#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В пакете codexui-android, предназначенном для OpenAI Codex, обнаружена уязвимость, обеспечивающая эксфильтрацию токенов аутентификации на сервер, контролируемый злоумышленником. Такое вредоносное поведение также воспроизводится в другом приложении — OpenClaw Codex Claude AI Agent, что указывает на скоординированную стратегию автора «BrutalStrike», выпустившего несколько связанных приложений. Оба приложения используют общую кодовую базу и механизмы вредоносной эксфильтрации, что выявляет более широкую тенденцию к превращению внешне полезных инструментов разработки на базе ИИ в средства для кражи учётных данных.
-----

Обеспокоивающая уязвимость появилась в Цепочка поставок программного обеспечения, что иллюстрируется пакетом codexui-android — удаленным веб-интерфейсом, предназначенным для OpenAI Codex. Несмотря на то, что он выглядит легитимным и набирает значительную популярность с 27 000 загрузок в неделю, этот пакет был обнаружен как похищающий токены аутентификации Codex на сервер, контролируемый злоумышленником, при каждом использовании. Это вредоносное поведение подчеркивает более широкую тенденцию, когда кажущиеся полезными инструменты используются для кражи учетные данные, что указывает на повышенный риск, связанный с инструментами разработки на базе ИИ из-за их мощных и постоянных токенов доступа.

Угроза не ограничивается только пакетом codexui-android. Тот же автор также распространяет Android-приложение под названием OpenClaw Codex Claude AI Agent, доступное в Google Play и демонстрирующее аналогичную вредоносную функциональность. При установке это приложение автоматически переносит скомпрометированную сборку npm на устройство пользователя. Оно использует компактную структуру APK, которая при первом запуске настраивает пользовательское пространство Linux на базе Termux и запускает Node.js, тем самым обеспечивая скрытое выполнение вредоносного кода.

Анализ программного портфолио автора раскрывает дополнительные детали. Как приложение OpenClaw, так и codex.app используют одну и ту же кодовую базу и вредоносную инфраструктуру, что подтверждается общим пространством имен Kotlin и схожими процессами инициализации. Кроме того, наличие одного и того же механизма вредоносной эксфильтрации, встроенного в несколько приложений, указывает на скоординированную стратегию атаки. Более того, лицо, идентифицированное как «BrutalStrike» и стоящее за этими приложениями, имеет множество других заголовков в экосистеме Google Play, что свидетельствует о потенциально широком охвате и способности распространять ВПО под видом легитимного программного обеспечения.

Этот развивающийся вектор атаки подчеркивает важность бдительности в экосистемах разработки и распространения программного обеспечения, особенно в отношении интеграции инструментов искусственного интеллекта, которые могут подвергнуть пользователей краже учетных данных и несанкционированному доступу. По мере того как ландшафт киберугроз продолжает смещаться в сторону сложных стратегий, необходимость проактивных мер по выявлению и смягчению таких рисков становится первостепенной.

#ParsedReport #CompletenessHigh
28-05-2026

Inside MicrosoftSystem64: A Supply Chain RAT Exfiltrating to HuggingFace

https://safedep.io/microsoftsystem64-binary-payload-analysis/

Report completeness: High

Actors/Campaigns:
Toskypi
Famous_chollima
Contagious_interview

Threats:
Supply_chain_technique
Microsoftsystem64
Bigsquatrat

Victims:
Developers, Cryptocurrency trading bot developers, E commerce operations, Cryptocurrency users

Industry:
E-commerce

Geo:
Dprk

TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 2
File: 12
Hash: 1
Url: 2
Command: 2
BrowserExtension: 14
Coin: 1
Email: 2
Domain: 2

Soft:
HuggingFace, macOS, Node.js, Chromium, Firefox, Telegram, Linux, Chrome, Opera, Vivaldi, have more...

Wallets:
metamask, keplr, coinbase, solflare, exodus_wallet, tronlink, rabby, unisat, sui_wallet, polkadot, have more...

Crypto:
binance, ethereum, solana, bitcoin, aptos, tezos, polkadot

Algorithms:
zip, sha1, gzip, sha256, xor, rc4, base64

Functions:
SetWindowsHookEx, createCommit, packTdata

Win API:
GetAsyncKeyState, hookProc

Languages:
powershell, python, javascript

Platforms:
cross-platform

Links:
https://github.com/safedep/vet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года пакет npm «js-logger-pack» превратился в сложный RAT и стиллер «MicrosoftSystem64», способный похищать данные из более чем 80 криптокошельков и веб-браузеров. Это ВПО подключается к серверу C2 через WebSocket, использует HuggingFace для хранения данных и применяет такие техники, как кейлоггер и периодические скриншоты, маскируя своё поведение с помощью XOR-шифра. Приписывается группе FAMOUS CHOLLIMA, оно обладает возможностями самостоятельного обновления и поддерживает 24 удалённые команды, обеспечивая скрытную и устойчивую работу.
-----

В начале апреля 2026 года вредоносный пакет npm «js-logger-pack» прошел через несколько версий в реестре, эволюционировав из безобидного зонда в сложную троянскую программу для удаленного доступа (RAT) и стиллер информации под названием «MicrosoftSystem64». Этот 81 МБ обрезанный ELF-бинарник, имеющий варианты для Windows и macOS, подключается к серверу управления (C2) через WebSocket и использует платформу HuggingFace в качестве канала эксфильтрации данных. Возможности вредоносного ПО включают эксфильтрацию конфиденциальных данных из более чем 80 расширений криптовалютных кошельков, различных веб-браузеров и SSH-ключей, а также функционал для удаленного выполнения команд и механизмов закрепления в различных операционных системах.

MicrosoftSystem64 использует Node.js v20.18.2, упакованный как Single Executable Application (SEA), что способствует уклонению от обнаружения за счет Маскировка под нативное приложение и усложняет статический анализ. Он применяет простой XOR-шифр для обфускации конфигураций, раскрывая ключевую информацию, такую как конечная точка C2-сервера и механизмы обновления с HuggingFace. Эксфильтрация данных происходит через создание частных наборов данных на HuggingFace, при этом украденные данные загружаются по HTTPS в виде коммитов Git LFS. Этот метод не только обходит традиционные системы обнаружения, но и снижает операционные затраты для злоумышленников, поскольку они перекладывают хранение данных на легитимный сервис.

Вредоносное ПО реализует различные специфические возможности, включая кроссплатформенный кейлоггер, который отслеживает нажатия клавиш и буфер обмена, периодический захват скриншотов и систематическое кражу данных браузера, нацеленное на 15 семейств браузеров. Похищенные данные тщательно организованы в именованные наборы данных на основе идентификаторов жертв и типов данных. Функциональность самообновления гарантирует, что двоичный файл может развиваться после развертываний, повышая устойчивость угрозы.

Архитектура C2 поддерживает 24 различных удаленных команды, обеспечивая комплексный контроль для злоумышленников. Примечательно, что она использует такие техники, как завершение процессов браузера для доступа к заблокированным базам данных при краже учетных данных и сжатие данных для загрузки с целью поддержания скрытности. Недавняя разведка инфраструктуры злоумышленника подтвердила продолжающиеся операции и активное наблюдение за жертвами.

Атака, по-видимому, связана с более широкой кампанией, приписываемой группе FAMOUS CHOLLIMA, которая известна использованием вредоносных пакетов npm для нацеливания на разработчиков. Оперативный шаблон включает быструю ротацию учетных записей и переключение между различными учетными записями HuggingFace для уклонения от обнаружения после того, как они были отмечены. Организациям, использующим любые пакеты из кластеров "jpeek*" или "toskypi", рекомендуется считать системы скомпрометированными и предпринять немедленные меры безопасности, такие как ротация учетных данных и сканирование зависимостей.

#ParsedReport #CompletenessHigh
01-06-2026

FSB’s matryoshka #1/3 – Gamaredon’s gifts that keeps unpacking – GammaPhish and GammaWorm

https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Sandworm
Turla

Threats:
Gammaphish
Gammaworm
Gammaload
Gammasteel
Pteranodon
Spear-phishing_technique
Rms_tool
Ultra_vnc_tool
Litterdrifter
Powerpunch
Quietsieves
Gammadrop
Gamawiper
Pterodoc
Pterolnk
Pterodousb
Usbstealer
Gammawipe
Dead_drop_technique
Smuggling_technique
Dllsearchorder_hijacking_technique

Victims:
Government, Military, Critical infrastructure, Ukraine

Industry:
Government, Critical_infrastructure, Military

Geo:
Ukrainian, Russia, China, Russian, Ukraine

CVEs:
CVE-2018-20250 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (le5.61)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.006, T1036.004, T1036.005, T1041, T1047, T1053.005, T1059.001, T1059.005, T1059.007, have more...

IOCs:
File: 22
Hash: 2
Url: 9
Path: 5
Registry: 2
Domain: 6
IP: 1

Soft:
Telegram, Gamma, Windows registry, Windows COM, Windows Explorer, curl

Algorithms:
md5, base64

Functions:
Get-Item

Languages:
php, powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, российская государственная кибершпионская группа, нацелена на правительство, военные и критическую инфраструктуру Украины с помощью сложного арсенала ВПО. Их стратегия заражения использует вредоносные xHTML-файлы для эксплуатации уязвимости CVE-2025-8088, позволяющей Удаленное Выполнение Кода, и применяет модульную архитектуру ВПО, включающую такие компоненты, как GammaPhish, GammaLoad, GammaWorm и GammaSteel. Примечательные тактики включают использование Альтернативных потоков данных NTFS для скрытого распространения и мониторинга в реальном времени для эксфильтрации данных, а также надежные механизмы закрепления.
-----

Gamaredon, государственная хакерская группа кибершпионажа, связанная с ФСБ России, сохраняет устойчивый фокус на Украине, нацеливаясь на государственные, военные и критические инфраструктурные сектора. Их операции значительно эволюционировали за последнее десятилетие, демонстрируя сложный арсенал ВПО, который обеспечивает персистентные вторжения и непрерывную эксфильтрацию конфиденциальной информации. Данный анализ предоставляет информацию о текущих тактиках Gamaredon, в частности об их последней цепочке заражения и классификациях ВПО.

Стратегия заражения группы использует легитимные функции Windows и доверенные платформы, что обеспечивает минимальное количество следов на скомпрометированных машинах. Их методы эксплуатируют решения облачного хранения и мессенджеры, такие как Телеграм. Примечательно, что Gamaredon разработал модульную архитектуру ВПО, перейдя от более ранних фреймворков к автономным, специализированным компонентам ВПО. Эта фрагментация позволяет операторам развертывать конкретные инструменты, адаптированные под их цели.

Недавние данные, опубликованные Sekoia.io, описывают процесс заражения, начавшийся в январе 2026 года. Изначально злоумышленники используют вредоносный файл xHTML, который эксплуатирует уязвимость CVE-2025-8088 — критическую уязвимость WinRAR, позволяющую осуществлять Удаленное Выполнение Кода. Эта уязвимость позволяет вредоносным файлам извлекаться в постоянные места, такие как каталог автозагрузки Windows, где они запускаются при входе пользователя в систему. Этот метод подчеркивает зависимость Gamaredon от социальной инженерии, при которой пользователи невольно запускают ВПО, работая с оружиемизированными документами.

Семейство ВПО, связанное с Gamaredon, теперь включает такие компоненты, как GammaPhish для первоначального доступа, GammaLoad для распространения полезной нагрузки, GammaWorm для распространения и GammaSteel как информационный стиллер. GammaWorm особенно примечателен благодаря использованию VBScript и альтернативных потоков данных NTFS (ADS), что позволяет ему невидимо внедрять и выполнять вредоносный код. Этот метод также способствует самораспространению через USB-накопители и сетевые общие ресурсы, применяя сложные тактики сокрытия, включая создание вредоносных ярлыков, имитирующих легитимные каталоги, что дополнительно повышает его скрытность.

GammaSteel, недавний компонент-стиллер на базе PowerShell, демонстрирует возможность мониторинга файловой активности в реальном времени на локальных и сетевых дисках с эксфильтрацией конфиденциальных данных как в облачные хранилища, так и на серверы, контролируемые оператором. Такая архитектура обеспечивает гибкость в выполнении команд и оперативное обновление операторов, повышая способность группы быстро адаптироваться.

Механизмы закрепления ВПО Gamaredon являются надежными, они используют модификации реестра и запланированные задачи для обеспечения выживаемости после перезагрузок системы. Тактика, применяемая этой группой, отражает глубокое понимание оперативной безопасности, стремясь оставаться незамеченными, одновременно оказывая длительное влияние на целевые среды.

#ParsedReport #CompletenessLow
01-06-2026

Fake BlueWallet steals passwords, accounts, and crypto from Macs

https://www.malwarebytes.com/blog/threat-intel/2026/06/fake-bluewallet-steals-passwords-accounts-and-crypto-from-macs

Report completeness: Low

Victims:
Mac users, Cryptocurrency users, Password manager users, Communication app users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1030, T1036, T1041, T1059.002, T1059.004, T1071.001, T1102.002, T1105, have more...

IOCs:
Domain: 2
File: 2
Hash: 1
Coin: 2

Soft:
macOS, Telegram, Google Chrome, Microsoft Edge, Vivaldi, Opera, Opera GX, Chromium, Coccoc, Firefox, have more...

Wallets:
bluewallet, electrum, atomicwallet, trezor, bitcoincore, litecoincore, dashcore, coinomi, tonkeeper, unisat, have more...

Crypto:
bitcoin, ethereum, solana, dogecoin, monero, binance

Algorithms:
base64, xor, zip, sha256

Win API:
Arc

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена киберугроза, нацеленная на пользователей Mac, которая использует поддельный сайт BlueWallet для распространения вредоносного AppleScript посредством социальной инженерии, а не путем эксплуатации уязвимостей macOS. ВПО перехватывает конфиденциальные данные через масштабный захват буфера обмена и обрабатывает информацию о криптографических кошельках и менеджерах паролей, тайно перенаправляя средства. Оно работает в два этапа, используя Телеграм для управления и эксфильтрации, что создает значительные трудности для обнаружения из-за его интеграции с легитимными функциями macOS и зашифрованными каналами связи.
-----

Обнаружена вредоносная операция, нацеленная на пользователей Mac через поддельный сайт BlueWallet, имитирующий легитимный биткоин-кошелек. Эта стратегия включает тактики социальной инженерии, а не эксплуатацию уязвимостей в macOS. Жертв обманывают, заставляя загружать и выполнять вредоносный AppleScript, который выглядит безвредно, тем самым предоставляя злоумышленникам доступ к конфиденциальной информации на их системах.

Вредоносное ПО может захватывать сохраненные пароли, информацию о криптографических кошельках, документы и другие конфиденциальные данные, используя обширные техники перехвата буфера обмена. Оно отслеживает активность буфера обмена, чтобы заменять адреса криптографических кошельков на те, которые контролируются злоумышленником, обеспечивая скрытое перенаправление средств без ведома пользователя. Метод доставки особенно коварен; скрипт разработан для обхода базовых проверок безопасности путем инструктирования доверенного инструмента macOS выполнять код, тем самым скрывая его вредоносную природу.

Вредоносное ПО работает в двух основных этапах. Начальный этап представляет собой небольшой AppleScript, маскирующийся под системное обновление, который загружает реальную полезную нагрузку через скрытую команду, выполняемую в фоновом режиме. Второй этап, после запуска, создает скрытую рабочую директорию и получает настройки конфигурации из слабо обфусцированных значений. Примечательно, что вредоносное ПО использует канал Телеграм как для управления, так и для эксфильтрации данных, используя возможности платформы в области безопасности и масштабируемости.

Эта конкретная угроза целенаправленно атакует различные криптовалютные кошельки и связанные с ними инструменты, включая популярные приложения, такие как Electrum, Exodus и Trezor Suite, а также расширения для браузерных кошельков. Помимо криптовалют, ВПО стремится к компрометации Менеджеров паролей, таких как LastPass и Bitwarden, и приложений для двухфакторной аутентификации, таких как Google Authenticator. Оно также пытается получить доступ к данным сессий из приложений для общения, включая Телеграм и Discord, что усиливает потенциальные риски для жертв.

Для эксфильтрации собранных данных вредоносное ПО архивирует информацию перед отправкой на канал управления через Телеграм, поддерживая скрытую работу. Это также включает компонент, который непрерывно мониторит буфер обмена на наличие адресов криптовалют, повышая способность злоумышленников захватывать финансовые транзакции в реальном времени. Команды управления могут выполняться удаленно через Телеграм, что создает значительные трудности для обнаружения и смягчения последствий.

Сложности в обнаружении возникают из-за эффективного использования повседневных функций macOS, а также ожидаемой сложности в маркировке коммуникаций Telegram как вредоносных. Для обнаружения могут быть использованы поведенческие сигналы, связанные с работой AppleScript, что требует повышенного внимания к неожиданным выполнениям скриптов и использованию Telegram в качестве средства связи для целей управления. В целом, эта кампания иллюстрирует изменяющийся ландшафт киберугроз, подчеркивая важность осведомленности пользователей и проактивных мер безопасности.

#ParsedReport #CompletenessMedium
01-06-2026

Mini Shai-Hulud Campaign Hits Red Hat Cloud Services npm Packages

https://socket.dev/blog/mini-shai-hulud-campaign-hits-red-hat-cloud-services-npm-packages

Report completeness: Medium

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Credential_harvesting_technique
Shai-hulud
Blight_botnet

Victims:
Cloud services, Software development, Ci cd systems, Developers

Geo:
Russian

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 9
Registry: 3
Url: 1
Domain: 1
Hash: 5

Soft:
Kubernetes, anthropic, curl, Docker, sudo

Algorithms:
aes-gcm, zip, aes-256-gcm, sha256

Win API:
lockfile

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Mini Shai-Hulud нацелена на пакеты npm в рамках Облачных сервисов Red Hat, компрометируя их для кражи конфиденциальной информации, такой как токены GitHub Actions и учетные данные облачных систем. ВПО активируется через обфусцированный хук preinstall в процессе установки npm, используя методы зашифрованной эксфильтрации и динамического выполнения с помощью JavaScript-загрузчика. Данная кампания применяет передовые методы закрепления, проверки окружения на наличие переменных CI/CD и может манипулировать рабочими процессами GitHub, представляя значительные риски для разработчиков и автоматизированных систем.
-----

Недавняя кампания Mini Shai-Hulud нацелена на пакеты npm в пространстве имен Red Hat Cloud Services, компрометируя их для кражи конфиденциальной информации разработчиков и секретов CI/CD в процессе установки. Эта кампания использует тактики, аналогичные предыдущим угрозам, особенно сосредотачиваясь на выполнении в момент установки, сбор учетных записей и распространении по цепочке, что стало возможным благодаря новым открытым источникам атак.

Затронутые пакеты npm используют зашифрованный полезный груз, который активируется через хук preinstall, позволяя вредоносному ПО выполняться в процессе установки npm до любого взаимодействия разработчика с пакетом. Анализ полезного груза выявляет его предназначение для сбора различных высокоценных секретов, включая токены GitHub Actions, токены npm, облачные учетные данные и SSH-ключи. Полезный груз также оснащен зашифрованными возможностями эксфильтрации и механизмом резервного копирования для использования GitHub для дальнейшей про

В частности, вредоносные пакеты, после установки, используют загрузчик JavaScript, который расшифровывает встраиваемую полезную нагрузку с помощью AES-128-GCM и выполняет код динамически из зашифрованного файла index.js. Этот метод скрывает вредоносные функции от статического анализа и подготавливает дополнительные действия по краже учетных данных и разведке. Загрузчик работает автоматически до завершения установки, вводя пользователей в заблуждение, выдавая себя за легитимную функциональность Red Hat Cloud Services.

ВПО использует сложные методы закрепления и проверки окружения, включая оценку переменных систем CI/CD и средств защиты, что снижает риски обнаружения. К заметным функциональным возможностям относятся извлечение контейнерных образов, клонирование репозиториев и доступ к метаданным различных облачных провайдеров и служб управления секретами. Оно также пытается модифицировать рабочие процессы GitHub, тем самым укрепляя свое встроенное присутствие.

Организациям рекомендуется внимательно отслеживать в своих средах любую установку затронутых пакетов, особенно в системах CI/CD, ввиду того, что ВПО нацелено на критически важные секреты автоматизации. В случаях компрометации меры по сдерживанию должны выходить за рамки простого удаления пакетов, подчеркивая необходимость ротации всех скомпрометированных учетных данных, изоляции затронутых систем и анализа журналов на наличие следов атаки.

Усиление контроля за CI/CD и управлением зависимостями имеет первостепенное значение для снижения таких рисков в будущем. Рекомендуемые лучшие практики включают использование белого списка зависимостей, обеспечение целостности файлов блокировки и генерацию программного биллинга (SBOM) для мониторинга подозрительных изменений в пакетах. Бдительность в анализе поведения во время выполнения критически важна для обнаружения любой вредоносной активности, возникающей из-за этих скомпрометированных пакетов.

#ParsedReport #CompletenessHigh
02-06-2026

From Fake Purchase Orders to Remote Access: Analyzing the JS.MonoGlyphRAT Threat to US Enterprises

https://any.run/cybersecurity-blog/monoglyphrat-attacks-us-enterprise/

Report completeness: High

Threats:
Monoglyph_rat
Bec_technique
Amsi_bypass_technique

Victims:
Technology, Managed security service providers, Telecommunications, Education, United states, Germany, Sweden, Australia, Costa rica, Greece, have more...

Industry:
Financial, Telco, Healthcare, Education

Geo:
Turkey, Sweden, Germany, Costa rica, Australia, Poland, Greece

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 16
Hash: 1
Coin: 1
Command: 5
Registry: 1
Url: 1
IP: 2
Domain: 2

Soft:
Linux, Android, Windows registry

Algorithms:
sha256, base64, aes-128-cbc, aes-cbc, aes, xor

Functions:
VirtualProtect

Win API:
AmsiScanBuffer, tualProtect, an

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 27, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JS.MonoGlyphRAT — это сложное ВПО, нацеленное на предприятия США, особенно в секторах технологий и образования, доставляемое в виде файлов JavaScript, маскирующихся под легитимные документы. После запуска оно создает бэкдор, обеспечивая постоянный доступ и развертывание дополнительных вредоносных загрузок, включая программы-вымогатели. Используя уникальные техники обфускации, оно взаимодействует с сервером C2 через HTTP, выполняет команды через PowerShell и применяет такие поведения, как необычные процессы wscript.exe и HTTP-трафик, для уклонения от обнаружения.
-----

JS.MonoGlyphRAT представляет собой новую и передовую киберугрозу, которая оказывает значительное влияние на предприятия США, особенно в таких секторах, как технологии, телекоммуникации, управляемые услуги безопасности и образование. Это ВПО, которое доставляется в виде кажущихся безобидными файлов JavaScript, замаскированных под бизнес-документы, такие как заказы на покупку или коммерческие предложения, и при выполнении устанавливает бэкдор в систему жертвы. Оказавшись внутри, оно позволяет злоумышленникам поддерживать тихий и постоянный доступ, значительно повышая уровень угрозы из-за своей способности развертывать дополнительные вредоносные компоненты, включая программы-вымогатели.

Вредоносное ПО использует уникальную технику обфускации, называемую моноглифом, при которой идентификаторы JavaScript формируются из повторяющихся символов, что затрудняет статический анализ. Функционально JS.MonoGlyphRAT действует как загрузчик, обеспечивая загрузку других вредоносных инструментов и выполнение произвольных команд через PowerShell — преимущественно посредством взаимодействия с Windows Script Host (WSH). Закрепление обеспечивается путем модификации реестра Windows, что гарантирует восстановление вредоносного ПО даже после перезагрузок.

С технической точки зрения, JS.MonoGlyphRAT имеет несколько эксплуатационных характеристик. Он взаимодействует со своим сервером управления (управление) с помощью HTTP-запросов, используя заголовки для параметров задач и команд выполнения. Особо примечательной является его способность загружать зашифрованные с помощью AES полезной нагрузки и выполнять их в памяти, что минимизирует вероятность обнаружения традиционными антивирусными решениями, которые сильно полагаются на известные сигнатуры ВПО. Поведенческие индикаторы вредоносного ПО включают необычные действия, такие как процессы wscript.exe, запускаемые из пользовательских каталогов, взаимодействия с PowerShell с определенными флагами и HTTP-трафик на нестандартных портах, что указывает на связь с сервером управления.

Текущая угроза, исходящая от JS.MonoGlyphRAT, усугубляется его широким потенциалом для оперативных сбоев, финансовых потерь от программ-вымогателей и регуляторных штрафов, а также значительным репутационным ущербом в случае утечек. Активные меры обнаружения требуют сосредоточения на поведенческих паттернах, а не на традиционных методах обнаружения, что подчеркивает важность возможностей немедленного анализа и реагирования.

Вредоносное ПО остаётся неатрибутированным во многих источниках разведки угроз, классифицируясь преимущественно как «Неизвестное вредоносное ПО» на платформах, таких как VirusTotal и ThreatFox, что указывает на критический пробел в усилиях по комплексному публичному отслеживанию и идентификации. Это создаёт сложности для организаций, стремящихся укрепить свою защиту от этой развивающейся угрозы. В связи с этим непрерывный мониторинг выявленных поведенческих сигнатур и использование песочниц для анализа в реальном времени имеют решающее значение для эффективных стратегий защиты от JS.MonoGlyphRAT.

#ParsedReport #CompletenessHigh
01-06-2026

Detecting Nimbus Manticore and their sideloading infection chains

https://www.nextron-systems.com/2026/06/01/detecting-nimbus-manticore-and-their-sideloading-infection-chains/

Report completeness: High

Actors/Campaigns:
Tortoiseshell

Threats:
Dllsearchorder_hijacking_technique
Appdomain_hijacking_technique
Asyncrat
Junk_code_technique
Supply_chain_technique

Victims:
Aerospace, Defense

Industry:
Bp_outsourcing, Financial, Aerospace

Geo:
Iran, Middle east

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.016, T1036, T1036.003, T1071.001, T1090, T1204.002, T1564.001, T1566.002, T1574.001, have more...

IOCs:
Url: 1
File: 3
Hash: 10
Domain: 11

Soft:
Microsoft Visual Studio, Microsoft Word

Algorithms:
zip, aes

Functions:
TaskScheduler, CheckForUpdates

Win API:
LoadLibrary, NtGlobalFlag

YARA: Found

Links:
https://github.com/NextronSystems/iocs/tree/master/reports/UNC1549%20(Nimbus%20Manticore)
https://github.com/Neo23x0/signature-base/pull/410/changes

#ParsedReport #GeneratedSchema
Generated with GPT-4