#ParsedReport #CompletenessHigh
18-06-2026
Lost in relocation: analysis of a new loader distributing CASTLESTEALER
https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer
Report completeness: High
Threats:
Castlestealer
Oxloader
Process_hacker_tool
Donut
Victims:
Technology
Geo:
Russian, Russia, Ukraine
TTPs:
Tactics: 7
Technics: 0
IOCs:
Domain: 1
Url: 8
Path: 1
File: 5
Hash: 6
Soft:
Node.js
Algorithms:
xor, aes, sha256
Functions:
cinit, initterm, RunPE
Win API:
RegisterClipboardFormatW, WNetAddConnection2W, GlobalMemoryStatusEx, GetUserGeoID, GetUserDefaultUILanguage, LoadLibraryA
Languages:
powershell
YARA: Found
Links:
have more...
18-06-2026
Lost in relocation: analysis of a new loader distributing CASTLESTEALER
https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer
Report completeness: High
Threats:
Castlestealer
Oxloader
Process_hacker_tool
Donut
Victims:
Technology
Geo:
Russian, Russia, Ukraine
TTPs:
Tactics: 7
Technics: 0
IOCs:
Domain: 1
Url: 8
Path: 1
File: 5
Hash: 6
Soft:
Node.js
Algorithms:
xor, aes, sha256
Functions:
cinit, initterm, RunPE
Win API:
RegisterClipboardFormatW, WNetAddConnection2W, GlobalMemoryStatusEx, GetUserGeoID, GetUserDefaultUILanguage, LoadLibraryA
Languages:
powershell
YARA: Found
Links:
have more...
https://github.com/OALabs/hashdb/blob/main/algorithms/dualacc\_modfff1.pyhttps://github.com/TheWover/donuthttps://gist.github.com/jiayuchann/fc37e3c047ebd987619e440c44b465adwww.elastic.co
OXLOADER: new loader evading detection to drop infostealer — Elastic Security Labs
Elastic Security Labs uncovers OXLOADER: a new Windows loader using .reloc section abuse and anti-VM checks to drop infostealer malware via Google Ads.
CTT Report Hub
#ParsedReport #CompletenessHigh 18-06-2026 Lost in relocation: analysis of a new loader distributing CASTLESTEALER https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer Report completeness: High Threats: Castlestealer Oxloader Process_hacker_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
OXLOADER — это загрузчик для Windows, распространяющий стиллер CASTLESTEALER через вредоносные рекламные объявления Google, нацеленные на пользователей США. Он использует передовые тактики уклонения, включая несколько слоев обфускации и эксплуатацию раздела .reloc Windows для сокрытия вредоносного shell-кода, что приводит к низким показателям обнаружения. Загрузчик работает, маскируясь под установщик Node.js, выполняется через пакетный скрипт, который загружает полезную нагрузку и использует такие техники, как DonutLoader для выполнения кода в памяти, а также проверки на наличие виртуализированных сред и определенных геолокаций.
-----
OXLOADER — это новый обнаруженный загрузчик для Windows, распространяющий стиллер CASTLESTEALER, преимущественно через вредоносные рекламные объявления Google, нацеленные на жертв в США. Данный загрузчик использует сложные тактики уклонения от обнаружения, обеспечивая низкие показатели обнаружения в статических антивирусных движках и во время выполнения в песочницах. Его ключевые особенности включают многоуровневое запутывание, такое как выравнивание потока управления, непрозрачные предикаты и смешанная булева-арифметика, а также самоизменяющиеся загрузчики дешифровки. Важно отметить, что он использует раздел .reloc Windows для размещения вредоносного шеллкода, тем самым обходя традиционный статический анализ.
Метод распространения включает поиск пользователями легитимного программного обеспечения, в частности Node.js, и нажатие на спонсируемую рекламу, которая перенаправляет их на вредоносный сайт. Там они сталкиваются с пакетным скриптом, маскирующимся под мастер установки программного обеспечения. Этот скрипт загружает исполняемый файл OXLOADER с URL-адреса, размещенного на Storj, через PowerShell, с повышением прав UAC для бесшовного выполнения ВПО. После запуска OXLOADER раскрывает свою вредоносную природу через поведение, которое вызывает срабатывание правил обнаружения, что указывает на наличие полезной нагрузки, соответствующей CASTLESTEALER.
Во время выполнения OXLOADER использует сложные методы для уклонения от обнаружения поведенческими и антивирусными инструментами. Например, он выполняет различные проверки, чтобы убедиться, что работает в невиртуализированной среде, включая попытки подключения к некорректным сетевым ресурсам и проверку частоты обновления системы через запросы WMI. Кроме того, географические и языковые проверки предотвращают выполнение в странах СНГ или на системах, настроенных на русский язык, тем самым сужая целевую аудиторию и скрывая его работу.
Ключевой технологической особенностью загрузчика является его способность распаковывать и выполнять вредоносный код в памяти посредством последовательности тщательно скоординированных операций с использованием DonutLoader — техники, которая помогает оборачивать .NET-сборки в позиционно-независимый шеллкод для выполнения в памяти. Вредоносный код, после расшифровки и распаковки, включает методы для динамической обработки конфигурации и контекста выполнения, обеспечивая адаптивность и устойчивость к типичным стратегиям обнаружения.
OXLOADER появился во втором варианте, маскирующемся под установщик Node.js, по-прежнему используя тот же метод загрузки, что и в первоначальной версии. Этот вариант также применяет косвенные переходы для саморасшифровки в памяти и следует тому же шаблону выполнения, что указывает на согласованные усилия злоумышленника по поддержанию операционной согласованности и избеганию обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
OXLOADER — это загрузчик для Windows, распространяющий стиллер CASTLESTEALER через вредоносные рекламные объявления Google, нацеленные на пользователей США. Он использует передовые тактики уклонения, включая несколько слоев обфускации и эксплуатацию раздела .reloc Windows для сокрытия вредоносного shell-кода, что приводит к низким показателям обнаружения. Загрузчик работает, маскируясь под установщик Node.js, выполняется через пакетный скрипт, который загружает полезную нагрузку и использует такие техники, как DonutLoader для выполнения кода в памяти, а также проверки на наличие виртуализированных сред и определенных геолокаций.
-----
OXLOADER — это новый обнаруженный загрузчик для Windows, распространяющий стиллер CASTLESTEALER, преимущественно через вредоносные рекламные объявления Google, нацеленные на жертв в США. Данный загрузчик использует сложные тактики уклонения от обнаружения, обеспечивая низкие показатели обнаружения в статических антивирусных движках и во время выполнения в песочницах. Его ключевые особенности включают многоуровневое запутывание, такое как выравнивание потока управления, непрозрачные предикаты и смешанная булева-арифметика, а также самоизменяющиеся загрузчики дешифровки. Важно отметить, что он использует раздел .reloc Windows для размещения вредоносного шеллкода, тем самым обходя традиционный статический анализ.
Метод распространения включает поиск пользователями легитимного программного обеспечения, в частности Node.js, и нажатие на спонсируемую рекламу, которая перенаправляет их на вредоносный сайт. Там они сталкиваются с пакетным скриптом, маскирующимся под мастер установки программного обеспечения. Этот скрипт загружает исполняемый файл OXLOADER с URL-адреса, размещенного на Storj, через PowerShell, с повышением прав UAC для бесшовного выполнения ВПО. После запуска OXLOADER раскрывает свою вредоносную природу через поведение, которое вызывает срабатывание правил обнаружения, что указывает на наличие полезной нагрузки, соответствующей CASTLESTEALER.
Во время выполнения OXLOADER использует сложные методы для уклонения от обнаружения поведенческими и антивирусными инструментами. Например, он выполняет различные проверки, чтобы убедиться, что работает в невиртуализированной среде, включая попытки подключения к некорректным сетевым ресурсам и проверку частоты обновления системы через запросы WMI. Кроме того, географические и языковые проверки предотвращают выполнение в странах СНГ или на системах, настроенных на русский язык, тем самым сужая целевую аудиторию и скрывая его работу.
Ключевой технологической особенностью загрузчика является его способность распаковывать и выполнять вредоносный код в памяти посредством последовательности тщательно скоординированных операций с использованием DonutLoader — техники, которая помогает оборачивать .NET-сборки в позиционно-независимый шеллкод для выполнения в памяти. Вредоносный код, после расшифровки и распаковки, включает методы для динамической обработки конфигурации и контекста выполнения, обеспечивая адаптивность и устойчивость к типичным стратегиям обнаружения.
OXLOADER появился во втором варианте, маскирующемся под установщик Node.js, по-прежнему используя тот же метод загрузки, что и в первоначальной версии. Этот вариант также применяет косвенные переходы для саморасшифровки в памяти и следует тому же шаблону выполнения, что указывает на согласованные усилия злоумышленника по поддержанию операционной согласованности и избеганию обнаружения.
#ParsedReport #CompletenessMedium
18-06-2026
PureRAT variant observed in AI Video Player
https://blog.lukeacha.com/2026/06/purerat-variant-observed-in-ai-video.html
Report completeness: Medium
Threats:
Purerat
Baoloader
Solarmarker
Bondat
Emotet
Tamperedchef
Justaskjacky
Quasar_rat
Seo_poisoning_technique
Steganography_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1059.006, T1071.001, T1140, T1204.002, T1547.001
IOCs:
File: 5
IP: 4
Hash: 6
Registry: 1
Soft:
electron, Jupyter
Algorithms:
xor, aes, base64, rc4
Functions:
CreateThread
Win API:
ess ↓marshal, / RtlMoveMemor, ↓ .NET Loader, RtlMoveMemory
Languages:
javascript, rust, python
18-06-2026
PureRAT variant observed in AI Video Player
https://blog.lukeacha.com/2026/06/purerat-variant-observed-in-ai-video.html
Report completeness: Medium
Threats:
Purerat
Baoloader
Solarmarker
Bondat
Emotet
Tamperedchef
Justaskjacky
Quasar_rat
Seo_poisoning_technique
Steganography_technique
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.006, T1071.001, T1140, T1204.002, T1547.001
IOCs:
File: 5
IP: 4
Hash: 6
Registry: 1
Soft:
electron, Jupyter
Algorithms:
xor, aes, base64, rc4
Functions:
CreateThread
Win API:
ess ↓marshal, / RtlMoveMemor, ↓ .NET Loader, RtlMoveMemory
Languages:
javascript, rust, python
Lukeacha
PureRAT variant observed in AI Video Player
PureRAT analysis, PYC disassembly, shellcode, and Reactor .NET binaries extracted. IOCs and Detection.
CTT Report Hub
#ParsedReport #CompletenessMedium 18-06-2026 PureRAT variant observed in AI Video Player https://blog.lukeacha.com/2026/06/purerat-variant-observed-in-ai-video.html Report completeness: Medium Threats: Purerat Baoloader Solarmarker Bondat Emotet Tamperedchef…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В анализе подробно описывается вариант ВПО, связанный с PureRAT, запуск которого осуществляется через обманчивый файл с именем DriveVideoSetup-x64-0.1.0.exe. Он использует трехэтапный процесс выполнения, переходя от байт-кода Python к shellcode и далее к сильно запутанным .NET-сборкам, что усложняет обнаружение. ВПО устанавливает связь с доменом C2 agent.sm-veo.com, применяя сложный механизм закрепления, который может активироваться через системные события, и использует собственное шифрование для обхода стандартных средств защиты.
-----
Анализ сосредоточен на варианте вредоносного ПО, связанном с PureRAT, который запускается через Вредоносный файл с именем DriveVideoSetup-x64-0.1.0.exe, замаскированный под поддельную тему Drive Video/SMVEO. Вредоносное ПО использует сложную трехэтапную стратегию выполнения, переходя от исходного байт-кода Python к шеллкоду и, в конечном итоге, выполняя защищенные сборки .NET. Во время динамического анализа было замечено, что вредоносное ПО устанавливает связь со своей инфраструктурой управления (управление), в частности с доменом agent.sm-veo.com. Этот процесс включал создание материалов сертификатов, хранящихся в каталоге %LOCALAPPDATA%, и ведение журнала активности агента, включая автоматическую регистрацию и подключения WebSocket.
В частности, фаза выполнения на Python не запускается немедленно, особенно в средах песочницы, где она может лишь обеспечить закрепление без выполнения всей цепочки вредоносного ПО. Более поздние этапы, включающие переход от Python к shellcode и затем к .NET, могут требовать дополнительных триггеров, таких как перезагрузка системы, вход пользователя или ручная активация через сохранённый ключ Run. Анализ выявил надёжный механизм закрепления, который может усложнить усилия по обнаружению и устранению угроз.
Этап .NET вредоносного ПО, обозначенный как Uwjoqtb, сильно запутан и содержит множество зашифрованных ресурсов, что препятствует прямому статическому анализу. Начальная статическая деконструкция выявляет отсутствие полных путей выполнения кода и множество методов-заглушек. Однако при отладке во время выполнения значительные функциональные возможности активируются динамически, что указывает на намеренный дизайн для уклонения от обнаружения традиционными средствами защиты.
Ключевые операционные механики включают использование кастомного 16-раундового потокового шифра, применяемого шеллкодом для декодирования его полезной нагрузки. Установленные коммуникации с инфраструктурой SMVEO аутентифицируются через WebSockets, что дополнительно подчеркивает операционную сложность и возможности управления ВПО. Эти данные указывают на сильную связь с деятельностью, описанной в существующей документации PureRAT, предполагая расчетливую эволюцию тактик и техник для повышения скрытности и эффективности при компрометации целевых систем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В анализе подробно описывается вариант ВПО, связанный с PureRAT, запуск которого осуществляется через обманчивый файл с именем DriveVideoSetup-x64-0.1.0.exe. Он использует трехэтапный процесс выполнения, переходя от байт-кода Python к shellcode и далее к сильно запутанным .NET-сборкам, что усложняет обнаружение. ВПО устанавливает связь с доменом C2 agent.sm-veo.com, применяя сложный механизм закрепления, который может активироваться через системные события, и использует собственное шифрование для обхода стандартных средств защиты.
-----
Анализ сосредоточен на варианте вредоносного ПО, связанном с PureRAT, который запускается через Вредоносный файл с именем DriveVideoSetup-x64-0.1.0.exe, замаскированный под поддельную тему Drive Video/SMVEO. Вредоносное ПО использует сложную трехэтапную стратегию выполнения, переходя от исходного байт-кода Python к шеллкоду и, в конечном итоге, выполняя защищенные сборки .NET. Во время динамического анализа было замечено, что вредоносное ПО устанавливает связь со своей инфраструктурой управления (управление), в частности с доменом agent.sm-veo.com. Этот процесс включал создание материалов сертификатов, хранящихся в каталоге %LOCALAPPDATA%, и ведение журнала активности агента, включая автоматическую регистрацию и подключения WebSocket.
В частности, фаза выполнения на Python не запускается немедленно, особенно в средах песочницы, где она может лишь обеспечить закрепление без выполнения всей цепочки вредоносного ПО. Более поздние этапы, включающие переход от Python к shellcode и затем к .NET, могут требовать дополнительных триггеров, таких как перезагрузка системы, вход пользователя или ручная активация через сохранённый ключ Run. Анализ выявил надёжный механизм закрепления, который может усложнить усилия по обнаружению и устранению угроз.
Этап .NET вредоносного ПО, обозначенный как Uwjoqtb, сильно запутан и содержит множество зашифрованных ресурсов, что препятствует прямому статическому анализу. Начальная статическая деконструкция выявляет отсутствие полных путей выполнения кода и множество методов-заглушек. Однако при отладке во время выполнения значительные функциональные возможности активируются динамически, что указывает на намеренный дизайн для уклонения от обнаружения традиционными средствами защиты.
Ключевые операционные механики включают использование кастомного 16-раундового потокового шифра, применяемого шеллкодом для декодирования его полезной нагрузки. Установленные коммуникации с инфраструктурой SMVEO аутентифицируются через WebSockets, что дополнительно подчеркивает операционную сложность и возможности управления ВПО. Эти данные указывают на сильную связь с деятельностью, описанной в существующей документации PureRAT, предполагая расчетливую эволюцию тактик и техник для повышения скрытности и эффективности при компрометации целевых систем.
#ParsedReport #CompletenessHigh
19-06-2026
Killing me gently: Inside Gentlemen’s EDR killer framework
https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte
Zeta88
Dragonforce
Warlock
Threats:
Edr-killer
Gentlekiller
Hexkiller
Throttleblood
Havockiller
Byovd_technique
Oxideharvest
Qilin_ransomware
Embargo_ransomware
Lockbit
Medusa_ransomware
Eldorado_ransomware
Ransomhub
Edrkillshifter_tool
Akira_ransomware
Demokiller_tool
Themida_tool
Unknownkiller
Poisonkiller
Tanium_tool
Zemana_tool
Iobit_tool
Poisonx
Medusalocker
Gentlemen_ransomware
Burntcigar
Victims:
Southeast asia, South america, Western europe, Thailand, Brazil, France
Geo:
Brazil, America, Polish, United states, France, Thailand, Asia
TTPs:
Tactics: 4
Technics: 7
IOCs:
File: 244
Hash: 27
Soft:
Linux, ESXi, Bromium, Microsoft Defender, PccNTMon, Sysinternals, Valorant, Google Chrome, Chromium, Microsoft Edge, have more...
Algorithms:
exhibit
Win API:
EXE, TmPreFilter, TmWscSvc, DeviceIoControl
Win Services:
avastsvc, ekrn, klnagent, LogProcessorService, masvc, macmnsvc, mcshield, mfefire, mfemms, MsMpEng, have more...
Languages:
rust
Links:
have more...
19-06-2026
Killing me gently: Inside Gentlemen’s EDR killer framework
https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware (motivation: financially_motivated)
Hastalamuerte
Zeta88
Dragonforce
Warlock
Threats:
Edr-killer
Gentlekiller
Hexkiller
Throttleblood
Havockiller
Byovd_technique
Oxideharvest
Qilin_ransomware
Embargo_ransomware
Lockbit
Medusa_ransomware
Eldorado_ransomware
Ransomhub
Edrkillshifter_tool
Akira_ransomware
Demokiller_tool
Themida_tool
Unknownkiller
Poisonkiller
Tanium_tool
Zemana_tool
Iobit_tool
Poisonx
Medusalocker
Gentlemen_ransomware
Burntcigar
Victims:
Southeast asia, South america, Western europe, Thailand, Brazil, France
Geo:
Brazil, America, Polish, United states, France, Thailand, Asia
TTPs:
Tactics: 4
Technics: 7
IOCs:
File: 244
Hash: 27
Soft:
Linux, ESXi, Bromium, Microsoft Defender, PccNTMon, Sysinternals, Valorant, Google Chrome, Chromium, Microsoft Edge, have more...
Algorithms:
exhibit
Win API:
EXE, TmPreFilter, TmWscSvc, DeviceIoControl
Win Services:
avastsvc, ekrn, klnagent, LogProcessorService, masvc, macmnsvc, mcshield, mfefire, mfemms, MsMpEng, have more...
Languages:
rust
Links:
https://github.com/BlackSnufkin/BYOVD/tree/main/NSec-Killerhttps://github.com/BlackSnufkin/BYOVD/tree/main/GameDriverX64-Killerhave more...
https://github.com/BlackSnufkin/BYOVD/tree/main/UnknownKillerWelivesecurity
Killing me gently: Inside Gentlemen’s EDR killer framework
ESET Research shares the results of a months-long investigation into the suite of EDR killers maintained by the RaaS gang Gentlemen
CTT Report Hub
#ParsedReport #CompletenessHigh 19-06-2026 Killing me gently: Inside Gentlemen’s EDR killer framework https://www.welivesecurity.com/en/eset-research/killing-me-gently-inside-gentlemens-edr-killer-framework/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование ESET Research группы Gentlemen RaaS выявило их сложный инструментарий для отключения систем EDR, в котором prominently фигурирует фреймворк GentleKiller, включающий несколько вариантов с использованием различных уязвимых драйверов. Эта группа действует на глобальном уровне, фокусируясь на Юго-Восточной Азии, Южной Америке и Западной Европе, и быстро адаптирует новые proof-of-концепты эксплойтов для наступательных целей. Кроме того, они используют инструмент для кражи учетных данных OxideHarvest, что указывает на их гибкий подход к киберкриминалу.
-----
Исследователи ESET недавно провели расследование набора инструментов для уничтожения EDR, используемого группировкой программ-вымогателей как услуга (RaaS), известной как Gentlemen, которая приобрела известность в сфере программ-вымогателей с начала 2026 года. Группа выделяется полным набором инструментов, предназначенных для отключения решений обнаружения и реагирования на конечных точках (EDR). В отличие от многих других группировок программ-вымогателей, Gentlemen не фокусирует свои операции преимущественно в США. Вместо этого она нацелена на жертв по всему миру, особенно в Юго-Восточной Азии, Южной Америке и Западной Европе.
Возможности Gentlemen по уничтожению EDR-решений базируются на проприетарном фреймворке, именуемом GentleKiller, который включает как минимум восемь вариантов, использующих различные уязвимые или вредоносные драйверы. Этот фреймворк интегрирован с сторонними инструментами, такими как HexKiller, ThrottleBlood и HavocKiller, все они стандартизированы для эффективного обхода средств защиты безопасности. Примечательно, что Gentlemen могут оперативно использовать новые доказательства концепции (PoC) эксплойтов Bring Your Own Vulnerable Driver (BYOVD) в течение нескольких дней после их публичного выпуска, демонстрируя свою техническую гибкость.
Группа использует необычный подход, предоставляя своим аффилированным лицам хорошо развитый набор средств для обхода защиты (EDR killers), что резко контрастирует с отраслевой нормой, согласно которой аффилированным лицам обычно необходимо приобретать собственные инструменты. Эта модель снижает барьеры для входа и операционную сложность для аффилированных лиц, эффективно упрощая процесс атаки. Средства для обхода защиты (EDR killers) следуют единой стратегии обхода защиты, которая включает передовые техники защиты бинарных файлов и использование вводящих в заблуждение имен файлов для маскировки под легитимное программное обеспечение, преимущественно в секторе кибербезопасности.
Инструмент GentleKiller, в частности, широко встречается в наблюдениях за операциями хакерской группировки The Gentlemen, при этом существуют варианты, имитирующие различные легитимные продукты. Он демонстрирует операционную гибкость, позволяя быстро адаптироваться к новым угрозам и уязвимостям. Кроме того, базовая архитектура фреймворка GentleKiller и его сторонних аналогов указывает на их происхождение и подтверждает участие внешних источников в разработке.
Помимо инструментов для уничтожения EDR, Gentlemen также связаны с инструментом для кражи учётных данных OxideHarvest, который, несмотря на то, что написан на Rust и не соответствует основному языку разработки группы, имеет заметное присутствие в их операциях через связанного аффилиата.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование ESET Research группы Gentlemen RaaS выявило их сложный инструментарий для отключения систем EDR, в котором prominently фигурирует фреймворк GentleKiller, включающий несколько вариантов с использованием различных уязвимых драйверов. Эта группа действует на глобальном уровне, фокусируясь на Юго-Восточной Азии, Южной Америке и Западной Европе, и быстро адаптирует новые proof-of-концепты эксплойтов для наступательных целей. Кроме того, они используют инструмент для кражи учетных данных OxideHarvest, что указывает на их гибкий подход к киберкриминалу.
-----
Исследователи ESET недавно провели расследование набора инструментов для уничтожения EDR, используемого группировкой программ-вымогателей как услуга (RaaS), известной как Gentlemen, которая приобрела известность в сфере программ-вымогателей с начала 2026 года. Группа выделяется полным набором инструментов, предназначенных для отключения решений обнаружения и реагирования на конечных точках (EDR). В отличие от многих других группировок программ-вымогателей, Gentlemen не фокусирует свои операции преимущественно в США. Вместо этого она нацелена на жертв по всему миру, особенно в Юго-Восточной Азии, Южной Америке и Западной Европе.
Возможности Gentlemen по уничтожению EDR-решений базируются на проприетарном фреймворке, именуемом GentleKiller, который включает как минимум восемь вариантов, использующих различные уязвимые или вредоносные драйверы. Этот фреймворк интегрирован с сторонними инструментами, такими как HexKiller, ThrottleBlood и HavocKiller, все они стандартизированы для эффективного обхода средств защиты безопасности. Примечательно, что Gentlemen могут оперативно использовать новые доказательства концепции (PoC) эксплойтов Bring Your Own Vulnerable Driver (BYOVD) в течение нескольких дней после их публичного выпуска, демонстрируя свою техническую гибкость.
Группа использует необычный подход, предоставляя своим аффилированным лицам хорошо развитый набор средств для обхода защиты (EDR killers), что резко контрастирует с отраслевой нормой, согласно которой аффилированным лицам обычно необходимо приобретать собственные инструменты. Эта модель снижает барьеры для входа и операционную сложность для аффилированных лиц, эффективно упрощая процесс атаки. Средства для обхода защиты (EDR killers) следуют единой стратегии обхода защиты, которая включает передовые техники защиты бинарных файлов и использование вводящих в заблуждение имен файлов для маскировки под легитимное программное обеспечение, преимущественно в секторе кибербезопасности.
Инструмент GentleKiller, в частности, широко встречается в наблюдениях за операциями хакерской группировки The Gentlemen, при этом существуют варианты, имитирующие различные легитимные продукты. Он демонстрирует операционную гибкость, позволяя быстро адаптироваться к новым угрозам и уязвимостям. Кроме того, базовая архитектура фреймворка GentleKiller и его сторонних аналогов указывает на их происхождение и подтверждает участие внешних источников в разработке.
Помимо инструментов для уничтожения EDR, Gentlemen также связаны с инструментом для кражи учётных данных OxideHarvest, который, несмотря на то, что написан на Rust и не соответствует основному языку разработки группы, имеет заметное присутствие в их операциях через связанного аффилиата.
#ParsedReport #CompletenessMedium
19-06-2026
Threat Actors Weaponizing RAR Archives to Target Thailand’s Healthcare Sector
https://www.seqrite.com/blog/threat-actors-weaponizing-rar-archives-to-target-thailands-healthcare-sector/
Report completeness: Medium
Threats:
Spear-phishing_technique
Supply_chain_technique
Junk_code_technique
Victims:
Ministry of health, Healthcare organizations, Healthcare sector
Industry:
Government, Healthcare
Geo:
Thailand, China
TTPs:
Tactics: 9
Technics: 21
IOCs:
Command: 4
File: 3
Url: 1
Hash: 7
Soft:
filtration, curl, Google Chrome, Microsoft Edge, telegram
Algorithms:
exhibit, zip
Win Services:
WebClient
Languages:
python, powershell
19-06-2026
Threat Actors Weaponizing RAR Archives to Target Thailand’s Healthcare Sector
https://www.seqrite.com/blog/threat-actors-weaponizing-rar-archives-to-target-thailands-healthcare-sector/
Report completeness: Medium
Threats:
Spear-phishing_technique
Supply_chain_technique
Junk_code_technique
Victims:
Ministry of health, Healthcare organizations, Healthcare sector
Industry:
Government, Healthcare
Geo:
Thailand, China
TTPs:
Tactics: 9
Technics: 21
IOCs:
Command: 4
File: 3
Url: 1
Hash: 7
Soft:
filtration, curl, Google Chrome, Microsoft Edge, telegram
Algorithms:
exhibit, zip
Win Services:
WebClient
Languages:
python, powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 19-06-2026 Threat Actors Weaponizing RAR Archives to Target Thailand’s Healthcare Sector https://www.seqrite.com/blog/threat-actors-weaponizing-rar-archives-to-target-thailands-healthcare-sector/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена целевая вредоносная кампания, направленная на сектор здравоохранения Таиланда, использующая Целевой фишинг с вредоносными RAR-архивами, содержащими зашифрованные пакетные скрипты и исполняемые полезной нагрузки. Атака использует многослойную цепочку заражения, при которой полезная нагрузка загружается с GitHub, применяя основанный на Python стиллер под названием "sim.py", предназначенный для эксфильтрации учетных данных. Этот сложный подход демонстрирует детальную разведку рабочих процессов здравоохранения, с потенциалом для персистентного заражения и кражи данных.
-----
Целевая вредоносная кампания направлена на сектор здравоохранения Таиланда, включая персонал Министерства здравоохранения.
Злоумышленники используют атаки целевого фишинга с тематикой здравоохранения, содержащие вредоносные RAR-архивы с зашифрованными пакетными скриптами и исполняемыми полезными нагрузками.
Цепочка заражения включает несколько уровней обфускации и использует GitHub для доставки полезной нагрузки.
Вредоносное ПО для кражи информации используется для поддержания foothold в целевых средах, избегая обнаружения.
Приманки для целевого фишинга адаптированы под конкретные роли в системе здравоохранения, что указывает на значительную разведку.
ВПО доставляется из территории Таиланда с использованием локальной инфраструктуры для размещения, при этом применяется согласованная цепочка выполнения.
Первоначальный механизм доставки — вредоносный архив RAR, содержащий зашифрованный пакетный файл в качестве загрузчика первого этапа.
Один из обнаруженных пакетных файлов называется "Health_Ministry_Approved_Equipment_2026.bat", который создает временный файл и использует PowerShell для декодирования полезной нагрузки.
Этот слой обфускации маскирует функциональность полезной нагрузки для снижения эффективности статического анализа.
Последующие этапы используют пакетный загрузчик, обфусцированный с помощью Rouki, для загрузки и выполнения дополнительных компонентов вредоносного ПО с GitHub.
Среда выполнения позволяет осуществлять персистентное заражение с помощью скрипта, который загружает и выполняет дополнительный полезный груз, не требующий повышенных привилегий.
Финальный полезный груз представляет собой Python-скрипт с именем "sim.py", который функционирует как информационный стиллер.
При активации «sim.py» пытается завершить работу веб-браузеров для доступа к хранилищам учётных данных и артефактам сессий.
Были зафиксированы неудачные попытки эксфильтрации данных из-за проблем с подключением, однако вредоносное ПО демонстрирует характеристики, типичные для современных Python-информационных стилировщиков.
Кампания использует Телеграм для эксфильтрации данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена целевая вредоносная кампания, направленная на сектор здравоохранения Таиланда, использующая Целевой фишинг с вредоносными RAR-архивами, содержащими зашифрованные пакетные скрипты и исполняемые полезной нагрузки. Атака использует многослойную цепочку заражения, при которой полезная нагрузка загружается с GitHub, применяя основанный на Python стиллер под названием "sim.py", предназначенный для эксфильтрации учетных данных. Этот сложный подход демонстрирует детальную разведку рабочих процессов здравоохранения, с потенциалом для персистентного заражения и кражи данных.
-----
Целевая вредоносная кампания направлена на сектор здравоохранения Таиланда, включая персонал Министерства здравоохранения.
Злоумышленники используют атаки целевого фишинга с тематикой здравоохранения, содержащие вредоносные RAR-архивы с зашифрованными пакетными скриптами и исполняемыми полезными нагрузками.
Цепочка заражения включает несколько уровней обфускации и использует GitHub для доставки полезной нагрузки.
Вредоносное ПО для кражи информации используется для поддержания foothold в целевых средах, избегая обнаружения.
Приманки для целевого фишинга адаптированы под конкретные роли в системе здравоохранения, что указывает на значительную разведку.
ВПО доставляется из территории Таиланда с использованием локальной инфраструктуры для размещения, при этом применяется согласованная цепочка выполнения.
Первоначальный механизм доставки — вредоносный архив RAR, содержащий зашифрованный пакетный файл в качестве загрузчика первого этапа.
Один из обнаруженных пакетных файлов называется "Health_Ministry_Approved_Equipment_2026.bat", который создает временный файл и использует PowerShell для декодирования полезной нагрузки.
Этот слой обфускации маскирует функциональность полезной нагрузки для снижения эффективности статического анализа.
Последующие этапы используют пакетный загрузчик, обфусцированный с помощью Rouki, для загрузки и выполнения дополнительных компонентов вредоносного ПО с GitHub.
Среда выполнения позволяет осуществлять персистентное заражение с помощью скрипта, который загружает и выполняет дополнительный полезный груз, не требующий повышенных привилегий.
Финальный полезный груз представляет собой Python-скрипт с именем "sim.py", который функционирует как информационный стиллер.
При активации «sim.py» пытается завершить работу веб-браузеров для доступа к хранилищам учётных данных и артефактам сессий.
Были зафиксированы неудачные попытки эксфильтрации данных из-за проблем с подключением, однако вредоносное ПО демонстрирует характеристики, типичные для современных Python-информационных стилировщиков.
Кампания использует Телеграм для эксфильтрации данных.
#ParsedReport #CompletenessMedium
17-06-2026
Chinese-speaking Operators Clone FIFA's World Cup 2026 Ticketing Site To Steal Fan Logins and Card Data
https://hunt.io/blog/fifa-world-cup-2026-ticket-phishing-kit
Report completeness: Medium
Actors/Campaigns:
Ghost_stadium
Threats:
Credential_harvesting_technique
Victims:
Football fans, Fifa world cup ticket buyers
Industry:
Entertainment, Transport, Financial
Geo:
Chinese, German
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1056.003, T1583.001, T1583.004, T1656
IOCs:
File: 7
Domain: 44
IP: 3
Soft:
nginx, Alibaba Cloud, HiChina, GoDaddy
Languages:
javascript
17-06-2026
Chinese-speaking Operators Clone FIFA's World Cup 2026 Ticketing Site To Steal Fan Logins and Card Data
https://hunt.io/blog/fifa-world-cup-2026-ticket-phishing-kit
Report completeness: Medium
Actors/Campaigns:
Ghost_stadium
Threats:
Credential_harvesting_technique
Victims:
Football fans, Fifa world cup ticket buyers
Industry:
Entertainment, Transport, Financial
Geo:
Chinese, German
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1056.003, T1583.001, T1583.004, T1656
IOCs:
File: 7
Domain: 44
IP: 3
Soft:
nginx, Alibaba Cloud, HiChina, GoDaddy
Languages:
javascript
hunt.io
Chinese-speaking Operators Clone FIFA's World Cup 2026 Ticketing Site To Steal Fan Logins and Card Data
Chinese-speaking operators cloned FIFA's World Cup 2026 ticketing site across hundreds of lookalike domains to steal fan logins and card data. Here's how we tracked the whole fleet.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Chinese-speaking Operators Clone FIFA's World Cup 2026 Ticketing Site To Steal Fan Logins and Card Data https://hunt.io/blog/fifa-world-cup-2026-ticket-phishing-kit Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания фишинга, связанная с Чемпионатом мира по футболу 2026 года и известная как GHOST STADIUM, включает операторов, говорящих на китайском языке, которые клонируют официальный сайт продажи билетов для сбора учетных данных для входа и платежной информации у жертв, используя недорогие домены-двойники. Эти сайты демонстрируют технические сходства, применяя измененную структуру файлов с известными путями сборки React и общими артефактами, что облегчает обнаружение. Операция выглядит скоординированной, используя инфраструктуру, ориентированную на китайских клиентов, что указывает на сеть, сфокусированную на финансовой выгоде и перепродаже данных.
-----
Текущая фишинговая кампания, связанная с продажей билетов на Чемпионат мира по футболу 2026 года, характеризуется операторами, говорящими на китайском языке, которые скопировали официальный сайт продажи билетов, чтобы обмануть болельщиков и заставить их предоставить свои учетные данные для входа и платежные реквизиты. Эта операция, известная как GHOST STADIUM, использует массовый подход вместо сложных методов, полагаясь на клонированный контент с легитимного сайта FIFA, размещенный на множестве недорогих доменов-двойников. Идентичность этих клонов делает их визуально убедительными, но также придает им общую цифровую подпись, которую можно использовать для обнаружения и отслеживания.
Злоумышленники, стоящие за этой кампанией, стремятся собирать ценную информацию у жертв, включая учетные данные учетных записей FIFA, данные платежных карт, персональные данные и другие конфиденциальные данные в ходе, по-видимому, легитимных транзакций. Индикаторы указывают на то, что эта деятельность сильно локализована, о чем свидетельствуют наличие комментариев на упрощенном китайском языке в коде, использование фреймворк пользовательского интерфейса на китайском языке (Layui) и целевая регистрация через китайских регистраторов доменных имен. Кроме того, общая инфраструктура между различными доменами указывает на скоординированный операционный контроль, а не на изолированные фишинговые атаки.
С точки зрения технической обнаружения, фишинговые сайты работают на основе модифицированной структуры файлов; например, они предоставляют код через повторно размещенную сборку React, расположенную по пути /fifa/, который не используется официальным сайтом. Эта общая разделяемая инфраструктура, с определенными постоянными артефактами, такими как единый favicon и определенные оператором скрипты, создает устойчивые маркеры для отслеживания операции. Эти специфические сигнатуры обеспечивают прочную основу для выявления и поиска широкого спектра мошеннических доменов, появившихся в результате этой кампании.
Расследование также указывает на конкретную хостинг-инфраструктуру, связанную с организацией, которая обслуживает преимущественно китайских клиентов. Подозрительные IP-адреса и идентификаторы автономных систем (ASN) серверов, а также паттерны регистрации доменов дополнительно подтверждают утверждение о наличии скоординированной криминальной сети, действующей на китайском языке. Такая операционная схема направлена не только на получение немедленной финансовой выгоды через потребительское мошенничество, но и на извлечение вторичной прибыли за счет перепродажи украденных данных на подпольных рынках.
Для адекватного противодействия таким угрозам команды безопасности и охоты за угрозами должны сосредоточиться на структурных элементах наборов инструментов, используемых в этих атаках, а не на динамических значениях, подверженных частым изменениям. Эффективные стратегии включают блокировку подтвержденных фишинговых доменов на различных уровнях сетевой безопасности и непрерывный мониторинг новых регистраций доменов, связанных с этой мошеннической деятельностью. Учитывая срочность, связанную с продажей билетов, эти фишинговые домены часто могут казаться жертвам легитимными, что подчеркивает необходимость повышенной осведомленности и технической бдительности в выявлении и нейтрализации таких угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания фишинга, связанная с Чемпионатом мира по футболу 2026 года и известная как GHOST STADIUM, включает операторов, говорящих на китайском языке, которые клонируют официальный сайт продажи билетов для сбора учетных данных для входа и платежной информации у жертв, используя недорогие домены-двойники. Эти сайты демонстрируют технические сходства, применяя измененную структуру файлов с известными путями сборки React и общими артефактами, что облегчает обнаружение. Операция выглядит скоординированной, используя инфраструктуру, ориентированную на китайских клиентов, что указывает на сеть, сфокусированную на финансовой выгоде и перепродаже данных.
-----
Текущая фишинговая кампания, связанная с продажей билетов на Чемпионат мира по футболу 2026 года, характеризуется операторами, говорящими на китайском языке, которые скопировали официальный сайт продажи билетов, чтобы обмануть болельщиков и заставить их предоставить свои учетные данные для входа и платежные реквизиты. Эта операция, известная как GHOST STADIUM, использует массовый подход вместо сложных методов, полагаясь на клонированный контент с легитимного сайта FIFA, размещенный на множестве недорогих доменов-двойников. Идентичность этих клонов делает их визуально убедительными, но также придает им общую цифровую подпись, которую можно использовать для обнаружения и отслеживания.
Злоумышленники, стоящие за этой кампанией, стремятся собирать ценную информацию у жертв, включая учетные данные учетных записей FIFA, данные платежных карт, персональные данные и другие конфиденциальные данные в ходе, по-видимому, легитимных транзакций. Индикаторы указывают на то, что эта деятельность сильно локализована, о чем свидетельствуют наличие комментариев на упрощенном китайском языке в коде, использование фреймворк пользовательского интерфейса на китайском языке (Layui) и целевая регистрация через китайских регистраторов доменных имен. Кроме того, общая инфраструктура между различными доменами указывает на скоординированный операционный контроль, а не на изолированные фишинговые атаки.
С точки зрения технической обнаружения, фишинговые сайты работают на основе модифицированной структуры файлов; например, они предоставляют код через повторно размещенную сборку React, расположенную по пути /fifa/, который не используется официальным сайтом. Эта общая разделяемая инфраструктура, с определенными постоянными артефактами, такими как единый favicon и определенные оператором скрипты, создает устойчивые маркеры для отслеживания операции. Эти специфические сигнатуры обеспечивают прочную основу для выявления и поиска широкого спектра мошеннических доменов, появившихся в результате этой кампании.
Расследование также указывает на конкретную хостинг-инфраструктуру, связанную с организацией, которая обслуживает преимущественно китайских клиентов. Подозрительные IP-адреса и идентификаторы автономных систем (ASN) серверов, а также паттерны регистрации доменов дополнительно подтверждают утверждение о наличии скоординированной криминальной сети, действующей на китайском языке. Такая операционная схема направлена не только на получение немедленной финансовой выгоды через потребительское мошенничество, но и на извлечение вторичной прибыли за счет перепродажи украденных данных на подпольных рынках.
Для адекватного противодействия таким угрозам команды безопасности и охоты за угрозами должны сосредоточиться на структурных элементах наборов инструментов, используемых в этих атаках, а не на динамических значениях, подверженных частым изменениям. Эффективные стратегии включают блокировку подтвержденных фишинговых доменов на различных уровнях сетевой безопасности и непрерывный мониторинг новых регистраций доменов, связанных с этой мошеннической деятельностью. Учитывая срочность, связанную с продажей билетов, эти фишинговые домены часто могут казаться жертвам легитимными, что подчеркивает необходимость повышенной осведомленности и технической бдительности в выявлении и нейтрализации таких угроз.
#ParsedReport #CompletenessMedium
19-06-2026
Microsoft Teams-Themed Remote Access Phishing Campaign
https://www.cyfirma.com/research/microsoft-teams-themed-remote-access-phishing-campaign/
Report completeness: Medium
Threats:
Credential_harvesting_technique
Spear-phishing_technique
Victims:
Small businesses, Cafes, Pubs, Hotels, Sports shops, Law firms, Medical practices, Schools, Tour companies, Motor dealerships, have more...
Industry:
Financial, Healthcare
Geo:
Syria, Turkey, India, Brazil, Malaysia, Russia, Mexico, Tanzania
TTPs:
Tactics: 7
Technics: 12
IOCs:
File: 8
Soft:
Microsoft Teams, Windows Installer, Windows Service, Windows authentication, Windows security, Component Object Model, indows Installer
Algorithms:
exhibit
Platforms:
x86
SIGMA: Found
19-06-2026
Microsoft Teams-Themed Remote Access Phishing Campaign
https://www.cyfirma.com/research/microsoft-teams-themed-remote-access-phishing-campaign/
Report completeness: Medium
Threats:
Credential_harvesting_technique
Spear-phishing_technique
Victims:
Small businesses, Cafes, Pubs, Hotels, Sports shops, Law firms, Medical practices, Schools, Tour companies, Motor dealerships, have more...
Industry:
Financial, Healthcare
Geo:
Syria, Turkey, India, Brazil, Malaysia, Russia, Mexico, Tanzania
TTPs:
Tactics: 7
Technics: 12
IOCs:
File: 8
Soft:
Microsoft Teams, Windows Installer, Windows Service, Windows authentication, Windows security, Component Object Model, indows Installer
Algorithms:
exhibit
Platforms:
x86
SIGMA: Found
CYFIRMA
Microsoft Teams-Themed Remote Access Phishing Campaign - CYFIRMA
EXECUTIVE SUMMARY This investigation identified an active phishing campaign leveraging Microsoft Teams-themed lures to distribute a legitimate remote access tool...
CTT Report Hub
#ParsedReport #CompletenessMedium 19-06-2026 Microsoft Teams-Themed Remote Access Phishing Campaign https://www.cyfirma.com/research/microsoft-teams-themed-remote-access-phishing-campaign/ Report completeness: Medium Threats: Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания использует приманки в виде Microsoft Teams для распространения инструмента удаленного доступа, обманывая жертв и заставляя их скачивать его через обманные целевые страницы, имитирующие легитимные сервисы. Первоначальный доступ осуществляется через фишинговые письма, которые направляют пользователей на мошеннические сайты, побуждая скачивать программное обеспечение, обеспечивающее постоянный доступ путем создания служб Windows и интеграции с локальным механизмом безопасности для сбора учетных данных. Операция демонстрирует эволюцию фишинговых тактик, используя доверенные домены и скомпрометированные сайты для минимизации обнаружения, с потенциальным будущим расширением на другие платформы для совместной работы.
-----
Фишинговая кампания использует приманки в стиле Microsoft Teams для распространения инструмента удалённого доступа с целью несанкционированного доступа к системам.
Жертв перенаправляют на обманные целевые страницы, имитирующие легитимные сервисы для совместной работы, что побуждает их загрузить программное обеспечение, замаскированное под просмотрщик стенограммы совещаний.
Кампания использует социальную инженерию через срочные сообщения для повышения вовлеченности и применяет доверенное программное обеспечение для уклонения от обнаружения.
Первоначальный доступ осуществляется с помощью фишинговых писем, использующих Маскировку под уведомления Microsoft Teams.
Жертвы, кликнувшие по ссылке, перенаправляются на поддельный сайт, который побуждает их загрузить подписанный установщик инструмента удалённого доступа.
Скомпрометированные легитимные веб-сайты, часто принадлежащие малому бизнесу, служат начальным вектором компрометации из-за слабых позиций в области безопасности.
Инструмент удалённого доступа обеспечивает закрепление путём создания Службы Windows для автоматического запуска при загрузке и имеет механизм выживания в Безопасном режиме для поддержания доступа во время устранения неполадок.
Он регистрируется как пользовательский провайдер учетных данных в системе аутентификации Windows для сбора учетных данных и интегрируется с локальным центром безопасности (LSA) для захвата учетных данных.
Кампания сочетает доверенные облачные сервисы с скомпрометированными сайтами и легитимным программным обеспечением, что значительно снижает уровень обнаружения.
В будущем операции могут быть расширены на другие сервисы совместной работы и адаптированы к локальным языкам и конкретным ролям пользователей.
Организациям рекомендуется усиливать защиту с помощью поведенческого обнаружения и аутентификации, устойчивой к фишингу, а не полагаться исключительно на статические методы.
Кампания представляет собой зрелую угрозу, ориентированную на закрепление, сбор учетных записей и гибкую инфраструктуру.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания использует приманки в виде Microsoft Teams для распространения инструмента удаленного доступа, обманывая жертв и заставляя их скачивать его через обманные целевые страницы, имитирующие легитимные сервисы. Первоначальный доступ осуществляется через фишинговые письма, которые направляют пользователей на мошеннические сайты, побуждая скачивать программное обеспечение, обеспечивающее постоянный доступ путем создания служб Windows и интеграции с локальным механизмом безопасности для сбора учетных данных. Операция демонстрирует эволюцию фишинговых тактик, используя доверенные домены и скомпрометированные сайты для минимизации обнаружения, с потенциальным будущим расширением на другие платформы для совместной работы.
-----
Фишинговая кампания использует приманки в стиле Microsoft Teams для распространения инструмента удалённого доступа с целью несанкционированного доступа к системам.
Жертв перенаправляют на обманные целевые страницы, имитирующие легитимные сервисы для совместной работы, что побуждает их загрузить программное обеспечение, замаскированное под просмотрщик стенограммы совещаний.
Кампания использует социальную инженерию через срочные сообщения для повышения вовлеченности и применяет доверенное программное обеспечение для уклонения от обнаружения.
Первоначальный доступ осуществляется с помощью фишинговых писем, использующих Маскировку под уведомления Microsoft Teams.
Жертвы, кликнувшие по ссылке, перенаправляются на поддельный сайт, который побуждает их загрузить подписанный установщик инструмента удалённого доступа.
Скомпрометированные легитимные веб-сайты, часто принадлежащие малому бизнесу, служат начальным вектором компрометации из-за слабых позиций в области безопасности.
Инструмент удалённого доступа обеспечивает закрепление путём создания Службы Windows для автоматического запуска при загрузке и имеет механизм выживания в Безопасном режиме для поддержания доступа во время устранения неполадок.
Он регистрируется как пользовательский провайдер учетных данных в системе аутентификации Windows для сбора учетных данных и интегрируется с локальным центром безопасности (LSA) для захвата учетных данных.
Кампания сочетает доверенные облачные сервисы с скомпрометированными сайтами и легитимным программным обеспечением, что значительно снижает уровень обнаружения.
В будущем операции могут быть расширены на другие сервисы совместной работы и адаптированы к локальным языкам и конкретным ролям пользователей.
Организациям рекомендуется усиливать защиту с помощью поведенческого обнаружения и аутентификации, устойчивой к фишингу, а не полагаться исключительно на статические методы.
Кампания представляет собой зрелую угрозу, ориентированную на закрепление, сбор учетных записей и гибкую инфраструктуру.
#ParsedReport #CompletenessLow
16-06-2026
Threat Intelligence Report: Russia, Router, DNS, and Messaging-Layer Collection Operations
https://dti.domaintools.com/research/threat-intelligence-report-russia-router-dns-and-messaging-layer-collection-operations
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Seaborgium
Threats:
Dns_hijacking_technique
Aitm_technique
Spear-phishing_technique
Victims:
Government, Defense, Critical infrastructure, Diplomatic organizations, Media, Non governmental organizations, Ukraine related organizations, Military personnel, Government officials, Politicians, have more...
Industry:
Critical_infrastructure, Military, Ngo, Government, Energy, Telco
Geo:
Ukrainian, Russia, Russian, Ukraine
TTPs:
Tactics: 11
Technics: 30
Soft:
WhatsApp, Telegram, Outlook
16-06-2026
Threat Intelligence Report: Russia, Router, DNS, and Messaging-Layer Collection Operations
https://dti.domaintools.com/research/threat-intelligence-report-russia-router-dns-and-messaging-layer-collection-operations
Report completeness: Low
Actors/Campaigns:
Fancy_bear
Seaborgium
Threats:
Dns_hijacking_technique
Aitm_technique
Spear-phishing_technique
Victims:
Government, Defense, Critical infrastructure, Diplomatic organizations, Media, Non governmental organizations, Ukraine related organizations, Military personnel, Government officials, Politicians, have more...
Industry:
Critical_infrastructure, Military, Ngo, Government, Energy, Telco
Geo:
Ukrainian, Russia, Russian, Ukraine
TTPs:
Tactics: 11
Technics: 30
Soft:
WhatsApp, Telegram, Outlook
Domaintools
DomainTools Investigations | Threat Intelligence Report: Russia, Router, DNS, and Messaging-Layer Collection Operations
New research exposes Russian GRU (APT28) cyber operations using router compromise, DNS hijacking, and Signal/WhatsApp phishing for long-term espionage.