#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AdaptixC2 — это фреймворк для управления командованием и контролем (C2) с открытым исходным кодом, предназначенный для эксплуатации после проникновения, который характеризуется узнаваемыми заголовками HTTP по умолчанию и специфическими конфигурациями сообщений об ошибках, что делает его обнаруживаемым при пассивном сканировании. Он использует два агента-импланта: Beacon и Gopher, которые применяют различные методы связи, такие как HTTP и DNS, при этом на одном из хостов было обнаружено распространение вредоносных загрузок с применением продвинутых техник закрепления на Linux, таких как создание скрытых учетных записей и использование задач cron. Практики операционной безопасности злоумышленников различаются: некоторые сохраняют идентификаторы по умолчанию, а другие вносят изменения для уклонения от обнаружения, что указывает на необходимость комплексного мониторинга как заголовков, так и загрузок.
-----

AdaptixC2 — это фреймворк для постэксплуатации с управлением (C2) с открытым исходным кодом, который можно легко идентифицировать благодаря конфигурации по умолчанию, включающей специфические HTTP-заголовки, такие как «Server: AdaptixC2» и «Adaptix-Version: v1.2». Эти заголовки возвращаются при каждом неаутентифицированном запросе, что делает развертывания легко обнаруживаемыми с помощью методов пассивного сканирования. По состоянию на июнь 2026 года, согласно данным Censys, насчитывается 412 веб-ресурсов на 236 хостах, работающих под управлением AdaptixC2 с настройками по умолчанию или близкими к ним.

Архитектура AdaptixC2 состоит из серверных компонентов, написанных на Go, и графического клиента на C++/Qt. Она использует два типа имплант-агентов: агент Beacon, который разворачивается на нескольких операционных системах и поддерживает выполнение файлов объектов Beacon (BOF), и агент Gopher, который выполняется асинхронно на аналогичных платформах. Оба агента применяют ряд методов связи, включая HTTP, DNS и транспорт на основе сырого TCP, которые могут различаться по степени видимости для внешнего анализа.

Обнаружение AdaptixC2 в масштабах сети во многом обусловлено конфигурацией сообщений об ошибках, указанной в profile.yaml, которая гарантирует, что любой несопоставленный маршрут возвращает заголовки по умолчанию, что упрощает пассивным сканерам выявление фреймворка без предварительных знаний об конечных точках. Примечательно, что три кластера слушателей маяков, размещенные на инфраструктурах провайдеров, таких как Hivelocity и M247, выявляют скоординированные операции, вероятно, управляемые отдельными операторами. Интересно, что один конкретный хост (2.26.229.254) оказался обслуживающим вредоносные payloads и содержал установщик Linux, который реализовал несколько механизмов закрепления, демонстрируя продвинутые оперативные техники.

Установка полезной нагрузки на Linux использует несколько стратегий для закрепления, включая создание скрытых пользовательских учетных записей, использование задач cron для регулярной повторной активации агента и модификацию GRUB для запуска вредоносных скриптов при загрузке. Этот установщик делает его исключительно устойчивым, с мерами по маскировке под легитимные процессы и функциональность, что эффективно позволяет избегать обнаружения.

Эти операции демонстрируют различные уровни оперативной безопасности (OPSEC) со стороны злоумышленников. Некоторые оставляют идентификаторы сервера по умолчанию без изменений, в то время как другие пытаются изменить их, чтобы избежать обнаружения. Например, один вариант был идентифицирован с опечаткой в заголовке сервера, что дополнительно усложняет усилия по обнаружению, но подчеркивает необходимость надежного мониторинга, включающего как запросы на основе заголовков, так и на основе тела сообщения. Анализ географического распределения идентифицированных хостов показывает значительные концентрации в регионах, соответствующих определенным поставщикам инфраструктуры, что указывает на региональные операционные предпочтения.

#ParsedReport #CompletenessHigh
18-06-2026

Someone's Hands Are on Your Keyboard Then Your Whole Network. Courtesy of ClickFix, Potemkin, RMMProject and EtherRAT

https://www.huntress.com/blog/potemkin-loader-rmmproject-clickfix-attack

Report completeness: High

Threats:
Clickfix_technique
Potemkin
Rmmproject
Etherrat
Dll_injection_technique
Matanbuchus_maas
Astarionrat
Chisel_tool
Wmiexec_tool
Smbexec_tool
Lolbin_technique
Process_injection_technique
Etherhiding_technique
Cloudflared_tool
Impacket_tool
Winrm_tool
Costura_tool
Screenconnect_tool
Amsi_bypass_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1021.006, T1027.010, T1036.005, T1047, T1053.005, T1055, T1059.001, T1059.003, T1059.011, have more...

IOCs:
File: 30
Url: 5
Domain: 8
Hash: 5
Coin: 2
Command: 7
IP: 7
Path: 10

Soft:
scripting engine, Chrome, Node.js, Windows Defender, curl, hyper-v, Windows registry, Chrome, Firefox, firefox, Chromium, have more...

Crypto:
ethereum

Algorithms:
3des, aes-gcm, base64, sha256, prng, pbkdf2, md5, xor

Functions:
Potemkin, DLL, Windows, dc, Get-WmiObject, Set-MpPreference, GetChromiumKey

Win API:
LoadLibrary, CryptUnprotectData, ExpandEnvironmentStringsW, CreateProcessW, DebugActiveProcessStop, LoadLibraryW, GetModuleHandleA, GetProcAddress, CreateFileMappingA, TerminateProcess, have more...

Win Services:
WebClient, WinDefend, wscsvc, SecurityHealthService

Languages:
powershell, javascript, python, lua

Platforms:
x64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 4, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака использовала запрос ClickFix на немониторинговой конечной точке, развернув два удаленных доступа троянов (RAT) — RMMProject и EtherRAT — по корпоративной сети. Злоумышленная последовательность началась с того, что пользователь случайно выполнил команду, которая загрузила вредоносный MSI установщик, содержащий загрузчик Potemkin, который установил C2 связь через детерминированный алгоритм генерации доменов (DGA). RMMProject имеет скриптовый движок LuaJIT для обширной функциональности, включая кражу учетных данных, в то время как EtherRAT использует блокчейн Ethereum для своего C2 адреса, демонстрируя продвинутые техники уклонения от сетевых защит.
-----

Атака использовала запрос ClickFix на немониторинговом конце для сложного проникновения.

Два удаленных доступа троянов (RAT), RMMProject и EtherRAT, были развернуты на 11 хостах.

Начальная компрометация произошла, когда пользователь выполнил команду, которая загрузила вредоносный MSI-установщик с пользовательским загрузчиком под названием Potemkin.

Potemkin использует детерминированный алгоритм генерации доменов (DGA) для связи с сервером управления (C2).

Он генерирует список из 10 000 доменов из словаря из 1 000 слов с фиксированным семени DGA.

Potemkin внедряет пользовательский байтовый шифр для защиты критических строк и взаимодействия с его C2.

RMMProject оснащён скриптовым движком LuaJIT с 15 типами задач, что позволяет похищать учётные данные из браузера и осуществлять удалённое управление.

Этот RAT нацелен на учетные данные пользователей из браузеров, таких как Chrome, Firefox и Edge, обходя шифрование Google App-Bound Encryption.

RMMProject использует техники закрепления для поддержания своего соединения и маскируется под безобидные процессы.

EtherRAT — это Node.js бэкдор, который определяет адрес своего C2 через блокчейн Ethereum.

Он шифрует конфигурационные данные и использует каталоги с хитроумными именами для уклонения от обнаружения.

EtherRAT извлекает свой операционный URL из смарт-контракта в сети Ethereum, что повышает его устойчивость к блокировкам.

Злоумышленники использовали такие инструменты, как WinRM и WMIExec, для перемещения внутри компании, достигнув контроллера домена.

Они внедрили механизмы закрепления, включая запланированные задачи, имитирующие их начальные пути эксплуатации.

Злоумышленники отключили меры безопасности, такие как Windows Defender, чтобы укрепить контроль над инфраструктурой.

Инцидент подчеркивает риски немониторинговых систем, позволяющих осуществлять масштабируемые компрометации всей сети.

Устранение подобных вторжений представляет собой сложную задачу из-за уникальных артефактов закрепления и факторов среды, требующих тщательной проверки.

#ParsedReport #CompletenessMedium
18-06-2026

Threat Actors Abuse claude.ai Shared Chat for ClickFix Malvertising Campaign

https://www.trendmicro.com/en_us/research/26/f/claudeai-shared-chat-abused-in-malvertising.html

Report completeness: Medium

Threats:
Clickfix_technique
Credential_stealing_technique
Macsync

Victims:
Software developers, Ai tool users, Mac users, Asia pacific region

Geo:
Asia-pacific, Taiwan, Malaysia, Italy, Japan, France, India, Apac, Singapore, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.010, T1041, T1059.004, T1105, T1140, T1204.004, T1480.001, T1539, T1552.004, have more...

IOCs:
Domain: 20
Url: 7

Soft:
claude, nthropic in, ChatGPT, JetBrains, Anthropic, OpenAI, laude, laude do, curl, macOS, have more...

Algorithms:
exhibit, base64

Languages:
powershell

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix по вредоносной рекламе (Malvertising) использовала Google Ads, обманывая пользователей, искавших инструменты ИИ, и имитируя бренды, такие как Claude AI и ChatGPT. Злоумышленники использовали более 106 уникальных вредоносных имен хостов, перейдя к общей функции чата claude.ai для доставки вредоносного ПО, крадущего учетные данные, включая стиллер MacSync. Эта эволюция применяла сложную социальную инженерию, используя доверенные домены для уклонения от обнаружения и нацеливаясь преимущественно на регион Азиатско-Тихоокеанского региона, особенно Тайвань.
-----

Киберпреступники реализовали кампанию вредоносной рекламы ClickFix, используя Google Ads для нацеливания на пользователей, ищущих инструменты для разработчиков ИИ. Атакующие имитировали известные бренды, такие как Claude AI и ChatGPT. Более 2 000 человек были перенаправлены на вредоносные страницы загрузки. Кампания эволюционировала, начав использовать функцию общего чата на claude.ai для развертывания стиллера, крадущего учетные данные. Исследователи TrendAI выявили 106 уникальных вредоносных имен хостов за семинедельный период в рамках нескольких волн атак. Использование доверенного домена усложняет усилия по обнаружению, такие как предупреждения в браузере. Большинство жертв находились в регионе Азиатско-Тихоокеанского региона, особенно на Тайване. Социальная инженерия стала ключевой тактикой, заставляя жертв выполнять команды для запуска ВПО через PowerShell. Атакующие использовали 92 вредоносных имени хостов на GitLab Pages для повышения легитимности и обхода мер безопасности. Были внедрены поддомены в стиле Claude и мошеннические схемы с утилитами Mac для привлечения целевых пользователей, ищущих инструменты для обслуживания дисков. Переход на доверенные URL-адреса общего чата сделал вредоносный контент кажущимся легитимным. Развернутое ВПО, стиллер MacSync, нацеливалось на конфиденциальные данные, включая учетные данные браузеров и криптовалютные кошельки. Кампания демонстрирует использование доверенных платформ ИИ в стратегиях вредоносной рекламы. Организациям рекомендуется отслеживать подозрительные команды, а пользователям — избегать выполнения команд из непроверенных источников. Поставщикам платформ настоятельно рекомендуется улучшать механизмы обнаружения злоупотреблений для снижения рисков.

#ParsedReport #CompletenessMedium
17-06-2026

Operation Escaneo: Infrastructure Exposure, TTP Analysis, and Attribution Assessment of an Advanced Intrusion Campaign Against Mexican Federal Agencies and Financial Institutions

https://www.cloudsek.com/blog/operation-escaneo-mexican-government-financial-institutions-cyberattack

Report completeness: Medium

Actors/Campaigns:
Escaneo (motivation: information_theft, cyber_espionage)
Panchovilla

Threats:
Kimera_tool
Neo-regeorg
Chisel_tool
Proxychains_tool
Credential_harvesting_technique
Subfinder_tool
Naabu_tool
Nuclei_tool
Zipslip_technique
Zerologon_vuln
Eternalblue_vuln
Smbghost_tool
Ghostcat
Spear-phishing_technique
Metasploit_tool
Ysoserial_tool
Anydesk_tool
N-able_tool
Pwnkit_tool
Passthehash_technique
Impacket_tool
Credential_dumping_technique
Kerberoasting_technique
Password_spray_technique
Sambacry_vuln
Netcat_tool
Log4shell_vuln
Bloodhound_tool
Smbleed
Gowitness_tool
Wmiexec_tool
Smbexec_tool
Secretsdump_tool
Hashcat_tool
Ntlmrelayx_tool
Pkexec_tool
Mitm_technique

Victims:
Government, Law enforcement, Judiciary, Education, Financial services, Insurance, Oil and gas, Tax authorities, Utility providers, Telecommunications, have more...

Industry:
Transport, Government, E-commerce, Critical_infrastructure, Financial, Telco, Aerospace

Geo:
Latin america, Ecuador, Mexican, Portugal, Latam, Mexico

CVEs:
CVE-2020-1938 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache geode (1.12.0)
- apache tomcat (<7.0.100, <8.5.51, <9.0.31)

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)
have more...


TTPs:
Tactics: 13
Technics: 69

IOCs:
IP: 11
File: 31

Soft:
Ivanti, Linux, Active Directory, GeoServer, Fortinet FortiOS, Apache Tomcat, Unix, psexec, sudo, WebLogic, have more...

Algorithms:
3des, aes, gzip, sha256, aes-cbc, zip, base64, exhibit

Functions:
LinkFinder, GetUserSPNs, RFC

Languages:
java, python, javascript, php

Platforms:
amd64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Escaneo — это сложная киберкампания, приписываемая злоумышленнику MexicanMafia, нацеленная на критическую инфраструктуру и финансовые учреждения в Латинской Америке. Кампания использует проприетарный движок разведки Kimera для проведения поиска уязвимостей и эксплуатации уязвимостей в корпоративных устройствах, таких как Fortinet и Cisco, особенно используя CVE-2022-42475 и другие. Атакующие поддерживают постоянный доступ с помощью веб-шеллов и инструментов, таких как Neo-reGeorg и Chisel, что способствует значительной эксфильтрации данных, включая конфиденциальную информацию от правительственных агентств и страховых компаний.
-----

Операция Escaneo представляет собой сложную и высоко скоординированную киберкампанию, направленную против критической инфраструктуры и финансовых учреждений в Латинской Америке, в основном приписываемую злоумышленнику, известному как MexicanMafia или Pancho Villa. Атакующий развернул передовой операционный инструментарий, который использует множество элементов из фреймворка MITRE ATT&CK, начиная от инструментов разведки и заканчивая эксфильтрацией конфиденциальных данных.

В основе кампании лежит проприетарный движок разведки под названием Kimera, предназначенный для распределенного картирования инфраструктуры, который выполняет параллелизованную перечисляцию поддоменов и автоматизированный поиск уязвимостей. Этот подход дополняется оперативной коллекцией эксплойтов, ориентированной на уязвимости в корпоративных устройствах, таких как системы Fortinet, Ivanti и Cisco. Кампания реализовала ряд эксплойтов, включая CVE-2022-42475, CVE-2023-27997 и CVE-2024-21762, нацеленных на устройства FortiGate SSL-VPN, а также набор эксплойтов прикладного уровня для систем, таких как SAP и Oracle.

Атакующие продемонстрировали способность поддерживать закрепление доступа как на платформах Windows, так и на Linux, используя веб-шеллы, обратные туннели и скомпрометированные маршрутизаторы для создания скрытых каналов управления. В качестве заметных инструментов применялись Neo-reGeorg для закрепления доступа через веб и Chisel для обеспечения связ

Несколько инцидентов взлома, приписываемых этому злоумышленнику, включают значительную кражу данных из мексиканских государственных агентств и страховых компаний, при этом наборы данных содержали учетные данные, персональные идентифицирующие данные (PII) и конфиденциальные юридические документы. Их операционная методология включает эксплуатацию устаревших систем и не исправленных уязвимостей для быстрого получения первоначального доступа, с задокументированными случаями перемещения внутри компании по скомпрометированным сетям с использованием как традиционных, так и продвинутых методов, таких как EternalBlue.

Киберугроза выявила целенаправленную модель атак, сфокусированную преимущественно на правительственных министерствах и поставщиках критической инфраструктуры стран Латинской Америки, демонстрируя тактическую изощренность злоумышленника и его региональную операционную направленность. Улики указывают на систематическое картирование сред Active Directory и процессов закупок, что свидетельствует о потенциале для значительной финансовой эксплуатации и стратегического шпионажа против целевых организаций. Детальный анализ подчеркивает необходимость надежных механизмов обнаружения в отношении выявленных TTPs, в частности, касающихся каналов управления, злоупотребления выполнением приложений и стратегий закрепления для смягчения последствий таких изощренных угроз.

#ParsedReport #CompletenessMedium
18-06-2026

Analysis Report on Recent Phishing Attacks by the APT-C-48 (CNC) Group

https://www.ctfiot.com/311249.html

Report completeness: Medium

Actors/Campaigns:
Cnc
Apt-c-48

Victims:
Government, Defense, Education, Scientific research, Healthcare, Media

Industry:
Healthcare, Education, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.007, T1059.005, T1105, T1204.002, T1566.001, T1573

IOCs:
Hash: 4
File: 5
Url: 3
IP: 2
Domain: 2

Soft:
OpenSSL, WeChat

Algorithms:
md5, base64, xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-48, сложная целенаправленная угроза, связанная с правительством одной из стран Южной Азии, осуществила фишинговые атаки, нацеленные на такие сектора, как государственное управление, здравоохранение и СМИ, используя электронные письма со вредоносными вложениями, замаскированными под PDF-файлы. При открытии эти вложения инициируют подключение к удаленному серверу, позволяющее загрузить троян удаленного управления (примерно 4,24 МБ), который сохраняется по пути C:\Users\Public\Pictures\SearchIndex.exe. ВПО взаимодействует с сервером управления по IP-адресу 185.243.112.142 через порт 443, используя зашифрованный протокол TLS для передачи данных.
-----

APT-C-48 (CNC), сложная целенаправленная угроза, связанная с правительством одной из стран Южной Азии, недавно провела целевые фишинг-кампании, в первую очередь направленные на такие сектора, как государственное управление, оборона, образование, научные исследования, здравоохранение и СМИ. Эти атаки были выявлены 360 Security Brain, что подчеркивает зависимость группы от традиционных тактик социальной инженерии.

Атаки фишинг включали в себя электронные письма с вредоносными архивами, содержащими исполняемые файлы, замаскированные под PDF-документы и названные в стиле личных резюме. Эта стратегическая обманная тактика предназначена для снижения бдительности пользователя и побуждения его открыть файлы. После запуска вложения устанавливается соединение с удаленным сервером, с которого затем загружается поддельный документ и сценарий Visual Basic (VBS). Этот сценарий играет ключевую роль, так как обеспечивает загрузку и выполнение основного вредоносного кода, позволяющего осуществлять удаленное управление машиной жертвы.

Основное ВПО представляет собой троян удаленного управления, идентифицируемый по URL-адресу загрузки: https://klp.recume.ink/ldhifwdgfjdbcu/qbjhwgf/hfjfhruiefh.exe. После загрузки троян перемещается во временную директорию и, если процесс загрузки прошел успешно, копируется в определенное место на системе жертвы, а именно в C:\Users\Public\Pictures\SearchIndex.exe. Размер ВПО составляет примерно 4,24 МБ, что в основном обусловлено статически скомпилированной версией OpenSSL, используемой для зашифрованных коммуникаций.

Сервер управления (C2) осуществляет связь через адрес, изначально скрытый с помощью XOR-шифрования, что раскрывает IP-адрес 185.243.112.142. ВПО устанавливает сетевой сокет и подключается к этому серверу C2 через порт 443, где привязывает сокет к объекту SSL для завершения рукопожатия TLS, обеспечивая зашифрованную связь. После успешного подключения ВПО отправляет пакет регистрации, содержащий идентифицируемый текст «gem01ini».

Эта оценка подкреплена устойчивыми закономерностями, наблюдаемыми в различных цепочках доказательств, а также историческими данными, связывающими предыдущие кампании со схожими тактиками распространения вредоносных загрузок. Целевые отрасли, в сочетании с характеристиками атаки, убедительно указывают на участие группы APT-C-48 (CNC) в этих недавних фишинговых активностях.

#ParsedReport #CompletenessLow
18-06-2026

SmartApeSG Launches Okendo Reviews Supply Chain Attack

https://www.zscaler.com/blogs/security-research/smartapesg-launches-okendo-reviews-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
Smartapesg

Threats:
Supply_chain_technique
Clickfix_technique
Netsupportmanager_rat
Remcos_rat
Stealc
Sectop_rat

Victims:
E commerce, Retail

Industry:
Retail, E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1195.001, T1204.004

IOCs:
Url: 2

Algorithms:
xor

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник SmartApeSG осуществил атаку на Цепочку поставок виджета Okendo Reviews, широко используемого на многих сайтах электронной коммерции, что позволило внедрить вредоносный JavaScript. Этот код, применявший обфускацию и выборочный запуск для уклонения от обнаружения, обеспечил реализацию социальной инженерии в стиле ClickFix и был направлен на развертывание удаленных доступных троянов и программ для кражи информации. Атака эксплуатировала уязвимости в программной Цепочке поставок, создавая значительные риски для безопасности пользователей на высоконагруженных платформах электронной коммерции.
-----

14 мая 2026 года злоумышленник SmartApeSG был идентифицирован как осуществляющий атаку на Цепочку поставок, нацеленную на виджет Okendo Reviews, который широко используется на множестве интернет-магазинов. Эта компрометация позволила внедрить вредоносный JavaScript в виджет, затронув около 18 000 брендов и потенциально подвергнув огромное количество посетителей воздействию ВПО. Затронутые веб-сайты, часто представляющие собой высоконагруженные платформы электронной коммерции, столкнулись с всплеском вредоносной активности, поскольку виджет часто интегрируется в ключевые разделы, такие как витрины и страницы товаров.

Вредоносный JavaScript был разработан для ограничения собственного выполнения и проверки определённых условий перед загрузкой дополнительного контента. Он использовал продвинутые техники обфускации для сокрытия последующих компонентов инфраструктуры и обеспечивал социальную инженерию в стиле ClickFix для повышения эффективности. Анализ показал, что данный шаблон атаки характерен для предыдущих кампаний SmartApeSG, которые обычно приводят к развёртыванию троянов удалённого доступа (RAT), таких как NetSupport и Remcos, а также крадущих информацию программ, таких как StealC.

JavaScript действовал как многоэтапный загрузчик, тщательно контролируя своё выполнение для снижения вероятности обнаружения и оптимизации целевых сред, преимущественно отдавая предпочтение фильтрации по User-Agent для настольных систем и исключая мобильные устройства. Такое поведение соответствует операционным шаблонам, наблюдавшимся в предыдущих инцидентах SmartApeSG. Цепочка заражения потенциально могла включать этапы, такие как отображение поддельных запросов CAPTCHA, инструктирование пользователей выполнить команды через функцию «Выполнить» в Windows и, в конечном итоге, развертывание инструментов, обеспечивающих удалённый доступ или эксфильтрацию данных.

Учитывая значительный трафик скомпрометированных сайтов, которые варьировались от магазинов среднего размера до крупных платформ электронной коммерции с миллионами посетителей, внедрение вредоносного кода в виджет Okendo Reviews могло иметь серьезные последствия для безопасности пользователей. Хотя высокий трафик не гарантирует заражение пользователей, атака демонстрирует риски, связанные с уязвимостями в цепочке поставок программного обеспечения, подчеркивая более широкие риски воздействия, которые могут возникнуть из-за единой точки компрометации в широко используемом компоненте стороннего разработчика.

#ParsedReport #CompletenessHigh
18-06-2026

Honeypot: Investigating Attacks by the Hive0117 Group on Accountants at Companies in Russia and CIS Countries

https://www.f6.ru/blog/honey-trap-hive0117/

Report completeness: High

Actors/Campaigns:
Watch_wolf (motivation: cyber_criminal, financially_motivated)

Threats:
Darkwatchman
Lite_manager_tool
Bitrat
Hvnc_tool
Shadow_copies_delete_technique

Victims:
Accountants, Finance departments, Legal entities, Companies in russia, Organizations in the commonwealth of independent states

Industry:
Chemical, Financial, Telco, Retail

Geo:
Kazakhstan, Uzbekistan, Russia, Russian, Belarus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1010, T1012, T1027, T1027.004, T1036, T1041, T1053.005, T1056.001, T1059.001, T1059.003, have more...

IOCs:
File: 9
Command: 1
Hash: 12
Domain: 30
IP: 2

Soft:
Telegram, VKontakte, Viber, WhatsApp, Android, Windows registry, Chrome, Firefox

Algorithms:
md5, sha256, sha1

Functions:
PowerShell, SetWindowsHookEx

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4