CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 macOS.Gaslight \| Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО macOS.Gaslight, связанное с деятельностью Северной Кореи, представляет собой бэкдор на базе Rust, который вводит аналитиков в заблуждение, внедряя 38 сфабрикованных системных сообщений вместо того, чтобы уклоняться от обнаружения. Оно использует Telegram Bot API для связи через управление с шифрованием AES-GCM и содержит полезную нагрузку, нацеленную на конфиденциальные данные, включая историю браузеров и учетные данные. Благодаря продвинутым методам закрепления и самоудалению своего токена бота оно представляет значительную угрозу, усложняя анализ вредоносного ПО с использованием искусственного интеллекта.
-----
Встроенная программа macOS.Gaslight, связанная с деятельностью, связанной с Северной Кореей, представляет собой сложный бэкдор на базе Rust, который использует уникальный подход для введения в заблуждение аналитиков во время анализа ВПО, а не для попытки избежать обнаружения в песочнице. Она внедряет полезную нагрузку, состоящую из 38 сфабрикованных системных сообщений, направленных на то, чтобы вызвать сомнения в результатах процессов триажа с помощью LLM. Этот механизм управления (C2) использует Telegram Bot API для связи, применяя метод опроса, который активируется при отсутствии зарегистрированного вебхука, и соблюдает строгие требования безопасности транспорта, используя шифрование AES-GCM поверх TLS-соединений с привязкой сертификата. Встроенная программа автоматически удаляет токен своего бота Telegram из вывода во время выполнения, предотвращая потенциальное восстановление данных аналитиками безопасности.
Распространение macOS.Gaslight было первоначально обнаружено после обновления Apple XProtect в июне 2023 года, хотя на момент этого обновления оно оставалось незамеченным при статическом анализе. Оно предназначено для предотвращения перехода системы в спящий режим с помощью утверждения управления питанием, обеспечивая непрерывное опрос и сбор данных даже в периоды бездействия. В Implant содержатся компоненты для кражи данных, особенно нацеленные на конфиденциальную информацию, такую как истории браузеров и учетные данные, хранящиеся в Связке ключей macOS, что обеспечивается закодированным Python-скриптом, который собирает полную среду сбора данных, используя автономный CPython-рантайм, загружаемый при выполнении.
Механизмы закрепления интегрируются через LaunchAgent, настроенный на маскировку под системные службы, что обеспечивает скрытность в экосистеме macOS. Этот метод часто наблюдается у семейств ВПО, связанных с КНДР. Кроме того, реализация саморазрушения токена бота представляет собой проактивную меру операционной безопасности (OPSEC), значительно повышающую устойчивость внедрения против анализа.
Дизайн вредоносного ПО подчеркивает инновационную тактику инъекции промптов, которая служит для компрометации эффективности анализа на основе ИИ за счет введения сложности в процесс оценки. Эта характеристика отличает macOS.Gaslight от предыдущих примеров вредоносного ПО, которые либо использовали ИИ для оперативных задач, либо применяли более простые формы обфускации. Благодаря сочетанию надежных возможностей сбора данных, строгой безопасности C2 и стратегий, нацеленных на аналитиков, macOS.Gaslight является примером формирующегося ландшафта угроз, где злоумышленники все чаще стремятся эксплуатировать инструменты ИИ, являющиеся фундаментальными для усилий в области кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО macOS.Gaslight, связанное с деятельностью Северной Кореи, представляет собой бэкдор на базе Rust, который вводит аналитиков в заблуждение, внедряя 38 сфабрикованных системных сообщений вместо того, чтобы уклоняться от обнаружения. Оно использует Telegram Bot API для связи через управление с шифрованием AES-GCM и содержит полезную нагрузку, нацеленную на конфиденциальные данные, включая историю браузеров и учетные данные. Благодаря продвинутым методам закрепления и самоудалению своего токена бота оно представляет значительную угрозу, усложняя анализ вредоносного ПО с использованием искусственного интеллекта.
-----
Встроенная программа macOS.Gaslight, связанная с деятельностью, связанной с Северной Кореей, представляет собой сложный бэкдор на базе Rust, который использует уникальный подход для введения в заблуждение аналитиков во время анализа ВПО, а не для попытки избежать обнаружения в песочнице. Она внедряет полезную нагрузку, состоящую из 38 сфабрикованных системных сообщений, направленных на то, чтобы вызвать сомнения в результатах процессов триажа с помощью LLM. Этот механизм управления (C2) использует Telegram Bot API для связи, применяя метод опроса, который активируется при отсутствии зарегистрированного вебхука, и соблюдает строгие требования безопасности транспорта, используя шифрование AES-GCM поверх TLS-соединений с привязкой сертификата. Встроенная программа автоматически удаляет токен своего бота Telegram из вывода во время выполнения, предотвращая потенциальное восстановление данных аналитиками безопасности.
Распространение macOS.Gaslight было первоначально обнаружено после обновления Apple XProtect в июне 2023 года, хотя на момент этого обновления оно оставалось незамеченным при статическом анализе. Оно предназначено для предотвращения перехода системы в спящий режим с помощью утверждения управления питанием, обеспечивая непрерывное опрос и сбор данных даже в периоды бездействия. В Implant содержатся компоненты для кражи данных, особенно нацеленные на конфиденциальную информацию, такую как истории браузеров и учетные данные, хранящиеся в Связке ключей macOS, что обеспечивается закодированным Python-скриптом, который собирает полную среду сбора данных, используя автономный CPython-рантайм, загружаемый при выполнении.
Механизмы закрепления интегрируются через LaunchAgent, настроенный на маскировку под системные службы, что обеспечивает скрытность в экосистеме macOS. Этот метод часто наблюдается у семейств ВПО, связанных с КНДР. Кроме того, реализация саморазрушения токена бота представляет собой проактивную меру операционной безопасности (OPSEC), значительно повышающую устойчивость внедрения против анализа.
Дизайн вредоносного ПО подчеркивает инновационную тактику инъекции промптов, которая служит для компрометации эффективности анализа на основе ИИ за счет введения сложности в процесс оценки. Эта характеристика отличает macOS.Gaslight от предыдущих примеров вредоносного ПО, которые либо использовали ИИ для оперативных задач, либо применяли более простые формы обфускации. Благодаря сочетанию надежных возможностей сбора данных, строгой безопасности C2 и стратегий, нацеленных на аналитиков, macOS.Gaslight является примером формирующегося ландшафта угроз, где злоумышленники все чаще стремятся эксплуатировать инструменты ИИ, являющиеся фундаментальными для усилий в области кибербезопасности.
#ParsedReport #CompletenessMedium
23-06-2026
CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised
https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/
Report completeness: Medium
Victims:
E commerce, Healthcare, Financial services, Education, Government, Online gambling and betting, Logistics
Industry:
Logistic, Education, Healthcare, Government, E-commerce
Geo:
Asian, Indonesian, Brazilian, Asia
CVEs:
CVE-2025-54068 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel livewire (<3.6.4)
TTPs:
Tactics: 4
Technics: 11
IOCs:
Url: 1
File: 2
Hash: 1
IP: 1
Domain: 1
Email: 1
Soft:
Laravel Livewire, Livewire, Laravel, telegram, Unix, curl
Algorithms:
sha256, zip
Languages:
php
23-06-2026
CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised
https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/
Report completeness: Medium
Victims:
E commerce, Healthcare, Financial services, Education, Government, Online gambling and betting, Logistics
Industry:
Logistic, Education, Healthcare, Government, E-commerce
Geo:
Asian, Indonesian, Brazilian, Asia
CVEs:
CVE-2025-54068 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel livewire (<3.6.4)
TTPs:
Tactics: 4
Technics: 11
IOCs:
Url: 1
File: 2
Hash: 1
IP: 1
Domain: 1
Email: 1
Soft:
Laravel Livewire, Livewire, Laravel, telegram, Unix, curl
Algorithms:
sha256, zip
Languages:
php
Blog
CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised | Imperva
Introduction On May 24, 2026, Imperva observed exploitation attempts against Laravel Livewire applications, blocked by the Imperva Cloud WAF. What initially appeared to be unremarkable deserialization attack traffic turned out to be part of a large-scale…
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----
24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).
Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.
Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.
Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----
24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).
Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.
Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.
Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026
Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory
https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/
Report completeness: High
Actors/Campaigns:
Harvester (motivation: information_theft, financially_motivated)
Threats:
Fortibleed_vuln
Cyberstrikeai_tool
Password_spray_technique
Credential_harvesting_technique
Supply_chain_technique
Impacket_tool
Hashcat_tool
Hashtopolis_tool
Kerberoasting_technique
As-rep_roasting_technique
Victims:
Fortinet firewall and ssl vpn operators, Defense sector
Industry:
Chemical, Financial, Energy, Logistic, Government, Retail, Iot, E-commerce, Entertainment, Transport, Education, Telco, Healthcare
Geo:
Middle east, America, Russian, Asia-pacific, Turkey
TTPs:
Tactics: 7
Technics: 15
IOCs:
File: 3
IP: 2
Hash: 6
Soft:
FortiGate, Telegram, Linux, Active Directory, MSSQL, MySQL, curl
Algorithms:
sha256, md5, pbkdf2, rc4
Languages:
golang, javascript, python
Platforms:
amd64
YARA: Found
24-06-2026
Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory
https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/
Report completeness: High
Actors/Campaigns:
Harvester (motivation: information_theft, financially_motivated)
Threats:
Fortibleed_vuln
Cyberstrikeai_tool
Password_spray_technique
Credential_harvesting_technique
Supply_chain_technique
Impacket_tool
Hashcat_tool
Hashtopolis_tool
Kerberoasting_technique
As-rep_roasting_technique
Victims:
Fortinet firewall and ssl vpn operators, Defense sector
Industry:
Chemical, Financial, Energy, Logistic, Government, Retail, Iot, E-commerce, Entertainment, Transport, Education, Telco, Healthcare
Geo:
Middle east, America, Russian, Asia-pacific, Turkey
TTPs:
Tactics: 7
Technics: 15
IOCs:
File: 3
IP: 2
Hash: 6
Soft:
FortiGate, Telegram, Linux, Active Directory, MSSQL, MySQL, curl
Algorithms:
sha256, md5, pbkdf2, rc4
Languages:
golang, javascript, python
Platforms:
amd64
YARA: Found
Arctic Wolf
Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory - Arctic Wolf
Arctic Wolf reverse-engineered a recovered CyberStrike Harvester binary and connected it to the broader FortiBleed operator workflow, showing how exposed perimeter credentials can quickly become full internal-network exposure.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
FortiBleed — это кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, использующая такие методы, как Подстановка украденных учетных данных, Распыление пароля и сбор конфигураций, вместо традиционного ВПО. Кампания включает бинарный файл CyberStrike Harvester для извлечения многопротокольных учетных данных и обеспечения несанкционированного доступа к системам, что приводит к эксфильтрации данных. Операционная модель подчеркивает систематический подход к сбору учетных записей и их проверке, указывая на высокий уровень риска без подтвержденной эксплуатации уязвимостей Fortinet.
-----
FortiBleed атакует доступные через интернет межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN.
Кампания использует подстановку украденных учетных данных, распыление пароля, сбор конфигураций, офлайн-взлом и обработку данных после аутентификации.
Бинарный файл CyberStrike Harvester был реверс-инжинирингом, что выявило связи с операциями FortiBleed.
Обеспечивает извлечение учетных данных по нескольким протоколам, взлом хешей и несанкционированный доступ к службам Active Directory и SMB.
Эксфильтрация данных осуществляется с скомпрометированных систем без эксплуатации подтверждённой уязвимости Fortinet CVE для первоначального доступа.
Считается, что операция служит брокером учетных записей, сосредоточившись на сборе учетных записей высокой ценности.
В арсенал атакующих инструментов входят скрипты для эксплуатации и управления учетными данными, а также лабораторная установка CyberStrike.
CyberStrike Harvester преобразует захваченные сетевые данные в учетные данные и хеш-выводы, пригодные для использования.
Атака через вектор, ориентированный на учётные данные, сосредоточена на массовой проверке учётных данных и сборе конфигурационных файлов.
Собранные данные включают токены сессий и файлы cookie, очищенные и проверенные для последующих атак.
Многоэтапный процесс очистки улучшает данные учётных данных перед использованием Hashcat для офлайн-взлома.
Инфраструктура FortiBleed состоит из контролируемых злоумышленниками систем и компонентов, назначенных жертве.
Продвинутые методы валидации используют такие протоколы, как Kerberos и SMB, для сбора внутренних данных.
Операция носит системный характер, переходя от захвата к проверке и эксфильтрации данных.
Организациям необходимо устранять уязвимости и внедрять такие стратегии, как сброс учётных данных и усиление многофакторной аутентификации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
FortiBleed — это кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, использующая такие методы, как Подстановка украденных учетных данных, Распыление пароля и сбор конфигураций, вместо традиционного ВПО. Кампания включает бинарный файл CyberStrike Harvester для извлечения многопротокольных учетных данных и обеспечения несанкционированного доступа к системам, что приводит к эксфильтрации данных. Операционная модель подчеркивает систематический подход к сбору учетных записей и их проверке, указывая на высокий уровень риска без подтвержденной эксплуатации уязвимостей Fortinet.
-----
FortiBleed атакует доступные через интернет межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN.
Кампания использует подстановку украденных учетных данных, распыление пароля, сбор конфигураций, офлайн-взлом и обработку данных после аутентификации.
Бинарный файл CyberStrike Harvester был реверс-инжинирингом, что выявило связи с операциями FortiBleed.
Обеспечивает извлечение учетных данных по нескольким протоколам, взлом хешей и несанкционированный доступ к службам Active Directory и SMB.
Эксфильтрация данных осуществляется с скомпрометированных систем без эксплуатации подтверждённой уязвимости Fortinet CVE для первоначального доступа.
Считается, что операция служит брокером учетных записей, сосредоточившись на сборе учетных записей высокой ценности.
В арсенал атакующих инструментов входят скрипты для эксплуатации и управления учетными данными, а также лабораторная установка CyberStrike.
CyberStrike Harvester преобразует захваченные сетевые данные в учетные данные и хеш-выводы, пригодные для использования.
Атака через вектор, ориентированный на учётные данные, сосредоточена на массовой проверке учётных данных и сборе конфигурационных файлов.
Собранные данные включают токены сессий и файлы cookie, очищенные и проверенные для последующих атак.
Многоэтапный процесс очистки улучшает данные учётных данных перед использованием Hashcat для офлайн-взлома.
Инфраструктура FortiBleed состоит из контролируемых злоумышленниками систем и компонентов, назначенных жертве.
Продвинутые методы валидации используют такие протоколы, как Kerberos и SMB, для сбора внутренних данных.
Операция носит системный характер, переходя от захвата к проверке и эксфильтрации данных.
Организациям необходимо устранять уязвимости и внедрять такие стратегии, как сброс учётных данных и усиление многофакторной аутентификации.
#ParsedReport #CompletenessLow
23-06-2026
Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware
https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution
Report completeness: Low
Actors/Campaigns:
Payouts_king
Threats:
Edgecution
Victims:
Organizations
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1082, T1112, T1140, have more...
IOCs:
Path: 1
Registry: 2
File: 2
Url: 4
Hash: 2
Soft:
Microsoft Edge, Chrome, Microsoft Teams, Outlook, AutoHotKey, Microsoft Outlook, Windows registry
Algorithms:
zip, sha256
Languages:
python, powershell
23-06-2026
Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware
https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution
Report completeness: Low
Actors/Campaigns:
Payouts_king
Threats:
Edgecution
Victims:
Organizations
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1082, T1112, T1140, have more...
IOCs:
Path: 1
Registry: 2
File: 2
Url: 4
Hash: 2
Soft:
Microsoft Edge, Chrome, Microsoft Teams, Outlook, AutoHotKey, Microsoft Outlook, Windows registry
Algorithms:
zip, sha256
Languages:
python, powershell
Zscaler
Edgecution: Malicious Edge Extension Backdoor | ThreatLabz
ThreatLabz exposes Edgecution: a rogue Edge extension that abuses Chrome native messaging to escape the browser sandbox and backdoor compromised hosts.
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ransomware Payouts King использует вредоносное расширение Microsoft Edge под названием Edgecution для обхода ограничений песочницы браузера, предоставляя злоумышленникам контроль над хост-системами. Атака начинается с тактик социальной инженерии, чтобы убедить жертв загрузить обманный патч, что приводит к развертыванию вредоносного ПО, включающего Python бэкдор. Взаимодействие между расширением и бэкдором позволяет осуществлять обширную вредоносную деятельность, такую как манипуляции с файловой системой, выполнение произвольного кода и связь с сервером управления.
-----
Шифровальщик Payouts King использует сложную технику с вредоносным расширением браузера Microsoft Edge под названием Edgecution, которое применяется брокером первоначального доступа. Это расширение эксплуатирует протокол нативного обмена сообщениями Chrome, позволяя злоумышленникам обходить типичные ограничения песочницы браузера и получать обширный контроль над хост-системами. Эта возможность позволяет манипулировать локальной файловой системой, выполнять произвольный код и запускать процессы непосредственно с скомпрометированного хоста.
Вредоносное ПО Edgecution использует два основных компонента: вредоносное расширение браузера Edge и бэкдор на базе Python. Атака обычно начинается с тактик социальной инженерии, когда злоумышленник выдает себя за сотрудников ИТ-отдела через такие платформы, как Microsoft Teams, убеждая жертв загрузить поддельное обновление, замаскированное внутри зашифрованного ZIP-архива. Этот ZIP-архив содержит файлы, необходимые для развертывания вредоносного ПО Edgecution, включая дистрибутив Python, расширение и обфусцированный Python-скрипт, выполняющий вредоносные функции.
При установке команды из скрипта AutoHotKey или других скриптов настраивают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу, которая запускает Microsoft Edge с загруженным вредоносным расширением. Расширение маскируется под «Edge Monitoring Agent» и устанавливает связь с сервером управления (C2), размещенным на AWS. Python бэкдор действует как мост, выполняется в безголовом режиме, что позволяет злоумышленникам избегать привлечения внимания пользователей, сохраняя при этом оперативный контроль над скомпрометированной средой.
Функциональность Edgecution включает множество команд для вредоносной деятельности, многие из которых требуют прав, обычно ограниченных для обычных браузерных расширений. Используя протокол нативного обмена сообщениями, расширение Edgecution может вызывать бэкдор для выполнения задач, включающих доступ к файловой системе и выполнение кода. Обмен данными между расширением и Python-бэкдором структурирован в формате JSON, с сообщениями, указывающими типы команд и результаты выполнения.
Это сотрудничество между вредоносным расширением и его Python-бэкдором демонстрирует сложный метод поддержания foothold в средах жертв, отмечая заметную эволюцию тактик, используемых аффилиатами программ-вымогателей. Методы, применяемые злоумышленниками Payouts King, подчеркивают необходимость для организаций усиливать свою защиту от таких угроз, акцентируя важность мониторинга установок расширений браузера, контроля конфигураций нативного обмена сообщениями и проведения обучения пользователей для выявления подозрительных коммуникаций, имитирующих легитимные обновления.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ransomware Payouts King использует вредоносное расширение Microsoft Edge под названием Edgecution для обхода ограничений песочницы браузера, предоставляя злоумышленникам контроль над хост-системами. Атака начинается с тактик социальной инженерии, чтобы убедить жертв загрузить обманный патч, что приводит к развертыванию вредоносного ПО, включающего Python бэкдор. Взаимодействие между расширением и бэкдором позволяет осуществлять обширную вредоносную деятельность, такую как манипуляции с файловой системой, выполнение произвольного кода и связь с сервером управления.
-----
Шифровальщик Payouts King использует сложную технику с вредоносным расширением браузера Microsoft Edge под названием Edgecution, которое применяется брокером первоначального доступа. Это расширение эксплуатирует протокол нативного обмена сообщениями Chrome, позволяя злоумышленникам обходить типичные ограничения песочницы браузера и получать обширный контроль над хост-системами. Эта возможность позволяет манипулировать локальной файловой системой, выполнять произвольный код и запускать процессы непосредственно с скомпрометированного хоста.
Вредоносное ПО Edgecution использует два основных компонента: вредоносное расширение браузера Edge и бэкдор на базе Python. Атака обычно начинается с тактик социальной инженерии, когда злоумышленник выдает себя за сотрудников ИТ-отдела через такие платформы, как Microsoft Teams, убеждая жертв загрузить поддельное обновление, замаскированное внутри зашифрованного ZIP-архива. Этот ZIP-архив содержит файлы, необходимые для развертывания вредоносного ПО Edgecution, включая дистрибутив Python, расширение и обфусцированный Python-скрипт, выполняющий вредоносные функции.
При установке команды из скрипта AutoHotKey или других скриптов настраивают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу, которая запускает Microsoft Edge с загруженным вредоносным расширением. Расширение маскируется под «Edge Monitoring Agent» и устанавливает связь с сервером управления (C2), размещенным на AWS. Python бэкдор действует как мост, выполняется в безголовом режиме, что позволяет злоумышленникам избегать привлечения внимания пользователей, сохраняя при этом оперативный контроль над скомпрометированной средой.
Функциональность Edgecution включает множество команд для вредоносной деятельности, многие из которых требуют прав, обычно ограниченных для обычных браузерных расширений. Используя протокол нативного обмена сообщениями, расширение Edgecution может вызывать бэкдор для выполнения задач, включающих доступ к файловой системе и выполнение кода. Обмен данными между расширением и Python-бэкдором структурирован в формате JSON, с сообщениями, указывающими типы команд и результаты выполнения.
Это сотрудничество между вредоносным расширением и его Python-бэкдором демонстрирует сложный метод поддержания foothold в средах жертв, отмечая заметную эволюцию тактик, используемых аффилиатами программ-вымогателей. Методы, применяемые злоумышленниками Payouts King, подчеркивают необходимость для организаций усиливать свою защиту от таких угроз, акцентируя важность мониторинга установок расширений браузера, контроля конфигураций нативного обмена сообщениями и проведения обучения пользователей для выявления подозрительных коммуникаций, имитирующих легитимные обновления.
#ParsedReport #CompletenessHigh
23-06-2026
Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery
https://www.securonix.com/blog/taxtrident-indian-fax-lures/
Report completeness: High
Actors/Campaigns:
Tax_trident (motivation: cyber_espionage, financially_motivated)
Threats:
Steganography_technique
Sysaid_tool
Syncfuture_tool
Ytscrat
Lolbin_technique
Bitsadmin_tool
Spear-phishing_technique
Victims:
Windows endpoints, India
Industry:
Financial
Geo:
India, Indian, Chinese, China
TTPs:
Tactics: 7
Technics: 23
IOCs:
Domain: 4
File: 6
IP: 8
Path: 4
Url: 6
Hash: 16
Soft:
Windows installer, Windows service, curl
Algorithms:
zip, sha256
Win Services:
BITS
Languages:
php, vbscript, visual_basic, powershell
Platforms:
x86
23-06-2026
Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery
https://www.securonix.com/blog/taxtrident-indian-fax-lures/
Report completeness: High
Actors/Campaigns:
Tax_trident (motivation: cyber_espionage, financially_motivated)
Threats:
Steganography_technique
Sysaid_tool
Syncfuture_tool
Ytscrat
Lolbin_technique
Bitsadmin_tool
Spear-phishing_technique
Victims:
Windows endpoints, India
Industry:
Financial
Geo:
India, Indian, Chinese, China
TTPs:
Tactics: 7
Technics: 23
IOCs:
Domain: 4
File: 6
IP: 8
Path: 4
Url: 6
Hash: 16
Soft:
Windows installer, Windows service, curl
Algorithms:
zip, sha256
Win Services:
BITS
Languages:
php, vbscript, visual_basic, powershell
Platforms:
x86
Securonix
TAX#TRIDENT India Tax Lures
Securonix Threat Research: Analyzes TAX#TRIDENT, a fake Indian tax campaign using ZIP files, VBScript, and signed management tools to gain durable endpoint access.
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery https://www.securonix.com/blog/taxtrident-indian-fax-lures/ Report completeness: High Actors/Campaigns: Tax_trident…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания TAX#TRIDENT нацелена на системы Windows, используя приманки на тему индийского подоходного налога для доставки вредоносных загрузок тремя основными способами: прямые загрузки ZIP-файлов, загрузчики VBScript и PHP-эндпоинты, предоставляющие вредоносные скрипты. Каждый метод доставки в конечном итоге устанавливает подписанный клиентский пакет ClientSetup, который создает скрытую клиентскую директорию и обеспечивает закрепление. Кампания использует тактики, заимствованные из китайского ВПО, но не имеет однозначной атрибуции к конкретным злоумышленникам, при этом поведенческие индикаторы, такие как неожиданные выполнения VBScript и измененные политики UAC, сигнализируют о потенциальных угрозах.
-----
Кампания TAX#TRIDENT представляет собой текущую киберугрозу, использующую приманки на тему индийского подоходного налога для доставки вредоносных загрузок на конечные точки Windows. Эта операция применяет три различных пути доставки: прямые загрузки ZIP-файлов, загрузчики VBScript и веб-конечные точки, имитирующие PHP, которые возвращают вредоносный скриптовый контент. Независимо от механизма доставки, каждый маршрут завершается установкой подписанного загрузчика ClientSetup. После выполнения этот загрузчик создает скрытую клиентскую директорию, поддерживает закрепление через службы и драйверы, записывает настройки конфигурации и инициирует исходящие сетевые коммуникации.
Эволюция кампании TAX#TRIDENT характеризуется не появлением нового ВПО, а переиспользованием и расширением ранее задокументированных такс-тематических тактик. Кампания переплетает устоявшиеся поведения, наблюдаемые в вредоносном программном обеспечении, связанном с китайским инструментарием, что особенно заметно в метаданных файлов и соглашениях об именовании конфигураций, соответствующих известным случаям злоупотребления китайским ПО. Однако, хотя эти данные раскрывают тип эксплуатируемого программного обеспечения, они не предоставляют окончательной атрибуции к конкретным злоумышленникам.
Первая цепочка доставки начинается с поддельной индийской страницы налоговой оценки, ведущей к ZIP-архиву, содержащему подписанный установщик Windows. Этот метод опирается на социальную инженерию, заставляя жертв полагать, что они открывают легитимные документы, связанные с налогами. Вторая цепочка развертывает тот же самый payload ClientSetup с помощью VBScript, который демонстрирует поддельное изображение, дополнительно скрывая истинные намерения атаки. Третий подход использует уникальный PHP-эндпоинт с именем "download.php", который предоставляет содержимое VBScript, замаскированное под веб-приложение, облегчая загрузку из ресурсов, размещенных в облаке, и тонко изменяя поведение UAC для содействия тихой установке агента ManageEngine UEMS.
Ключевые поведенческие индикаторы сигнализируют о потенциальной вредоносной активности, такие как выполнение VBScript из неожиданных расширений веб-приложений, например, ".php", и наличие замаскированных исполняемых инструментов в публичных каталогах. Кроме того, необычные изменения политик UAC, тихие установки MSI и несанкционированный исходящий трафик на неутвержденные инфраструктуры должны подвергаться тщательной проверке.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания TAX#TRIDENT нацелена на системы Windows, используя приманки на тему индийского подоходного налога для доставки вредоносных загрузок тремя основными способами: прямые загрузки ZIP-файлов, загрузчики VBScript и PHP-эндпоинты, предоставляющие вредоносные скрипты. Каждый метод доставки в конечном итоге устанавливает подписанный клиентский пакет ClientSetup, который создает скрытую клиентскую директорию и обеспечивает закрепление. Кампания использует тактики, заимствованные из китайского ВПО, но не имеет однозначной атрибуции к конкретным злоумышленникам, при этом поведенческие индикаторы, такие как неожиданные выполнения VBScript и измененные политики UAC, сигнализируют о потенциальных угрозах.
-----
Кампания TAX#TRIDENT представляет собой текущую киберугрозу, использующую приманки на тему индийского подоходного налога для доставки вредоносных загрузок на конечные точки Windows. Эта операция применяет три различных пути доставки: прямые загрузки ZIP-файлов, загрузчики VBScript и веб-конечные точки, имитирующие PHP, которые возвращают вредоносный скриптовый контент. Независимо от механизма доставки, каждый маршрут завершается установкой подписанного загрузчика ClientSetup. После выполнения этот загрузчик создает скрытую клиентскую директорию, поддерживает закрепление через службы и драйверы, записывает настройки конфигурации и инициирует исходящие сетевые коммуникации.
Эволюция кампании TAX#TRIDENT характеризуется не появлением нового ВПО, а переиспользованием и расширением ранее задокументированных такс-тематических тактик. Кампания переплетает устоявшиеся поведения, наблюдаемые в вредоносном программном обеспечении, связанном с китайским инструментарием, что особенно заметно в метаданных файлов и соглашениях об именовании конфигураций, соответствующих известным случаям злоупотребления китайским ПО. Однако, хотя эти данные раскрывают тип эксплуатируемого программного обеспечения, они не предоставляют окончательной атрибуции к конкретным злоумышленникам.
Первая цепочка доставки начинается с поддельной индийской страницы налоговой оценки, ведущей к ZIP-архиву, содержащему подписанный установщик Windows. Этот метод опирается на социальную инженерию, заставляя жертв полагать, что они открывают легитимные документы, связанные с налогами. Вторая цепочка развертывает тот же самый payload ClientSetup с помощью VBScript, который демонстрирует поддельное изображение, дополнительно скрывая истинные намерения атаки. Третий подход использует уникальный PHP-эндпоинт с именем "download.php", который предоставляет содержимое VBScript, замаскированное под веб-приложение, облегчая загрузку из ресурсов, размещенных в облаке, и тонко изменяя поведение UAC для содействия тихой установке агента ManageEngine UEMS.
Ключевые поведенческие индикаторы сигнализируют о потенциальной вредоносной активности, такие как выполнение VBScript из неожиданных расширений веб-приложений, например, ".php", и наличие замаскированных исполняемых инструментов в публичных каталогах. Кроме того, необычные изменения политик UAC, тихие установки MSI и несанкционированный исходящий трафик на неутвержденные инфраструктуры должны подвергаться тщательной проверке.
#ParsedReport #CompletenessMedium
24-06-2026
The Growing Threat of ShadowPad Malware and Its Business Impact
https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/
Report completeness: Medium
Actors/Campaigns:
Winnti
Threats:
Shadowpad
Plugx_rat
Supply_chain_technique
Shadowhammer
Spear-phishing_technique
Lolbin_technique
Watering_hole_technique
Dll_sideloading_technique
Passthehash_technique
Process_injection_technique
Victims:
Government institutions, Critical infrastructure, High value corporate assets, Enterprise software
Industry:
Government, Critical_infrastructure
Geo:
Chinese
TTPs:
Tactics: 8
Technics: 20
IOCs:
IP: 34
Hash: 6
Soft:
NetSarang
Algorithms:
sha256
Languages:
powershell
24-06-2026
The Growing Threat of ShadowPad Malware and Its Business Impact
https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/
Report completeness: Medium
Actors/Campaigns:
Winnti
Threats:
Shadowpad
Plugx_rat
Supply_chain_technique
Shadowhammer
Spear-phishing_technique
Lolbin_technique
Watering_hole_technique
Dll_sideloading_technique
Passthehash_technique
Process_injection_technique
Victims:
Government institutions, Critical infrastructure, High value corporate assets, Enterprise software
Industry:
Government, Critical_infrastructure
Geo:
Chinese
TTPs:
Tactics: 8
Technics: 20
IOCs:
IP: 34
Hash: 6
Soft:
NetSarang
Algorithms:
sha256
Languages:
powershell
Cyberint
The Growing Threat of ShadowPad Malware and Its Business Impact
Introduction to ShadowPad Malware ShadowPad, a sophisticated modular malware, has emerged as a significant cybersecurity threat. Attributed initially to Chinese state-sponsored threat actors (APT41), this malware has evolved into a shared tool among various…
CTT Report Hub
#ParsedReport #CompletenessMedium 24-06-2026 The Growing Threat of ShadowPad Malware and Its Business Impact https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/ Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ShadowPad — это модульное ВПО, связанное с китайской группой APT41, обеспечивающее разнообразные возможности для атак, такие как эксфильтрация данных и создание бэкдоров. Оно использует различные механизмы доставки, включая атаки на Цепочку поставок, уязвимости непропатченного корпоративного программного обеспечения, Целевой фишинг и техники Living-off-the-Land. ВПО представляет значительные риски, приводящие к утечкам данных, нарушению работы и потенциальным финансовым потерям в результате шпионажа и компрометации систем.
-----
Вредоносное ПО ShadowPad, изначально приписываемое китайской государственной группе APT41, стало заметной угрозой в ландшафте угроз благодаря своей модульной и настраиваемой архитектуре. Впервые обнаруженное в 2015 году как эволюция PlugX, ShadowPad теперь используется различными группами APT, что отражает его универсальность в выполнении злонамеренных операций, таких как эксфильтрация данных, перемещение внутри компании и создание бэкдоров в зараженных системах. Его модульность позволяет вредоносному ПО адаптироваться к конкретным целям, подчеркивая его способность к скрытности и закреплению.
Механизмы доставки ShadowPad сложны и разнообразны, часто применяя изощренные стратегии, предназначенные для эксплуатации конкретных уязвимостей. Он может распространяться через атаки на цепочку поставок программного обеспечения, при которых злоумышленники компрометируют обновления легитимных приложений, тем самым эксплуатируя доверие пользователей к поставщикам. Кроме того, ВПО используется в сочетании с незакрытыми уязвимостями в корпоративном программном обеспечении, включая эксплойты нулевого дня, которые предоставляют злоумышленникам шлюз для проникновения в сети. Кампании целевого фишинга дополнительно способствуют распространению ShadowPad, используя тщательно составленные электронные письма, содержащие вредоносные ссылки или вложения, которые выполняют ВПО при взаимодействии. Более того, операторы используют техники Living-off-the-Land (LotL), опираясь на существующие административные инструменты и скрипты, такие как PowerShell и Инструментарий управления Windows (WMI), что помогает избегать обнаружения системами безопасности. Атаки через «водопойные» сайты также служат средством распространения, нацеливаясь на веб-сайты, которыми регулярно пользуются желаемые жертвы, чтобы непреднамеренно доставить ВПО.
Последствия развертывания ShadowPad могут быть серьезными для организаций, приводя к значительным утечкам данных, характеризующимся эксфильтрацией конфиденциальной информации, операционными сбоями, деятельностью по сбору разведданных и существенными финансовыми потерями. Возможности вредоносного ПО позволяют ему красть интеллектуальную собственность и данные клиентов, которые могут быть использованы для шпионажа или проданы на нелегальных рынках. Кроме того, операционное воздействие может привести к простою и потере производительности, а также к установке дополнительных полезной нагрузки, нарушающих работу критических систем. Организации сталкиваются с перспективой дорогостоящего реагирования на инциденты, усилий по восстановлению систем и потенциальных штрафов за нарушение защиты данных, что также может нанести ущерб репутации. Публичное раскрытие таких инцидентов может снизить доверие клиентов и рыночную стоимость, что приведет к долгосрочным последствиям для затронутых организаций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ShadowPad — это модульное ВПО, связанное с китайской группой APT41, обеспечивающее разнообразные возможности для атак, такие как эксфильтрация данных и создание бэкдоров. Оно использует различные механизмы доставки, включая атаки на Цепочку поставок, уязвимости непропатченного корпоративного программного обеспечения, Целевой фишинг и техники Living-off-the-Land. ВПО представляет значительные риски, приводящие к утечкам данных, нарушению работы и потенциальным финансовым потерям в результате шпионажа и компрометации систем.
-----
Вредоносное ПО ShadowPad, изначально приписываемое китайской государственной группе APT41, стало заметной угрозой в ландшафте угроз благодаря своей модульной и настраиваемой архитектуре. Впервые обнаруженное в 2015 году как эволюция PlugX, ShadowPad теперь используется различными группами APT, что отражает его универсальность в выполнении злонамеренных операций, таких как эксфильтрация данных, перемещение внутри компании и создание бэкдоров в зараженных системах. Его модульность позволяет вредоносному ПО адаптироваться к конкретным целям, подчеркивая его способность к скрытности и закреплению.
Механизмы доставки ShadowPad сложны и разнообразны, часто применяя изощренные стратегии, предназначенные для эксплуатации конкретных уязвимостей. Он может распространяться через атаки на цепочку поставок программного обеспечения, при которых злоумышленники компрометируют обновления легитимных приложений, тем самым эксплуатируя доверие пользователей к поставщикам. Кроме того, ВПО используется в сочетании с незакрытыми уязвимостями в корпоративном программном обеспечении, включая эксплойты нулевого дня, которые предоставляют злоумышленникам шлюз для проникновения в сети. Кампании целевого фишинга дополнительно способствуют распространению ShadowPad, используя тщательно составленные электронные письма, содержащие вредоносные ссылки или вложения, которые выполняют ВПО при взаимодействии. Более того, операторы используют техники Living-off-the-Land (LotL), опираясь на существующие административные инструменты и скрипты, такие как PowerShell и Инструментарий управления Windows (WMI), что помогает избегать обнаружения системами безопасности. Атаки через «водопойные» сайты также служат средством распространения, нацеливаясь на веб-сайты, которыми регулярно пользуются желаемые жертвы, чтобы непреднамеренно доставить ВПО.
Последствия развертывания ShadowPad могут быть серьезными для организаций, приводя к значительным утечкам данных, характеризующимся эксфильтрацией конфиденциальной информации, операционными сбоями, деятельностью по сбору разведданных и существенными финансовыми потерями. Возможности вредоносного ПО позволяют ему красть интеллектуальную собственность и данные клиентов, которые могут быть использованы для шпионажа или проданы на нелегальных рынках. Кроме того, операционное воздействие может привести к простою и потере производительности, а также к установке дополнительных полезной нагрузки, нарушающих работу критических систем. Организации сталкиваются с перспективой дорогостоящего реагирования на инциденты, усилий по восстановлению систем и потенциальных штрафов за нарушение защиты данных, что также может нанести ущерб репутации. Публичное раскрытие таких инцидентов может снизить доверие клиентов и рыночную стоимость, что приведет к долгосрочным последствиям для затронутых организаций.
#ParsedReport #CompletenessLow
24-06-2026
A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks
https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/
Report completeness: Low
Threats:
Darkloadlibrary_tool
Nighthawk_tool
ChatGPT TTPs:
T1003.001, T1106, T1179, T1620
IOCs:
File: 5
Coin: 2
Functions:
LdrpFindLoadedDllByName, GetModuleHandle
Win API:
ZONE, LdrLoadDll, NtCreateSection, NtMapViewOfSection, GetProcAddress, tMapViewOfSection, NtAllocateVirtualMemory, tMapViewOfSection it, tAllocateVirtualMemory, NtOpenSection, have more...
24-06-2026
A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks
https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/
Report completeness: Low
Threats:
Darkloadlibrary_tool
Nighthawk_tool
ChatGPT TTPs:
do not use without manual checkT1003.001, T1106, T1179, T1620
IOCs:
File: 5
Coin: 2
Functions:
LdrpFindLoadedDllByName, GetModuleHandle
Win API:
ZONE, LdrLoadDll, NtCreateSection, NtMapViewOfSection, GetProcAddress, tMapViewOfSection, NtAllocateVirtualMemory, tMapViewOfSection it, tAllocateVirtualMemory, NtOpenSection, have more...
BI.ZONE
Скрытая угроза: чем опасен DarkLoadLibrary и как выявить его использование при атаках
Рассказываем об инструменте для скрытой загрузки DLL в Windows и способах его обнаружения
CTT Report Hub
#ParsedReport #CompletenessLow 24-06-2026 A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
DarkLoadLibrary — это вредоносный загрузчик DLL, использующий низкоуровневые функции Windows для обхода механизмов безопасности путём скрытой загрузки кода без вызова оповещений. Он применяет функции NtCreateSection и NtAllocateVirtualMemory, обходя традиционные уведомления о загрузке образа, а его реализация в фреймворке NightHawk C2 включает перехват критических вызовов API для предотвращения нормальной загрузки известных DLL. Обнаружение DarkLoadLibrary возможно через аномальные паттерны доступа к памяти, особенно когда процессы, такие как LSASS.exe, взаимодействуются с использованием функций, таких как MiniDumpWriteDump.
-----
DarkLoadLibrary — это сложный инструмент, демонстрирующий, как злоумышленники манипулируют низкоуровневыми механизмами Windows для обхода систем безопасности, в частности, путем скрытой загрузки вредоносного кода. Этот загрузчик динамической библиотеки (DLL) обходит стандартные уведомления об исполнении, предоставляемые функцией LoadImageNotifyRoutine, позволяя злоумышленникам выполнять код без срабатывания оповещения средств защиты.
Работа DarkLoadLibrary начинается с вызова функции NtCreateSection, где файл считывается на уровне ядра, создавая секцию, содержащую необходимые данные. Обычно этот процесс включает отображение секции в память с помощью функции NtMapViewOfSection, что, как правило, требует участия LoadImageNotifyRoutine. Однако DarkLoadLibrary отклоняется от этого подхода, используя функцию NtAllocateVirtualMemory для выделения памяти для DLL, тем самым эффективно предотвращая регистрацию телеметрии, связанной с загрузкой модуля, инструментами безопасности. Этот выбор архитектуры позволяет ВПО использовать функции нативного API, избегая потенциальных хуков, установленных мониторинговыми средствами защиты.
Пример практической реализации можно увидеть во фреймворке управления NightHawk (C2) (версия 0.2.1). NightHawk перехватывает критические функции, такие как NtOpenSection, NtCreateSection и NtMapViewOfSection, в процессе вызова LdrLoadDll. Перехватчик действует, предотвращая загрузку известных DLL, возвращая код ошибки, когда попытка загрузки целевой DLL совпадает с предопределенным списком для загрузки через DarkLoadLibrary. Это предотвращает загрузку DLL из KnownDll и обрабатывает её через более скрытный метод, включенный DarkLoadLibrary.
После создания секции для запрашиваемой DLL NightHawk изменяет её дескриптор секции, чтобы убедиться, что память выделяется из пространства виртуальной памяти, которое напрямую управляется операционной системой Windows, что позволяет всем нормальным операциям продолжаться без помех после первоначального перехвата. Метрики для подтверждения наличия DarkLoadLibrary могут быть получены из событий доступа к памяти, таких как создание дампа процесса LSASS.exe с помощью функции MiniDumpWriteDump. Вызовы, выполняемые из регионов памяти, не имеющих соответствующего файла, указывают на использование DarkLoadLibrary.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
DarkLoadLibrary — это вредоносный загрузчик DLL, использующий низкоуровневые функции Windows для обхода механизмов безопасности путём скрытой загрузки кода без вызова оповещений. Он применяет функции NtCreateSection и NtAllocateVirtualMemory, обходя традиционные уведомления о загрузке образа, а его реализация в фреймворке NightHawk C2 включает перехват критических вызовов API для предотвращения нормальной загрузки известных DLL. Обнаружение DarkLoadLibrary возможно через аномальные паттерны доступа к памяти, особенно когда процессы, такие как LSASS.exe, взаимодействуются с использованием функций, таких как MiniDumpWriteDump.
-----
DarkLoadLibrary — это сложный инструмент, демонстрирующий, как злоумышленники манипулируют низкоуровневыми механизмами Windows для обхода систем безопасности, в частности, путем скрытой загрузки вредоносного кода. Этот загрузчик динамической библиотеки (DLL) обходит стандартные уведомления об исполнении, предоставляемые функцией LoadImageNotifyRoutine, позволяя злоумышленникам выполнять код без срабатывания оповещения средств защиты.
Работа DarkLoadLibrary начинается с вызова функции NtCreateSection, где файл считывается на уровне ядра, создавая секцию, содержащую необходимые данные. Обычно этот процесс включает отображение секции в память с помощью функции NtMapViewOfSection, что, как правило, требует участия LoadImageNotifyRoutine. Однако DarkLoadLibrary отклоняется от этого подхода, используя функцию NtAllocateVirtualMemory для выделения памяти для DLL, тем самым эффективно предотвращая регистрацию телеметрии, связанной с загрузкой модуля, инструментами безопасности. Этот выбор архитектуры позволяет ВПО использовать функции нативного API, избегая потенциальных хуков, установленных мониторинговыми средствами защиты.
Пример практической реализации можно увидеть во фреймворке управления NightHawk (C2) (версия 0.2.1). NightHawk перехватывает критические функции, такие как NtOpenSection, NtCreateSection и NtMapViewOfSection, в процессе вызова LdrLoadDll. Перехватчик действует, предотвращая загрузку известных DLL, возвращая код ошибки, когда попытка загрузки целевой DLL совпадает с предопределенным списком для загрузки через DarkLoadLibrary. Это предотвращает загрузку DLL из KnownDll и обрабатывает её через более скрытный метод, включенный DarkLoadLibrary.
После создания секции для запрашиваемой DLL NightHawk изменяет её дескриптор секции, чтобы убедиться, что память выделяется из пространства виртуальной памяти, которое напрямую управляется операционной системой Windows, что позволяет всем нормальным операциям продолжаться без помех после первоначального перехвата. Метрики для подтверждения наличия DarkLoadLibrary могут быть получены из событий доступа к памяти, таких как создание дампа процесса LSASS.exe с помощью функции MiniDumpWriteDump. Вызовы, выполняемые из регионов памяти, не имеющих соответствующего файла, указывают на использование DarkLoadLibrary.
#ParsedReport #CompletenessMedium
24-06-2026
Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker
https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat
Report completeness: Medium
Actors/Campaigns:
Dragonforce
Threats:
Mltbackdoor
Kongtuke
Modelorat
Qilin_ransomware
Blackbasta
Interlock
Rhysida
Akira_ransomware
8base
Clickfix_technique
Filefix_technique
Crashfix
Winpython_tool
Lolbin_technique
Nexshield
Mintsloader
Kerberoasting_technique
Anydesk_tool
Splashtop_tool
Victims:
Insurance, Education, Information technology, Professional services
Industry:
Education
ChatGPT TTPs:
T1007, T1018, T1027, T1036, T1053.005, T1059.001, T1059.005, T1059.006, T1059.007, T1069.002, have more...
IOCs:
File: 12
Hash: 9
Soft:
Node.js, Curl, WordPress, Windows File Explorer, Microsoft Teams, Chrome, GateKeeper, Active Directory
Algorithms:
rc4
Win API:
GetModuleFileNameW, LoadLibraryW
Languages:
javascript, powershell, vbscript, python
24-06-2026
Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker
https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat
Report completeness: Medium
Actors/Campaigns:
Dragonforce
Threats:
Mltbackdoor
Kongtuke
Modelorat
Qilin_ransomware
Blackbasta
Interlock
Rhysida
Akira_ransomware
8base
Clickfix_technique
Filefix_technique
Crashfix
Winpython_tool
Lolbin_technique
Nexshield
Mintsloader
Kerberoasting_technique
Anydesk_tool
Splashtop_tool
Victims:
Insurance, Education, Information technology, Professional services
Industry:
Education
ChatGPT TTPs:
do not use without manual checkT1007, T1018, T1027, T1036, T1053.005, T1059.001, T1059.005, T1059.006, T1059.007, T1069.002, have more...
IOCs:
File: 12
Hash: 9
Soft:
Node.js, Curl, WordPress, Windows File Explorer, Microsoft Teams, Chrome, GateKeeper, Active Directory
Algorithms:
rc4
Win API:
GetModuleFileNameW, LoadLibraryW
Languages:
javascript, powershell, vbscript, python
Security
Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker
Stealthy new backdoor used in cybercrime intrusions since April 2026 may be associated with Woodgnat (aka KongTuke), an initial access broker whose ModeloRAT toolkit has fed Qilin and other ransomware operations.