CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 Operation FlutterBridge: The FlutterShell macOS Backdoor https://www.levelblue.com/blogs/spiderlabs-blog/operation-flutterbridge-the-fluttershell-macos-backdoor Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FlutterBridge нацелена на пользователей macOS через рекламу, перенаправляющую на домены с опечатками (typosquatted), доставляя бэкдор FlutterShell. Это ВПО, эволюционирующее через несколько поколений, выполняет команды через WebView и канал JavaScript, полагаясь на условное подключение к серверу управления. Оно использует такие техники, как ротация сертификатов, и применяет двухкомпонентную архитектуру для избежания обнаружения, демонстрируя сложные тактики уклонения путем разделения статических бинарных файлов от вредоносных загрузок.
-----

Операция FlutterBridge была идентифицирована как сложная киберкампания, использующая фреймворк Flutter для развертывания вредоносного ПО macOS, в частности бэкдора FlutterShell. Вредоносное ПО функционирует за счет использования нескольких образцов Mach-O, демонстрируя эволюцию в рамках трех различных поколений. Ключевые технические особенности включают его способность сохранять возможности обнаружения несмотря на изменения в именах команд и других идентификаторах, путем разделения статического бинарного файла и полезной нагрузки команды. Во время выполнения WebView загружает содержимое, контролируемое злоумышленником, что позволяет отправлять команды через канал сообщений JavaScript, известный как FlutterInvoke.

Замечательно, что вредоносное ПО демонстрирует условную модель выполнения, зависящую от сервера управления (C2). Отсутствие какого-либо видимого вредоносного поведения в песочнице указывает на то, что вредоносное ПО остается неактивным без живого ответа C2. Такое поведение подчеркивает необходимость телеметрии на уровне конечных точек в качестве основного метода обнаружения, учитывая, что обычные поведенческие песочницы не могут имитировать живые взаимодействия C2.

Дальнейший анализ выявляет общие структурные свойства для нескольких полезной нагрузки, такие как идентичные отпечатки экспортируемых символов и согласованная архитектура. Развертывания используют двухкомпонентную архитектуру, где загрузчик-заглушка инициирует большую динамически связанную библиотеку полезной нагрузки, содержащую среду выполнения Dart и вредоносную логику. Каждая полезная нагрузка связывается исключительно с системными библиотеками, такими как libSystem.B.dylib, обходя стандартные фреймворки Apple, что помогает отличить её от легитимных приложений macOS.

Операционная стратегия злоумышленника включает такие техники, как ротация сертификатов, для обхода защитных механизмов Apple Gatekeeper. Более ранние поколения использовали действительные сертификаты Apple для прохождения первоначальной проверки, но последующие варианты перешли на самоподписанные артефакты для повышения возможностей уклонения. Такой подход позволяет злоумышленнику эффективно обходить механизмы отзыва.

Вектор атаки обычно предполагает нацеливание на пользователей через рекламу в Google/YouTube с использованием ключевых слов, связанных с популярными приложениями, такими как приложения для подкастов или конвертеры PDF. Жертв перенаправляют на домены с опечатками (typosquatted), где они скачивают подписанные пакеты приложений, выглядящие легитимно. После установки приложение обманным образом демонстрирует функциональный интерфейс, одновременно устанавливая соединение с доменом злоумышленника для выполнения команд.

Специфические данные также подчеркивают поведение полезной нагрузки, такое как попытки изменить поставщика поиска по умолчанию в Chrome и подавить предупреждения браузера, а также тихую замену пакетов приложений во время циклов обновления. Уникальные атрибуты и операционное поведение, наблюдаемое во вредоносном ПО FlutterShell, создают отличительные защитные маркеры, которые можно мониторить для обнаружения аномальной активности, связанной с этой злонамеренной кампанией.
#ParsedReport #CompletenessLow
23-06-2026

Extended Rapid Response: Zimperium's On-Device Coverage of the EvilTokens Multi-Brand Phishing Campaign

https://zimperium.com/blog/extended-rapid-response-zimperiums-on-device-coverage-of-the-eviltokens-multi-brand-phishing-campaign

Report completeness: Low

Threats:
Eviltokens_tool
Device_code_phishing_technique

Victims:
Microsoft 365 users, Mobile users

ChatGPT TTPs:
do not use without manual check
T1528, T1550.001, T1566.002, T1583.006

Algorithms:
aes-gcm

Links:
https://github.com/Zimperium/IOC/tree/master/2026-06-EvilTokens
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 Extended Rapid Response: Zimperium's On-Device Coverage of the EvilTokens Multi-Brand Phishing Campaign https://zimperium.com/blog/extended-rapid-response-zimperiums-on-device-coverage-of-the-eviltokens-multi-brand…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания EvilTokens использует модель Фишинг как услуга, нацеленную на пользователей Microsoft 365, применяя техники фишинга через код устройства при этом имитируя доверенные бренды, такие как DocuSign и Adobe. Она обходит парольную и Многофакторная аутентификация за счет эксплуатации легитимной страницы одобрения устройств Microsoft, что позволяет получать постоянный доступ через украшенные токены обновления. Эта кампания особенно эффективна против мобильных устройств из-за более слабой защиты, при этом индикаторы компрометация связаны с недавно выявленными вредоносными доменами.
-----

Кампания EvilTokens представляет собой заметную эволюцию тактик фишинга, использующую модель Фишинг как услуга (PhaaS), которая целенаправленно атакует пользователей Microsoft 365. Этот вектор атаки характеризуется сложной интеграцией фишинга с использованием кода устройства, что позволяет ему действовать под прикрытием доверенных брендов, таких как DocuSign и Adobe. Используя временную инфраструктуру Cloudflare Workers, кампания эффективно обходит стандартные меры безопасности, делая традиционные подходы статического блэклистинга менее эффективными против нее.

Критической характеристикой кампании EvilTokens является её способность обходить как парольную, так и многофакторную аутентификацию (MFA). Злоумышленники используют легитимную страницу Microsoft для одобрения устройства, позволяя жертвам неосознанно одобрять вредоносное устройство. Этот подход особенно тревожен, поскольку он использует украшенные токены обновления, предоставляя злоумышленникам постоянный доступ, который остаётся действительным даже после того, как жертвы сбрасывают свои пароли. Воздействие кампании усиливается её фокусом на мобильных устройствах, которые всё чаще используются для открытия фишинговых ссылок. Мобильные устройства, как правило, имеют более слабые средства защиты конечных точек, что делает их более уязвимыми для подобных атак.

В ответ на эти угрозы решение Zimperium Mobile Threat Defense (MTD) оказалось эффективным в обнаружении и блокировке вредоносных URL-адресов, связанных с EvilTokens, на уровне мобильного устройства. Эта упреждающая мера предотвращает достижение пользователями критического этапа фишинга, на котором вводятся коды устройства. Кроме того, текущие исследования привели к выявлению множества новых доменов, связанных с набором для фишинга EvilTokens, что указывает на более широкую картину компрометации. Индикаторы компрометации (IOCs), связанные с этими доменами, доступны публично для дальнейшего расследования, что позволяет организациям укреплять свою защиту от таких сложных фишинговых угроз.
#ParsedReport #CompletenessMedium
23-06-2026

From PostCSS Masquerading to Windows RAT

https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/

Report completeness: Medium

Victims:
Javascript build ecosystem, Software development, Open source software ecosystem

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1047, T1057, T1059, T1059.001, T1059.005, T1059.007, T1071.001, T1082, T1105, have more...

IOCs:
File: 18
Command: 1
Domain: 1
Url: 2
IP: 1
Hash: 6

Soft:
Chrome, curl, Nuitka, virtualbox, qemu, hyper-v, vmwaretray

Algorithms:
aes, zip, rc4, aes-256-gcm, md5, chacha20-poly1305, gzip

Win API:
COMMAND0825INFORMATION, COMMAND0825AUTO, MSG0825LOG, NCryptOpenStorageProvider, NCryptOpenKey, NCryptDecrypt, SeDebugPrivilege

Languages:
python, powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 From PostCSS Masquerading to Windows RAT https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/ Report completeness: Medium Victims: Javascript build ecosystem, Software development, Open source…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В экосистеме пакетов JavaScript выявлена сложная атака, в ходе которой вредоносный пакет, маскирующийся под postcss-selector-parser, разворачивает троянскую программу удаленного доступа Windows (RAT) с возможностями, такими как удаленный доступ к оболочке, передача файлов и кража учетных данных Chrome. ВПО использует многоуровневую архитектуру с зависимостями от легитимных пакетов, в конечном итоге применяя загрузчик PowerShell, который извлекает дополнительные вредоносные компоненты из инфраструктуры управления. Примечательно, что он проводит профилирование хоста для уклонения от обнаружения, используя Инструментарий управления Windows и другие проверки окружения.
-----

Расследование вредоносного пакета, маскирующегося под легитимный postcss-selector-parser, выявляет сложную атаку, использующую экосистему пакетов JavaScript. Эта атака способствует развертыванию Windows Троянской программы удаленного доступа (RAT), способной выполнять различные вредоносные действия, включая возможности удаленной оболочки, передачу файлов, механизмы закрепления, профилирование хоста и кражу учетных данных Chrome. Такая обфускация опирается на популярность пакета postcss-selector-parser, который сообщает о более чем 150 миллионах загрузок в неделю, чтобы социальная инженерия воздействовала на неосведомленных пользователей.

Вредоносное ПО использует многоуровневую архитектуру с зависимостями от кажущихся безобидными пакетов, таких как aes-decode-runner-pro и postcss-minify-selector-parser. Эти пакеты после декодирования приводят к загрузчику PowerShell, который запускает цепочку полезной нагрузки. Итогом становится загрузчик, который извлекает дополнительные вредоносные компоненты из инфраструктуры command-and-control (C2). Скрипт PowerShell загружает Windows-полезную нагрузку с домена nvidiadriver.net, извлекает её в каталог %TEMP% и выполняет VBS-загрузчик, тем самым дополнительно развертывая ВПО.

Анализ полезной нагрузки показывает, что она функционирует через HTTP-коммуникации C2, используя зашифрованные POST-пакеты. Для транспортировки пакетов применяется шифрование RC4/ARC4, а для обеспечения целостности интегрируются контрольные суммы MD5. Закрепление осуществляется через реестр Windows, при этом динамически собираются UUID жертв и мониторятся действия хоста, включая проверку машины для определения того, работает ли ВПО в виртуальной машине или в физической среде.

Вредоносное ПО разделено на несколько модулей, таких как config.pyd, api.pyd и audiodriver.pyd, каждый из которых отвечает за различные функциональные возможности. Диспетчер команд критически важен для координации операций, управления зашифрованным обменом сообщениями с сервером C2 и выполнения запрошенных команд. Особую обеспокоенность вызывает модуль auto.pyd, поскольку он отвечает за кражу учетных данных Chrome, обращаясь к важным файлам профилей Chrome и используя API расшифровки Windows для обеспечения доступа к сохраненным логинам.

Кроме того, модуль command.pyd не только выполняет команды, но и проводит профилирование среды хоста для уклонения от обнаружения. Он реализует проверки через Инструментарий управления Windows (WMI), списки процессов и другие индикаторы, чтобы определить, находится ли он в песочнице внутри виртуализированной среды.

В заключение, этот инцидент демонстрирует целевую атаку с имперсонацией пакета, направленную на эксплуатацию доверия в экосистеме npm. Реальная угроза материализуется после декодирования начального полезного груза, что приводит к созданию мощных вредоносных возможностей, включая масштабное хищение данных и компрометацию системы.
#ParsedReport #CompletenessLow
23-06-2026

macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox

https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/

Report completeness: Low

Threats:
Bonzai
Supply_chain_technique
Amos_stealer
Hades
Shai-hulud

Victims:
Macos users

Geo:
North korean, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1036.005, T1041, T1057, T1059.004, T1059.006, T1071.001, T1082, T1102.002, have more...

IOCs:
Hash: 4

Soft:
macOS, Telegram, Linux, Chrome, Firefox, PyInstaller, Nuitka, Anthropic, Claude

Algorithms:
aes-gcm, aes, zip, base64

Functions:
getUpdates

Languages:
python, cpython, rust

Platforms:
apple, cross-platform, arm
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО macOS.Gaslight, связанное с деятельностью Северной Кореи, представляет собой бэкдор на базе Rust, который вводит аналитиков в заблуждение, внедряя 38 сфабрикованных системных сообщений вместо того, чтобы уклоняться от обнаружения. Оно использует Telegram Bot API для связи через управление с шифрованием AES-GCM и содержит полезную нагрузку, нацеленную на конфиденциальные данные, включая историю браузеров и учетные данные. Благодаря продвинутым методам закрепления и самоудалению своего токена бота оно представляет значительную угрозу, усложняя анализ вредоносного ПО с использованием искусственного интеллекта.
-----

Встроенная программа macOS.Gaslight, связанная с деятельностью, связанной с Северной Кореей, представляет собой сложный бэкдор на базе Rust, который использует уникальный подход для введения в заблуждение аналитиков во время анализа ВПО, а не для попытки избежать обнаружения в песочнице. Она внедряет полезную нагрузку, состоящую из 38 сфабрикованных системных сообщений, направленных на то, чтобы вызвать сомнения в результатах процессов триажа с помощью LLM. Этот механизм управления (C2) использует Telegram Bot API для связи, применяя метод опроса, который активируется при отсутствии зарегистрированного вебхука, и соблюдает строгие требования безопасности транспорта, используя шифрование AES-GCM поверх TLS-соединений с привязкой сертификата. Встроенная программа автоматически удаляет токен своего бота Telegram из вывода во время выполнения, предотвращая потенциальное восстановление данных аналитиками безопасности.

Распространение macOS.Gaslight было первоначально обнаружено после обновления Apple XProtect в июне 2023 года, хотя на момент этого обновления оно оставалось незамеченным при статическом анализе. Оно предназначено для предотвращения перехода системы в спящий режим с помощью утверждения управления питанием, обеспечивая непрерывное опрос и сбор данных даже в периоды бездействия. В Implant содержатся компоненты для кражи данных, особенно нацеленные на конфиденциальную информацию, такую как истории браузеров и учетные данные, хранящиеся в Связке ключей macOS, что обеспечивается закодированным Python-скриптом, который собирает полную среду сбора данных, используя автономный CPython-рантайм, загружаемый при выполнении.

Механизмы закрепления интегрируются через LaunchAgent, настроенный на маскировку под системные службы, что обеспечивает скрытность в экосистеме macOS. Этот метод часто наблюдается у семейств ВПО, связанных с КНДР. Кроме того, реализация саморазрушения токена бота представляет собой проактивную меру операционной безопасности (OPSEC), значительно повышающую устойчивость внедрения против анализа.

Дизайн вредоносного ПО подчеркивает инновационную тактику инъекции промптов, которая служит для компрометации эффективности анализа на основе ИИ за счет введения сложности в процесс оценки. Эта характеристика отличает macOS.Gaslight от предыдущих примеров вредоносного ПО, которые либо использовали ИИ для оперативных задач, либо применяли более простые формы обфускации. Благодаря сочетанию надежных возможностей сбора данных, строгой безопасности C2 и стратегий, нацеленных на аналитиков, macOS.Gaslight является примером формирующегося ландшафта угроз, где злоумышленники все чаще стремятся эксплуатировать инструменты ИИ, являющиеся фундаментальными для усилий в области кибербезопасности.
#ParsedReport #CompletenessMedium
23-06-2026

CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised

https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/

Report completeness: Medium

Victims:
E commerce, Healthcare, Financial services, Education, Government, Online gambling and betting, Logistics

Industry:
Logistic, Education, Healthcare, Government, E-commerce

Geo:
Asian, Indonesian, Brazilian, Asia

CVEs:
CVE-2025-54068 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel livewire (<3.6.4)


TTPs:
Tactics: 4
Technics: 11

IOCs:
Url: 1
File: 2
Hash: 1
IP: 1
Domain: 1
Email: 1

Soft:
Laravel Livewire, Livewire, Laravel, telegram, Unix, curl

Algorithms:
sha256, zip

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----

24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).

Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.

Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.

Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026

Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory

https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/

Report completeness: High

Actors/Campaigns:
Harvester (motivation: information_theft, financially_motivated)

Threats:
Fortibleed_vuln
Cyberstrikeai_tool
Password_spray_technique
Credential_harvesting_technique
Supply_chain_technique
Impacket_tool
Hashcat_tool
Hashtopolis_tool
Kerberoasting_technique
As-rep_roasting_technique

Victims:
Fortinet firewall and ssl vpn operators, Defense sector

Industry:
Chemical, Financial, Energy, Logistic, Government, Retail, Iot, E-commerce, Entertainment, Transport, Education, Telco, Healthcare

Geo:
Middle east, America, Russian, Asia-pacific, Turkey

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 3
IP: 2
Hash: 6

Soft:
FortiGate, Telegram, Linux, Active Directory, MSSQL, MySQL, curl

Algorithms:
sha256, md5, pbkdf2, rc4

Languages:
golang, javascript, python

Platforms:
amd64

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiBleed — это кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, использующая такие методы, как Подстановка украденных учетных данных, Распыление пароля и сбор конфигураций, вместо традиционного ВПО. Кампания включает бинарный файл CyberStrike Harvester для извлечения многопротокольных учетных данных и обеспечения несанкционированного доступа к системам, что приводит к эксфильтрации данных. Операционная модель подчеркивает систематический подход к сбору учетных записей и их проверке, указывая на высокий уровень риска без подтвержденной эксплуатации уязвимостей Fortinet.
-----

FortiBleed атакует доступные через интернет межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN.

Кампания использует подстановку украденных учетных данных, распыление пароля, сбор конфигураций, офлайн-взлом и обработку данных после аутентификации.

Бинарный файл CyberStrike Harvester был реверс-инжинирингом, что выявило связи с операциями FortiBleed.

Обеспечивает извлечение учетных данных по нескольким протоколам, взлом хешей и несанкционированный доступ к службам Active Directory и SMB.

Эксфильтрация данных осуществляется с скомпрометированных систем без эксплуатации подтверждённой уязвимости Fortinet CVE для первоначального доступа.

Считается, что операция служит брокером учетных записей, сосредоточившись на сборе учетных записей высокой ценности.

В арсенал атакующих инструментов входят скрипты для эксплуатации и управления учетными данными, а также лабораторная установка CyberStrike.

CyberStrike Harvester преобразует захваченные сетевые данные в учетные данные и хеш-выводы, пригодные для использования.

Атака через вектор, ориентированный на учётные данные, сосредоточена на массовой проверке учётных данных и сборе конфигурационных файлов.

Собранные данные включают токены сессий и файлы cookie, очищенные и проверенные для последующих атак.

Многоэтапный процесс очистки улучшает данные учётных данных перед использованием Hashcat для офлайн-взлома.

Инфраструктура FortiBleed состоит из контролируемых злоумышленниками систем и компонентов, назначенных жертве.

Продвинутые методы валидации используют такие протоколы, как Kerberos и SMB, для сбора внутренних данных.

Операция носит системный характер, переходя от захвата к проверке и эксфильтрации данных.

Организациям необходимо устранять уязвимости и внедрять такие стратегии, как сброс учётных данных и усиление многофакторной аутентификации.
#ParsedReport #CompletenessLow
23-06-2026

Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware

https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution

Report completeness: Low

Actors/Campaigns:
Payouts_king

Threats:
Edgecution

Victims:
Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1082, T1112, T1140, have more...

IOCs:
Path: 1
Registry: 2
File: 2
Url: 4
Hash: 2

Soft:
Microsoft Edge, Chrome, Microsoft Teams, Outlook, AutoHotKey, Microsoft Outlook, Windows registry

Algorithms:
zip, sha256

Languages:
python, powershell
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware Payouts King использует вредоносное расширение Microsoft Edge под названием Edgecution для обхода ограничений песочницы браузера, предоставляя злоумышленникам контроль над хост-системами. Атака начинается с тактик социальной инженерии, чтобы убедить жертв загрузить обманный патч, что приводит к развертыванию вредоносного ПО, включающего Python бэкдор. Взаимодействие между расширением и бэкдором позволяет осуществлять обширную вредоносную деятельность, такую как манипуляции с файловой системой, выполнение произвольного кода и связь с сервером управления.
-----

Шифровальщик Payouts King использует сложную технику с вредоносным расширением браузера Microsoft Edge под названием Edgecution, которое применяется брокером первоначального доступа. Это расширение эксплуатирует протокол нативного обмена сообщениями Chrome, позволяя злоумышленникам обходить типичные ограничения песочницы браузера и получать обширный контроль над хост-системами. Эта возможность позволяет манипулировать локальной файловой системой, выполнять произвольный код и запускать процессы непосредственно с скомпрометированного хоста.

Вредоносное ПО Edgecution использует два основных компонента: вредоносное расширение браузера Edge и бэкдор на базе Python. Атака обычно начинается с тактик социальной инженерии, когда злоумышленник выдает себя за сотрудников ИТ-отдела через такие платформы, как Microsoft Teams, убеждая жертв загрузить поддельное обновление, замаскированное внутри зашифрованного ZIP-архива. Этот ZIP-архив содержит файлы, необходимые для развертывания вредоносного ПО Edgecution, включая дистрибутив Python, расширение и обфусцированный Python-скрипт, выполняющий вредоносные функции.

При установке команды из скрипта AutoHotKey или других скриптов настраивают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу, которая запускает Microsoft Edge с загруженным вредоносным расширением. Расширение маскируется под «Edge Monitoring Agent» и устанавливает связь с сервером управления (C2), размещенным на AWS. Python бэкдор действует как мост, выполняется в безголовом режиме, что позволяет злоумышленникам избегать привлечения внимания пользователей, сохраняя при этом оперативный контроль над скомпрометированной средой.

Функциональность Edgecution включает множество команд для вредоносной деятельности, многие из которых требуют прав, обычно ограниченных для обычных браузерных расширений. Используя протокол нативного обмена сообщениями, расширение Edgecution может вызывать бэкдор для выполнения задач, включающих доступ к файловой системе и выполнение кода. Обмен данными между расширением и Python-бэкдором структурирован в формате JSON, с сообщениями, указывающими типы команд и результаты выполнения.

Это сотрудничество между вредоносным расширением и его Python-бэкдором демонстрирует сложный метод поддержания foothold в средах жертв, отмечая заметную эволюцию тактик, используемых аффилиатами программ-вымогателей. Методы, применяемые злоумышленниками Payouts King, подчеркивают необходимость для организаций усиливать свою защиту от таких угроз, акцентируя важность мониторинга установок расширений браузера, контроля конфигураций нативного обмена сообщениями и проведения обучения пользователей для выявления подозрительных коммуникаций, имитирующих легитимные обновления.
#ParsedReport #CompletenessHigh
23-06-2026

Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery

https://www.securonix.com/blog/taxtrident-indian-fax-lures/

Report completeness: High

Actors/Campaigns:
Tax_trident (motivation: cyber_espionage, financially_motivated)

Threats:
Steganography_technique
Sysaid_tool
Syncfuture_tool
Ytscrat
Lolbin_technique
Bitsadmin_tool
Spear-phishing_technique

Victims:
Windows endpoints, India

Industry:
Financial

Geo:
India, Indian, Chinese, China

TTPs:
Tactics: 7
Technics: 23

IOCs:
Domain: 4
File: 6
IP: 8
Path: 4
Url: 6
Hash: 16

Soft:
Windows installer, Windows service, curl

Algorithms:
zip, sha256

Win Services:
BITS

Languages:
php, vbscript, visual_basic, powershell

Platforms:
x86