#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструмент Grixba, разработанный группой Play Ransomware Group, представляет собой кастомный стиллер, нацеленный на секторы в США, Канаде и Великобритании с 2022 года, эволюционировавший через несколько версий для повышения сложности и возможностей уклонения. Ключевые улучшения включают использование XOR-зашифрованного DLL для обновлений полезной нагрузки в версии 2 и усовершенствованную стратегию развертывания в версии 3, ориентированную на обнаружение высокоценного программного обеспечения при сохранении низкой заметности. Связи с северокорейской группой Jumpy Pisces указывают на возможный сдвиг в тактике операций, влияющий на будущие итерации Grixba.
-----

Grixba — это кастомный стиллер, разработанный группой Play Ransomware Group, активный как минимум с 2022 года.

Целями являются секторы в США, Канаде и Великобритании.

Grixba прошла через несколько версий, улучшая сложность и техники уклонения.

Версия 1.5 представила расширенное сетевое сканирование и более детальный сбор данных, включая учетные данные пользователей и историю браузера.

Версия 2 использовала DLL, зашифрованную с помощью XOR, для повышения уровня уклонения и анонимной эксфильтрации через узел выхода VPN Private Internet Access (PIA).

Версия 3 дополнительно усовершенствовала свою развертывание, разделив сканирующий полезный груз от загрузчика, уменьшив размер исполняемого файла и повысив скрытность.

Версия 3 также была сосредоточена на мониторинге программного обеспечения высокой ценности при сохранении основных возможностей перечисления.

Слабые стороны различных версий Grixba включают недостаточные меры противодействия песочнице и возможность декомпиляции управляемого кода .NET.

Grixba постоянно разворачивается в каталог C:\Users\Public\Music через Протокол удаленного рабочего стола (RDP), что предоставляет индикатор для мониторинга.

Поведение сканирования включает перечисление через WMI и WinRM, что формирует отличительные телеметрические данные для обнаружения управления.

Новые связи с северокорейским злоумышленником Jumpy Pisces указывают на потенциальные изменения в оперативной тактике для будущих итераций Grixba.

#ParsedReport #CompletenessLow
02-06-2026

Six Stages Deep and an Endless Loop: Shai-Hulud Is Getting Sophisticated

https://www.ox.security/blog/six-stages-deep-and-an-endless-loop-shai-hulud-is-getting-sophisticated/

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Miasma
Dead_drop_technique
Supply_chain_technique

Victims:
Red hat, Github repositories

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1102.002, T1105, T1195.001, T1567.001

IOCs:
File: 1

Soft:
LiteLLM

Links:
https://github.com/windy629?tab=repositories
https://github.com/search?q=%22Miasma+%3A+The+Spreading+Blight%22&type=repositories

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания, направленная против Red Hat, включает в себя сложное вредоносное ПО для npm, в частности стиллер Shai-Hulud, который выполняет многоэтапную атаку, включающую обширную обфускацию и динамическое обновление полезной нагрузки через GitHub, используя свою инфраструктуру как управление. Это вредоносное ПО постоянно адаптируется с каждой операцией, усложняя обнаружение благодаря использованию легитимных платформ для связи и выполнения. Улики указывают на то, что злоумышленники могут быть китайскоязычными и развивают свои техники, что указывает на персистентную и сложную атаку на Цепочку поставок.
-----

Текущая кампания, направленная против Red Hat с использованием вредоносного программного обеспечения в npm, продемонстрировала высокий уровень сложности, характеризующийся широким применением обфускации и шифрования, включающим шесть этапов выполнения. Обычно вредоносное программное обеспечение в npm работает с тремя этапами: декодирование обфусцированного кода, загрузка вредоносной нагрузки и ее выполнение на целевой машине. Однако данный образец представляет собой сложную систему, в которой вредоносный код выполняется в том, что напоминает бесконечный цикл.

В основе этого сложного выполнения лежит стиллер Shai-Hulud, который использует различные стадии дроппера для запуска своего полезного груза. Наличие нескольких версий строки, идентифицированной как "Miasma", предполагает, что определенные учетные записи могли быть скомпрометированы шестой операционной стадией вредоносного ПО или его вариантами, которые эксплуатируют конкретную логику, связанную с кодом "firedalazer", размещенным на GitHub. Такая реализация позволяет злоумышленникам динамически изменять вредоносное ПО, делая его как адаптивным, так и сложным, при этом используя инфраструктуру GitHub в качестве средства для управления (C2). Такое использование широко доверяемой платформы значительно затрудняет усилия по обнаружению на основе сети, поскольку типичные меры безопасности не помечают трафик GitHub как вредоносный.

GitHub выполняет двойную роль в этой кампании; вместо того чтобы быть лишь средством для выгрузки информации, злоумышленники используют его для проведения операций с ВПО. Они применяют помеченные коммиты со строкой "firedalazer" в качестве механизма доставки для живых обновлений, помечая каждый коммит как потенциальную новую полезную нагрузку. Архитектура обеспечивает непрерывность операций даже при блокировке учетных записей. Различия в том, как форматируются строки в скомпрометированных репозиториях GitHub, предоставляют дополнительные подсказки о версии используемого ВПО, что критически важно для выявления потенциальных заражений.

Более того, участие новой учётной записи GitHub, связанной с вредоносной деятельностью, указывает на то, что злоумышленник может упорно пытаться продвинуть свою кампанию, с возможностью того, что он уже заразил свою собственную учётную запись новым вариантом. Улики свидетельствуют о связи с потенциально говорящим на китайском языке актором, что подчеркивает сдвиг в ландшафте угроз, поскольку текущее выполнение ВПО отклоняется от предыдущих, менее сложных атак, приписываемых другим группам, таким как TeamPCP.

По мере продолжения расследования появляются доказательства того, что вредоносная кампания продолжается, с возможностью увеличения числа заражений — что является индикатором продолжающейся атаки на Цепочку поставок. В связи с этим инженерам по безопасности настоятельно рекомендуется использовать индикаторы компрометации (IoCs) и специфические строки для укрепления своей защиты от этой развивающейся угрозы. Эта ситуация подчеркивает необходимость точных возможностей обнаружения для снижения рисков, связанных с сложными операциями ВПО, эксплуатирующими доверенные платформы.

#ParsedReport #CompletenessLow
04-06-2026

Magecart skimmer turns Stripe into a malware command server

https://sansec.io/research/stripe-api-skimmer-infrastructure

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Online retail stores, Magento stores, Adobe commerce stores

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1074.001, T1102.002, T1102.003, T1105, T1132.002, T1567

Soft:
Shopware

Algorithms:
xor

Functions:
Function, getMetaString, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный Magecart-скиммер нацелен на Stripe, внедряясь в метаданные клиента для захвата и эксфильтрации данных карт в процессе оформления заказа. Скиммер работает с использованием легитимного контейнера Google Tag Manager, что позволяет ему избегать обнаружения правилами Content Security Policy. Он извлекает свой код из метаданных Stripe, захватывает конфиденциальную информацию, которая кодируется с помощью XOR и сохраняется в localStorage, а затем незаметно эксфилтрирует данные, отправляя их на аккаунт злоумышленника в Stripe с использованием скомпрометированного тестового ключа.
-----

Недавние данные показывают, что сложный Magecart-скиммер работает напрямую через Stripe, используя платформу для хранения и эксфильтрации украденных данных карт. В этой атаке скиммер встроен в метаданные клиента Stripe и выполняется на страницах оформления заказа. Этот инновационный метод позволяет вредоносному ПО использовать два широко доверяемых домена — Google Tag Manager (GTM) и Stripe — эффективно обходя правила Content Security Policy (CSP) и сетевые фильтры, которые обычно выявляют вредоносную активность.

Работа вредоносного ПО состоит из трех основных компонентов: доставка кода, сбор данных и эксфильтрация. Механизм доставки использует легитимный контейнер GTM для выполнения скиммера на любой странице оформления заказа, которая его включает. В процессе оформления заказа скиммер извлекает свой код из метаданных конкретного аккаунта клиента Stripe и выполняет его. Процесс сбора данных перехватывает кнопку оформления заказа для захвата информации о карте и реквизитах. После заполнения необходимых полей данные кодируются с помощью XOR и сохраняются в localStorage браузера.

Эксфильтрация выполняется отдельно от сбора данных, происходит вскоре после загрузки страницы, а затем — через регулярные интервалы. Загрузчик обращается к localStorage для извлечения сохранённой информации и отправляет её обратно на аккаунт Stripe злоумышленника, маскируясь под поддельного клиента. Такое разделение позволяет вести скрытую операцию, при которой процесс загрузки украденных данных не связан напрямую с активностью по скиммингу.

Заметной особенностью атаки является наличие секретного ключа Stripe в коде JavaScript на стороне клиента, что является ненормальным и указывает на компрометацию. Ключ, содержащий префикс sk_test_, свидетельствует о том, что злоумышленник использует тестовую среду Stripe в качестве бесплатной инфраструктуры для управления украденной информацией о картах и размещения скрипера, оставаясь при этом незамеченным благодаря доверенному характеру задействованных доменов.

#ParsedReport #CompletenessMedium
04-06-2026

Attack Campaign against Japanese Organizations Using PoisonX Drivers

https://www.lac.co.jp/lacwatch/report/20260604_004759.html

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Poisonx
Byovd_technique
Spear-phishing_technique
Pxdropper
Process_hacker_tool
Procmon_tool
Dll_sideloading_technique
Hvnc_tool

Victims:
Organizations in japan, Organizations in china

Geo:
Chinese, Japan, Japanese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1010, T1014, T1027, T1027.007, T1033, T1041, T1049, T1055, have more...

IOCs:
File: 69
Command: 2
BrowserExtension: 13
Coin: 2
Hash: 50
IP: 12

Soft:
curl, VirtualBox, Hyper-V, process explorer, Windows Service, Microsoft Defender, Windows kernel, Windows Defender, Windows Security Center, Telegram, have more...

Wallets:
metamask, tronlink, coinbase, terra_station, safepal, yoroi, bitkeep_wallet, bitget_wallet, exodus_wallet, sollet, have more...

Crypto:
binance, kucoin, uniswap, pancakeswap

Algorithms:
base64, aes-256-cbc, zip, sha256, xor

Functions:
DriverEntry

Win API:
MOUSE_EVENT

Win Services:
WinDefend, wscsvc, msmpeng, securityhealthservice, mcshield, savservice, avastsvc, ekrn, mbamservice

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 4, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская кампания, направленная против японских организаций, использовала передовые техники, включающие вредоносные драйверы ядра и модульное ВПО, известное как 10FXRAT. Атакующие развернули файлы-приманки, связанные с отделом кадров, для компрометации систем, используя PXDropper для загрузки драйвера PoisonX и различных компонентов 10FXRAT. ВПО обладает возможностями антианализа, взаимодействует с сервером C2 и демонстрирует функциональность, включая Регистрация нажатий клавиш, манипуляции с файлами и обход процессов безопасности, что потенциально может быть связано с хакерской группировкой Silver Fox.
-----

Недавняя преступная хакерская кампания, направленная против японских организаций, использовала передовые методы, включая развертывание вредоносных драйверов ядра и модульного ВПО, известного как 10FXRAT. Злоумышленники применяли файлы-приманки, связанные с отделом кадров, для облегчения начальной компрометации, используя вариант ВПО под названием PXDropper для извлечения и выполнения драйвера PoisonX вместе с различными компонентами 10FXRAT.

PXDropper действует как загрузчик через LNK-файл, который извлекает свой полезный груз из Google Cloud Storage с использованием таких инструментов, как `curl.exe`. При запуске он загружает драйвер PoisonX и другие необходимые файлы, включая `usoclient64.exe`, `dnssd.dll`, `runtime.bin` и `vcruntime140.dll`. Примечательно, что вредоносное ПО оснащено механизмами противодействия анализу, которые обнаруживают среды виртуальных машин, тем самым останавливая свою работу в предположительно сценариях анализа.

Драйвер PoisonX, обладающий легитимной подписью Microsoft, эксплуатируется в контексте атаки Bring Your Own Vulnerable Driver (BYOVD), что позволяет злоумышленникам получать привилегии на уровне ядра. Это дает им возможность отключать программное обеспечение безопасности и скрывать вредоносные процессы и сетевые коммуникации. В частности, ВПО может активно завершать 43 целевых процесса безопасности, таких как Microsoft Defender и различные китайские решения безопасности, путем отправки IOCTL-запросов. Кроме того, оно может маскировать свое присутствие в системе, уклоняясь от обнаружения стандартными средствами мониторинга.

10FXRAT — это модульное ВПО, расширяющее свою функциональность за счёт динамически загружаемых плагинов с сервера управления (C2). После первоначального выполнения оно взаимодействует по протоколу TCP с использованием собственного протокола, включающего команды для сбора информации о системе, операций с файлами и даже удалённого управления устройствами ввода. В состав полезной нагрузки входят такие возможности, как регистрация нажатий клавиш, мониторинг буфера обмена и манипуляция кошельками криптовалют.

Связь с сервером C2 включает 12-байтовый заголовок с уникальным магическим числом, что позволяет отличать его трафик от легитимных данных. Идентификаторы команд указывают на широкий спектр вредоносных функций, включая управление процессами, манипуляции с дисплеем и кражу данных из браузеров и мессенджеров, таких как Телеграм.

Атакующие предположительно связаны с китайской группой Silver Fox, хотя убедительные доказательства отсутствуют. Учитывая, что некоторые функции 10FXRAT всё ещё находятся в разработке, это указывает на возможность дальнейших улучшений и более широкого развертывания в будущих кампаниях.

Организациям настоятельно рекомендуется усилить меры безопасности, особенно в области мониторинга и реагирования на конечных точках, чтобы эффективно противостоять этой меняющейся ландшафту угроз. Внедрение строгих возможностей обнаружения и поддержание актуальных знаний об уязвимостях будет иметь решающее значение для снижения рисков, связанных с аналогичными векторами атак.

#ParsedReport #CompletenessMedium
05-06-2026

From Crypto Wallets to a 100M-User VPN: Inside an Active STX RAT Supply Chain Campaign

https://www.cyderes.com/howler-cell/cpuid-hwmonitor-xvpn-dll-sideloading-stx-rat

Report completeness: Medium

Threats:
Stxrat
Supply_chain_technique
Dll_sideloading_technique
Credential_harvesting_technique
Medusalocker

Victims:
Cryptocurrency users, Investors, Traders, Vpn users, Gamers, Software users

CVEs:
CVE-2025-56383 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 9

IOCs:
Email: 1
Domain: 3
Url: 1
File: 9
Hash: 5

Soft:
Steam, HWMonitor, LibreOffice, WireGuard, Google Play, Microsoft Store

Wallets:
bybit, exodus_wallet

Crypto:
binance

Algorithms:
zip, sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Описываемая кампания включает использование RAT STX — троянской программы, развертываемой через троянизированное программное обеспечение, нацеленное на крипто-трейдеров и пользователей X-VPN, с применением техник DLL sideloading, связанных с уязвимостью Windows (CWE-427). Кампания, осуществляемая злоумышленником Leda Elacoate, носит персистентный характер, использует централизованную инфраструктуру управления и применяет скрытую многоэтапную распаковку для избежания создания артефактов. Стратегия нацеливания эволюционировала, чтобы охватить лиц, ориентированных на конфиденциальность, что отражает адаптацию актора для эксплуатации уязвимостей с высокой ценностью в технологической экосистеме.
-----

Описываемая кампания характеризуется распространением троянской программы (RAT) под названием STX RAT, осуществляемым через троянизированную цепочку поставок программного обеспечения, которая преимущественно нацелена на крипто-трейдеров и пользователей приложений, ориентированных на конфиденциальность, в частности X-VPN. Злоумышленник, действующий под псевдонимом Leda Elacoate, создал репозиторий Bitbucket для размещения вредоносных установщиков, которые использовали техники подгрузки DLL для развертывания STX RAT в памяти. Механизм опирался на CRYPTBASE.dll, эксплуатируя уязвимость (CWE-427), связанную с порядком поиска DLL в приложениях Windows.

В течение всей кампании, которая продолжалась даже после первоначальных раскрытий, поддерживался единый механизм доставки, посредством которого серия троянизированных пакетов использовала одну и ту же многоэтапную цепочку распаковки для извлечения RAT STX, не оставляя артефактов файлов на диске. Эта кампания эволюционировала со временем, расширяясь от первоначального фокуса на криптовалютных платформах, таких как Binance и MEXC, до включения X-VPN в свой список приманок, что отражает тактический сдвиг в сторону использования более широкой аудитории, включая лиц, обеспокоенных конфиденциальностью, которые, вероятно, работают с чувствительными учетными данными.

STX RAT способен на удалённый доступ и выполнение команд, целевой кражу учётных данных и сбор данных, всё это обеспечивается через защищённые HTTPS-соединения с его сервером управления (C2), что позволяет скрытно функционировать в потоке обычного веб-трафика. Инфраструктура C2 была централизована и в основном связана через домен supp0v3.com, поддомены которого для обратных вызовов ротировались в ответ на потребности в операционной безопасности.

Уязвимости, присущие клиенту X-VPN, позволяли загрузить CRYPTBASE.dll из установщика, контролируемого злоумышленником, вместо легитимных системных файлов. Эта проблема была решена в X-VPN версии 77.5.3, которая ввела более строгие проверки загрузки DLL, обеспечивая получение системных DLL исключительно из каталога Windows. Обновление также включало проверку хешей во время запуска и усиление политик загрузки на уровне процессов, снижая риск несанкционированного выполнения кода.

Кампания подчеркивает согласованные усилия злоумышленника по постоянной адаптации и поддержанию оперативной динамики, демонстрируя, как атакующие могут настойчиво эволюционировать свои стратегии в ответ на внешнее внимание. Тонкая целевая ориентация как на пользователей криптовалют, так и на клиентов VPN указывает на сложное понимание пересекающихся уязвимостей и высокоценных целей в более широкой технологической экосистеме.

#ParsedReport #CompletenessHigh
08-06-2026

Don't Fear the Repo: UNK_DeadDrop Phishing Campaign Targets Developers to Steal Cryptocurrency

https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal

Report completeness: High

Actors/Campaigns:
Unk_deaddrop (motivation: financially_motivated)
Contagious_interview
Tradertraitor
Applejeus

Threats:
Overlord_tool
Tradertraitor_downloader
Clickfix_technique
Zenity_tool
Credential_stealing_technique
Shadow_copies_delete_technique
Invisibleferret
Ottercookie
Flexibleferret

Victims:
Cryptocurrency, Finance, Education, Technology, Business services, Financial services, United states, Global

Industry:
Financial, Healthcare, Education

Geo:
North-korea, Korean, Korea, Dprk, North korean, North korea

TTPs:
Tactics: 5
Technics: 0

IOCs:
Url: 16
File: 12
IP: 4
Domain: 48
Email: 44
Hash: 16

Soft:
macOS, Linux, Visual Studio Code, Visual Studio, Slack, Telegram, vscode, Node.js, Electron, Chrome, have more...

Wallets:
bybit, metamask, rabby, keplr, electrum

Crypto:
ethereum, solana, monero, bitcoin

Algorithms:
zip, aes-256-gcm, sha256, base64

Functions:
backup

Win API:
Arc

Languages:
javascript, python

Platforms:
apple, cross-platform, amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рамках целевой фишинговой кампании под названием UNK_DeadDrop северокорейский злоумышленник атаковал разработчиков в сферах финансов, криптовалют, образования и технологий в период с апреля по май 2026 года. Более 250 фишинговых писем направляли пользователей на вредоносные репозитории GitHub, что приводило к скрытой установке основанного на Go ВПО Overlord, которое функционировало как RAT на macOS и Linux, а также использовало JavaScript на Windows для эксфильтрации конфиденциальной информации, такой как данные кошельков браузеров и учетные данные. Атака продемонстрировала эволюцию тактик, применяя различные методы кражи учетных данных, специфичные для операционных систем, и переходя от менее репутационных доменов на начальном этапе к более устоявшимся почтовым сервисам для проведения outreach-кампаний.
-----

Злоумышленник из Северной Кореи был выявлен в рамках фишинговой кампании под названием UNK_DeadDrop, направленной на разработчиков в сфере финансов, криптовалют, образования и технологий.

Кампания включала более 250 фишинговых писем, направленных почти на 100 организаций, преимущественно в Соединенных Штатах.

Злоумышленники использовали электронные письма, маскирующиеся под предложения о работе и запросы на рецензирование кода, применяя контролируемые актором репозитории GitHub для распространения вредоносных скриптов.

Цели получали ссылки на эти репозитории, которые выглядели как легитимные технические проекты.

Процесс заражения начался, когда пользователи клонировали и открывали репозитории, что запускало предварительно настроенную задачу, устанавливающую вредоносные расширения Visual Studio (VSIX).

Эта установка требовала минимального взаимодействия с пользователем, позволяя ВПО для macOS, Linux и Windows функционировать незамеченным.

Основным ВПО, использовавшимся в атаке, был фреймворк на базе Go под названием Overlord, предназначенный для удаленного доступа и эксфильтрации конфиденциальной информации.

На Linux и macOS Overlord функционировал как Троянская программа (RAT), устанавливая постоянные WebSocket-соединения с сервером управления.

Фреймворк собирал информацию из кошельков браузера и учетные данные пользователей с помощью скрытых процессов, таких как поддельные диалоговые окна для перехвата паролей.

Вариант для Windows, выполняемый в среде редактора, использующий JavaScript для извлечения данных и избегающий создания бинарных файлов для снижения рисков обнаружения.

Методы кражи учетных данных варьировались: вредоносное ПО для macOS изменяло контроль доступа к Связке ключей, тогда как вредоносное ПО для Linux использовало GNOME Keyring для извлечения паролей.

В рамках кампании использовались домены фиктивных корпораций и различные методы доставки писем, изначально применялись сомнительные веб-сайты, а затем такие устоявшиеся сервисы, как Mailgun.

Хотя UNK_DeadDrop имеет сходство с прошлыми операциями северокорейских хакеров, он знаменует собой эволюцию тактик, демонстрируя повышенную сложность и целенаправленное воздействие на уязвимые рабочие процессы разработчиков.