#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ВПО Pony, также известное как Fareit или Siplog, — это стиллер информации, активный с 2011 года, который в первую очередь нацелен на пользователей в Европе и Северной Америке. Предназначенный для извлечения учетных данных из различных источников, он позволяет устанавливать другое ВПО и использует уникальный метод работы, который позволяет злоумышленникам настраивать свои собственные серверы управления. Усовершенствованные методы противодействия обнаружению и распространение через спам по электронной почте или эксплойт-киты делают Pony значительной угрозой в киберпространстве, эффективно превращая зараженные системы в ботнеты для кражи информации.
-----

ВПО Pony, также известное как Fareit или Siplog, представляет собой стиллер и загрузчик, активное с 2011 года, в основном нацеленное на пользователей в Европе и Северной Америке. Его основная функция заключается в сборе данных с скомпрометированных систем и обеспечении установки другого вредоносного программного обеспечения. ВПО получило несколько обновлений, последняя версия — 2.2; однако основные функциональные возможности не изменились значительно с момента его обнаружения. Примечательно, что Pony способно извлекать учетные данные из различных источников, включая криптокошельки, FTP-клиенты и данные автозаполнения браузера.

В отличие от традиционных ботнетов, которые зависят от централизованных серверов управления (C&C), Pony работает иначе. Злоумышленники могут развернуть собственные серверы управления или использовать те, что ранее были настроены другими хакерами, тем самым получая немедленный доступ к инфраструктуре для отправки украденных данных. Pony состоит из двух ключевых компонентов: билдера, используемого для создания кастомных клиентских версий, и бота, который служит полезной нагрузкой, отвечающей за фактическое похищение информации.

Сам бот в основном написан на языке ассемблера и использует уникальный метод декодирования, при котором отсутствие встроенного алгоритма заставляет его применять базовые функции для отправки зашифрованных данных на сервер управления для расшифровки. Хотя функциональность оставалась относительно стабильной, новые версии внедрили улучшенные меры противодействия обнаружению, включая различные техники упаковки для обхода антивирусного обнаружения.

Распространение ВПО Pony осуществляется через несколько векторов, таких как кампании спам-рассылок, эксплойт-киты и DNS-подмена, часто маскируясь под легитимное программное обеспечение. Вредоносные электронные письма могут содержать архивы Microsoft Word или файлы JavaScript, которые при открытии приводят к выполнению ВПО. Кроме того, компрометируя DNS-сервер, злоумышленники могут перенаправлять цели на вредоносные сайты, с которых загружается Pony.

По воздействию Pony зарекомендовала себя как один из самых массовых похитителей информации, особенно эффективный при нацеливании на пользователей в Европе и Северной Америке. Её архитектура позволяет скрытно избегать обнаружения с помощью многоуровневых полезной нагрузки. Исследователи отмечают её способность расшифровывать или разблокировать пароли в более чем 110 различных приложениях, включая различные платформы обмена сообщениями, веб-браузеры и сервисы, такие как VPN и FTP-клиенты. После проникновения в систему Pony эффективно превращает её в ботнет для дальнейшей распространения. Таким образом, ВПО представляет значительную угрозу из-за своей широкой доступности и обширного функционала по эксфильтрации конфиденциальной информации.

#ParsedReport #CompletenessMedium
14-06-2026

Dark Web Profile: Rock

https://socradar.io/blog/dark-web-profile-rock/

Report completeness: Medium

Actors/Campaigns:
The_quarry
Rockybelling

Threats:
Screenconnect_tool
Adspect_tool
Tiflux_tool
Centrastage_tool
Fleetdeck_tool
Uac_bypass_technique
Cloaking_technique
Credential_harvesting_technique
Evilginx_tool
Violet_rat
Spear-phishing_technique

Victims:
United states, Saas and development, Healthcare and medtech, Media and entertainment, Fintech and finance, E commerce and retail, Education, Real estate, Travel

Industry:
Government, Entertainment, Financial, Retail, Education, Healthcare, E-commerce

Geo:
Egypt, Germany, Canada, Japan, Brazil

TTPs:
Tactics: 12
Technics: 17

IOCs:
File: 4

Soft:
Telegram, Dropbox, Gmail, Chrome

Algorithms:
rsa-4096, aes, base64

Languages:
php, javascript, powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rock — индивидуальный киберпреступник, продающий фишинговый и удалённый доступный набор инструментов под названием The Quarry по модели ВПО как услуга, преимущественно используя фишинговые приманки на тему налогов для имперсонации правительственных агентств США. Его набор инструментов включает развертывание легитимных инструментов удалённого мониторинга и управления, включая ScreenConnect, вместе с продвинутыми каплями на базе Visual Basic Script и настраиваемыми фишинговыми комплектами, использующими технологию маскировки. В основном нацелен на жертв в США в различных секторах, операции Rock включают аффилированных лиц, которые проводят фишинговые кампании, эксплуатируя скомпрометированные учетные данные для установки RMM-загрузчиков, что способствует краже данных и перемещению внутри компании в организациях.
-----

Rock управляет фишинговой кампанией и набором инструментов для удаленного доступа под названием The Quarry, работая по модели Malware-as-a-Service (MaaS) и Phishing-as-a-Service (PhaaS). Операция активна как минимум с апреля 2025 года, используя фишинговые приманки на тему налогов, имитирующие государственные агентства США. Основными инструментами для развертывания полезной нагрузки являются легитимные инструменты удаленного мониторинга и управления (RMM), в частности ScreenConnect. Более 90% зафиксированных жертв базируются в США, при этом атакуются платформы SSA, IRS, Adobe, Dropbox и DocuSign.

Rock, также известный как RockyBelling или Rockky, продвигает свои услуги в Телеграм и продает доступ к своему инструментарию аффилиатам для их собственных фишинговых кампаний, что позволяет вносить значительные изменения, усложняющие атрибуцию. Инструментарий включает компоненты для всего жизненного цикла атаки, используя самохостинговый RMM и продвинутые капкалы на Visual Basic Script (VBS) для улучшения доставки и уклонения от обнаружения.

Фишинговые наборы (kits) содержат модульные страницы-приманки с интегрированными механизмами маскировки для фильтрации нетаргетного трафика и используют технологию Adspect. Такие инструменты, как Rocky Gmail Sender и Rock VPS Mailer, предназначены для массовых операций по рассылке писем и оснащены функциями антиобнаружения и рандомизации тем.

Аффилиаты собирают адреса эл. почты и рассылают фишинговые письма, маскируя вредоносную активность ссылками на легальное аппаратное обеспечение и программное обеспечение. Жертв вводят в заблуждение, заставляя скачивать программное обеспечение для налоговых целей, что приводит к установке RMM-загрузчиков, собирающих конфиденциальные данные и облегчающих перемещение внутри компании в организациях.

Профили жертв в основном сосредоточены в США, где атакуются сотрудники секторов SaaS, здравоохранения и финансов. Операция Rock включает проактивную разведку для выявления раскрытых учетных данных и подчеркивает изменяющийся ландшафт угроз, что требует бдительных мер кибербезопасности. Появление новых доменов, связанных с операциями Rock, подчеркивает необходимость постоянного мониторинга.

#ParsedReport #CompletenessMedium
14-06-2026

Supply chain ransomware: TeamPCP weaponizes worms to fuel partnerships and $95K data sales

https://flare.io/learn/resources/blog/supply-chain-ransomware-teampcp-weaponizes-worms-to-fuel-partnerships-and-95k-da

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Lapsus (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Mini_shai-hulud

Threats:
Supply_chain_technique
Shai-hulud
Pcpjack_tool
Hackerbot-claw_tool
Miasma
Trufflehog_tool

Victims:
Software development, Open source ecosystems, Developer toolchains, Cybersecurity tools, Government, Saas, Artificial intelligence developer tools, Medical software

Industry:
Petroleum, Healthcare

Geo:
Russian, Chinese

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 3

Soft:
Trivy, LiteLLM, Mastodon, LimeWire, Claude, Outlook, Docker, Kubernetes, Redis, OpenVSX, have more...

Functions:
CreateEvent, DeleteEvent

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP зарекомендовала себя как заметный злоумышленник, занимающийся атаками с использованием программ-вымогателей в Цепочке поставок, эксплуатируя неправильные настройки GitHub Actions для перехвата учетных данных разработчиков и распространения червя Shai-Hulud, заразившего более 170 пакетов в npm и PyPI. Эта автоматизированная кампания развивалась через несколько волн, используя украденные персональные токены доступа для нанесения масштабного ущерба, а также формируя партнерства с группами программ-вымогателей для монетизации своего несанкционированного доступа. Открытие исходного кода Shai-Hulud привело к росту кампаний-подражателей, что свидетельствует об усложнении ландшафта угроз.
-----

TeamPCP выделилась как заметный актор в ландшафте киберугроз, специализируясь на атаках с использованием программ-вымогателей через Цепочку поставок посредством серии автоматизированных кампаний, начавшихся в сентябре 2025 года. Группа эксплуатирует неправильные конфигурации в GitHub Actions для перехвата учетных данных разработчиков и распространения червя под названием Shai-Hulud, который способствует быстрому заражению множества пакетов программного обеспечения. Этот метод эффективно превращает скомпрометированные токены в точки массового доступа, позволяя злоумышленнику отравлять более 170 пакетов на npm и PyPI, а также проникать в репозитории GitHub, содержащие конфиденциальные данные.

Червь Shai-Hulud успешно проник в тысячи пакетов в течение трех волн, каждая из которых была более масштабной, чем предыдущая. Изначально заражение произошло через отравленный пакет от легитимного поставщика программного обеспечения. Последующие волны адаптировались к мерам защиты, внедренным после первоначальных атак. Эксплуатация определенного рабочего процесса GitHub Actions позволила извлечь персональные токены доступа, что в дальнейшем обеспечило автоматическое распространение вредоносных пакетов и позволило избежать протоколов обнаружения. Этот сложный подход демонстрирует сдвиг в динамике угроз, при котором один скомпрометированный аккаунт может привести к масштабным разрушениям в нескольких средах.

Операционная модель TeamPCP предусматривает партнерство с группами вымогателей, такими как Vect и LAPSUS$, превращая похищенный доступ в прибыльные каналы продажи данных и шантажа. Их подход эффективно объединяет роли брокера первоначального доступа и оператора вымогательского ПО, направленный на монетизацию доступа через массовую операцию, встроенную в форумы даркнета. Однако, несмотря на амбициозную структуру, имеются признаки операционных недостатков, при этом сообщения указывают на нехватку подтвержденных данных жертв, связанных с их сервисом вымогательского ПО.

Открытие исходного кода червя Shai-Hulud спровоцировало всплеск кампаний-подражателей, что указывает на потенциальную возможность более широкого круга субъектов участвовать в аналогичных атаках на Цепочку поставок. Примечательно, что уже выявляются такие варианты, как Miasma, способные использовать те же базовые технологии, одновременно расширяя свой контроль за счет латерального перемещения в различных облачных средах.

Для снижения рисков, связанных с такими атаками, эксперты по безопасности рекомендуют проводить аудит рабочих процессов GitHub Actions на наличие потенциальных уязвимостей, переносить процессы публикации пакетов на более безопасные методологии и применять более строгие меры контроля в средах разработки. Постоянная динамика в ландшафте угроз, характеризующаяся быстрой адаптацией к средствам защиты и растущей конкуренцией среди злоумышленников, подчеркивает стойкую проблему обеспечения защиты цепочек поставок программного обеспечения от сложных операций программ-вымогателей, таких как те, которые применяются TeamPCP.

#ParsedReport #CompletenessHigh
17-06-2026

140+ Mastra npm Packages Compromised in Coordinated Supply Chain Attack

https://socket.dev/blog/mastra-npm-packages-compromised

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique

Industry:
Transport

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 15
Email: 1
Url: 2
IP: 3
Registry: 1
Path: 1
Domain: 2
Hash: 5

Soft:
Mastra, macOS, Linux, Node.js, systemd, Chrome, Linux systemd

Wallets:
metamask, coinbase, tronlink

Crypto:
binance

Algorithms:
sha256

Win API:
lockfile

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessMedium
16-06-2026

What Is the BabaDeda Loader? Analysis of a New ClickFix Malware Campaign

https://www.morphisec.com/blog/what-is-the-babadeda-loader-analysis-of-a-new-clickfix-malware-campaign/

Report completeness: Medium

Threats:
Babadeda
Clickfix_technique
Dll_sideloading_technique
Donut
Pe2shc
Danabot
Sectop_rat

Victims:
Education, Financial

Industry:
Education

Geo:
Russian, Belarusian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1059.001, T1105, T1106, T1140, T1204.004, T1518.001, have more...

IOCs:
File: 3

Algorithms:
xor

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик BabaDeda эволюционировал в плане скрытности и доставки полезной нагрузки, используя методы социальной инженерии, такие как ClickFix, чтобы побудить жертв выполнять команды через доверенные утилиты. Этот многоэтапный загрузчик применяет тактики, такие как скрытые команды PowerShell, шеллкод в памяти и подгрузка DLL, что усложняет усилия по обнаружению. Активные кампании доставляют .NET бэкдор и информационный стиллер через безобидные файлы, скрытые от традиционных методов обнаружения, тем самым подчеркивая адаптивную природу и техники уклонения фреймворка.
-----

Семейство загрузчиков BabaDeda претерпело значительные улучшения в своих возможностях, особенно в области скрытности, обхода обнаружения и гибкости полезной нагрузки. Обнаруженное в апреле 2026 года, этот эволюционировавший фреймворк продолжает скрывать вредоносные полез

Исследователи Morphisec установили прямую связь между вредоносной активностью и инфраструктурой BabaDeda с помощью анализа генома кода. Загрузчик содержит отличительные идентификаторы внутри своего кода, такие как внутренний рабочий процесс обработчика задач, помеченный BABADEDA, и константа 0xBABADEDA, что подтверждает его операционный статус в активных кампаниях, а не теоретический фреймворк в контролируемой среде.

Цепочка атаки функционирует через модульные компоненты, отвечающие за доставку, выполнение и развертывание полезной нагрузки, где каждая часть сама по себе выглядит безобидно. Истинная полезная нагрузка, например, хранится в безобидных файлах, таких как List.Control.dat, тем самым скрывая свое присутствие от стандартных средств видимости. Используя такие техники, как отражательная загрузка и загрузка шеллкода, заражение не оставляет значительных следов на диске, тем самым усложняя усилия по обнаружению. Процесс начинается, когда жертвы посещают вредоносный веб-сайт и получают предложение выполнить команду PowerShell под видом проверки. Затем команда вызывает скрипт, который выполняется в памяти, обходя типичные механизмы обнаружения, и устанавливает дальнейшие действия.

После первоначального заражения загрузчик проверяет географическое местоположение жертвы и завершает работу на системах из России или Беларуси. Затем он загружает последующие компоненты через незашифрованный HTTP и внедряет их в доверенные процессы, такие как svchost.exe. Среди доставляемых компонентов — .NET бэкдор и стиллер информации, способный профилировать хост, устанавливать зашифрованный канал связи с сервером управления и собирать конфиденциальные данные, такие как куки браузера и сохраненные учетные данные. Другой путь атаки доставляет пакет, имитирующий легитимное программное обеспечение, содержащий файлы, которые в конечном итоге подгружают вредоносную DLL. Эта DLL извлекает и декодирует реальный компонент из внешнего хранилища, выполняя его в памяти с помощью легитимных функций обратного вызова Windows.

Структура данной атаки делает традиционные методы обнаружения неэффективными. Поскольку вредоносный код хранится внутри легитимных файлов и выполняется только в памяти, сканирование на основе сигнатур часто не позволяет выявить угрозы. Кроме того, обманный характер операции включает различные проверки для уклонения от анализа, что делает противостояние со стороны средств защиты, ориентированных на обнаружение, маловероятным.

Для противодействия таким адаптивным угрозам становится необходимым подход к безопасности, ориентированный на предотвращение. Morphisec подчеркивает необходимость блокировки выполнения ВПО до того, как оно произойдет, используя техники, которые скрывают среду выполнения памяти для предотвращения успешного развертывания уклоняющихся полезной нагрузки. Таким образом, обеспечение более раннего вмешательства является первостепенной задачей, поскольку ожидание обнаружения позволяет ВПО закрепиться в системе.

#ParsedReport #CompletenessLow
15-06-2026

Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software

https://www.malwarebytes.com/blog/threat-intel/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software

Report completeness: Low

Threats:
Etherrat
Msi_loader

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027.014, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1140, T1204.001, T1518, T1566.001, have more...

IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1

Soft:
Node.js, curl

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
xor

Languages:
php, javascript, jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ выявляет вредоносную инфраструктуру, ориентированную на распространение Троянской программы EtherRAT (RAT) различными методами, включая MSI-установщики и скрипты PowerShell. EtherRAT извлекает информацию о сервере управления (C2) из блокчейна Ethereum, что позволяет злоумышленникам осуществлять контроль над зараженными устройствами. ВПО использует уникальные методы извлечения и выполнения, а также способствует формированию более широкой сети фишинга и распространения ВПО, что указывает на активную деятельность киберпреступников.
-----

Анализ выявляет вредоносную инфраструктуру, в первую очередь ориентированную на распространение Троянской программы EtherRAT (RAT) наряду с фишинговыми страницами и другим ВПО. Расследование началось с открытой директории, которая предоставляла MSI-установщики и скрипты PowerShell, способные развернуть EtherRAT, при этом версии прогрессировали от v1 до v10. Эта инфраструктура характеризуется множеством доменов, имеющих общую хакерскую эстетику, что указывает на то, что они могут формировать часть более широкой сети для распространения ВПО, включая программное обеспечение для удаленного управления и фишинговый контент.

EtherRAT сам по себе примечателен своей простотой и использованием блокчейна Ethereum для получения информации о сервере управления (C2), что повышает его устойчивость к захвату инфраструктуры. RAT, написанный на Node.js, позволяет злоумышленникам полный контроль над зараженными машинами, позволяя им выполнять произвольный код, предоставленный сервером управления. Методы распространения EtherRAT часто включают использование MSI-пакетов, скриптов PowerShell или файлов JavaScript. Примечательно, что загрузчик MSI извлекает дополнительные файлы, хранящиеся в случайной локальной директории, и использует процесс Windows conhost.exe для выполнения команд, включая загрузку Node.js, если он еще не установлен.

Финальный этап установки EtherRAT включает использование метода JSON-RPC eth_call Ethereum для получения активного URL-адреса C2 из смарт-контракта в блокчейне. После запуска EtherRAT передает свой исходный код на C2, который затем возвращает обфусцированную версию скрипта для предотвращения обнаружения при последующих выполнениях, обеспечивая уникальность хеша файла для каждого экземпляра.

Помимо загрузчиков MSI и PowerShell, вариации скриптов PowerShell демонстрируют схожее поведение, включая необходимость загрузки Node.js, создания необходимых каталогов и выполнения полезной нагрузки EtherRAT после её декодирования с помощью пользовательского алгоритма шифрования. Повторяющаяся тема в этих скриптах указывает на определенный уровень модульности среди вариантов ВПО.

Более широкая вредоносная инфраструктура демонстрирует признаки использования различными злоумышленниками, при этом многие домены, ранее обнаруженные, размещали фишинговые страницы. Фишинговые кампании часто инициируются через вредоносные электронные письма, содержащие документы, которые побуждают пользователей переходить по ссылкам для получения дополнительного контента, что приводит к дальнейшему заражению через фишинг или распространение ВПО.

Неправильные конфигурации также раскрыли элементы фишинговых наборов, используемых в этих кампаниях, что указывает на уязвимости, которые могут быть дополнительно использованы. В целом, это исследование проливает свет на сложную и динамичную угрожающую среду, где EtherRAT играет значительную роль в более широкой схеме киберпреступной деятельности.

#ParsedReport #CompletenessHigh
16-06-2026

Cato CTRL™ Threat Research: Operation Poisson – Analyzing a Cybercriminal’s Entire Operation

https://www.catonetworks.com/blog/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation/

Report completeness: High

Actors/Campaigns:
Poisson (motivation: cyber_criminal)

Threats:
Tailscale_tool
Havoc
Rustdesk_tool
Uac_bypass_technique

Victims:
Automotive, Individuals

Industry:
Transport, Telco, Government, Financial

Geo:
Berlin, French, France

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1021.004, T1027, T1041, T1053.005, T1055, T1056.001, T1059.001, T1059.005, T1059.006, have more...

IOCs:
File: 13
IP: 2
Domain: 4
Hash: 7

Soft:
OpenSSH, Linux

Algorithms:
aes, xor

Languages:
powershell, python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Poisson включала французскоязычного киберпреступника, применявшего сложные тактики против небольшого автомобильного бизнеса, используя фреймворк C2 Havoc для выдачи 339 команд для сбора данных. Атакующий реализовал многоэтапную атаку без файлов, внедрив shellcode, и использовал Python-кейлоггер для захвата учетных данных без выделенного сервера эксфильтрации. Значительной частью операции стала установка OpenSSH и VPN Tailscale для постоянного доступа, что позволило злоумышленнику возобновить деятельность несмотря на сбои в работе сервера C2, что указывает на растущую сложность киберугроз.
-----

Poisson, киберпреступник, говорящий по-французски, атаковал небольшой автомобильный бизнес и четырех человек в ходе 33-дневной атаки с 30 марта по 1 мая 2026 года.

Атака использовала фреймворк Havoc C2 для выдачи 339 команд для компрометации данных, сфокусировавшись на учетных данных банковских и почтовых сервисов.

Первоначальный доступ осуществлялся с помощью многоэтапной атаки без файлов, при которой шеллкод внедрялся в системные процессы.

Poisson развернул 70-строчный Python-кейлоггер для перехвата нажатий клавиш без сервера эксфильтрации, извлекая данные вручную.

Он установил OpenSSH и Tailscale VPN на машину жертвы, создав постоянный доступ, который сохранялся даже при простое сервера C2 Havoc.

Это закрепление позволило Poisson возвращаться на скомпрометированные системы без повторного использования уязвимостей после того, как канал C2 отключался и затем возобновлял работу.

Наблюдались недостатки в области операционной безопасности, включая зависимость от бесплатных сервисов, таких как DuckDNS и Backblaze B2, что приводило к перебоям в пропускной способности.

Он раскрыл SSH-ключи и операционную документацию из-за плохого управления публичным хранилищем.

Тактика Пуассона была сосредоточена на краже учетных данных, а не на более широкой компрометации данных или развертывании программ-вымогателей.

Он выполнил обход контроля учётных записей (UAC) для получения административного доступа и использовал запланированные задачи для поддержания контроля.

Внесены изменения в настройки питания системы для обеспечения работы устройств в активном режиме для целей логирования, что указывает на стратегию долгосрочного доступа.

Операция подчеркивает недостаточность традиционных мер защиты, которые полагаются исключительно на отключение серверов C2.

Организациям необходимы надежные стратегии для обнаружения и удаления устойчивых механизмов доступа, установленных злоумышленниками.

Рекомендуется мониторинг несанкционированного ПО для удаленного доступа или конфигураций VPN для противодействия устойчивым угрозам.

#ParsedReport #CompletenessMedium
16-06-2026

Inside Amos Stealer: How This Threat Targets macOS Credentials and Keychains

https://www.cyberproof.com/blog/inside-amos-stealer-how-this-threat-targets-macos-credentials-and-keychains/

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique

Victims:
Macos users, Enterprises, Developers

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1074.001, T1083, T1105, have more...

IOCs:
Url: 2
File: 1

Soft:
macOS, curl, OpenSSL, Google Chrome, Microsoft Edge

Algorithms:
zip

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4