#ParsedReport #CompletenessMedium
03-06-2026

From Conti to The Gentlemen: tooling evolved, gaps didn't.

https://www.vectra.ai/blog/from-conti-to-the-gentlemen-tooling-evolved-gaps-didnt

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)
Contileaks
Zeta88
Protagor
0ktapus
Volt_typhoon

Threats:
Conti
Blackbasta
Lockbit
Qilin_ransomware
Pikabot
Ryuk
Cobalt_strike_tool
G-bot
Phemedrone
Dumpbrowsersecrets_tool
Lumma_stealer
Anydesk_tool
Rclone_tool
Megacmd_tool
Icedid
Devman
Darkside

Victims:
Banking, Health care, Energy, Businesses, Individuals, Cloud environments, Germany, Ireland, Russian federation

Industry:
Financial, Government, Healthcare

Geo:
Ukraine, Russian, Ireland, Germany, Moscow, Ukrainian, French

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2020-5135 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le6.0.5.3, le6.5.1.11, le6.5.4.7, 7.0.0.0)
- sonicwall sonicosv (le6.5.4.4)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


ChatGPT TTPs:
do not use without manual check
T1003.003, T1071.004, T1078, T1090, T1095, T1105, T1106, T1110.001, T1190, T1219, have more...

IOCs:
File: 4
IP: 1

Soft:
Jabber, Twitter, Telegram, ChatGPT, , Hugging Face, ESXi, Hyper-V, PAN-OS, Confluence, have more...

Crypto:
bitcoin

Algorithms:
rc4

Languages:
rust, python

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние утечки данных от группировок вымогателей подчеркивают эволюцию их тактик, в частности переход к децентрализованным структурам, как это наблюдается у хакерской группировки The Gentlemen, которая работает без формальной системы оплаты труда. Интеграция инструментов искусственного интеллекта, таких как ChatGPT, в их операции повышает эффективность, но не привела к созданию ВПО, сгенерированного искусственным интеллектом. Примечательно, что хакерская группировка The Gentlemen эксплуатирует уязвимости, такие как CVE-2024-55591 в устройствах Fortinet, и применяет передовые методы, такие как обход систем обнаружения на конечных точках, демонстрируя устойчивую зависимость от существующих слабостей в области кибербезопасности.
-----

Группировки вымогателей, такие как Conti, Black Basta, LockBit и хакерская группировка The Gentlemen, продемонстрировали отсутствие инноваций в стратегиях проникновения и перемещения за последние четыре года.

Операторы Gentlemen's демонстрируют децентрализованную структуру, не имея формальной системы оплаты труда, в отличие от корпоративного фреймворка Conti.

Эти группы полагаются на такие платформы, как Rocket.Chat, для координации, действуют в различных часовых поясах и продолжают опираться на проверенный персонал.

Искусственный интеллект (AI) был интегрирован в операции вымогателей, при этом такие группы, как Conti, используют инструменты, такие как ChatGPT, для создания обманных сообщений и автоматизации переговоров к 2025 году, но не для создания ВПО с помощью AI.

Группа Gentlemen эффективно использует системы обнаружения и реагирования на конечных точках (EDR), применяя такие техники, как удаление аппаратных точек останова и отключение перехвата системных вызовов (syscall unhooking).

Их атаки включают нацеливание на системы на уровне гипервизора для обхода защит на уровне гостевой ОС, что выявляет значительную уязвимость для организаций.

Операторы демонстрируют устойчивую зависимость от известных уязвимостей, таких как CVE-2024-55591 для устройств Fortinet, сосредотачиваясь на хорошо задокументированных слабостях в корпоративной безопасности.

Общие инструменты для кражи учетных данных и перемещения внутри компании включают Phemedrone и инструменты для дампа учетных данных, при этом значительное внимание уделяется учетным данным, хранящимся в браузере, как вектору атаки.

Методы эксфильтрации файлов остаются примитивными, с использованием легитимных инструментов, таких как rclone, для передачи данных во внешние сети.

Сложности для организаций включают устранение существующих уязвимостей и улучшение возможностей обнаружения пост-аутентификационного поведения и активности на уровне гипервизора.

#ParsedReport #CompletenessLow
03-06-2026

Espionage Campaign Targeted Stock Exchange Executive for Five Months

https://www.security.com/threat-intelligence/stock-exchange-espionage

Report completeness: Low

Threats:
Sharpdecryptpwd_tool
Frpc_tool
Uac_bypass_technique
Secretsdump_tool

Victims:
Stock exchange, Senior executive

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1036.008, T1053.005, T1059.003, T1071.001, T1102.002, T1114.001, T1567.002

IOCs:
File: 20
Command: 9
Path: 1
Hash: 20
IP: 1
Coin: 1

Soft:
Outlook, Dropbox, microsoft onedrive, curl, Microsoft Outlook

Algorithms:
sha256

Functions:
OneDrive

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники вели пятимесячную кампанию шпионажа, нацеленную на учетную запись эл. почты высокопоставленного руководителя глобальной фондовой биржи, успешно похитив внутренние данные с использованием сложного подхода, включавшего эксфильтрацию данных через Dropbox и OneDrive. Они эксплуатировали скомпрометированные бинарные файлы, работающие с привилегиями SYSTEM, и использовали почтовый стиллер на базе Aspose для преобразования и извлечения данных Outlook, избегая обнаружения. Операция продемонстрировала высокий уровень дисциплины, при этом злоумышленники применяли различные техники закрепления и легитимные облачные сервисы для поддержания скрытого долгосрочного доступа к конфиденциальной информации.
-----

Неизвестные злоумышленники провели пятимесячную шпионскую кампанию, нацеленную на учетную запись эл. почты старшего руководителя глобальной фондовой биржи.

Из почтового ящика Outlook руководителя было похищено значительное количество информации, что подчеркивает ценность таких учетных записей для получения конфиденциальных разведывательных данных.

Злоумышленники инкрементально похищали данные, используя Dropbox и OneDrive Personal, чтобы избежать обнаружения.

Первоначальный вектор заражения не установлен; однако два бинарных файла (armsvc.exe и oneservice.exe) функционировали с привилегиями SYSTEM к 10 октября 2025 года.

Эти бинарные файлы были замаскированы в легитимных путях приложений, что указывает на то, что повышение привилегий было достигнуто быстро.

12 ноября злоумышленники завершили рукопожатие OAuth для получения токена API Dropbox, предназначенного для непрерывной загрузки и выгрузки данных.

О наличии одного постоянного приложения Dropbox свидетельствовало последовательное повторное использование одного и того же client_id и client_secret в ходе операций.

Основным инструментом, использованным злоумышленниками, стал стиллер почтовых ящиков на базе Aspose, который конвертировал файлы OST Outlook в формат PST с использованием легитимной библиотеки Aspose .NET.

Стиллер был замаскирован под innocuous file extensions и выполнен с параметрами для password protection и date ranges, что позволяло осуществлять систематическое кражу без предупреждения security software.

За пять месяцев было выполнено ещё восемь запусков извлечения, в результате которых был собран полный репозиторий электронной почты руководителя.

К концу ноября 2025 года каналы эксфильтрации были расширены за счёт OneDrive Personal, а для обхода DNS-логирования использовались жёстко закодированные IP-адреса Microsoft.

Наблюдалась краткая попытка использования публичного сервиса временного размещения файлов для эксфильтрации, однако она не была продолжена.

Злоумышленники внедрили различные механизмы закрепления, такие как регистрация изменённой службы синхронизации OneDrive для поддержания доступа.

Кампания продемонстрировала оперативную дисциплину, направленную на продолжительное и незаметное похищение почтового ящика одного руководителя.

Легитимные облачные сервисы использовались для эксфильтрации данных, что минимизировало след злоумышленников.

Операция подчеркивает постоянную угрозу конфиденциальным данным организаций через целевое использование учетных записей эл. почты.

#ParsedReport #CompletenessMedium
03-06-2026

Analysis of the APT-C-26 (Lazarus) group's attack operations using CVE-2025-55182 with Copperhedge components

https://www.ctfiot.com/309562.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Copperhedge
Uac_bypass_technique
Volgmer
React2shell_vuln
Etherrat

Victims:
Financial institutions, Cryptocurrency exchanges, Blockchain related infrastructure, Blockchain industry

Industry:
Financial

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1033, T1036, T1071.001, T1082, T1105, T1132.001, T1140, T1190, T1218.011, have more...

IOCs:
File: 5
Hash: 14
Url: 1
IP: 1

Soft:
WeChat

Algorithms:
chacha20, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT-C-26 (Lazarus) нацелена на финансовые учреждения и криптовалютные биржи, используя передовые методы, такие как фишинг, ВПО-вымогатели и эксплуатация уязвимости CVE-2025-55182 в React для несанкционированного Удаленного Выполнения Кода. Они используют такие инструменты, как MultiRelay для перемещения внутри компании и Akagi64 для обхода UAC, развертывая вредоносное ПО Copperhedge, RAT, которое обеспечивает эксфильтрацию данных и контроль над системой, применяя при этом сложные методы шифрования, такие как ChaCha20-XOR. Операции группы демонстрируют фокус на скрытности и сборе разведывательных данных в секторе блокчейна.
-----

Группа APT-C-26 (Lazarus) известна своими постоянными сложными операциями кибератак, нацеленными преимущественно на финансовые учреждения и криптовалютные биржи. Используя передовые методы, такие как фишинг, программное-вымогательство и прямые киберпроникновения, группа стремится не только к финансовой выгоде, но и проводит масштабные операции по сбору разведданных. Недавняя активность продемонстрировала использование группой уязвимости CVE-2025-55182, представляющей собой ошибку небезопасной десериализации в React Codebase, для выполнения несанкционированного удаленного кода с помощью одного HTTP-запроса.

CVE-2025-55182 затрагивает React версии 19.x и фреймворки, построенные на его основе, такие как Next.js. Группа использовала несколько вредоносных инструментов вместе с этой уязвимостью, включая MultiRelay — инструмент для перемещения внутри компании во внутренних сетях, и Akagi64, который позволяет обходить контроль учётных записей пользователей Windows (UAC) для повышения привилегий. Группа Lazarus объединяет эти компоненты в исполняемый файл Windows, предназначенный для получения первоначального доступа к целевым инфраструктурам.

Процесс эксплуатации начинается с того, что злоумышленник сканирует цели, используя составленный список файлов, и использует уязвимость CVE-2025-55182 для проникновения. Оказавшись внутри сети, обход UAC позволяет развернуть ВПО Copperhedge. ВПО Copperhedge, входящее в семейство Manuscrypt, является инструментом удаленного доступа (RAT), который обеспечивает эксфильтрацию данных и контроль над системой. Его загрузчик маскирует свою функциональность, скрывая информацию о версии файла, что усложняет обнаружение системами безопасности.

Загрузчик Copperhedge использует циклический алгоритм шифрования для шифрования и расшифровки данных, обрабатывая при этом значительный объем информации. При запуске он создает мьютекс для предотвращения повторного выполнения и собирает критически важную системную информацию. Взаимодействие с серверами управления (управление) использует структуру, при которой вредоносное ПО отправляет закодированные HTTP-запросы и обрабатывает ответы через процесс обратной расшифровки. Это включает шифрование ChaCha20-XOR для обеспечения безопасности данных, что подчеркивает акцент группы на скрытности и уклонении от обнаружения.

Отмечалось, что группа Lazarus также использовала уязвимость React2Shell (CVE-2025-55182) для развертывания компонента EtherRAT в рамках косвенной атаки на блокчейн-сектор. Учитывая исторический контекст, технические детали уязвимостей, применяемые методологии и целевые отрасли, можно с уверенностью заключить, что эти недавние операции, а также связанные с ними инструменты и тактики действительно принадлежат группе Lazarus.

#ParsedReport #CompletenessHigh
03-06-2026

FSB’s matryoshka #2/3 – Gamaredon’s gifts that keeps unpacking – GammaLoad

https://blog.sekoia.io/fsbs-matryoshka-2-3-gamaredons-gifts-that-keeps-unpacking-gammaload/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)

Threats:
Gammaload
Gammaphish
Gammaworm
Gammasteel
Pteranodon
Gammawipe
Dead_drop_technique
Bitsadmin_tool

Victims:
Government, Military, Critical infrastructure

Industry:
Military, Government, Critical_infrastructure

Geo:
Ukraine, Russia, Russian, Ukrainian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036.004, T1053.005, T1059.001, T1059.005, T1071.001, T1082, T1091, T1102.001, have more...

IOCs:
Registry: 3
Hash: 3
Url: 8
IP: 2
Domain: 1
File: 1
Command: 1
Email: 1

Soft:
Telegram, Windows registry

Algorithms:
xor, md5, base64

Functions:
ExecuteGlobal

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon — российская кибершпионская группа, связанная с ФСБ, проводит целевые атаки против украинских организаций с использованием передовых методов вредоносного ПО. Их метод заражения включает использование многослойных загрузчиков на VBScript, в частности GammaLoad, которые обеспечивают скрытую доставку полезной нагрузки и коммуникацию с командным центром, маскируя свою деятельность. Вредоносное ПО использует легитимные функции Windows и может перехватывать документы, обеспечивая постоянное выполнение через планировщик задач и процедуры в памяти для эксфильтрации данных с помощью финальной полезной нагрузки GammaSteel.
-----

Gamaredon — это группа кибершпионажа, связанная с ФСБ России, известная проведением длительных и настойчивых операций вторжения, в основном направленных против украинского правительства, военных и критической инфраструктуры. В настоящее время она остается активной и продолжает совершенствовать свой арсенал ВПО. Их операции характеризуются использованием фоновых механизмов, скрывающих их деятельность, таких как использование легитимных функций Windows и доверенных платформ, например, Телеграм, что минимизирует обнаружение и позволяет ВПО распространяться по изолированным сетям через зараженные USB-накопители. Кроме того, ВПО способно перехватывать документы в различных состояниях — будь то сохраненные, передаваемые или активно редактируемые. Эту возможность обеспечивает структура бэкдора, которая не только позволяет управление, но и обеспечивает развертывание дополнительных полезной нагрузки.

Недавний анализ команды Sekoia.io по обнаружению угроз и исследованиям (TDR) был сосредоточен на определенном компоненте вредоносного ПО под названием GammaLoad, который представляет собой серию загрузчиков на VBScript, обеспечивающих доставку и выполнение финального полезного груза GammaSteel. GammaLoad функционирует через многослойный процесс заражения, где загрузчики размещают дополнительные загрузчики, усиливая свою скрытность и закрепление. Первый этап выполняет идентификацию хоста и использует метод резервного переключения для подключения к серверу управления (управление), проверяя ранее кэшированные URL-адреса перед тем, как вернуться к легитимным службам для получения последующих полезных грузов.

В ходе исследования стало очевидно, что GammaLoad хранит свою конфигурацию C2 в реестре Windows, что позволяет ему возобновлять связь после выполнения. Выявленный первый этап создает комплексную структуру HTTP-запроса, предназначенную для имитации легитимного трафика, дополнительно маскируя свое присутствие. В случае успеха он выполняет следующий этап в памяти, а в случае неудачи ищет новые URL-адреса C2, обновляя значения в реестре по мере необходимости.

Второй этап работает как дроппер, который использует кодировку Base64 и внедряет полезную нагрузку в Альтернативные потоки данных (ADS) во временных файлах системы. Этот дроппер дополнительно включает планировщик задач, который обеспечивает периодическое выполнение полезной нагрузки, укрепляя закрепление инфекции и способность оставаться незамеченной. Третий этап, который был идентифицирован как загрузчик PowerShell, выполняет зашифрованные команды через скрытые процессы, позволяя выполнить финальную полезную нагрузку GammaSteel в памяти, дополнительно эксфильтруя информацию как стиллер.

#ParsedReport #CompletenessMedium
03-06-2026

New Mac stealer SHub Reaper is spoofing Apple, Google, and Microsoft

https://moonlock.com/mac-stealer-shub-reaper

Report completeness: Medium

Threats:
Reaper
Clickfix_technique
Shubstealer
Typosquatting_technique
Amos_stealer

Victims:
Macos users, Cryptocurrency wallet users, Business users, Financial users

Industry:
Financial

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1036.005, T1041, T1056, T1059.002, T1059.004, T1071.001, T1083, T1105, have more...

IOCs:
Domain: 1
Url: 1

Soft:
macOS, WeChat, Telegram, Chrome, Firefox, Opera, Vivaldi, Ledger Live, curl

Wallets:
exodus_wallet, electrum, trezor

Algorithms:
base64, zip

Win API:
Arc

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SHub Reaper нацелено на пользователей macOS, используя обманные методы распространения, в частности через технику ClickFix, которая внедряет вредоносные скрипты в поддельные веб-страницы. Это вредоносное ПО способно красть данные, включая криптовалюту, путем модификации легитимных приложений, а не создания поддельных. Кроме того, Reaper может проверять определенные настройки клавиатуры, запрашивать системные пароли и устанавливать закрепление через бэкдоры, что обеспечивает постоянный доступ к скомпрометированным системам при одновременной эксфильтрации конфиденциальной информации.
-----

ВПО SHub Reaper появилось как новая угроза для пользователей macOS, использующая обманные тактики для распространения и выполнения вредоносного кода. Эта кампания является третьей за два месяца и применяет новый автоматизированный метод распространения под названием ClickFix, который затрудняет распознавание атаки пользователями. Злоумышленники наблюдались в подделке легитимных приложений, таких как WeChat и Miro, через поддельные веб-сайты для распространения вредоносного ПО. Большинство этих сайтов обмана недоступны; однако их способность создавать новые, похожие сайты держит пользователей в уязвимом положении.

В подходе ClickFix злоумышленники упрощают процесс установки, внедряя вредоносный код непосредственно в кнопку на поддельной веб-странице. При нажатии этой кнопки автоматически открывается Script Editor на компьютере Mac, предварительно загруженный вредоносным скриптом. Такая конструкция использует доверенный внешний вид Script Editor для обхода внимания пользователей, облегчая многоэтапную атаку, которая завершается кражей конфиденциальных данных, включая криптовалюту.

Вариант Reaper семейства SHub внедряет расширенные возможности, такие как проверка конфигураций клавиатуры для выявления настроек русского языка, что может привести к остановке операций при обнаружении такой конфигурации. Вредоносное ПО запрашивает у пользователей поддельный системный пароль, что дополнительно позволяет ему получать доступ к критически важным ресурсам Mac. Теперь оно включает функции, заимствованные из крадущего ПО AMOS, расширяя охват на дополнительные браузеры (Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Orion) и нацеливаясь на конкретные настольные криптовалютные кошельки, такие как Exodus и Ledger Live. Вместо создания поддельных кошельков Reaper модифицирует код легитимных приложений для извлечения криптовалюты непосредственно из учетных записей пользователей.

Собрав данные, такие как документы и финансовые файлы (нацеливаясь на известные форматы, такие как .docx, .xls, .csv и т. д.), Reaper упаковывает эту информацию и связывается с сервером управления (C2) для эксфильтрации украденных данных. Он также устанавливает закрепление через бэкдоры, замаскированные под легитимные ресурсы обновления Google, тем самым обеспечивая постоянный доступ к зараженным системам.

#ParsedReport #CompletenessMedium
03-06-2026

The HazyBeacon Protocol – How Malware Weaponizes Amazon Web Services (AWS) Lambda Function URLs

https://blog.qualys.com/qualys-insights/2026/06/02/hazybeacon-aws-lambda-function-url-command-control-abuse

Report completeness: Medium

Actors/Campaigns:
Cl-sta-1020

Threats:
Hazybeacon
Stealthc2_tool

Victims:
Government, Development teams, Smaller organizations, Southeast asia

Industry:
Government

Geo:
Asian

TTPs:
Tactics: 5
Technics: 5

Soft:
Node.js, Kubernetes

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая функции AWS Lambda Function URLs без аутентификации для скрытых операций управления. Злоумышленники эксплуатируют скомпрометированные учетные записи AWS и украденные учетные данные IAM для развертывания легких функций Lambda, которые ретранслируют коммуникации ВПО как легитимный трафик, усложняя усилия по обнаружению. Этот подход переносит инфраструктуру управления с традиционных серверов на облачные ресурсы, эффективно маскируя вредоносную деятельность и делая традиционные средства защиты неэффективными.
-----

HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая URL-адреса функций AWS Lambda, настроенные без аутентификации, в качестве скрытого механизма управления (C2). Эта модель атаки позволяет злоумышленникам использовать скомпрометированные учетные записи AWS, применяя украденные учетные данные IAM для развертывания легких функций Lambda. Эти функции действуют как посредники, пересылая коммуникации ВПО через доверенную инфраструктуру AWS, маскируя вредоносную активность под легитимный трафик.

Кампания HazyBeacon демонстрирует значительный сдвиг в инфраструктуре C2 от традиционных серверов к облачным ресурсам. Перенаправляя коммуникации вредоносного ПО через функции Lambda, размещенные на инфраструктуре Amazon, злоумышленники затрудняют для средств безопасности выявление и блокировку вредоносной активности, поскольку трафик выглядит как стандартные HTTPS-запросы к доверенному облачному сервису. Это делает традиционные стратегии защиты, основанные на видимости конечных точек и сетевой репутации, в значительной степени неэффективными.

В данном подходе злоумышленники осуществляют компрометацию облачных сред путем кражи учетных данных, которые могут поступать из различных источников, таких как публичные Репозитории кода, фишинг-атаки или неправильно настроенные параметры хранения. Получив доступ, злоумышленники развертывают функции Lambda с использованием легитимных API AWS, используя для полезной нагрузки имена, не вызывающие подозрений, чтобы избежать обнаружения. Конфигурация таких функций часто включает параметр AuthType со значением NONE, что создает публичные конечные точки, которые по своей природе получают доверие, связанное с доменами AWS.

После развертывания функции Lambda обеспечивают надежный и устойчивый канал команд, обрабатывая множество запросов и бесшовно сливаясь с нормальными шаблонами сетевого трафика. Такая конфигурация усложняет атрибуцию, поскольку жертвы вредоносного ПО наблюдают трафик, исходящий из легитимных ресурсов AWS, часто оставаясь в неведении относительно своего скомпрометированного состояния до тех пор, пока не столкнутся с неожиданным счетом или уведомлением об использовании ресурсов.

Для смягчения подобных угроз организациям необходимо сосредоточиться на усилении управления идентификацией и доступом (IAM) в своих облачных средах. Ключевые стратегии включают обеспечение строгого контроля над учетными данными IAM, такие как регулярная ротация ключей доступа, применение многофакторной аутентификации и отключение неиспользуемых ключей. Кроме того, развертывание инфраструктуры внутри виртуальных частных облаков (VPC) может помочь отслеживать и выявлять необычное поведение, похожее на прокси, обеспечивая лучшую видимость коммуникаций.

В заключение, кампания HazyBeacon демонстрирует риски, связанные с современными облачными архитектурами, когда управление идентификацией и управление конфигурацией недостаточны. Понимая и устраняя уязвимости в облачной идентификации и поведении, организации могут лучше защищаться от превращения легитимной облачной инфраструктуры в оперативные командные центры для киберугроз.

#ParsedReport #CompletenessMedium
03-06-2026

Error 524 Decoy: Unmasking a Global Smishing Operation Hiding Behind Error Pages

https://www.group-ib.com/blog/error-524-decoy-smishing/

Report completeness: Medium

Actors/Campaigns:
Error524

Threats:
Smishing_technique
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Telecommunications, Financial services, Consumer rewards programs, Government, Logistics

Industry:
Financial, Government, Telco, Retail, Education, Logistic

Geo:
America, Latam, Chile, Chinese, Australia, Apac, Latin america, Mexico, American, Asian, Netherlands, Colombia, Germany

TTPs:
Tactics: 3
Technics: 11

IOCs:
IP: 7
File: 2

Soft:
Caddy, Telegram

Algorithms:
exhibit, aes-256, base64

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4