#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пять троянизированных расширений браузера используют API Chrome `chrome.identity.getProfileUserInfo()` для извлечения данных профиля Google и передачи их на динамически разрешаемый сервер управления через блокчейн Aptos. Этот инновационный метод меняет коммуникацию вредоносного ПО, позволяя операторам изменять адреса серверов без модификации расширений. Используя пользовательские идентификаторы для кошельков, расширения маскируют свое вредоносное поведение, делая традиционные методы обнаружения неэффективными, одновременно нацеливаясь как на учетные данные, так и на криптографические инфраструктуры.
-----

Анализ выявляет значительную киберугрозу, исходящую от пяти троянских расширений для браузеров, включая популярные инструменты для управления кошельками и паролями. Эти расширения используют API Chrome `chrome.identity.getProfileUserInfo()` для извлечения идентификаторов профиля Google и адресов эл. почты, которые затем передаются на сервер управления (C2) через полезную нагрузку, извлеченную из блокчейна Aptos. Данный метод представляет собой поворотный момент в коммуникации вредоносного ПО: от традиционных жестко закодированных адресов C2 к динамическому механизму мертвой точки через блокчейн, что позволяет эффективно обманывать средства защиты, делая серверы C2 взаимозаменяемыми и сохраняя при этом операционную непрерывность.

При установке эти расширения выполняют ряд шагов для идентификации и ретрансляции пользовательских данных. Сначала они динамически разрешают адрес своего C2 из блокчейна, что позволяет операторам изменять адрес сервера без сбоев, не внося изменений в сами расширения. Такая архитектура подчеркивает операционную устойчивость, поскольку прошлые транзакции остаются неизменными в блокчейне, предоставляя исторические точки данных, которые могут помочь в идентификации предыдущих адресов C2, несмотря на текущие операции.

Каждое расширение работает в рамках общего фреймворка с единой последовательностью загрузки, которая включает идентификацию субъекта через упомянутый вызов API. Идентичности, захваченные в ходе первой сессии, используются в последующих коммуникациях, касающихся операций с кошельками, создавая взаимосвязь между идентичностью пользователя и активами, которыми он управляет. Это взаимодействие происходит без каких-либо видимых пользователю индикаторов, что делает традиционные методы обнаружения неэффективными.

Выбранные расширения расширяют охват этой операции, нацеливаясь как на учетные данные обычных пользователей, так и на специализированную инфраструктуру криптовалют в рамках нескольких блокчейн-сетей. Встроенное доверие, которое пользователи оказывают таким известным расширениям, способствует успеху трояна. В результате захваченная информация о профиле пользователя представляет собой более широкое стратегическое преимущество, чем простое кража кошелька — она предоставляет сведения об общей цифровой идентичности и поведении жертвы.

С точки зрения защиты выявление аномалий, связанных с этими расширениями, имеет решающее значение. В частности, наличие структуры `commands.__meta` в манифесте расширения должно вызывать немедленную проверку, поскольку она не входит в стандартный API Chrome и четко сигнализирует о потенциально вредоносной активности. Кроме того, мониторинг любых расширений, которые вызывают API получения профиля или выполняют неожиданные исходящие запросы к определенным блокчейн-сервисам, может помочь обнаружить и смягчить угрозы на ранней стадии. Вся операция служит напоминанием о сложных методах, используемых злоумышленниками для эксплуатации доверенных сред, и эффективно подчеркивает необходимость усиления протоколов безопасности в управлении расширениями браузера.

#CTI #CyberThreatTech #report2025

"Сага о цифровом Мидгарде»: годовой отчёт CyberThreatTech о киберугрозах 2025"

Мы в CyberThreatTech верим не в «сырые данные», а в знания. Поэтому свой годовой отчёт о ландшафте угроз мы построили не как очередную таблицу с цифрами, а как эпическое повествование — с Хугином (Мыслью) и Мунином (Памятью), двумя воронами Одина, которые облетают мир и приносят мудрость.

За этой метафорой стоит наша технологическая концепция — Озеро знаний CTI (CTI Knowledge Lake). Мы объединили данные из 280+ открытых источников (отчёты, новости, песочницы, исследования независимых экспертов), очистили от LLM-фейков, сняли дубли и связали разрозненную информацию в единую картину.

Что мы увидели в 2025 году?

1. Сдвиг целей: атаки на госсектор, энергетику и телеком растут. В энергетике вероятность использования скомпрометированных учётных данных достигает 63%.

2. Различия ВПО: Скоуп ВПО в России и мире различается на 14–40%. При этом набор хакерских утилит (Cobalt Strike, Mimikatz, AnyDesk) практически идентичен глобальному.

3. Старые уязвимости не умирают: CVE-2017-11882 (MS Office) — до сих пор в топе. Log4Shell, Zerologon, ProxyShell активно эксплуатируются. Патч-менеджмент пробуксовывает.
LLM-фейки:

4. Мы насчитали не менее 45 отчётов, сгенерированных нейросетями и выданных за оригинальные. А западные ресурсы всё чаще переписывают работы российских компаний без ссылок.

5. Российские источники - в топе: наши исследовательские команды входят в Топ 50 общемировых, а качество отечественных отчётов полностью соответствует уровню мировых лидеров.

6. Инфляция отчётов: 2884 полноценных TI-отчёта - на 22% больше, чем в 2024. 11,7 отчёта в день. Ручная обработка обходится компании в 20–25 млн рублей в год только на зарплаты аналитиков.

Почему этот отчёт стоит прочитать?

Он отвечает на главный управленческий ИБ-вопрос: «Что мне нужно знать?» Фильтрованные сигналы, вероятностные цепочки TTP и оценки рисков.

Читать тут: https://2025.ctt.ru/

#ParsedReport #CompletenessLow
25-05-2026

Exploitation of KnowledgeDeliver via ViewState Deserialization Vulnerability

https://cloud.google.com/blog/topics/threat-intelligence/knowledgedeliver-viewstate-deserialization-vulnerability/

Report completeness: Low

Threats:
Viewstate_deserialization_vuln
Godzilla_webshell
Cobalt_strike_tool

Victims:
Learning management system, Education

Geo:
Japan

CVEs:
CVE-2026-5426 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1033, T1059.001, T1059.003, T1071.001, T1189, T1190, T1204.002, T1222.001, have more...

IOCs:
File: 3
Command: 1
Hash: 1

Soft:
ASP.NET, Sitecore, Outlook

Win API:
LoadLibrary

Languages:
powershell, javascript

Platforms:
x64, intel

Links:
https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2026/MNDT-2026-0009.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года критическая уязвимость (CVE-2026-5426) в KnowledgeDeliver LMS позволяла осуществлять несанкционированное Удаленное Выполнение Кода через одинаковые ключи машины ASP.NET в различных развертываниях, что позволяло злоумышленникам внедрять вредоносные полез
-----

В конце 2025 года был выявлен серьезный инцидент безопасности, связанный с скомпрометированным веб-сервером, на котором работал KnowledgeDeliver — система управления обучением (LMS), широко используемая в Японии. Инцидент был связан с критической уязвимостью, позволяющей выполнять несанкционированное Удаленное Выполнение Кода (RCE), которой воспользовался неизвестный злоумышленник для внедрения вредоносного кода в платформу. Эта уязвимость, отслеживаемая как CVE-2026-5426, возникла из-за использования одинаковых предварительно разделенных ключей машины ASP.NET в нескольких развертываниях, что позволило злоумышленникам вычислять полезную нагрузку ViewState для десериализации.

Установки KnowledgeDeliver до 24 февраля 2026 года использовали стандартизированный файл web.config, содержавший жёстко заданные значения machineKey. Эта стандартизированная конфигурация позволяла злоумышленнику создать вредоносный полезный груз ViewState и отправить его через параметр __VIEWSTATE в HTTP-запросе, что приводило к его десериализации на сервере. Данный метод следует схеме, установленной предыдущими уязвимостями в таких системах, как Sitecore, что подчёркивает необходимость использования уникальных и безопасных ключей machineKey.

Злоумышленник впоследствии развернул встроенный в память веб-шелл на базе .NET под названием BLUEBEAM, который функционирует исключительно в процессе рабочего процесса IIS, усложняя обнаружение традиционными методами. Веб-шелл позволял выполнять дополнительные команды через зашифрованные HTTP POST-запросы. Атакующий также модифицировал файлы приложения, изменив JavaScript, чтобы ввести пользователей в заблуждение и заставить их установить поддельный плагин безопасности, который скрытно загружал удаленный вредоносный скрипт. Этот скрипт в конечном итоге побуждал пользователей загрузить поддельный установщик, который заражал рабочие станции бэкдором Cobalt Strike BEACON. Примечательно, что полезная нагрузка была зашифрована с использованием ключа, отражающего название целевой организации, что указывает на заранее спланированную атаку.

Расследование Mandiant выявило методы обнаружения данной эксплойта, включая мониторинг журналов приложений Windows на наличие события Event ID 1316, связанного с ASP.NET, что позволило выявить строки полезной нагрузки, расшифрованные с использованием машинного ключа. Кроме того, были обнаружены необычные строки User-Agent в веб-запросах, что потребовало дополнительного анализа журналов для выявления аномалий, характерных для атак десериализации ViewState.

Эта эксплуатация KnowledgeDeliver служит ярким напоминанием о рисках, связанных с использованием общих секретов в конфигурациях развертывания. Один скомпрометированный ключ может поставить под угрозу целую сеть установок. Для смягчения таких рисков организациям рекомендуется использовать уникальные секреты, обеспечивать надежный мониторинг конечных точек и поддерживать бдительную практику ведения журналов для защиты от подобных атак десериализации.

Nice!

#ParsedReport #CompletenessLow
26-05-2026

ClickFix Site Abusing Cloudflare Pages to Deliver Lumma Stealer – Malware Analysis, Phishing, and Email Scams

https://malwr-analysis.com/2026/05/26/clickfix-site-abusing-cloudflare-pages-to-deliver-lumma-stealer/

Report completeness: Low

Threats:
Lumma_stealer
Clickfix_technique
Agent_tesla
Sectop_rat
Crimson_rat
Nanocore_rat
Njrat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1071.001, T1105, T1204.004

IOCs:
Url: 4
File: 3
Domain: 11
Hash: 1

Soft:
Android

Algorithms:
md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговый сайт, размещенный на Cloudflare Pages, был идентифицирован как точка распространения ВПО Lumma Stealer, выдающего себя за Руководство по активации Adobe. Он использует социальную инженерию для побуждения пользователей выполнить команду PowerShell, которая извлекает и запускает удаленный скрипт, загружающий обфусцированный JavaScript-файл, выступающий в качестве загрузчика для ВПО. JavaScript инициирует различные DNS и HTTP-запросы к инфраструктуре, связанной с Lumma Stealer, что указывает на изощренный подход злоумышленников, использующих легитимные платформы для доставки ВПО.
-----

Обнаружен фишинговый сайт, использующий Cloudflare Pages, который выступает в качестве точки распространения вредоносного ПО Lumma Stealer. Сайт маскируется под Руководство по активации Adobe, стремясь обмануть пользователей и заставить их выполнить вредоносную команду PowerShell. Этот метод, связанный с доставкой вредоносного ПО ClickFix, использует тактики социальной инженерии для убеждения людей скопировать и запустить команды, которые приводят к компрометации их систем.

В частности, целевая страница инструктирует пользователей использовать команду PowerShell Invoke-RestMethod (irm) для загрузки и выполнения удаленного скрипта непосредственно в памяти с помощью Invoke-Expression (iex). Скриптовое действие обеспечивает загрузку файла JavaScript, также с той же инфраструктуры. Этот JavaScript заметно запутан и функционирует как загрузчик или дроппер вредоносных полезной нагрузки.

После выполнения JavaScript генерирует различные DNS и HTTP-запросы, направленные на инфраструктуру, связанную с Lumma Stealer. Эта активность характеризуется частыми POST-запросами к определенным /api-конечным точкам, распределенным по нескольким доменным расширениям .lat, что подтверждает связь с операциями Lumma Stealer. Таким образом, данная кампания подчеркивает эволюцию тактик злоумышленников, которые используют легитимные платформы для развертывания сложных методов доставки ВПО.

#ParsedReport #CompletenessMedium
26-05-2026

Dark Web Profile: CoinbaseCartel

https://socradar.io/blog/dark-web-profile-coinbasecartel/

Report completeness: Medium

Actors/Campaigns:
Coinbasecartel (motivation: financially_motivated, information_theft)
0ktapus
Shiny_spider
Shinyhunters
Scattered_lapsus_hunters

Threats:
Redline_stealer
Lumma_stealer
Vidar_stealer
Lolbin_technique
Spear-phishing_technique
Credential_dumping_technique

Victims:
Healthcare, Technology, Transportation, Logistics, Manufacturing, Business services, Consumer services, Energy, Critical infrastructure, Retail, have more...

Industry:
Foodtech, Critical_infrastructure, Logistic, Aerospace, Retail, Energy, Petroleum, Healthcare, Transport, Education, Financial

Geo:
Brazil, Canada, Germany, Asia-pacific, Middle east, United arab emirates, America, France, Arab emirates

TTPs:
Tactics: 10
Technics: 29

Soft:
Telegram, ESXi, Salesforce, Unix

Wallets:
coinbase

Crypto:
bitcoin

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CoinbaseCartel, появившийся в сентябре 2025 года, является злоумышленником, мотивированным финансовой выгодой, который действует по модели единого вымогательства, сосредоточенной на краже данных, а не на шифровании. Используя скомпрометированные учетные данные из стиллер-ВПО, таких как RedLine и Vidar, группа заявляет о более чем 160 жертвах в различных секторах, включая здравоохранение и технологии, при этом ее modus operandi включает перемещение внутри компании с низким уровнем шума и использование встроенных инструментов ОС для крупной эксфильтрации данных. Картель целенаправленно атакует высокодоходные организации по всему миру, особенно в США и ОАЭ, что указывает на возможное сочетание финансовых мотивов и геополитических интересов.
-----

CoinbaseCartel — это злоумышленник, мотивированный финансовой выгодой, появившийся в сентябре 2025 года, действующий по модели единого вымогательства, которая сосредоточена на краже данных без шифрования систем.

Группа заявляет о более чем 160 жертвах в различных секторах, включая здравоохранение, технологии, транспорт и логистику.

CoinbaseCartel в основном использует украденные учетные данные из стиллер-ВПО, таких как RedLine, Lumma и Vidar, для первоначального доступа.

Их операции охватывают 36 стран, при этом предпочтение отдается высокодоходным целям, особенно в Соединенных Штатах.

Многие жертвы имеют годовую выручку свыше 1 миллиарда долларов, что способствует модели группы, основанной на повторном использовании учетных данных.

Группа использует первоначальный доступ на основе учетных данных, опираясь на устаревшие логи стиллеров, и применяет методы перемещения внутри компании с низким уровнем шума для масштабного сбора и эксфильтрации данных.

Методы доступа включают скомпрометированные учетные данные VPN и RDP, а также злоупотребление OAuth-приложениями.

Данные собираются и часто сжимаются в крупные архивы перед эксфильтрацией, чтобы избежать обнаружения.

Организация, как известно, нацелена на чувствительные сектора, такие как здравоохранение и критическая инфраструктура, без каких-либо публичных заявлений против таких отраслей.

Заметная географическая целевая направленность включает концентрацию атак на организации здравоохранения, базирующиеся в ОАЭ, что указывает на потенциальные геополитические мотивы наряду с финансовыми целями.

Для снижения рисков, связанных с CoinbaseCartel, организациям следует улучшить гигиену учётных данных и внедрить надёжные меры безопасности идентификации.

Рекомендуется регулярный мониторинг подпольных рынков в целях поиска похищенных учетных данных и внедрение многофакторной аутентификации (MFA).

Усиление защиты Репозиториев кода, управление разрешениями OAuth и строгий контроль доступа для сервисов передачи файлов являются важными проактивными мерами.

Поддержание инвентаризации конфиденциальных активов и обеспечение неизменяемых резервных копий может снизить переговорную позицию жертв при инциденте безопасности.

#ParsedReport #CompletenessHigh
26-05-2026

Behind .payload: In-Depth Technical Analysis of Payload Ransomware

https://darkatlas.io/blog/behind-payload-in-depth-technical-analysis-of-payload-ransomware

Report completeness: High

Actors/Campaigns:
Payload_ransomware

Threats:
Payload_ransomware
Shadow_copies_delete_technique
Supply_chain_technique
Windows_locker

Victims:
Logistics and transportation, Real estate and construction, Egypt, Mexico, Poland, Middle east and north africa

Industry:
Transport, Entertainment, Logistic

Geo:
Mena, Mexico, Egypt, Middle east, Chinese, Poland, Africa

ChatGPT TTPs:
do not use without manual check
T1070.001, T1486, T1490, T1562.006

IOCs:
File: 26
Command: 1
Domain: 2
Hash: 1

Soft:
Tor Browser, Internet Explorer, Opera, firefox, onenote, outlook, steam, thebat, wordpad, Microsoft SQL Server, have more...

Algorithms:
sha256, sha1, chacha20, curve25519-donna, xor, base64, curve25519, ecdh, rc4, md5

Functions:
MakeAmericaGreatAgain

Win API:
GetCommandLineW, CommandLineToArgvW, GetLastError, CryptGenRandom, GetSystemInfo, NtOpenFile, NtQueryInformationFile, NtOpenSymbolicLinkObject, NtCreateFile, NtReadFile, have more...

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware Payload — это сложная угроза на базе Windows, использующая шифрование ChaCha20 в сочетании с протоколом обмена ключами ECDH Curve25519 для каждого файла, а также добавляющая к зашифрованным файлам расширение .payload. Он применяет агрессивные техники криминалистический анализ, включая патчинг памяти ETW и удаление теневых копий VSS и журналов событий Windows, чтобы затруднить обнаружение и восстановление. С момента появления в феврале 2026 года он нацеливался на различные сектора, особенно в регионе Ближнего Востока и Северной Африки (MENA), демонстрируя продуманный дизайн, оснащенный обработкой мьютексов и настраиваемыми параметрами работы.
-----

Ransomware Payload, идентифицируемый по уникальному расширению файла .payload, представляет собой сложное семейство программ-вымогателей для Windows, использующее шифрование ChaCha20 для защиты файлов жертв. Каждый зашифрованный файл дополняется расширением .payload, а вредоносная программа размещает в затронутых каталогах записку с требованием выкупа под названием RECOVER_payload.txt. Техническая архитектура включает использование протокола обмена ключами ECDH на основе эллиптической кривой Curve25519, который генерирует новый 32-байтовый закрытый ключ жертвы и 12-байтовый nonce для каждого файла. Шифрование является надежным: для шифрования ChaCha20 каждого файла используется уникальный общий секрет, полученный в результате обмена ключами ECDH, который дополнительно защищен 56-байтовым RC4-зашифрованным хвостом, содержащим критически важную информацию, такую как эфемерный открытый ключ жертвы.

ВПО Payload использует агрессивные техники криминалистический анализ для уклонения от обнаружения и затруднения усилий по восстановлению. Это включает патчинг памяти ETW, где оно изменяет функции трассировки событий в Windows ntdll, и удаление теневых копий VSS, которое удаляет все теневые копии для предотвращения восстановления традиционными средствами. Кроме того, оно очищает журналы событий Windows во всех каналах, дополнительно усложняя криминалистический анализ. ВПО также имеет целевой подход к завершению процессов и служб, выполняя эти операции до шифрования файлов, чтобы ограничить потенциальные сбои в своей деятельности и снизить видимость.

С момента публичного появления в феврале 2026 года Payload быстро расширил базу жертв, затронув 50 организаций в различных секторах, включая логистику и недвижимость, при этом многие цели находились в Египте и регионе Ближнего Востока и Северной Африки (MENA). Это указывает на целенаправленную стратегию таргетинга, которая использует воспринимаемые уязвимости в этих секторах, где операционные сбои из-за программ-вымогателей могут оказать значительное финансовое давление.

На техническом уровне программа-вымогатель использует мьютекс для обеспечения однократного выполнения и применяет механизм разбора аргументов командной строки для настройки операционных параметров. Архитектура также поддерживает подробное логирование, управление поведением шифрования и обработку мьютексов, что отражает зрелый дизайн, подходящий для широкого операционного охвата.

По мере дальнейшего развития мониторинг активности и инфраструктуры Payload имеет решающее значение для специалистов по кибербезопасности, особенно с учетом его очевидных амбиций по глобальному охвату и продвинутых криптографических и анти-форензических возможностей. Понимание его оперативных методов будет иметь жизненно важное значение для прогнозирования потенциальных целей и смягчения его воздействия на критические домены.

#ParsedReport #CompletenessMedium
26-05-2026

Kazuar Evolves From Backdoor to Resilient Espionage Ecosystem

https://blog.polyswarm.io/kazuar-evolves-from-backdoor-to-resilient-espionage-ecosystem

Report completeness: Medium

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Kazuar
Pelmeni
Lolbin_technique

Victims:
Foreign affairs ministries, Embassies, Government agencies, Defense organizations, Defense contractors, Diplomatic institutions, Research entities

Industry:
E-commerce, Government, Military

Geo:
Asia, Ukraine, Russian, Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.013, T1056.001, T1071.001, T1074.001, T1082, T1113, T1114.001, T1140, T1480.001, have more...

IOCs:
Hash: 4

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kazuar, разработанный российской государственной группой Secret Blizzard, эволюционировал из базового бэкдора в сложный модульный фреймворк для шпионажа, включающий модули Kernel, Bridge и Worker, которые повышают устойчивость и оперативную скрытность. Он использует сложные методы связи, включая опции IPC, при этом один модуль Kernel поддерживает связь с инфраструктурой управления, тем самым минимизируя видимость. ВПО использует загрузчик Pelmeni для доставки полезной нагрузки и предлагает около 150 настраиваемых параметров, что затрудняет обнаружение и анализ из-за его модульной и адаптивной природы.
-----

Kazuar, семейство ВПО, приписываемое российскому спонсируемому государством злоумышленнику Secret Blizzard (также известному как Turla или Venomous Bear), претерпело значительную эволюцию от простого бэкдора до сложного модульного фреймворка для шпионажа. Эта новая архитектура повышает устойчивость к обнаружению и облегчает проведение длительных операций по сбору разведывательных данных, нацеленных преимущественно на правительственные, дипломатические, оборонные и исследовательские структуры. В настоящее время Kazuar структурирован вокруг трех основных типов модулей: Kernel, Bridge и Worker, которые взаимодействуют для поддержания скоординированной операционной среды при одновременном минимизировании сетевой видимости.

Архитектура Kazuar включает сложные механизмы коммуникации, в том числе варианты межпроцессного взаимодействия (IPC), такие как именованные каналы, Mailslots и скрытые сообщения Windows. Это позволяет вредоносному ПО управлять операциями внутри себя, ограничивая внешние коммуникации единственным выбранным лидером Kernel-модуля, который выступает точкой контакта с инфраструктурой управления (C2). Этот процесс выбора лидера повышает скрытность за счет консолидации трафика коммуникаций, уменьшения электронного следа зараженных систем и позволяет вредоносному ПО выживать при системных сбоях. Архитектура коммуникации поддерживает несколько методов транспорта, включая HTTP, WebSocket и Exchange Веб-сервисы, что дополнительно повышает операционную эффективность.

Методы доставки Kazuar включают использование дроппера Pelmeni, который внедряет зашифрованные полез нагрузки в исполняемые файлы, а также легковесный .NET-лоадер, работающий как COM-объект. Оба метода приоритизируют снижение артефактов на диске, тем самым улучшая возможности уклонения. Фреймворк высоко настраиваемый, имеет около 150 опций для транспорта, методов внедрения и различных операционных задач, таких как регистрация нажатий клавиш и сбор файлов.

Модули-работники Kazuar выполняют различные задачи шпионажа и размещают собранные данные в выделенной рабочей директории для последующей эксфильтрации. Этот модульный и изолированный подход усложняет традиционное обнаружение и анализ ВПО, требуя сосредоточения внимания на операционном поведении вредоносного ПО, а не только на отдельных образцах.

В заключение, Kazuar является примером меняющегося ландшафта киберугроз, переходя от простых инструментов взлома к сложным модульным средам, предназначенным для постоянных и скрытных операций. По мере того как Secret Blizzard продолжает адаптировать свои стратегии, организациям необходимо улучшать свои возможности обнаружения, чтобы учитывать сложность и скрытность, присущие современным вредоносным программам, таким как Kazuar.

#ParsedReport #CompletenessHigh
26-05-2026

Phishing Campaign Deploys JavaScript-Driven PureLogs Variant to Steal Sensitive Data

https://www.fortinet.com/blog/threat-research/phishing-campaign-deploys-javascript-driven-purelogs-variant-to-steal-sensitive-data

Report completeness: High

Threats:
Purelogs
Process_hollowing_technique
Dotnet_reactor_tool
Intellilock_tool

Victims:
Information technology, Communications, Cryptocurrency, Email services, Virtual private network services

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1033, T1041, T1055.012, T1059.001, T1059.007, T1071.001, T1082, have more...

IOCs:
File: 14
IP: 1
Url: 10
Hash: 5

Soft:
Microsoft Edge, Discord, NET Reactor, Windows Defender, Google Chrome, Chromium, Epic Privacy Browser, Amigo, Vivaldi, Kometa, have more...

Wallets:
litecoincore, bitcoincore, coinomi, exodus_wallet, electrum, atomicwallet, bitpay, wassabi, electron_cash, iocoin, have more...

Crypto:
monero, dogecoin, ethereum, mincoin, yacoin, binance, terracoin

Algorithms:
base64, gzip, sha256, aes, des

Functions:
Execute, ZwUnmapViewOfSection

Win API:
CreateProcessA, GetObject, ReadProcessMemory, WriteProcessMemory, VirtualAllocEx, GetThreadContext, SetThreadContext, ResumeThread

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6, windows: 1, dump: 2