#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fox Kitten — иранская хакерская группировка, спонсируемая государством, активная с 2017 года, нацеленная на организации США, Израиля и Ближнего Востока в различных секторах, включая критическую инфраструктуру. Эта группировка эксплуатирует уязвимости в VPN-концентраторах и межсетевых экранах, используя для проникновения в системы недавно раскрытые CVE. Они применяют методы кражи учетных данных, встроенные инструменты Windows, собственное ВПО и продвинутые стратегии перемещения внутри компании для поддержания постоянного доступа и проведения шпионажа, действуя под псевдонимами Pioneer Kitten и UNC757.
-----

Fox Kitten — иранская хакерская группировка, спонсируемая государством, известная своими гибридными операциями, соответствующими целям иранской разведки. Активна как минимум с 2017 года, она нацелена на организации в различных секторах, включая критическую инфраструктуру, технологии, здравоохранение и государственные структуры, преимущественно в США, Израиле и на Ближнем Востоке. Группа действует под несколькими псевдонимами, включая Pioneer Kitten и UNC757, и использует ник в подпольном форуме Br0k3r, который к 2024 году эволюционировал в xplfinder. ФБР подтвердило, что Fox Kitten помогает в операциях вымогателей, предоставляя первоначальный доступ и учетные данные в обмен на часть доходов от выкупа.

Тактика Fox Kitten строится на эксплуатации уязвимостей в устройствах периметра, доступных из интернета, в частности в VPN-концентраторах и межсетевых экранах. Они быстро превращают в оружие недавно раскрытые CVE, такие как CVE-2024-3400 и CVE-2023-3519, для проникновения в системы. После получения доступа они применяют широкий спектр техник для выполнения задач, закрепления и перемещения внутри компании, используя нативные инструменты Windows наряду с собственным ВПО. Группа сильно полагается на кражу учетных данных, часто применяя такие инструменты, как prodump, и скриптовое взаимодействие для сбора учетных данных из различных источников, включая LSASS и Active Directory.

Для закрепления Fox Kitten использует такие методы, как веб-оболочки и запланированные задачи, маскирующиеся под легитимные системные процессы, дополненные инструментами, такими как HanifNet и NeoExpressRAT, для обеспечения долгосрочного доступа. Их инфраструктура управления использует техники туннелирования с инструментами, такими как ngrok и FRPC, чтобы скрыть сетевой трафик, а также облачные сервисы, такие как AWS, для скрытого размещения своих C2-окружений.

Операционный почерк Fox Kitten также включает методичные техники перемещения внутри компании, эксплуатирующие RDP, SMB-шары и VNC-соединения. Наблюдались случаи использования ими продвинутых методов разведки для тщательного исследования внутренних сетей, что способствует эксфильтрации данных из различных источников, включая архивы электронной почты и внутренние документы.

В рамках значимых операций, таких как многолетняя кампания, направленная на критическую инфраструктуру на Ближнем Востоке с мая 2023 года по февраль 2025 года, Fox Kitten установили постоянный доступ, эксплуатируя уязвимости, и сохранили сочетание разведывательных и оперативных возможностей. Кроме того, во время кампании с использованием программ-вымогателей против израильских организаций в 2020 году они использовали креативные каналы связи для переговоров о выкупе, отдав предпочтение таким платформам, как KeyBase и Twitter.

Для снижения рисков, связанных с Fox Kitten, организациям следует приоритизировать установку исправлений для незащищенных устройств, доступных через интернет, мониторинг несанкционированных инструментов туннелирования, защиту хранимых учетных данных и обеспечение многофакторной аутентификации (MFA) на всех точках доступа. Регулярные аудиты механизмов постоянного доступа и аномальных шаблонов перемещения внутри компании необходимы для защиты от этого сложного злоумышленника, который использует уязвимости систем и слабые средства защиты.

#ParsedReport #CompletenessMedium
14-06-2026

New Data Extortion Group “Pink” Goes Big Game Hunting With Evasive Phishing Kits

https://socradar.io/blog/pink-data-extortion-group-phishing-kits/

Report completeness: Medium

Actors/Campaigns:
Pink (motivation: cyber_criminal, financially_motivated)
Cordial_spider (motivation: cyber_criminal, financially_motivated)
Luna_moth
Shinyhunters
0ktapus

Threats:
Qtox_tool
Credential_harvesting_technique
Aitm_technique
Spear-phishing_technique

Victims:
Healthcare, Technology, Financial services, Biotechnology, United states corporations, Europe, Asia

Industry:
Aerospace, Foodtech, Retail, Entertainment, Healthcare, Financial, Energy, Logistic, Transport

Geo:
America, United states, American, Japan, Ireland, Asia

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 8
Domain: 35

Soft:
Okta, Microsoft Entra, Discord, Telegram, virtualbox, Chrome, HubSpot

Functions:
WebAuthn, hostKey, hb, cr, poll, hide, show

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 8, windows: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Pink Data Extortion использует передовые техники фишинга и голосового фишинга, нацеленные на высокоценные организации, делая упор на эксфильтрацию данных, а не на шифрование. Их сложные фишинговые наборы для Okta и Microsoft Entra ID проводят обширные проверки окружения для уклонения от обнаружения, эффективно собирая учетные данные, включая обход многофакторной аутентификации (MFA) через социальную инженерию. Преимущественно активная в таких секторах, как здравоохранение и финансы в США, Pink адаптирует свои операции для максимального воздействия и скрытности благодаря надежной инфраструктуре и имитации брендинга.
-----

Группа Pink Data Extortion Group стала значимым игроком на ландшафте киберугроз, используя передовые тактики фишинга и голосового фишинга (vishing) для нацеливания на высокоценные организации. В отличие от традиционных операций с вымогательством, Pink применяет подход, основанный на учетных данных, сфокусированный на эксфильтрации данных, а не на шифровании. Группа, по-видимому, является ребрендингом существующих злоумышленников, связанных с сетью Com, делая акцент на скрытных операциях для максимизации воздействия.

Pink использует сложные фишинговые наборы, разработанные специально для сред Okta и Microsoft Entra ID. Эти наборы обладают многослойной методологией атаки, которая начинается с тщательной проверки окружения для уклонения от обнаружения исследователями безопасности. Они используют управляемые бэкендом фильтры, чтобы гарантировать, что только легитимные цели могут продолжить, в то время как автоматические сканеры немедленно блокируются. Это позволяет Pink бесшовно собирать учетные данные через адаптированный динамический пользовательский интерфейс, имитирующий реальные страницы аутентификации.

В частности, фишинговые наборы спроектированы для обхода многофакторной аутентификации (MFA) с помощью тактик социальной инженерии. Например, наборы направляют жертв на ввод кодов MFA или информации о passkey, которые они воспринимают как подлинные запросы. Первый набор, нацеленный на Microsoft Entra ID, включает функциональность, позволяющую злоумышленникам динамически манипулировать процессом передачи учетных данных, используя подключения в реальном времени для адаптации к действиям жертв. Аналогичные техники обнаружены в их наборе, специфичном для Okta, который обеспечивает бесшовный процесс сбора данных, одновременно применяя скрытые методы коммуникации для эксфильтрации.

Их операционный фокус указывает на сильную предпочтительность для таких отраслей, как здравоохранение, технологии и финансовые услуги, преимущественно в Соединенных Штатах, с целью реализации стратегии, называемой «Охота на крупных китов». Этот выбор целей соответствует потенциально высокой прибыльности организации, учитывая чувствительный характер данных, обрабатываемых этими секторами. Инфраструктура, лежащая в основе операций Pink, также демонстрирует высокую зависимость от надежных услуг хостинга и тактик регистрации доменов, включая регистрацию поддоменов, которые зеркально отражают брендинг их жертв.

#ParsedReport #CompletenessMedium
14-06-2026

The Rise of Pony Malware and What it Means for Organizations

https://cyberint.com/blog/dark-web/the-rise-of-pony-malware-and-what-it-means-for-organizations/

Report completeness: Medium

Threats:
Siplog
Ponystealer
Spear-phishing_technique

Geo:
America

TTPs:
Tactics: 7
Technics: 14

IOCs:
Hash: 15
IP: 1

Soft:
Microsoft Word

Algorithms:
sha1, md5, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО Pony, также известное как Fareit или Siplog, — это стиллер информации, активный с 2011 года, который в первую очередь нацелен на пользователей в Европе и Северной Америке. Предназначенный для извлечения учетных данных из различных источников, он позволяет устанавливать другое ВПО и использует уникальный метод работы, который позволяет злоумышленникам настраивать свои собственные серверы управления. Усовершенствованные методы противодействия обнаружению и распространение через спам по электронной почте или эксплойт-киты делают Pony значительной угрозой в киберпространстве, эффективно превращая зараженные системы в ботнеты для кражи информации.
-----

ВПО Pony, также известное как Fareit или Siplog, представляет собой стиллер и загрузчик, активное с 2011 года, в основном нацеленное на пользователей в Европе и Северной Америке. Его основная функция заключается в сборе данных с скомпрометированных систем и обеспечении установки другого вредоносного программного обеспечения. ВПО получило несколько обновлений, последняя версия — 2.2; однако основные функциональные возможности не изменились значительно с момента его обнаружения. Примечательно, что Pony способно извлекать учетные данные из различных источников, включая криптокошельки, FTP-клиенты и данные автозаполнения браузера.

В отличие от традиционных ботнетов, которые зависят от централизованных серверов управления (C&C), Pony работает иначе. Злоумышленники могут развернуть собственные серверы управления или использовать те, что ранее были настроены другими хакерами, тем самым получая немедленный доступ к инфраструктуре для отправки украденных данных. Pony состоит из двух ключевых компонентов: билдера, используемого для создания кастомных клиентских версий, и бота, который служит полезной нагрузкой, отвечающей за фактическое похищение информации.

Сам бот в основном написан на языке ассемблера и использует уникальный метод декодирования, при котором отсутствие встроенного алгоритма заставляет его применять базовые функции для отправки зашифрованных данных на сервер управления для расшифровки. Хотя функциональность оставалась относительно стабильной, новые версии внедрили улучшенные меры противодействия обнаружению, включая различные техники упаковки для обхода антивирусного обнаружения.

Распространение ВПО Pony осуществляется через несколько векторов, таких как кампании спам-рассылок, эксплойт-киты и DNS-подмена, часто маскируясь под легитимное программное обеспечение. Вредоносные электронные письма могут содержать архивы Microsoft Word или файлы JavaScript, которые при открытии приводят к выполнению ВПО. Кроме того, компрометируя DNS-сервер, злоумышленники могут перенаправлять цели на вредоносные сайты, с которых загружается Pony.

По воздействию Pony зарекомендовала себя как один из самых массовых похитителей информации, особенно эффективный при нацеливании на пользователей в Европе и Северной Америке. Её архитектура позволяет скрытно избегать обнаружения с помощью многоуровневых полезной нагрузки. Исследователи отмечают её способность расшифровывать или разблокировать пароли в более чем 110 различных приложениях, включая различные платформы обмена сообщениями, веб-браузеры и сервисы, такие как VPN и FTP-клиенты. После проникновения в систему Pony эффективно превращает её в ботнет для дальнейшей распространения. Таким образом, ВПО представляет значительную угрозу из-за своей широкой доступности и обширного функционала по эксфильтрации конфиденциальной информации.

#ParsedReport #CompletenessMedium
14-06-2026

Dark Web Profile: Rock

https://socradar.io/blog/dark-web-profile-rock/

Report completeness: Medium

Actors/Campaigns:
The_quarry
Rockybelling

Threats:
Screenconnect_tool
Adspect_tool
Tiflux_tool
Centrastage_tool
Fleetdeck_tool
Uac_bypass_technique
Cloaking_technique
Credential_harvesting_technique
Evilginx_tool
Violet_rat
Spear-phishing_technique

Victims:
United states, Saas and development, Healthcare and medtech, Media and entertainment, Fintech and finance, E commerce and retail, Education, Real estate, Travel

Industry:
Government, Entertainment, Financial, Retail, Education, Healthcare, E-commerce

Geo:
Egypt, Germany, Canada, Japan, Brazil

TTPs:
Tactics: 12
Technics: 17

IOCs:
File: 4

Soft:
Telegram, Dropbox, Gmail, Chrome

Algorithms:
rsa-4096, aes, base64

Languages:
php, javascript, powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rock — индивидуальный киберпреступник, продающий фишинговый и удалённый доступный набор инструментов под названием The Quarry по модели ВПО как услуга, преимущественно используя фишинговые приманки на тему налогов для имперсонации правительственных агентств США. Его набор инструментов включает развертывание легитимных инструментов удалённого мониторинга и управления, включая ScreenConnect, вместе с продвинутыми каплями на базе Visual Basic Script и настраиваемыми фишинговыми комплектами, использующими технологию маскировки. В основном нацелен на жертв в США в различных секторах, операции Rock включают аффилированных лиц, которые проводят фишинговые кампании, эксплуатируя скомпрометированные учетные данные для установки RMM-загрузчиков, что способствует краже данных и перемещению внутри компании в организациях.
-----

Rock управляет фишинговой кампанией и набором инструментов для удаленного доступа под названием The Quarry, работая по модели Malware-as-a-Service (MaaS) и Phishing-as-a-Service (PhaaS). Операция активна как минимум с апреля 2025 года, используя фишинговые приманки на тему налогов, имитирующие государственные агентства США. Основными инструментами для развертывания полезной нагрузки являются легитимные инструменты удаленного мониторинга и управления (RMM), в частности ScreenConnect. Более 90% зафиксированных жертв базируются в США, при этом атакуются платформы SSA, IRS, Adobe, Dropbox и DocuSign.

Rock, также известный как RockyBelling или Rockky, продвигает свои услуги в Телеграм и продает доступ к своему инструментарию аффилиатам для их собственных фишинговых кампаний, что позволяет вносить значительные изменения, усложняющие атрибуцию. Инструментарий включает компоненты для всего жизненного цикла атаки, используя самохостинговый RMM и продвинутые капкалы на Visual Basic Script (VBS) для улучшения доставки и уклонения от обнаружения.

Фишинговые наборы (kits) содержат модульные страницы-приманки с интегрированными механизмами маскировки для фильтрации нетаргетного трафика и используют технологию Adspect. Такие инструменты, как Rocky Gmail Sender и Rock VPS Mailer, предназначены для массовых операций по рассылке писем и оснащены функциями антиобнаружения и рандомизации тем.

Аффилиаты собирают адреса эл. почты и рассылают фишинговые письма, маскируя вредоносную активность ссылками на легальное аппаратное обеспечение и программное обеспечение. Жертв вводят в заблуждение, заставляя скачивать программное обеспечение для налоговых целей, что приводит к установке RMM-загрузчиков, собирающих конфиденциальные данные и облегчающих перемещение внутри компании в организациях.

Профили жертв в основном сосредоточены в США, где атакуются сотрудники секторов SaaS, здравоохранения и финансов. Операция Rock включает проактивную разведку для выявления раскрытых учетных данных и подчеркивает изменяющийся ландшафт угроз, что требует бдительных мер кибербезопасности. Появление новых доменов, связанных с операциями Rock, подчеркивает необходимость постоянного мониторинга.

#ParsedReport #CompletenessMedium
14-06-2026

Supply chain ransomware: TeamPCP weaponizes worms to fuel partnerships and $95K data sales

https://flare.io/learn/resources/blog/supply-chain-ransomware-teampcp-weaponizes-worms-to-fuel-partnerships-and-95k-da

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Lapsus (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud
Pcpjack_tool
Hackerbot-claw_tool
Miasma
Trufflehog_tool

Victims:
Software development, Open source ecosystems, Developer toolchains, Cybersecurity tools, Government, Saas, Artificial intelligence developer tools, Medical software

Industry:
Petroleum, Healthcare

Geo:
Russian, Chinese

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 3

Soft:
Trivy, LiteLLM, Mastodon, LimeWire, Claude, Outlook, Docker, Kubernetes, Redis, OpenVSX, have more...

Functions:
CreateEvent, DeleteEvent

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP зарекомендовала себя как заметный злоумышленник, занимающийся атаками с использованием программ-вымогателей в Цепочке поставок, эксплуатируя неправильные настройки GitHub Actions для перехвата учетных данных разработчиков и распространения червя Shai-Hulud, заразившего более 170 пакетов в npm и PyPI. Эта автоматизированная кампания развивалась через несколько волн, используя украденные персональные токены доступа для нанесения масштабного ущерба, а также формируя партнерства с группами программ-вымогателей для монетизации своего несанкционированного доступа. Открытие исходного кода Shai-Hulud привело к росту кампаний-подражателей, что свидетельствует об усложнении ландшафта угроз.
-----

TeamPCP выделилась как заметный актор в ландшафте киберугроз, специализируясь на атаках с использованием программ-вымогателей через Цепочку поставок посредством серии автоматизированных кампаний, начавшихся в сентябре 2025 года. Группа эксплуатирует неправильные конфигурации в GitHub Actions для перехвата учетных данных разработчиков и распространения червя под названием Shai-Hulud, который способствует быстрому заражению множества пакетов программного обеспечения. Этот метод эффективно превращает скомпрометированные токены в точки массового доступа, позволяя злоумышленнику отравлять более 170 пакетов на npm и PyPI, а также проникать в репозитории GitHub, содержащие конфиденциальные данные.

Червь Shai-Hulud успешно проник в тысячи пакетов в течение трех волн, каждая из которых была более масштабной, чем предыдущая. Изначально заражение произошло через отравленный пакет от легитимного поставщика программного обеспечения. Последующие волны адаптировались к мерам защиты, внедренным после первоначальных атак. Эксплуатация определенного рабочего процесса GitHub Actions позволила извлечь персональные токены доступа, что в дальнейшем обеспечило автоматическое распространение вредоносных пакетов и позволило избежать протоколов обнаружения. Этот сложный подход демонстрирует сдвиг в динамике угроз, при котором один скомпрометированный аккаунт может привести к масштабным разрушениям в нескольких средах.

Операционная модель TeamPCP предусматривает партнерство с группами вымогателей, такими как Vect и LAPSUS$, превращая похищенный доступ в прибыльные каналы продажи данных и шантажа. Их подход эффективно объединяет роли брокера первоначального доступа и оператора вымогательского ПО, направленный на монетизацию доступа через массовую операцию, встроенную в форумы даркнета. Однако, несмотря на амбициозную структуру, имеются признаки операционных недостатков, при этом сообщения указывают на нехватку подтвержденных данных жертв, связанных с их сервисом вымогательского ПО.

Открытие исходного кода червя Shai-Hulud спровоцировало всплеск кампаний-подражателей, что указывает на потенциальную возможность более широкого круга субъектов участвовать в аналогичных атаках на Цепочку поставок. Примечательно, что уже выявляются такие варианты, как Miasma, способные использовать те же базовые технологии, одновременно расширяя свой контроль за счет латерального перемещения в различных облачных средах.

Для снижения рисков, связанных с такими атаками, эксперты по безопасности рекомендуют проводить аудит рабочих процессов GitHub Actions на наличие потенциальных уязвимостей, переносить процессы публикации пакетов на более безопасные методологии и применять более строгие меры контроля в средах разработки. Постоянная динамика в ландшафте угроз, характеризующаяся быстрой адаптацией к средствам защиты и растущей конкуренцией среди злоумышленников, подчеркивает стойкую проблему обеспечения защиты цепочек поставок программного обеспечения от сложных операций программ-вымогателей, таких как те, которые применяются TeamPCP.

#ParsedReport #CompletenessHigh
17-06-2026

140+ Mastra npm Packages Compromised in Coordinated Supply Chain Attack

https://socket.dev/blog/mastra-npm-packages-compromised

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique

Industry:
Transport

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 15
Email: 1
Url: 2
IP: 3
Registry: 1
Path: 1
Domain: 2
Hash: 5

Soft:
Mastra, macOS, Linux, Node.js, systemd, Chrome, Linux systemd

Wallets:
metamask, coinbase, tronlink

Crypto:
binance

Algorithms:
sha256

Win API:
lockfile

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessMedium
16-06-2026

What Is the BabaDeda Loader? Analysis of a New ClickFix Malware Campaign

https://www.morphisec.com/blog/what-is-the-babadeda-loader-analysis-of-a-new-clickfix-malware-campaign/

Report completeness: Medium

Threats:
Babadeda
Clickfix_technique
Dll_sideloading_technique
Donut
Pe2shc
Danabot
Sectop_rat

Victims:
Education, Financial

Industry:
Education

Geo:
Russian, Belarusian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1059.001, T1105, T1106, T1140, T1204.004, T1518.001, have more...

IOCs:
File: 3

Algorithms:
xor

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик BabaDeda эволюционировал в плане скрытности и доставки полезной нагрузки, используя методы социальной инженерии, такие как ClickFix, чтобы побудить жертв выполнять команды через доверенные утилиты. Этот многоэтапный загрузчик применяет тактики, такие как скрытые команды PowerShell, шеллкод в памяти и подгрузка DLL, что усложняет усилия по обнаружению. Активные кампании доставляют .NET бэкдор и информационный стиллер через безобидные файлы, скрытые от традиционных методов обнаружения, тем самым подчеркивая адаптивную природу и техники уклонения фреймворка.
-----

Семейство загрузчиков BabaDeda претерпело значительные улучшения в своих возможностях, особенно в области скрытности, обхода обнаружения и гибкости полезной нагрузки. Обнаруженное в апреле 2026 года, этот эволюционировавший фреймворк продолжает скрывать вредоносные полез

Исследователи Morphisec установили прямую связь между вредоносной активностью и инфраструктурой BabaDeda с помощью анализа генома кода. Загрузчик содержит отличительные идентификаторы внутри своего кода, такие как внутренний рабочий процесс обработчика задач, помеченный BABADEDA, и константа 0xBABADEDA, что подтверждает его операционный статус в активных кампаниях, а не теоретический фреймворк в контролируемой среде.

Цепочка атаки функционирует через модульные компоненты, отвечающие за доставку, выполнение и развертывание полезной нагрузки, где каждая часть сама по себе выглядит безобидно. Истинная полезная нагрузка, например, хранится в безобидных файлах, таких как List.Control.dat, тем самым скрывая свое присутствие от стандартных средств видимости. Используя такие техники, как отражательная загрузка и загрузка шеллкода, заражение не оставляет значительных следов на диске, тем самым усложняя усилия по обнаружению. Процесс начинается, когда жертвы посещают вредоносный веб-сайт и получают предложение выполнить команду PowerShell под видом проверки. Затем команда вызывает скрипт, который выполняется в памяти, обходя типичные механизмы обнаружения, и устанавливает дальнейшие действия.

После первоначального заражения загрузчик проверяет географическое местоположение жертвы и завершает работу на системах из России или Беларуси. Затем он загружает последующие компоненты через незашифрованный HTTP и внедряет их в доверенные процессы, такие как svchost.exe. Среди доставляемых компонентов — .NET бэкдор и стиллер информации, способный профилировать хост, устанавливать зашифрованный канал связи с сервером управления и собирать конфиденциальные данные, такие как куки браузера и сохраненные учетные данные. Другой путь атаки доставляет пакет, имитирующий легитимное программное обеспечение, содержащий файлы, которые в конечном итоге подгружают вредоносную DLL. Эта DLL извлекает и декодирует реальный компонент из внешнего хранилища, выполняя его в памяти с помощью легитимных функций обратного вызова Windows.

Структура данной атаки делает традиционные методы обнаружения неэффективными. Поскольку вредоносный код хранится внутри легитимных файлов и выполняется только в памяти, сканирование на основе сигнатур часто не позволяет выявить угрозы. Кроме того, обманный характер операции включает различные проверки для уклонения от анализа, что делает противостояние со стороны средств защиты, ориентированных на обнаружение, маловероятным.

Для противодействия таким адаптивным угрозам становится необходимым подход к безопасности, ориентированный на предотвращение. Morphisec подчеркивает необходимость блокировки выполнения ВПО до того, как оно произойдет, используя техники, которые скрывают среду выполнения памяти для предотвращения успешного развертывания уклоняющихся полезной нагрузки. Таким образом, обеспечение более раннего вмешательства является первостепенной задачей, поскольку ожидание обнаружения позволяет ВПО закрепиться в системе.

#ParsedReport #CompletenessLow
15-06-2026

Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software

https://www.malwarebytes.com/blog/threat-intel/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software

Report completeness: Low

Threats:
Etherrat
Msi_loader

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027.014, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1140, T1204.001, T1518, T1566.001, have more...

IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1

Soft:
Node.js, curl

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
xor

Languages:
php, javascript, jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4