#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник SmartApeSG осуществил атаку на Цепочку поставок виджета Okendo Reviews, широко используемого на многих сайтах электронной коммерции, что позволило внедрить вредоносный JavaScript. Этот код, применявший обфускацию и выборочный запуск для уклонения от обнаружения, обеспечил реализацию социальной инженерии в стиле ClickFix и был направлен на развертывание удаленных доступных троянов и программ для кражи информации. Атака эксплуатировала уязвимости в программной Цепочке поставок, создавая значительные риски для безопасности пользователей на высоконагруженных платформах электронной коммерции.
-----

14 мая 2026 года злоумышленник SmartApeSG был идентифицирован как осуществляющий атаку на Цепочку поставок, нацеленную на виджет Okendo Reviews, который широко используется на множестве интернет-магазинов. Эта компрометация позволила внедрить вредоносный JavaScript в виджет, затронув около 18 000 брендов и потенциально подвергнув огромное количество посетителей воздействию ВПО. Затронутые веб-сайты, часто представляющие собой высоконагруженные платформы электронной коммерции, столкнулись с всплеском вредоносной активности, поскольку виджет часто интегрируется в ключевые разделы, такие как витрины и страницы товаров.

Вредоносный JavaScript был разработан для ограничения собственного выполнения и проверки определённых условий перед загрузкой дополнительного контента. Он использовал продвинутые техники обфускации для сокрытия последующих компонентов инфраструктуры и обеспечивал социальную инженерию в стиле ClickFix для повышения эффективности. Анализ показал, что данный шаблон атаки характерен для предыдущих кампаний SmartApeSG, которые обычно приводят к развёртыванию троянов удалённого доступа (RAT), таких как NetSupport и Remcos, а также крадущих информацию программ, таких как StealC.

JavaScript действовал как многоэтапный загрузчик, тщательно контролируя своё выполнение для снижения вероятности обнаружения и оптимизации целевых сред, преимущественно отдавая предпочтение фильтрации по User-Agent для настольных систем и исключая мобильные устройства. Такое поведение соответствует операционным шаблонам, наблюдавшимся в предыдущих инцидентах SmartApeSG. Цепочка заражения потенциально могла включать этапы, такие как отображение поддельных запросов CAPTCHA, инструктирование пользователей выполнить команды через функцию «Выполнить» в Windows и, в конечном итоге, развертывание инструментов, обеспечивающих удалённый доступ или эксфильтрацию данных.

Учитывая значительный трафик скомпрометированных сайтов, которые варьировались от магазинов среднего размера до крупных платформ электронной коммерции с миллионами посетителей, внедрение вредоносного кода в виджет Okendo Reviews могло иметь серьезные последствия для безопасности пользователей. Хотя высокий трафик не гарантирует заражение пользователей, атака демонстрирует риски, связанные с уязвимостями в цепочке поставок программного обеспечения, подчеркивая более широкие риски воздействия, которые могут возникнуть из-за единой точки компрометации в широко используемом компоненте стороннего разработчика.

#ParsedReport #CompletenessHigh
18-06-2026

Honeypot: Investigating Attacks by the Hive0117 Group on Accountants at Companies in Russia and CIS Countries

https://www.f6.ru/blog/honey-trap-hive0117/

Report completeness: High

Actors/Campaigns:
Watch_wolf (motivation: cyber_criminal, financially_motivated)

Threats:
Darkwatchman
Lite_manager_tool
Bitrat
Hvnc_tool
Shadow_copies_delete_technique

Victims:
Accountants, Finance departments, Legal entities, Companies in russia, Organizations in the commonwealth of independent states

Industry:
Chemical, Financial, Telco, Retail

Geo:
Kazakhstan, Uzbekistan, Russia, Russian, Belarus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1010, T1012, T1027, T1027.004, T1036, T1041, T1053.005, T1056.001, T1059.001, T1059.003, have more...

IOCs:
File: 9
Command: 1
Hash: 12
Domain: 30
IP: 2

Soft:
Telegram, VKontakte, Viber, WhatsApp, Android, Windows registry, Chrome, Firefox

Algorithms:
md5, sha256, sha1

Functions:
PowerShell, SetWindowsHookEx

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2026 году финансово мотивированная группа Hive0117 усилила свои атаки, в первую очередь нацеливаясь на бухгалтеров в России и странах СНГ с использованием сложных методов и безфайлового ВПО DarkWatchman. Их стратегия включает фишинговые письма со скрытым ВПО в архивах RAR, что обеспечивает доступ к конфиденциальной корпоративной банковской информации. После заражения ВПО перехватывает нажатия клавиш и Данные из буфера обмена, а также позволяет использовать ПО для удаленного доступа, что приводит к несанкционированным транзакциям, замаскированным под легитимные платежи.
-----

Атаки, проводимые финансово мотивированной группировкой Hive0117, усилились в 2026 году, в первую очередь нацеливаясь на бухгалтеров в компаниях по всей России и странам СНГ. Эта группировка, активная с конца 2021 года, использует ряд сложных техник и ВПО, наиболее известным из которых является безфайловое ВПО DarkWatchman. Основная цель этих атак — проникновение в системы онлайн-банкинга для перевода денег на счета, контролируемые злоумышленниками, часто маскируя транзакции под законные выплаты заработной платы.

Метод работы Hive0117 заключается в отправке фишинговых писем, которые выглядят как легитимные документы и скрывают ВПО DarkWatchman в архивах RAR. Эти письма содержат темы, призванные привлечь внимание бухгалтеров, такие как «Счет», «Товарная накладная» и «Неоплаченный счет». Для обхода обнаружения почтовыми фильтрами ВПО зашифровано и защищено паролем, при этом пароль включается в тело письма. Когда получатель распаковывает архив RAR, он случайно запускает вредоносный код, что позволяет злоумышленникам проникнуть в их устройства.

После установки DarkWatchman функционирует путем сбора конфиденциальной информации, такой как нажатия клавиш и содержимое буфера обмена, с особым акцентом на отслеживание любых криптографических токенов, используемых для доступа к корпоративным банковским системам. Как только злоумышленники устанавливают наличие токена на зараженном устройстве, они могут повысить уровень доступа, развернув дополнительные инструменты удаленного доступа, такие как LiteManager или BitRAT. Это позволяет им напрямую манипулировать скомпрометированными машинами, выполняя платежные транзакции, которые выглядят легитимно для систем противодействия мошенничеству, установленных для корпоративных счетов.

Стратегии атак Hive0117 не только используют DarkWatchman, но и интегрируют модуль кейлоггера, который компилирует C#-скрипты для мониторинга взаимодействия пользователей. Этот кейлоггер не только фиксирует нажатия клавиш, но и обнаруживает любые смарт-карты, подключенные к рабочей станции, что позволяет своевременно выполнять несанкционированные действия при обнаружении токена.

Дальнейшие тактики включают использование вредоносного ПО HVNC (Hidden Virtual Network Computing), которое позволяет злоумышленникам создавать невидимый виртуальный рабочий стол на машине жертвы, обеспечивая более плавный контроль над устройством при имперсонации пользователя. Это вредоносное ПО может манипулировать буфером обмена, выполнять скрипты и даже управлять сеансами браузера, которые получают доступ к банковским порталам, что демонстрирует сложность операций Hive0117.

Собранные доказательства подтверждают, что с начала 2026 года Hive0117 успешно выполнила около 400 атак на российские предприятия, при этом средние финансовые потери от их операций значительно возросли всего за пару месяцев. Комбинация группы передовых фишинговых техник, тонких функциональных возможностей ВПО и контролируемых стратегий развертывания является примером высокорискованной финансовой киберпреступной операции, требующей серьезного внимания и контрмер со стороны команд безопасности.

#ParsedReport #CompletenessHigh
18-06-2026

From package to postinstall payload: Inside the Mastra npm supply chain compromise

https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique
Process_injection_technique
Trojan:js/npmstealz.z
Psexec_tool
Trojan:js/npmsteal.db

Victims:
Software development, Developers, Continuous integration and continuous delivery pipelines, Mastra ecosystem

TTPs:
Tactics: 6
Technics: 0

IOCs:
Email: 4
File: 10
Url: 1
Path: 1
IP: 2
Hash: 5

Soft:
Mastra, Microsoft Defender, Microsoft Defender for Endpoint, Node.js, ode.js pr, macOS, Linux, systemd, Chrome

Wallets:
metamask, coinbase, tronlink

Crypto:
binance

Algorithms:
xor, sha256, base64

Functions:
unref

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя атака на цепочку поставок npm скомпрометировала более 140 пакетов, захватив аккаунт разработчика "ehindero", что позволило злоумышленнику опубликовать вредоносный пакет с опечаткой easy-day-js. Этот пакет выполняет хук postinstall, который отключает проверку TLS для подключения к инфраструктуре C2, развертывая второй этап полезной нагрузки, способной выполнять команды удаленно и похищать данные, включая системную и браузерную информацию. Атака использует техники обфускации и отражает внедрение .NET-сборок для уклонения от обнаружения и сохранения на зараженных системах.
-----

Microsoft Threat Intelligence недавно обнаружила значительную атаку на цепочку поставок npm, в результате которой было скомпрометировано более 140 пакетов в областях mastra и @mastra в реестре npm. Атака произошла из-за захвата учетной записи сопровождающего, связанной с именем пользователя "ehindero", что позволило злоумышленнику публиковать вредоносные версии пакетов. Вредоносный релиз под названием easy-day-js представляет собой тайпсквоттинг популярной библиотеки dayjs и распространялся как зависимость в отравленных версиях пакетов mastra.

При установке easy-day-js выполнил postinstall-хук, который вызвал обфусцированный скрипт-дроппер. Этот скрипт отключил проверку сертификатов Transport Layer Security (TLS), подключившись к инфраструктуре атакующего управления (C2). Затем дроппер загрузил второй этап полезной нагрузки, которая была выполнена как отсоединённый скрытый процесс. Эта многоэтапная доставка выполнила последовательность чистых и вооружённых вариантов, начиная с безобидной версии, за которой быстро следовала скомпрометированная, эксплуатируя CI/CD-конвейеры разработчиков путём автоматического запуска установок на затронутых системах.

Фаза выполнения атаки включала постинсталляционный хук, который запустил дроппер размером 4 572 байта, выполнивший несколько вредоносных действий, включая отключение проверки TLS для облегчения несанкционированной связи с сервером C2. Второстепенная полезная нагрузка, кроссплатформенный клиент Node.js, содержит постоянный клиент задач, который отправляет периодические маяки на C2 и может выполнять команды удаленно на зараженной системе. Кроме того, полезная нагрузка использует рефлексивную инъекцию .NET-сборки, что позволяет выполнять код в памяти без создания артефактов на диске, усиливая тактики уклонения от механизмов обнаружения.

Метод обфускации, примененный для дроппера, включал ротацию массивов строк и пользовательские декодеры base64. Это обеспечивало скрытие ключевой информации, такой как вторичные адреса C2 и критические ссылки на модули Node.js, от немедленного обнаружения. Впоследствии вредоносный скрипт мог выполнять эксфильтрацию конфиденциальных данных, включая информацию об установленных средствах защиты, расширениях криптокошельков и историях браузеров, по протоколу HTTPS с использованием пользовательских протоколов.

Атака была обнаружена благодаря необычному поведению при публикации: скомпрометированный аккаунт опубликовал новую версию пакета вскоре после ручной публикации, используя анонимную почтовую службу, что отклонялось от стандартного процесса CI/CD, установленного для пакетов mastra. Все зависимости, добавленные через последние версии, разрешались на вредоносную версию, тем самым подвергая все среды, выполнившие команды npm install или update после атаки.

В заключение, эта сложная компрометация цепочки поставок использовала как социальную инженерию через захват учетной записи, так и тактики технического уклонения, подчеркивая уязвимости в управлении пакетами npm и критическую необходимость бдительности в управлении программными зависимостями. Возможности обнаружения с помощью таких инструментов, как Microsoft Defender, необходимы для выявления подозрительной активности и сдерживания, связанных с такими угрозами.

#ParsedReport #CompletenessMedium
18-06-2026

Sayonara, SocGholish: Operation Endgame Disrupts Major Cybercrime Operation

https://www.proofpoint.com/us/blog/threat-insight/sayonara-socgholish-operation-endgame-disrupts-major-cybercrime-operation

Report completeness: Medium

Actors/Campaigns:
Ta569 (motivation: cyber_criminal)
Smartapesg
Ta2726
Evil_corp (motivation: cyber_criminal)
Ta2727
Kongtuke

Threats:
Socgholish_loader
Clearfake
Errtraffic
Password_spray_technique
Gholoader
Parrot_tds_tool
Wastedlocker
Lockbit
Ransomhub
Clickfix_technique
Frigidstealer
Blob_url_obfuscation_technique
Kongtuke

Victims:
Media, Retail, Nonprofits, Schools, Healthcare, Hospitals, Legal, Real estate, Wordpress websites, Websites worldwide, have more...

Industry:
Government, Healthcare, Retail

Geo:
Usa, Russian, United states, Netherlands, Germany, Canada

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1071.001, T1078, T1090, T1098, T1105, T1189, T1190, have more...

IOCs:
Domain: 2
File: 3

Soft:
WordPress, Keitaro, ive Directory envi, ctive Directory en, MacOS

Algorithms:
base64

Languages:
jscript, javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Endgame сорвала деятельность киберпреступной группы TA569, известной своим ВПО SocGholish и сложными техниками веб-инъекций, которые имитируют обновления браузеров, чтобы обманом заставить пользователей загружать вредоносное ПО. TA569 в основном перехватывает легитимные веб-сайты и использует уязвимости в системах управления контентом для доставки вредоносных загрузок через системы перенаправления трафика. Тактика группы включает передовую обфускацию и постоянную адаптацию, устанавливая соединения с серверами управления, что подчеркивает изменяющийся ландшафт киберугроз.
-----

Операция Endgame, совместное усилие, в котором участвовали глобальные правоохранительные органы, значительно подорвало деятельность TA569, известного киберпреступного объединения, известного своим ВПО SocGholish. С 2018 года TA569 признано за свои сложные техники веб-инъекций, которые имитируют обновления безопасности браузера, чтобы обмануть пользователей и заставить их загрузить вредоносное ПО. Эта стратегия распространения вредоносного ПО была связана с крупными операциями по вымогательству, такими как WastedLocker и LockBit, что позиционирует TA569 как критически важного злоумышленника в ландшафте киберкриминала.

Операции TA569 обычно используют системы направления трафика (TDS) для доставки вредоносных загрузок на основе атрибутов пользователя. Группа в основном перехватывает легитимные веб-сайты — часто через уязвимости в системах управления контентом, таких как WordPress, — что позволяет им внедрять вредоносный код, перенаправляющий посетителей в их собственные вредоносные среды. Эта компрометация может происходить различными способами, включая распыление пароля, эксплуатацию известных уязвимостей и использование утеченных учетных данных. Оказавшись внутри веб-сайта, TA569 не только доставляет свои вредоносные загрузки, но и может устанавливать бэкдоры для обеспечения постоянного доступа.

В ходе недавней зачистки правоохранительные органы ликвидировали более 100 серверов и 14 971 скомпрометированный веб-сайт, связанных с операциями TA569. В результате этой операции группе, как ожидается, предстоит столкнуться со значительными операционными трудностями, включая серьезный ущерб репутации и логистическим возможностям по доставке ВПО.

Схема фишинга SocGholish включает в себя сложную цепочку атак. После того как посетитель попадает на скомпрометированный сайт, вредоносный скрипт выполняет несколько проверок, чтобы подтвердить, что посетитель является реальным человеком, а не автоматизированным ботом. После успешного прохождения этих проверок сайт ведет себя так, как будто запрашивает легитимные обновления программного обеспечения, эффективно маскируя злонамеренные намерения до тех пор, пока пользователь не взаимодействует со ссылкой для загрузки, которая приводит к вредоносному ПО GhoLoader. Это вредоносное ПО, после выполнения, устанавливает обратное соединение с сервером управления актора (C2), тем самым закрепляясь в среде пользователя.

Разнообразные тактики, применяемые TA569, демонстрируют динамичную адаптацию для обхода обнаружения, опираясь на сочетание передовых методов обфускации и эксплуатации функциональности JavaScript. Хотя операция Endgame нанесла TA569 серьезный ущерб, растущая значимость различных злоумышленников, использующих веб-инъекции, и их техник указывает на продолжающуюся и развивающуюся киберугрозу. В частности, появление таких схем, как ClickFix, демонстрирует тенденцию к все более сложным и интерактивным методам вовлечения потенциальных жертв в установку ВПО, что свидетельствует о том, что, хотя одна угроза может ослабнуть, другие, вероятно, возникнут, чтобы заполнить образовавшуюся нишу.

#ParsedReport #CompletenessLow
17-06-2026

MetaStealer traffic, new DGAs and analyzing the “tracker” backdoor DGA with AI

https://medium.com/walmartglobaltech/metastealer-traffic-new-dgas-and-analyzing-the-tracker-backdoor-dga-with-ai-96ea63dc7c01?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Meta_stealer

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1090, T1568.002

IOCs:
Hash: 4
Url: 2
IP: 2

Soft:
Claude

Languages:
python

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MetaStealer разработал новый алгоритм генерации доменов (DGA) на основе списка слов, что усложняет управление трафиком и отслеживание из-за независимых прокси, ретранслирующих трафик. Новый выявленный бэкдор, демонстрирующий характеристики Троянской программы, включает собственный DGA, который был проанализирован с помощью ИИ-инструмента Claude.ai для генерации Python-кода, имитирующего поведение DGA. Почти не зашифрованный характер бинарного файла бэкдора облегчил процесс реверс-инжиниринга, хотя человеческий контроль был необходим для исправления первоначальных выводов ИИ.
-----

MetaStealer внедрил новый алгоритм генерации доменов (DGA) на основе списка слов, что имеет последствия для управления его трафиком. Примечательно, что прокси, связанные с MetaStealer, работают независимо от используемых доменов; они просто функционируют как элементы конфигурации для ретрансляции трафика на назначенные серверы. Эта гибкость может усложнить усилия по отслеживанию.

Кроме того, анализ выявил развивающееся ВПО, связанное с MetaStealer, которое демонстрирует характеристики Троянской программы или бэкдор. В ходе расследования было обнаружено, что бэкдор включает собственный DGA, который был проанализирован с помощью Claude.ai — инструмента на базе искусственного интеллекта, предназначенного для помощи в процессах реверс-инжиниринга. Этот анализ позволил извлечь рабочий код на Python, имитирующий поведение DGA.

Бинарный файл бэкдора был замечен как в значительной степени не зашифрованный, что упростило задачу реверс-инжиниринга. Процесс включал руководство искусственным интеллектом через основные рутины DGA и вспомогательные функции, улучшая способность Claude создавать функциональную реализацию DGA. В отличие от человеческих аналитиков, начальные выводы искусственного интеллекта не производили правильные доменные имена, что требовало дальнейшей доработки через обратную связь с использованием образцов доменных выводов. В конечном итоге, полученный код Python соответствовал ожидаемому поведению после выявления и исправления ошибок в реализации, сгенерированной искусственным интеллектом.

Этот пример отражает растущие возможности ИИ в анализе вредоносного ПО, подчеркивая, что, хотя он может помогать в задачах реверс-инжиниринга, участие квалифицированных специалистов остается необходимым для контроля за анализом и проверки результатов. Быстрое улучшение инструментов ИИ указывает на то, что они будут играть все более важную роль в будущем киберугрозы, особенно в анализе сложного поведения, связанного с новыми угрозами.

#ParsedReport #CompletenessHigh
18-06-2026

Prinz Eugen ransomware: a deep dive into a new Go-based encryptor

https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/

Report completeness: High

Actors/Campaigns:
Rootboy

Threats:
Prinz_eugen
Remotepc_tool
Typosquatting_technique
Clickfix_technique
Lolbin_technique

Victims:
Financial services, Driving school software, Credit services

Industry:
Financial

Geo:
Canada, France, German, Italian, Usa, African, South africa, Germany

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1059.001, T1070.004, T1078, T1083, T1105, T1133, T1136.001, T1219, T1486, have more...

IOCs:
File: 4
Path: 5
Command: 1
IP: 1
Domain: 5
Coin: 1
Hash: 1
Url: 3

Soft:
Chrome, Telegram, Jabber, Confluence

Algorithms:
chacha20-poly1305, sha256

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Prinz Eugen — это новая обнаруженная семейство программ-вымогателей, написанное на языке Go, использующее шифрование ChaCha20-Poly1305 с сложным трехэтапным процессом вывода ключей. Оно в первую очередь нацелено на недавно измененные файлы и выполняет рекурсивный сканирование каталогов, избегая использования ransom-нот для повышения скрытности. Скомпрометированные учетные данные RDP являются вероятным вектором первоначального доступа, а злоумышленник, связанный с предыдущими усилиями по вымогательству, использует легитимные инструменты для перемещения внутри компании, поддерживая низкую видимость через структурированные тактики управления.
-----

Prinz Eugen — это новая выявленная семья программ-вымогателей, созданная на языке Go, демонстрирующая сложное поведение и сильный акцент на целевой шифровании файлов. Она использует ChaCha20-Poly1305 для шифрования, характеризуется трехэтапной функцией вывода ключей и стратегией пофрагментного шифрования, что обеспечивает надежный механизм защиты зашифрованных файлов. ВПО отдает приоритет недавно измененным файлам при шифровании, одновременно выполняя рекурсивный обход каталогов, который может контролироваться с помощью параметров командной строки. Интересной особенностью Prinz Eugen является ее намеренный отказ от создания файла с вымогательским сообщением на диске; вместо этого она использует каналы связи вне основного потока для вымогательства у жертв, что усиливает ее антикриминалистический анализ возможности.

Первоначальный вектор атаки Prinz Eugen, по-видимому, включает скомпрометированные учетные данные RDP, через которые злоумышленник загрузил исполняемый файл вымогателя в скомпрометированную среду. Примечательно, что во время атаки преступник использовал легитимные инструменты удаленного управления, такие как RemotePC, для дополнительной развертывания полезной нагрузки и перемещения внутри компании, демонстрируя тенденцию, при которой атакующие используют доверенное программное обеспечение, чтобы слиться с нормальным корпоративным трафиком и избежать обнаружения. Оператор, как полага

Анализ поведения программы-вымогателя выявляет тщательный процесс шифрования, который начинается с создания временной копии исходного файла перед его шифрованием. Целостность каждого файла проверяется с помощью хеширования SHA-256, а приложение гарантирует, что ключ шифрования не остается в памяти после выполнения, что дополнительно усложняет криминалистический анализ. Сообщается, что актор значительно нацелился на среды, используя несколько векторов для доступа к корпоративным приложениям для перемещения внутри компании.

С точки зрения инфраструктуры, адреса управления (C2), используемые Prinz Eugen, демонстрируют элементы, указывающие на структурированную и осторожную оперативную методологию, включая демонтаж инфраструктуры после атаки. Такое поведение подтверждается быстрой очисткой учетных записей хостинга и удалением DNS-записей, связанных с их деятельностью.

Публичная атрибуция связывает программу-вымогатель с одним актором, известным как ROOTBOY, соединяя операцию с вымогательством с предыдущими инцидентами эксфильтрации данных и шантажа. Исторический контекст указывает на последовательный паттерн в соглашениях об именах и операционной методологии, что помогает отслеживать деятельность актора на различных форумах и платформах.

В последнем отчете также подчеркивается значительное время пребывания (dwell time) около трех недель до начала эксфильтрации данных, что подтверждает методичный операционный ритм, применяемый этим злоумышленником. Сложная архитектура Prinz Eugen, включая его технические особенности и целенаправленный выбор инструментов эксплуатации, проливает свет на эволюцию ландшафта операций с программным обеспечением для вымогательства, где как скорость, так и скрытность имеют первостепенное значение.

#ParsedReport #CompletenessHigh
17-06-2026

Vibe Hacking: Two AI-Augmented Campaigns Target Government and Financial Sectors in Latin America

https://www.trendmicro.com/ru_ru/research/26/e/vibe-hacking-two-ai-augmented-campaigns-target-government-and-financial-sectors-in-latin-america.html

Report completeness: High

Actors/Campaigns:
Shadow-aether-040
Shadow-aether-064

Threats:
Proxychains_tool
Chisel_tool
Neo-regeorg
Crackmapexec_tool
Impacket_tool
Dirty_cow_vuln
Pwnkit_tool
Petitpotam_vuln
Password_spray_technique
Passthehash_technique
Socktz_tool
Credential_dumping_technique

Victims:
Government, Financial, Aviation, Retail, Latin america, Mexico, Brazil

Industry:
Aerospace, Government, Retail

Geo:
Spanish, Mexico, Portuguese, Brazil, Latin america

TTPs:
Tactics: 12
Technics: 33

IOCs:
IP: 8
Domain: 2
Hash: 20

Soft:
Anthropic, Claude, PyInstaller, JBoss, Active Directory, WordPress

Algorithms:
sha256, base64

Win API:
SeDenyNetworkLogonRight

Languages:
python

Links:
https://github.com/haad/proxychains
have more...
https://github.com/jpillora/chisel
https://github.com/L-codes/Neo-reGeorg

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании SHADOW-AETHER-040 и SHADOW-AETHER-064 демонстрируют эволюцию киберугроз, использующих агентов на базе искусственного интеллекта для автоматизации и усиления вторжений, направленных на государственные и финансовые секторы Латинской Америки. SHADOW-AETHER-040 использовал интерфейс командной строки для взаимодействия с большой языковой моделью с целью эксплуатации, применяя веб-шеллы и туннели SOCKS5, тогда как SHADOW-AETHER-064 использовал аналогичные тактики, включая такие инструменты, как POW и SOCKTZ. Обе кампании подчеркивают возросшую автоматизацию и эффективность кибератак благодаря искусственному интеллекту, что минимизирует риски обнаружения.
-----

SHADOW-AETHER-040 нацелен на государственные учреждения и финансовый сектор Мексики.

Операции начались в конце 2025 года.

Кампания использует агентный интерфейс командной строки для взаимодействия с большой языковой моделью.

Акторы генерируют динамические скрипты и команды для эксплуатации, используя уязвимости.

Веб-шеллы были развернуты для облегчения перемещения внутри компании через туннели SOCKS5 с использованием таких инструментов, как Chisel и Neo-reGeorg.

Операции управления были раскрыты из-за неправильной OPSEC, что привело к разглашению конфиденциальных данных и журналов разговоров.

ИИ-агент создавал целевые команды и документировал рабочие процессы атак в файлах Markdown, формируя оперативную базу знаний.

Был представлен новый бэкдор implante_http, позволяющий выполнять команды и осуществлять эксфильтрацию данных через каналы WebSocket.

SHADOW-AETHER-064, появившийся в апреле 2026 года, нацелен на финансовые учреждения в Бразилии.

Эта кампания использует тактики, аналогичные SHADOW-AETHER-040, включая ProxyChains и туннелирование SOCKS5.

Операторы SHADOW-AETHER-064 идентифицируются как португалоязычные, в отличие от испаноязычных оперативников SHADOW-AETHER-040.

Ключевыми инструментами этой кампании являются POW, который инкапсулирует трафик SOCKS5 в HTTP POST-запросы, и SOCKTZ — инструмент обратного туннелирования на Go для удаленного выполнения команд.

Обе кампании подчеркивают восходящий тренд в использовании ИИ-агентов для автоматизации киберопераций, что снижает зависимость от традиционных инструментов взлома.

Способность ИИ генерировать уникальные команды на лету снижает риски обнаружения.

Сильные практики безопасности, своевременное обновление и контроль доступа по модели нулевого доверия имеют решающее значение для снижения рисков от этих передовых угроз.

#ParsedReport #CompletenessMedium
18-06-2026

Operation FanTrap: Inside the FIFA 2026 Fraud Ecosystem

https://cyble.com/blog/operation-fantrap-fifa-2026-fraud-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Fantrap (motivation: financially_motivated, cyber_criminal)

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Football fans, Sports sector, Football sector

Industry:
Financial, Entertainment

Geo:
Apac, Korean, Mexico, Canada, China, Emea, Chinese, America, Latin american

TTPs:
Tactics: 5
Technics: 7

IOCs:
Domain: 3947

Soft:
Telegram, WhatsApp, Discord

Functions:
WhatsApp

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/blob/main/Operation\_FIFA\_TRAP/Operation\_FanTrap-Inside\_the\_FIFA\_2026\_Fraud\_Ecosystem\_ioc.txt