#ParsedReport #CompletenessLow
10-06-2026

Tracking Havoc Malware Activity and Evasion Techniques

https://www.sonicwall.com/blog/tracking-havoc-malware-activity-and-evasion-techniques

Report completeness: Low

Threats:
Havoc

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1037.001, T1057, T1071.004, T1105, T1112, T1480.002, T1497.001, T1622

IOCs:
File: 2
Url: 5
Hash: 3

Soft:
qemu, hyper-v

Algorithms:
zip

Functions:
GetProcedureAddress

Win API:
GetProcessHeap, IsDebuggerPresent

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Havoc — это сложное ВПО для управления, оснащённое передовыми методами скрытности для обхода обнаружения системами безопасности, в частности решениями EDR. Заражение инициируется скриптом, который загружает вредоносный бинарный файл в составе MSI-пакета, проверяя наличие виртуальных сред для предотвращения обнаружения во время анализа. Havoc обеспечивает закрепление путём модификации ключей системного реестра и создания мьютекса, а также использует методы антиотладки для обеспечения целостности своей работы и собирает информацию о процессах для поддержания функциональности.
-----

Вредоносное ПО Havoc стало сложным фреймворком для управления (C2), демонстрирующим ряд скрытых возможностей, предназначенных для уклонения от обнаружения системами безопасности, особенно решениями для обнаружения и реагирования на конечных точках (EDR). Выдающиеся техники уклонения, используемые Havoc, включают обфускацию сна, спуфинг адреса возврата в стеке и косвенные системные вызовы, что позволяет ему функционировать без немедленного обнаружения и облегчает его использование как в легитимных, так и в злонамеренных кампаниях.

Цикл заражения Havoc инициируется скриптом, который загружает и выполняет вредоносный бинарный файл, упакованный в MSI-пакет. После запуска вредоносное ПО активно проверяет, выполняется ли оно в виртуальных средах, в частности ища индикаторы технологий виртуализации, таких как QEMU, VMware, VirtualBox и Hyper-V. Это распространенная техника для предотвращения выполнения в виртуализованных средах анализа, где вредоносное ПО может подвергаться тщательному изучению.

Для закрепления Havoc изменяет системный реестр, создавая ключ времени выполнения в ‘HKEY_CURRENT_USER Environment UserInitMprLogonScript’. Кроме того, он создает мьютекс в ‘Sessions 1 BaseNamedObjects Global {7f3a9c2e-4b1d-8e5f-a6d0-3c9b2e1f7a4d}’, что помогает предотвращать одновременный запуск нескольких экземпляров ВПО. ВПО также выполняет DNS TXT-запрос к определенному локальному домену и другой запрос к DNS-серверу Cloudflare (1.0.0.1), потенциально для обеспечения связи с его инфраструктурой C2.

В плане антиотладки Havoc использует несколько техник, таких как проверка наличия отладчика с помощью функций DebugPort, GetProcessHeap, GetProcedureAddress и IsDebuggerPresent. Эти функции позволяют ВПО обнаруживать среды отладки и вызывать сбой или некорректную работу при наличии отладочных хуков, тем самым защищая свою операционную целостность. Кроме того, Havoc собирает информацию о запущенных процессах через ToolHelp32Snapshot и постоянно отслеживает определенные ключи реестра, чтобы гарантировать сохранение функциональности и доступа во время своей работы.

Лаборатории SonicWall Capture выявили сигнатуры для обеспечения защиты от данного ВПО, усиливая меры безопасности против его агрессивных и многогранных векторов атак.

#ParsedReport #CompletenessLow
11-06-2026

How to defend ARM64 cloud infrastructure from ITScape

https://www.reversinglabs.com/blog/defend-cloud-infrastructure-itscape

Report completeness: Low

Threats:
Itscape_vuln

Victims:
Cloud infrastructure, Multi tenant cloud environments

CVEs:
CVE-2026-46316 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1068, T1611

IOCs:
Hash: 1

Soft:
QEMU

Algorithms:
sha256

Functions:
vgic_its_invalidate_cache

Win Services:
bits

Platforms:
arm

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-46316, известный как ITScape, — это критическая уязвимость выхода из гостевой среды в хостовую (guest-to-host escape) в KVM/arm64, вызванная состоянием гонки в функции `vgic_its_invalidate_cache()`, позволяющая выполнять код ядра хоста даже без прав root в гостевой системе. Затронутые версии ядра охватывают период с апреля 2024 года по июнь 2026 года. Для обнаружения были разработаны два правила YARA, ориентированные на выявление захардкоженных констант из кода proof-of-concept и обнаружение конкретных последовательностей инструкций, связанных с попытками повышения привилегий.
-----

CVE-2026-46316, также известный как ITScape, — это критическая уязвимость выхода из гостевой среды в хостовую (guest-to-host escape) в компоненте эмуляции vGIC-ITS (Interrupt Translation Service) KVM/arm64, раскрытая исследователем Хёнвудом Кимом. Уязвимость возникает из-за состояния гонки в функции `vgic_its_invalidate_cache()`, что приводит к сценарию двойного использования после освобождения памяти (double-use-after-free) и позволяет выполнять код ядра хоста. Эта уязвимость напрямую угрожает многопользовательским облачным средам ARM64, где распространены недоверенные гостевые операционные системы. Примечательно, что если у злоумышленника нет прав root на гостевой системе, он может попытаться эксплуатировать эту уязвимость совместно с другими методами повышения локальных привилегий. Затронутые версии ядра простираются от коммита 8201d1028caa (25 апреля 2024 года) до коммита 13031fb6b835 (5 июня 2026 года), когда необходимый патч был интегрирован в основное ядро.

Для решения проблемы и мониторинга потенциальной эксплуатации данной уязвимости были созданы два специфичных правила YARA. Первое, названное ITScape_ExploitConstants_1, предназначено для выявления девяти жестко закодированных 64-битных констант, содержащихся в исходном коде доказательства концепции (PoC). Эти константы включают адреса символов ядра и сентинел, используемый для мер по предотвращению утечек, все они закодированы в формате с обратным порядком байт (little-endian), характерном для скомпилированных ELF-бинарников ARM64. Тестирование против известного бинарного файла PoC показало, что семь из девяти констант могут быть сопоставлены, несмотря на некоторые расхождения из-за вариаций компилятора. Правило намеренно сохраняет потенциально переменные константы, чтобы учесть различные сценарии сборки в будущих вариантах эксплойта.

Второе правило, ITScape_KVM_PrivDrop_1, фокусируется на уникальной, семантически значимой последовательности инструкций внутри скомпилированного бинарного файла. Она включает проверку прав доступа к `/dev/kvm`, за которой следует последовательность системных вызовов по снижению привилегий — в частности, `setgroups(0, NULL)`, `setgid(1000)` и `setuid(1000)`. Конкретные байтовые шаблоны допускают вариации для создания устойчивой сигнатуры против различных методов компиляции, что обеспечивает надежность значимых последовательностей инструкций как индикаторов попыток эксплуатации.

Данные правила YARA служат как механизмами обнаружения, так и разведки для организаций, использующих облачные инфраструктуры на базе ARM64, помогая им выявлять и смягчать риски, связанные с уязвимостью ITScape, эффективным образом.

#ParsedReport #CompletenessLow
09-06-2026

Under the Hood - LotusLite: Believe me I am MustangPanda

https://blog.exatrack.com/UnderTheHood_Believe_me_I_am_MustangPanda/

Report completeness: Low

Actors/Campaigns:
Red_delta

Threats:
Lotuslite

Geo:
China, Singapore

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1547.001, T1573

IOCs:
Hash: 9
Path: 1
Registry: 2
File: 5
IP: 1

Soft:
Chrome

Algorithms:
sha256, zip

Win API:
MessageBox

Platforms:
x64

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вариант вредоносного ПО LotusLite, связанный с злоумышленником MustangPanda, работает через сервер управления на домене forms.microsoft.com, обходя проверку TLS. Он устанавливается через функцию AMPVIncrement, размещая вредоносный исполняемый файл, маскирующийся под легитимное программное обеспечение, и обеспечивает закрепление через запись в реестре. Вредоносное ПО взаимодействует с внешним IP-адресом, отправляя поддельные HTTP POST-запросы, и демонстрирует согласованные, но изменённые архитектурные особенности по сравнению с предыдущими версиями, что может указывать либо на внутренние обновления, либо на Имперсонацию со стороны другого актора.
-----

Анализ сосредоточен на недавнем варианте ВПО, известном как LotusLite, который часто связывают со злоумышленником MustangPanda. В коде ВПО присутствуют заметные захардкоженные строки, относящиеся к MustangPanda, что указывает на возможную связь или попытку введения в заблуждение. Оно функционирует через сервер управления (C2), размещенный на домене forms.microsoft.com, используя порт 443. Такая конфигурация намеренно обходит проверку TLS, представляя собой уникальный метод уклонения от обнаружения.

Процесс установки LotusLite инициируется путем выполнения конкретной экспортируемой функции AMPVIncrement. Эта функция создает каталог, предназначенный для ее работы, и размещает вредоносный исполняемый файл SmartPrintScreen.exe, имитируя легитимный процесс создания файлов снимков экрана. Вредоносное ПО имперсонирует файл, связанный с программным обеспечением Samsung, через свою DLL с именем AMPV.dll, и обеспечивает закрепление на зараженной системе путем добавления записи в реестр для выполнения при запуске системы. Кроме того, пользователю отображается окно MessageBox, вводящее в заблуждение и указывающее на поврежденный PDF-файл.

После установления соединения с внешним IP-адресом (103.79.77.181, расположенным в Сингапуре) ВПО отправляет HTTP POST-запросы, маскируясь под легитимный домен Microsoft. Запрос включает пользовательские заголовки и, по-видимому, взаимодействует с сервером C2 с использованием специфической кадровой структуры команд, что указывает на наличие установленного протокола.

Анализ выявляет существенные сходства между данной вариацией LotusLite и предыдущими установками, приписываемыми MustangPanda, что подчеркивает согласованность идентификаторов команд, заголовков HTTP и путей к директориям загрузчика. Несмотря на эти корреляции, существуют расхождения; в частности, в последних анализах не было обнаружено перекрытия кода между версиями, что указывает на значительные изменения в архитектуре ВПО. Наблюдаемое сокращение размера по сравнению с предыдущими версиями вызывает дополнительные вопросы о характере этих обновлений.

В конечном итоге, результаты указывают либо на потенциальные внутренние изменения, внесенные злоумышленником для уклонения от обнаружения после публичного внимания, либо на появление другого актора, имитирующего MustangPanda. Эта двойная возможность усложняет атрибуцию ВПО. Повторные упоминания MustangPanda внутри ВПО могут служить приманкой или свидетельствовать о намерении актора дистанцироваться от предыдущей версии после ее раскрытия.

#ParsedReport #CompletenessLow
12-06-2026

Offside and Online: GHOST STADIUM Phishing Targeting World Cup Fans

https://www.validin.com/blog/ghost_stadium/

Report completeness: Low

Actors/Campaigns:
Ghost_stadium

Victims:
World cup fans, Ticket buyers, Streaming sites, Gambling sites, Sports and entertainment

Industry:
Foodtech, Entertainment

Geo:
Indian, Chinese, China, India

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1566, T1583.001, T1583.006

IOCs:
Domain: 6109
File: 4

Functions:
strip, lower, Client

Languages:
javascript, python

YARA: Found

Links:
https://github.com/Validin/indicators/blob/master/GhostStadium

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговый набор под названием GHOST STADIUM нацелен на болельщиков Чемпионата мира, создавая около 3 079 мошеннических доменов, многие из которых выдают себя за продавцов билетов на английском, китайском и индийских языках. Набор использует идентифицируемые строки, такие как "2026TOfficial", и содержит артефакты JavaScript на китайском языке, что указывает на связь с конкретными злоумышленниками. Домены используют Cloudflare для обфускации и часто отклоняются от легитимных соглашений об именовании, демонстрируя тактики, такие как массовая регистрация, фронтинг через CDN и быстрая смена доменов для избежания обнаружения.
-----

Группа-ИБ выявила фишинговый набор под названием GHOST STADIUM, который целенаправленно ориентирован на болельщиков Чемпионата мира и покупателей билетов. Анализ выявил значительное количество активных доменов, в общей сложности около 3 079, при этом многие из них имитируют англоязычных продавцов билетов, а большинство — на других языках, в частности китайском и индийском. Эта активность совпадает по времени с официальными соглашениями FIFA о трансляции в этих регионах, что указывает на оппортунистический подход, применяемый злоумышленниками.

Фишинговый набор использует определенные строки, которые служат сильными индикаторами его присутствия. Например, строка "2026TOfficial" и плохо структурированная маркетинговая фраза, связанная с Чемпионатом мира, служат отличительными отпечатками. Эти аномалии маловероятны для появления в легитимных коммуникациях FIFA, что делает их полезными для выявления мошеннических доменов. Дополнительный анализ подтвердил наличие артефактов китайского языка в JavaScript набора, предоставляя дополнительные доказательства, связывающие набор с конкретными злоумышленниками из определенного географического региона.

Большинство обнаруженных доменов используют Cloudflare для доставки контента, что скрывает их исходные IP-адреса и усложняет анализ инфраструктуры стандартными методами. Интересно, что часть активных доменов отклоняется от ожидаемых соглашений об именовании сайтов для продажи билетов ФИФА, что указывает на сочетание прямого злоупотребления брендом с различными фишинговыми схемами для уклонения от обнаружения с помощью базовых эвристик доменов.

Исследование использовало комбинацию инструментов, включая Python SDK от Validin, что облегчало анализ данных разрешения DNS и регистрации. Этот метод позволил аналитикам отличать активные домены от неактивных, усиливая идентификацию текущих фишинговых кампаний. Результаты указывают на общую закономерность в фишинговой инфраструктуре, характеризующуюся тактиками, такими как массовая регистрация доменов, выборочная активация, повторное использование фишинговых наборов, использование CDN для маскировки и быстрая смена доменных имен для опережения систем обнаружения.

Ключевыми индикаторами для защитников являются аномальные HTML-строки, некорректные маркетинговые фразы, часто повторяющиеся URL-адреса, связанные с мероприятиями Чемпионата мира по футболу, и распространённость комментариев на китайском языке. Фишинговые домены также характеризовались изменениями в DNS после регистрации, что указывает на стратегию, использующую термины, связанные с ФИФА, для повышения своей легитимности и заманивания неосведомлённых жертв. Это подчёркивает необходимость постоянной бдительности и мониторинга аналогичных тактик среди организаций в ожидании подобных фишинговых схем, особенно во время крупных мероприятий, таких как Чемпионат мира по футболу.

#ParsedReport #CompletenessMedium
11-06-2026

The Anubis Ransomware Attack on the Adriatic Port Authority

https://www.resecurity.com/blog/article/the-anubis-ransomware-attack-on-the-adriatic-port-authority

Report completeness: Medium

Threats:
Anubis
Supply_chain_technique
Eternal_petya
Ryuk
Lockbit
Citrix_bleed2_vuln
Spear-phishing_technique
Smuggling_technique

Victims:
Port authorities, Maritime operators, Critical infrastructure, Supply chains, Adriatic region

Industry:
Iot, Government, Healthcare, Transport, Aerospace, E-commerce, Maritime, Critical_infrastructure, Logistic, Financial

Geo:
Israeli, Spain, Australia, Japan, Canada, Iran, Russian, Portugal, Peru

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1078, T1133, T1190, T1204.002, T1486, T1566.001

Soft:
QEMU, Android, Office 365

Crypto:
bitcoin

Algorithms:
exhibit

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя Anubis на Адриатическую портовую администрацию нарушила работу инфраструктуры, используя уязвимости в критических компонентах, и была инициирована через целевой фишинг, доставивший вредоносное ПО. Злоумышленники использовали повышение привилегий и незакрытые уязвимости для шифрования большого количества файлов и потребовали выкуп в размере 10 миллионов долларов в Bitcoin, угрожая утечкой конфиденциальных данных. Этот инцидент подчеркивает растущий тренд использования программ-вымогателей против портов и сложные методы, применяемые злоумышленниками, включая кражу учетных данных и продвинутую социальную инженерию.
-----

Атака с использованием вымогательского ПО Anubis на Адриатическую портовую администрацию значительно нарушила работу и морскую логистику в регионе, подчеркнув уязвимости критической инфраструктуры. Эта атака, приписываемая сложной группе, известной тем, что она нацеливается на государственные и корпоративные структуры, выделяет растущий тренд вымогательского ПО, специально направленного против портовых администраций. Вымогательское ПО Anubis характеризуется своими возможностями шифровать файлы, эксфильтровать конфиденциальные данные и использовать тактики двойного вымогательства, где угрозы утечки данных усиливают давление на жертв. Атака использует передовые техники, такие как фишинг, кража учетных данных и эксплуатация уязвимостей системы, для получения первоначального доступа.

Проникновение в Порт Adriatic началось с целевого фишингового письма, которое доставило программу-вымогатель в его сеть. Оказавшись внутри, злоумышленники использовали повышение привилегий для перемещения по сети и эксплуатировали не исправленные уязвимости для захвата контроля над критическими системами. Они зашифровали тысячи файлов, сделав недоступными такие важные функции, как отслеживание грузов и таможенное оформление, и потребовали выкуп в размере 10 миллионов долларов США в биткоинах, угрожая раскрыть украденные конфиденциальные данные.

Последствия атаки вышли за рамки непосредственных операционных сбоев, вызвав значительные экономические потери и подорвав репутационное доверие к способности порта защищать свою инфраструктуру. Инцидент продемонстрировал, что критическая инфраструктура, такая как порты, сталкивается со значительными угрозами со стороны групп вымогателей из-за их часто устаревших ИТ-систем и недостаточных мер кибербезопасности. Примечательно, что нацеливание на учетные записи сотрудников, управляющих этими системами, подчеркнуло аспект социальной инженерии в стратегии злоумышленников.

Группа вымогательского ПО Anubis активно продвигает свои операции на форумах киберкриминала и управляет аффилиатной сетью, характеризующейся значительным объемом генерируемой выручки и сложными структурами монетизации. Такой модульный подход к вымогательскому ПО, наряду с акцентом на двойное вымогательство, отражает способность группы адаптироваться в рамках развивающейся экосистемы вымогательского ПО, что соответствует растущим тенденциям в сфере киберкриминала.

Инцидент вызвал масштабные реакции, включая изоляцию затронутых систем, криминалистический анализ и переговоры о выплатах выкупа, хотя и в рамках рекомендаций не выполнять требования, чтобы не стимулировать дальнейшие атаки. Рекомендации по будущему смягчению последствий подчеркивают необходимость надежных практик кибербезопасности, включая внедрение моделей безопасности с нулевым доверием, регулярное обновление программного обеспечения, обучение сотрудников защите от фишинг, улучшение стратегий резервного копирования и сотрудничество с экспертами по кибербезопасности для упреждающего устранения уязвимостей.

#ParsedReport #CompletenessLow
12-06-2026

Akira, LimeWire, and the Sour Taste of Data Exfiltration

https://www.huntress.com/blog/akira-ransomware-limewire-data-exfiltration

Report completeness: Low

Threats:
Akira_ransomware
Limewire_tool
Restic_tool
S5cmd_tool
Megasync_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1048, T1087.002, T1486, T1560.001, T1562.001, T1567

IOCs:
File: 4
Hash: 1

Soft:
LimeWire, Microsoft Defender, WinRAR, Microsoft Edge, Active Directory, WinSCP

Algorithms:
sha256

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
При атаке с использованием программы-вымогателя Akira злоумышленник получил доступ к гипервизору для создания новой виртуальной машины (VM), используя её в качестве промежуточной площадки для обхода средств защиты. Он выполнил перечисление ресурсов Active Directory, архивировал данные с помощью WinRAR и использовал WinSCP для эксфильтрации данных после отключения Microsoft Defender. Атакующий передал зашифрованные файлы через Easyupload.io, что указывает на тенденцию злоумышленников эксплуатировать общедоступные сервисы для облегчения своей злонамеренной деятельности, отражая эволюцию ландшафта киберугроз.
-----

В ходе недавнего инцидента с программой-вымогателем Akira злоумышленник использовал среду жертвы, получив доступ к гипервизору для создания новой виртуальной машины (VM). Эта VM служила промежуточной площадкой для запуска программы-вымогателя Akira, что представляет собой интересный пример того, как атакующие используют виртуализацию для обхода мер безопасности. Согласно криминалистическому анализу, на этой вновь созданной VM отсутствовали какие-либо существующие средства защиты, такие как агент Huntress, что облегчило действия злоумышленника.

Злоумышленник тщательно перечислил пользователей и компьютеры Active Directory, используя Блокнот для просмотра конкретных выходных файлов, включая AdUsers.txt и AdComp.txt. После этого они перешли к файловому серверу организации, применяя широко доступные инструменты, такие как WinRAR, для архивирования содержимого папок. Затем был использован WinSCP, файловый менеджер с открытым исходным кодом, предположительно для эксфильтрации архивированных данных.

Значимым фактом стало то, что злоумышленник отключил Microsoft Defender вскоре после входа в виртуальную машину, что позволило ему запускать вредоносные программы без помех. Он переименовал кроссплатформенную версию исполняемого файла шифровальщика Akira в "akira.exe", прежде чем искать в интернете способ передачи подготовленных данных. Анализ показал, что для этой эксфильтрации данных использовался сервис Easyupload.io — сервис обмена файлами, связанный с историческим приложением LimeWire. Это отражает более широкую тенденцию, при которой злоумышленники используют кажущиеся безобидными сервисы в злонамеренных целях, что согласуется с другими наблюдаемыми методами, такими как использование платформ облачного хранения и утилит резервного копирования.

Переход на новую виртуальную машину не только предоставил злоумышленнику расширенные возможности, но и оставил четкий след его действий, поскольку отсутствие модификаций в виртуальной машине позволило провести прозрачный аудит событий, предшествовавших развертыванию программы-вымогателя. Отсутствие других техник обхода защиты дополнительно подчеркивает уверенность злоумышленника в контроле, который он осуществляет над скомпрометированной средой. Этот инцидент демонстрирует эволюцию тактик, используемых аффилиатами программ-вымогателей, а также сохраняющиеся риски, связанные с виртуализованными средами при отсутствии надлежащих мер безопасности.

#ParsedReport #CompletenessHigh
14-06-2026

Analysis of APT37 NarwhalRAT based on MS Impersonation Phishing and Dead-drop C2

https://www.genians.co.kr/blog/threat_intelligence/narwhalrat

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: information_theft, cyber_espionage)

Threats:
Narwhalrat
Dead_drop_technique
Spear-phishing_technique
Rokrat
Sandbox_evasion_technique
Lolbin_technique

Victims:
South korean users

Geo:
South korean, South korea, Korea, Korean

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 5
Command: 1
File: 16
Path: 1
Url: 2
Hash: 4
IP: 6

Soft:
curl, Windows security, Windows Task Scheduler, VirtualBox, hyperv, macOS, Internet Explorer, task scheduler

Algorithms:
md5, zip, aes, xor, base64, aes-128, sha256

Functions:
chr, inside, RtlMoveMemory, SHGetFolderPathA

Win API:
VirtualAlloc, CreateMutexW, GetLastError, GetFileAttributesA, CreateDirectoryA, SetFileAttributesA, SHGetFolderPathA, SHCreateDirectoryExA, CryptDeriveKey, GetForegroundWindow, have more...

Languages:
powershell, python

Links:
https://github.com/LOLBAS-Project/LOLBAS

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 2, code: 2, dump: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4