#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2023 года был обнаружен вариант ботнета Gafgyt под названием C0XMO, использующий уязвимость CVE-2021-27137 в маршрутизаторах DD-WRT для распространения на различные архитектуры Linux. ВПО применяет атаки брутфорс с использованием слабых учетных данных для Telnet и SSH, а также реализует стратегии обеспечения устойчивости, включая копирование самого себя в скрытые каталоги и настройку задач cron. C0XMO взаимодействует со своим C2-сервером для выполнения 19 методов DDoS-атак, а также может эксплуатировать уязвимости Android Debug Bridge для компрометации открытых устройств Android.
-----

В марте 2023 года новый вариант ботнета Gafgyt, получивший название C0XMO, был обнаружен лабораторией FortiGuard Labs. Он эффективно распространяется по множеству архитектур Linux, эксплуатируя уязвимость переполнения стекового буфера, обозначенную как CVE-2021-27137. Эта уязвимость безопасности существует в службе UPnP прошивки определенных маршрутизаторов DD-WRT, когда некорректно обрабатываются значения ST:uuid большого размера в сфабрикованных M-SEARCH запросах через UDP порт 1900. Примечательно, что первоначальная атака была направлена на компанию в Японии, но IP-адрес источника находился в Германии. После компрометации хост загружает ВПО и сохраняет его в директории /tmp/.cache, при этом доступны несколько сборок для различных системных архитектур, что демонстрирует адаптивность в охвате целей.

C0XMO характеризуется поведением, типичным для предыдущих вариантов Gafgyt, сочетая попытки брутфорса с использованием слабых учетных данных, направленные на интерфейсы Telnet и SSH, уязвимости внедрения команд и различные механизмы DDoS-атак. После запуска C0XMO реализует сложную стратегию закрепления, включающую копирование самого себя в скрытые каталоги, настройку задач cron для повторного выполнения и изменение основных профилей оболочки для обеспечения непрерывной работы. Вредоносное ПО также проверяет запущенные процессы для устранения конкурентов, завершая процессы, соответствующие внутренней черному списку, и удаляя соответствующие двоичные файлы и механизмы закрепления.

После установки локального закрепления C0XMO устанавливает связь с сервером управления (C2), расположенным по адресу 85.215.131.70, инициируя уникальное рукопожатие, включающее предопределенную строку и общий секрет. Это соединение позволяет C0XMO идентифицировать себя как часть ботнета, завершая рукопожатие подтверждением от сервера.

Обработчик команд вредоносного ПО обеспечивает выполнение различных команд, в частности для запуска 19 различных методов DDoS-атак. Примечательно, что C0XMO изолирует свой механизм сканирования в отдельном Python-скрипте, который он загружает с другого IP-адреса. Этот скрипт выполняет случайное сканирование IP-адресов и включает критерии для игнорирования известных honeypot-ов и ранее неэффективных целей. Кроме того, он может эксплуатировать уязвимости Android Debug Bridge (ADB) для захвата управления над открытыми Android-устройствами.

#ParsedReport #CompletenessHigh
03-06-2026

How attackers are gaining access to LLM inference

https://intezer.com/blog/how-attackers-access-llm-inference/

Report completeness: High

Actors/Campaigns:
Bizarre_bazaar

Threats:
Wormgpt_tool
Ghostgpt_tool
Kawaiigpt_tool
Xanthorox_tool
Lamehug_tool
Akira_ransomware
Mimikatz_tool
Credential_dumping_technique
Solarmarker
Seo_poisoning_technique
Llmjacking_technique
Nuclei_tool
Ni8mare_vuln
Malterminal_tool
Promptlock
Promptflux
Polymorphism_technique
Quietvault

Victims:
Ai service providers, Public llm hosting servers, Developers, Android applications, Windows systems, Personal machines, Servers, Industrial controllers

Industry:
Transport

Geo:
Israel, Italian

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)

CVE-2024-47084 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gradio_project gradio (<4.44.0)

CVE-2026-21858 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.121.0)

CVE-2024-1561 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gradio_project gradio (<4.13.0)

CVE-2024-0964 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gradio_project gradio (-)

CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.014, T1059.005, T1082, T1083, T1102, T1190, T1213.003, T1486, T1496, T1528, have more...

IOCs:
Hash: 6

Soft:
Claude, Groq, llama, llama3, Mistral, HuggingFace, GPT-5, GPT-4o, Qwen, penAI, have more...

Crypto:
bitcoin

Algorithms:
zip

Languages:
lua, python, java, javascript

Links:
https://github.com/cheahjs/free-llm-api-resources
https://github.com/Chocapikk/CVE-2026-21858
have more...
https://github.com/mnfst/awesome-free-llm-apis

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют большие языковые модели (LLM) для усиления возможностей своего ВПО, что позволяет динамически адаптировать поведение во время выполнения на скомпрометированных системах. Киберпреступники получают доступ к функциям LLM через подпольные форумы и бесплатные публичные API для вывода результатов, что позволяет им выполнять задачи, такие как разведка и кража данных, без внедрения учетных данных, усложняя усилия по обнаружению. Кроме того, уязвимости, связанные с раскрытыми ключами API в Репозитории кода, а также слабости в таких платформах, как LocalAI и Ollama, позволяют злоумышленникам эксплуатировать ИИ без надежной аутентификации.
-----

Злоумышленники всё чаще используют большие языковые модели (LLM) сложными способами, интегрируя их в свои наступательные стратегии, особенно для усиления возможностей ВПО. Коммерческие ИИ-модели, такие как Claude Opus 4.6 и Grok 4, продемонстрировали способность писать код эксплойтов и выполнять сложные задачи разведки, которые ранее требовали человеческого опыта. Такая интеграция позволяет ВПО динамически адаптировать своё поведение во время выполнения на скомпрометированных системах.

Киберпреступники получают доступ к функциям LLM различными способами, включая использование подпольных форумов, продающих кибер-ориентированные LLM, такие как WormGPT и GhostGPT. Хотя эти модели предлагают упрощенные возможности, подходящие для фишинга или создания базового ВПО, они не соответствуют уровню сложности ведущих коммерческих моделей по результатам бенчмарк-тестов, таких как Cybench.

Атакующие также используют публичные API вывода с моделями бесплатного уровня, которые предоставляют доступ без необходимости привязки кредитной карты, тем самым обходя платежные следы. Например, платформы вроде HuggingFace предоставляют бесплатный доступ, который многие семейства ВПО, включая LameHug, используют для разведки и кражи данных без прямой вставки учетных данных, что затрудняет обнаружение. Более тревожно, что вариант ВПО под названием PROMPTLOCK вызывает модели ИИ на зараженном хосте для генерации разнообразных операционных скриптов, работая полностью автономно и скрывая свою деятельность.

Кроме того, разработчики часто оставляют API-ключи в своих приложениях, либо путем хардкода, либо из-за неправильной конфигурации, что приводит к серьезным уязвимостям. Известный анализ показал, что многие из этих ключей, особенно те, которые связаны с Google и OpenAI, регулярно обнаруживаются в общедоступных Репозитории кода, что облегчает доступ злоумышленникам. Результаты сканирования выявили различные хосты, некоторые из которых уязвимы к серьезным недостаткам безопасности, позволяющим Удаленное Выполнение Кода, что может привести к раскрытию конфиденциальных рабочих процессов и учетные данные.

Исследования выявили несколько платформ, демонстрирующих критические уязвимости, позволяющие злоумышленникам извлекать возможности ИИ без аутентификации, включая LocalAI и Ollama, которые служат моделями для оперативной эксплуатации. Каждая отсканированная система показала процент открытых или скомпрометированных хостов, что указывает на четкую закономерность, при которой злоумышленники могут манипулировать этими сервисами без существенного сопротивления.

В целом, интеграция больших языковых моделей (LLM) в вредоносное программное обеспечение развивается по мере того, как злоумышленники находят инновационные методы доступа и эксплуатируют ранее установленные уязвимости. Этот сдвиг подчеркивает необходимость надежных практик безопасности, указывая на то, что традиционные ошибки конфигурации и утечки конфиденциальной информации остаются критическими уязвимостями независимо от используемой технологии. Меры кибербезопасности должны адаптироваться к этим меняющимся динамическим процессам, обеспечивая строгую аутентификацию и регулярное обновление экспонированных служб, а также защищаясь от злоупотребления мощными возможностями искусственного интеллекта.

#ParsedReport #CompletenessHigh
03-06-2026

Impersonation, Click Hijacking, and TDS: Inside a Malware Distribution Ecosystem

https://research.checkpoint.com/2026/impersonation-click-hijacking-and-tds-inside-a-malware-distribution-ecosystem/

Report completeness: High

Threats:
Spiderfoot_tool
Remus
Animateclipper
Sessiongate
Watering_hole_technique
Clickfix_technique

Victims:
Cybersecurity, Security researchers, Malware analysts, Open source software users, Freeware users, Cryptocurrency users

Industry:
Financial

Geo:
Turkey, Poland, United kingdom, Germany, France, Brazil, Russia

TTPs:
Tactics: 5
Technics: 0

IOCs:
Url: 15
Domain: 30
File: 17
Registry: 1
Hash: 12

Soft:
Opera, Chromium, Chrome, 1Password, Bitwarden, LastPass, Dashlane, NordPass, KeePassXC, Authy, have more...

Wallets:
metamask, rabby, coinbase, bitget_wallet, solflare_wallet, keplr, subwallet, tronlink, ronin_wallet, tonkeeper, have more...

Crypto:
binance, solana, cardano, bitcoin, aptos

Algorithms:
rc4, aes-256-cbc, base62, aes-cbc, aes, sha256, base64, zip, md5, sha1

Win API:
CreateProcessW, CryptUnprotectData

Languages:
powershell, python, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 2, code: 1, dump: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Check Point Research выявило продвинутую операцию по распространению ВПО, которая имитирует легитимные проекты с открытым исходным кодом, такие как Ghidra и dnSpy, через профессионально оформленные поддельные сайты. Экосистема использует слой JavaScript, размещенный на CloudFront, для перенаправления пользователей на Систему распределения трафика (TDS), которая применяет меры защиты от ботов и географическое таргетирование, в конечном итоге доставляя различные полезной нагрузки, включая стиллер RemusStealer и криптоклиппер AnimateClipper. Примечательно, что многоэтапный загрузчик SessionGate использует сильную обфускацию и динамический вывод, что затрудняет долгосрочный анализ, в то время как общая кампания направлена на монетизацию трафика, а не исключительно на распространение ВПО.
-----

Экосистема распространения ВПО использует имперсонацию известных проектов с открытым исходным кодом.

Профессионально оформленные поддельные сайты имитируют легитимные инструменты, такие как Ghidra и dnSpy.

Сайты используют слой JavaScript, размещённый на CloudFront, для направления пользовательских кликов в Систему распределения трафика (TDS).

TDS включает антибот-логику, обязательные подтверждения кликов и географическое таргетирование.

Пользователи сталкиваются со сложными цепочками перенаправлений, зависящими от географического местоположения и типа устройства.

Операторы могут направлять пользователей на безвредное программное обеспечение, потенциально нежелательные приложения или ВПО.

Среди заметных семейств вредоносного ПО, участвующих в инциденте, выделяются RemusStealer, AnimateClipper и SessionGate.

SessionGate — это многоэтапный загрузчик с надёжными методами противодействия анализу, усложняющими извлечение его финальной полезной нагрузки.

Каждое выполнение SessionGate генерирует уникальные, сгенерированные сервером выходные данные, требующие регистрации IP-адреса и загрузки, специфичной для сессии.

SessionGate использует сильное запутывание и механизм переклиентного шифрования, управляемый централизованной структурой управления.

RemusStealer — это новый стиллер, нацеленный на данные браузеров, особенно учетные данные из браузеров и приложения для управления паролями.

Его архитектура позволяет операторам динамически настраивать параметры сбора и эксфильтрации данных.

AnimateClipper — это криптокошелек-клиппер, который перехватывает блокчейн-транзакции, запрашивая смарт-контракты для получения адресов C2.

Кампания демонстрирует эволюцию тактик имперсонации, создающих скрытую подотчётность и усложняющих обнаружение.

Механизмы TDS и сложная перенаправленная маршрутизация создают значительные проблемы для систем защиты кибербезопасности.

Система в первую очередь функционирует как модель привлечения трафика, сочетающая легитимную рекламу с вредоносными загрузками.

#ParsedReport #CompletenessMedium
03-06-2026

Sapphire Sleet Targets macOS in Multi-Stage Intrusion Campaign

https://www.levelblue.com/blogs/spiderlabs-blog/sapphire-sleet-targets-macos-in-multi-stage-intrusion-campaign

Report completeness: Medium

Actors/Campaigns:
Bluenoroff
Cryptocore

Threats:
Mac-cur_tool

Victims:
Financial sector, Venture capital, Web3, Cryptocurrency organizations

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.002, T1059.004, T1071.001, T1074.001, T1105, T1204.002, have more...

IOCs:
File: 1
Hash: 7
Domain: 9
IP: 5

Soft:
macOS, Zoom, Telegram, l → sh, curl, Ledger Live, l), TC

Wallets:
exodus_wallet

Algorithms:
sha256

Languages:
objective_c, applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sapphire Sleet, злоумышленник из Северной Кореи, атакует системы macOS в секторах с высокой ценностью данных в рамках многоэтапной кампании, использующей передовые тактики, включая эксплуатацию нативных компонентов macOS для извлечения криптографических ключей. Они применяют социальную инженерию для первоначального доступа, заставляя жертв выполнять вредоносное обновление, которое запускает зашифрованный AppleScript, что способствует сбору учетных записей и несанкционированному доступу к системе через TCC.db. Это позволяет развернуть постоянный бэкдор `icloudz` для эксфильтрации конфиденциальных данных, таких как кошельки криптовалют.
-----

Sapphire Sleet, злоумышленник, спонсируемый государством Северной Кореи, был замечен в участии в многоэтапной хакерской кампании, направленной конкретно на системы macOS в высокоценных секторах, таких как венчурный капитал, разработка Web3 и криптовалютные организации. С ранних активностей в 2020 году тактика, техника и процедуры (TTPs) группы эволюционировали от базовых вредоносных макросов до продвинутых нативных компонентов macOS, предназначенных для извлечения криптографических ключей и операционных идентичностей с скомпрометированных конечных точек. Эта кампания демонстрирует заметный сдвиг в сторону злоупотребления доверием вместо традиционных методов технической эксплуатации.

Фаза первоначального доступа атаки использует целевые стратегии социальной инженерии. Актеры имитируют рекрутеров или деловых партнеров для установления связи с жертвами, направляя их на запуск мошеннического компонента обновления SDK Zoom. Это выполнение запускает вредоносный файл AppleScript, который работает через редактор скриптов macOS, обходя типичные меры безопасности. Базовая логика хитро скрыта с помощью заполнения пробелами, что усложняет обнаружение.

После запуска вредоносного скрипта он выполняет серию команд с использованием `curl` и `osascript`, применяя различные жестко заданные пользовательские агенты для скрытых проверок работоспособности. Затем разворачивается внешне легитимное приложение `systemupdate.app`, предназначенное для сбора учетных данных пользователей, и выводит обманчивый запрос пароля, имитирующий стандартные запросы на вход в систему.

Критическим компонентом атаки является злоупотребление базой данных конфиденциальности macOS — TCC.db. Используя приложение Finder, вредоносное ПО получает беспрепятственный доступ к системным разрешениям, что позволяет ему автономно копировать и манипулировать конфиденциальными данными без уведомления пользователя. Этот доступ способствует созданию постоянного бэкдора через конфигурацию загрузки администратора в каталоге LaunchDaemons системы, обеспечивая выполнение вредоносного компонента с именем `icloudz` при запуске. Этот компонент загружает в память основной агент бэкдора, поддерживая постоянную исходящую связь с внешними серверами.

Эксфильтрация конфиденциальных данных включает профилирование и архивирование критически важных корпоративных активов, включая криптокошельки и SSH-ключи, а также их загрузку через `curl` на выделенные удаленные порты. Сообщается о возможном смягчении инфраструктуры кампании благодаря совместным усилиям Microsoft и Apple, что привело к улучшению протоколов обнаружения. Тем не менее, фундаментальные техники эксплуатации, использующие нативные бинарные файлы и злоупотребление TCC.db, остаются актуальными, подчеркивая необходимость постоянной бдительности, поскольку злоумышленники могут быстро адаптироваться к новым операционным стратегиям.

Индикаторы компрометации (IoC) из атаки указывают на необходимость мониторинга путей к файлам, таких как `\~/Library/Application Support/Authorization/auth.db` и `/Library/LaunchDaemons/com.google.webkit.service.plist`, которые связаны с реализацией бэкдора и механизмами закрепления.

#ParsedReport #CompletenessMedium
03-06-2026

From Conti to The Gentlemen: tooling evolved, gaps didn't.

https://www.vectra.ai/blog/from-conti-to-the-gentlemen-tooling-evolved-gaps-didnt

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)
Contileaks
Zeta88
Protagor
0ktapus
Volt_typhoon

Threats:
Conti
Blackbasta
Lockbit
Qilin_ransomware
Pikabot
Ryuk
Cobalt_strike_tool
G-bot
Phemedrone
Dumpbrowsersecrets_tool
Lumma_stealer
Anydesk_tool
Rclone_tool
Megacmd_tool
Icedid
Devman
Darkside

Victims:
Banking, Health care, Energy, Businesses, Individuals, Cloud environments, Germany, Ireland, Russian federation

Industry:
Financial, Government, Healthcare

Geo:
Ukraine, Russian, Ireland, Germany, Moscow, Ukrainian, French

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2020-5135 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le6.0.5.3, le6.5.1.11, le6.5.4.7, 7.0.0.0)
- sonicwall sonicosv (le6.5.4.4)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


ChatGPT TTPs:
do not use without manual check
T1003.003, T1071.004, T1078, T1090, T1095, T1105, T1106, T1110.001, T1190, T1219, have more...

IOCs:
File: 4
IP: 1

Soft:
Jabber, Twitter, Telegram, ChatGPT, , Hugging Face, ESXi, Hyper-V, PAN-OS, Confluence, have more...

Crypto:
bitcoin

Algorithms:
rc4

Languages:
rust, python

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние утечки данных от группировок вымогателей подчеркивают эволюцию их тактик, в частности переход к децентрализованным структурам, как это наблюдается у хакерской группировки The Gentlemen, которая работает без формальной системы оплаты труда. Интеграция инструментов искусственного интеллекта, таких как ChatGPT, в их операции повышает эффективность, но не привела к созданию ВПО, сгенерированного искусственным интеллектом. Примечательно, что хакерская группировка The Gentlemen эксплуатирует уязвимости, такие как CVE-2024-55591 в устройствах Fortinet, и применяет передовые методы, такие как обход систем обнаружения на конечных точках, демонстрируя устойчивую зависимость от существующих слабостей в области кибербезопасности.
-----

Группировки вымогателей, такие как Conti, Black Basta, LockBit и хакерская группировка The Gentlemen, продемонстрировали отсутствие инноваций в стратегиях проникновения и перемещения за последние четыре года.

Операторы Gentlemen's демонстрируют децентрализованную структуру, не имея формальной системы оплаты труда, в отличие от корпоративного фреймворка Conti.

Эти группы полагаются на такие платформы, как Rocket.Chat, для координации, действуют в различных часовых поясах и продолжают опираться на проверенный персонал.

Искусственный интеллект (AI) был интегрирован в операции вымогателей, при этом такие группы, как Conti, используют инструменты, такие как ChatGPT, для создания обманных сообщений и автоматизации переговоров к 2025 году, но не для создания ВПО с помощью AI.

Группа Gentlemen эффективно использует системы обнаружения и реагирования на конечных точках (EDR), применяя такие техники, как удаление аппаратных точек останова и отключение перехвата системных вызовов (syscall unhooking).

Их атаки включают нацеливание на системы на уровне гипервизора для обхода защит на уровне гостевой ОС, что выявляет значительную уязвимость для организаций.

Операторы демонстрируют устойчивую зависимость от известных уязвимостей, таких как CVE-2024-55591 для устройств Fortinet, сосредотачиваясь на хорошо задокументированных слабостях в корпоративной безопасности.

Общие инструменты для кражи учетных данных и перемещения внутри компании включают Phemedrone и инструменты для дампа учетных данных, при этом значительное внимание уделяется учетным данным, хранящимся в браузере, как вектору атаки.

Методы эксфильтрации файлов остаются примитивными, с использованием легитимных инструментов, таких как rclone, для передачи данных во внешние сети.

Сложности для организаций включают устранение существующих уязвимостей и улучшение возможностей обнаружения пост-аутентификационного поведения и активности на уровне гипервизора.

#ParsedReport #CompletenessLow
03-06-2026

Espionage Campaign Targeted Stock Exchange Executive for Five Months

https://www.security.com/threat-intelligence/stock-exchange-espionage

Report completeness: Low

Threats:
Sharpdecryptpwd_tool
Frpc_tool
Uac_bypass_technique
Secretsdump_tool

Victims:
Stock exchange, Senior executive

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1036.008, T1053.005, T1059.003, T1071.001, T1102.002, T1114.001, T1567.002

IOCs:
File: 20
Command: 9
Path: 1
Hash: 20
IP: 1
Coin: 1

Soft:
Outlook, Dropbox, microsoft onedrive, curl, Microsoft Outlook

Algorithms:
sha256

Functions:
OneDrive

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники вели пятимесячную кампанию шпионажа, нацеленную на учетную запись эл. почты высокопоставленного руководителя глобальной фондовой биржи, успешно похитив внутренние данные с использованием сложного подхода, включавшего эксфильтрацию данных через Dropbox и OneDrive. Они эксплуатировали скомпрометированные бинарные файлы, работающие с привилегиями SYSTEM, и использовали почтовый стиллер на базе Aspose для преобразования и извлечения данных Outlook, избегая обнаружения. Операция продемонстрировала высокий уровень дисциплины, при этом злоумышленники применяли различные техники закрепления и легитимные облачные сервисы для поддержания скрытого долгосрочного доступа к конфиденциальной информации.
-----

Неизвестные злоумышленники провели пятимесячную шпионскую кампанию, нацеленную на учетную запись эл. почты старшего руководителя глобальной фондовой биржи.

Из почтового ящика Outlook руководителя было похищено значительное количество информации, что подчеркивает ценность таких учетных записей для получения конфиденциальных разведывательных данных.

Злоумышленники инкрементально похищали данные, используя Dropbox и OneDrive Personal, чтобы избежать обнаружения.

Первоначальный вектор заражения не установлен; однако два бинарных файла (armsvc.exe и oneservice.exe) функционировали с привилегиями SYSTEM к 10 октября 2025 года.

Эти бинарные файлы были замаскированы в легитимных путях приложений, что указывает на то, что повышение привилегий было достигнуто быстро.

12 ноября злоумышленники завершили рукопожатие OAuth для получения токена API Dropbox, предназначенного для непрерывной загрузки и выгрузки данных.

О наличии одного постоянного приложения Dropbox свидетельствовало последовательное повторное использование одного и того же client_id и client_secret в ходе операций.

Основным инструментом, использованным злоумышленниками, стал стиллер почтовых ящиков на базе Aspose, который конвертировал файлы OST Outlook в формат PST с использованием легитимной библиотеки Aspose .NET.

Стиллер был замаскирован под innocuous file extensions и выполнен с параметрами для password protection и date ranges, что позволяло осуществлять систематическое кражу без предупреждения security software.

За пять месяцев было выполнено ещё восемь запусков извлечения, в результате которых был собран полный репозиторий электронной почты руководителя.

К концу ноября 2025 года каналы эксфильтрации были расширены за счёт OneDrive Personal, а для обхода DNS-логирования использовались жёстко закодированные IP-адреса Microsoft.

Наблюдалась краткая попытка использования публичного сервиса временного размещения файлов для эксфильтрации, однако она не была продолжена.

Злоумышленники внедрили различные механизмы закрепления, такие как регистрация изменённой службы синхронизации OneDrive для поддержания доступа.

Кампания продемонстрировала оперативную дисциплину, направленную на продолжительное и незаметное похищение почтового ящика одного руководителя.

Легитимные облачные сервисы использовались для эксфильтрации данных, что минимизировало след злоумышленников.

Операция подчеркивает постоянную угрозу конфиденциальным данным организаций через целевое использование учетных записей эл. почты.

#ParsedReport #CompletenessMedium
03-06-2026

Analysis of the APT-C-26 (Lazarus) group's attack operations using CVE-2025-55182 with Copperhedge components

https://www.ctfiot.com/309562.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Copperhedge
Uac_bypass_technique
Volgmer
React2shell_vuln
Etherrat

Victims:
Financial institutions, Cryptocurrency exchanges, Blockchain related infrastructure, Blockchain industry

Industry:
Financial

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1033, T1036, T1071.001, T1082, T1105, T1132.001, T1140, T1190, T1218.011, have more...

IOCs:
File: 5
Hash: 14
Url: 1
IP: 1

Soft:
WeChat

Algorithms:
chacha20, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-C-26 (Lazarus) нацелена на финансовые учреждения и криптовалютные биржи, используя передовые методы, такие как фишинг, ВПО-вымогатели и эксплуатация уязвимости CVE-2025-55182 в React для несанкционированного Удаленного Выполнения Кода. Они используют такие инструменты, как MultiRelay для перемещения внутри компании и Akagi64 для обхода UAC, развертывая вредоносное ПО Copperhedge, RAT, которое обеспечивает эксфильтрацию данных и контроль над системой, применяя при этом сложные методы шифрования, такие как ChaCha20-XOR. Операции группы демонстрируют фокус на скрытности и сборе разведывательных данных в секторе блокчейна.
-----

Группа APT-C-26 (Lazarus) известна своими постоянными сложными операциями кибератак, нацеленными преимущественно на финансовые учреждения и криптовалютные биржи. Используя передовые методы, такие как фишинг, программное-вымогательство и прямые киберпроникновения, группа стремится не только к финансовой выгоде, но и проводит масштабные операции по сбору разведданных. Недавняя активность продемонстрировала использование группой уязвимости CVE-2025-55182, представляющей собой ошибку небезопасной десериализации в React Codebase, для выполнения несанкционированного удаленного кода с помощью одного HTTP-запроса.

CVE-2025-55182 затрагивает React версии 19.x и фреймворки, построенные на его основе, такие как Next.js. Группа использовала несколько вредоносных инструментов вместе с этой уязвимостью, включая MultiRelay — инструмент для перемещения внутри компании во внутренних сетях, и Akagi64, который позволяет обходить контроль учётных записей пользователей Windows (UAC) для повышения привилегий. Группа Lazarus объединяет эти компоненты в исполняемый файл Windows, предназначенный для получения первоначального доступа к целевым инфраструктурам.

Процесс эксплуатации начинается с того, что злоумышленник сканирует цели, используя составленный список файлов, и использует уязвимость CVE-2025-55182 для проникновения. Оказавшись внутри сети, обход UAC позволяет развернуть ВПО Copperhedge. ВПО Copperhedge, входящее в семейство Manuscrypt, является инструментом удаленного доступа (RAT), который обеспечивает эксфильтрацию данных и контроль над системой. Его загрузчик маскирует свою функциональность, скрывая информацию о версии файла, что усложняет обнаружение системами безопасности.

Загрузчик Copperhedge использует циклический алгоритм шифрования для шифрования и расшифровки данных, обрабатывая при этом значительный объем информации. При запуске он создает мьютекс для предотвращения повторного выполнения и собирает критически важную системную информацию. Взаимодействие с серверами управления (управление) использует структуру, при которой вредоносное ПО отправляет закодированные HTTP-запросы и обрабатывает ответы через процесс обратной расшифровки. Это включает шифрование ChaCha20-XOR для обеспечения безопасности данных, что подчеркивает акцент группы на скрытности и уклонении от обнаружения.

Отмечалось, что группа Lazarus также использовала уязвимость React2Shell (CVE-2025-55182) для развертывания компонента EtherRAT в рамках косвенной атаки на блокчейн-сектор. Учитывая исторический контекст, технические детали уязвимостей, применяемые методологии и целевые отрасли, можно с уверенностью заключить, что эти недавние операции, а также связанные с ними инструменты и тактики действительно принадлежат группе Lazarus.