#ParsedReport #CompletenessMedium
28-05-2026

FortiClient EMS Exploited via CVE-2026-35616 to Deliver EKZ Infostealer Disguised as a Fortinet Patch

https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/

Report completeness: Medium

Threats:
Ekz_stealer
Nuclei_tool

Victims:
Forticlient ems deployments, Managed endpoints

CVEs:
CVE-2026-35616 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlientems (7.4.5, 7.4.6)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027.010, T1036, T1036.005, T1059.001, T1059.003, T1070.004, T1072, T1074.001, T1090.003, have more...

IOCs:
File: 11
IP: 3
Url: 2
Hash: 5

Soft:
Chrome, Firefox, Chrome, Microsoft Edge, Chromium, Waterfox, Pale Moon

Algorithms:
md5, aes-256, sha1, sha256, base64

Languages:
powershell

Links:
https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2026/CVE-2026-35616.yaml
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/unattributed-fake-forticlient-update-cve-2026-35616

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года злоумышленники использовали уязвимость CVE-2026-35616, связанную с контролем доступа в FortiClient EMS, для обхода аутентификации и развертывания EKZ Infostealer, замаскированного под легитимное обновление. Это ВПО нацелено на учетные данные браузеров с различных платформ и выполняется с помощью скриптов PowerShell, используя инфраструктуру FortiClient для манипуляции конфигурациями и выполнения вредоносного кода при установлении VPN-соединений. EKZ Infostealer перехватывает пароли и сеансовые файлы cookie, создавая значительные риски для дальнейшего несанкционированного доступа.
-----

В мае 2026 года была выявлена угроза, использующая уязвимость CVE-2026-35616 в сервере управления конечными точками FortiClient (EMS), связанную с контролем доступа. Эта эксплуатация позволила злоумышленникам обойти механизмы аутентификации и выполнять вредоносные скрипты на управляемых конечных точках. В частности, они замаскировали вредоносный модуль похищения учетных данных, известный как EKZ Infostealer, под легитимный патч для конечных точек Fortinet.

EKZ Infostealer нацелен на учетные данные, хранящиеся в браузерах, включая Chrome, Firefox и другие. Он работает путем развертывания через PowerShell, используя инфраструктуру управления FortiClient для выполнения команд, аналогичных утвержденным операционным процедурам. Вредоносные скрипты PowerShell загружали и скрытно выполняли стиллер, который регистрировал и эксфильтровал собранные учетные данные через HTTP POST. Злоумышленники смогли использовать возможности FortiClient для распространения этих обновлений под видом рутинного обслуживания, тем самым избегая традиционных механизмов безопасности.

CVE-2026-35616 была сообщена Fortinet 31 марта 2026 года, подчеркивая неправильный контроль доступа, который затрагивает аутентифицированные API-запросы. На практике эта уязвимость позволяет злоумышленникам манипулировать конфигурациями и развертывать вредоносные скрипты в масштабах. Злоумышленники провели ряд административных изменений, включая модификацию профиля удаленного доступа для выполнения неутвержденных скриптов при установлении VPN-соединений.

Как только конечная точка инициировала подключение по VPN, это запускало выполнение скриптов, предназначенных для загрузки и запуска base64-кодированного PowerShell-полезной нагрузки. В течение нескольких секунд после подключения к межсетевому экрану FortiGate эти скрипты выполнялись, поддерживая несколько методов резервного копирования для загрузки вредоносных файлов и, как следствие, эксфильтрации конфиденциальных данных.

EKZ Infostealer работает путем извлечения учетных данных с использованием сложных методов, адаптированных для каждого браузера. Для браузеров на базе Chromium он получает необходимые ключи дешифрования из реестра, что обеспечивает несанкционированный доступ к конфиденциальным данным. Для Firefox он применяет аналогичные приемы для доступа к сохраненным учетным данным. В целом, этот стиллер не только захватывает пароли, но и нацелен на файлы cookie сеансов, представляя значительные риски за счет потенциального возможности дальнейшего несанкционированного доступа к различным веб-сервисам и внутренним приложениям.

Кампания делает акцент на стратегическом подходе, при котором злоумышленники манипулируют доверенными административными инструментами против их предполагаемых пользователей, что приводит к серьезным нарушениям безопасности при минимальных прямых усилиях по проникновению. В ней подчеркивается критическая необходимость бдительности в отношении систем управления, таких как FortiClient EMS, и необходимость наличия надежных возможностей мониторинга и реагирования на инциденты для эффективного противодействия таким целевым методам эксплуатации.

#ParsedReport #CompletenessLow
28-05-2026

RVTools Masquerade: How a Signed Fake Installer Deploys a Modular Python RAT

https://labs.k7computing.com/index.php/rvtools-masquerade-how-a-signed-fake-installer-deploys-a-modular-python-rat/

Report completeness: Low

Threats:
Rvtools_tool
Winpython_tool

Victims:
Vmware administrators, Enterprise organizations, Virtualization environments

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1007, T1018, T1027, T1027.010, T1033, T1036, T1049, T1057, T1059.001, T1059.005, have more...

IOCs:
File: 2
Hash: 4

Soft:
twitter, Active Directory, Dropbox, Jupyter, Active Directory Domain Services, indows Registry (H

Algorithms:
rc4, xor

Functions:
Chr, JSON

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 9, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная кампания использует подписанный поддельный установщик, имитирующий утилиту RVTools, с низкой частотой обнаружения на VirusTotal, встроенный в отозванный MSI-файл. При запуске VBScript-загрузчик скачивает модульный Python Троянская программа (RAT) с Dropbox, применяя разведку через модуль, который извлекает подробные системные данные, оставаясь при этом скрытым. ВПО управляет операциями через управление с помощью зашифрованной связи и поддерживает закрепление с помощью записей в реестре и запланированных задач, представляя значительную угрозу для пользователей VMware и указывая на продвинутые тактики скрытности.
-----

Недавний анализ выявил сложную вредоносную кампанию, использующую подписанный поддельный установщик, выполняющий Маскировку под утилиту RVTools, широко применяемую администраторами VMware. Установщик был отмечен крайне низкими показателями обнаружения в VirusTotal, что указывает на то, что злоумышленник стратегически спроектировал его для обхода мер безопасности. Вредоносное ПО было встроено в MSI-файл, подписанный действительным сертификатом от Sectigo. Этот сертификат впоследствии был отозван, но изначально мог ввести потенциальных жертв в ложное чувство безопасности, особенно на системах, где не применяются проверки в реальном времени.

При запуске установщик следует многоэтапному потоку выполнения. Он начинается с загрузчика VBScript, который хитро спрятан в бинарных данных MSI. Этот скрипт обфусцирован для избежания обнаружения и отвечает за загрузку значительного полезного груза по ссылке Dropbox. Этот полезный груз, называемый winp.zip, содержит модульный Python Троянская программа (RAT) вместе с надежной средой разработки, включая такие инструменты, как VS Code и Jupyter Lab, маскируя вредоносные компоненты внутри легитимных файлов.

Начальный этап сосредоточен на разведке с использованием модуля collector.py. Этот скрипт собирает обширные данные о системе, такие как конфигурации Active Directory, оставаясь при этом незамеченным за счёт манипуляции флагами запуска Windows для выполнения операций скрытым образом. Собранная информация сохраняется в файле JSON, что позволяет злоумышленникам анализировать организационную структуру и уровни привилегий пользователей, что критически важно для планирования последующих атак или повышения привилегий.

Переходя к операциям управления, вредоносное ПО использует выделенный модуль Pmanager.py, отвечающий за поддержание постоянного доступа и контроль заражённой системы. Оно использует шифрование RC4 для безопасной связи с сервером атакующего, шифруя данные разведки перед эксфильтрацией и позволяя вредоносному ПО получать дальнейшие команды. Вредоносное ПО спроектировано так, чтобы иметь замаскированный цифровой след, выполняя задачи без предупреждения операционной системы, при этом используя различные жёстко закодированные IP-адреса для эффективной связи.

Кроме того, были внедрены механизмы для закрепления, при этом ВПО создавало записи в реестре и запланированные задачи для поддержания своего присутствия даже после перезагрузки системы. Операторы, стоящие за этой кампанией, эффективно спроектировали сложную фреймворк атаки, представляющий значительную угрозу для организаций, использующих VMware, особенно из-за потенциала получения полного административного доступа через скомпрометированные учетные данные. Использование легитимного сертификата вместе с систематическими техниками уклонения при выполнении скриптов иллюстрирует растущий тренд в разработке ВПО, делающий акцент на скрытности и закреплении.

#ParsedReport #CompletenessHigh
28-05-2026

Commit to Compromise: A New Threat Actor Targeting the Cryptocurrency Industry's Software Development Infrastructure

https://www.wiz.io/blog/threat-actors-target-crypto-orgs

Report completeness: High

Actors/Campaigns:
Jinx-0164 (motivation: financially_motivated)
Bluenoroff
Cryptocore

Threats:
Supply_chain_technique
Audiofix
Minirat

Victims:
Cryptocurrency industry, Software developers, Software development infrastructure, Code distribution systems, Development infrastructure

Industry:
Software_development

Geo:
North korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1036, T1036.005, T1041, T1059.002, T1059.004, T1059.006, T1070.002, T1070.004, have more...

IOCs:
Domain: 60
Url: 2
File: 4
Hash: 13
IP: 1

Soft:
macOS, Astrill VPN, Microsoft Teams, Discord, Slack, Telegram, Velora, curl, Dropbox, wolfSSL, have more...

Wallets:
metamask, coinbase

Crypto:
binance

Algorithms:
aes, aes-256-cbc, xor, sha256

Functions:
exec

Languages:
python, applescript

Platforms:
x64, x86, arm, intel, apple

Links:
https://github.com/synacktiv/nord-stream/blob/b2d5aab617de75328a8508b4cc83d632e90d64e5/nordstream/utils/constants.py
have more...
https://github.com/synacktiv/nord-stream
https://docs.github.com/en/authentication/managing-commit-signature-verification/displaying-verification-statuses-for-all-of-your-commits

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новоидентифицированный злоумышленник JINX-0164 нацелен на сектор криптовалют, используя социальную инженерию для компрометации инфраструктуры разработки программного обеспечения. Они применяют сложные тактики, включая создание правдоподобных профилей в LinkedIn, чтобы заманить жертв в вредоносные виртуальные встречи, где загружается специфичное для macOS ВПО AUDIOFIX. Этот инструмент удаленного доступа позволяет красть учетные данные из различных приложений, облегчая дальнейшие атаки путем модификации кода и потенциальной эксплуатации Цепочки поставок, одновременно применяя передовые техники уклонения для поддержания постоянного доступа.
-----

Команда CIRT и исследовательская группа Wiz выявили нового злоумышленника, обозначенного как JINX-0164, который нацелен на криптоиндустрию, в частности на инфраструктуру разработки программного обеспечения. Активен как минимум с середины 2025 года, этот актор использует сложные техники социальной инженерии, особенно путем создания правдоподобных профилей в LinkedIn, чтобы заманить жертв на кажущиеся легитимными виртуальные встречи. После установления контакта жертв перенаправляют на вредоносный домен, Маскировка которого имитирует реальную платформу для видеоконференций, где они невольно загружают вредоносное ПО, специфичное для macOS.

Вредоносное ПО, известное как AUDIOFIX, действует как инструмент удаленного доступа (RAT) и способно похищать широкий спектр учетных данных с зараженных систем, включая те, что хранятся в популярных Менеджерах паролей, расширениях браузера для криптокошельков и различных чат-приложениях, таких как Discord и Slack. Злоумышленники используют украденные учетные данные для облегчения перемещения внутри компании в среде разработки жертвы, получая доступ к внутренним системам распространения кода для выполнения дальнейших атак. Они были замечены в модификации внутреннего исходного кода с целью развертывания дополнительного ВПО для извлечения криптовалюты и другой конфиденциальной информации.

Одной из значимых особенностей вредоносного ПО является его способность подключаться к серверам управления (C2) через зашифрованные каналы связи. Оно использует домены резервного подключения для обеспечения постоянного доступа, а также применяет передовые методы для уклонения от обнаружения, такие как маршрутизация соединений через различные VPN-сервисы, включая Mullvad, Astrill и Express VPN. Кроме того, вредоносное ПО собирает не только информацию, связанную с криптовалютой, но и секреты облачной инфраструктуры, а также другие учетные данные разработчиков, такие как SSH-ключи и API-токены.

В своих шаблонах атак JINX-0164 продемонстрировали методичный подход к маскировке своей вредоносной деятельности в рамках легитимных операций. Они часто имперсонируют доверенных разработчиков, чтобы ввести в заблуждение коллег, изменяя информацию в коммитах Git для сокрытия своей личности и напрямую загружая вредоносный код в репозитории. Например, в одной из операций они внедрили вредоносный код в пакет npm, широко используемый в сфере криптовалют, что потенциально могло привести к более масштабной атаке на Цепочку поставок.

Обнаружение данной активности критически важно и должно начинаться с мониторинга конечных точек с использованием передовых решений для выявления необычного поведения или индикаторов компрометации в системных средах. Рекомендуемые практики включают тщательный анализ журналов выполнения, мониторинг непроверенных коммитов в репозиториях кода и наблюдение за аномальной активностью со стороны таких сервисов, как GitHub и облачные провайдеры.

JINX-0164 также развернул вторичное ВПО под названием MINIRAT, менее сложную бэкдор-программу, которая обеспечивает базовую разведку и закрепление на зараженных машинах. Инфраструктура этого актора имитирует легитимные сервисы, что отражает продуманную стратегию проникновения и эксплуатации финансово мотивированной цели, создавая тем самым значительную угрозу для организаций в секторе криптовалют.

#ParsedReport #CompletenessMedium
28-05-2026

Chinese APT Campaign Targets Entities with Updated FDMTP Backdoor

https://www.darktrace.com/blog/chinese-apt-campaign-targets-entities-with-updated-fdmtp-backdoor

Report completeness: Medium

Actors/Campaigns:
Red_delta
Typhoon

Threats:
Fdmtp
Dll_sideloading_technique
Spear-phishing_technique
Appdomain_hijacking_technique
Clickonce_tool

Victims:
Finance

Geo:
Asia-pacific, Chinese, Japan, China

TTPs:
Tactics: 3
Technics: 10

IOCs:
File: 29
Domain: 4
Path: 1
Hash: 9

Soft:
Visual Studio, Sogou, NET framework, TouchSocket, Component Object Model

Algorithms:
xor, gzip, aes, base64, zip

Functions:
GetBrowserManagerInstance, InitializeNewDomain

Win API:
LoadLibraryExW

Win Services:
bits

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Darktrace выявила продолжающуюся киберактивность китайской спонсируемой государством группы Twill Typhoon, нацеленную на страны Азиатско-Тихоокеанского региона и Японию с конца сентября 2025 года. Группа использует сложную стратегию подгрузки (sideloading), скачивая легитимные исполняемые файлы и связанные с ними DLL-библиотеки для развертывания троянской программы на базе .NET, которая устанавливает каналы управления для связи. Ключевыми компонентами атаки являются эксплуатация механизма Windows ClickOnce и сильно обфусцированные бэкдоры, такие как Client.TcpDmtp.dll, что обеспечивает постоянное взаимодействие и профилирование системы.
-----

В ходе недавнего анализа Darktrace выявила продолжающуюся киберактивность, связанную с китайской группой, спонсируемой государством, известной как Twill Typhoon, которая в первую очередь нацелена на регионы Азиатско-Тихоокеанского региона и Японии. Кампания, начавшаяся в конце сентября 2025 года, продемонстрировала различные клиентские среды, отправляющие запросы к доменам, маскирующимся под сети доставки контента (CDN). Эти домены были связаны с известными сервисами, включая Yahoo и Apple. Методология атаки включает загрузку легитимных исполняемых файлов вместе с вредоносными динамическими библиотеками (DLL) для обеспечения выполнения модульного фреймворка Троянской программы удаленного доступа (RAT) на базе .NET.

Обнаруженная во время кампании последовательная модель выполнения указывает на сложную стратегию подгрузки сторонних библиотек. Сначала загружается легитимный исполняемый файл, затем соответствующий файл конфигурации и, наконец, вредоносная DLL. Этот процесс наблюдался в нескольких инцидентах, когда одна и та же последовательность извлечения данных приводила к установлению связи с управлением (C2). Хотя методы первоначального доступа не были выявлены, исторические паттерны, связанные с Twill Typhoon, предполагают, что Целевой фишинг может предшествовать подобным действиям.

Один конкретный инцидент в финансовом секторе показал, что хосты отправляли множество HTTP GET-запросов на, казалось бы, безобидные домены, связанные с Yahoo, начиная с легитимных бинарных файлов и постепенно загружая связанные конфигурационные и DLL-компоненты. Возможность ВПО работать внутри доверенных процессов подчеркивается его методом именования вредоносной DLL так же, как легитимной, что позволяет ей выполняться при вызове базовым приложением.

Ключевые компоненты атаки включают механизм ClickOnce для Windows (dfsvc.exe) и процесс хостинга Visual Studio (vshost.exe). Вредоносные конфигурации заменяют легитимные файлы, манипулируя тем, как выполняются целевые процессы, и внедряя бэкдоры без немедленного вызова тревог. В качестве заметного примера процесс заменяет конфигурации и изменяет поведение приложения, чтобы обеспечить бесшовную загрузку вредоносной DLL (dnscfg.dll).

Основной полезный груз — сильно зашифрованный бэкдор под названием Client.TcpDmtp.dll, который работает по собственному протоколу TCP и обновленной версии протокола передачи сообщений Duplex Message Transport Protocol (FDMTP 3.2.5.1). Бэкдор поддерживает постоянное взаимодействие с сервером C2 и обладает возможностями профилирования системы и выполнения команд. Он глубоко интегрируется в систему, управляя жизненным циклом и обслуживанием с помощью различных компонентов, включая основную библиотеку и дополнительные плагины, способные выполнять постоянные изменения в реестре.

Выводы согласуются с установленными паттернами угроз, связанных с Китаем, подчеркивая поведенческую модель вместо конкретных индикаторов для обнаружения. Как отмечалось, хотя техники и инфраструктура могут эволюционировать, фундаментальные методологии выполнения выявляют стабильную и узнаваемую тактику. Этот вывод предполагает, что киберзащита должна сосредоточиться на мониторинге этих поведенческих паттернов для усиления усилий по обнаружению и предотвращению таких сложных кампаний.

#ParsedReport #CompletenessMedium
28-05-2026

Grandoreiro Malware Campaign Targets Europe and Latin America

https://www.watchguard.com/wgrd-security-hub/secplicity-blog/grandoreiro-malware-campaign-targets-europe-and-latin-america

Report completeness: Medium

Threats:
Grandoreiro
Dll_sideloading_technique

Victims:
Banking, Companies, Europe, Latin america

Industry:
Iot, Financial

Geo:
Argentina, Portugal, Spain, Latin america, Brazil, Mexico, Portuguese, Spanish, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1047, T1059.005, T1071.005, T1105, T1497.001, T1518, T1518.001, T1566.002, have more...

IOCs:
File: 13
Domain: 1
Url: 1
IP: 1

Soft:
WebRTC, Dropbox, Sysinternals, NetworkMiner, Google Chrome, Firefox, Microsoft Edge

Crypto:
binance

Algorithms:
zip

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Grandoreiro нацелена на банковские учреждения в Европе и Латинской Америке, используя DLL Side-Loading с библиотеками, созданными в Delphi 11, и техниками реального времени, такими как SGC WebSockets и WebRTC, что усложняет обнаружение. Начальным вектором атаки является фишинг, который побуждает пользователей загружать вредоносные ZIP-файлы из Dropbox. ВПО использует пиринговую связь через протоколы STUN и ICE, взаимодействует с Облачными сервисами и включает проверки на наличие средств защиты, что подчеркивает его адаптивность в избежании обнаружения.
-----

Вредоносная кампания Grandoreiro активно нацелена на банковские учреждения в Европе и Латинской Америке, в частности в Португалии и Испании, а также расширяет свое присутствие в Мексике. Злоумышленник использует технику DLL Side-Loading, применяя различные библиотеки программного обеспечения — включая libwebp.dll, mingw10.dll, libffi-6.dll и libpng15.dll, — созданные с помощью Delphi 11. Эти библиотеки интегрированы с файлами HTML, JavaScript и CSS, которые являются частью схемы связи, использующей SGC WebSockets и WebRTC. Такой подход обеспечивает связь в реальном времени между приложениями, что затрудняет обнаружение вредоносной активности, поскольку она функционирует в рамках легитимных шаблонов трафика.

Первоначальный вектор атаки для этой кампании — фишинг, который использует вредоносные ссылки, направляющие пользователей на Dropbox для загрузки ZIP-файлов, содержащих ВПО. Выявленные домены, используемые для этих ссылок, такие как uniaodownloadcnk.online и vmi.contaboserver.net, связаны с облачным хостингом и были недавно созданы для поддержки кампании.

Два конкретных случая дополнительно иллюстрируют операционные техники вредоносного ПО. Первый случай использует протокол STUN, позволяющий вредоносному ПО определить публичный IP-адрес жертвы и осуществлять связь по принципу «peer-to-peer». Вариант mingwn10.dll подключается к сервисам Google Cloud, тогда как libwebp.dll взаимодействует с Azure через протокол MQTT, потенциально нацеливаясь на устройства Интернета вещей (IoT). Использование шумного трафика веб-конференций усложняет усилия по мониторингу, делая злонамеренную деятельность менее заметной.

Во втором случае вредоносное ПО использует протокол ICE, также предназначенный для одноранговых коммуникаций, и взаимодействует с API Binance вместе с сервисами Amazon через MQTT. Эта вариация содержит ссылки как на португальские банки, так и на некоторые китайские строки, что указывает на разнообразный операционный охват. Дополнительные проверки в коде вредоносного ПО включают функциональность режима киоска, которая ограничивает доступ пользователя к другим приложениям, обеспечивая скрытые операции.

Помимо техник подгрузки DLL, задокументирована отдельная кампания, связанная с сильно обфусцированным скриптом Visual Basic (VBS), который устанавливает вредоносное ПО после выполнения. Скрипт VBS проверяет наличие различных средств защиты, таких как утилиты из набора Sysinternals и приложения для сетевого анализа, а также определяет, выполняется ли он в виртуальной среде. Кроме того, он использует WMI для запроса списка антивирусных продуктов, установленных в системе.

Продолжающаяся эволюция кампании Grandoreiro подчеркивает необходимость надежных мер кибербезопасности. Мотивированные финансовой выгодой злоумышленники быстро адаптируют свои стратегии, используя легитимные сервисы для сокрытия своей деятельности и эффективного уклонения от традиционных методов обнаружения. Организациям в затронутых регионах необходимо принять многоуровневую стратегию защиты, включающую поведенческое обнаружение и комплексный мониторинг для упреждающего выявления и снижения риска банковских троянов до того, как они нанесут ущерб.

#ParsedReport #CompletenessMedium
28-05-2026

GREYVIBE: A Rus

https://labs.withsecure.com/publications/greyvibe.html

Report completeness: Medium

Actors/Campaigns:
Greyvibe (motivation: cyber_criminal, information_theft)
Fin12

Threats:
Spear-phishing_technique
Legionrelay
Phantomrelay
Phantomclick_tool
Clickfix_technique
Fallspy
Zapixdesk
Lookvaljs
Teasoup
Kongtuke
Sawdust_tool
Crudedust_tool
Lookvalps
Trickbot
Xmrig_miner

Victims:
Military, Government, Civilian, Business, Ukrainian combatants, Ukraine related entities

Industry:
Energy, Military, Government

Geo:
Russia, Ukrainian, Ukraine, Latvian, Moscow, Rus, Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1021.001, T1027, T1041, T1059.001, T1059.003, T1059.007, T1071.001, T1082, have more...

Soft:
Zoom, Android, Telegram, WireGuard, ChatGPT, Microsoft Teams, WhatsApp

Algorithms:
zip, exhibit

Languages:
powershell, javascript

Links:
https://github.com/WithSecureLabs/iocs/tree/master/GREYVIBE/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GREYVIBE — это хакерская группировка, нацеленная на Украину, действующая в интересах российского государства с августа 2025 года, использующая такие методы, как Целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты. Их арсенал ВПО включает инструменты собственной разработки, такие как RAT PhantomRelay на базе PowerShell, который имеет модульную архитектуру и использует WebSockets для управления, а также вредоносное ПО для Android FallSpy для слежки. Недавнее использование GREYVIBE генеративного искусственного интеллекта для улучшения операций указывает на изменяющийся ландшафт угроз, усложняя усилия по обнаружению и атрибуции.
-----

GREYVIBE — это хакерская группировка, выявленная WithSecure, которая с августа 2025 года преимущественно нацелена на Украину и организации, связанные с Украиной. Деятельность группы демонстрирует значительные пересечения в инфраструктуре атак и операционных методологиях, что указывает на устойчивую кампанию, согласованную с интересами российского государства, особенно в контексте российско-украинской войны. Операции GREYVIBE характеризуются использованием различных векторов атак, включая целевой фишинг, поддельные страницы captcha и мошеннические веб-сайты, имитирующие украинские организации. Эти методы способствовали распространению ВПО, преимущественно кастомных вариантов, таких как PhantomRelay, FallSpy и LegionRelay.

PhantomRelay, Троянская программа удалённого доступа (RAT) на базе PowerShell, использует двухэтапную цепочку выполнения и осуществляет связь с сервером управления через WebSockets. Её модульная архитектура позволяет расширять функциональность с помощью дополнительных скриптов. Группа выпустила несколько вариантов PhantomRelay, последним из которых является PhantomRelayV2, что демонстрирует явное развитие их возможностей по созданию вредоносного программного обеспечения (ВПО). FallSpy, доступная для Android, предназначена для слежки и тайного сбора разведывательных данных, осуществляя эксфильтрацию информации с заражённых устройств, при этом показывая пользователю поддельный контент.

Согласно недавним оперативным тенденциям, GREYVIBE экспериментирует с системами в стиле ClickFix для создания поддельных страниц для начального развертывания вредоносного ПО. Кроме того, их широкое использование генеративного искусственного интеллекта и больших языковых моделей на протяжении всего жизненного цикла атаки усилило их оперативные возможности. Это позволило GREYVIBE эффективно разрабатывать приманки, обфускаторы и загрузчики, быстро устраняя технические пробелы и усложняя традиционные методы атрибуции из-за динамичной природы их набора инструментов.

Их атрибуция дополнительно усложняется указаниями на то, что группа имеет связи с более широким экосистемой киберкриминал, с доказательствами их ВПО, появляющимися в несвязанных киберкриминал деятельности. Операторы, вероятно, русскоязычные, работающие в часовых поясах Москвы, и их деятельность сильно указывает на согласование с российскими целями сбора разведданных.

Хотя анализ WithSecure подтверждает мнение о том, что операции GREYVIBE связаны с российскими государственными интересами, они не демонстрируют зрелости, типичной для более продвинутых злоумышленников. Однако постоянная разработка и развертывание сложных инструментов, а также интеграция искусственного интеллекта в их стратегии указывают на то, что GREYVIBE может продолжать развиваться, что делает непрерывное обнаружение и атрибуцию все более сложными задачами для усилий в области кибербезопасности. Согласно последним отчетам, окончательных связей с другими известными группами злоумышленников не установлено, хотя мониторинг будет продолжаться для определения любых потенциальных пересечений с существующей кибердеятельностью.