#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Check Point Research выявило продвинутую операцию по распространению ВПО, которая имитирует легитимные проекты с открытым исходным кодом, такие как Ghidra и dnSpy, через профессионально оформленные поддельные сайты. Экосистема использует слой JavaScript, размещенный на CloudFront, для перенаправления пользователей на Систему распределения трафика (TDS), которая применяет меры защиты от ботов и географическое таргетирование, в конечном итоге доставляя различные полезной нагрузки, включая стиллер RemusStealer и криптоклиппер AnimateClipper. Примечательно, что многоэтапный загрузчик SessionGate использует сильную обфускацию и динамический вывод, что затрудняет долгосрочный анализ, в то время как общая кампания направлена на монетизацию трафика, а не исключительно на распространение ВПО.
-----

Экосистема распространения ВПО использует имперсонацию известных проектов с открытым исходным кодом.

Профессионально оформленные поддельные сайты имитируют легитимные инструменты, такие как Ghidra и dnSpy.

Сайты используют слой JavaScript, размещённый на CloudFront, для направления пользовательских кликов в Систему распределения трафика (TDS).

TDS включает антибот-логику, обязательные подтверждения кликов и географическое таргетирование.

Пользователи сталкиваются со сложными цепочками перенаправлений, зависящими от географического местоположения и типа устройства.

Операторы могут направлять пользователей на безвредное программное обеспечение, потенциально нежелательные приложения или ВПО.

Среди заметных семейств вредоносного ПО, участвующих в инциденте, выделяются RemusStealer, AnimateClipper и SessionGate.

SessionGate — это многоэтапный загрузчик с надёжными методами противодействия анализу, усложняющими извлечение его финальной полезной нагрузки.

Каждое выполнение SessionGate генерирует уникальные, сгенерированные сервером выходные данные, требующие регистрации IP-адреса и загрузки, специфичной для сессии.

SessionGate использует сильное запутывание и механизм переклиентного шифрования, управляемый централизованной структурой управления.

RemusStealer — это новый стиллер, нацеленный на данные браузеров, особенно учетные данные из браузеров и приложения для управления паролями.

Его архитектура позволяет операторам динамически настраивать параметры сбора и эксфильтрации данных.

AnimateClipper — это криптокошелек-клиппер, который перехватывает блокчейн-транзакции, запрашивая смарт-контракты для получения адресов C2.

Кампания демонстрирует эволюцию тактик имперсонации, создающих скрытую подотчётность и усложняющих обнаружение.

Механизмы TDS и сложная перенаправленная маршрутизация создают значительные проблемы для систем защиты кибербезопасности.

Система в первую очередь функционирует как модель привлечения трафика, сочетающая легитимную рекламу с вредоносными загрузками.

#ParsedReport #CompletenessMedium
03-06-2026

Sapphire Sleet Targets macOS in Multi-Stage Intrusion Campaign

https://www.levelblue.com/blogs/spiderlabs-blog/sapphire-sleet-targets-macos-in-multi-stage-intrusion-campaign

Report completeness: Medium

Actors/Campaigns:
Bluenoroff
Cryptocore

Threats:
Mac-cur_tool

Victims:
Financial sector, Venture capital, Web3, Cryptocurrency organizations

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.002, T1059.004, T1071.001, T1074.001, T1105, T1204.002, have more...

IOCs:
File: 1
Hash: 7
Domain: 9
IP: 5

Soft:
macOS, Zoom, Telegram, l → sh, curl, Ledger Live, l), TC

Wallets:
exodus_wallet

Algorithms:
sha256

Languages:
objective_c, applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sapphire Sleet, злоумышленник из Северной Кореи, атакует системы macOS в секторах с высокой ценностью данных в рамках многоэтапной кампании, использующей передовые тактики, включая эксплуатацию нативных компонентов macOS для извлечения криптографических ключей. Они применяют социальную инженерию для первоначального доступа, заставляя жертв выполнять вредоносное обновление, которое запускает зашифрованный AppleScript, что способствует сбору учетных записей и несанкционированному доступу к системе через TCC.db. Это позволяет развернуть постоянный бэкдор `icloudz` для эксфильтрации конфиденциальных данных, таких как кошельки криптовалют.
-----

Sapphire Sleet, злоумышленник, спонсируемый государством Северной Кореи, был замечен в участии в многоэтапной хакерской кампании, направленной конкретно на системы macOS в высокоценных секторах, таких как венчурный капитал, разработка Web3 и криптовалютные организации. С ранних активностей в 2020 году тактика, техника и процедуры (TTPs) группы эволюционировали от базовых вредоносных макросов до продвинутых нативных компонентов macOS, предназначенных для извлечения криптографических ключей и операционных идентичностей с скомпрометированных конечных точек. Эта кампания демонстрирует заметный сдвиг в сторону злоупотребления доверием вместо традиционных методов технической эксплуатации.

Фаза первоначального доступа атаки использует целевые стратегии социальной инженерии. Актеры имитируют рекрутеров или деловых партнеров для установления связи с жертвами, направляя их на запуск мошеннического компонента обновления SDK Zoom. Это выполнение запускает вредоносный файл AppleScript, который работает через редактор скриптов macOS, обходя типичные меры безопасности. Базовая логика хитро скрыта с помощью заполнения пробелами, что усложняет обнаружение.

После запуска вредоносного скрипта он выполняет серию команд с использованием `curl` и `osascript`, применяя различные жестко заданные пользовательские агенты для скрытых проверок работоспособности. Затем разворачивается внешне легитимное приложение `systemupdate.app`, предназначенное для сбора учетных данных пользователей, и выводит обманчивый запрос пароля, имитирующий стандартные запросы на вход в систему.

Критическим компонентом атаки является злоупотребление базой данных конфиденциальности macOS — TCC.db. Используя приложение Finder, вредоносное ПО получает беспрепятственный доступ к системным разрешениям, что позволяет ему автономно копировать и манипулировать конфиденциальными данными без уведомления пользователя. Этот доступ способствует созданию постоянного бэкдора через конфигурацию загрузки администратора в каталоге LaunchDaemons системы, обеспечивая выполнение вредоносного компонента с именем `icloudz` при запуске. Этот компонент загружает в память основной агент бэкдора, поддерживая постоянную исходящую связь с внешними серверами.

Эксфильтрация конфиденциальных данных включает профилирование и архивирование критически важных корпоративных активов, включая криптокошельки и SSH-ключи, а также их загрузку через `curl` на выделенные удаленные порты. Сообщается о возможном смягчении инфраструктуры кампании благодаря совместным усилиям Microsoft и Apple, что привело к улучшению протоколов обнаружения. Тем не менее, фундаментальные техники эксплуатации, использующие нативные бинарные файлы и злоупотребление TCC.db, остаются актуальными, подчеркивая необходимость постоянной бдительности, поскольку злоумышленники могут быстро адаптироваться к новым операционным стратегиям.

Индикаторы компрометации (IoC) из атаки указывают на необходимость мониторинга путей к файлам, таких как `\~/Library/Application Support/Authorization/auth.db` и `/Library/LaunchDaemons/com.google.webkit.service.plist`, которые связаны с реализацией бэкдора и механизмами закрепления.

#ParsedReport #CompletenessMedium
03-06-2026

From Conti to The Gentlemen: tooling evolved, gaps didn't.

https://www.vectra.ai/blog/from-conti-to-the-gentlemen-tooling-evolved-gaps-didnt

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)
Contileaks
Zeta88
Protagor
0ktapus
Volt_typhoon

Threats:
Conti
Blackbasta
Lockbit
Qilin_ransomware
Pikabot
Ryuk
Cobalt_strike_tool
G-bot
Phemedrone
Dumpbrowsersecrets_tool
Lumma_stealer
Anydesk_tool
Rclone_tool
Megacmd_tool
Icedid
Devman
Darkside

Victims:
Banking, Health care, Energy, Businesses, Individuals, Cloud environments, Germany, Ireland, Russian federation

Industry:
Financial, Government, Healthcare

Geo:
Ukraine, Russian, Ireland, Germany, Moscow, Ukrainian, French

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2020-5135 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le6.0.5.3, le6.5.1.11, le6.5.4.7, 7.0.0.0)
- sonicwall sonicosv (le6.5.4.4)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


ChatGPT TTPs:
do not use without manual check
T1003.003, T1071.004, T1078, T1090, T1095, T1105, T1106, T1110.001, T1190, T1219, have more...

IOCs:
File: 4
IP: 1

Soft:
Jabber, Twitter, Telegram, ChatGPT, , Hugging Face, ESXi, Hyper-V, PAN-OS, Confluence, have more...

Crypto:
bitcoin

Algorithms:
rc4

Languages:
rust, python

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние утечки данных от группировок вымогателей подчеркивают эволюцию их тактик, в частности переход к децентрализованным структурам, как это наблюдается у хакерской группировки The Gentlemen, которая работает без формальной системы оплаты труда. Интеграция инструментов искусственного интеллекта, таких как ChatGPT, в их операции повышает эффективность, но не привела к созданию ВПО, сгенерированного искусственным интеллектом. Примечательно, что хакерская группировка The Gentlemen эксплуатирует уязвимости, такие как CVE-2024-55591 в устройствах Fortinet, и применяет передовые методы, такие как обход систем обнаружения на конечных точках, демонстрируя устойчивую зависимость от существующих слабостей в области кибербезопасности.
-----

Группировки вымогателей, такие как Conti, Black Basta, LockBit и хакерская группировка The Gentlemen, продемонстрировали отсутствие инноваций в стратегиях проникновения и перемещения за последние четыре года.

Операторы Gentlemen's демонстрируют децентрализованную структуру, не имея формальной системы оплаты труда, в отличие от корпоративного фреймворка Conti.

Эти группы полагаются на такие платформы, как Rocket.Chat, для координации, действуют в различных часовых поясах и продолжают опираться на проверенный персонал.

Искусственный интеллект (AI) был интегрирован в операции вымогателей, при этом такие группы, как Conti, используют инструменты, такие как ChatGPT, для создания обманных сообщений и автоматизации переговоров к 2025 году, но не для создания ВПО с помощью AI.

Группа Gentlemen эффективно использует системы обнаружения и реагирования на конечных точках (EDR), применяя такие техники, как удаление аппаратных точек останова и отключение перехвата системных вызовов (syscall unhooking).

Их атаки включают нацеливание на системы на уровне гипервизора для обхода защит на уровне гостевой ОС, что выявляет значительную уязвимость для организаций.

Операторы демонстрируют устойчивую зависимость от известных уязвимостей, таких как CVE-2024-55591 для устройств Fortinet, сосредотачиваясь на хорошо задокументированных слабостях в корпоративной безопасности.

Общие инструменты для кражи учетных данных и перемещения внутри компании включают Phemedrone и инструменты для дампа учетных данных, при этом значительное внимание уделяется учетным данным, хранящимся в браузере, как вектору атаки.

Методы эксфильтрации файлов остаются примитивными, с использованием легитимных инструментов, таких как rclone, для передачи данных во внешние сети.

Сложности для организаций включают устранение существующих уязвимостей и улучшение возможностей обнаружения пост-аутентификационного поведения и активности на уровне гипервизора.

#ParsedReport #CompletenessLow
03-06-2026

Espionage Campaign Targeted Stock Exchange Executive for Five Months

https://www.security.com/threat-intelligence/stock-exchange-espionage

Report completeness: Low

Threats:
Sharpdecryptpwd_tool
Frpc_tool
Uac_bypass_technique
Secretsdump_tool

Victims:
Stock exchange, Senior executive

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1036.008, T1053.005, T1059.003, T1071.001, T1102.002, T1114.001, T1567.002

IOCs:
File: 20
Command: 9
Path: 1
Hash: 20
IP: 1
Coin: 1

Soft:
Outlook, Dropbox, microsoft onedrive, curl, Microsoft Outlook

Algorithms:
sha256

Functions:
OneDrive

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники вели пятимесячную кампанию шпионажа, нацеленную на учетную запись эл. почты высокопоставленного руководителя глобальной фондовой биржи, успешно похитив внутренние данные с использованием сложного подхода, включавшего эксфильтрацию данных через Dropbox и OneDrive. Они эксплуатировали скомпрометированные бинарные файлы, работающие с привилегиями SYSTEM, и использовали почтовый стиллер на базе Aspose для преобразования и извлечения данных Outlook, избегая обнаружения. Операция продемонстрировала высокий уровень дисциплины, при этом злоумышленники применяли различные техники закрепления и легитимные облачные сервисы для поддержания скрытого долгосрочного доступа к конфиденциальной информации.
-----

Неизвестные злоумышленники провели пятимесячную шпионскую кампанию, нацеленную на учетную запись эл. почты старшего руководителя глобальной фондовой биржи.

Из почтового ящика Outlook руководителя было похищено значительное количество информации, что подчеркивает ценность таких учетных записей для получения конфиденциальных разведывательных данных.

Злоумышленники инкрементально похищали данные, используя Dropbox и OneDrive Personal, чтобы избежать обнаружения.

Первоначальный вектор заражения не установлен; однако два бинарных файла (armsvc.exe и oneservice.exe) функционировали с привилегиями SYSTEM к 10 октября 2025 года.

Эти бинарные файлы были замаскированы в легитимных путях приложений, что указывает на то, что повышение привилегий было достигнуто быстро.

12 ноября злоумышленники завершили рукопожатие OAuth для получения токена API Dropbox, предназначенного для непрерывной загрузки и выгрузки данных.

О наличии одного постоянного приложения Dropbox свидетельствовало последовательное повторное использование одного и того же client_id и client_secret в ходе операций.

Основным инструментом, использованным злоумышленниками, стал стиллер почтовых ящиков на базе Aspose, который конвертировал файлы OST Outlook в формат PST с использованием легитимной библиотеки Aspose .NET.

Стиллер был замаскирован под innocuous file extensions и выполнен с параметрами для password protection и date ranges, что позволяло осуществлять систематическое кражу без предупреждения security software.

За пять месяцев было выполнено ещё восемь запусков извлечения, в результате которых был собран полный репозиторий электронной почты руководителя.

К концу ноября 2025 года каналы эксфильтрации были расширены за счёт OneDrive Personal, а для обхода DNS-логирования использовались жёстко закодированные IP-адреса Microsoft.

Наблюдалась краткая попытка использования публичного сервиса временного размещения файлов для эксфильтрации, однако она не была продолжена.

Злоумышленники внедрили различные механизмы закрепления, такие как регистрация изменённой службы синхронизации OneDrive для поддержания доступа.

Кампания продемонстрировала оперативную дисциплину, направленную на продолжительное и незаметное похищение почтового ящика одного руководителя.

Легитимные облачные сервисы использовались для эксфильтрации данных, что минимизировало след злоумышленников.

Операция подчеркивает постоянную угрозу конфиденциальным данным организаций через целевое использование учетных записей эл. почты.

#ParsedReport #CompletenessMedium
03-06-2026

Analysis of the APT-C-26 (Lazarus) group's attack operations using CVE-2025-55182 with Copperhedge components

https://www.ctfiot.com/309562.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Copperhedge
Uac_bypass_technique
Volgmer
React2shell_vuln
Etherrat

Victims:
Financial institutions, Cryptocurrency exchanges, Blockchain related infrastructure, Blockchain industry

Industry:
Financial

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1033, T1036, T1071.001, T1082, T1105, T1132.001, T1140, T1190, T1218.011, have more...

IOCs:
File: 5
Hash: 14
Url: 1
IP: 1

Soft:
WeChat

Algorithms:
chacha20, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-C-26 (Lazarus) нацелена на финансовые учреждения и криптовалютные биржи, используя передовые методы, такие как фишинг, ВПО-вымогатели и эксплуатация уязвимости CVE-2025-55182 в React для несанкционированного Удаленного Выполнения Кода. Они используют такие инструменты, как MultiRelay для перемещения внутри компании и Akagi64 для обхода UAC, развертывая вредоносное ПО Copperhedge, RAT, которое обеспечивает эксфильтрацию данных и контроль над системой, применяя при этом сложные методы шифрования, такие как ChaCha20-XOR. Операции группы демонстрируют фокус на скрытности и сборе разведывательных данных в секторе блокчейна.
-----

Группа APT-C-26 (Lazarus) известна своими постоянными сложными операциями кибератак, нацеленными преимущественно на финансовые учреждения и криптовалютные биржи. Используя передовые методы, такие как фишинг, программное-вымогательство и прямые киберпроникновения, группа стремится не только к финансовой выгоде, но и проводит масштабные операции по сбору разведданных. Недавняя активность продемонстрировала использование группой уязвимости CVE-2025-55182, представляющей собой ошибку небезопасной десериализации в React Codebase, для выполнения несанкционированного удаленного кода с помощью одного HTTP-запроса.

CVE-2025-55182 затрагивает React версии 19.x и фреймворки, построенные на его основе, такие как Next.js. Группа использовала несколько вредоносных инструментов вместе с этой уязвимостью, включая MultiRelay — инструмент для перемещения внутри компании во внутренних сетях, и Akagi64, который позволяет обходить контроль учётных записей пользователей Windows (UAC) для повышения привилегий. Группа Lazarus объединяет эти компоненты в исполняемый файл Windows, предназначенный для получения первоначального доступа к целевым инфраструктурам.

Процесс эксплуатации начинается с того, что злоумышленник сканирует цели, используя составленный список файлов, и использует уязвимость CVE-2025-55182 для проникновения. Оказавшись внутри сети, обход UAC позволяет развернуть ВПО Copperhedge. ВПО Copperhedge, входящее в семейство Manuscrypt, является инструментом удаленного доступа (RAT), который обеспечивает эксфильтрацию данных и контроль над системой. Его загрузчик маскирует свою функциональность, скрывая информацию о версии файла, что усложняет обнаружение системами безопасности.

Загрузчик Copperhedge использует циклический алгоритм шифрования для шифрования и расшифровки данных, обрабатывая при этом значительный объем информации. При запуске он создает мьютекс для предотвращения повторного выполнения и собирает критически важную системную информацию. Взаимодействие с серверами управления (управление) использует структуру, при которой вредоносное ПО отправляет закодированные HTTP-запросы и обрабатывает ответы через процесс обратной расшифровки. Это включает шифрование ChaCha20-XOR для обеспечения безопасности данных, что подчеркивает акцент группы на скрытности и уклонении от обнаружения.

Отмечалось, что группа Lazarus также использовала уязвимость React2Shell (CVE-2025-55182) для развертывания компонента EtherRAT в рамках косвенной атаки на блокчейн-сектор. Учитывая исторический контекст, технические детали уязвимостей, применяемые методологии и целевые отрасли, можно с уверенностью заключить, что эти недавние операции, а также связанные с ними инструменты и тактики действительно принадлежат группе Lazarus.

#ParsedReport #CompletenessHigh
03-06-2026

FSB’s matryoshka #2/3 – Gamaredon’s gifts that keeps unpacking – GammaLoad

https://blog.sekoia.io/fsbs-matryoshka-2-3-gamaredons-gifts-that-keeps-unpacking-gammaload/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)

Threats:
Gammaload
Gammaphish
Gammaworm
Gammasteel
Pteranodon
Gammawipe
Dead_drop_technique
Bitsadmin_tool

Victims:
Government, Military, Critical infrastructure

Industry:
Military, Government, Critical_infrastructure

Geo:
Ukraine, Russia, Russian, Ukrainian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036.004, T1053.005, T1059.001, T1059.005, T1071.001, T1082, T1091, T1102.001, have more...

IOCs:
Registry: 3
Hash: 3
Url: 8
IP: 2
Domain: 1
File: 1
Command: 1
Email: 1

Soft:
Telegram, Windows registry

Algorithms:
xor, md5, base64

Functions:
ExecuteGlobal

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon — российская кибершпионская группа, связанная с ФСБ, проводит целевые атаки против украинских организаций с использованием передовых методов вредоносного ПО. Их метод заражения включает использование многослойных загрузчиков на VBScript, в частности GammaLoad, которые обеспечивают скрытую доставку полезной нагрузки и коммуникацию с командным центром, маскируя свою деятельность. Вредоносное ПО использует легитимные функции Windows и может перехватывать документы, обеспечивая постоянное выполнение через планировщик задач и процедуры в памяти для эксфильтрации данных с помощью финальной полезной нагрузки GammaSteel.
-----

Gamaredon — это группа кибершпионажа, связанная с ФСБ России, известная проведением длительных и настойчивых операций вторжения, в основном направленных против украинского правительства, военных и критической инфраструктуры. В настоящее время она остается активной и продолжает совершенствовать свой арсенал ВПО. Их операции характеризуются использованием фоновых механизмов, скрывающих их деятельность, таких как использование легитимных функций Windows и доверенных платформ, например, Телеграм, что минимизирует обнаружение и позволяет ВПО распространяться по изолированным сетям через зараженные USB-накопители. Кроме того, ВПО способно перехватывать документы в различных состояниях — будь то сохраненные, передаваемые или активно редактируемые. Эту возможность обеспечивает структура бэкдора, которая не только позволяет управление, но и обеспечивает развертывание дополнительных полезной нагрузки.

Недавний анализ команды Sekoia.io по обнаружению угроз и исследованиям (TDR) был сосредоточен на определенном компоненте вредоносного ПО под названием GammaLoad, который представляет собой серию загрузчиков на VBScript, обеспечивающих доставку и выполнение финального полезного груза GammaSteel. GammaLoad функционирует через многослойный процесс заражения, где загрузчики размещают дополнительные загрузчики, усиливая свою скрытность и закрепление. Первый этап выполняет идентификацию хоста и использует метод резервного переключения для подключения к серверу управления (управление), проверяя ранее кэшированные URL-адреса перед тем, как вернуться к легитимным службам для получения последующих полезных грузов.

В ходе исследования стало очевидно, что GammaLoad хранит свою конфигурацию C2 в реестре Windows, что позволяет ему возобновлять связь после выполнения. Выявленный первый этап создает комплексную структуру HTTP-запроса, предназначенную для имитации легитимного трафика, дополнительно маскируя свое присутствие. В случае успеха он выполняет следующий этап в памяти, а в случае неудачи ищет новые URL-адреса C2, обновляя значения в реестре по мере необходимости.

Второй этап работает как дроппер, который использует кодировку Base64 и внедряет полезную нагрузку в Альтернативные потоки данных (ADS) во временных файлах системы. Этот дроппер дополнительно включает планировщик задач, который обеспечивает периодическое выполнение полезной нагрузки, укрепляя закрепление инфекции и способность оставаться незамеченной. Третий этап, который был идентифицирован как загрузчик PowerShell, выполняет зашифрованные команды через скрытые процессы, позволяя выполнить финальную полезную нагрузку GammaSteel в памяти, дополнительно эксфильтруя информацию как стиллер.

#ParsedReport #CompletenessMedium
03-06-2026

New Mac stealer SHub Reaper is spoofing Apple, Google, and Microsoft

https://moonlock.com/mac-stealer-shub-reaper

Report completeness: Medium

Threats:
Reaper
Clickfix_technique
Shubstealer
Typosquatting_technique
Amos_stealer

Victims:
Macos users, Cryptocurrency wallet users, Business users, Financial users

Industry:
Financial

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1036.005, T1041, T1056, T1059.002, T1059.004, T1071.001, T1083, T1105, have more...

IOCs:
Domain: 1
Url: 1

Soft:
macOS, WeChat, Telegram, Chrome, Firefox, Opera, Vivaldi, Ledger Live, curl

Wallets:
exodus_wallet, electrum, trezor

Algorithms:
base64, zip

Win API:
Arc

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SHub Reaper нацелено на пользователей macOS, используя обманные методы распространения, в частности через технику ClickFix, которая внедряет вредоносные скрипты в поддельные веб-страницы. Это вредоносное ПО способно красть данные, включая криптовалюту, путем модификации легитимных приложений, а не создания поддельных. Кроме того, Reaper может проверять определенные настройки клавиатуры, запрашивать системные пароли и устанавливать закрепление через бэкдоры, что обеспечивает постоянный доступ к скомпрометированным системам при одновременной эксфильтрации конфиденциальной информации.
-----

ВПО SHub Reaper появилось как новая угроза для пользователей macOS, использующая обманные тактики для распространения и выполнения вредоносного кода. Эта кампания является третьей за два месяца и применяет новый автоматизированный метод распространения под названием ClickFix, который затрудняет распознавание атаки пользователями. Злоумышленники наблюдались в подделке легитимных приложений, таких как WeChat и Miro, через поддельные веб-сайты для распространения вредоносного ПО. Большинство этих сайтов обмана недоступны; однако их способность создавать новые, похожие сайты держит пользователей в уязвимом положении.

В подходе ClickFix злоумышленники упрощают процесс установки, внедряя вредоносный код непосредственно в кнопку на поддельной веб-странице. При нажатии этой кнопки автоматически открывается Script Editor на компьютере Mac, предварительно загруженный вредоносным скриптом. Такая конструкция использует доверенный внешний вид Script Editor для обхода внимания пользователей, облегчая многоэтапную атаку, которая завершается кражей конфиденциальных данных, включая криптовалюту.

Вариант Reaper семейства SHub внедряет расширенные возможности, такие как проверка конфигураций клавиатуры для выявления настроек русского языка, что может привести к остановке операций при обнаружении такой конфигурации. Вредоносное ПО запрашивает у пользователей поддельный системный пароль, что дополнительно позволяет ему получать доступ к критически важным ресурсам Mac. Теперь оно включает функции, заимствованные из крадущего ПО AMOS, расширяя охват на дополнительные браузеры (Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Orion) и нацеливаясь на конкретные настольные криптовалютные кошельки, такие как Exodus и Ledger Live. Вместо создания поддельных кошельков Reaper модифицирует код легитимных приложений для извлечения криптовалюты непосредственно из учетных записей пользователей.

Собрав данные, такие как документы и финансовые файлы (нацеливаясь на известные форматы, такие как .docx, .xls, .csv и т. д.), Reaper упаковывает эту информацию и связывается с сервером управления (C2) для эксфильтрации украденных данных. Он также устанавливает закрепление через бэкдоры, замаскированные под легитимные ресурсы обновления Google, тем самым обеспечивая постоянный доступ к зараженным системам.

#ParsedReport #CompletenessMedium
03-06-2026

The HazyBeacon Protocol – How Malware Weaponizes Amazon Web Services (AWS) Lambda Function URLs

https://blog.qualys.com/qualys-insights/2026/06/02/hazybeacon-aws-lambda-function-url-command-control-abuse

Report completeness: Medium

Actors/Campaigns:
Cl-sta-1020

Threats:
Hazybeacon
Stealthc2_tool

Victims:
Government, Development teams, Smaller organizations, Southeast asia

Industry:
Government

Geo:
Asian

TTPs:
Tactics: 5
Technics: 5

Soft:
Node.js, Kubernetes

Algorithms:
zip

Languages:
python