#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PHANTOMPULSE — это сложная Троянская программа (RAT), связанная с северокорейскими кибергруппами, которая целенаправленно атакует сектор криптовалют. Она использует передовые методы, такие как три способа Внедрения кода в процессы, канал управления через транзакции в блокчейне Ethereum без проверки отправителя, а также обход UAC для повышения привилегий. ВПО использует прямые системные вызовы для уклонения от механизмов обнаружения и демонстрирует мощные возможности наблюдения, включая Регистрацию нажатий клавиш и захват скриншотов, что отражает высокую организованность и активность злоумышленника.
-----

PHANTOMPULSE — это сложная троянская программа (RAT), представляющая значительную угрозу в секторе криптовалют, доставляемая через хакерскую группировку REF6598. Анализ этого ВПО выявляет несколько продвинутых техник, применяемых в его архитектуре, что указывает на высокоорганизованного злоумышленника, возможно, связанного с северокорейскими кибергруппировками, такими как Lazarus и BlueNoroff.

Этот RAT использует три различных метода Внедрения кода в процессы и устанавливает связь с центром управления (C2) через уникальный механизм, основанный на транзакциях блокчейна Ethereum. Примечательно, что механизм C2 не предусматривает проверку отправителя, что создает потенциальную возможность для организации sinkhole защитниками кибербезопасности. PHANTOMPULSE обходит контроль учетных записей (UAC) с помощью техники schuac, эффективно повышая привилегии без привлечения внимания. ВImplantе наблюдаются явные признаки разработки с помощью ИИ: подробное логирование и структурированные операционные сообщения, указывающие на автоматизированные практики программирования.

Вредоносное ПО использует прямые системные вызовы и обертки API, опираясь на блок окружения процесса (PEB) для оптимизации разрешения функций. Эта эффективность позволяет PHANTOMPULSE избегать механизмов обнаружения, таких как интерфейс сканирования антивирусного программного обеспечения (AMSI), политика блокировки Windows (WLDP) и трассировка событий для Windows (ETW), посредством стратегии общих аппаратных точек останова. Данная реализация включает сложные методы для бесшовного перехвата вызовов API, эффективно подделывая возвращаемые значения без изменения базового кода, что делает традиционные сигнатурные методы обнаружения неэффективными.

Цепочка выполнения PHANTOMPULSE начинается с функции оркестровки, которая хеширует имена пользователя и компьютера для быстрого выхода, если процесс распознается как песочница. Возможность самовосстановления ВПО обеспечивает закрепление, с проверками каждые десять итераций для поддержания foothold даже при прерываниях. Кроме того, оно систематически мониторит систему на наличие высокоценных приложений, тем самым позволяя операторам адаптировать последующие задачи на основе выявленного присутствия программного обеспечения.

Кроме того, PHANTOMPULSE реализует несколько техник внедрения, таких как PhantomInject для модульного стампинга и DbgNexum для управления выполнением через API отладки Windows, демонстрируя продвинутые механизмы обфускации и уклонения. RAT также содержит клавиатурный шпион и может делать скриншоты, что дополнительно подчеркивает его возможности слежки, адаптированные для криптографической среды.

Общее поведение и тактика PHANTOMPULSE отражают зрелую операцию, характеризующуюся активным циклом разработки. Использование блокчейна для разрешения задач C2 перекликается со стратегиями, приписываемыми группам, связанным с КНДР, что подтверждает целенаправленные усилия против платформ криптовалют. Эта информация дает четкое указание организациям, работающим в сфере криптовалют, усилить меры безопасности, сосредоточившись на поведенческом обнаружении и проактивном поиске транзакций, связанных с индикаторами PHANTOMPULSE.

#ParsedReport #CompletenessMedium
02-06-2026

Operation FlutterBridge: macOS Malvertising Campaign Spreads New FlutterShell Backdoor

https://unit42.paloaltonetworks.com/flutterbridge-new-fluttershell-backdoor/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1089

Threats:
Flutterbridge
Fluttershell
Jscorerunner
Tamperedchef
Sparkle_tool

Victims:
Macos users, Windows users, Google chrome users

Geo:
Germany, France, Australia, Canada, Ukrainian, Ukraine

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.004, T1059.007, T1071.001, T1082, T1083, T1105, have more...

IOCs:
Domain: 8
Hash: 9
File: 4
Url: 3

Soft:
macOS, Flutter, Google Chrome, Flutter's, Chrome, Linux

Algorithms:
sha256, exhibit, base64

Functions:
exit, setSize

Languages:
javascript

Platforms:
intel, apple

Links:
https://github.com/worawit/blutter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FlutterBridge нацелена на системы macOS через кампанию вредоносной рекламы с использованием ВПО FlutterShell, которое функционирует как рекламное ПО и бэкдор, позволяя злоумышленникам выполнять команды и похищать данные. В качестве механизма доставки используются Google Ads, при этом для распространения рекламы, имитирующей легитимные приложения и тем самым обходящей проверку безопасности, задействуются проверенные фирмы-однодневки. Сложная архитектура FlutterShell, включающая возможности инъекции команд и динамический внешний хостинг, обеспечивает частую адаптацию и уклонение от обнаружения, представляя собой постоянную угрозу.
-----

Операция FlutterBridge нацелена на системы macOS с помощью кампании вредоносной рекламы, эволюционировавшей из JSCoreRunner.

Основным ВПО является FlutterShell, который функционирует как рекламное ПО с возможностями бэкдора.

FlutterShell позволяет злоумышленникам выполнять команды оболочки, манипулировать файлами и похищать данные через сервер, контролируемый злоумышленником.

ВПО построено на базе фреймворка Flutter, что позволяет вносить динамические изменения в реальном времени без необходимости перераспределения приложения.

Механизмы доставки включают Google Ads и проверенные компании-обертки, чтобы обмануть пользователей и заставить их установить кажущиеся легитимными приложения.

Недавние варианты функционируют в основном как рекламное ПО, но обладают значительным бэкдор-потенциалом.

FlutterShell использует мост JavaScript-to-native для внедрения и манипуляции командами через компонент WebView.

При запуске он изменяет настройки браузера, в частности Google Chrome, для перехвата трафика на контролируемые злоумышленниками сайты, наполненные рекламой.

ВПО изменяет настройки JSON в файле Secure Preferences браузера Chrome.

Такие варианты, как PodcastsLounge и PDF-Brain, избегают обнаружения с использованием действительных идентификаторов разработчика Apple и нотаризации.

Вредоносный код работает в фоновом режиме, пока приложения остаются полностью функциональными.

Динамическая хостинг вредоносной логики позволяет злоумышленникам обновлять тактики без перераспределения программного обеспечения.

Более поздние варианты используют техники обфускации для затруднения реверс-инжиниринга.

Некоторые варианты включают функцию суммаризации на основе ИИ, используемую для эксфильтрации и обработки данных.

Кампания использует подставные юридические лица с минимальным присутствием для создания фасада легитимности.

Атакующие продемонстрировали адаптивность, постоянно изменяя операции и поддерживая высокий уровень обфускации.

Эта кампания демонстрирует устойчивый уровень угрозы кластера CL-CRI-1089, что требует усиленного анализа безопасности и стратегий реагирования.

#ParsedReport #CompletenessLow
02-06-2026

Miasma: Supply Chain Attack Targeting RedHat npm Packages

https://www.wiz.io/blog/miasma-supply-chain-attack-targeting-redhat-npm-packages

Report completeness: Low

Actors/Campaigns:
Mini_shai-hulud
Teampcp

Threats:
Supply_chain_technique
Miasma
Blight_botnet

Victims:
Red hat, Software development, Cloud services

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1087.004, T1195.001

IOCs:
File: 2
Registry: 3

Soft:
VSCode

Functions:
eval

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
1 июня 2026 года исследователи Wiz выявили атаку на цепочку поставок, затронувшую 32 пакета npm в пространстве имен @redhat-cloud-services, где несанкционированные изменения были внесены для внедрения вредоносного кода при установке с использованием скриптов preinstall. Вредоносный код представляет собой вариант ВПО Mini Shai-Hulud, адаптированный для захвата учетных данных облачных сервисов Google Cloud Platform и Azure, а также генерирующий уникальные зашифрованные payloads для каждого случая заражения, что усложняет усилия по обнаружению. Атака эксплуатировала скомпрометированную учетную запись GitHub сотрудника Red Hat для внесения вредоносных изменений, позволяя обойти стандартные процессы проверки кода.
-----

1 июня 2026 года исследователи Wiz Research сообщили об атаке на цепочку поставок, затронувшей несколько пакетов npm в пространстве имен @redhat-cloud-services, включая 32 затронутых релиза, которые содержали несанкционированные изменения, отклоняющиеся от их исходного кода. Эти скомпрометированные пакеты, в среднем получая около 80 000 загрузок в неделю, включали общий вредоносный код, предназначенный для выполнения на этапе установки. Это стало возможным благодаря недавно добавленным скриптам preinstall, которые вызывали вредоносный JavaScript-файл с именем index.js.

Вредоносная полезная нагрузка основана на варианте вредоносного ПО Mini Shai-Hulud, который был модифицирован по сравнению с оригинальной версией. Хотя косметические аспекты были изменены — ссылки из вселенной «Дюны» заменены на мифологию Древней Греции — основная функциональность осталась существенно схожей с предшественником. Заметным улучшением в этом варианте является внедрение сборщиков данных, предназначенных для сбора учетных данных облачных идентификаторов, с прицелом на Google Cloud Platform (GCP) и Azure. Это развитие сигнализирует о смене фокуса вредоносного ПО в сторону эксплуатации облачной инфраструктуры, помимо извлечения секретов из сред, в которые оно внедряется.

Более того, этот вариант вредоносного ПО генерирует уникальную зашифрованную полезную нагрузку для каждой компрометации, усложняя усилия по обнаружению и смягчению последствий. Это контрастирует с более ранними версиями, которые использовали статические методы, делая хэш-индикаторы компрометации (IOCs) менее надежными, поскольку они были бы применимы только к конкретным версиям затронутых пакетов.

Расследование показало, что компрометация произошла в результате эксплуатации учетной записи GitHub конкретного сотрудника Red Hat, которая была изменена для внесения вредоносных изменений через сиротские коммиты в два репозитория, успешно обойдя протоколы проверки кода. Этот инцидент соответствует наблюдаемым тактикам, техникам и процедурам (TTPs), связанным с операциями TeamPCP Mini Shai-Hulud, но, учитывая публичный релиз кода базового ВПО, существует риск того, что другие злоумышленники смогут адаптировать и воспроизвести эти стратегии, что указывает на необходимость осторожности при определении прямой ответственности.

Для смягчения последствий организациям рекомендуется провести немедленные расследования в соответствующих средах разработки, включая рабочие станции и конвейеры CI/CD, чтобы выявить любые признаки компрометации. Это включает проведение аудитов затронутых пакетов npm и тщательный анализ активности в GitHub на предмет несанкционированных действий или подозрительных токенов доступа. Учитывая потенциальное раскрытие конфиденциальных учетных данных разработчиков, организациям следует рассмотреть возможность ротации ключей и может извлечь выгоду из усиления защиты цепочки поставок программного обеспечения, включая разрешающий список зависимостей, генерацию программного билля о материалах (SBOM) и проактивный мониторинг рабочих процессов разработки и сборки.

#ParsedReport #CompletenessHigh
03-06-2026

TA4922: The Suspected Chinese Crime Group is Going Global

https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global

Report completeness: High

Actors/Campaigns:
Ta4922 (motivation: cyber_espionage, financially_motivated, cyber_criminal, information_theft)
Silver_fox

Threats:
Atlas_rat
Romulusloader
Silentrunloader
Valleyrat
Winos
Gh0st_rat
Anydesk_tool
Syncfuture_tool
Holdinghands
Dll_sideloading_technique
Vulkan_loader
Process_hollowing_technique
Syswhispers_tool
Dll_injection_technique
Bloat_technique

Victims:
Organizations, Companies

Industry:
Financial, Government

Geo:
Chinese, South africa, India, Malaysia, German, Japan, Italy, Indonesia, Italian, Asia, Korea, Taiwan, Germany, Africa, Singapore, United kingdom

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.016, T1036, T1041, T1055, T1055.012, T1056.001, T1071.001, T1082, have more...

IOCs:
IP: 5
Domain: 1
File: 5
Hash: 14
Url: 3

Soft:
WhatsApp, Microsoft Teams, LimeWire, Google Chrome, Chrome, Microsoft Defender, Windows service, Hyper-V, Windows Defender, WeChat, have more...

Algorithms:
zip, sha256, ror13, chacha20, rc4, xor

Functions:
Send, AtlasInfo

Win API:
ZwAllocateVirtualMemory, OpenProcess, WSAStartup, GetLastInputInfo

Languages:
python

Platforms:
cross-platform

Links:
https://github.com/jthuraisamy/syswhispers
https://github.com/EmergingThreats/threatresearch/commit/f7721c28c9f30b905a3ec0c66a0eec0edffec8cb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA4922, группа китайскоязычных киберпреступников, расширила свою деятельность за пределы Восточной Азии в Европу и Африку, развернув различные семейства ВПО, включая Atlas RAT, RomulusLoader и SilentRunLoader. Их атаки часто используют тактики социальной инженерии, особенно сфокусированные на темах кадровых вопросов и выставления счетов, для распространения ВПО через вредоносные электронные письма со ссылками на ZIP-файлы. Наблюдаемые техники включают боковую загрузку DLL для Atlas RAT и использование легитимных исполняемых файлов с RomulusLoader, в то время как SilentRunLoader нацелен на эксфильтрацию данных веб-браузеров, демонстрируя продвинутые возможности и динамичный набор инструментов ВПО.
-----

TA4922 — китайскоязычная киберпреступная группа с передовыми оперативными возможностями и разнообразным набором ВПО.

Их атаки расширились на Европу и Африку, выйдя за пределы Восточной Азии.

Заметные семейства ВПО, используемые TA4922, включают Atlas RAT, RomulusLoader, SilentRunLoader и ValleyRAT (Winos4.0).

TA4922 использует локализованные тактики социальной инженерии, сфокусированные на таких темах, как HR, расчет заработной платы и выставление счетов.

Группа часто использует вредоносные электронные письма со ссылками на ZIP-файлы для начала атак.

Их основные цели включают несанкционированный доступ в целях финансовой выгоды посредством фишинга учетных данных и распространения ВПО.

Кампании с использованием RAT Atlas включали приманки, связанные с кадровыми вопросами, направленные на организации в Японии и Великобритании, с применением техник подгрузки DLL.

RomulusLoader распространяется в составе легитимных исполняемых файлов, что усложняет обнаружение, и разворачивает дополнительные полезную нагрузку.

SilentRunLoader собирает конфиденциальные данные из веб-браузеров, в частности нацеливаясь на Chrome для получения учетных данных и эксфильтрации на серверы C2.

SilentRunLoader разработан на Python, что отражает адаптацию в их процессе разработки вредоносного ПО.

Кампании TA4922 демонстрируют разнообразные методы доставки полезной нагрузки, но используют общие каналы связи и тактики уклонения.

Группа перешла с защищённых почтовых сервисов на более уязвимые платформы обмена сообщениями для фишинга с целью поддержания взаимодействия.

Их оперативные стратегии свидетельствуют о тщательном планировании, адаптированном к функциональным особенностям и культурным контекстам целевых организаций.

Сочетание финансовых мотивов и передовых методов использования ВПО позиционирует TA4922 как значимого злоумышленника.

#ParsedReport #CompletenessMedium
03-06-2026

Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign

https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/

Report completeness: Medium

Threats:
Miasma
Credential_stealing_technique
Supply_chain_technique
Blight_botnet
Obfusnpmjs
Shai-hulud

Victims:
Software development, Cloud services, Open source package ecosystem, Continuous integration and continuous delivery environments, Developer systems

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Registry: 4
IP: 2
Hash: 6

Soft:
Microsoft Defender, HashiCorp Vault, Kubernetes, Linux, macOS, sudo, anthropic, claude, chrome, Microsoft Defender for Endpoint, have more...

Algorithms:
pbkdf2, zip, xor, sha256, aes

Functions:
eval

Languages:
javascript

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок npm включала развертывание 32 вредоносных пакетов через скомпрометированный конвейер CI/CD с использованием легитимных GitHub Actions для аутентификации троянизированного программного обеспечения. Это ВПО, являющееся частью кампании Miasma, выполняет сложные стратегии обфускации для кражи конфиденциальных данных, таких как SSH-ключи, из сред, таких как GitHub и Облачные сервисы, нацеливаясь в основном на системы Linux, но также затрагивая macOS и Windows. Его цепочка атак включает получение учетных данных и самораспространение, эксплуатируя уязвимости экосистемы программного обеспечения и подрывая доверие к целостности цепочки поставок.
-----

Недавняя атака на цепочку поставок npm, направленная на область @redhat-cloud-services, включает 32 злонамеренно измененных пакета, которые были распространены через скомпрометированную конвейерную систему непрерывной интеграции/непрерывной доставки (CI/CD), связанную с RedHatInsights. Злоумышленникам удалось использовать легитимный рабочий процесс публикации GitHub Actions для внедрения троянизированных пакетов, имеющих подлинные подписи происхождения. ВПО, идентифицированное как часть кампании Miasma, применяет техники обфускации и выполняется через хук preinstall в процессе npm install, что обеспечивает автоматическое выполнение без взаимодействия с пользователем.

При установке выполняется зашифрованный скрипт-дроппер размером 4,29 МБ. Он проходит через несколько уровней декодирования — используя различные стратегии обфускации, включая преобразования ROT, за которыми следует расшифровка AES-128-GCM — для загрузки среды выполнения JavaScript Bun. Эта среда выполнения служит платформой для выполнения вторичной полезной нагрузки, предназначенной для извлечения конфиденциальной информации из различных сред, таких как GitHub, npm и основные Облачные сервисы — включая AWS, Azure и GCP. Примечательно, что ВПО в первую очередь нацелено на системы Linux, но также демонстрирует работоспособность в macOS и Windows. Оно оснащено возможностью кражи SSH-ключей и других учетных данных, извлечения секретов из памяти в средах CI/CD, а также использования различных методов повышения привилегий, включая установку правила sudo без пароля.

Вредоносное ПО запрограммировано на работу через детализированную цепочку атаки, включающую фазы проверки окружения, обход защиты, получение учетных данных, эксфильтрация и самораспространение путем повторной публикации скомпрометированных пакетов с поддельным происхождением. Эксфильтрация украденных данных использует несколько каналов управления, в частности, используя собственные репозитории GitHub жертвы в качестве средства передачи данных без привлечения немедленного внимания. Кроме того, вредоносное ПО обеспечивает распространение цели через перечисление репозиториев и может активировать механизмы самоуничтожения, если выполнены определенные условия — например, взаимодействие с токеном-приманкой.

Последствия атаки распространяются на более широкую экосистему программного обеспечения, позволяя зависимостям нижнего уровня становиться скомпрометированными через украденные токены и приводя к потенциальному дальнейшему отравлению пакетов. Это подрывает доверие к фреймворкам аттестации цепочки поставок, обнажая каскадный риск, который позволяет украденным учетным данным предоставлять несанкционированный доступ к облачным средам и другим конфиденциальным ресурсам. Microsoft предприняла шаги для решения проблемы, проинформировав команду npm, что привело к удалению затронутых пакетов и внедрению дополнительных защитных мер против будущей несанкционированной публикации.

#ParsedReport #CompletenessMedium
03-06-2026

Dark Web Profile: BlindEagle

https://socradar.io/blog/dark-web-profile-blindeagle/

Report completeness: Medium

Actors/Campaigns:
Blindeagle (motivation: cyber_espionage, financially_motivated)
Red_akodon

Threats:
Asyncrat
Quasar_rat
Blotchyquasar
Spear-phishing_technique
Process_hollowing_technique
Caminho
Dcrat
Remcos_rat
Njrat
Limerat
Ande_loader
Dll_sideloading_technique
Hijackloader
Imminentmonitor_rat
Avemaria_rat
Bitrat
Supply_chain_technique
Heartcrypt_tool
Steganography_technique
Junk_code_technique
Process_injection_technique

Victims:
Government, Judiciary, Financial services, Banking, Insurance, Manufacturing, Defense, Peace negotiation institutions, Latin america, North america, have more...

Industry:
Energy, Financial, Petroleum, Government, Telco, Education, Healthcare

Geo:
Ecuador, Russian, Portuguese, Colombia, Chile, America, American, Spanish, Brazilian, Spain, Panama, Colombian, Latin america

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 8
Technics: 23

IOCs:
File: 1

Soft:
Discord, Pastebin, Windows shell

Algorithms:
base64, zip

Languages:
javascript, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlindEagle, или APT-C-36, — это хакерская группировка из Латинской Америки, преимущественно из Колумбии, активная с 2018 года. Она использует модифицированные удаленные доступные трояны, такие как BlotchyQuasar, и применяет локализованные тактики фишинга для кражи учетных данных банковских систем, часто используя скомпрометированные учетные записи для доставки целевого фишинга с вредоносными вложениями. Группировка демонстрирует быструю адаптацию к новым уязвимостям, например, вооружившись CVE-2024-43451 вскоре после его публикации, что указывает на структурированный подход к кибершпионажу в сочетании с преступной деятельностью.
-----

BlindEagle, также известный как APT-C-36 или TAG-144, — это хакерская группировка, операции которой, как полагают, происходят из Латинской Америки, в частности из Колумбии или прилегающих регионов. Активна как минимум с 2018 года, эта группировка использует гибридную модель, сочетающую шпионаж и киберкриминал, и нацелена преимущественно на организации в Латинской Америке, особенно в Колумбии, а также периодически расширяет свои операции на США и другие испаноязычные страны.

Методы работы группы основаны на использовании взломанных коммерческих программ-троянов удаленного доступа (RAT), таких как модифицированные версии Quasar (называемые BlotchyQuasar) и других известных вариантов ВПО, таких как AsyncRAT и njRAT, что позволяет им выполнять различные вредоносные действия, особенно кражу учетных данных банковских систем. Они часто применяют фишинговые техники, адаптированные под культуру, создавая локализованные приманки, которые находят отклик у конкретной целевой аудитории, и используют механизмы доставки с географическим ограничением для ограничения доступа ВПО к песочницам за пределами Латинской Америки, эффективно избегая обнаружения.

Начальные векторы атак BlindEagle включают целевой фишинг с письмами, имитирующими легитимные организации, с вложениями, варьирующимися от PDF-файлов до архивов, защищённых паролем и содержащих обфусцированные скрипты. Фишинговые письма могут даже выглядеть так, будто они исходят из скомпрометированных учётных записей внутри сети цели, что затрудняет их идентификацию как вредоносных. Анализ их кампаний указывает на систематическую цепочку заражения, начинающуюся с начального дроппера, который загружает второй этап полезной нагрузки, обычно RAT, позволяющий осуществлять постоянный мониторинг и эксфильтрацию данных.

Группа продемонстрировала заметную квалификацию в интеграции недавних уязвимостей в свой инструментарий, например, эксплуатируя уязвимости в течение нескольких дней после их публичного раскрытия. В частности, они привели в боевую готовность CVE-2024-43451 вскоре после выхода исправления, внедрив его в свои операции. Такая маневренность подчеркивает оперативную дисциплину BlindEagle и способность быстро адаптироваться к новым эксплойтам.

Несмотря на масштабный сбор персональных идентифицируемых данных (PII) и учетных данных банковских счетов, отсутствует публичная информация, подтверждающая успешную монетизацию или перепродажу этих данных на подпольных рынках. Кроме того, их шпионские цели включают значимые учреждения, участвующие в судебной системе Колумбии и мирных переговорах, что указывает на возможное совпадение интересов с организованной преступностью в регионе, хотя никаких конкретных доказательств, напрямую связывающих их с определенными преступными организациями, не представлено.

#ParsedReport #CompletenessHigh
03-06-2026

Argamal: Malware hidden in hentai games

https://securelist.com/argamal-rat-distributed-with-hentai-games/119999/

Report completeness: High

Threats:
Argamal
Com_hijacking_technique
Trojan.win32.termixia
Trojan.win32.agent

Victims:
Gaming, Adult entertainment, Individuals, Russia, Brazil, Germany, Vietnam

Industry:
Entertainment

Geo:
Russia, Germany, Chinese, Vietnam, Spanish, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1016, T1027, T1033, T1036, T1036.005, T1041, T1053.005, T1057, T1059.001, have more...

IOCs:
Hash: 20
File: 6
Registry: 2
Path: 1
Domain: 3
IP: 1
Url: 3

Soft:
RenPy, PixelDrain, Google Chrome, Microsoft Excel

Algorithms:
xor, sha1, aes-cbc, base64

Win API:
DllGetClassObject, ShellExecuteW, WinExec, CreateProcessW

Languages:
javascript, powershell, python

Links:
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fgmz159%2fu/?utm\_source=sl&utm\_medium=sl&utm\_campaign=sl&icid=gl\_sl\_opentip-lnk\_sm-team\_37a0b5b00eb4552b
have more...
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fdnyp%2ffiles/?utm\_source=sl&utm\_medium=sl&utm\_campaign=sl&icid=gl\_sl\_opentip-lnk\_sm-team\_f91a511412333a54
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fmgzv%2fp/?utm\_source=sl&utm\_medium=sl&utm\_campaign=sl&icid=gl\_sl\_opentip-lnk\_sm-team\_72477af80b581e26

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года началась вредоносная кампания Argamal, нацеленная на игроков в хентай-игры через скомпрометированные игры, которые устанавливают вредоносный имплантат, приводящий к компрометации системы. ВПО использует перехват COM для закрепления и обладает двухэтапной системой загрузки, которая скачивает Троянская программа (RAT), способную выполнять различные команды через динамический сервер управления. Методы доставки включают внедрение полезной нагрузки в библиотеки игр и маскировку вредоносных DLL под читы для игр, при этом жертвы в основном находятся в России, Бразилии, Германии и Вьетнаме.
-----

В апреле 2026 года появилась сложная вредоносная кампания под названием Argamal, нацеленная на игроков в хентай-игры. Эта кампания предполагает использование скомпрометированных игр, которые после запуска устанавливают вредоносный модуль, способный загружать и выполнять троян, что приводит к масштабной компрометации системы и удалённому контролю со стороны злоумышленников.

Технические механизмы работы Argamal включают метод COM hijacking, при котором вредоносное ПО изменяет запись InprocServer32 для DLL загрузчика калибровки системы цветов Windows, чтобы обеспечить закрепление на заражённой машине при входах пользователей. Вредоносное ПО обнаруживается различными решениями Kaspersky и классифицируется под несколькими идентификаторами троянов.

Анализ показал, что заражённые игры поступали из различных источников, преимущественно от разработчиков хентай-игр, использующих платформы RenPy и RPG Maker MV. Эти игры распространялись через веб-сайты и торрент-трекеры, перенаправляя пользователей на сервисы обмена файлами, такие как PixelDrain.

Критическим компонентом ВПО является файл natives2_blob.bin, который выполняет Base64-кодированный PowerShell-скрипт, называемый Stage1. Этот скрипт проводит проверку окружения, чтобы определить, находится ли он в песочнице, прежде чем осуществлять закрепление путем изменения ключей реестра и создания запланированной задачи для запуска второго этапа скрипта. Stage2 действует как загрузчик, получая зашифрованный полезный груз с GitHub и используя AES-CBC для расшифровки, после чего заполняет DLL-файл вредоносным полезным грузом, который предназначен для запуска в каждой пользовательской сессии.

Вредоносный код функционирует как Троянская программа (RAT) со стандартным сервером управления (C2), изначально расположенным на asper1.freeddns.org и впоследствии перемещённым на Winst0.kozow.com, оба адреса указывают на IP-адрес 186.158.223.35. Вредоносный код обеспечивает выполнение различных функций, позволяя злоумышленникам выполнять команды, варьирующиеся от управления системными операциями — такими как перезагрузка или выключение машины — до манипуляций с файлами и создания скриншотов. ВПО связывается с сервером управления по протоколу UDP, передавая «сердцебиения», содержащие критически важную информацию о системе, и ожидая дальнейших команд.

Более того, исследователи выявили альтернативные методы доставки, используемые злоумышленниками, такие как внедрение полезной нагрузки в игровые библиотеки или распространение вредоносной DLL, замаскированной под читы на игровых форумах, что указывает на определенный уровень изощренности в их тактиках распространения.

Жертвоприношение указывает на то, что вредоносное ПО в первую очередь затронуло лиц в России, Бразилии, Германии и Вьетнаме. Усилия по атрибуции предполагают, что злоумышленники потенциально говорят на испанском языке, о чем свидетельствует язык, используемый в комментариях кода и именах переменных.

#ParsedReport #CompletenessHigh
03-06-2026

Inside the Cross-Platform Propagation of a New Gafgyt Variant C0XMO

https://www.fortinet.com/blog/threat-research/inside-cross-platform-propagation-of-new-gafgyt-variant-c0xmo

Report completeness: High

Threats:
Bashlite
C0xmo
Tcpflood_technique
Udpflood_technique
Tcpsynflood_technique
Synflood_technique
Icmpflood_technique
Httpflood_technique

Victims:
Technology

Industry:
Iot

Geo:
Germany, Japanese

CVEs:
CVE-2015-2051 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-645_firmware (<1.05b01)

CVE-2025-34054 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-15047 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-35914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- glpi-project glpi (le10.0.2)

CVE-2021-27137 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3
IP: 3
Url: 1
Hash: 15

Soft:
Linux, crontab, Discord, FiveM, Zyxel, Android

Algorithms:
exhibit

Languages:
python

Platforms:
arm, mips, intel, cross-platform, amd64