CTT Report Hub
#ParsedReport #CompletenessMedium 03-06-2026 The HazyBeacon Protocol – How Malware Weaponizes Amazon Web Services (AWS) Lambda Function URLs https://blog.qualys.com/qualys-insights/2026/06/02/hazybeacon-aws-lambda-function-url-command-control-abuse Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая функции AWS Lambda Function URLs без аутентификации для скрытых операций управления. Злоумышленники эксплуатируют скомпрометированные учетные записи AWS и украденные учетные данные IAM для развертывания легких функций Lambda, которые ретранслируют коммуникации ВПО как легитимный трафик, усложняя усилия по обнаружению. Этот подход переносит инфраструктуру управления с традиционных серверов на облачные ресурсы, эффективно маскируя вредоносную деятельность и делая традиционные средства защиты неэффективными.
-----
HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая URL-адреса функций AWS Lambda, настроенные без аутентификации, в качестве скрытого механизма управления (C2). Эта модель атаки позволяет злоумышленникам использовать скомпрометированные учетные записи AWS, применяя украденные учетные данные IAM для развертывания легких функций Lambda. Эти функции действуют как посредники, пересылая коммуникации ВПО через доверенную инфраструктуру AWS, маскируя вредоносную активность под легитимный трафик.
Кампания HazyBeacon демонстрирует значительный сдвиг в инфраструктуре C2 от традиционных серверов к облачным ресурсам. Перенаправляя коммуникации вредоносного ПО через функции Lambda, размещенные на инфраструктуре Amazon, злоумышленники затрудняют для средств безопасности выявление и блокировку вредоносной активности, поскольку трафик выглядит как стандартные HTTPS-запросы к доверенному облачному сервису. Это делает традиционные стратегии защиты, основанные на видимости конечных точек и сетевой репутации, в значительной степени неэффективными.
В данном подходе злоумышленники осуществляют компрометацию облачных сред путем кражи учетных данных, которые могут поступать из различных источников, таких как публичные Репозитории кода, фишинг-атаки или неправильно настроенные параметры хранения. Получив доступ, злоумышленники развертывают функции Lambda с использованием легитимных API AWS, используя для полезной нагрузки имена, не вызывающие подозрений, чтобы избежать обнаружения. Конфигурация таких функций часто включает параметр AuthType со значением NONE, что создает публичные конечные точки, которые по своей природе получают доверие, связанное с доменами AWS.
После развертывания функции Lambda обеспечивают надежный и устойчивый канал команд, обрабатывая множество запросов и бесшовно сливаясь с нормальными шаблонами сетевого трафика. Такая конфигурация усложняет атрибуцию, поскольку жертвы вредоносного ПО наблюдают трафик, исходящий из легитимных ресурсов AWS, часто оставаясь в неведении относительно своего скомпрометированного состояния до тех пор, пока не столкнутся с неожиданным счетом или уведомлением об использовании ресурсов.
Для смягчения подобных угроз организациям необходимо сосредоточиться на усилении управления идентификацией и доступом (IAM) в своих облачных средах. Ключевые стратегии включают обеспечение строгого контроля над учетными данными IAM, такие как регулярная ротация ключей доступа, применение многофакторной аутентификации и отключение неиспользуемых ключей. Кроме того, развертывание инфраструктуры внутри виртуальных частных облаков (VPC) может помочь отслеживать и выявлять необычное поведение, похожее на прокси, обеспечивая лучшую видимость коммуникаций.
В заключение, кампания HazyBeacon демонстрирует риски, связанные с современными облачными архитектурами, когда управление идентификацией и управление конфигурацией недостаточны. Понимая и устраняя уязвимости в облачной идентификации и поведении, организации могут лучше защищаться от превращения легитимной облачной инфраструктуры в оперативные командные центры для киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая функции AWS Lambda Function URLs без аутентификации для скрытых операций управления. Злоумышленники эксплуатируют скомпрометированные учетные записи AWS и украденные учетные данные IAM для развертывания легких функций Lambda, которые ретранслируют коммуникации ВПО как легитимный трафик, усложняя усилия по обнаружению. Этот подход переносит инфраструктуру управления с традиционных серверов на облачные ресурсы, эффективно маскируя вредоносную деятельность и делая традиционные средства защиты неэффективными.
-----
HazyBeacon (CL-STA-1020) — это киберугроза, нацеленная на правительственные сети Юго-Восточной Азии, использующая URL-адреса функций AWS Lambda, настроенные без аутентификации, в качестве скрытого механизма управления (C2). Эта модель атаки позволяет злоумышленникам использовать скомпрометированные учетные записи AWS, применяя украденные учетные данные IAM для развертывания легких функций Lambda. Эти функции действуют как посредники, пересылая коммуникации ВПО через доверенную инфраструктуру AWS, маскируя вредоносную активность под легитимный трафик.
Кампания HazyBeacon демонстрирует значительный сдвиг в инфраструктуре C2 от традиционных серверов к облачным ресурсам. Перенаправляя коммуникации вредоносного ПО через функции Lambda, размещенные на инфраструктуре Amazon, злоумышленники затрудняют для средств безопасности выявление и блокировку вредоносной активности, поскольку трафик выглядит как стандартные HTTPS-запросы к доверенному облачному сервису. Это делает традиционные стратегии защиты, основанные на видимости конечных точек и сетевой репутации, в значительной степени неэффективными.
В данном подходе злоумышленники осуществляют компрометацию облачных сред путем кражи учетных данных, которые могут поступать из различных источников, таких как публичные Репозитории кода, фишинг-атаки или неправильно настроенные параметры хранения. Получив доступ, злоумышленники развертывают функции Lambda с использованием легитимных API AWS, используя для полезной нагрузки имена, не вызывающие подозрений, чтобы избежать обнаружения. Конфигурация таких функций часто включает параметр AuthType со значением NONE, что создает публичные конечные точки, которые по своей природе получают доверие, связанное с доменами AWS.
После развертывания функции Lambda обеспечивают надежный и устойчивый канал команд, обрабатывая множество запросов и бесшовно сливаясь с нормальными шаблонами сетевого трафика. Такая конфигурация усложняет атрибуцию, поскольку жертвы вредоносного ПО наблюдают трафик, исходящий из легитимных ресурсов AWS, часто оставаясь в неведении относительно своего скомпрометированного состояния до тех пор, пока не столкнутся с неожиданным счетом или уведомлением об использовании ресурсов.
Для смягчения подобных угроз организациям необходимо сосредоточиться на усилении управления идентификацией и доступом (IAM) в своих облачных средах. Ключевые стратегии включают обеспечение строгого контроля над учетными данными IAM, такие как регулярная ротация ключей доступа, применение многофакторной аутентификации и отключение неиспользуемых ключей. Кроме того, развертывание инфраструктуры внутри виртуальных частных облаков (VPC) может помочь отслеживать и выявлять необычное поведение, похожее на прокси, обеспечивая лучшую видимость коммуникаций.
В заключение, кампания HazyBeacon демонстрирует риски, связанные с современными облачными архитектурами, когда управление идентификацией и управление конфигурацией недостаточны. Понимая и устраняя уязвимости в облачной идентификации и поведении, организации могут лучше защищаться от превращения легитимной облачной инфраструктуры в оперативные командные центры для киберугроз.
#ParsedReport #CompletenessMedium
03-06-2026
Error 524 Decoy: Unmasking a Global Smishing Operation Hiding Behind Error Pages
https://www.group-ib.com/blog/error-524-decoy-smishing/
Report completeness: Medium
Actors/Campaigns:
Error524
Threats:
Smishing_technique
Credential_harvesting_technique
Spear-phishing_technique
Victims:
Telecommunications, Financial services, Consumer rewards programs, Government, Logistics
Industry:
Financial, Government, Telco, Retail, Education, Logistic
Geo:
America, Latam, Chile, Chinese, Australia, Apac, Latin america, Mexico, American, Asian, Netherlands, Colombia, Germany
TTPs:
Tactics: 3
Technics: 11
IOCs:
IP: 7
File: 2
Soft:
Caddy, Telegram
Algorithms:
exhibit, aes-256, base64
Languages:
php, javascript
03-06-2026
Error 524 Decoy: Unmasking a Global Smishing Operation Hiding Behind Error Pages
https://www.group-ib.com/blog/error-524-decoy-smishing/
Report completeness: Medium
Actors/Campaigns:
Error524
Threats:
Smishing_technique
Credential_harvesting_technique
Spear-phishing_technique
Victims:
Telecommunications, Financial services, Consumer rewards programs, Government, Logistics
Industry:
Financial, Government, Telco, Retail, Education, Logistic
Geo:
America, Latam, Chile, Chinese, Australia, Apac, Latin america, Mexico, American, Asian, Netherlands, Colombia, Germany
TTPs:
Tactics: 3
Technics: 11
IOCs:
IP: 7
File: 2
Soft:
Caddy, Telegram
Algorithms:
exhibit, aes-256, base64
Languages:
php, javascript
Group-IB
Error 524 Decoy: Unmasking a Global Smishing Operation Hiding Behind Error Pages
Group-IB researchers expose a large-scale smishing and phishing operation impersonating 260+ brands across 72 countries, using fake Cloudflare error pages, geofencing, and encrypted WebSocket channels for real-time credit card theft.
CTT Report Hub
#ParsedReport #CompletenessMedium 03-06-2026 Error 524 Decoy: Unmasking a Global Smishing Operation Hiding Behind Error Pages https://www.group-ib.com/blog/error-524-decoy-smishing/ Report completeness: Medium Actors/Campaigns: Error524 Threats: Smishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Обнаружена сложная операция по смишингу и фишингу, нацеленная на Латинскую Америку и 72 другие страны, в ходе которой злоумышленники имитируют более 260 брендов, преимущественно в сфере телекоммуникаций и финансов. Атакующие используют поддельные страницы ошибок Cloudflare для обмана пользователей и применяют сложные методы противодействия анализу, раскрывая фишинговый контент только для определенных геолокаций и мобильных устройств, одновременно собирая конфиденциальную информацию о кредитных картах через зашифрованные одностраничные приложения (Single Page Applications). Кампания демонстрирует быструю смену доменов и использует такие фреймворки, как Vue.js, что значительно усиливает ее тактику уклонения от обнаружения.
-----
Исследователи Group-IB выявили сложную операцию смишинга и фишинга, которая активна с середины 2025 года и в первую очередь нацелена на Латинскую Америку, но также охватывает 72 страны. Эта кампания имитирует более 260 брендов в нескольких секторах, преимущественно телекоммуникациях и финансовых услугах, используя поддельные страницы ошибок Cloudflare для маскировки вредоносной деятельности. Операция сосредоточена на эксплуатации регионов со слабыми средствами защиты от подделки SMS, особенно в таких странах, как Мексика, Чили и Колумбия, где зарегистрировано значительное количество фишинговых доменов.
Атакующие используют сложную, многоуровневую архитектуру уклонения от анализа, которая опирается на имитацию легитимных страниц ошибок Cloudflare — в частности, сообщения об ошибке 524 (тайм-аут). Эта тактика приманки разработана стратегически: только жертвы, соответствующие определенным критериям геолокации и использования мобильных устройств, получают доступ к реальному фишинговому контенту. Фишинговая инфраструктура включает множество обфусцированных одностраничных приложений (SPA) и использует эксфильтрацию данных в реальном времени через зашифрованные каналы WebSocket. Group-IB выявила 4 389 фишинговых доменов, при этом около 30% инфраструктуры размещено на серверах Tencent Cloud и Alibaba, скрытых за сервисами Cloudflare для усложнения усилий по их блокировке.
При переходе по фишинговой ссылке нетаргетированные пользователи видят поддельную страницу ошибки, не содержащую вредоносных элементов, что позволяет избежать обнаружения системами безопасности. В то же время целевые пользователи перенаправляются на оптимизированное одностраничное приложение (SPA), которое собирает данные банковской карты, такие как номер карты, срок действия и CVV, при минимальной проверке. Этот метод максимизирует количество успешных отправок данных без вовлечения длительных процедур авторизации со стороны банков.
Кампания использует комбинацию поведенческого анализа и сложных веб-технологий, применяя такие фреймворки, как Vue.js, для обеспечения функциональности на стороне клиента, а также применяя обфускацию кода для предотвращения анализа. Её операционная инфраструктура характеризуется быстрой сменой доменов, при этом используются недорогие домены верхнего уровня (TLD), имитирующие названия брендов, что позволяет злоумышленникам оперативно заменять домены, заблокированные или удаленные.
По мере развития и сохранения этой операции она представляет значительные угрозы, особенно в средах, где потребительское доверие имеет первостепенное значение. Для противодействия таким угрозам организациям настоятельно рекомендуется принимать проактивные меры, включая интеграцию разведки угроз для раннего предупреждения о новых зарегистрированных фишинговых доменах, соответствующих установленным шаблонам, и обеспечение надежных стратегий защиты цифровых рисков. В свете факторов, позволяющих таким кампаниям смишинг процветать, повышенная осведомленность и обучение пользователей остаются критически важными для снижения рисков, связанных с атаками фишинг и смишинг.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Обнаружена сложная операция по смишингу и фишингу, нацеленная на Латинскую Америку и 72 другие страны, в ходе которой злоумышленники имитируют более 260 брендов, преимущественно в сфере телекоммуникаций и финансов. Атакующие используют поддельные страницы ошибок Cloudflare для обмана пользователей и применяют сложные методы противодействия анализу, раскрывая фишинговый контент только для определенных геолокаций и мобильных устройств, одновременно собирая конфиденциальную информацию о кредитных картах через зашифрованные одностраничные приложения (Single Page Applications). Кампания демонстрирует быструю смену доменов и использует такие фреймворки, как Vue.js, что значительно усиливает ее тактику уклонения от обнаружения.
-----
Исследователи Group-IB выявили сложную операцию смишинга и фишинга, которая активна с середины 2025 года и в первую очередь нацелена на Латинскую Америку, но также охватывает 72 страны. Эта кампания имитирует более 260 брендов в нескольких секторах, преимущественно телекоммуникациях и финансовых услугах, используя поддельные страницы ошибок Cloudflare для маскировки вредоносной деятельности. Операция сосредоточена на эксплуатации регионов со слабыми средствами защиты от подделки SMS, особенно в таких странах, как Мексика, Чили и Колумбия, где зарегистрировано значительное количество фишинговых доменов.
Атакующие используют сложную, многоуровневую архитектуру уклонения от анализа, которая опирается на имитацию легитимных страниц ошибок Cloudflare — в частности, сообщения об ошибке 524 (тайм-аут). Эта тактика приманки разработана стратегически: только жертвы, соответствующие определенным критериям геолокации и использования мобильных устройств, получают доступ к реальному фишинговому контенту. Фишинговая инфраструктура включает множество обфусцированных одностраничных приложений (SPA) и использует эксфильтрацию данных в реальном времени через зашифрованные каналы WebSocket. Group-IB выявила 4 389 фишинговых доменов, при этом около 30% инфраструктуры размещено на серверах Tencent Cloud и Alibaba, скрытых за сервисами Cloudflare для усложнения усилий по их блокировке.
При переходе по фишинговой ссылке нетаргетированные пользователи видят поддельную страницу ошибки, не содержащую вредоносных элементов, что позволяет избежать обнаружения системами безопасности. В то же время целевые пользователи перенаправляются на оптимизированное одностраничное приложение (SPA), которое собирает данные банковской карты, такие как номер карты, срок действия и CVV, при минимальной проверке. Этот метод максимизирует количество успешных отправок данных без вовлечения длительных процедур авторизации со стороны банков.
Кампания использует комбинацию поведенческого анализа и сложных веб-технологий, применяя такие фреймворки, как Vue.js, для обеспечения функциональности на стороне клиента, а также применяя обфускацию кода для предотвращения анализа. Её операционная инфраструктура характеризуется быстрой сменой доменов, при этом используются недорогие домены верхнего уровня (TLD), имитирующие названия брендов, что позволяет злоумышленникам оперативно заменять домены, заблокированные или удаленные.
По мере развития и сохранения этой операции она представляет значительные угрозы, особенно в средах, где потребительское доверие имеет первостепенное значение. Для противодействия таким угрозам организациям настоятельно рекомендуется принимать проактивные меры, включая интеграцию разведки угроз для раннего предупреждения о новых зарегистрированных фишинговых доменах, соответствующих установленным шаблонам, и обеспечение надежных стратегий защиты цифровых рисков. В свете факторов, позволяющих таким кампаниям смишинг процветать, повышенная осведомленность и обучение пользователей остаются критически важными для снижения рисков, связанных с атаками фишинг и смишинг.
#ParsedReport #CompletenessMedium
03-06-2026
From Token Bingo to MAX Takeover: Kali365 Operator Expands Operation Across Microsoft Outlook, Okta, Xerox DocuShare, and Other Services
https://arcticwolf.com/resources/blog/kali365-expands-into-aws-microsoft-okta-xerox-max-messenger/
Report completeness: Medium
Threats:
Kali365_tool
Device_code_phishing_technique
Victims:
Messaging platforms, Cloud services, Identity services, Document management services, Email services, Social networking services, Cloud storage services, Russian consumer internet platforms
Industry:
Government, Iot, Media
Geo:
Russia, German, China, Russian
ChatGPT TTPs:
T1056.003, T1071.001, T1078, T1102.003, T1111, T1528, T1566, T1583.006
IOCs:
Domain: 9
Url: 1
IP: 2
File: 1
Soft:
Microsoft Outlook, Okta, DocuShare, MAX Messenger, Telegram, WeChat, cPanel
Algorithms:
sha1
Functions:
fetch
Languages:
javascript
Links:
03-06-2026
From Token Bingo to MAX Takeover: Kali365 Operator Expands Operation Across Microsoft Outlook, Okta, Xerox DocuShare, and Other Services
https://arcticwolf.com/resources/blog/kali365-expands-into-aws-microsoft-okta-xerox-max-messenger/
Report completeness: Medium
Threats:
Kali365_tool
Device_code_phishing_technique
Victims:
Messaging platforms, Cloud services, Identity services, Document management services, Email services, Social networking services, Cloud storage services, Russian consumer internet platforms
Industry:
Government, Iot, Media
Geo:
Russia, German, China, Russian
ChatGPT TTPs:
do not use without manual checkT1056.003, T1071.001, T1078, T1102.003, T1111, T1528, T1566, T1583.006
IOCs:
Domain: 9
Url: 1
IP: 2
File: 1
Soft:
Microsoft Outlook, Okta, DocuShare, MAX Messenger, Telegram, WeChat, cPanel
Algorithms:
sha1
Functions:
fetch
Languages:
javascript
Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/kali365-expands-into-aws-microsoft-okta-xerox-max-messengerArctic Wolf
From Token Bingo to MAX Takeover: Kali365 Operator Expands Operation Across Microsoft Outlook, Okta, Xerox DocuShare, and Other…
Arctic Wolf has observed a significant expansion of the phishing-as-a-service operation Kali365, which abuses Microsoft's OAuth device authorization flow to bypass MFA.
CTT Report Hub
#ParsedReport #CompletenessMedium 03-06-2026 From Token Bingo to MAX Takeover: Kali365 Operator Expands Operation Across Microsoft Outlook, Okta, Xerox DocuShare, and Other Services https://arcticwolf.com/resources/blog/kali365-expands-into-aws-microsoft…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Оператор Kali365 усилил свои возможности по предоставлению Фишинг как услуга, нацеливаясь на такие платформы, как Microsoft Outlook и MAX Messenger, через панель управления, предназначенную для захвата токенов через поддельные сайты. Используя технику фишинга с кодом устройства, злоумышленники эксплуатируют OAuth 2.0 для получения доступа к средам M365 жертв без паролей. Их хорошо структурированная инфраструктура состоит из 126 вращающихся вредоносных хостов, что позволяет осуществлять постоянный кражу учетных данных и обходить двухфакторную аутентификацию, одновременно собирая обширные данные пользователей.
-----
Оператор Kali365 расширил возможности своего сервиса фишинг как услуга (PhaaS), создав сложную фишинговую инфраструктуру, нацеленную на такие известные сервисы, как Microsoft Outlook, Okta и российские платформы, такие как MAX Messenger и Mail.ru. Наблюдается, что оператор использует живую панель управления (C2), которая обеспечивает захват токенов путем имперсонации различных легитимных сайтов. Это расширение включает фишинговую кампанию, специально разработанную для MAX Messenger, которая используется для эксплуатации пользователей с помощью поддельной тактики получения приза.
Kali365 использует уникальную технику атаки, известную как фишинг с кодом устройства, которая использует OAuth 2.0 Device Authorization Grant. Атакующий инициирует запрос на вход через вредоносное приложение и обманом заставляет жертву ввести код авторизации, что позволяет атакующему получить доступ к среде M365 жертвы без необходимости знать её пароль. Инфраструктура включает 126 вредоносных хостов, которые ротационно меняются, чтобы избежать обнаружения, демонстрируя устойчивый фокус на эксплуатации российских потребительских сервисов при сохранении существующих целей в западных корпоративных средах.
Страницы фишинга часто имитируют легитимные сайты и направляют жертв через многоступенчатый процесс для сбора конфиденциальной информации. Например, страница фишинга MAX Messenger требует от пользователей ввода их номеров телефонов, связанных с их учетными записями, под предлогом проверки приза. Этот подход не только собирает учетные данные для входа, но и обходит многофакторную аутентификацию (2FA), извлекая комплексные данные пользователя после того, как жертва завершит необходимые шаги.
Структура C2 использует механизм опроса для проверки того, были ли захвачены токены, что подчеркивает организованный подход к краже учетных данных. Отслеживание этой активности выявило конкретные IP-адреса, связанные с вредоносной инфраструктурой, раскрывая, насколько взаимосвязанными и оптимизированными стали действия оператора. Основа набора Kali365 позволяет легко развертывать и масштабировать систему, где скомпрометированные учетные записи могут быть использованы для дальнейшего распространения фишинговой схемы среди контактов, увеличивая охват угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Оператор Kali365 усилил свои возможности по предоставлению Фишинг как услуга, нацеливаясь на такие платформы, как Microsoft Outlook и MAX Messenger, через панель управления, предназначенную для захвата токенов через поддельные сайты. Используя технику фишинга с кодом устройства, злоумышленники эксплуатируют OAuth 2.0 для получения доступа к средам M365 жертв без паролей. Их хорошо структурированная инфраструктура состоит из 126 вращающихся вредоносных хостов, что позволяет осуществлять постоянный кражу учетных данных и обходить двухфакторную аутентификацию, одновременно собирая обширные данные пользователей.
-----
Оператор Kali365 расширил возможности своего сервиса фишинг как услуга (PhaaS), создав сложную фишинговую инфраструктуру, нацеленную на такие известные сервисы, как Microsoft Outlook, Okta и российские платформы, такие как MAX Messenger и Mail.ru. Наблюдается, что оператор использует живую панель управления (C2), которая обеспечивает захват токенов путем имперсонации различных легитимных сайтов. Это расширение включает фишинговую кампанию, специально разработанную для MAX Messenger, которая используется для эксплуатации пользователей с помощью поддельной тактики получения приза.
Kali365 использует уникальную технику атаки, известную как фишинг с кодом устройства, которая использует OAuth 2.0 Device Authorization Grant. Атакующий инициирует запрос на вход через вредоносное приложение и обманом заставляет жертву ввести код авторизации, что позволяет атакующему получить доступ к среде M365 жертвы без необходимости знать её пароль. Инфраструктура включает 126 вредоносных хостов, которые ротационно меняются, чтобы избежать обнаружения, демонстрируя устойчивый фокус на эксплуатации российских потребительских сервисов при сохранении существующих целей в западных корпоративных средах.
Страницы фишинга часто имитируют легитимные сайты и направляют жертв через многоступенчатый процесс для сбора конфиденциальной информации. Например, страница фишинга MAX Messenger требует от пользователей ввода их номеров телефонов, связанных с их учетными записями, под предлогом проверки приза. Этот подход не только собирает учетные данные для входа, но и обходит многофакторную аутентификацию (2FA), извлекая комплексные данные пользователя после того, как жертва завершит необходимые шаги.
Структура C2 использует механизм опроса для проверки того, были ли захвачены токены, что подчеркивает организованный подход к краже учетных данных. Отслеживание этой активности выявило конкретные IP-адреса, связанные с вредоносной инфраструктурой, раскрывая, насколько взаимосвязанными и оптимизированными стали действия оператора. Основа набора Kali365 позволяет легко развертывать и масштабировать систему, где скомпрометированные учетные записи могут быть использованы для дальнейшего распространения фишинговой схемы среди контактов, увеличивая охват угрозы.
#ParsedReport #CompletenessHigh
03-06-2026
KeyCat Stealer Uncovered: Inside a $40 Multi-Platform Infostealer with Telegram C2 and Active Staging Infrastructure
https://flare.io/learn/resources/blog/keycat-stealer-multi-platform-infostealer
Report completeness: High
Threats:
Keycat
Credential_dumping_technique
Lazagne_tool
Credential_harvesting_technique
Pxa_stealer
Dll_sideloading_technique
Victims:
Financial services, Banking, Postal services, Agriculture, Tunisia
Industry:
Financial
Geo:
Tunisia, Italian
TTPs:
Tactics: 8
Technics: 29
IOCs:
Url: 12
Domain: 2
File: 14
Command: 4
Registry: 1
Soft:
Telegram, Linux, Matkap, WordPress, Pastebin, Ubuntu, Limewire, QEMU, Windows service, ImageMagick, have more...
Algorithms:
zip, md5
Functions:
anti_debug, setsid, Send_telegram, send_flle, install_persistence, hide_process, become_daemon
Win API:
sendMessage, gethostname
Languages:
powershell, python
Platforms:
cross-platform
03-06-2026
KeyCat Stealer Uncovered: Inside a $40 Multi-Platform Infostealer with Telegram C2 and Active Staging Infrastructure
https://flare.io/learn/resources/blog/keycat-stealer-multi-platform-infostealer
Report completeness: High
Threats:
Keycat
Credential_dumping_technique
Lazagne_tool
Credential_harvesting_technique
Pxa_stealer
Dll_sideloading_technique
Victims:
Financial services, Banking, Postal services, Agriculture, Tunisia
Industry:
Financial
Geo:
Tunisia, Italian
TTPs:
Tactics: 8
Technics: 29
IOCs:
Url: 12
Domain: 2
File: 14
Command: 4
Registry: 1
Soft:
Telegram, Linux, Matkap, WordPress, Pastebin, Ubuntu, Limewire, QEMU, Windows service, ImageMagick, have more...
Algorithms:
zip, md5
Functions:
anti_debug, setsid, Send_telegram, send_flle, install_persistence, hide_process, become_daemon
Win API:
sendMessage, gethostname
Languages:
powershell, python
Platforms:
cross-platform
Flare | Identity First Threat Intelligence | Unmatched Visibility into Cybercrime
KeyCat Stealer Uncovered: Inside a $40 Multi-Platform Infostealer with Telegram C2 and Active Staging Infrastructure
By Sukant Kumar, Cybersecurity Researcher For $40 and a tutorial video, anyone can deploy a fully functional information stealer with credential harvesting, screen capture, Wi-Fi password extraction, file collection, persistence installation, and remote access…
CTT Report Hub
#ParsedReport #CompletenessHigh 03-06-2026 KeyCat Stealer Uncovered: Inside a $40 Multi-Platform Infostealer with Telegram C2 and Active Staging Infrastructure https://flare.io/learn/resources/blog/keycat-stealer-multi-platform-infostealer Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
KeyCat Stealer — это многоплатформенное ВПО для кражи информации, нацеленное на Windows и Linux, предлагающее такие возможности, как сбор учетных записей, захват экрана и установки закрепления. Оно работает через бота Телеграм, при этом его исходный код доступен публично, что позволяет пользователям создавать собственные развертывания с минимальными подключениями к оригиналу. ВПО применяет техники противодействия анализу, коммерциализуется как ВПО как услуга и Stealer-as-a-Service, а также использует механизмы закрепления, такие как модификации реестра и записи crontab.
-----
KeyCat Stealer — это многоплатформенное вредоносное ПО для кражи информации, доступное за $40, функционирующее как стиллер и набор инструментов для удаленного доступа. Оно нацелено на системы Windows и Linux, предлагая возможности, включая сбор учетных записей, захват экрана, извлечение паролей Wi-Fi, сбор файлов и установку закрепления. Вредоносное ПО управляется через бота Телеграм, при этом его исходный код изначально был раскрыт в общедоступном GitHub Gist в феврале 2026 года. После его выпуска операторы быстро начали коммерциализировать его, что привело к его развертыванию в различных каналах Телеграм.
Архитектура KeyCat обеспечивает значительную гибкость в её развёртывании. Покупатели могут создавать уникальные экземпляры, просто изменяя две константы в исходном коде, что приводит к формированию множества конфигураций без идентифицируемых связей с первоначальным создателем. Имея поток выполнения, построенный вокруг девятиэтапной цепочки, KeyCat реализует различные функции, включая проверки на анализ, профилирование системы, захват экрана, эксфильтрацию учётных данных с помощью инструмента LaZagne и эксфильтрацию собранных данных через API sendDocument Телеграм. Техники уклонения стиллера заслуживают внимания: он использует механизмы скрытности для маскировки своих процессов и обхода обнаружения, такие как переименование самого себя и использование скрытых окон командной строки.
Появились две версии KeyCat: модель Malware-as-a-Service (MaaS) и более совершенная платформа Stealer-as-a-Service (StaaS), которая дополнительно упростила процесс для конечных пользователей, позволив им оплачивать результаты, а не управлять операционной инфраструктурой. Архитектура вредоносного ПО уже была замечена в коммерческом обороте еще в апреле 2026 года, что свидетельствует о быстром развитии его возможностей.
Механизмы закрепления стиллера включают модификации реестра в Windows и записи в crontab в Linux, что позволяет ему восстанавливаться после перезагрузки. Его опора на стандартные Python-скрипты и процессы делает его менее сложным по сравнению с другими продвинутыми угрозами, однако его широкий спектр возможностей в сочетании с простотой использования эффективно повышает операционные риски, связанные с его развертыванием.
Обнаружение KeyCat представляет собой сложную задачу, поскольку оно генерирует события, которые могут выглядеть безобидными при изолированном рассмотрении. Однако последовательности конкретных действий — таких как исходящие запросы к известным конечным точкам API Телеграм после подозрительных выполнений подпроцессов — могут сигнализировать о вредоносной активности. Рекомендации по обнаружению сосредоточены на поведенческом анализе, а не на конкретных индикаторах, наряду со строгими сетевыми контролями против коммуникаций с выявленными инфраструктурами C2.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
KeyCat Stealer — это многоплатформенное ВПО для кражи информации, нацеленное на Windows и Linux, предлагающее такие возможности, как сбор учетных записей, захват экрана и установки закрепления. Оно работает через бота Телеграм, при этом его исходный код доступен публично, что позволяет пользователям создавать собственные развертывания с минимальными подключениями к оригиналу. ВПО применяет техники противодействия анализу, коммерциализуется как ВПО как услуга и Stealer-as-a-Service, а также использует механизмы закрепления, такие как модификации реестра и записи crontab.
-----
KeyCat Stealer — это многоплатформенное вредоносное ПО для кражи информации, доступное за $40, функционирующее как стиллер и набор инструментов для удаленного доступа. Оно нацелено на системы Windows и Linux, предлагая возможности, включая сбор учетных записей, захват экрана, извлечение паролей Wi-Fi, сбор файлов и установку закрепления. Вредоносное ПО управляется через бота Телеграм, при этом его исходный код изначально был раскрыт в общедоступном GitHub Gist в феврале 2026 года. После его выпуска операторы быстро начали коммерциализировать его, что привело к его развертыванию в различных каналах Телеграм.
Архитектура KeyCat обеспечивает значительную гибкость в её развёртывании. Покупатели могут создавать уникальные экземпляры, просто изменяя две константы в исходном коде, что приводит к формированию множества конфигураций без идентифицируемых связей с первоначальным создателем. Имея поток выполнения, построенный вокруг девятиэтапной цепочки, KeyCat реализует различные функции, включая проверки на анализ, профилирование системы, захват экрана, эксфильтрацию учётных данных с помощью инструмента LaZagne и эксфильтрацию собранных данных через API sendDocument Телеграм. Техники уклонения стиллера заслуживают внимания: он использует механизмы скрытности для маскировки своих процессов и обхода обнаружения, такие как переименование самого себя и использование скрытых окон командной строки.
Появились две версии KeyCat: модель Malware-as-a-Service (MaaS) и более совершенная платформа Stealer-as-a-Service (StaaS), которая дополнительно упростила процесс для конечных пользователей, позволив им оплачивать результаты, а не управлять операционной инфраструктурой. Архитектура вредоносного ПО уже была замечена в коммерческом обороте еще в апреле 2026 года, что свидетельствует о быстром развитии его возможностей.
Механизмы закрепления стиллера включают модификации реестра в Windows и записи в crontab в Linux, что позволяет ему восстанавливаться после перезагрузки. Его опора на стандартные Python-скрипты и процессы делает его менее сложным по сравнению с другими продвинутыми угрозами, однако его широкий спектр возможностей в сочетании с простотой использования эффективно повышает операционные риски, связанные с его развертыванием.
Обнаружение KeyCat представляет собой сложную задачу, поскольку оно генерирует события, которые могут выглядеть безобидными при изолированном рассмотрении. Однако последовательности конкретных действий — таких как исходящие запросы к известным конечным точкам API Телеграм после подозрительных выполнений подпроцессов — могут сигнализировать о вредоносной активности. Рекомендации по обнаружению сосредоточены на поведенческом анализе, а не на конкретных индикаторах, наряду со строгими сетевыми контролями против коммуникаций с выявленными инфраструктурами C2.
#ParsedReport #CompletenessMedium
03-06-2026
Diamotrix
https://rexorvc0.com/2026/06/03/Diamotrix/
Report completeness: Medium
Threats:
Diamotrix
Svcstealer
Lumma_stealer
Rhadamanthys
Stealc
Tiny_loader
Amadey
Redline_stealer
Reflective_dll_injection_technique
Dll_injection_technique
Reflectiveloader
Victims:
Cryptocurrency users, Software users
Industry:
Financial
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027.002, T1027.007, T1036, T1041, T1055.001, T1057, T1071.001, T1074.001, T1082, have more...
IOCs:
File: 12
Soft:
Telegram
Algorithms:
zip
Win API:
SeDebugPrivilege, CopyFileW, CreateToolhelp32Snapshot, Process32First, Process32Next, IsWow64Process, CreateRemoteThread, WriteProcessMemory, LoadLibrary, LoadLibraryA, have more...
Languages:
php
Platforms:
x64
03-06-2026
Diamotrix
https://rexorvc0.com/2026/06/03/Diamotrix/
Report completeness: Medium
Threats:
Diamotrix
Svcstealer
Lumma_stealer
Rhadamanthys
Stealc
Tiny_loader
Amadey
Redline_stealer
Reflective_dll_injection_technique
Dll_injection_technique
Reflectiveloader
Victims:
Cryptocurrency users, Software users
Industry:
Financial
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027.002, T1027.007, T1036, T1041, T1055.001, T1057, T1071.001, T1074.001, T1082, have more...
IOCs:
File: 12
Soft:
Telegram
Algorithms:
zip
Win API:
SeDebugPrivilege, CopyFileW, CreateToolhelp32Snapshot, Process32First, Process32Next, IsWow64Process, CreateRemoteThread, WriteProcessMemory, LoadLibrary, LoadLibraryA, have more...
Languages:
php
Platforms:
x64
RexorVc0
Diamotrix
Threat Researcher
CTT Report Hub
#ParsedReport #CompletenessMedium 03-06-2026 Diamotrix https://rexorvc0.com/2026/06/03/Diamotrix/ Report completeness: Medium Threats: Diamotrix Svcstealer Lumma_stealer Rhadamanthys Stealc Tiny_loader Amadey Redline_stealer Reflective_dll_injection_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Diamotrix — это ВПО, ориентированное на криптовалюту, выявленное в середине 2024 года, функционирующее преимущественно как Crypto Clipper, который заменяет адреса кошельков в буфере обмена на вредоносные. Оно часто развертывается вместе с другим ВПО, таким как SVCStealer и загрузчики, используя общую инфраструктуру и отраженную инъекцию DLL для мониторинга и манипуляции данными из буфера обмена. ВПО внедряет себя в процесс explorer.exe, проверяя и изменяя криптовалютные адреса с помощью регулярных выражений, а также применяет техники закрепления, такие как модификации реестра, для поддержания своего присутствия.
-----
Diamotrix — это ВПО, ориентированное на криптовалюту, классифицируемое как Crypto Clipper.
Оно заменяет адреса кошельков криптовалют в буфере обмена на заранее определённые вредоносные адреса.
Diamotrix часто разворачивается вместе с другим ВПО, таким как SVCStealer, Lumma и Rhadamanthys.
ВПО обычно распространяется через фишинговые атаки, поддельные установщики программного обеспечения или взломанные приложения.
Diamotrix действует в многоэтапных цепочках заражения, часто начиная с кряков или скомпрометированного программного обеспечения.
ВПО внедряется в процесс explorer.exe и отслеживает буфер обмена на наличие адресов криптовалюты.
Он использует отражённую инъекцию DLL и включает проверки 64-битной версии explorer.exe.
Многие образцы Diamotrix создают записи в реестре для закрепления в общих расположениях Windows.
ВПО включает механизмы повышения привилегий для уклонения от обнаружения.
Diamotrix использует регулярные выражения для динамической проверки и замены криптографических адресов в буфере обмена.
Его операционная структура разделяет компоненты с SVCStealer, что указывает на переплетенную инфраструктуру и методы эксфильтрации.
ВПО демонстрирует общие паттерны инфраструктуры среди злоумышленников, усложняя идентификацию сигнатур для специалистов по безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Diamotrix — это ВПО, ориентированное на криптовалюту, выявленное в середине 2024 года, функционирующее преимущественно как Crypto Clipper, который заменяет адреса кошельков в буфере обмена на вредоносные. Оно часто развертывается вместе с другим ВПО, таким как SVCStealer и загрузчики, используя общую инфраструктуру и отраженную инъекцию DLL для мониторинга и манипуляции данными из буфера обмена. ВПО внедряет себя в процесс explorer.exe, проверяя и изменяя криптовалютные адреса с помощью регулярных выражений, а также применяет техники закрепления, такие как модификации реестра, для поддержания своего присутствия.
-----
Diamotrix — это ВПО, ориентированное на криптовалюту, классифицируемое как Crypto Clipper.
Оно заменяет адреса кошельков криптовалют в буфере обмена на заранее определённые вредоносные адреса.
Diamotrix часто разворачивается вместе с другим ВПО, таким как SVCStealer, Lumma и Rhadamanthys.
ВПО обычно распространяется через фишинговые атаки, поддельные установщики программного обеспечения или взломанные приложения.
Diamotrix действует в многоэтапных цепочках заражения, часто начиная с кряков или скомпрометированного программного обеспечения.
ВПО внедряется в процесс explorer.exe и отслеживает буфер обмена на наличие адресов криптовалюты.
Он использует отражённую инъекцию DLL и включает проверки 64-битной версии explorer.exe.
Многие образцы Diamotrix создают записи в реестре для закрепления в общих расположениях Windows.
ВПО включает механизмы повышения привилегий для уклонения от обнаружения.
Diamotrix использует регулярные выражения для динамической проверки и замены криптографических адресов в буфере обмена.
Его операционная структура разделяет компоненты с SVCStealer, что указывает на переплетенную инфраструктуру и методы эксфильтрации.
ВПО демонстрирует общие паттерны инфраструктуры среди злоумышленников, усложняя идентификацию сигнатур для специалистов по безопасности.
#ParsedReport #CompletenessLow
03-06-2026
We found this fake-invoice campaign while scammers were still building it
https://www.malwarebytes.com/blog/threat-intel/2026/06/we-found-this-fake-invoice-campaign-while-scammers-were-still-building-it
Report completeness: Low
Industry:
Retail, Financial
IOCs:
Domain: 6
03-06-2026
We found this fake-invoice campaign while scammers were still building it
https://www.malwarebytes.com/blog/threat-intel/2026/06/we-found-this-fake-invoice-campaign-while-scammers-were-still-building-it
Report completeness: Low
Industry:
Retail, Financial
IOCs:
Domain: 6
Malwarebytes
We found this fake-invoice campaign while scammers were still building it
Invoices pretending to be from Amazon, PayPal, and others reveal how criminals use fear and phone calls to steal money and devices.
#ParsedReport #CompletenessHigh
04-06-2026
From Malspam to DesckVB RAT Deployment
https://www.huntress.com/blog/malspam-to-deskcvb-rat-delivery-chain-analysis
Report completeness: High
Threats:
Desckvb
Runpe_tool
Process_injection_technique
Venomrat
Process_hollowing_technique
Victims:
Organizations
Geo:
Portuguese, German
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 29
Url: 12
Command: 9
Hash: 5
Domain: 6
Path: 1
Soft:
VirtualBox, Hyper-V, QEMU, Microsoft Defender, Internet Explorer, NET framework, Active Directory
Algorithms:
base64, 3des, pbkdf2, aes, gzip, cbc, xor, zip, sha256
Functions:
downloadFile, setupEmailAndUI, fetchLocationAndTime, vjwNvhDoHz
Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, GetThreadContext, ResumeThread, ZwUnmapViewOfSection, GetProcAddress, SetThreadContext, ReadProcessMemory, CloseHandle, have more...
Win Services:
WebClient, MBAMService, InfoPath
Languages:
powershell, javascript, jscript
04-06-2026
From Malspam to DesckVB RAT Deployment
https://www.huntress.com/blog/malspam-to-deskcvb-rat-delivery-chain-analysis
Report completeness: High
Threats:
Desckvb
Runpe_tool
Process_injection_technique
Venomrat
Process_hollowing_technique
Victims:
Organizations
Geo:
Portuguese, German
TTPs:
Tactics: 5
Technics: 0
IOCs:
File: 29
Url: 12
Command: 9
Hash: 5
Domain: 6
Path: 1
Soft:
VirtualBox, Hyper-V, QEMU, Microsoft Defender, Internet Explorer, NET framework, Active Directory
Algorithms:
base64, 3des, pbkdf2, aes, gzip, cbc, xor, zip, sha256
Functions:
downloadFile, setupEmailAndUI, fetchLocationAndTime, vjwNvhDoHz
Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, GetThreadContext, ResumeThread, ZwUnmapViewOfSection, GetProcAddress, SetThreadContext, ReadProcessMemory, CloseHandle, have more...
Win Services:
WebClient, MBAMService, InfoPath
Languages:
powershell, javascript, jscript
Huntress
Inside DesckVB Rat Analysis: From Malspam to In-Memory RAT | Huntress
A malspam campaign abusing Google's DoubleClick delivers DesckVB RAT through a five-stage chain that evades detection and blinds Windows telemetry before persisting
CTT Report Hub
#ParsedReport #CompletenessHigh 04-06-2026 From Malspam to DesckVB RAT Deployment https://www.huntress.com/blog/malspam-to-deskcvb-rat-delivery-chain-analysis Report completeness: High Threats: Desckvb Runpe_tool Process_injection_technique Venomrat P…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Дистройвер DesckVB Троянская программа (RAT) использует набор вредоносных спамерских инструментов, который кастомизирует приманки в письмах с использованием конкретных логотипов компаний, одновременно маскируя свои ссылки через домен DoubleClick от Google. Цепочка заражения начинается с JavaScript-лоадера, доставляемого через malspam, который выполняется в памяти с помощью JScript и PowerShell для обхода обнаружения, и использует техники отражательной загрузки (reflective loading) и Внедрение кода в процессы, нацеленные на легитимные бинарные файлы. Его связь с C2-серверами защищена шифрованием AES, и он включает в себя меры антианализа и механизмы закрепления, что повышает его устойчивость к обнаружению и удалению.
-----
DesckVB Троянская программа (RAT) появилась в начале 2026 года, используя сложный пакет для распространения через фишинговые письма.
Набор для рассылки вредоносной почты (malspam kit) динамически настраивает приманки на основе адреса электронной почты цели, используя конкретные логотипы и информацию компаний.
Ссылки в malspam-перенаправлении проходят через домен Google DoubleClick, чтобы избежать обнаружения шлюзами безопасности электронной почты.
Процесс заражения начинается с загрузчика на основе JavaScript в минимальном HTML-вложении.
Загрузчик использует комбинацию JScript, PowerShell и компонентов .NET, в основном выполняясь в памяти для избежания обнаружения.
ВПО выполняет проверки на наличие сред песочницы и средств защиты, инициируя перезагрузку системы при обнаружении индикаторов.
Загрузчик использует PowerShell для подключения к внешнему серверу и извлечения полезной нагрузки без записи её на диск.
DesckVB RAT распространяется с использованием техник отражательной загрузки и внедрения кода в процессы, нацеленных на легитимные бинарные файлы Microsoft, такие как Утилита InstallUtil.exe и MSBuild.exe.
RAT связывается с серверами управления (C2) через необработанные TCP-сокеты, используя шифрование AES и сериализацию protobuf для сообщений.
При подключении он собирает системную информацию, включая аппаратные идентификаторы и антивирусные продукты, чтобы информировать дальнейшие действия злоумышленника.
DesckVB RAT включает меры противодействия анализу, такие как патчинг AMSI и ETW в Windows.
Обеспечивает закрепление посредством модификаций реестра и запланированных задач, сохраняя своё присутствие после попыток завершения работы.
RAT может выполнять дополнительные полезную нагрузку с помощью внедрения в пустой процесс (Process Hollowing) непосредственно в памяти.
Оно использует собственные механизмы саморазрушения для уклонения от обнаружения, завершая процессы или удаляя себя по мере необходимости.
Меры защиты включают внедрение объектов групповой политики для управления выполнением скриптов и использование протоколов безопасности электронной почты, таких как DMARC, DKIM и SPF.
Продвинутые решения песочницы могут анализировать вложения электронной почты и ссылки до взаимодействия с пользователем для повышения безопасности.
Мониторинг подозрительного выполнения скриптов или команд PowerShell может способствовать раннему обнаружению.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Дистройвер DesckVB Троянская программа (RAT) использует набор вредоносных спамерских инструментов, который кастомизирует приманки в письмах с использованием конкретных логотипов компаний, одновременно маскируя свои ссылки через домен DoubleClick от Google. Цепочка заражения начинается с JavaScript-лоадера, доставляемого через malspam, который выполняется в памяти с помощью JScript и PowerShell для обхода обнаружения, и использует техники отражательной загрузки (reflective loading) и Внедрение кода в процессы, нацеленные на легитимные бинарные файлы. Его связь с C2-серверами защищена шифрованием AES, и он включает в себя меры антианализа и механизмы закрепления, что повышает его устойчивость к обнаружению и удалению.
-----
DesckVB Троянская программа (RAT) появилась в начале 2026 года, используя сложный пакет для распространения через фишинговые письма.
Набор для рассылки вредоносной почты (malspam kit) динамически настраивает приманки на основе адреса электронной почты цели, используя конкретные логотипы и информацию компаний.
Ссылки в malspam-перенаправлении проходят через домен Google DoubleClick, чтобы избежать обнаружения шлюзами безопасности электронной почты.
Процесс заражения начинается с загрузчика на основе JavaScript в минимальном HTML-вложении.
Загрузчик использует комбинацию JScript, PowerShell и компонентов .NET, в основном выполняясь в памяти для избежания обнаружения.
ВПО выполняет проверки на наличие сред песочницы и средств защиты, инициируя перезагрузку системы при обнаружении индикаторов.
Загрузчик использует PowerShell для подключения к внешнему серверу и извлечения полезной нагрузки без записи её на диск.
DesckVB RAT распространяется с использованием техник отражательной загрузки и внедрения кода в процессы, нацеленных на легитимные бинарные файлы Microsoft, такие как Утилита InstallUtil.exe и MSBuild.exe.
RAT связывается с серверами управления (C2) через необработанные TCP-сокеты, используя шифрование AES и сериализацию protobuf для сообщений.
При подключении он собирает системную информацию, включая аппаратные идентификаторы и антивирусные продукты, чтобы информировать дальнейшие действия злоумышленника.
DesckVB RAT включает меры противодействия анализу, такие как патчинг AMSI и ETW в Windows.
Обеспечивает закрепление посредством модификаций реестра и запланированных задач, сохраняя своё присутствие после попыток завершения работы.
RAT может выполнять дополнительные полезную нагрузку с помощью внедрения в пустой процесс (Process Hollowing) непосредственно в памяти.
Оно использует собственные механизмы саморазрушения для уклонения от обнаружения, завершая процессы или удаляя себя по мере необходимости.
Меры защиты включают внедрение объектов групповой политики для управления выполнением скриптов и использование протоколов безопасности электронной почты, таких как DMARC, DKIM и SPF.
Продвинутые решения песочницы могут анализировать вложения электронной почты и ссылки до взаимодействия с пользователем для повышения безопасности.
Мониторинг подозрительного выполнения скриптов или команд PowerShell может способствовать раннему обнаружению.
#ParsedReport #CompletenessHigh
04-06-2026
ReliaQuest's Agentic AI Uncovers New China-Linked Cluster OP-512
https://reliaquest.com/blog/threat-spotlight-reliaquests-agentic-ai-uncovers-new-china-linked-cluster-op-512/
Report completeness: High
Actors/Campaigns:
Op-512 (motivation: cyber_espionage, financially_motivated)
Cl-sta-0048
Ghostredirector (motivation: financially_motivated)
Dragonrank (motivation: financially_motivated)
Flax_typhoon
Threats:
Ghostkit_tool
Badpotato_tool
Sweetpotato_tool
Cobalt_strike_tool
Plugx_rat
Timestomp_technique
Meterpreter_tool
Potato_tool
Geo:
China
TTPs:
Tactics: 6
Technics: 0
IOCs:
Domain: 2
File: 3
IP: 3
Url: 3
Soft:
EfsPotato, NET Framework, ASP.NET
Algorithms:
base64, rc4
04-06-2026
ReliaQuest's Agentic AI Uncovers New China-Linked Cluster OP-512
https://reliaquest.com/blog/threat-spotlight-reliaquests-agentic-ai-uncovers-new-china-linked-cluster-op-512/
Report completeness: High
Actors/Campaigns:
Op-512 (motivation: cyber_espionage, financially_motivated)
Cl-sta-0048
Ghostredirector (motivation: financially_motivated)
Dragonrank (motivation: financially_motivated)
Flax_typhoon
Threats:
Ghostkit_tool
Badpotato_tool
Sweetpotato_tool
Cobalt_strike_tool
Plugx_rat
Timestomp_technique
Meterpreter_tool
Potato_tool
Geo:
China
TTPs:
Tactics: 6
Technics: 0
IOCs:
Domain: 2
File: 3
IP: 3
Url: 3
Soft:
EfsPotato, NET Framework, ASP.NET
Algorithms:
base64, rc4