#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО Gentlemen представляет собой серьезную киберугрозу, использующую модель программы-вымогателя как услуга, и управляется злоумышленником Storm-2697. Оно применяет надежное шифрование с использованием алгоритмов Curve25519 и XChaCha20, помечает зашифрованные файлы расширением .umc16h и обладает агрессивными механизмами самораспространения, действуя как червь, позволяя зараженным машинам распространять ВПО по сетям. ВПО использует тактику двойного вымогательства путем эксфильтрации конфиденциальных данных и внедряет обширные меры для уклонения от обнаружения и усложнения процессов восстановления.
-----

Группа Gentlemen представляет собой серьезную киберугрозу, характеризующуюся надежными возможностями шифрования и агрессивными техниками самораспространения. Она работает по модели программы-вымогателя как услуга (RaaS), управляемой финансово мотивированным злоумышленником Storm-2697. Представленная в середине 2025 года, она изначально функционировала как закрытая группа, прежде чем перейти к партнерской модели в сентябре 2025 года. Эта программа-вымогатель связана с тактикой двойного вымогательства, при которой она шифрует файлы и одновременно похищает конфиденциальные данные, оказывая давление на жертв угрозами публичного разглашения, если требования выкупа не будут выполнены.

Написан на языке Go и запутан с помощью Garble. Gentlemen использует Curve25519 для своих эфемерных файловых ключей в сочетании со шифротекстом XChaCha20 для шифрования, помечая файлы характерным расширением .umc16h после шифрования. Интерфейс командной строки позволяет операторам указывать различные параметры выполнения, включая область шифрования и методы перемещения внутри компании. Он эффективно реплицирует свой полезный груз, используя несколько стратегий перемещения внутри компании, таких как создание запланированных задач и использование таких инструментов, как PsExec, для сетевого распространения.

Механизм самораспространения является крайне примечательным, превращая шифровальщик в угрозу червеобразного типа. Он подготавливает зараженную машину для использования в качестве точки распространения, позволяя другим системам в сети подключаться и извлекать вредоносное ПО благодаря общему административному доступу. Вредоносное ПО предпринимает обширные меры для уклонения от обнаружения, включая отключение Microsoft Defender, удаление теневых копий томов и очистку журналов событий, тем самым затрудняя усилия по восстановлению и криминалистический анализ.

Процесс шифрования адаптируется в зависимости от размера файлов: небольшие файлы шифруются полностью, а большие — частично, путём разбиения на фрагменты, что эффективно нарушает их структуру и затрудняет восстановление. Кроме того, вредоносное ПО минимизирует сбои в работе операционных систем, исключая из шифрования критические каталоги и типы файлов.

При запуске он создает файл вымогателя README-GENTLEMEN.txt в каждом затронутом каталоге, чтобы направлять жертв через процесс оплаты выкупа. Его опора на разнообразные методы выполнения для перемещения внутри компании увеличивает шансы на проникновение в несколько систем, усиливая его потенциальное воздействие на сети.

При запуске с определённым аргументом командной строки вредоносное ПО также может выполнять процедуру стирания, которая перезаписывает участки диска, препятствуя восстановлению удалённых файлов и дополнительно усложняя криминалистический анализ. Механизмы закрепления программы включают как запланированные задачи, так и изменения в реестре, предназначенные для автоматического запуска после перезагрузки.

#ParsedReport #CompletenessLow
28-05-2026

The proliferation and evolution of AI-powered hacking tools - How generative AI has changed the cyberattack ecosystem and countermeasure strategies

https://asec.ahnlab.com/ko/93874/

Report completeness: Low

Actors/Campaigns:
Andariel
Emissary_panda

Threats:
Wormgpt_tool
Fraudgpt_tool
Evilgpt_tool
Wolfgpt_tool
Darkgpt_tool
Ghostgpt_tool
Malwaregpt_tool
Spamgpt_tool
Evilai
Xanthorox_tool
Hexstrike
Promptflux
Lamehug_tool
Honestcue
Bissa_tool
Promptspy
Supply_chain_technique

Victims:
Tax, Financial advisory, Digital asset settlement, Payroll, Human resources, Cloud services, Payment services, Database services, Artificial intelligence platforms, Ukraine, have more...

Geo:
North korea, Ukrainian, Russian, Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1027.014, T1027.016, T1090, T1102, T1190, T1566, T1587.001, T1587.002, T1587.004, have more...

IOCs:
File: 1

Soft:
ChatGPT, OpenAI, Telegram, Claude, Android, Hugging Face, Ollama, OpenClaw, Anthropic, ORB networks, have more...

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструменты взлома на базе искусственного интеллекта, такие как WormGPT и Evil-GPT, существенно изменили ландшафт киберугроз, позволив злоумышленникам легко проводить различные фазы кибератак, включая фишинг, разведка и генерацию ВПО. Эти инструменты работают по моделям SaaS и обладают возможностями создания дипфейков, эксплуатации уязвимостей нулевого дня и создания самоизменяющегося ВПО, что улучшает техники уклонения. Интеграция искусственного интеллекта позволяет применять более быстрый и масштабируемый подход к выполнению сложных атак, создавая существенные проблемы для традиционных средств защиты кибербезопасности.
-----

Инструменты взлома на базе искусственного интеллекта, такие как WormGPT и Evil-GPT, трансформировали ландшафт кибератак, снизив барьеры для киберпреступников.

Эти инструменты применяются на различных этапах жизненного цикла атаки, включая фишинг, разведку и генерацию ВПО.

Подпольные инструменты ИИ могут генерировать дипфейки, разрабатывать ВПО, автоматизировать фишинг, проводить разведку, генерировать код и эксплуатировать уязвимости.

Функциональность этих инструментов имитирует модели «Программное обеспечение как услуга» (SaaS), предоставляя начинающим злоумышленникам доступ к подписным сервисам с различными уровнями.

ИИ используется для оркестровки атак, что иллюстрируется случаем с Bissa Scanner, связанным с масштабной эксплуатацией уязвимостей.

ВПО, интегрированное с ИИ, теперь демонстрирует возможности самоизменения для улучшения техник уклонения от обнаружения, как это наблюдается в случае с Promptflux и Promptspy.

Злоумышленники автоматизируют разработку эксплойтов нулевого дня, включая скрипты, предназначенные для обхода двухфакторной аутентификации (MFA).

Помощь со стороны искусственного интеллекта позволила злоумышленникам автоматизировать анализ уязвимостей и проверку кода эксплойтов, повышая операционную эффективность.

Масштабируемость и быстрое выполнение, которые ИИ предоставляет злоумышленникам, создают значительные проблемы для механизмов защиты.

Стратегии защиты должны сместиться в сторону активных мер защиты, включающих искусственный интеллект для выявления векторов атак и автоматизации операций безопасности.

Управление использованием ИИ и проверка кода, сгенерированного ИИ, в цепочках поставок имеют решающее значение для снижения рисков.

Эволюция инструментов взлома на базе искусственного интеллекта требует от организаций усиления защиты, переходя от блокировки угроз к активному управлению динамикой сил в кибератаках.

#ParsedReport #CompletenessLow
28-05-2026

Inside the Chinese-Language Gambling Infrastructure Targeting the 2026 World Cup

https://flare.io/learn/resources/blog/chinese-language-gambling-infrastructure-targeting-2026-world-cup

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Cloaking_technique

Victims:
2026 fifa world cup, Sports betting users, Apac

Industry:
Education, Entertainment, Healthcare, Telco, Ngo, Financial

Geo:
Chinese, Cambodia, Sweden, Netherlands, Laos, Canada, Myanmar, Asia, Philippines, Americans, Apac, Hong kong, Japan, Brazil, Hongkong, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1036, T1583.001, T1583.002, T1583.004, T1588.004

IOCs:
Domain: 2
IP: 9

Soft:
Telegram, WeChat, WhatsApp, Discord, GoDaddy

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная онлайн-инфраструктура азартных игр планирует использовать Чемпионат мира по футболу 2026 года для эксплуатации, применяя брендинг ФИФА и офшорные ставки для участия в финансовом мошенничестве. Экосистема состоит из 8 867 доменов, преимущественно на китайском языке, с использованием скоординированных развертываний с общими ресурсами и техниками уклонения, которые маскируют сайты азартных игр под легитимные учреждения для избежания обнаружения. Централизованные услуги в таких регионах, как Гонконг, и общие инфраструктуры DNS указывают на уязвимости, которые могут помочь в нацеливании на эти преступные операции.
-----

Комплексный анализ выявил масштабную китайскоязычную инфраструктуру онлайн-гемблинга, предназначенную для использования предстоящего чемпионата мира по футболу 2026 года. Эта обширная сеть использует брендинг ФИФА для привлечения трафика, одновременно продвигая офшорные ставки и масштабируя мошенническую деятельность. Операции в рамках этой экосистемы не являются изолированными инцидентами, а представляют собой скоординированные усилия, использующие общие ресурсы, такие как провайдеры DNS, повторяющиеся HTML-шаблоны и общие платформы хостинга, что указывает на повторяющуюся и автоматизированную структуру развертывания.

Эта игорная инфраструктура переплетается с более широкими проблемами киберкриминала, финансового мошенничества и организованных преступных сетей. Примечательно, что, несмотря на легализацию спортивных ставок во многих штатах США, нелегальные азартные игры сохраняются, вовлекаясь в различные преступные активности, такие как отмывание денег, торговля людьми и кибермошенничество. ФБР подчеркнуло глобальный характер этих нелегальных букмекерских систем, которые часто используют зарубежные ресурсы и подпольные платежные механизмы для воздействия на пользователей по всему миру.

С точки зрения технических деталей, анализ включал набор данных, состоящий из 8 867 доменов, связанных с ФИФА, в основном содержащих контент на китайском языке. Поразительные 89,9% исследованных доменов содержали китайские иероглифы, при этом наблюдается заметная опора на соглашения об именовании доменов, указывающие либо на прямую связь с ФИФА, либо на более широкую тему азартных игр. Кроме того, в этих сайтах применяются сложные техники уклонения, где обманные оверлеи заставляют платформы для ставок выглядеть безобидными, часто имитируя академические учреждения или неправительственные организации (НПО), чтобы избежать обнаружения.

Инфраструктура в значительной степени опирается на централизованные сервисы, в основном расположенные в таких регионах, как Гонконг, где доминируют два основных провайдера ASN для хостинга. Концентрированное использование конкретных регистраторов и сервисов конфиденциальности указывает на потенциальные уязвимости, которые могут быть использованы для целевого нарушения работы. Были выявлены ключевые операционные отпечатки, включая общие инфраструктуры DNS-именных серверов и пары регистраторов, что может предоставить критически важную информацию для кибербезопасных вмешательств, направленных на разрушение этих незаконных операций.

#ParsedReport #CompletenessMedium
28-05-2026

Pivoting on a malspam infrastructure delivering JS malware backed by bulletproof networks - INTRINSEC

https://www.intrinsec.com/pivoting-on-a-malspam-infrastructure-delivering-js-malware-backed-by-bulletproof-networks/

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Bec_technique
Anonrdp_tool

Victims:
Energy ministries, Finance ministries, Pharmaceutical and drug manufacturing, Commonwealth of independent states

Industry:
Healthcare, Financial, Energy

Geo:
Seychelles

ChatGPT TTPs:
do not use without manual check
T1566

Soft:
BitLocker, Claude M, laude My

Algorithms:
des

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года кампании malspam, распространяющие JavaScript бэкдор, нацеливались на энергетический и финансовый секторы в регионе СНГ, с акцентом на Учетная запись эл. почты и бизнес компрометация. Эти кампании использовали две сети пуленепробиваемого хостинга, GHOSTYNETWORKS и OMEGATECH, что иллюстрирует сложность злоумышленников, включая TeamPCP, и их постоянную устойчивость с конца 2025 года. Использование этих сетей предполагает стратегические усилия по уклонению от правоохранительных органов при запуске постоянных атак.
-----

В марте 2026 года появилась серия кампаний malspam, которые в первую очередь были направлены на распространение бэкдора, написанного на JavaScript, и нацеленных на различные сектора, в частности министерства энергетики и финансов в регионе Содружества Независимых Государств (СНГ). Кампании, по-видимому, имеют финансовую мотивацию, а их цели сосредоточены на компрометации учетной записи эл. почты (EAC) и бизнес-компрометации эл. почты (BEC).

Инфраструктура, использовавшаяся в этих кампаниях, опиралась на две различные сети пуленепробиваемого хостинга: GHOSTYNETWORKS, базирующаяся в Соединенных Штатах, и OMEGATECH на Сейшельских островах. Сообщается, что GHOSTYNETWORKS является ребрендингом OPTIBOUNCE, который имеет связи с известным провайдером хостинга AnonRDP, что указывает на его использование более продвинутыми злоумышленниками, включая TeamPCP. Использование пуленепробиваемых сетей отражает попытку сохранить закрепление и избежать действий правоохранительных органов, что делает эти кампании особенно сложными для нейтрализации.

Расследования инфраструктуры злоумышленника выявили закономерность в виде предыдущих кампаний malspam и вредоносной активности, уходящих корнями в конец 2025 года, что дополнительно подтверждает устойчивость и адаптивность этих злоумышленников. Эта тенденция подчеркивает растущую сложность киберугроз, с которыми сталкиваются организации, и акцентирует внимание на насущной необходимости проактивного обнаружения и анализа для эффективного реагирования на потенциальные компрометации. В связи с этим организациям рекомендуется перейти к более активному подходу в области кибербезопасности, чтобы предвосхищать или быстро реагировать на возникающие угрозы.

#ParsedReport #CompletenessHigh
28-05-2026

ShinyHunters: Silent Malware as a Service (MaaS)

https://ransom-isac.org/blog/shinyhunters-silent-maas

Report completeness: High

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated)
Shiny_spider

Threats:
Silent_stealer
Smartscanner_tool
Credential_harvesting_technique
Uac_bypass_technique
Microstealer
Fodhelper_technique
Shadow_copies_delete_technique
Vssadmin_tool

Victims:
Gaming, Social media, Cryptocurrency, Financial services

Industry:
Healthcare, Entertainment

Geo:
Africa, French, America, New york

TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 31
IP: 2
Domain: 1
Path: 5
BrowserExtension: 8
Coin: 1
Command: 1
Hash: 23

Soft:
Telegram, Discord, Electron, Steam, Roblox, TikTok, Windows Defender, NSIS installer, Chrome, ctron app, have more...

Wallets:
metamask, coinbase, atomicwallet, exodus_wallet

Crypto:
binance

Algorithms:
sha256, aes, lzma, sha1, aes-256-cbc, xor, md5, pbkdf2, aes-256-gcm, aes-gcm, zip

Functions:
Web, Roblox, sendToAPI, GetTikTok, MinecraftSession, createCipheriv

Win API:
SetSuspendState, LockWorkStation

Languages:
javascript, python, cscript, visual_basic, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Illusion-2.6.5-setup.exe представляет собой развертывание MaaS для Silent Stealer v2.6.5, распространяемое через Телеграм злоумышленником ShinySpider и предназначенное для сбора конфиденциальных пользовательских данных, включая учетные данные и платежную информацию. Он имитирует приложение на базе Electron, использует продвинутую обфускацию и включает RAT для широкого контроля над системой, одновременно поддерживая надежные постоянные соединения с инфраструктурой C2 для доступа в реальном времени. Его фокус на игровых сообществах и платформах подчеркивает сложную операционную структуру, направленную на финансовую выгоду, с заметными уязвимостями в его открытом операторском интерфейсе.
-----

ВПО Illusion-2.6.5-setup.exe представляет собой развертывание Silent Stealer v2.6.5, классифицируемое как ВПО как услуга (MaaS). Оно распространяется злоумышленником, известным как ShinySpider, через Телеграм. Illusion предназначен для сбора конфиденциальной информации пользователей, включая учетные данные браузеров, файлы cookie, платежные данные и криптокошельки. ВПО имитирует приложение на базе Electron и использует пользовательский установщик для сокрытия своей функциональности. Оно включает несколько механизмов закрепления и различные методы обхода контроля учетных записей (UAC). Illusion устанавливает постоянные соединения со своей инфраструктурой управления (C2) для удаленного доступа и контроля в реальном времени. Оно позволяет удаленный доступ к файловой системе, выполнение команд PowerShell и захват скриншотов. Процесс эксфильтрации использует тщательно разработанные вызовы API, отправляя данные на сервер Discord злоумышленника и другие платформы. Имеются значительные проблемы с безопасностью операций, включая открытую панель оператора, позволяющую доступ без аутентификации. ВПО использует продвинутые техники обфускации, такие как разделение чувствительных строк и использование зашифрованных полезной нагрузки для уклонения от обнаружения. Illusion включает троянскую программу (RAT) наряду со стиллер-компонентом. Оно имеет выделенный C2 для сбора учетных данных Discord. Его закрепление усилено через запланированные задачи и Инструментарий управления Windows (WMI). ВПО нацелено на игровые сообщества, фокусируясь на таких платформах, как Roblox и TikTok, стремясь извлечь как финансовую информацию, так и игровые учетные данные. Дизайн Illusion указывает на финансовую мотивацию и сложную операционную структуру. Связь с группой ShinyHunters является спекулятивной и не основана на технических доказательствах.

#ParsedReport #CompletenessMedium
28-05-2026

Pirates in the crosshairs: how one cybercrime gang has been infecting book, movie, and TV show fans for years

https://securelist.com/video-books-pirates-miners-rat/119943/

Report completeness: Medium

Threats:
Dll_sideloading_technique
Junk_code_technique
Silentcryptominer_tool
Dns_tunneling_technique
Xmrig_miner
Process_hollowing_technique
Dll_hijacking_technique
Trojan.win32.sepeh.gen
Unamwebpanel_tool

Victims:
Book fans, Movie fans, Tv show fans, Online digital libraries, Movie and tv show streaming sites

Industry:
Media

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027.016, T1036.005, T1055, T1055.012, T1070.004, T1071.004, T1082, T1204.002, T1496, have more...

IOCs:
File: 4
Domain: 9
Path: 1
IP: 1
Hash: 3

Soft:
Unix, Windows Defender, Google Chrome

Algorithms:
xor, zip, base64, aes-cbc

Functions:
SmashStack

Win API:
ZwSetInformationFile

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года вредоносная кампания, нацеленная на пользователей нелегальных стриминговых сайтов, использовала обманный загрузчик для поддельного обновления видеоплеера, что приводило к установке вредоносной DLL через подгрузку DLL (DLL side-loading). Эта кампания эволюционировала с 2022 года, с существенным распространением через несколько доменов и значительной эксплуатацией уязвимостей переполнения стека для майнинговых операций. Возможности вредоносного ПО включают инструмент удаленного доступа с шифрованием RSA, возможности майнинга ЦП/ГП и техники для уклонения от обнаружения, что подчеркивает постоянный риск для пользователей, занимающихся нелегальными загрузками.
-----

В апреле 2026 года в ходе расследования киберугрозы была выявлена вредоносная кампания, направленная против пользователей нелегальных сайтов для просмотра фильмов и телешоу. ВПО распространялось через обманный механизм, который побуждал пользователей загрузить поддельное обновление видеоплеера. Это обновление приводило к установке ZIP-архива, содержащего легитимный исполняемый файл (HLS Installer.874.exe) и вредоносную DLL, которая использовала технику подгрузки DLL (DLL side-loading) для внедрения кода в легитимные процессы.

Эта кампания демонстрирует преемственность в методах распространения, которые ранее опирались на домен file.ipfs.us.69.mu, а затем перешли на urush1bar4.online, сохраняя при этом согласованную структуру архивов. Анализ показал, что злоумышленник модифицировал ВПО и механизм заражения еще с 2022 года. Масштаб этой сети распространения значительный, поскольку многие целевые сайты получали миллионы посещений ежемесячно, что привело к оценке в 40 миллионов посещений сайтов, размещающих это ВПО, только за апрель.

DLL, замаскированный мусорным кодом, содержал функционал, эксплуатирующий уязвимости переполнения стека и запускающий полезную нагрузку майнера. Основной модуль получен из проекта SilentCryptoMiner, характеризующегося способностью собирать конфиденциальную информацию о системе и передавать её с использованием собственных техник туннелирования через DNS. В данном случае злоумышленники создали исключения в Windows Defender, завершили работу инструмента удаления вредоносного ПО от Microsoft и предотвратили автоматические обновления, чтобы остаться незамеченными.

Для обеспечения закрепления вредоносное ПО внедряется в каталог Google Chrome и регистрирует службу для обеспечения автоматического запуска при старте системы. Майнер использует комбинацию возможностей майнинга на базе ЦП и ГП, координируя взаимодействие с сервером управления, который еженедельно адаптируется с изменяющимися доменами.

Подмодули в составе вредоносного ПО включают сторожевой таймер для проверки целостности, инструмент удаленного доступа (RAT), который реагирует на команды, зашифрованные с помощью AES-CBC, и компоненты майнинга, запускаемые в зависимости от аппаратных возможностей системы. Они собирают и передают расшифрованные конфигурационные данные для получения операционных параметров.

Несмотря на продолжительный характер этой кампании и её адаптивность в выборе каналов, пользователи, посещающие сайты с пиратским контентом, остаются крайне уязвимыми перед подобными киберугрозами, что подчеркивает риски, связанные с нелегальными загрузками. Поведение ВПО, наряду с тактиками, применяемыми злоумышленниками, демонстрирует сложную операцию, которая эволюционирует в ответ на меры безопасности.

#ParsedReport #CompletenessMedium
28-05-2026

FortiClient EMS Exploited via CVE-2026-35616 to Deliver EKZ Infostealer Disguised as a Fortinet Patch

https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/

Report completeness: Medium

Threats:
Ekz_stealer
Nuclei_tool

Victims:
Forticlient ems deployments, Managed endpoints

CVEs:
CVE-2026-35616 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlientems (7.4.5, 7.4.6)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027.010, T1036, T1036.005, T1059.001, T1059.003, T1070.004, T1072, T1074.001, T1090.003, have more...

IOCs:
File: 11
IP: 3
Url: 2
Hash: 5

Soft:
Chrome, Firefox, Chrome, Microsoft Edge, Chromium, Waterfox, Pale Moon

Algorithms:
md5, aes-256, sha1, sha256, base64

Languages:
powershell

Links:
https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2026/CVE-2026-35616.yaml
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/unattributed-fake-forticlient-update-cve-2026-35616

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года злоумышленники использовали уязвимость CVE-2026-35616, связанную с контролем доступа в FortiClient EMS, для обхода аутентификации и развертывания EKZ Infostealer, замаскированного под легитимное обновление. Это ВПО нацелено на учетные данные браузеров с различных платформ и выполняется с помощью скриптов PowerShell, используя инфраструктуру FortiClient для манипуляции конфигурациями и выполнения вредоносного кода при установлении VPN-соединений. EKZ Infostealer перехватывает пароли и сеансовые файлы cookie, создавая значительные риски для дальнейшего несанкционированного доступа.
-----

В мае 2026 года была выявлена угроза, использующая уязвимость CVE-2026-35616 в сервере управления конечными точками FortiClient (EMS), связанную с контролем доступа. Эта эксплуатация позволила злоумышленникам обойти механизмы аутентификации и выполнять вредоносные скрипты на управляемых конечных точках. В частности, они замаскировали вредоносный модуль похищения учетных данных, известный как EKZ Infostealer, под легитимный патч для конечных точек Fortinet.

EKZ Infostealer нацелен на учетные данные, хранящиеся в браузерах, включая Chrome, Firefox и другие. Он работает путем развертывания через PowerShell, используя инфраструктуру управления FortiClient для выполнения команд, аналогичных утвержденным операционным процедурам. Вредоносные скрипты PowerShell загружали и скрытно выполняли стиллер, который регистрировал и эксфильтровал собранные учетные данные через HTTP POST. Злоумышленники смогли использовать возможности FortiClient для распространения этих обновлений под видом рутинного обслуживания, тем самым избегая традиционных механизмов безопасности.

CVE-2026-35616 была сообщена Fortinet 31 марта 2026 года, подчеркивая неправильный контроль доступа, который затрагивает аутентифицированные API-запросы. На практике эта уязвимость позволяет злоумышленникам манипулировать конфигурациями и развертывать вредоносные скрипты в масштабах. Злоумышленники провели ряд административных изменений, включая модификацию профиля удаленного доступа для выполнения неутвержденных скриптов при установлении VPN-соединений.

Как только конечная точка инициировала подключение по VPN, это запускало выполнение скриптов, предназначенных для загрузки и запуска base64-кодированного PowerShell-полезной нагрузки. В течение нескольких секунд после подключения к межсетевому экрану FortiGate эти скрипты выполнялись, поддерживая несколько методов резервного копирования для загрузки вредоносных файлов и, как следствие, эксфильтрации конфиденциальных данных.

EKZ Infostealer работает путем извлечения учетных данных с использованием сложных методов, адаптированных для каждого браузера. Для браузеров на базе Chromium он получает необходимые ключи дешифрования из реестра, что обеспечивает несанкционированный доступ к конфиденциальным данным. Для Firefox он применяет аналогичные приемы для доступа к сохраненным учетным данным. В целом, этот стиллер не только захватывает пароли, но и нацелен на файлы cookie сеансов, представляя значительные риски за счет потенциального возможности дальнейшего несанкционированного доступа к различным веб-сервисам и внутренним приложениям.

Кампания делает акцент на стратегическом подходе, при котором злоумышленники манипулируют доверенными административными инструментами против их предполагаемых пользователей, что приводит к серьезным нарушениям безопасности при минимальных прямых усилиях по проникновению. В ней подчеркивается критическая необходимость бдительности в отношении систем управления, таких как FortiClient EMS, и необходимость наличия надежных возможностей мониторинга и реагирования на инциденты для эффективного противодействия таким целевым методам эксплуатации.