CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 18-06-2026 It looks like a normal resume, but the infection begins the moment it is executed. https://asec.ahnlab.com/ko/94163/ Report completeness: Low Threats: Dll_sideloading_technique Xctdoor Victims: Corporate users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы включали вредоносные LNK-файлы, замаскированные под резюме, которые при взаимодействии выполняют серию скриптов для установки бэкдор ВПО. Атака использует такие техники, как создание запланированных задач для поддержания закрепления и использование подгрузки DLL (DLL side-loading) с `ProximityUxHost.exe` для загрузки вредоносной DLL `ProximityCommon.dll`, что соответствует варианту бэкдор ВПО под названием Xctdoor. ВПО подключается к серверу C2 для постоянного управления и эксфильтрации данных, что затрудняет обнаружение из-за тактик обфускации.
-----

Недавние киберугрозы связаны с вредоносными ярлыками (LNK), замаскированными под безобидные документы резюме. Эти файлы, как правило, называются так, чтобы напоминать настоящие резюме, включая названия соответствующих компаний и должности, и запускают заражение сразу после выполнения. Когда пользователи взаимодействуют с этими LNK-файлами, им показывается документ, выглядящий легитимно, чтобы обмануть их и заставить поверить, что файл безопасен. Одновременно вредоносный компонент работает в фоновом режиме, развертывая дополнительные файлы и бэкдор ВПО.

После выполнения LNK-файл генерирует пакетные файлы (.bat), скрипты PowerShell (.ps1) и файлы VBScript (.vbs) в директории `C:\Users\Public\Videos`. Эта серия скриптов встроена в LNK-файл, а созданный скрипт PowerShell настраивает задачу в Планировщике заданий с именем "office365", которая вызывает файл VBScript каждые десять минут. Этот шаг критически важен, так как он обеспечивает постоянное выполнение ВПО, позволяя ему возобновлять работу даже после перезагрузки системы или ручного завершения процессов.

VBScript вызывает пакетный файл, который использует команду `curl` для загрузки дополнительных вредоносных компонентов с внешнего сервера. Некоторые из этих файлов закодированы в формате Base64, и после декодирования они сохраняются как скрипты PowerShell в директории `C:\Users\Public\Pictures`. Скрипт `p2.ps1` затем создает ярлык в папке автозагрузки, обеспечивая продолжение вредоносных операций при каждом запуске системы. Он также расшифровывает ранее загруженные файлы для создания исполняемых файлов, DLL и дополнительных файлов данных.

Одной из заметных техник, применённых в этой атаке, является подгрузка DLL (DLL side-loading), при которой легитимный исполняемый файл — в данном случае `ProximityUxHost.exe` — манипулируется для загрузки вредоносной DLL `ProximityCommon.dll`. Вредоносный код, инкапсулированный в этой DLL, соответствует варианту бэкдор ВПО под названием Xctdoor. Данный вредоносный код пытается установить соединение с сервером управления (C2), обеспечивая постоянный контроль и потенциальную эксфильтрацию данных злоумышленником.

Сложность и скрытность этой цепочки атаки затрудняют её обнаружение. Используя методы обфускации, такие как применение распространённых имён файлов документов и имитация легитимных системных конфигураций, злоумышленники повышают вероятность успешной эксплуатации. Следовательно, пользователи и администраторы безопасности должны проявлять бдительность при проверке файлов, которые выглядят безобидно, но могут скрывать вредоносные вложения, особенно бдительно относясь к LNK-файлам, связанным с процессами трудоустройства.
#ParsedReport #CompletenessLow
19-06-2026

AutoJack: How a single page can RCE the host running your AI agent

https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent/

Report completeness: Low

Threats:
Autojack_technique
Cross_prompt_injection_technique

Victims:
Autogen studio developers, Software development, Artificial intelligence

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1189, T1203

IOCs:
Domain: 1
Command: 1
File: 21
Url: 2

Soft:
Microsoft Defender, AutoGen, FastAPI, Flask, Chromium, utoGen St, Microsoft Entra, PyRIT, Microsoft Defender for Endpoint, Dependabot, have more...

Algorithms:
base64

Functions:
WebSocket

Languages:
javascript, python

Links:
https://github.com/microsoft/autogen/commit/b0477309d2a0baf489aa256646e41e513ab3bfe8
https://github.com/microsoft/PyRIT
CTT Report Hub
#ParsedReport #CompletenessLow 19-06-2026 AutoJack: How a single page can RCE the host running your AI agent https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-single-page-rce-host-running-ai-agent/ Report completeness: Low Threats: Autojack_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов AutoJack, обнаруженная в AutoGen Studio, позволяет недоверенному веб-контенту эксплуатировать локальный WebSocket протокола Model Context Protocol (MCP), обеспечивая произвольное выполнение процессов на хосте. Уязвимость обусловлена недостаточной проверкой источника и опциональной аутентификацией для путей MCP, что может быть использовано для организации Удаленного Выполнения Кода (RCE). Этот инцидент подчеркивает необходимость усиления протоколов безопасности в экосистемах ИИ-агентов, отражая уязвимости, связанные с взаимодействием этих агентов с недоверенным контентом.
-----

Расследование безопасности фреймворков ИИ-агентов привело к обнаружению значительной цепочки эксплойтов, получившей название «AutoJack», в AutoGen Studio — открытой прототипной пользовательской интерфейсной оболочке, разработанной Microsoft Research. Эта уязвимость позволяет недоверенному веб-контенту, доступному через агента-браузера, эксплуатировать локальный WebSocket протокола Model Context Protocol (MCP), что дает атакующему возможность выполнять произвольные процессы на хост-системе. Это нарушение пересекает границу доверия localhost, на которую обычно опираются инструменты разработчика, фундаментально изменяя ожидаемую позицию безопасности в аналогичных средах.

Цепочка эксплуатации опирается на три основные уязвимости в реализации MCP WebSocket. Первая — недостаточная проверка источника (origin), при которой WebSocket принимает соединения только с localhost, что может быть обходится агентами, работающими на том же компьютере и обслуживающими легитимные веб-страницы или выполняющими JavaScript. Во-вторых, аутентификация для путей MCP отключена по умолчанию (opt-out), что означает отсутствие необходимых проверок аутентификации на критических конечных точках, позволяя несанкционированный доступ к WebSocket. Это эффективно превращает агента браузера в «запутанного заместителя» (confused deputy), злоупотребляя доверием, предоставленным для localhost, для обхода предусмотренных мер безопасности.

Например, агент AutoGen, развернутый с возможностями веб-просмотра, может быть обманут для загрузки вредоносного контента с URL-адреса, контролируемого злоумышленником. После компрометации агент может быть использован для открытия WebSocket-соединения с локальным конечной точкой MCP, что приведет к выполнению команд, таких как запуск calc.exe на машине разработчика, — что отражает простую и потенциально катастрофическую уязвимость Удаленное Выполнение Кода (RCE).

К счастью, эта уязвимость была устранена в последующих обновлениях после её выявления. Слабые места были исправлены до того, как какие-либо затронутые версии были выпущены через Python Package Index (PyPI), что означает, что пользователи, устанавливающие AutoGen Studio из PyPI, не подвержены этой эксплойт-атаке. Коммиты по усилению безопасности, реализованные в основной ветке, а также различные средства защиты и рекомендации от Microsoft помогают укрепить защиту от подобных атак.

Выходя за рамки AutoGen Studio, инцидент с AutoJack служит предупреждением о более широких последствиях для экосистем ИИ-агентов. Он демонстрирует, как традиционные меры безопасности могут стать неэффективными, когда агенты обладают возможностью взаимодействовать с ненадежным контентом и получать доступ к локальным привилегированным службам. Исследование показывает, что для защиты от аналогичных цепочек эксплуатации в других системах необходим более надежный фреймворк, включающий строгую аутентификацию, протоколы авторизации и изоляцию идентификации. Эта необходимая эволюция практик безопасности отражает растущую сложность угроз, возникающих по мере дальнейшего развития и распространения технологий ИИ.
#ParsedReport #CompletenessMedium
18-06-2026

Popa: From Sourcing to Distribution

https://synthient.com/blog/popa-from-sourcing-to-distribution

Report completeness: Medium

Threats:
Popa_tool
Residential_proxy_technique
Moneytiser_tool
Vo1d
Ghostsocks

Victims:
Consumers, Streaming applications, Iptv applications, Utility applications, Piracy related applications

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1071.001, T1090, T1102.001

IOCs:
Domain: 4
File: 1
Hash: 4

Soft:
Android

Algorithms:
aes-ecb

Win API:
NetNut

Languages:
java

Links:
https://github.com/synthient/public-research/tree/main/2026/06/popa
https://github.com/deepfield/public-research/tree/main/popa/iocs
have more...
https://github.com/deepfield/public-research/blob/main/reports/2026-06-18-robovpn-neunative.md
CTT Report Hub
#ParsedReport #CompletenessMedium 18-06-2026 Popa: From Sourcing to Distribution https://synthient.com/blog/popa-from-sourcing-to-distribution Report completeness: Medium Threats: Popa_tool Residential_proxy_technique Moneytiser_tool Vo1d Ghostsocks Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SDK прокси-программного обеспечения Popa для Android облегчает интеграцию потребительских устройств в коммерческую сеть домашних прокси, управляемую NetNut, позволяя несанкционированную ретрансляцию трафика третьих сторон. Несмотря на внедрение в версии 2.7.46 необязательной функции согласия пользователя, она не используется в проанализированных приложениях, что приводит к широкому незнанию среди пользователей. Технические тесты подтверждают, что устройства с SDK Popa могут действовать как эгресс-узлы для NetNut, что указывает на прямую связь и потенциальные риски, связанные с несанкционированным использованием домашних IP-адресов.
-----

В отчете представлен подробный анализ SDK прокси-программного обеспечения Popa для Android, который позволяет подключать потребительские устройства — такие как смартфоны, планшеты и стриминговые приставки — к коммерческой сети домашних прокси. Popa работает в связке с NetNut, используя сторонние приложения для создания сети, которая функционирует как минимум с мая 2020 года. Ключевые выводы показывают, что различные приложения, содержащие вариант Moneytiser, напрямую взаимодействуют с конечными точками SDK NetNut, что указывает на взаимосвязанную операционную фреймворк. Расследования выявили тесную связь между Popa и NetNut, подтвержденную историческими данными и телеметрией, в частности, тем фактом, что трафик от пользователей Popa маршрутизируется через коммертические шлюзы NetNut.

Popa функционирует, внедряясь в потребительские приложения и перенаправляя трафик третьих сторон без согласия пользователя. Хотя в более поздней версии (v2.7.46) была добавлена опциональная функция запроса согласия, исследование показало, что ни одно из проанализированных приложений не вызывало эту возможность, что указывает на широкое использование без осведомленности пользователей. SDK эволюционировал, внедряя такие технологии, как шифрование AES для серверных коммуникаций, что добавляет дополнительный уровень обфускации к его операциям.

В ходе контролируемого теста 17 июня 2026 года было подтверждено, что устройства, работающие с Popa SDK, могут функционировать как эгресс-узлы для прокси-инфраструктуры NetNut. Наблюдения включали эгресс-трафик, соответствующий определенным путям запросов, что указывало на прямую связь между Popa SDK и системами NetNut. Эти технические характеристики подчеркивают тревожную тенденцию, при которой потребительские устройства могут неосознанно использоваться в качестве части прокси-сети, создавая потенциальные риски, связанные с несанкционированным использованием домашних IP-адресов.
#ParsedReport #CompletenessHigh
19-06-2026

From emerging threat to top-tier ransomware-as-a-service: The evolution of INC ransomware

https://www.acronis.com/en/tru/posts/from-emerging-threat-to-top-tier-ransomware-as-a-service-the-evolution-of-inc-ransomware/

Report completeness: High

Actors/Campaigns:
Farnetwork
Nokoyawa

Threats:
Inc_ransomware
Lockbit
Blackcat
Lynx
Sinobi
Rhysida
Zeppelin
Nokoyawa
Jsworm
Karma
Nemty
Lolbin_technique
Spear-phishing_technique
Simplehelp_tool
Citrix_bleed_vuln
Angry_ip_scanner_tool
Netscan_tool
Anydesk_tool
Screenconnect_tool
Teamviewer_tool
Rclone_tool
Vmprotect_tool
Supply_chain_technique

Victims:
Legal services, Manufacturing, Construction, Technology, Health care, Education, Professional services

Industry:
Education, Healthcare

Geo:
United states, Germany, Australia, Taiwan, Canada

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient_enterprise_management_server (<7.0.11, <7.2.3)

CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)

CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2024-57727 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)


TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 14
Path: 1
Hash: 22
Domain: 3

Soft:
twitter, Kitty, PsExec, Sysinternals, Windows kernel, Linux, ESXi

Algorithms:
base64, salsa20, aes-ctr, sha256, xor, aes, aes-128, ecc, exhibit, curve25519, ecdh

Functions:
Write-Host, Write-Output

Win API:
BCryptGenRandom, GetCommandLineW, OpenSCManagerW, OpenProcess, TerminateProcess, DeviceIoControl, HeapFree, GetSystemInfo

Languages:
rust

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/sadshade/veeam-creds/blob/main/Veeam-Get-Creds.ps1
CTT Report Hub
#ParsedReport #CompletenessHigh 19-06-2026 From emerging threat to top-tier ransomware-as-a-service: The evolution of INC ransomware https://www.acronis.com/en/tru/posts/from-emerging-threat-to-top-tier-ransomware-as-a-service-the-evolution-of-inc-ransomware/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
INC ransomware с 2023 года стала крупной группой, работающей по модели Программа-вымогатель как услуга, с более чем 800 жертвами, зафиксированными по всему миру к 2026 году. Группа использует возможности двух платформ с шифровальщиками для Windows и Linux/ESXi, написанными на Rust, что усложняет анализ из-за сильной обфускации. Ключевые тактики включают Целевой фишинг, эксплуатацию уязвимостей CVE-2023-3519 и CVE-2023-48788, использование living-off-the-land бинарных файлов для перемещение внутри компании, отключение систем EDR и применение продвинутых методов шифрования для шифрования данных и эксфильтрация.
-----

INC — известная группа, работающая по модели Программа-вымогатель как услуга (RaaS), появившаяся в 2023 году, к 2026 году сообщалось более чем об 800 жертвах по всему миру.

Оно приобрело популярность из-за сбоев в работе групп, таких как LockBit, и закрытия BlackCat, что привлекло аффилиатов.

INC использует двухплатформенную возможность с переписанными шифровальщиками для Windows и Linux/ESXi, разработанными на Rust, что усложняет анализ ВПО за счёт усиленной обфускации.

Недавние обновления включают дампер учётных данных, нацеленный на новые развертывания резервного копирования Veeam, с интеграцией современных методов шифрования учётных данных.

Первоначальный доступ осуществляется посредством целевого фишинга, эксплуатации уязвимостей в приложениях, таких как CVE-2023-3519 (Citrix Netscaler) и CVE-2023-48788 (Fortinet EMS), а также с использованием украденных учетных данных у брокеров первоначального доступа.

Методы обнаружения включают использование таких инструментов, как Angry IP Scanner, для перемещения внутри компании.

Группа использует встроенные в ОС бинарные файлы, такие как RDP и PsExec, для перемещения внутри компании и поддержания присутствия.

Они могут отключать системы обнаружения и реагирования на конечных точках (EDR) с помощью таких инструментов, как PsKill, для завершения процессов безопасности.

Управление осуществляется как с помощью инструментов красной команды, так и с помощью коммерчески доступного программного обеспечения, такого как Cobalt Strike и TeamViewer.

Эксфильтрация данных включает их сжатие с помощью 7-Zip и передачу в облачное хранилище с использованием rclone, что позволяет обойти ограничения межсетевого экрана.

Инцидентная программа-вымогатель использует Curve25519 для асимметричного шифрования и AES-128 в режиме CTR для шифрования файлов.

ВПО является настраиваемым, что позволяет операторам устанавливать конкретные операционные параметры и быстро удалять приложения, блокирующие ресурсы, для максимизации сбоев.

Требования выкупа видны: злоумышленники изменяют обои рабочего стола жертв и распечатывают копии через сетевые принтеры, чтобы оказать давление на жертв.

Операции группы выявляют уязвимости в критических секторах, особенно на рынках США, что требует усиления мер кибербезопасности для организаций.
#ParsedReport #CompletenessHigh
18-06-2026

Lost in relocation: analysis of a new loader distributing CASTLESTEALER

https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer

Report completeness: High

Threats:
Castlestealer
Oxloader
Process_hacker_tool
Donut

Victims:
Technology

Geo:
Russian, Russia, Ukraine

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 1
Url: 8
Path: 1
File: 5
Hash: 6

Soft:
Node.js

Algorithms:
xor, aes, sha256

Functions:
cinit, initterm, RunPE

Win API:
RegisterClipboardFormatW, WNetAddConnection2W, GlobalMemoryStatusEx, GetUserGeoID, GetUserDefaultUILanguage, LoadLibraryA

Languages:
powershell

YARA: Found

Links:
have more...
https://github.com/OALabs/hashdb/blob/main/algorithms/dualacc\_modfff1.py
https://github.com/TheWover/donut
https://gist.github.com/jiayuchann/fc37e3c047ebd987619e440c44b465ad
CTT Report Hub
#ParsedReport #CompletenessHigh 18-06-2026 Lost in relocation: analysis of a new loader distributing CASTLESTEALER https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer Report completeness: High Threats: Castlestealer Oxloader Process_hacker_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OXLOADER — это загрузчик для Windows, распространяющий стиллер CASTLESTEALER через вредоносные рекламные объявления Google, нацеленные на пользователей США. Он использует передовые тактики уклонения, включая несколько слоев обфускации и эксплуатацию раздела .reloc Windows для сокрытия вредоносного shell-кода, что приводит к низким показателям обнаружения. Загрузчик работает, маскируясь под установщик Node.js, выполняется через пакетный скрипт, который загружает полезную нагрузку и использует такие техники, как DonutLoader для выполнения кода в памяти, а также проверки на наличие виртуализированных сред и определенных геолокаций.
-----

OXLOADER — это новый обнаруженный загрузчик для Windows, распространяющий стиллер CASTLESTEALER, преимущественно через вредоносные рекламные объявления Google, нацеленные на жертв в США. Данный загрузчик использует сложные тактики уклонения от обнаружения, обеспечивая низкие показатели обнаружения в статических антивирусных движках и во время выполнения в песочницах. Его ключевые особенности включают многоуровневое запутывание, такое как выравнивание потока управления, непрозрачные предикаты и смешанная булева-арифметика, а также самоизменяющиеся загрузчики дешифровки. Важно отметить, что он использует раздел .reloc Windows для размещения вредоносного шеллкода, тем самым обходя традиционный статический анализ.

Метод распространения включает поиск пользователями легитимного программного обеспечения, в частности Node.js, и нажатие на спонсируемую рекламу, которая перенаправляет их на вредоносный сайт. Там они сталкиваются с пакетным скриптом, маскирующимся под мастер установки программного обеспечения. Этот скрипт загружает исполняемый файл OXLOADER с URL-адреса, размещенного на Storj, через PowerShell, с повышением прав UAC для бесшовного выполнения ВПО. После запуска OXLOADER раскрывает свою вредоносную природу через поведение, которое вызывает срабатывание правил обнаружения, что указывает на наличие полезной нагрузки, соответствующей CASTLESTEALER.

Во время выполнения OXLOADER использует сложные методы для уклонения от обнаружения поведенческими и антивирусными инструментами. Например, он выполняет различные проверки, чтобы убедиться, что работает в невиртуализированной среде, включая попытки подключения к некорректным сетевым ресурсам и проверку частоты обновления системы через запросы WMI. Кроме того, географические и языковые проверки предотвращают выполнение в странах СНГ или на системах, настроенных на русский язык, тем самым сужая целевую аудиторию и скрывая его работу.

Ключевой технологической особенностью загрузчика является его способность распаковывать и выполнять вредоносный код в памяти посредством последовательности тщательно скоординированных операций с использованием DonutLoader — техники, которая помогает оборачивать .NET-сборки в позиционно-независимый шеллкод для выполнения в памяти. Вредоносный код, после расшифровки и распаковки, включает методы для динамической обработки конфигурации и контекста выполнения, обеспечивая адаптивность и устойчивость к типичным стратегиям обнаружения.

OXLOADER появился во втором варианте, маскирующемся под установщик Node.js, по-прежнему используя тот же метод загрузки, что и в первоначальной версии. Этот вариант также применяет косвенные переходы для саморасшифровки в памяти и следует тому же шаблону выполнения, что указывает на согласованные усилия злоумышленника по поддержанию операционной согласованности и избеганию обнаружения.
#ParsedReport #CompletenessMedium
18-06-2026

PureRAT variant observed in AI Video Player

https://blog.lukeacha.com/2026/06/purerat-variant-observed-in-ai-video.html

Report completeness: Medium

Threats:
Purerat
Baoloader
Solarmarker
Bondat
Emotet
Tamperedchef
Justaskjacky
Quasar_rat
Seo_poisoning_technique
Steganography_technique

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1071.001, T1140, T1204.002, T1547.001

IOCs:
File: 5
IP: 4
Hash: 6
Registry: 1

Soft:
electron, Jupyter

Algorithms:
xor, aes, base64, rc4

Functions:
CreateThread

Win API:
ess ↓marshal, / RtlMoveMemor, ↓ .NET Loader, RtlMoveMemory

Languages:
javascript, rust, python
CTT Report Hub
#ParsedReport #CompletenessMedium 18-06-2026 PureRAT variant observed in AI Video Player https://blog.lukeacha.com/2026/06/purerat-variant-observed-in-ai-video.html Report completeness: Medium Threats: Purerat Baoloader Solarmarker Bondat Emotet Tamperedchef…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В анализе подробно описывается вариант ВПО, связанный с PureRAT, запуск которого осуществляется через обманчивый файл с именем DriveVideoSetup-x64-0.1.0.exe. Он использует трехэтапный процесс выполнения, переходя от байт-кода Python к shellcode и далее к сильно запутанным .NET-сборкам, что усложняет обнаружение. ВПО устанавливает связь с доменом C2 agent.sm-veo.com, применяя сложный механизм закрепления, который может активироваться через системные события, и использует собственное шифрование для обхода стандартных средств защиты.
-----

Анализ сосредоточен на варианте вредоносного ПО, связанном с PureRAT, который запускается через Вредоносный файл с именем DriveVideoSetup-x64-0.1.0.exe, замаскированный под поддельную тему Drive Video/SMVEO. Вредоносное ПО использует сложную трехэтапную стратегию выполнения, переходя от исходного байт-кода Python к шеллкоду и, в конечном итоге, выполняя защищенные сборки .NET. Во время динамического анализа было замечено, что вредоносное ПО устанавливает связь со своей инфраструктурой управления (управление), в частности с доменом agent.sm-veo.com. Этот процесс включал создание материалов сертификатов, хранящихся в каталоге %LOCALAPPDATA%, и ведение журнала активности агента, включая автоматическую регистрацию и подключения WebSocket.

В частности, фаза выполнения на Python не запускается немедленно, особенно в средах песочницы, где она может лишь обеспечить закрепление без выполнения всей цепочки вредоносного ПО. Более поздние этапы, включающие переход от Python к shellcode и затем к .NET, могут требовать дополнительных триггеров, таких как перезагрузка системы, вход пользователя или ручная активация через сохранённый ключ Run. Анализ выявил надёжный механизм закрепления, который может усложнить усилия по обнаружению и устранению угроз.

Этап .NET вредоносного ПО, обозначенный как Uwjoqtb, сильно запутан и содержит множество зашифрованных ресурсов, что препятствует прямому статическому анализу. Начальная статическая деконструкция выявляет отсутствие полных путей выполнения кода и множество методов-заглушек. Однако при отладке во время выполнения значительные функциональные возможности активируются динамически, что указывает на намеренный дизайн для уклонения от обнаружения традиционными средствами защиты.

Ключевые операционные механики включают использование кастомного 16-раундового потокового шифра, применяемого шеллкодом для декодирования его полезной нагрузки. Установленные коммуникации с инфраструктурой SMVEO аутентифицируются через WebSockets, что дополнительно подчеркивает операционную сложность и возможности управления ВПО. Эти данные указывают на сильную связь с деятельностью, описанной в существующей документации PureRAT, предполагая расчетливую эволюцию тактик и техник для повышения скрытности и эффективности при компрометации целевых систем.
#ParsedReport #CompletenessHigh
19-06-2026

Killing me gently: Inside Gentlemen’s EDR killer framework

https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte
Zeta88
Dragonforce
Warlock

Threats:
Edr-killer
Gentlekiller
Hexkiller
Throttleblood
Havockiller
Byovd_technique
Oxideharvest
Qilin_ransomware
Embargo_ransomware
Lockbit
Medusa_ransomware
Eldorado_ransomware
Ransomhub
Edrkillshifter_tool
Akira_ransomware
Demokiller_tool
Themida_tool
Unknownkiller
Poisonkiller
Tanium_tool
Zemana_tool
Iobit_tool
Poisonx
Medusalocker
Gentlemen_ransomware
Burntcigar

Victims:
Southeast asia, South america, Western europe, Thailand, Brazil, France

Geo:
Brazil, America, Polish, United states, France, Thailand, Asia

TTPs:
Tactics: 4
Technics: 7

IOCs:
File: 244
Hash: 27

Soft:
Linux, ESXi, Bromium, Microsoft Defender, PccNTMon, Sysinternals, Valorant, Google Chrome, Chromium, Microsoft Edge, have more...

Algorithms:
exhibit

Win API:
EXE, TmPreFilter, TmWscSvc, DeviceIoControl

Win Services:
avastsvc, ekrn, klnagent, LogProcessorService, masvc, macmnsvc, mcshield, mfefire, mfemms, MsMpEng, have more...

Languages:
rust

Links:
https://github.com/BlackSnufkin/BYOVD/tree/main/NSec-Killer
https://github.com/BlackSnufkin/BYOVD/tree/main/GameDriverX64-Killer
have more...
https://github.com/BlackSnufkin/BYOVD/tree/main/UnknownKiller