#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Manlinghua (APT-C-08), связанная с правительствами стран Южной Азии, усилила целевые атаки на государственные учреждения, оборонные подрядчики и университеты, используя фишинговые сайты для кражи учетных данных пользователей и распространения вредоносных загрузок. Их операции включают VBS-скрипты, которые эксплуатируют доступ для управления устройствами и эксфильтрации конфиденциальных данных, создавая конфигурацию управления (C2) для постоянного выполнения. Эти тактики отражают отточенный подход к социальной инженерии, подчеркивая их угрозу для информационной безопасности.
-----

Группа Manlinghua, идентифицированная как APT-C-08, является сложной целенаправленной угрозой, имеющей связи с правительствами стран Южной Азии. В последнее время они активизировали свою деятельность, особенно нацеливаясь на государственные учреждения, оборонные подрядчики, университеты и зарубежные учреждения в регионе Южной Азии. Недавний анализ выявил их развертывание нескольких фишинговых веб-сайтов, предназначенных для компрометации учетных данных пользователей и распространения вредоносных загрузок.

Фишинговые операции используют веб-сервисы от LiteSpeed, предлагая две основные точки входа: одна маскируется под легитимный почтовый сервис (сайт 163) и предназначена для сбора адресов эл. почты и паролей, а другая создана для доставки VBS-скриптов при взаимодействии пользователя. Злоумышленник использует этот доступ для захвата контроля над процессами устройства, что позволяет ему выполнять эксфильтрацию конфиденциальной информации.

Детальный анализ захваченного вредоносного VBS-скрипта показывает, что злоумышленник настраивает адрес управления (C2) и запланированную задачу для постоянного выполнения. Скрипт создан для резервного копирования вредоносного файла в нескольких местах, одновременно непрерывно получая и выполняя команды с инфраструктуры C2. Этот паттерн демонстрирует соответствие тактикам, техникам и процедурам (TTPs), используемым группой Manlinghua, которая ранее проявляла аналогичный подход при создании фишинговых сайтов и развертывании вредоносного кода.

Архитектура фишинговой веб-страницы повторяет конструкции, использовавшиеся в прошлых кампаниях, что указывает на то, что группа Manlinghua не только вернула ранее установленные тактики, но и доработала их для повышения эффективности. VBS-скрипты выполняют двойную функцию: они обеспечивают постоянное управление скомпрометированными устройствами и способствуют краже данных и выполнению удаленных команд. Этот многогранный подход обходит начальные средства защиты с помощью сложных тактик социальной инженерии, представляя серьезную угрозу конфиденциальности информации, хранящейся на зараженных системах.

В заключение, недавние операции APT-C-08 подчеркивают их постоянную эволюцию в киберугрозах и способность использовать социальную инженерию, демонстрируя системный подход к нарушению мер безопасности и нацеливанию на чувствительные организации через тщательно разработанные фишинговые стратегии.

#ParsedReport #CompletenessHigh
17-06-2026

Phishing Campaign Targets Banks with Fileless Phantom Stealer Malware

https://www.fortra.com/blog/phishing-campaign-targets-banks-fileless-phantom-stealer-malware

Report completeness: High

Threats:
Phantom_stealer
Credential_harvesting_technique
Donut
Process_injection_technique
Marte
Foxveil

Victims:
Banking sector, Financial sector, Corporate sector, High capital organizations

Industry:
Financial

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 16
Url: 2
Domain: 2
IP: 3
Command: 2
Hash: 5
Registry: 2
Path: 1

Soft:
Chrome, Firefox, Discord, Telegram, Steam, Windows shell, WinRAR, firefox, chrome, Chromium

Algorithms:
aes-256, xor, sha256, sha1, base64, aes-256-cbc, aes, md5

Win API:
RUN

Languages:
powershell

Platforms:
x64, x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на банковские организации с высоким капиталом, использует вредоносное ПО Phantom Stealer, продаваемое в рамках модели ВПО как услуга злоумышленником Oldphantomoftheopera. Это вредоносное ПО, работающее полностью в памяти для избежания обнаружения, крадет учетные данные, финансовые данные и конфиденциальную информацию из различных приложений и браузеров через зашифрованные пакетные файлы, доставляемые через вредоносные архивы RAR. Оно устанавливает закрепление, внедряя себя в процесс explorer.exe, и использует различные каналы для эксфильтрации данных, усложняя усилия по обнаружению и реагированию.
-----

Выявлена продолжающаяся фишинговая кампания, нацеленная преимущественно на организации с высоким капиталом в банковском секторе, использующая вредоносное ПО Phantom Stealer. Данное ВПО является частью коммерческого предложения Malware-as-a-Service (MaaS), продаваемого злоумышленником, известным как Oldphantomoftheopera, связанным с Phantom Softwares. Основной целью данной кампании является скрытое похищение учетных данных, финансовых данных и конфиденциальной информации у жертв.

Атака начинается с фишинговых писем, содержащих вредоносные архивы RAR, в которых пакетные файлы маскируются под бизнес-документы. После запуска вредоносное ПО работает исключительно в памяти для обхода традиционных механизмов безопасности. Phantom Stealer целенаправленно атакует различные веб-браузеры и приложения, включая Chrome, Firefox, Edge, Discord, Телеграм и Steam. Его функциональность включает кражу финансовой информации, данных криптовалют, сбор нажатий клавиш, создание скриншотов и доступ к Данным из буфера обмена.

Одной из заметных сильных сторон кампании является её многоуровневое запутывание и работа в памяти, что позволяет оставаться незамеченным для обычных средств защиты. Анализ ВПО показал, что механизм атаки включает сильно запутанный пакетный файл, который после выполнения обеспечивает закрепление и внедряет Phantom Stealer в легитимный процесс explorer.exe. Используя PowerShell, ВПО загружает и расшифровывает финальный полезный груз через сложный набор шагов, применяя такие техники, как шифрование Base64 и AES-256-CBC.

Метод доставки вредоносного ПО высоко адаптирован под его цели, используя правдоподобные сценарии для стимулирования выполнения, например, маскируя RAR-архивы под корпоративные запросы на ценовые предложения. Это указывает на стратегический фокус на социальной инженерии, делая фишинговые атаки более убедительными. Актор использует несколько каналов для эксфильтрации, включая Телеграм, Discord, FTP и SMTP, обеспечивая скрытый и безопасный сбор данных.

Операционное воздействие Phantom Stealer является значительным; после установки он может получить доступ ко всем учетным данным, файлам cookie и токенам сессий, хранящимся в браузере, что потенциально приводит к несанкционированному доступу к конфиденциальным данным клиентов и финансовым системам. Скрытная природа ВПО, которое не оставляет следов на диске и работает исключительно в памяти, делает обнаружение исключительно сложным. Даже устоявшиеся решения безопасности зафиксировали низкие показатели обнаружения.

Стратегии смягчения включают блокировку доступа к определенным индикаторам разведки, таким как icanhazip.com, и включение регистрации блоков скриптов PowerShell для выявления аналогичной вредоносной активности. Учитывая чувствительный характер банковского сектора, организациям необходимо проявлять бдительность в отношении попыток фишинга и укреплять обучение по безопасности среди сотрудников, особенно в части несанкционированных вложений. Риск, создаваемый Phantom Stealer, подчеркивает постоянную сложность атак фишинга и изменяющийся ландшафт киберугроз, с которыми сталкиваются финансовые учреждения.

#ParsedReport #CompletenessHigh
16-06-2026

Unveiling ErrTraffic: inside a growing ClickFix malware distribution framework

https://blog.sekoia.io/unveiling-errtraffic-inside-a-growing-clickfix-malware-distribution-framework/

Report completeness: High

Actors/Campaigns:
Bintang
Magecart

Threats:
Errtraffic
Clickfix_technique
Dead_drop_technique
Clearfake
Etherhiding_technique
Traffer_technique
Vidar_stealer
Stealc
Remus
Smokeloader
Danabot
Residential_proxy_technique
Wpscan_tool
Nikto_tool
Credential_harvesting_technique
Typosquatting_technique
Blackdragon
Hijackloader
Iclickfix_tool

Victims:
Wordpress websites, Ai platforms, Developers, Ai researchers, Cryptocurrency users, Web3 investors, Ecommerce

Industry:
E-commerce, Healthcare, Financial, Telco

Geo:
United states, Canada, Australia, Indonesia, Asia, Russian, Indonesian, American

CVEs:
CVE-2020-25213 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- filemanagerpro file_manager (<6.9)


ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1036.008, T1056.003, T1059.001, T1070.004, T1071.001, T1078, T1082, T1090, have more...

IOCs:
Coin: 3
File: 14
IP: 4
Domain: 4

Soft:
WordPress, LenAI, Telegram, Cloudflare Turnstile, macOS, Android, ChatGPT, Chrome, ordPress ho, Nessus, have more...

Algorithms:
exhibit, xor, rc4, hmac, base64, aes

Functions:
hexa, mail

Win API:
Polygon, In

Languages:
powershell, php, javascript

Platforms:
x64

Links:
https://github.com/SEKOIA-IO/Community/tree/main/IOCs/errtraffic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ErrTraffic — это фреймворк на JavaScript, используемый для развертывания ВПО через скомпрометированные сайты WordPress, применяющий модель ВПО как услуга и социальную инженерию ClickFix. Обнаружен в 2025 году, он включает Систему распределения трафика и скрывает инфраструктуру C2 с помощью метода EtherHiding в блокчейне. Фреймворк работает через кластеры, которые доставляют инфостилеры и другое ВПО, используя скомпрометированные учетные данные администратора для доступа к сайтам и PHP-бэкдоры для закрепления, в то время как обманные тактики нацелены на разработчиков и исследователей в области ИИ.
-----

ErrTraffic — это вредоносный JavaScript фреймворк, который в основном используется для развертывания ВПО через скомпрометированные сайты WordPress, используя технику социальной инженерии ClickFix. Этот фреймворк, идентифицированный в 2025 году, работает по модели ВПО как услуга (MaaS) и интегрирует функции Система распределения трафика (TDS). ErrTraffic применяет метод EtherHiding для сокрытия своей инфраструктуры управления (C2) в блокчейне, что облегчает доставку вредоносных полезной нагрузки через приманки, представленные на скомпрометированных сайтах.

Фреймворк был обнаружен как минимум в двух основных кластерах: кластере Analytics и кластере Beer. Кластер Analytics использует один стабильный смарт-контракт на блокчейне Polygon для распространения стиллерных загрузок, таких как Vidar, тогда как кластер Beer применяет несколько смарт-контрактов для доставки различных семейств ВПО, включая Stealc, Remus и Salat, используя характерные техники и таргетинг на основе геолокации. Оба кластера внедряют JavaScript-код ErrTraffic в сайты на WordPress, получая домены C2 и загрузочные файлы посредством запросов к смарт-контрактам. Криминалистический анализ показал, что злоумышленники часто использовали украденные учетные данные администраторов для получения доступа к сайтам на WordPress и обеспечивали устойчивость через PHP-бэкдоры, предназначенные для облегчения внедрения.

Оператор, владеющий фреймворком ErrTraffic, известный как LenAI, рекламировал услугу на форумах киберкриминала, внедрив модель подписки, которая ограничивает доступ через систему очередей для управления рисками разглашения. Цены значительно выросли в период с начала до середины 2026 года из-за высокого спроса. Услуги LenAI включают инструменты развертывания, панель администрирования и различные функции — от управления полезной нагрузкой до фильтрации по геолокации и целевых приманок социальной инженерии, таких как экраны BSOD и задачи CAPTCHA.

В рамках операции также использовались вредоносные сайты, имитирующие инструменты ИИ, такие как поддельные страницы Google Antigravity и ChatGPT, с целью заманить пользователей на выполнение вредоносных команд, доставляющих компоненты вредоносного ПО, такие как DanaBot и HijackLoader. Эта стратегия нацелена на разработчиков и исследователей в области ИИ, эксплуатируя их повышенные привилегии для получения конфиденциальной информации.

Усилия по обнаружению показывают, что выявление заражений ErrTraffic может быть улучшено за счёт мониторинга конкретных поведенческих последовательностей, возникающих в результате первоначальных подключений к блокчейну, последующих коммуникаций с C2 и немедленных выполнений PowerShell, вместо того чтобы полагаться исключительно на традиционные методы обнаружения по сигнатурам ВПО.

В заключение, ErrTraffic представляет собой сложный модульный фреймворк, обеспечивающий распространение ВПО через скомпрометированные инфраструктуры WordPress и обманные приманки, при этом мониторинг указывает на динамичный ландшафт операторов-партнеров, использующих возможности фреймворка для запуска разнообразных злонамеренных кампаний по всему миру. Подробные сведения об операционном поведении и методологиях подчеркивают адаптивность фреймворка и его эволюционирующую угрозу для кибербезопасности.

#ParsedReport #CompletenessMedium
17-06-2026

From Stars to Upvotes: Fake Reputation Fueling a Crypto Clipboard Hijacker

https://research.checkpoint.com/2026/from-stars-to-upvotes-fake-reputation-fueling-a-crypto-clipboard-hijacker/

Report completeness: Medium

Threats:
Cryptoripper

Victims:
Cryptocurrency users, Online gamblers, Traders, Macos users, Windows users

Industry:
Financial

Geo:
India, Pakistan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1115, T1204.002, T1543.001, T1553.001, T1564.003, T1583.006, T1585.001, T1587.001, have more...

IOCs:
File: 5
Coin: 13
Hash: 14

Soft:
WordPress, Telegram, macOS, Android, Gatekeeper

Wallets:
tron, zcash

Crypto:
solana, bitcoin, litecoin, cardano, ethereum, monero, dogecoin, ripple, binance

Algorithms:
zip

Functions:
show_dialog

Win API:
AddClipboardFormatListener, OpenClipboard, GetClipboardData, EmptyClipboard, SetClipboardData

Languages:
rust, applescript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая киберугроза представляет собой написанный на Rust перехватчик буфера обмена, нацеленный на пользователей криптовалют с использованием обманных тактик через фишинговый сайт на WordPress. ВПО отслеживает активность буфера обмена с помощью API Windows, заменяя адреса кошельков на те, которые контролируются злоумышленниками, в то время как его функция самовосстановления обеспечивает закрепление после перезагрузок. Операция манипулирует системами репутации на таких платформах, как GitHub и VirusTotal, чтобы создать иллюзию легитимности, что усугубляется техниками социальной инженерии для заманивания жертв.
-----

Новая киберугроза представляет собой перехватчик буфера обмена на базе Rust, который в первую очередь нацелен на владельцев криптовалют и онлайн-игроков. Эта операция использует многоплатформенную стратегию для создания иллюзии легитимности, в основном через фишинговый сайт на WordPress, который продвигает ряд мошеннических инструментов. К ним относятся снайперские боты для торговли криптовалютой и предсказатели для crash-игр, все из которых утверждают, что предоставляют пользователям нечестные преимущества. Жертв часто направляют на фишинговый сайт через Социальные сети, криптофорумы и каналы Телеграм, нацеливаясь на тех, кто ищет быструю прибыль на волатильном рынке криптовалют.

Злоумышленник поддерживает несколько аккаунтов на GitHub для распространения ВПО, используя фейковые аккаунты для искусственного завышения метрик вовлеченности, таких как звезды, форки и загрузки, тем самым создавая ложное впечатление надежности. Это усугубляется их активностью на SourceForge, где наблюдаются манипулированные статистические данные загрузок, что особенно подозрительно, учитывая, что более 37 460 загрузок, по-видимому, исходят с устройств Android, несмотря на то, что программное обеспечение доступно только для Windows и macOS.

Значительной тактикой, применяемой в этой кампании, является создание канала на YouTube с использованием контента, сгенерированного искусственным интеллектом, для впечатления потенциальных жертв высокими показателями просмотров и отзывами, что вновь способствует формированию доверия. Кроме того, хакерская группировка занимается манипуляцией настроений на VirusTotal, создавая доброкачественные голоса и комментарии, которые вводят в заблуждение системы обнаружения киберугроз относительно истинной природы ВПО.

Оперативное поведение буфера обмена включает использование API Windows для мониторинга активности буфера обмена. Он проверяет наличие адресов кошельков и заменяет их на адреса, контролируемые злоумышленником, из списка, превышающего 15 500 адресов, в основном нацеливаясь на Bitcoin и различные другие криптовалюты. Этот механизм закрепления с самовосстановлением позволяет ему поддерживать выполнение даже после попыток удаления с использованием агентов запуска macOS, которые обеспечивают непрерывный запуск ВПО при запуске системы.

macOS-вариант перехватчика использует аналогичные тактики, побуждая пользователей обходить механизмы безопасности и эффективно маскируя вредоносное приложение для облегчения установки. Усиленный тактиками социальной инженерии через публикации на легитимных новостных сайтах и форумах, таких как BitcoinTalk, общая стратегия объединяет мощные возможности ВПО с тонкими техниками манипуляции, которые могут потенциально ввести в заблуждение даже опытных пользователей.

Эта операция демонстрирует сдвиг в том, как злоумышленники используют системы репутации на различных платформах для улучшения восприятия безопасности вокруг своего вредоносного программного обеспечения, что указывает на тревожную эволюцию стратегий кибератак, которая может привести к распространению еще более разрушительного ВПО в будущем.

#ParsedReport #CompletenessHigh
17-06-2026

macOS ClickFix Lures Deploy AppleScript Stealer & Persistent RAT

https://www.netskope.com/blog/macos-clickfix-lures-deploy-applescript-stealer-persistent-rat

Report completeness: High

Actors/Campaigns:
Meow

Threats:
Clickfix_technique

Victims:
Macos users, Technology, Media, Business services, Cryptocurrency

Industry:
Entertainment

Geo:
Berlin, Oceania, Russian, Asia, America

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.005, T1059.002, T1059.004, T1070.004, T1071.001, T1082, T1105, have more...

IOCs:
File: 19
Url: 3
Domain: 26
BrowserExtension: 1
Hash: 1

Soft:
macOS, curl, Electron, Gatekeeper, Chrome, Opera, OperaGX, Vivaldi, Chrome Canary, Chromium, have more...

Wallets:
metamask, atomicwallet, ledger_wallet, trezor

Algorithms:
zip, base64, gzip

Functions:
send_debug_event, daemon_function

Win API:
Arc

Languages:
javascript, applescript

Platforms:
apple

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/blob/main/Malware/Meow-macOS/IOCs/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года Netskope Threat Labs выявила развивающуюся кампанию ClickFix, нацеленную на пользователей macOS, запущенную русскоязычным злоумышленником, включающую стиллер на основе AppleScript, который эволюционировал в полнофункциональную Троянскую программу (RAT). Атака использует обманный социальный инжиниринг для выполнения команды curl, доставляя полезную нагрузку без файлов и позволяя кражу учетных данных и перехват криптографических кошельков. ВПО, названное Meow (DEBUG), использует сложные техники, такие как геофенсинг для избежания обнаружения, нацеливается на платформы обмена сообщениями и игры для комплексного извлечения данных и поддерживает закрепление через легитимный системный процесс.
-----

В апреле 2026 года была выявлена кампания ClickFix, нацеленная на пользователей macOS, использующая стиллер на основе AppleScript для перехвата учетных данных.

К 31 мая 2026 года была замечена продвинутая вариация этой кампании, приписываемая русскоязычному злоумышленнику, которая включает полнофункциональную троянскую программу (RAT).

Кампания использует 25 эфемерных заманчивых доменов для достижения жертв в сфере технологий, медиа и бизнес-услуг в Азии, Северной Америке и Океании.

Процесс заражения является безфайловым и начинается с тактики социальной инженерии, которая побуждает жертв выполнить команду curl для загрузки gzip-сжатого полезного груза, исполняемого в памяти с помощью osascript macOS.

Вредоносное ПО, известное как Meow (DEBUG), обладает сложными функциями после компрометации, включая возможность перехвата криптовалютных кошельков путем завершения легитимных приложений и замены основных файлов при обходе защиты подписи исполняемого кода.

Он обеспечивает долгосрочный доступ через постоянный агент, замаскированный под легитимный системный процесс Apple, регулярно связываясь со своей инфраструктурой управления (C2).

Загрузчик первого этапа включает географические ограничения для фильтрации русскоязычных жертв, повышая оперативную скрытность.

Безфайловое выполнение минимизирует отслеживаемость, а полезная нагрузка второго этапа отлично справляется с кражей учетных данных из поддельных системных диалогов и расширений браузера, получая конфиденциальные данные без срабатывания сигналов безопасности.

Целями являются платформы обмена сообщениями, такие как Телеграм и Discord, а также игровые аккаунты, с целевым сбором файлов для максимизации извлечения данных.

После эксфильтрации ВПО внедряет троянизированные полезную нагрузку в приложения криптовалютных кошельков для постоянного наблюдения и манипуляции транзакциями.

Для обеспечения закрепления (persistence) оно использует LaunchDaemon, подобный com.apple.accountsd, что позволяет ему каждую минуту получать команды с сервера C2 и выполнять ответы скрытно.

Эта кампания демонстрирует передовые техники социальной инженерии, безфайлового выполнения и эксплуатации систем в рамках эволюционирующих угроз для macOS.

#ParsedReport #CompletenessMedium
18-06-2026

Crypto Clipper uses Tor and worm-like propagation for persistence and control

https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/

Report completeness: Medium

Threats:
Cryptobandits
Pyarmor_tool
Contebrew

Victims:
Cryptocurrency users, Organizations, End users

TTPs:
Tactics: 7
Technics: 8

IOCs:
File: 3
Hash: 16

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Curl, PyInstaller, Task Scheduler

Wallets:
tron

Crypto:
ethereum, bitcoin, monero

Algorithms:
sha256

Languages:
jscript, powershell, javascript, php, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новое обнаруженное ВПО для перехвата криптовалюты, активное с февраля 2026 года, нацелено на среды Windows для выполнения кражи данных из буфера обмена, захвата экрана и подмены адресов криптовалюты. Оно работает с использованием двухкомпонентной системы: червя, который создает вредоносные ярлыки для распространения, и клиппера, который мониторит буфер обмена на наличие данных криптовалюты. Используя управление на базе Tor для связи, ВПО применяет продвинутые техники обфускации и закрепления для уклонения от обнаружения и поддержания оперативного контроля путем захвата данных из буфера обмена и периодического создания скриншотов.
-----

Новоидентифицированное ВПО для перехвата криптовалюты активно с февраля 2026 года, эксплуатируя среды Windows для кражи содержимого буфера обмена, Захват экрана и подмены адресов криптовалюты. Это ВПО, называемое крипто-клиппером, работает без традиционных методов установки и использует Windows Script Host вместе с ActiveX для активации встроенного Tor-клиента для управления (C2) коммуникаций. Примечательно, что оно избегает использования статической IP-инфраструктуры, отдавая предпочтение более скрытному Tor-основанному методу.

ВПО использует двухкомпонентную архитектуру: червь, обеспечивающий распространение путем создания вредоносных ярлыков легитимных файлов на скомпрометированных устройствах, и компонент-клиппер, нацеленный на данные, связанные с криптовалютой. Способность червя генерировать вредоносные ярлыки, связанные с исполняемыми полезными нагрузками, облегчает скрытые процессы заражения, одновременно поддерживая устойчивость к обнаружению, особенно через Microsoft Defender.

При запуске первый этап клиппера проверяет запущенные процессы, чтобы избежать выполнения в среде, содержащей инструменты анализа, такие как Диспетчер задач. После успешной проверки устанавливается связь со скрытым C2-сервером через локальный Tor-прокси, опрашивая сервер на предмет команд и непрерывно отслеживая буфер обмена на наличие адресов криптовалютных кошельков и конфиденциальной информации, включая seed-фразы и Закрытые ключи.

С точки зрения защиты, вредоносное ПО использует многоуровневую стратегию обфускации, которая усложняет статический анализ, применяя такие методы, как обфускация на основе Python и зашифрованные компоненты, расшифровываемые только во время выполнения. Операция минимизирует видимость своих действий за счет маршрутизации трафика через localhost, скрытия конечного пункта назначения и повышения анонимности для злоумышленников.

Управление осуществляется через локальный интерфейс, который позволяет ВПО получать и выполнять команды. Среди его заметных действий — захват данных из буфера обмена, связанных с криптовалютами, с применением пользовательских правил для замены легитимных адресов, скопированных пользователями, на адреса, находящиеся под контролем злоумышленников. ВПО также делает скриншоты через регулярные промежутки времени, предоставляя злоумышленнику дополнительную информацию о действиях пользователя.

Встроенные механизмы закрепления клиппера включают создание запланированных задач для обеспечения работы как червя, так и стиллера даже после перезагрузки системы. Ключевые поведения этого ВПО включают мониторинг буфера обмена и эксплуатацию символических ссылок, что дополнительно усложняет усилия по обнаружению.

Организации, стремящиеся смягчить угрозы такого рода, должны сосредоточиться на ужесточении политик выполнения скриптов, мониторинге трафика на предмет неправомерного использования локальных SOCKS-прокси и применении поведенческого анализа для связывания подозрительных действий скриптов с потенциальными признаками эксфильтрации или инфильтрации. Комбинация этих подходов предлагает проактивный путь к выявлению и предотвращению подобных легких, но значимых угроз в реальном времени.

#ParsedReport #CompletenessHigh
17-06-2026

AdaptixC2: Fingerprinting an Open-Source C2 Framework at Scale

https://censys.com/blog/adaptixc2-open-source-c2-framework/

Report completeness: High

Threats:
Adaptixc2_tool
Cobalt_strike_tool
Havoc
Sliver_c2_tool
Beaconhttp_tool
Beacondns_tool
Gophertcp_tool
Dns_hijacking_technique
Beaconsmb_tool
Beacontcp_tool
Kharonhttp_tool

Geo:
Hong kong, Holland, Asia, China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1036, T1053.003, T1053.006, T1071.001, T1071.004, T1090, T1095, T1098.004, have more...

IOCs:
IP: 29
File: 13
Hash: 5
Url: 2

Soft:
Linux, macOS, OpenSSL, systemd, crontab

Algorithms:
xor, rc4, lokycrypt, base64

Functions:
Start

Win API:
ARC

Languages:
php

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AdaptixC2 — это фреймворк для управления командованием и контролем (C2) с открытым исходным кодом, предназначенный для эксплуатации после проникновения, который характеризуется узнаваемыми заголовками HTTP по умолчанию и специфическими конфигурациями сообщений об ошибках, что делает его обнаруживаемым при пассивном сканировании. Он использует два агента-импланта: Beacon и Gopher, которые применяют различные методы связи, такие как HTTP и DNS, при этом на одном из хостов было обнаружено распространение вредоносных загрузок с применением продвинутых техник закрепления на Linux, таких как создание скрытых учетных записей и использование задач cron. Практики операционной безопасности злоумышленников различаются: некоторые сохраняют идентификаторы по умолчанию, а другие вносят изменения для уклонения от обнаружения, что указывает на необходимость комплексного мониторинга как заголовков, так и загрузок.
-----

AdaptixC2 — это фреймворк для постэксплуатации с управлением (C2) с открытым исходным кодом, который можно легко идентифицировать благодаря конфигурации по умолчанию, включающей специфические HTTP-заголовки, такие как «Server: AdaptixC2» и «Adaptix-Version: v1.2». Эти заголовки возвращаются при каждом неаутентифицированном запросе, что делает развертывания легко обнаруживаемыми с помощью методов пассивного сканирования. По состоянию на июнь 2026 года, согласно данным Censys, насчитывается 412 веб-ресурсов на 236 хостах, работающих под управлением AdaptixC2 с настройками по умолчанию или близкими к ним.

Архитектура AdaptixC2 состоит из серверных компонентов, написанных на Go, и графического клиента на C++/Qt. Она использует два типа имплант-агентов: агент Beacon, который разворачивается на нескольких операционных системах и поддерживает выполнение файлов объектов Beacon (BOF), и агент Gopher, который выполняется асинхронно на аналогичных платформах. Оба агента применяют ряд методов связи, включая HTTP, DNS и транспорт на основе сырого TCP, которые могут различаться по степени видимости для внешнего анализа.

Обнаружение AdaptixC2 в масштабах сети во многом обусловлено конфигурацией сообщений об ошибках, указанной в profile.yaml, которая гарантирует, что любой несопоставленный маршрут возвращает заголовки по умолчанию, что упрощает пассивным сканерам выявление фреймворка без предварительных знаний об конечных точках. Примечательно, что три кластера слушателей маяков, размещенные на инфраструктурах провайдеров, таких как Hivelocity и M247, выявляют скоординированные операции, вероятно, управляемые отдельными операторами. Интересно, что один конкретный хост (2.26.229.254) оказался обслуживающим вредоносные payloads и содержал установщик Linux, который реализовал несколько механизмов закрепления, демонстрируя продвинутые оперативные техники.

Установка полезной нагрузки на Linux использует несколько стратегий для закрепления, включая создание скрытых пользовательских учетных записей, использование задач cron для регулярной повторной активации агента и модификацию GRUB для запуска вредоносных скриптов при загрузке. Этот установщик делает его исключительно устойчивым, с мерами по маскировке под легитимные процессы и функциональность, что эффективно позволяет избегать обнаружения.

Эти операции демонстрируют различные уровни оперативной безопасности (OPSEC) со стороны злоумышленников. Некоторые оставляют идентификаторы сервера по умолчанию без изменений, в то время как другие пытаются изменить их, чтобы избежать обнаружения. Например, один вариант был идентифицирован с опечаткой в заголовке сервера, что дополнительно усложняет усилия по обнаружению, но подчеркивает необходимость надежного мониторинга, включающего как запросы на основе заголовков, так и на основе тела сообщения. Анализ географического распределения идентифицированных хостов показывает значительные концентрации в регионах, соответствующих определенным поставщикам инфраструктуры, что указывает на региональные операционные предпочтения.

#ParsedReport #CompletenessHigh
18-06-2026

Someone's Hands Are on Your Keyboard Then Your Whole Network. Courtesy of ClickFix, Potemkin, RMMProject and EtherRAT

https://www.huntress.com/blog/potemkin-loader-rmmproject-clickfix-attack

Report completeness: High

Threats:
Clickfix_technique
Potemkin
Rmmproject
Etherrat
Dll_injection_technique
Matanbuchus_maas
Astarionrat
Chisel_tool
Wmiexec_tool
Smbexec_tool
Lolbin_technique
Process_injection_technique
Etherhiding_technique
Cloudflared_tool
Impacket_tool
Winrm_tool
Costura_tool
Screenconnect_tool
Amsi_bypass_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1021.006, T1027.010, T1036.005, T1047, T1053.005, T1055, T1059.001, T1059.003, T1059.011, have more...

IOCs:
File: 30
Url: 5
Domain: 8
Hash: 5
Coin: 2
Command: 7
IP: 7
Path: 10

Soft:
scripting engine, Chrome, Node.js, Windows Defender, curl, hyper-v, Windows registry, Chrome, Firefox, firefox, Chromium, have more...

Crypto:
ethereum

Algorithms:
3des, aes-gcm, base64, sha256, prng, pbkdf2, md5, xor

Functions:
Potemkin, DLL, Windows, dc, Get-WmiObject, Set-MpPreference, GetChromiumKey

Win API:
LoadLibrary, CryptUnprotectData, ExpandEnvironmentStringsW, CreateProcessW, DebugActiveProcessStop, LoadLibraryW, GetModuleHandleA, GetProcAddress, CreateFileMappingA, TerminateProcess, have more...

Win Services:
WebClient, WinDefend, wscsvc, SecurityHealthService

Languages:
powershell, javascript, python, lua

Platforms:
x64

YARA: Found