CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 From PostCSS Masquerading to Windows RAT https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/ Report completeness: Medium Victims: Javascript build ecosystem, Software development, Open source…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В экосистеме пакетов JavaScript выявлена сложная атака, в ходе которой вредоносный пакет, маскирующийся под postcss-selector-parser, разворачивает троянскую программу удаленного доступа Windows (RAT) с возможностями, такими как удаленный доступ к оболочке, передача файлов и кража учетных данных Chrome. ВПО использует многоуровневую архитектуру с зависимостями от легитимных пакетов, в конечном итоге применяя загрузчик PowerShell, который извлекает дополнительные вредоносные компоненты из инфраструктуры управления. Примечательно, что он проводит профилирование хоста для уклонения от обнаружения, используя Инструментарий управления Windows и другие проверки окружения.
-----

Расследование вредоносного пакета, маскирующегося под легитимный postcss-selector-parser, выявляет сложную атаку, использующую экосистему пакетов JavaScript. Эта атака способствует развертыванию Windows Троянской программы удаленного доступа (RAT), способной выполнять различные вредоносные действия, включая возможности удаленной оболочки, передачу файлов, механизмы закрепления, профилирование хоста и кражу учетных данных Chrome. Такая обфускация опирается на популярность пакета postcss-selector-parser, который сообщает о более чем 150 миллионах загрузок в неделю, чтобы социальная инженерия воздействовала на неосведомленных пользователей.

Вредоносное ПО использует многоуровневую архитектуру с зависимостями от кажущихся безобидными пакетов, таких как aes-decode-runner-pro и postcss-minify-selector-parser. Эти пакеты после декодирования приводят к загрузчику PowerShell, который запускает цепочку полезной нагрузки. Итогом становится загрузчик, который извлекает дополнительные вредоносные компоненты из инфраструктуры command-and-control (C2). Скрипт PowerShell загружает Windows-полезную нагрузку с домена nvidiadriver.net, извлекает её в каталог %TEMP% и выполняет VBS-загрузчик, тем самым дополнительно развертывая ВПО.

Анализ полезной нагрузки показывает, что она функционирует через HTTP-коммуникации C2, используя зашифрованные POST-пакеты. Для транспортировки пакетов применяется шифрование RC4/ARC4, а для обеспечения целостности интегрируются контрольные суммы MD5. Закрепление осуществляется через реестр Windows, при этом динамически собираются UUID жертв и мониторятся действия хоста, включая проверку машины для определения того, работает ли ВПО в виртуальной машине или в физической среде.

Вредоносное ПО разделено на несколько модулей, таких как config.pyd, api.pyd и audiodriver.pyd, каждый из которых отвечает за различные функциональные возможности. Диспетчер команд критически важен для координации операций, управления зашифрованным обменом сообщениями с сервером C2 и выполнения запрошенных команд. Особую обеспокоенность вызывает модуль auto.pyd, поскольку он отвечает за кражу учетных данных Chrome, обращаясь к важным файлам профилей Chrome и используя API расшифровки Windows для обеспечения доступа к сохраненным логинам.

Кроме того, модуль command.pyd не только выполняет команды, но и проводит профилирование среды хоста для уклонения от обнаружения. Он реализует проверки через Инструментарий управления Windows (WMI), списки процессов и другие индикаторы, чтобы определить, находится ли он в песочнице внутри виртуализированной среды.

В заключение, этот инцидент демонстрирует целевую атаку с имперсонацией пакета, направленную на эксплуатацию доверия в экосистеме npm. Реальная угроза материализуется после декодирования начального полезного груза, что приводит к созданию мощных вредоносных возможностей, включая масштабное хищение данных и компрометацию системы.
#ParsedReport #CompletenessLow
23-06-2026

macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox

https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/

Report completeness: Low

Threats:
Bonzai
Supply_chain_technique
Amos_stealer
Hades
Shai-hulud

Victims:
Macos users

Geo:
North korean, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1036.005, T1041, T1057, T1059.004, T1059.006, T1071.001, T1082, T1102.002, have more...

IOCs:
Hash: 4

Soft:
macOS, Telegram, Linux, Chrome, Firefox, PyInstaller, Nuitka, Anthropic, Claude

Algorithms:
aes-gcm, aes, zip, base64

Functions:
getUpdates

Languages:
python, cpython, rust

Platforms:
apple, cross-platform, arm
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО macOS.Gaslight, связанное с деятельностью Северной Кореи, представляет собой бэкдор на базе Rust, который вводит аналитиков в заблуждение, внедряя 38 сфабрикованных системных сообщений вместо того, чтобы уклоняться от обнаружения. Оно использует Telegram Bot API для связи через управление с шифрованием AES-GCM и содержит полезную нагрузку, нацеленную на конфиденциальные данные, включая историю браузеров и учетные данные. Благодаря продвинутым методам закрепления и самоудалению своего токена бота оно представляет значительную угрозу, усложняя анализ вредоносного ПО с использованием искусственного интеллекта.
-----

Встроенная программа macOS.Gaslight, связанная с деятельностью, связанной с Северной Кореей, представляет собой сложный бэкдор на базе Rust, который использует уникальный подход для введения в заблуждение аналитиков во время анализа ВПО, а не для попытки избежать обнаружения в песочнице. Она внедряет полезную нагрузку, состоящую из 38 сфабрикованных системных сообщений, направленных на то, чтобы вызвать сомнения в результатах процессов триажа с помощью LLM. Этот механизм управления (C2) использует Telegram Bot API для связи, применяя метод опроса, который активируется при отсутствии зарегистрированного вебхука, и соблюдает строгие требования безопасности транспорта, используя шифрование AES-GCM поверх TLS-соединений с привязкой сертификата. Встроенная программа автоматически удаляет токен своего бота Telegram из вывода во время выполнения, предотвращая потенциальное восстановление данных аналитиками безопасности.

Распространение macOS.Gaslight было первоначально обнаружено после обновления Apple XProtect в июне 2023 года, хотя на момент этого обновления оно оставалось незамеченным при статическом анализе. Оно предназначено для предотвращения перехода системы в спящий режим с помощью утверждения управления питанием, обеспечивая непрерывное опрос и сбор данных даже в периоды бездействия. В Implant содержатся компоненты для кражи данных, особенно нацеленные на конфиденциальную информацию, такую как истории браузеров и учетные данные, хранящиеся в Связке ключей macOS, что обеспечивается закодированным Python-скриптом, который собирает полную среду сбора данных, используя автономный CPython-рантайм, загружаемый при выполнении.

Механизмы закрепления интегрируются через LaunchAgent, настроенный на маскировку под системные службы, что обеспечивает скрытность в экосистеме macOS. Этот метод часто наблюдается у семейств ВПО, связанных с КНДР. Кроме того, реализация саморазрушения токена бота представляет собой проактивную меру операционной безопасности (OPSEC), значительно повышающую устойчивость внедрения против анализа.

Дизайн вредоносного ПО подчеркивает инновационную тактику инъекции промптов, которая служит для компрометации эффективности анализа на основе ИИ за счет введения сложности в процесс оценки. Эта характеристика отличает macOS.Gaslight от предыдущих примеров вредоносного ПО, которые либо использовали ИИ для оперативных задач, либо применяли более простые формы обфускации. Благодаря сочетанию надежных возможностей сбора данных, строгой безопасности C2 и стратегий, нацеленных на аналитиков, macOS.Gaslight является примером формирующегося ландшафта угроз, где злоумышленники все чаще стремятся эксплуатировать инструменты ИИ, являющиеся фундаментальными для усилий в области кибербезопасности.
#ParsedReport #CompletenessMedium
23-06-2026

CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised

https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/

Report completeness: Medium

Victims:
E commerce, Healthcare, Financial services, Education, Government, Online gambling and betting, Logistics

Industry:
Logistic, Education, Healthcare, Government, E-commerce

Geo:
Asian, Indonesian, Brazilian, Asia

CVEs:
CVE-2025-54068 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel livewire (<3.6.4)


TTPs:
Tactics: 4
Technics: 11

IOCs:
Url: 1
File: 2
Hash: 1
IP: 1
Domain: 1
Email: 1

Soft:
Laravel Livewire, Livewire, Laravel, telegram, Unix, curl

Algorithms:
sha256, zip

Languages:
php
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----

24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).

Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.

Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.

Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026

Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory

https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/

Report completeness: High

Actors/Campaigns:
Harvester (motivation: information_theft, financially_motivated)

Threats:
Fortibleed_vuln
Cyberstrikeai_tool
Password_spray_technique
Credential_harvesting_technique
Supply_chain_technique
Impacket_tool
Hashcat_tool
Hashtopolis_tool
Kerberoasting_technique
As-rep_roasting_technique

Victims:
Fortinet firewall and ssl vpn operators, Defense sector

Industry:
Chemical, Financial, Energy, Logistic, Government, Retail, Iot, E-commerce, Entertainment, Transport, Education, Telco, Healthcare

Geo:
Middle east, America, Russian, Asia-pacific, Turkey

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 3
IP: 2
Hash: 6

Soft:
FortiGate, Telegram, Linux, Active Directory, MSSQL, MySQL, curl

Algorithms:
sha256, md5, pbkdf2, rc4

Languages:
golang, javascript, python

Platforms:
amd64

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiBleed — это кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, использующая такие методы, как Подстановка украденных учетных данных, Распыление пароля и сбор конфигураций, вместо традиционного ВПО. Кампания включает бинарный файл CyberStrike Harvester для извлечения многопротокольных учетных данных и обеспечения несанкционированного доступа к системам, что приводит к эксфильтрации данных. Операционная модель подчеркивает систематический подход к сбору учетных записей и их проверке, указывая на высокий уровень риска без подтвержденной эксплуатации уязвимостей Fortinet.
-----

FortiBleed атакует доступные через интернет межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN.

Кампания использует подстановку украденных учетных данных, распыление пароля, сбор конфигураций, офлайн-взлом и обработку данных после аутентификации.

Бинарный файл CyberStrike Harvester был реверс-инжинирингом, что выявило связи с операциями FortiBleed.

Обеспечивает извлечение учетных данных по нескольким протоколам, взлом хешей и несанкционированный доступ к службам Active Directory и SMB.

Эксфильтрация данных осуществляется с скомпрометированных систем без эксплуатации подтверждённой уязвимости Fortinet CVE для первоначального доступа.

Считается, что операция служит брокером учетных записей, сосредоточившись на сборе учетных записей высокой ценности.

В арсенал атакующих инструментов входят скрипты для эксплуатации и управления учетными данными, а также лабораторная установка CyberStrike.

CyberStrike Harvester преобразует захваченные сетевые данные в учетные данные и хеш-выводы, пригодные для использования.

Атака через вектор, ориентированный на учётные данные, сосредоточена на массовой проверке учётных данных и сборе конфигурационных файлов.

Собранные данные включают токены сессий и файлы cookie, очищенные и проверенные для последующих атак.

Многоэтапный процесс очистки улучшает данные учётных данных перед использованием Hashcat для офлайн-взлома.

Инфраструктура FortiBleed состоит из контролируемых злоумышленниками систем и компонентов, назначенных жертве.

Продвинутые методы валидации используют такие протоколы, как Kerberos и SMB, для сбора внутренних данных.

Операция носит системный характер, переходя от захвата к проверке и эксфильтрации данных.

Организациям необходимо устранять уязвимости и внедрять такие стратегии, как сброс учётных данных и усиление многофакторной аутентификации.
#ParsedReport #CompletenessLow
23-06-2026

Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware

https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution

Report completeness: Low

Actors/Campaigns:
Payouts_king

Threats:
Edgecution

Victims:
Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1082, T1112, T1140, have more...

IOCs:
Path: 1
Registry: 2
File: 2
Url: 4
Hash: 2

Soft:
Microsoft Edge, Chrome, Microsoft Teams, Outlook, AutoHotKey, Microsoft Outlook, Windows registry

Algorithms:
zip, sha256

Languages:
python, powershell
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware Payouts King использует вредоносное расширение Microsoft Edge под названием Edgecution для обхода ограничений песочницы браузера, предоставляя злоумышленникам контроль над хост-системами. Атака начинается с тактик социальной инженерии, чтобы убедить жертв загрузить обманный патч, что приводит к развертыванию вредоносного ПО, включающего Python бэкдор. Взаимодействие между расширением и бэкдором позволяет осуществлять обширную вредоносную деятельность, такую как манипуляции с файловой системой, выполнение произвольного кода и связь с сервером управления.
-----

Шифровальщик Payouts King использует сложную технику с вредоносным расширением браузера Microsoft Edge под названием Edgecution, которое применяется брокером первоначального доступа. Это расширение эксплуатирует протокол нативного обмена сообщениями Chrome, позволяя злоумышленникам обходить типичные ограничения песочницы браузера и получать обширный контроль над хост-системами. Эта возможность позволяет манипулировать локальной файловой системой, выполнять произвольный код и запускать процессы непосредственно с скомпрометированного хоста.

Вредоносное ПО Edgecution использует два основных компонента: вредоносное расширение браузера Edge и бэкдор на базе Python. Атака обычно начинается с тактик социальной инженерии, когда злоумышленник выдает себя за сотрудников ИТ-отдела через такие платформы, как Microsoft Teams, убеждая жертв загрузить поддельное обновление, замаскированное внутри зашифрованного ZIP-архива. Этот ZIP-архив содержит файлы, необходимые для развертывания вредоносного ПО Edgecution, включая дистрибутив Python, расширение и обфусцированный Python-скрипт, выполняющий вредоносные функции.

При установке команды из скрипта AutoHotKey или других скриптов настраивают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу, которая запускает Microsoft Edge с загруженным вредоносным расширением. Расширение маскируется под «Edge Monitoring Agent» и устанавливает связь с сервером управления (C2), размещенным на AWS. Python бэкдор действует как мост, выполняется в безголовом режиме, что позволяет злоумышленникам избегать привлечения внимания пользователей, сохраняя при этом оперативный контроль над скомпрометированной средой.

Функциональность Edgecution включает множество команд для вредоносной деятельности, многие из которых требуют прав, обычно ограниченных для обычных браузерных расширений. Используя протокол нативного обмена сообщениями, расширение Edgecution может вызывать бэкдор для выполнения задач, включающих доступ к файловой системе и выполнение кода. Обмен данными между расширением и Python-бэкдором структурирован в формате JSON, с сообщениями, указывающими типы команд и результаты выполнения.

Это сотрудничество между вредоносным расширением и его Python-бэкдором демонстрирует сложный метод поддержания foothold в средах жертв, отмечая заметную эволюцию тактик, используемых аффилиатами программ-вымогателей. Методы, применяемые злоумышленниками Payouts King, подчеркивают необходимость для организаций усиливать свою защиту от таких угроз, акцентируя важность мониторинга установок расширений браузера, контроля конфигураций нативного обмена сообщениями и проведения обучения пользователей для выявления подозрительных коммуникаций, имитирующих легитимные обновления.
#ParsedReport #CompletenessHigh
23-06-2026

Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery

https://www.securonix.com/blog/taxtrident-indian-fax-lures/

Report completeness: High

Actors/Campaigns:
Tax_trident (motivation: cyber_espionage, financially_motivated)

Threats:
Steganography_technique
Sysaid_tool
Syncfuture_tool
Ytscrat
Lolbin_technique
Bitsadmin_tool
Spear-phishing_technique

Victims:
Windows endpoints, India

Industry:
Financial

Geo:
India, Indian, Chinese, China

TTPs:
Tactics: 7
Technics: 23

IOCs:
Domain: 4
File: 6
IP: 8
Path: 4
Url: 6
Hash: 16

Soft:
Windows installer, Windows service, curl

Algorithms:
zip, sha256

Win Services:
BITS

Languages:
php, vbscript, visual_basic, powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery https://www.securonix.com/blog/taxtrident-indian-fax-lures/ Report completeness: High Actors/Campaigns: Tax_trident…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TAX#TRIDENT нацелена на системы Windows, используя приманки на тему индийского подоходного налога для доставки вредоносных загрузок тремя основными способами: прямые загрузки ZIP-файлов, загрузчики VBScript и PHP-эндпоинты, предоставляющие вредоносные скрипты. Каждый метод доставки в конечном итоге устанавливает подписанный клиентский пакет ClientSetup, который создает скрытую клиентскую директорию и обеспечивает закрепление. Кампания использует тактики, заимствованные из китайского ВПО, но не имеет однозначной атрибуции к конкретным злоумышленникам, при этом поведенческие индикаторы, такие как неожиданные выполнения VBScript и измененные политики UAC, сигнализируют о потенциальных угрозах.
-----

Кампания TAX#TRIDENT представляет собой текущую киберугрозу, использующую приманки на тему индийского подоходного налога для доставки вредоносных загрузок на конечные точки Windows. Эта операция применяет три различных пути доставки: прямые загрузки ZIP-файлов, загрузчики VBScript и веб-конечные точки, имитирующие PHP, которые возвращают вредоносный скриптовый контент. Независимо от механизма доставки, каждый маршрут завершается установкой подписанного загрузчика ClientSetup. После выполнения этот загрузчик создает скрытую клиентскую директорию, поддерживает закрепление через службы и драйверы, записывает настройки конфигурации и инициирует исходящие сетевые коммуникации.

Эволюция кампании TAX#TRIDENT характеризуется не появлением нового ВПО, а переиспользованием и расширением ранее задокументированных такс-тематических тактик. Кампания переплетает устоявшиеся поведения, наблюдаемые в вредоносном программном обеспечении, связанном с китайским инструментарием, что особенно заметно в метаданных файлов и соглашениях об именовании конфигураций, соответствующих известным случаям злоупотребления китайским ПО. Однако, хотя эти данные раскрывают тип эксплуатируемого программного обеспечения, они не предоставляют окончательной атрибуции к конкретным злоумышленникам.

Первая цепочка доставки начинается с поддельной индийской страницы налоговой оценки, ведущей к ZIP-архиву, содержащему подписанный установщик Windows. Этот метод опирается на социальную инженерию, заставляя жертв полагать, что они открывают легитимные документы, связанные с налогами. Вторая цепочка развертывает тот же самый payload ClientSetup с помощью VBScript, который демонстрирует поддельное изображение, дополнительно скрывая истинные намерения атаки. Третий подход использует уникальный PHP-эндпоинт с именем "download.php", который предоставляет содержимое VBScript, замаскированное под веб-приложение, облегчая загрузку из ресурсов, размещенных в облаке, и тонко изменяя поведение UAC для содействия тихой установке агента ManageEngine UEMS.

Ключевые поведенческие индикаторы сигнализируют о потенциальной вредоносной активности, такие как выполнение VBScript из неожиданных расширений веб-приложений, например, ".php", и наличие замаскированных исполняемых инструментов в публичных каталогах. Кроме того, необычные изменения политик UAC, тихие установки MSI и несанкционированный исходящий трафик на неутвержденные инфраструктуры должны подвергаться тщательной проверке.
#ParsedReport #CompletenessMedium
24-06-2026

The Growing Threat of ShadowPad Malware and Its Business Impact

https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Shadowpad
Plugx_rat
Supply_chain_technique
Shadowhammer
Spear-phishing_technique
Lolbin_technique
Watering_hole_technique
Dll_sideloading_technique
Passthehash_technique
Process_injection_technique

Victims:
Government institutions, Critical infrastructure, High value corporate assets, Enterprise software

Industry:
Government, Critical_infrastructure

Geo:
Chinese

TTPs:
Tactics: 8
Technics: 20

IOCs:
IP: 34
Hash: 6

Soft:
NetSarang

Algorithms:
sha256

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 24-06-2026 The Growing Threat of ShadowPad Malware and Its Business Impact https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/ Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowPad — это модульное ВПО, связанное с китайской группой APT41, обеспечивающее разнообразные возможности для атак, такие как эксфильтрация данных и создание бэкдоров. Оно использует различные механизмы доставки, включая атаки на Цепочку поставок, уязвимости непропатченного корпоративного программного обеспечения, Целевой фишинг и техники Living-off-the-Land. ВПО представляет значительные риски, приводящие к утечкам данных, нарушению работы и потенциальным финансовым потерям в результате шпионажа и компрометации систем.
-----

Вредоносное ПО ShadowPad, изначально приписываемое китайской государственной группе APT41, стало заметной угрозой в ландшафте угроз благодаря своей модульной и настраиваемой архитектуре. Впервые обнаруженное в 2015 году как эволюция PlugX, ShadowPad теперь используется различными группами APT, что отражает его универсальность в выполнении злонамеренных операций, таких как эксфильтрация данных, перемещение внутри компании и создание бэкдоров в зараженных системах. Его модульность позволяет вредоносному ПО адаптироваться к конкретным целям, подчеркивая его способность к скрытности и закреплению.

Механизмы доставки ShadowPad сложны и разнообразны, часто применяя изощренные стратегии, предназначенные для эксплуатации конкретных уязвимостей. Он может распространяться через атаки на цепочку поставок программного обеспечения, при которых злоумышленники компрометируют обновления легитимных приложений, тем самым эксплуатируя доверие пользователей к поставщикам. Кроме того, ВПО используется в сочетании с незакрытыми уязвимостями в корпоративном программном обеспечении, включая эксплойты нулевого дня, которые предоставляют злоумышленникам шлюз для проникновения в сети. Кампании целевого фишинга дополнительно способствуют распространению ShadowPad, используя тщательно составленные электронные письма, содержащие вредоносные ссылки или вложения, которые выполняют ВПО при взаимодействии. Более того, операторы используют техники Living-off-the-Land (LotL), опираясь на существующие административные инструменты и скрипты, такие как PowerShell и Инструментарий управления Windows (WMI), что помогает избегать обнаружения системами безопасности. Атаки через «водопойные» сайты также служат средством распространения, нацеливаясь на веб-сайты, которыми регулярно пользуются желаемые жертвы, чтобы непреднамеренно доставить ВПО.

Последствия развертывания ShadowPad могут быть серьезными для организаций, приводя к значительным утечкам данных, характеризующимся эксфильтрацией конфиденциальной информации, операционными сбоями, деятельностью по сбору разведданных и существенными финансовыми потерями. Возможности вредоносного ПО позволяют ему красть интеллектуальную собственность и данные клиентов, которые могут быть использованы для шпионажа или проданы на нелегальных рынках. Кроме того, операционное воздействие может привести к простою и потере производительности, а также к установке дополнительных полезной нагрузки, нарушающих работу критических систем. Организации сталкиваются с перспективой дорогостоящего реагирования на инциденты, усилий по восстановлению систем и потенциальных штрафов за нарушение защиты данных, что также может нанести ущерб репутации. Публичное раскрытие таких инцидентов может снизить доверие клиентов и рыночную стоимость, что приведет к долгосрочным последствиям для затронутых организаций.
#ParsedReport #CompletenessLow
24-06-2026

A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks

https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/

Report completeness: Low

Threats:
Darkloadlibrary_tool
Nighthawk_tool

ChatGPT TTPs:
do not use without manual check
T1003.001, T1106, T1179, T1620

IOCs:
File: 5
Coin: 2

Functions:
LdrpFindLoadedDllByName, GetModuleHandle

Win API:
ZONE, LdrLoadDll, NtCreateSection, NtMapViewOfSection, GetProcAddress, tMapViewOfSection, NtAllocateVirtualMemory, tMapViewOfSection it, tAllocateVirtualMemory, NtOpenSection, have more...