#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа SniperDz представляет собой сложную киберугрозу, использующую модель фишинг как услуга (PhaaS) для нацеливания на регион Ближнего Востока и Северной Африки (MENA) через тактики социальной инженерии и обманные кампании в социальных сетях. Она предлагает более 80 шаблонов фишинга, нацеленных на популярные сервисы, такие как PayPal и Netflix, применяя такие техники, как маршрутизация трафика через доверенные сайты и продвинутое маскирование для уклонения от обнаружения. Инфраструктура операции поддерживает сбор учетных записей и различные мошеннические схемы, используя методы, такие как манипуляция историей браузера и перенаправление, чтобы максимизировать вовлеченность жертв и монетизацию, имея связи более чем с 900 подозрительными доменами.
-----

Расследование платформы SniperDz выявило сложную киберугрозу, характеризующуюся фишингом как услугой (PhaaS) и злоупотреблением push-уведомлениями. SniperDz функционирует на базе централизованной инфраструктуры, обеспечивающей различные мошеннические действия, в первую очередь направленные на пользователей региона Ближнего Востока и Северной Африки через обманные кампании в социальных сетях, имитирующие известные бренды и публичных деятелей. Платформа предлагает более 80 шаблонов фишинга для популярных сервисов, таких как PayPal, Facebook и Netflix, что позволяет операторам с минимальными техническими навыками развертывать эффективные мошеннические схемы.

Данная операция стратегически использует техники социальной инженерии, применяя поддельные предложения, связанные с финансовой выгодой, для заманивания жертв. Перенаправляя трафик через доверенные промежуточные сервисы, такие как Linktree, злоумышленники скрывают вредоносный характер своих кампаний от автоматизированных систем безопасности. Примечательно, что эти мошеннические схемы включают продвинутые техники маскировки, которые вводят в заблуждение исследователей безопасности, отображая безобидные сообщения об ошибках при обнаружении потенциальных угроз. Жертвы, взаимодействующие с мошенническими страницами, часто манипулируются для подписки на уведомления браузера, что обеспечивает постоянный доступ и позволяет проводить дальнейшие атаки.

Анализ подчеркивает использование повторяющегося публичного ключа VAPID в нескольких кампаниях, что указывает на общую инфраструктуру, характерную для, казалось бы, различных операций. Эта взаимосвязанность доменов и IP-адресов предполагает, что SniperDz функционирует как комплексный механизм монетизации, динамически адаптирующий схемы мошенничества на основе атрибутов жертв, таких как местоположение и устройство. Инфраструктура не только способствует сбор учетных записей, но и координирует схемы, включающие премиальные SMS-подписки, платные звонки и инвестиционные мошенничества, что отражает многогранный подход к генерации доходов.

Технические механизмы, применяемые злоумышленниками, включают манипуляцию историей браузера для создания ложного восприятия контроля навигации, что эффективно удерживает жертв внутри экосистемы мошенничества. Дополнительные техники, такие как tab-under и перенаправление, усиливают их способность поддерживать вовлеченность пользователей и максимизировать монетизацию трафика. Паттерны в инфраструктуре соотносятся с более чем 900 подозрительными доменами, демонстрируя масштаб и операционную широту сети SniperDz.

#ParsedReport #CompletenessHigh
11-06-2026

Inside OnyxC2: The New Stealer Targeting 210 Apps

https://www.blackfog.com/inside-onyxc2-the-new-stealer-targeting-210-apps/

Report completeness: High

Threats:
Onyxc2
Hvnc_tool
Runpe_tool
Dll_sideloading_technique
Bloat_technique
Credential_dumping_technique

Victims:
Consumers, Small finance teams, Small operations teams

Industry:
Financial, Entertainment

TTPs:
Tactics: 3
Technics: 15

IOCs:
File: 4
Hash: 4
Domain: 1
IP: 3

Soft:
Chromium, NVIDIA graphics

Algorithms:
sha256, zip, aes-256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OnyxC2 — это сложный стиллер, выявленный в начале 2026 года, способный собирать учетные данные из примерно 210 приложений, включая веб-браузеры, менеджеры паролей и криптовалютные кошельки. Он использует передовые техники уклонения с показателем избегания обнаружения антивирусами 99%, а его распространение включает поддельные установщики с архивами, защищенными паролем, содержащими вредоносные DLL-файлы, выполняющие маскировку под легитимное программное обеспечение. Набор инструментов также включает модуль удаленного доступа, позволяющий осуществлять постоянный контроль над зараженными системами, что вызывает серьезные опасения в области безопасности как для частных лиц, так и для организаций.
-----

OnyxC2 — это новый обнаруженный стиллер, появившийся в начале 2026 года и предназначенный для масштабного сбора учетных записей. Он предлагает полный пакет продуктов, включающий веб-панель, конструктор полезной нагрузки и многоуровневую модель подписки стоимостью 250 долларов в месяц. Стиллер нацелен примерно на 210 приложений, включая 37 браузеров на базе Chromium и 8 на базе Gecko, 95 расширений Chromium и 14 расширений Gecko (из них 6 предназначены для двухфакторной аутентификации), 5 менеджеров паролей, 17 криптовалютных кошельков, а также различные другие приложения в разных категориях, такие как FTP-клиенты и почтовые клиенты. Эта широкая функциональность позволяет OnyxC2 захватывать значительное количество учетных данных и материалов сессий, необходимых как для частных лиц, так и для бизнеса.

Бинарный файл стиллера разработан на C++ и включает ассемблерный код для прямого доступа к системным вызовам. Он использует уникальную стратегию мутации для каждой сборки, якобы достигая 99% уровня уклонения от обнаружения антивирусами. Статический анализ образцов подтвердил высокую эффективность уклонения, поскольку при первоначальной загрузке на VirusTotal было зафиксировано минимальное количество срабатываний. Набор инструментов OnyxC2 объединяет этот стиллер с модулем удаленного доступа, который включает такие возможности, как HVNC (Hidden Virtual Network Computing), дампинг LSASS и функции обратного шелла через HTTP.

Распространение OnyxC2 включает методичный подход с использованием поддельных установщиков. Вредоносное ПО упаковано в архивы, защищённые паролем, которые имитируют легальные загрузки программного обеспечения, скрывая вредоносные компоненты. В архиве присутствует легальное подписанное приложение рядом с вредоносной библиотекой DLL, созданной для подгрузки (sideloading) при запуске легальной программы. Эта вредоносная библиотека DLL, замаскированная под легальную графическую библиотеку NVIDIA, содержит зашифрованный полезный груз, что затрудняет её обнаружение типичными сканерами из-за размера и обманчивой интеграции.

Детальный анализ структуры бинарного файла показывает, что установщику необходимо лишь разместить вредоносную DLL-библиотеку рядом с легитимно подписанным исполняемым файлом для активации, тем самым избегая традиционных методов эксплуатации. Кроме того, коммуникации с командным центром OnyxC2 (C2) демонстрируют, что каждый бот работает под уникальными токенами, что подтверждает целостность системы между заявленными функциями и реальными заражениями в режиме реального времени.

Последствия возможностей OnyxC2 являются серьезными, позволяя злоумышленникам поддерживать постоянный доступ через украденные сеансовые куки и записи из менеджеров паролей, сводя на нет меры восстановления учетных записей. Общая архитектура OnyxC2 подчеркивает использование передовых техник для уклонения и эксфильтрации данных, вызывая серьезные опасения у пользователей, особенно тех, кто занимает чувствительные роли в организациях. Следовательно, основное внимание по-прежнему уделяется проактивным мерам против кражи данных и продолжению стратегий по блокировке попыток эксфильтрации.

#ParsedReport #CompletenessHigh
11-06-2026

New NPM Supply Chain Campaign Identified : A Multi-Stage Cryptocurrency Malware with More Than 2.7 million Downloads

https://www.cyfirma.com/research/new-npm-supply-chain-campaign-identified-a-multi-stage-cryptocurrency-malware-with-more-than-2-7-million-downloads/

Report completeness: High

Threats:
Supply_chain_technique
Moralis-sdk
Credential_harvesting_technique
Typosquatting_technique

Victims:
Blockchain developers, Web3 projects, Cryptocurrency wallet operators, Cloud native development environments, Ci cd environments, Cryptocurrency infrastructure

Industry:
Financial, E-commerce, Petroleum

TTPs:
Tactics: 10
Technics: 11

IOCs:
File: 14
Url: 2
Coin: 3
IP: 2
Hash: 11

Soft:
Node.js, curl, Docker, GitHub Codespaces, Linux, macOS

Wallets:
coinbase, mainnet

Crypto:
ethereum

Algorithms:
aes-256-gcm, sha1, base64, sha256

Functions:
execSync, setTimeout, shouldRunPayload, getString, spawn

Languages:
javascript, powershell, python

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новоидентифицированная кампания нацелена на разработчиков блокчейна, проекты Web3 и операторов криптовалютных кошельков с использованием вредоносных пакетов npm, включая «moralis-sdk», который имеет более 2,7 миллионов загрузок. Пакеты используют такие техники, как тайпсквоттинг, злоупотребление хуками жизненного цикла npm и многоэтапная доставка ВПО для проведения сбора учетных записей и кражи кошельков. Примечательно, что некоторые пакеты внедряют украденные учетные данные в транзакции Ethereum, а операция использует децентрализованную инфраструктуру для управления, что усложняет обнаружение.
-----

Выявлена новая кампания по компрометации цепочки поставок программного обеспечения, ориентированная на криптовалюту, которая в первую очередь нацелена на разработчиков блокчейна, проекты Web3 и операторов криптовалютных кошельков через серию вредоносных пакетов npm. Исследователи обнаружили в общей сложности одиннадцать подозрительных пакетов, среди которых «moralis-sdk» набрал более 2,7 миллиона загрузок, что значительно усиливает потенциальное воздействие этой угрозы.

Анализ показал, что эти пакеты использовали различные атаки, включая тайпсквоттинг, злоупотребление хуками жизненного цикла npm и многоэтапный механизм доставки ВПО, что позволяло выполнять такие действия, как сбор учетных записей, кражу кошельков и удаленное выполнение полезной нагрузки. В частности, два пакета, «ethers-jss» и «coinbase-wallet-utils», выдавали себя за легитимные инструменты и были предназначены для кражи конфиденциальной информации, такой как Закрытые ключи и мнемонические фразы, через ВПО, встроенное в их код. Эти вредоносные пакеты выполняли свои полез

Дальнейшее исследование пакета "moralis-sdk" показало, что он изначально был опубликован как безобидная версия, прежде чем был вооружен в последующем обновлении. Зашифрованный JavaScript, содержащийся в его скрипте после установки, предназначен для скрытой загрузки и выполнения дополнительных полезной нагрузки, полагаясь на различные легитимные сервисы для маскировки своей вредоносной деятельности. Кроме того, некоторые пакеты в этом кластере использовали инновационный подход на основе блокчейна для эксфильтрация учетных данных, встраивая украденные данные в транзакции Ethereum, чтобы скрыть их перемещения.

В частности, операция также продемонстрировала использование децентрализованной инфраструктуры для целей управления, усложняя усилия по обнаружению, поскольку вредоносное ПО могло динамически обновлять свои методы связи через запросы к блокчейну. Другие выявленные пакеты, такие как "hardhat-deploy-utils" и "defi-sdk-core", участвовали в кампании по краже учетных данных, злоупотребляя процессом установки npm для извлечения переменных среды и конфиденциальных учетных данных разработчиков.

Эта кампания демонстрирует эволюцию тактик, используемых злоумышленниками в сфере цепочки поставок программного обеспечения, в частности их фокус на высокоценных активах, связанных с криптовалютами. Широкое распространение этих пакетов подчеркивает насущную необходимость бдительного управления зависимостями, включая тщательные аудиты пакетов с открытым исходным кодом и повышение осведомленности разработчиков о рисках в цепочке поставок программного обеспечения. В целом, результаты подчеркивают значительную угрозу, направленную на современные среды разработки, что требует конкретных действий для защиты от этих сложных киберугроз.

#ParsedReport #CompletenessLow
11-06-2026

Fake hiring pages abuse FIFA and other major brands to steal work credentials

https://www.gendigital.com/blog/insights/research/fake-hiring-pages-abuse-fifa

Report completeness: Low

Victims:
Job seekers, Companies

ChatGPT TTPs:
do not use without manual check
T1036, T1056.007, T1566, T1583.001

IOCs:
Url: 8

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние фишинговые кампании использовали поддельные страницы найма, в том числе поддельный сайт, имитирующий FIFA для привлечения соискателей. Сайты, такие как hxxps://fifahiring.com, побуждают пользователей предоставлять личные и корпоративные учетные данные под предлогом набора на работу, при этом различные бренды используются аналогичным образом в подобных схемах. Базовый код на этих мошеннических сайтах остается неизменным, что позволяет быстро адаптировать его для разных брендов, сосредотачиваясь на сборе учетных записей у пользователей.
-----

Недавние исследования выявили серию фишинговых кампаний, использующих поддельные страницы найма, с опорой на известные бренды, такие как FIFA, для обмана лиц, ищущих работу. Одним из заметных примеров является поддельный сайт hxxps://fifahiring.com, который выдает себя за FIFA, чтобы заманить соискателей на предоставление своих учетных данных. Страница изначально побуждает пользователей назначать звонки с мнимыми рекрутерами, а когда лица пытаются зарегистрироваться с личными адресами Gmail, сайт запрашивает корпоративный адрес электронной почты, нацеливаясь на более ценные корпоративные учетные записи.

Эта мошенническая тактика вербовки выходит за рамки FIFA, поскольку появились другие варианты с использованием различных брендов. Например, страница, стилизованная под Hays, нацеливалась на учетные данные для входа в Facebook. Анализ показывает, что мошеннические сайты имеют схожий базовый код, что подчеркивает адаптивный характер этой фишинговой схемы. Хотя брендинг FIFA служит привлекательным крючком из-за его привязки к глобальным событиям, механизм фишинговой вербовки остается неизменным, позволяя мошенникам быстро менять логотипы, имена рекрутеров и провайдеров аутентификации, сохраняя при этом тот же фреймворк, предназначенный для сбора учетных данных пользователей.

Для соискателей критически важно проявлять бдительность перед вводом учетных данных на сайтах, связанных с трудоустройством. Проверка домена на легитимность является обязательной, поскольку мошеннические сайты часто используют термины, связанные с наймом, такие как «career» или «portal», вокруг узнаваемых названий брендов. Хотя такие сайты могут выглядеть визуально привлекательно и легитимно, их новые домены вызывают подозрения. Кроме того, рекомендуется использовать программное обеспечение безопасности, оснащенное функциями защиты от веб-угроз и фишинга. Такие инструменты могут заблаговременно блокировать известные вредоносные страницы, что особенно полезно, учитывая, что многие из этих мошеннических доменов могут функционировать в течение коротких периодов, что затрудняет их обнаружение и избегание.

#ParsedReport #CompletenessLow
10-06-2026

GoFlateLoader: A Widespread Golang Loader Delivering Multiple Infostealers

https://www.gendigital.com/blog/insights/research/goflateloader-delivers-multiple-infostealers

Report completeness: Low

Threats:
Goflateloader
Amatera_stealer
Remus
Lumma_stealer
Vidar_stealer
Stealc
Svitstealer

Geo:
India, Argentina, Spain, Mexico, Turkey, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.001, T1027.007, T1027.009, T1106, T1140, T1620

IOCs:
Hash: 11

Win API:
VirtualAlloc, LoadLibrary, GetProcAddress, Syscall

Languages:
golang

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoFlateLoader — это загрузчик на базе Golang, предназначенный для доставки инфостилеров, таких как Amatera и Vidar, работающий в архитектурах x86 и x86-64. Он выполняет полезную нагрузку в памяти, используя развёрнутый PE-оверлей для сокрытия своей деятельности и уклонения от обнаружения. Его распространение часто осуществляется через взломанное программное обеспечение или архивы, защищённые паролем, а размер файла варьируется от 700 до 950 МБ, чтобы затруднить автоматический анализ. В конечном итоге он служит механизмом эффективной доставки полезной нагрузки, несмотря на отсутствие продвинутых методов уклонения.
-----

GoFlateLoader — это загрузчик на базе Golang, который эффективно доставляет различные инфостилеры, включая Amatera, Remus, Lumma, Vidar и StealC. Он доступен в вариантах x86 (32-бит) и x86-64 (64-бит), соответствующих архитектуре выполняемого полезного груза. Одна из его основных характеристик — выполнение полезного груза в памяти, с использованием значительно увеличенной PE-оверлея для сокрытия своего присутствия и уклонения от механизмов обнаружения. Методы распространения загрузчика особенно примечательны: он часто появляется через взломанное программное обеспечение или перенаправление на выделенные целевые страницы, которые размещают архивы, защищенные паролем, содержащие GoFlateLoader.

Поток выполнения GoFlateLoader включает несколько ключевых этапов. Он начинается с копирования закодированного полезного груза из секции .rdata в стек и его декодирования с помощью пользовательской трансформации байтов для формирования валидного PE-файла. Затем происходит парсинг заголовков PE и выделение области памяти с необходимыми правами на выполнение с использованием функции VirtualAlloc. Загрузчик затем отображает декодированный полезный груз в память, обрабатывая заголовки, секции и применяя релокации по мере необходимости. Примечательно, что он использует Go syscall.Syscall для передачи управления выполнением конечному полезному грузу, злоупотребляя этой функцией как универсальным шлюзом вызовов. Необычная установка жестко заданных значений аргументов создает потенциальную возможность обнаружения, которую могут использовать средства защиты.

Отличительной особенностью GoFlateLoader является его преувеличенный размер, который обычно составляет от 700 до 950 МБ из-за раздутого PE-оверлея, часто заполненного нулевыми байтами или случайными заполнителями. Этот размер служит стратегическим преимуществом против инструментов автоматического анализа, часто вызывая задержки или сбои в эвристических оценках, особенно на платформах, таких как VirusTotal, которые имеют строгие ограничения на размер загрузки. Намеренное раздувание размера файла является тактикой для уклонения от внимания и предотвращения атрибуции со стороны решений безопасности.

Основная цель GoFlateLoader — эффективная доставка полезной нагрузки. Хотя он относительно прост по сравнению с другими загрузчиками вредоносного ПО — не имея стандартных методов антиотладки или анти-виртуальной машины — он успешно обеспечивает распространение инфостилеров. Несмотря на свою простоту, значительное присутствие GoFlateLoader в различных географических регионах и его эффективность как механизма доставки подчеркивают постоянную необходимость бдительных мер кибербезопасности против таких распространенных угроз.

#ParsedReport #CompletenessLow
10-06-2026

Tracking Havoc Malware Activity and Evasion Techniques

https://www.sonicwall.com/blog/tracking-havoc-malware-activity-and-evasion-techniques

Report completeness: Low

Threats:
Havoc

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1037.001, T1057, T1071.004, T1105, T1112, T1480.002, T1497.001, T1622

IOCs:
File: 2
Url: 5
Hash: 3

Soft:
qemu, hyper-v

Algorithms:
zip

Functions:
GetProcedureAddress

Win API:
GetProcessHeap, IsDebuggerPresent

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Havoc — это сложное ВПО для управления, оснащённое передовыми методами скрытности для обхода обнаружения системами безопасности, в частности решениями EDR. Заражение инициируется скриптом, который загружает вредоносный бинарный файл в составе MSI-пакета, проверяя наличие виртуальных сред для предотвращения обнаружения во время анализа. Havoc обеспечивает закрепление путём модификации ключей системного реестра и создания мьютекса, а также использует методы антиотладки для обеспечения целостности своей работы и собирает информацию о процессах для поддержания функциональности.
-----

Вредоносное ПО Havoc стало сложным фреймворком для управления (C2), демонстрирующим ряд скрытых возможностей, предназначенных для уклонения от обнаружения системами безопасности, особенно решениями для обнаружения и реагирования на конечных точках (EDR). Выдающиеся техники уклонения, используемые Havoc, включают обфускацию сна, спуфинг адреса возврата в стеке и косвенные системные вызовы, что позволяет ему функционировать без немедленного обнаружения и облегчает его использование как в легитимных, так и в злонамеренных кампаниях.

Цикл заражения Havoc инициируется скриптом, который загружает и выполняет вредоносный бинарный файл, упакованный в MSI-пакет. После запуска вредоносное ПО активно проверяет, выполняется ли оно в виртуальных средах, в частности ища индикаторы технологий виртуализации, таких как QEMU, VMware, VirtualBox и Hyper-V. Это распространенная техника для предотвращения выполнения в виртуализованных средах анализа, где вредоносное ПО может подвергаться тщательному изучению.

Для закрепления Havoc изменяет системный реестр, создавая ключ времени выполнения в ‘HKEY_CURRENT_USER Environment UserInitMprLogonScript’. Кроме того, он создает мьютекс в ‘Sessions 1 BaseNamedObjects Global {7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}’, что помогает предотвращать одновременный запуск нескольких экземпляров ВПО. ВПО также выполняет DNS TXT-запрос к определенному локальному домену и другой запрос к DNS-серверу Cloudflare (1.0.0.1), потенциально для обеспечения связи с его инфраструктурой C2.

В плане антиотладки Havoc использует несколько техник, таких как проверка наличия отладчика с помощью функций DebugPort, GetProcessHeap, GetProcedureAddress и IsDebuggerPresent. Эти функции позволяют ВПО обнаруживать среды отладки и вызывать сбой или некорректную работу при наличии отладочных хуков, тем самым защищая свою операционную целостность. Кроме того, Havoc собирает информацию о запущенных процессах через ToolHelp32Snapshot и постоянно отслеживает определенные ключи реестра, чтобы гарантировать сохранение функциональности и доступа во время своей работы.

Лаборатории SonicWall Capture выявили сигнатуры для обеспечения защиты от данного ВПО, усиливая меры безопасности против его агрессивных и многогранных векторов атак.

#ParsedReport #CompletenessLow
11-06-2026

How to defend ARM64 cloud infrastructure from ITScape

https://www.reversinglabs.com/blog/defend-cloud-infrastructure-itscape

Report completeness: Low

Threats:
Itscape_vuln

Victims:
Cloud infrastructure, Multi tenant cloud environments

CVEs:
CVE-2026-46316 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1611

IOCs:
Hash: 1

Soft:
QEMU

Algorithms:
sha256

Functions:
vgic_its_invalidate_cache

Win Services:
bits

Platforms:
arm

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-46316, известный как ITScape, — это критическая уязвимость выхода из гостевой среды в хостовую (guest-to-host escape) в KVM/arm64, вызванная состоянием гонки в функции `vgic_its_invalidate_cache()`, позволяющая выполнять код ядра хоста даже без прав root в гостевой системе. Затронутые версии ядра охватывают период с апреля 2024 года по июнь 2026 года. Для обнаружения были разработаны два правила YARA, ориентированные на выявление захардкоженных констант из кода proof-of-concept и обнаружение конкретных последовательностей инструкций, связанных с попытками повышения привилегий.
-----

CVE-2026-46316, также известный как ITScape, — это критическая уязвимость выхода из гостевой среды в хостовую (guest-to-host escape) в компоненте эмуляции vGIC-ITS (Interrupt Translation Service) KVM/arm64, раскрытая исследователем Хёнвудом Кимом. Уязвимость возникает из-за состояния гонки в функции `vgic_its_invalidate_cache()`, что приводит к сценарию двойного использования после освобождения памяти (double-use-after-free) и позволяет выполнять код ядра хоста. Эта уязвимость напрямую угрожает многопользовательским облачным средам ARM64, где распространены недоверенные гостевые операционные системы. Примечательно, что если у злоумышленника нет прав root на гостевой системе, он может попытаться эксплуатировать эту уязвимость совместно с другими методами повышения локальных привилегий. Затронутые версии ядра простираются от коммита 8201d1028caa (25 апреля 2024 года) до коммита 13031fb6b835 (5 июня 2026 года), когда необходимый патч был интегрирован в основное ядро.

Для решения проблемы и мониторинга потенциальной эксплуатации данной уязвимости были созданы два специфичных правила YARA. Первое, названное ITScape_ExploitConstants_1, предназначено для выявления девяти жестко закодированных 64-битных констант, содержащихся в исходном коде доказательства концепции (PoC). Эти константы включают адреса символов ядра и сентинел, используемый для мер по предотвращению утечек, все они закодированы в формате с обратным порядком байт (little-endian), характерном для скомпилированных ELF-бинарников ARM64. Тестирование против известного бинарного файла PoC показало, что семь из девяти констант могут быть сопоставлены, несмотря на некоторые расхождения из-за вариаций компилятора. Правило намеренно сохраняет потенциально переменные константы, чтобы учесть различные сценарии сборки в будущих вариантах эксплойта.

Второе правило, ITScape_KVM_PrivDrop_1, фокусируется на уникальной, семантически значимой последовательности инструкций внутри скомпилированного бинарного файла. Она включает проверку прав доступа к `/dev/kvm`, за которой следует последовательность системных вызовов по снижению привилегий — в частности, `setgroups(0, NULL)`, `setgid(1000)` и `setuid(1000)`. Конкретные байтовые шаблоны допускают вариации для создания устойчивой сигнатуры против различных методов компиляции, что обеспечивает надежность значимых последовательностей инструкций как индикаторов попыток эксплуатации.

Данные правила YARA служат как механизмами обнаружения, так и разведки для организаций, использующих облачные инфраструктуры на базе ARM64, помогая им выявлять и смягчать риски, связанные с уязвимостью ITScape, эффективным образом.