1.0, был опубликован 22 мая 2026 года, демонстрируя паттерн, при котором множество пакетов создавалось небольшой группой связанных аккаунтов, предлагая инструменты, которые вводят разработчиков в заблуждение, выдавая себя за стандартные средства разработки.

Подход TrapDoor направлен на эксплуатацию разработчиков в секторах криптовалют, DeFi и ИИ путем кражи конфиденциальной информации, такой как секреты разработчиков, криптокошельки, SSH-ключи и учетные данные облачных сервисов. Вредоносные пакеты npm развертывают общий полезный модуль, известный как trap-core.js, который отлично справляется со сканированием и проверкой учетных данных, облегчая перемещение внутри компании с помощью украденных SSH-ключей. Сложность полезного модуля npm примечательна, поскольку он использует различные техники закрепления для обеспечения постоянного доступа к скомпрометированным системам.

Кампания эффективно использует методы, специфичные для экосистем: пакеты npm применяют хуки postinstall для выполнения полезной нагрузки при установке, а пакеты PyPI автоматически выполняют удалённый JavaScript при импорте. Для Crates.io вредоносные пакеты включают скрипты build.rs, предназначенные для автоматического поиска и эксфильтрации хранилищ ключей кошельков в процессе сборки Rust, шифруя собранные данные с помощью жёстко закодированных XOR-ключей.

Значимым и тревожным аспектом TrapDoor являются его попытки манипулировать средами разработки с использованием ИИ. Злоумышленники внедряют файлы, такие как .cursorrules и CLAUDE.md, со скрытыми командами, предназначенными для обмана ИИ-ассистентов для написания кода с целью выполнения вредоносных операций. Этот инновационный тактический прием подчеркивает усилия злоумышленников по интеграции своего ВПО в легитимные рабочие процессы разработки, что затрудняет его обнаружение.

Атакующие также использовали GitHub для размещения своей инфраструктуры и открывали pull requests в различных проектах, связанных с искусственным интеллектом и инструментами разработки, тем самым пытаясь интегрировать свои злонамеренные намерения в сообщество разработчиков. Они выстроили свой подход таким образом, чтобы он не только опирался на традиционный тайпсквоттинг, но и был тесно согласован с современными практиками разработки.

Обнаружение этой угрозы было выполнено с помощью поведенческого анализа в нескольких реестрах, что подтвердило, что эти вредоносные пакеты являются частью более широких скоординированных усилий, продемонстрировавших способность к быстрому обнаружению, при этом некоторые пакеты были выявлены менее чем за минуту после публикации. В результате все связанные пакеты были помечены как вредоносные, и продолжается постоянный мониторинг дальнейших связанных действий. TrapDoor демонстрирует, как современные атаки на Цепочка поставок эволюционируют, конкретно нацеливаясь на весь рабочий процесс разработчика и эксплуатируя пересечение с инструментами программирования, поддерживаемыми ИИ.

#ParsedReport #CompletenessHigh
25-05-2026

APT group UNG0002 launches precision phishing attack on Chinese universities

https://www.ctfiot.com/308741.html

Report completeness: High

Actors/Campaigns:
Ung0002
Dragon_whistle
Cobalt_whisper

Threats:
Spear-phishing_technique
Dll_sideloading_technique
Cobalt_strike_tool
Lolbin_technique
Dllsearchorder_hijacking_technique
Procmon_tool
Amsi_bypass_technique
Harpoon_technique

Victims:
Higher education institutions, Academic research

Industry:
Education

Geo:
China, Korean, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1036.007, T1057, T1059.005, T1140, T1204.002, T1497.003, T1562.001, T1566.001, have more...

IOCs:
File: 12
IP: 1
Domain: 1

Soft:
macOS, Windows Security, Bandizip, Windows Defender, HiChina, Feishu, zip → DLL, WeChat

Algorithms:
zip

Functions:
CreateArk

Win API:
GetTickCount, CheckRemoteDebuggerPresent, IsDebuggerPresent, CreateToolhelp32Snapshot, VirtualAlloc

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка UNG0002 провела сложную кампанию целевого фишинга под названием Operation Dragon Whistle, нацеленную на китайские университеты, используя тест «Национальные стандарты физической подготовки студентов 2026 года» в качестве приманки. Атака включала вредоносный ZIP-архив, содержащий LNK-файл, предназначенный для обхода обнаружения с помощью вложенной структуры каталогов, которая использовала метаданные macOS. Выполнение включало передовые методы, такие как использование легитимных процессов для маскировки, проверки среды для избежания обнаружения и выполнение Cobalt Strike Beacon в памяти, что указывает на глубокое понимание целевой среды.
-----

Хакерская группировка UNG0002 провела сложную кампанию целевого фишинга, нацеленную на китайские университеты, в частности используя контекст теста Национальных стандартов физической подготовки студентов 2026 года в качестве приманки. Эта операция, получившая кодовое название Operation Dragon Whistle, демонстрирует передовые техники социальной инженерии, где злоумышленники создавали письма, выглядевшие достоверно, благодаря использованию узнаваемого отправителя и подделке высококачественного документа-приманки. Атака включала ZIP-архив, содержащий вредоносный LNK-файл, замаскированный под PDF-документ, который при выполнении запускал более глубокие и скрытые слои ВПО, предназначенные для уклонения от обнаружения.

В техническом исполнении первоначальный LNK-файл использовал структуры метаданных macOS, заставляя системы безопасности воспринимать его вложенную структуру каталогов как безвредную. Эта четырехуровневая структура каталогов маскировала реальные вредоносные компоненты, которые включали VBScript и вредоносные DLL-файлы. При открытии LNK-файла вместо прямого выполнения скрипта он вызывал легитимный процесс Windows explorer.exe для дальнейшего сокрытия. Эта техника «living off the land» позволила избежать срабатывания систем безопасности, которые отслеживают скрипты, выполняемые напрямую.

Критическим этапом процесса выполнения стал VBScript, который открывал поддельный PDF-файл для отвлечения жертвы, одновременно запуская легитимное приложение Bandizip для загрузки вредоносной DLL. Эта DLL проводила обширные проверки окружения, чтобы убедиться в возможности выполнения без обнаружения, завершая процессы инструментов безопасности и отладки. Она также использовала продвинутые методы для обхода мер защиты, таких как AMSI и ETW, и выполняла финальный полезный груз — Cobalt Strike Beacon — полностью в памяти, что усложняло криминалистический анализ.

Использованная в этой операции инфраструктура указывает на локализованный подход, поскольку сервер управления размещался на AliCloud, а регистрация домена свидетельствует о глубоком понимании китайского сегмента интернета. Такой стратегический выбор инфраструктуры в сочетании с техниками, аналогичными предыдущим операциям UNG0002, подтверждает атрибуцию этой атаки к той же группе.

Рекомендации по кибербезопасности для целевых учреждений подчеркивают необходимость проверки электронной почты и вложений от доверенных источников. Внедрение надежных решений EDR, способных обнаруживать угрозы на основе памяти, и строгий контроль выполнения скриптов имеют решающее значение. Обучение персонала эффективному распознаванию и реагированию на попытки фишинг может повысить общую защиту от таких целевых атак, как продемонстрировала операция Dragon Whistle.

#ParsedReport #CompletenessMedium
22-05-2026

Hunting Lazarus Part IX: The Google Mirror

https://redasgard.com/blog/hunting-lazarus-part9-google-mirror

Report completeness: Medium

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Dead_drop_technique
Beavertail
Ottercookie

Victims:
Developers, Cryptocurrency users, Browser extension users

Industry:
Financial, Petroleum, Telco

Geo:
Korea

TTPs:
Tactics: 4
Technics: 0

IOCs:
BrowserExtension: 5
File: 2

Soft:
chrome, Bitwarden, Node.js

Wallets:
tronlink, mainnet, tron

Crypto:
aptos, solana

Algorithms:
base64

Functions:
HTTPS, RPC, fetch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пять троянизированных расширений браузера используют API Chrome `chrome.identity.getProfileUserInfo()` для извлечения данных профиля Google и передачи их на динамически разрешаемый сервер управления через блокчейн Aptos. Этот инновационный метод меняет коммуникацию вредоносного ПО, позволяя операторам изменять адреса серверов без модификации расширений. Используя пользовательские идентификаторы для кошельков, расширения маскируют свое вредоносное поведение, делая традиционные методы обнаружения неэффективными, одновременно нацеливаясь как на учетные данные, так и на криптографические инфраструктуры.
-----

Анализ выявляет значительную киберугрозу, исходящую от пяти троянских расширений для браузеров, включая популярные инструменты для управления кошельками и паролями. Эти расширения используют API Chrome `chrome.identity.getProfileUserInfo()` для извлечения идентификаторов профиля Google и адресов эл. почты, которые затем передаются на сервер управления (C2) через полезную нагрузку, извлеченную из блокчейна Aptos. Данный метод представляет собой поворотный момент в коммуникации вредоносного ПО: от традиционных жестко закодированных адресов C2 к динамическому механизму мертвой точки через блокчейн, что позволяет эффективно обманывать средства защиты, делая серверы C2 взаимозаменяемыми и сохраняя при этом операционную непрерывность.

При установке эти расширения выполняют ряд шагов для идентификации и ретрансляции пользовательских данных. Сначала они динамически разрешают адрес своего C2 из блокчейна, что позволяет операторам изменять адрес сервера без сбоев, не внося изменений в сами расширения. Такая архитектура подчеркивает операционную устойчивость, поскольку прошлые транзакции остаются неизменными в блокчейне, предоставляя исторические точки данных, которые могут помочь в идентификации предыдущих адресов C2, несмотря на текущие операции.

Каждое расширение работает в рамках общего фреймворка с единой последовательностью загрузки, которая включает идентификацию субъекта через упомянутый вызов API. Идентичности, захваченные в ходе первой сессии, используются в последующих коммуникациях, касающихся операций с кошельками, создавая взаимосвязь между идентичностью пользователя и активами, которыми он управляет. Это взаимодействие происходит без каких-либо видимых пользователю индикаторов, что делает традиционные методы обнаружения неэффективными.

Выбранные расширения расширяют охват этой операции, нацеливаясь как на учетные данные обычных пользователей, так и на специализированную инфраструктуру криптовалют в рамках нескольких блокчейн-сетей. Встроенное доверие, которое пользователи оказывают таким известным расширениям, способствует успеху трояна. В результате захваченная информация о профиле пользователя представляет собой более широкое стратегическое преимущество, чем простое кража кошелька — она предоставляет сведения об общей цифровой идентичности и поведении жертвы.

С точки зрения защиты выявление аномалий, связанных с этими расширениями, имеет решающее значение. В частности, наличие структуры `commands.__meta` в манифесте расширения должно вызывать немедленную проверку, поскольку она не входит в стандартный API Chrome и четко сигнализирует о потенциально вредоносной активности. Кроме того, мониторинг любых расширений, которые вызывают API получения профиля или выполняют неожиданные исходящие запросы к определенным блокчейн-сервисам, может помочь обнаружить и смягчить угрозы на ранней стадии. Вся операция служит напоминанием о сложных методах, используемых злоумышленниками для эксплуатации доверенных сред, и эффективно подчеркивает необходимость усиления протоколов безопасности в управлении расширениями браузера.

#CTI #CyberThreatTech #report2025

"Сага о цифровом Мидгарде»: годовой отчёт CyberThreatTech о киберугрозах 2025"

Мы в CyberThreatTech верим не в «сырые данные», а в знания. Поэтому свой годовой отчёт о ландшафте угроз мы построили не как очередную таблицу с цифрами, а как эпическое повествование — с Хугином (Мыслью) и Мунином (Памятью), двумя воронами Одина, которые облетают мир и приносят мудрость.

За этой метафорой стоит наша технологическая концепция — Озеро знаний CTI (CTI Knowledge Lake). Мы объединили данные из 280+ открытых источников (отчёты, новости, песочницы, исследования независимых экспертов), очистили от LLM-фейков, сняли дубли и связали разрозненную информацию в единую картину.

Что мы увидели в 2025 году?

1. Сдвиг целей: атаки на госсектор, энергетику и телеком растут. В энергетике вероятность использования скомпрометированных учётных данных достигает 63%.

2. Различия ВПО: Скоуп ВПО в России и мире различается на 14–40%. При этом набор хакерских утилит (Cobalt Strike, Mimikatz, AnyDesk) практически идентичен глобальному.

3. Старые уязвимости не умирают: CVE-2017-11882 (MS Office) — до сих пор в топе. Log4Shell, Zerologon, ProxyShell активно эксплуатируются. Патч-менеджмент пробуксовывает.
LLM-фейки:

4. Мы насчитали не менее 45 отчётов, сгенерированных нейросетями и выданных за оригинальные. А западные ресурсы всё чаще переписывают работы российских компаний без ссылок.

5. Российские источники - в топе: наши исследовательские команды входят в Топ 50 общемировых, а качество отечественных отчётов полностью соответствует уровню мировых лидеров.

6. Инфляция отчётов: 2884 полноценных TI-отчёта - на 22% больше, чем в 2024. 11,7 отчёта в день. Ручная обработка обходится компании в 20–25 млн рублей в год только на зарплаты аналитиков.

Почему этот отчёт стоит прочитать?

Он отвечает на главный управленческий ИБ-вопрос: «Что мне нужно знать?» Фильтрованные сигналы, вероятностные цепочки TTP и оценки рисков.

Читать тут: https://2025.ctt.ru/

#ParsedReport #CompletenessLow
25-05-2026

Exploitation of KnowledgeDeliver via ViewState Deserialization Vulnerability

https://cloud.google.com/blog/topics/threat-intelligence/knowledgedeliver-viewstate-deserialization-vulnerability/

Report completeness: Low

Threats:
Viewstate_deserialization_vuln
Godzilla_webshell
Cobalt_strike_tool

Victims:
Learning management system, Education

Geo:
Japan

CVEs:
CVE-2026-5426 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1033, T1059.001, T1059.003, T1071.001, T1189, T1190, T1204.002, T1222.001, have more...

IOCs:
File: 3
Command: 1
Hash: 1

Soft:
ASP.NET, Sitecore, Outlook

Win API:
LoadLibrary

Languages:
powershell, javascript

Platforms:
x64, intel

Links:
https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2026/MNDT-2026-0009.md

#ParsedReport #GeneratedSchema
Generated with GPT-4