#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2026 года Netskope Threat Labs выявила развивающуюся кампанию ClickFix, нацеленную на пользователей macOS, запущенную русскоязычным злоумышленником, включающую стиллер на основе AppleScript, который эволюционировал в полнофункциональную Троянскую программу (RAT). Атака использует обманный социальный инжиниринг для выполнения команды curl, доставляя полезную нагрузку без файлов и позволяя кражу учетных данных и перехват криптографических кошельков. ВПО, названное Meow (DEBUG), использует сложные техники, такие как геофенсинг для избежания обнаружения, нацеливается на платформы обмена сообщениями и игры для комплексного извлечения данных и поддерживает закрепление через легитимный системный процесс.
-----

В апреле 2026 года была выявлена кампания ClickFix, нацеленная на пользователей macOS, использующая стиллер на основе AppleScript для перехвата учетных данных.

К 31 мая 2026 года была замечена продвинутая вариация этой кампании, приписываемая русскоязычному злоумышленнику, которая включает полнофункциональную троянскую программу (RAT).

Кампания использует 25 эфемерных заманчивых доменов для достижения жертв в сфере технологий, медиа и бизнес-услуг в Азии, Северной Америке и Океании.

Процесс заражения является безфайловым и начинается с тактики социальной инженерии, которая побуждает жертв выполнить команду curl для загрузки gzip-сжатого полезного груза, исполняемого в памяти с помощью osascript macOS.

Вредоносное ПО, известное как Meow (DEBUG), обладает сложными функциями после компрометации, включая возможность перехвата криптовалютных кошельков путем завершения легитимных приложений и замены основных файлов при обходе защиты подписи исполняемого кода.

Он обеспечивает долгосрочный доступ через постоянный агент, замаскированный под легитимный системный процесс Apple, регулярно связываясь со своей инфраструктурой управления (C2).

Загрузчик первого этапа включает географические ограничения для фильтрации русскоязычных жертв, повышая оперативную скрытность.

Безфайловое выполнение минимизирует отслеживаемость, а полезная нагрузка второго этапа отлично справляется с кражей учетных данных из поддельных системных диалогов и расширений браузера, получая конфиденциальные данные без срабатывания сигналов безопасности.

Целями являются платформы обмена сообщениями, такие как Телеграм и Discord, а также игровые аккаунты, с целевым сбором файлов для максимизации извлечения данных.

После эксфильтрации ВПО внедряет троянизированные полезную нагрузку в приложения криптовалютных кошельков для постоянного наблюдения и манипуляции транзакциями.

Для обеспечения закрепления (persistence) оно использует LaunchDaemon, подобный com.apple.accountsd, что позволяет ему каждую минуту получать команды с сервера C2 и выполнять ответы скрытно.

Эта кампания демонстрирует передовые техники социальной инженерии, безфайлового выполнения и эксплуатации систем в рамках эволюционирующих угроз для macOS.

#ParsedReport #CompletenessMedium
18-06-2026

Crypto Clipper uses Tor and worm-like propagation for persistence and control

https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/

Report completeness: Medium

Threats:
Cryptobandits
Pyarmor_tool
Contebrew

Victims:
Cryptocurrency users, Organizations, End users

TTPs:
Tactics: 7
Technics: 8

IOCs:
File: 3
Hash: 16

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Curl, PyInstaller, Task Scheduler

Wallets:
tron

Crypto:
ethereum, bitcoin, monero

Algorithms:
sha256

Languages:
jscript, powershell, javascript, php, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новое обнаруженное ВПО для перехвата криптовалюты, активное с февраля 2026 года, нацелено на среды Windows для выполнения кражи данных из буфера обмена, захвата экрана и подмены адресов криптовалюты. Оно работает с использованием двухкомпонентной системы: червя, который создает вредоносные ярлыки для распространения, и клиппера, который мониторит буфер обмена на наличие данных криптовалюты. Используя управление на базе Tor для связи, ВПО применяет продвинутые техники обфускации и закрепления для уклонения от обнаружения и поддержания оперативного контроля путем захвата данных из буфера обмена и периодического создания скриншотов.
-----

Новоидентифицированное ВПО для перехвата криптовалюты активно с февраля 2026 года, эксплуатируя среды Windows для кражи содержимого буфера обмена, Захват экрана и подмены адресов криптовалюты. Это ВПО, называемое крипто-клиппером, работает без традиционных методов установки и использует Windows Script Host вместе с ActiveX для активации встроенного Tor-клиента для управления (C2) коммуникаций. Примечательно, что оно избегает использования статической IP-инфраструктуры, отдавая предпочтение более скрытному Tor-основанному методу.

ВПО использует двухкомпонентную архитектуру: червь, обеспечивающий распространение путем создания вредоносных ярлыков легитимных файлов на скомпрометированных устройствах, и компонент-клиппер, нацеленный на данные, связанные с криптовалютой. Способность червя генерировать вредоносные ярлыки, связанные с исполняемыми полезными нагрузками, облегчает скрытые процессы заражения, одновременно поддерживая устойчивость к обнаружению, особенно через Microsoft Defender.

При запуске первый этап клиппера проверяет запущенные процессы, чтобы избежать выполнения в среде, содержащей инструменты анализа, такие как Диспетчер задач. После успешной проверки устанавливается связь со скрытым C2-сервером через локальный Tor-прокси, опрашивая сервер на предмет команд и непрерывно отслеживая буфер обмена на наличие адресов криптовалютных кошельков и конфиденциальной информации, включая seed-фразы и Закрытые ключи.

С точки зрения защиты, вредоносное ПО использует многоуровневую стратегию обфускации, которая усложняет статический анализ, применяя такие методы, как обфускация на основе Python и зашифрованные компоненты, расшифровываемые только во время выполнения. Операция минимизирует видимость своих действий за счет маршрутизации трафика через localhost, скрытия конечного пункта назначения и повышения анонимности для злоумышленников.

Управление осуществляется через локальный интерфейс, который позволяет ВПО получать и выполнять команды. Среди его заметных действий — захват данных из буфера обмена, связанных с криптовалютами, с применением пользовательских правил для замены легитимных адресов, скопированных пользователями, на адреса, находящиеся под контролем злоумышленников. ВПО также делает скриншоты через регулярные промежутки времени, предоставляя злоумышленнику дополнительную информацию о действиях пользователя.

Встроенные механизмы закрепления клиппера включают создание запланированных задач для обеспечения работы как червя, так и стиллера даже после перезагрузки системы. Ключевые поведения этого ВПО включают мониторинг буфера обмена и эксплуатацию символических ссылок, что дополнительно усложняет усилия по обнаружению.

Организации, стремящиеся смягчить угрозы такого рода, должны сосредоточиться на ужесточении политик выполнения скриптов, мониторинге трафика на предмет неправомерного использования локальных SOCKS-прокси и применении поведенческого анализа для связывания подозрительных действий скриптов с потенциальными признаками эксфильтрации или инфильтрации. Комбинация этих подходов предлагает проактивный путь к выявлению и предотвращению подобных легких, но значимых угроз в реальном времени.

#ParsedReport #CompletenessHigh
17-06-2026

AdaptixC2: Fingerprinting an Open-Source C2 Framework at Scale

https://censys.com/blog/adaptixc2-open-source-c2-framework/

Report completeness: High

Threats:
Adaptixc2_tool
Cobalt_strike_tool
Havoc
Sliver_c2_tool
Beaconhttp_tool
Beacondns_tool
Gophertcp_tool
Dns_hijacking_technique
Beaconsmb_tool
Beacontcp_tool
Kharonhttp_tool

Geo:
Hong kong, Holland, Asia, China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1036, T1053.003, T1053.006, T1071.001, T1071.004, T1090, T1095, T1098.004, have more...

IOCs:
IP: 29
File: 13
Hash: 5
Url: 2

Soft:
Linux, macOS, OpenSSL, systemd, crontab

Algorithms:
xor, rc4, lokycrypt, base64

Functions:
Start

Win API:
ARC

Languages:
php

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AdaptixC2 — это фреймворк для управления командованием и контролем (C2) с открытым исходным кодом, предназначенный для эксплуатации после проникновения, который характеризуется узнаваемыми заголовками HTTP по умолчанию и специфическими конфигурациями сообщений об ошибках, что делает его обнаруживаемым при пассивном сканировании. Он использует два агента-импланта: Beacon и Gopher, которые применяют различные методы связи, такие как HTTP и DNS, при этом на одном из хостов было обнаружено распространение вредоносных загрузок с применением продвинутых техник закрепления на Linux, таких как создание скрытых учетных записей и использование задач cron. Практики операционной безопасности злоумышленников различаются: некоторые сохраняют идентификаторы по умолчанию, а другие вносят изменения для уклонения от обнаружения, что указывает на необходимость комплексного мониторинга как заголовков, так и загрузок.
-----

AdaptixC2 — это фреймворк для постэксплуатации с управлением (C2) с открытым исходным кодом, который можно легко идентифицировать благодаря конфигурации по умолчанию, включающей специфические HTTP-заголовки, такие как «Server: AdaptixC2» и «Adaptix-Version: v1.2». Эти заголовки возвращаются при каждом неаутентифицированном запросе, что делает развертывания легко обнаруживаемыми с помощью методов пассивного сканирования. По состоянию на июнь 2026 года, согласно данным Censys, насчитывается 412 веб-ресурсов на 236 хостах, работающих под управлением AdaptixC2 с настройками по умолчанию или близкими к ним.

Архитектура AdaptixC2 состоит из серверных компонентов, написанных на Go, и графического клиента на C++/Qt. Она использует два типа имплант-агентов: агент Beacon, который разворачивается на нескольких операционных системах и поддерживает выполнение файлов объектов Beacon (BOF), и агент Gopher, который выполняется асинхронно на аналогичных платформах. Оба агента применяют ряд методов связи, включая HTTP, DNS и транспорт на основе сырого TCP, которые могут различаться по степени видимости для внешнего анализа.

Обнаружение AdaptixC2 в масштабах сети во многом обусловлено конфигурацией сообщений об ошибках, указанной в profile.yaml, которая гарантирует, что любой несопоставленный маршрут возвращает заголовки по умолчанию, что упрощает пассивным сканерам выявление фреймворка без предварительных знаний об конечных точках. Примечательно, что три кластера слушателей маяков, размещенные на инфраструктурах провайдеров, таких как Hivelocity и M247, выявляют скоординированные операции, вероятно, управляемые отдельными операторами. Интересно, что один конкретный хост (2.26.229.254) оказался обслуживающим вредоносные payloads и содержал установщик Linux, который реализовал несколько механизмов закрепления, демонстрируя продвинутые оперативные техники.

Установка полезной нагрузки на Linux использует несколько стратегий для закрепления, включая создание скрытых пользовательских учетных записей, использование задач cron для регулярной повторной активации агента и модификацию GRUB для запуска вредоносных скриптов при загрузке. Этот установщик делает его исключительно устойчивым, с мерами по маскировке под легитимные процессы и функциональность, что эффективно позволяет избегать обнаружения.

Эти операции демонстрируют различные уровни оперативной безопасности (OPSEC) со стороны злоумышленников. Некоторые оставляют идентификаторы сервера по умолчанию без изменений, в то время как другие пытаются изменить их, чтобы избежать обнаружения. Например, один вариант был идентифицирован с опечаткой в заголовке сервера, что дополнительно усложняет усилия по обнаружению, но подчеркивает необходимость надежного мониторинга, включающего как запросы на основе заголовков, так и на основе тела сообщения. Анализ географического распределения идентифицированных хостов показывает значительные концентрации в регионах, соответствующих определенным поставщикам инфраструктуры, что указывает на региональные операционные предпочтения.

#ParsedReport #CompletenessHigh
18-06-2026

Someone's Hands Are on Your Keyboard Then Your Whole Network. Courtesy of ClickFix, Potemkin, RMMProject and EtherRAT

https://www.huntress.com/blog/potemkin-loader-rmmproject-clickfix-attack

Report completeness: High

Threats:
Clickfix_technique
Potemkin
Rmmproject
Etherrat
Dll_injection_technique
Matanbuchus_maas
Astarionrat
Chisel_tool
Wmiexec_tool
Smbexec_tool
Lolbin_technique
Process_injection_technique
Etherhiding_technique
Cloudflared_tool
Impacket_tool
Winrm_tool
Costura_tool
Screenconnect_tool
Amsi_bypass_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1021.006, T1027.010, T1036.005, T1047, T1053.005, T1055, T1059.001, T1059.003, T1059.011, have more...

IOCs:
File: 30
Url: 5
Domain: 8
Hash: 5
Coin: 2
Command: 7
IP: 7
Path: 10

Soft:
scripting engine, Chrome, Node.js, Windows Defender, curl, hyper-v, Windows registry, Chrome, Firefox, firefox, Chromium, have more...

Crypto:
ethereum

Algorithms:
3des, aes-gcm, base64, sha256, prng, pbkdf2, md5, xor

Functions:
Potemkin, DLL, Windows, dc, Get-WmiObject, Set-MpPreference, GetChromiumKey

Win API:
LoadLibrary, CryptUnprotectData, ExpandEnvironmentStringsW, CreateProcessW, DebugActiveProcessStop, LoadLibraryW, GetModuleHandleA, GetProcAddress, CreateFileMappingA, TerminateProcess, have more...

Win Services:
WebClient, WinDefend, wscsvc, SecurityHealthService

Languages:
powershell, javascript, python, lua

Platforms:
x64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 4, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака использовала запрос ClickFix на немониторинговой конечной точке, развернув два удаленных доступа троянов (RAT) — RMMProject и EtherRAT — по корпоративной сети. Злоумышленная последовательность началась с того, что пользователь случайно выполнил команду, которая загрузила вредоносный MSI установщик, содержащий загрузчик Potemkin, который установил C2 связь через детерминированный алгоритм генерации доменов (DGA). RMMProject имеет скриптовый движок LuaJIT для обширной функциональности, включая кражу учетных данных, в то время как EtherRAT использует блокчейн Ethereum для своего C2 адреса, демонстрируя продвинутые техники уклонения от сетевых защит.
-----

Атака использовала запрос ClickFix на немониторинговом конце для сложного проникновения.

Два удаленных доступа троянов (RAT), RMMProject и EtherRAT, были развернуты на 11 хостах.

Начальная компрометация произошла, когда пользователь выполнил команду, которая загрузила вредоносный MSI-установщик с пользовательским загрузчиком под названием Potemkin.

Potemkin использует детерминированный алгоритм генерации доменов (DGA) для связи с сервером управления (C2).

Он генерирует список из 10 000 доменов из словаря из 1 000 слов с фиксированным семени DGA.

Potemkin внедряет пользовательский байтовый шифр для защиты критических строк и взаимодействия с его C2.

RMMProject оснащён скриптовым движком LuaJIT с 15 типами задач, что позволяет похищать учётные данные из браузера и осуществлять удалённое управление.

Этот RAT нацелен на учетные данные пользователей из браузеров, таких как Chrome, Firefox и Edge, обходя шифрование Google App-Bound Encryption.

RMMProject использует техники закрепления для поддержания своего соединения и маскируется под безобидные процессы.

EtherRAT — это Node.js бэкдор, который определяет адрес своего C2 через блокчейн Ethereum.

Он шифрует конфигурационные данные и использует каталоги с хитроумными именами для уклонения от обнаружения.

EtherRAT извлекает свой операционный URL из смарт-контракта в сети Ethereum, что повышает его устойчивость к блокировкам.

Злоумышленники использовали такие инструменты, как WinRM и WMIExec, для перемещения внутри компании, достигнув контроллера домена.

Они внедрили механизмы закрепления, включая запланированные задачи, имитирующие их начальные пути эксплуатации.

Злоумышленники отключили меры безопасности, такие как Windows Defender, чтобы укрепить контроль над инфраструктурой.

Инцидент подчеркивает риски немониторинговых систем, позволяющих осуществлять масштабируемые компрометации всей сети.

Устранение подобных вторжений представляет собой сложную задачу из-за уникальных артефактов закрепления и факторов среды, требующих тщательной проверки.

#ParsedReport #CompletenessMedium
18-06-2026

Threat Actors Abuse claude.ai Shared Chat for ClickFix Malvertising Campaign

https://www.trendmicro.com/en_us/research/26/f/claudeai-shared-chat-abused-in-malvertising.html

Report completeness: Medium

Threats:
Clickfix_technique
Credential_stealing_technique
Macsync

Victims:
Software developers, Ai tool users, Mac users, Asia pacific region

Geo:
Asia-pacific, Taiwan, Malaysia, Italy, Japan, France, India, Apac, Singapore, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.010, T1041, T1059.004, T1105, T1140, T1204.004, T1480.001, T1539, T1552.004, have more...

IOCs:
Domain: 20
Url: 7

Soft:
claude, nthropic in, ChatGPT, JetBrains, Anthropic, OpenAI, laude, laude do, curl, macOS, have more...

Algorithms:
exhibit, base64

Languages:
powershell

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix по вредоносной рекламе (Malvertising) использовала Google Ads, обманывая пользователей, искавших инструменты ИИ, и имитируя бренды, такие как Claude AI и ChatGPT. Злоумышленники использовали более 106 уникальных вредоносных имен хостов, перейдя к общей функции чата claude.ai для доставки вредоносного ПО, крадущего учетные данные, включая стиллер MacSync. Эта эволюция применяла сложную социальную инженерию, используя доверенные домены для уклонения от обнаружения и нацеливаясь преимущественно на регион Азиатско-Тихоокеанского региона, особенно Тайвань.
-----

Киберпреступники реализовали кампанию вредоносной рекламы ClickFix, используя Google Ads для нацеливания на пользователей, ищущих инструменты для разработчиков ИИ. Атакующие имитировали известные бренды, такие как Claude AI и ChatGPT. Более 2 000 человек были перенаправлены на вредоносные страницы загрузки. Кампания эволюционировала, начав использовать функцию общего чата на claude.ai для развертывания стиллера, крадущего учетные данные. Исследователи TrendAI выявили 106 уникальных вредоносных имен хостов за семинедельный период в рамках нескольких волн атак. Использование доверенного домена усложняет усилия по обнаружению, такие как предупреждения в браузере. Большинство жертв находились в регионе Азиатско-Тихоокеанского региона, особенно на Тайване. Социальная инженерия стала ключевой тактикой, заставляя жертв выполнять команды для запуска ВПО через PowerShell. Атакующие использовали 92 вредоносных имени хостов на GitLab Pages для повышения легитимности и обхода мер безопасности. Были внедрены поддомены в стиле Claude и мошеннические схемы с утилитами Mac для привлечения целевых пользователей, ищущих инструменты для обслуживания дисков. Переход на доверенные URL-адреса общего чата сделал вредоносный контент кажущимся легитимным. Развернутое ВПО, стиллер MacSync, нацеливалось на конфиденциальные данные, включая учетные данные браузеров и криптовалютные кошельки. Кампания демонстрирует использование доверенных платформ ИИ в стратегиях вредоносной рекламы. Организациям рекомендуется отслеживать подозрительные команды, а пользователям — избегать выполнения команд из непроверенных источников. Поставщикам платформ настоятельно рекомендуется улучшать механизмы обнаружения злоупотреблений для снижения рисков.

#ParsedReport #CompletenessMedium
17-06-2026

Operation Escaneo: Infrastructure Exposure, TTP Analysis, and Attribution Assessment of an Advanced Intrusion Campaign Against Mexican Federal Agencies and Financial Institutions

https://www.cloudsek.com/blog/operation-escaneo-mexican-government-financial-institutions-cyberattack

Report completeness: Medium

Actors/Campaigns:
Escaneo (motivation: information_theft, cyber_espionage)
Panchovilla

Threats:
Kimera_tool
Neo-regeorg
Chisel_tool
Proxychains_tool
Credential_harvesting_technique
Subfinder_tool
Naabu_tool
Nuclei_tool
Zipslip_technique
Zerologon_vuln
Eternalblue_vuln
Smbghost_tool
Ghostcat
Spear-phishing_technique
Metasploit_tool
Ysoserial_tool
Anydesk_tool
N-able_tool
Pwnkit_tool
Passthehash_technique
Impacket_tool
Credential_dumping_technique
Kerberoasting_technique
Password_spray_technique
Sambacry_vuln
Netcat_tool
Log4shell_vuln
Bloodhound_tool
Smbleed
Gowitness_tool
Wmiexec_tool
Smbexec_tool
Secretsdump_tool
Hashcat_tool
Ntlmrelayx_tool
Pkexec_tool
Mitm_technique

Victims:
Government, Law enforcement, Judiciary, Education, Financial services, Insurance, Oil and gas, Tax authorities, Utility providers, Telecommunications, have more...

Industry:
Transport, Government, E-commerce, Critical_infrastructure, Financial, Telco, Aerospace

Geo:
Latin america, Ecuador, Mexican, Portugal, Latam, Mexico

CVEs:
CVE-2020-1938 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache geode (1.12.0)
- apache tomcat (<7.0.100, <8.5.51, <9.0.31)

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)
have more...


TTPs:
Tactics: 13
Technics: 69

IOCs:
IP: 11
File: 31

Soft:
Ivanti, Linux, Active Directory, GeoServer, Fortinet FortiOS, Apache Tomcat, Unix, psexec, sudo, WebLogic, have more...

Algorithms:
3des, aes, gzip, sha256, aes-cbc, zip, base64, exhibit

Functions:
LinkFinder, GetUserSPNs, RFC

Languages:
java, python, javascript, php

Platforms:
amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Escaneo — это сложная киберкампания, приписываемая злоумышленнику MexicanMafia, нацеленная на критическую инфраструктуру и финансовые учреждения в Латинской Америке. Кампания использует проприетарный движок разведки Kimera для проведения поиска уязвимостей и эксплуатации уязвимостей в корпоративных устройствах, таких как Fortinet и Cisco, особенно используя CVE-2022-42475 и другие. Атакующие поддерживают постоянный доступ с помощью веб-шеллов и инструментов, таких как Neo-reGeorg и Chisel, что способствует значительной эксфильтрации данных, включая конфиденциальную информацию от правительственных агентств и страховых компаний.
-----

Операция Escaneo представляет собой сложную и высоко скоординированную киберкампанию, направленную против критической инфраструктуры и финансовых учреждений в Латинской Америке, в основном приписываемую злоумышленнику, известному как MexicanMafia или Pancho Villa. Атакующий развернул передовой операционный инструментарий, который использует множество элементов из фреймворка MITRE ATT&CK, начиная от инструментов разведки и заканчивая эксфильтрацией конфиденциальных данных.

В основе кампании лежит проприетарный движок разведки под названием Kimera, предназначенный для распределенного картирования инфраструктуры, который выполняет параллелизованную перечисляцию поддоменов и автоматизированный поиск уязвимостей. Этот подход дополняется оперативной коллекцией эксплойтов, ориентированной на уязвимости в корпоративных устройствах, таких как системы Fortinet, Ivanti и Cisco. Кампания реализовала ряд эксплойтов, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762, нацеленных на устройства FortiGate SSL-VPN, а также набор эксплойтов прикладного уровня для систем, таких как SAP и Oracle.

Атакующие продемонстрировали способность поддерживать закрепление доступа как на платформах Windows, так и на Linux, используя веб-шеллы, обратные туннели и скомпрометированные маршрутизаторы для создания скрытых каналов управления. В качестве заметных инструментов применялись Neo-reGeorg для закрепления доступа через веб и Chisel для обеспечения связ

Несколько инцидентов взлома, приписываемых этому злоумышленнику, включают значительную кражу данных из мексиканских государственных агентств и страховых компаний, при этом наборы данных содержали учетные данные, персональные идентифицирующие данные (PII) и конфиденциальные юридические документы. Их операционная методология включает эксплуатацию устаревших систем и не исправленных уязвимостей для быстрого получения первоначального доступа, с задокументированными случаями перемещения внутри компании по скомпрометированным сетям с использованием как традиционных, так и продвинутых методов, таких как EternalBlue.

Киберугроза выявила целенаправленную модель атак, сфокусированную преимущественно на правительственных министерствах и поставщиках критической инфраструктуры стран Латинской Америки, демонстрируя тактическую изощренность злоумышленника и его региональную операционную направленность. Улики указывают на систематическое картирование сред Active Directory и процессов закупок, что свидетельствует о потенциале для значительной финансовой эксплуатации и стратегического шпионажа против целевых организаций. Детальный анализ подчеркивает необходимость надежных механизмов обнаружения в отношении выявленных TTPs, в частности, касающихся каналов управления, злоупотребления выполнением приложений и стратегий закрепления для смягчения последствий таких изощренных угроз.

#ParsedReport #CompletenessMedium
18-06-2026

Analysis Report on Recent Phishing Attacks by the APT-C-48 (CNC) Group

https://www.ctfiot.com/311249.html

Report completeness: Medium

Actors/Campaigns:
Cnc
Apt-c-48

Victims:
Government, Defense, Education, Scientific research, Healthcare, Media

Industry:
Healthcare, Education, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.007, T1059.005, T1105, T1204.002, T1566.001, T1573

IOCs:
Hash: 4
File: 5
Url: 3
IP: 2
Domain: 2

Soft:
OpenSSL, WeChat

Algorithms:
md5, base64, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-48, сложная целенаправленная угроза, связанная с правительством одной из стран Южной Азии, осуществила фишинговые атаки, нацеленные на такие сектора, как государственное управление, здравоохранение и СМИ, используя электронные письма со вредоносными вложениями, замаскированными под PDF-файлы. При открытии эти вложения инициируют подключение к удаленному серверу, позволяющее загрузить троян удаленного управления (примерно 4,24 МБ), который сохраняется по пути C:\Users\Public\Pictures\SearchIndex.exe. ВПО взаимодействует с сервером управления по IP-адресу 185.243.112.142 через порт 443, используя зашифрованный протокол TLS для передачи данных.
-----

APT-C-48 (CNC), сложная целенаправленная угроза, связанная с правительством одной из стран Южной Азии, недавно провела целевые фишинг-кампании, в первую очередь направленные на такие сектора, как государственное управление, оборона, образование, научные исследования, здравоохранение и СМИ. Эти атаки были выявлены 360 Security Brain, что подчеркивает зависимость группы от традиционных тактик социальной инженерии.

Атаки фишинг включали в себя электронные письма с вредоносными архивами, содержащими исполняемые файлы, замаскированные под PDF-документы и названные в стиле личных резюме. Эта стратегическая обманная тактика предназначена для снижения бдительности пользователя и побуждения его открыть файлы. После запуска вложения устанавливается соединение с удаленным сервером, с которого затем загружается поддельный документ и сценарий Visual Basic (VBS). Этот сценарий играет ключевую роль, так как обеспечивает загрузку и выполнение основного вредоносного кода, позволяющего осуществлять удаленное управление машиной жертвы.

Основное ВПО представляет собой троян удаленного управления, идентифицируемый по URL-адресу загрузки: https://klp.recume.ink/ldhifwdgfjdbcu/qbjhwgf/hfjfhruiefh.exe. После загрузки троян перемещается во временную директорию и, если процесс загрузки прошел успешно, копируется в определенное место на системе жертвы, а именно в C:\Users\Public\Pictures\SearchIndex.exe. Размер ВПО составляет примерно 4,24 МБ, что в основном обусловлено статически скомпилированной версией OpenSSL, используемой для зашифрованных коммуникаций.

Сервер управления (C2) осуществляет связь через адрес, изначально скрытый с помощью XOR-шифрования, что раскрывает IP-адрес 185.243.112.142. ВПО устанавливает сетевой сокет и подключается к этому серверу C2 через порт 443, где привязывает сокет к объекту SSL для завершения рукопожатия TLS, обеспечивая зашифрованную связь. После успешного подключения ВПО отправляет пакет регистрации, содержащий идентифицируемый текст «gem01ini».

Эта оценка подкреплена устойчивыми закономерностями, наблюдаемыми в различных цепочках доказательств, а также историческими данными, связывающими предыдущие кампании со схожими тактиками распространения вредоносных загрузок. Целевые отрасли, в сочетании с характеристиками атаки, убедительно указывают на участие группы APT-C-48 (CNC) в этих недавних фишинговых активностях.