CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 CVE-2025-54068 Laravel Livewire Credential Theft Campaign: 6,000+ Applications Compromised https://www.imperva.com/blog/cve-2025-54068-laravel-livewire-credential-theft-campaign-6000-applications-compromised/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдается кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, затрагивающая приложения Laravel Livewire вплоть до версии v3.6.3. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять код посредством вредоносной десериализации PHP-объектов, развертывая Bash-скрипт (shoc.enz), который крадет конфиденциальные конфигурационные файлы из более чем 6 167 целевых приложений в различных секторах. Атака приписывается индонезийскому злоумышленнику, имеющему связи с предыдущими подпольными взломами, что подчеркивает серьезные риски, связанные с непропатченными развертываниями Laravel.
-----

24 мая 2026 года была зафиксирована масштабная кампания по краже учетных данных, использующая уязвимость CVE-2025-54068, направленная на приложения Laravel Livewire, в основном затрагивающая версии вплоть до v3.6.3. Эта критическая уязвимость возникает из-за недостаточной проверки обновлений свойств компонентов в процессе гидратации, что позволяет неаутентифицированным злоумышленникам внедрять вредоносные сериализованные объекты PHP, приводящие к выполнению произвольного кода при десериализации. Атакующий использовал эту ошибку для выполнения полезной нагрузки, которая загружала и выполняла Bash-скрипт с их сервера управления (управление).

Захваченный полезный груз указывал на то, что атакующий использовал цепочки гаджетов PHPGGC, которые эксплуатируют существующие легитимные классы PHP в приложениях Laravel. Вредоносный скрипт оболочки Bash, идентифицированный как shoc.enz, имел небольшой размер 5 269 байт и служил в качестве credential stealer. После выполнения он создавал временный рабочий каталог, обеспечивал отсутствие других запущенных экземпляров, искал конфиденциальные файлы .env, содержащие критически важные конфигурационные данные, архивировал эти файлы и впоследствии эксфильтровал их по нескольким каналам C2, одновременно очищая следы для удаления криминалистический анализ.

Анализ показал, что более 6167 приложений в различных секторах, включая электронную коммерцию, здравоохранение, финансовые услуги и даже государственные органы, подверглись компрометации учетных данных. В наличии находились более 1850 дампов баз данных и обширные списки электронных адресов, что указывает на активное использование украденных учетных данных. Индикаторы, связывающие кампанию с индонезийским злоумышленником, включали лингвистические элементы в коде ВПО и метаданные, связанные с инфраструктурой C2, включая учетные записи в Телеграм и адрес электронной почты, связанный с несколькими предыдущими утечками на подпольных форумах.

Целевые приложения охватывали широкий спектр развертываний Laravel, включая платформы, связанные с онлайн-гемблингом, образованием и логистикой, что подчеркивает безразборчивый характер сканирования. Любая организация, использующая неподготовленные версии Laravel Livewire v3, могла стать потенциальной жертвой этой масштабной кампании. В целом, операция выявляет значительные уязвимости в широко используемых фреймворках и серьезные последствия их эксплуатации в киберпространстве.
#ParsedReport #CompletenessHigh
24-06-2026

Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory

https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/

Report completeness: High

Actors/Campaigns:
Harvester (motivation: information_theft, financially_motivated)

Threats:
Fortibleed_vuln
Cyberstrikeai_tool
Password_spray_technique
Credential_harvesting_technique
Supply_chain_technique
Impacket_tool
Hashcat_tool
Hashtopolis_tool
Kerberoasting_technique
As-rep_roasting_technique

Victims:
Fortinet firewall and ssl vpn operators, Defense sector

Industry:
Chemical, Financial, Energy, Logistic, Government, Retail, Iot, E-commerce, Entertainment, Transport, Education, Telco, Healthcare

Geo:
Middle east, America, Russian, Asia-pacific, Turkey

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 3
IP: 2
Hash: 6

Soft:
FortiGate, Telegram, Linux, Active Directory, MSSQL, MySQL, curl

Algorithms:
sha256, md5, pbkdf2, rc4

Languages:
golang, javascript, python

Platforms:
amd64

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 Inside FortiBleed: Reverse Engineering the CyberStrike Harvester Behind a Global FortiGate Credential Factory https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiBleed — это кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN, использующая такие методы, как Подстановка украденных учетных данных, Распыление пароля и сбор конфигураций, вместо традиционного ВПО. Кампания включает бинарный файл CyberStrike Harvester для извлечения многопротокольных учетных данных и обеспечения несанкционированного доступа к системам, что приводит к эксфильтрации данных. Операционная модель подчеркивает систематический подход к сбору учетных записей и их проверке, указывая на высокий уровень риска без подтвержденной эксплуатации уязвимостей Fortinet.
-----

FortiBleed атакует доступные через интернет межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN.

Кампания использует подстановку украденных учетных данных, распыление пароля, сбор конфигураций, офлайн-взлом и обработку данных после аутентификации.

Бинарный файл CyberStrike Harvester был реверс-инжинирингом, что выявило связи с операциями FortiBleed.

Обеспечивает извлечение учетных данных по нескольким протоколам, взлом хешей и несанкционированный доступ к службам Active Directory и SMB.

Эксфильтрация данных осуществляется с скомпрометированных систем без эксплуатации подтверждённой уязвимости Fortinet CVE для первоначального доступа.

Считается, что операция служит брокером учетных записей, сосредоточившись на сборе учетных записей высокой ценности.

В арсенал атакующих инструментов входят скрипты для эксплуатации и управления учетными данными, а также лабораторная установка CyberStrike.

CyberStrike Harvester преобразует захваченные сетевые данные в учетные данные и хеш-выводы, пригодные для использования.

Атака через вектор, ориентированный на учётные данные, сосредоточена на массовой проверке учётных данных и сборе конфигурационных файлов.

Собранные данные включают токены сессий и файлы cookie, очищенные и проверенные для последующих атак.

Многоэтапный процесс очистки улучшает данные учётных данных перед использованием Hashcat для офлайн-взлома.

Инфраструктура FortiBleed состоит из контролируемых злоумышленниками систем и компонентов, назначенных жертве.

Продвинутые методы валидации используют такие протоколы, как Kerberos и SMB, для сбора внутренних данных.

Операция носит системный характер, переходя от захвата к проверке и эксфильтрации данных.

Организациям необходимо устранять уязвимости и внедрять такие стратегии, как сброс учётных данных и усиление многофакторной аутентификации.
#ParsedReport #CompletenessLow
23-06-2026

Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware

https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution

Report completeness: Low

Actors/Campaigns:
Payouts_king

Threats:
Edgecution

Victims:
Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.001, T1059.003, T1059.006, T1071.001, T1082, T1112, T1140, have more...

IOCs:
Path: 1
Registry: 2
File: 2
Url: 4
Hash: 2

Soft:
Microsoft Edge, Chrome, Microsoft Teams, Outlook, AutoHotKey, Microsoft Outlook, Windows registry

Algorithms:
zip, sha256

Languages:
python, powershell
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware Payouts King использует вредоносное расширение Microsoft Edge под названием Edgecution для обхода ограничений песочницы браузера, предоставляя злоумышленникам контроль над хост-системами. Атака начинается с тактик социальной инженерии, чтобы убедить жертв загрузить обманный патч, что приводит к развертыванию вредоносного ПО, включающего Python бэкдор. Взаимодействие между расширением и бэкдором позволяет осуществлять обширную вредоносную деятельность, такую как манипуляции с файловой системой, выполнение произвольного кода и связь с сервером управления.
-----

Шифровальщик Payouts King использует сложную технику с вредоносным расширением браузера Microsoft Edge под названием Edgecution, которое применяется брокером первоначального доступа. Это расширение эксплуатирует протокол нативного обмена сообщениями Chrome, позволяя злоумышленникам обходить типичные ограничения песочницы браузера и получать обширный контроль над хост-системами. Эта возможность позволяет манипулировать локальной файловой системой, выполнять произвольный код и запускать процессы непосредственно с скомпрометированного хоста.

Вредоносное ПО Edgecution использует два основных компонента: вредоносное расширение браузера Edge и бэкдор на базе Python. Атака обычно начинается с тактик социальной инженерии, когда злоумышленник выдает себя за сотрудников ИТ-отдела через такие платформы, как Microsoft Teams, убеждая жертв загрузить поддельное обновление, замаскированное внутри зашифрованного ZIP-архива. Этот ZIP-архив содержит файлы, необходимые для развертывания вредоносного ПО Edgecution, включая дистрибутив Python, расширение и обфусцированный Python-скрипт, выполняющий вредоносные функции.

При установке команды из скрипта AutoHotKey или других скриптов настраивают среду, исправляют заголовки ZIP-файлов и создают запланированную задачу, которая запускает Microsoft Edge с загруженным вредоносным расширением. Расширение маскируется под «Edge Monitoring Agent» и устанавливает связь с сервером управления (C2), размещенным на AWS. Python бэкдор действует как мост, выполняется в безголовом режиме, что позволяет злоумышленникам избегать привлечения внимания пользователей, сохраняя при этом оперативный контроль над скомпрометированной средой.

Функциональность Edgecution включает множество команд для вредоносной деятельности, многие из которых требуют прав, обычно ограниченных для обычных браузерных расширений. Используя протокол нативного обмена сообщениями, расширение Edgecution может вызывать бэкдор для выполнения задач, включающих доступ к файловой системе и выполнение кода. Обмен данными между расширением и Python-бэкдором структурирован в формате JSON, с сообщениями, указывающими типы команд и результаты выполнения.

Это сотрудничество между вредоносным расширением и его Python-бэкдором демонстрирует сложный метод поддержания foothold в средах жертв, отмечая заметную эволюцию тактик, используемых аффилиатами программ-вымогателей. Методы, применяемые злоумышленниками Payouts King, подчеркивают необходимость для организаций усиливать свою защиту от таких угроз, акцентируя важность мониторинга установок расширений браузера, контроля конфигураций нативного обмена сообщениями и проведения обучения пользователей для выявления подозрительных коммуникаций, имитирующих легитимные обновления.
#ParsedReport #CompletenessHigh
23-06-2026

Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery

https://www.securonix.com/blog/taxtrident-indian-fax-lures/

Report completeness: High

Actors/Campaigns:
Tax_trident (motivation: cyber_espionage, financially_motivated)

Threats:
Steganography_technique
Sysaid_tool
Syncfuture_tool
Ytscrat
Lolbin_technique
Bitsadmin_tool
Spear-phishing_technique

Victims:
Windows endpoints, India

Industry:
Financial

Geo:
India, Indian, Chinese, China

TTPs:
Tactics: 7
Technics: 23

IOCs:
Domain: 4
File: 6
IP: 8
Path: 4
Url: 6
Hash: 16

Soft:
Windows installer, Windows service, curl

Algorithms:
zip, sha256

Win Services:
BITS

Languages:
php, vbscript, visual_basic, powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 Analyzing TAX#TRIDENT: Fake Indian Tax Lures Pivot Across ZIP, VBS, Stego and PHP-Wrapped VBS Delivery https://www.securonix.com/blog/taxtrident-indian-fax-lures/ Report completeness: High Actors/Campaigns: Tax_trident…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TAX#TRIDENT нацелена на системы Windows, используя приманки на тему индийского подоходного налога для доставки вредоносных загрузок тремя основными способами: прямые загрузки ZIP-файлов, загрузчики VBScript и PHP-эндпоинты, предоставляющие вредоносные скрипты. Каждый метод доставки в конечном итоге устанавливает подписанный клиентский пакет ClientSetup, который создает скрытую клиентскую директорию и обеспечивает закрепление. Кампания использует тактики, заимствованные из китайского ВПО, но не имеет однозначной атрибуции к конкретным злоумышленникам, при этом поведенческие индикаторы, такие как неожиданные выполнения VBScript и измененные политики UAC, сигнализируют о потенциальных угрозах.
-----

Кампания TAX#TRIDENT представляет собой текущую киберугрозу, использующую приманки на тему индийского подоходного налога для доставки вредоносных загрузок на конечные точки Windows. Эта операция применяет три различных пути доставки: прямые загрузки ZIP-файлов, загрузчики VBScript и веб-конечные точки, имитирующие PHP, которые возвращают вредоносный скриптовый контент. Независимо от механизма доставки, каждый маршрут завершается установкой подписанного загрузчика ClientSetup. После выполнения этот загрузчик создает скрытую клиентскую директорию, поддерживает закрепление через службы и драйверы, записывает настройки конфигурации и инициирует исходящие сетевые коммуникации.

Эволюция кампании TAX#TRIDENT характеризуется не появлением нового ВПО, а переиспользованием и расширением ранее задокументированных такс-тематических тактик. Кампания переплетает устоявшиеся поведения, наблюдаемые в вредоносном программном обеспечении, связанном с китайским инструментарием, что особенно заметно в метаданных файлов и соглашениях об именовании конфигураций, соответствующих известным случаям злоупотребления китайским ПО. Однако, хотя эти данные раскрывают тип эксплуатируемого программного обеспечения, они не предоставляют окончательной атрибуции к конкретным злоумышленникам.

Первая цепочка доставки начинается с поддельной индийской страницы налоговой оценки, ведущей к ZIP-архиву, содержащему подписанный установщик Windows. Этот метод опирается на социальную инженерию, заставляя жертв полагать, что они открывают легитимные документы, связанные с налогами. Вторая цепочка развертывает тот же самый payload ClientSetup с помощью VBScript, который демонстрирует поддельное изображение, дополнительно скрывая истинные намерения атаки. Третий подход использует уникальный PHP-эндпоинт с именем "download.php", который предоставляет содержимое VBScript, замаскированное под веб-приложение, облегчая загрузку из ресурсов, размещенных в облаке, и тонко изменяя поведение UAC для содействия тихой установке агента ManageEngine UEMS.

Ключевые поведенческие индикаторы сигнализируют о потенциальной вредоносной активности, такие как выполнение VBScript из неожиданных расширений веб-приложений, например, ".php", и наличие замаскированных исполняемых инструментов в публичных каталогах. Кроме того, необычные изменения политик UAC, тихие установки MSI и несанкционированный исходящий трафик на неутвержденные инфраструктуры должны подвергаться тщательной проверке.
#ParsedReport #CompletenessMedium
24-06-2026

The Growing Threat of ShadowPad Malware and Its Business Impact

https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Shadowpad
Plugx_rat
Supply_chain_technique
Shadowhammer
Spear-phishing_technique
Lolbin_technique
Watering_hole_technique
Dll_sideloading_technique
Passthehash_technique
Process_injection_technique

Victims:
Government institutions, Critical infrastructure, High value corporate assets, Enterprise software

Industry:
Government, Critical_infrastructure

Geo:
Chinese

TTPs:
Tactics: 8
Technics: 20

IOCs:
IP: 34
Hash: 6

Soft:
NetSarang

Algorithms:
sha256

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 24-06-2026 The Growing Threat of ShadowPad Malware and Its Business Impact https://cyberint.com/blog/dark-web/the-growing-threat-of-shadowpad-malware-and-its-business-impact/ Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowPad — это модульное ВПО, связанное с китайской группой APT41, обеспечивающее разнообразные возможности для атак, такие как эксфильтрация данных и создание бэкдоров. Оно использует различные механизмы доставки, включая атаки на Цепочку поставок, уязвимости непропатченного корпоративного программного обеспечения, Целевой фишинг и техники Living-off-the-Land. ВПО представляет значительные риски, приводящие к утечкам данных, нарушению работы и потенциальным финансовым потерям в результате шпионажа и компрометации систем.
-----

Вредоносное ПО ShadowPad, изначально приписываемое китайской государственной группе APT41, стало заметной угрозой в ландшафте угроз благодаря своей модульной и настраиваемой архитектуре. Впервые обнаруженное в 2015 году как эволюция PlugX, ShadowPad теперь используется различными группами APT, что отражает его универсальность в выполнении злонамеренных операций, таких как эксфильтрация данных, перемещение внутри компании и создание бэкдоров в зараженных системах. Его модульность позволяет вредоносному ПО адаптироваться к конкретным целям, подчеркивая его способность к скрытности и закреплению.

Механизмы доставки ShadowPad сложны и разнообразны, часто применяя изощренные стратегии, предназначенные для эксплуатации конкретных уязвимостей. Он может распространяться через атаки на цепочку поставок программного обеспечения, при которых злоумышленники компрометируют обновления легитимных приложений, тем самым эксплуатируя доверие пользователей к поставщикам. Кроме того, ВПО используется в сочетании с незакрытыми уязвимостями в корпоративном программном обеспечении, включая эксплойты нулевого дня, которые предоставляют злоумышленникам шлюз для проникновения в сети. Кампании целевого фишинга дополнительно способствуют распространению ShadowPad, используя тщательно составленные электронные письма, содержащие вредоносные ссылки или вложения, которые выполняют ВПО при взаимодействии. Более того, операторы используют техники Living-off-the-Land (LotL), опираясь на существующие административные инструменты и скрипты, такие как PowerShell и Инструментарий управления Windows (WMI), что помогает избегать обнаружения системами безопасности. Атаки через «водопойные» сайты также служат средством распространения, нацеливаясь на веб-сайты, которыми регулярно пользуются желаемые жертвы, чтобы непреднамеренно доставить ВПО.

Последствия развертывания ShadowPad могут быть серьезными для организаций, приводя к значительным утечкам данных, характеризующимся эксфильтрацией конфиденциальной информации, операционными сбоями, деятельностью по сбору разведданных и существенными финансовыми потерями. Возможности вредоносного ПО позволяют ему красть интеллектуальную собственность и данные клиентов, которые могут быть использованы для шпионажа или проданы на нелегальных рынках. Кроме того, операционное воздействие может привести к простою и потере производительности, а также к установке дополнительных полезной нагрузки, нарушающих работу критических систем. Организации сталкиваются с перспективой дорогостоящего реагирования на инциденты, усилий по восстановлению систем и потенциальных штрафов за нарушение защиты данных, что также может нанести ущерб репутации. Публичное раскрытие таких инцидентов может снизить доверие клиентов и рыночную стоимость, что приведет к долгосрочным последствиям для затронутых организаций.
#ParsedReport #CompletenessLow
24-06-2026

A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks

https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/

Report completeness: Low

Threats:
Darkloadlibrary_tool
Nighthawk_tool

ChatGPT TTPs:
do not use without manual check
T1003.001, T1106, T1179, T1620

IOCs:
File: 5
Coin: 2

Functions:
LdrpFindLoadedDllByName, GetModuleHandle

Win API:
ZONE, LdrLoadDll, NtCreateSection, NtMapViewOfSection, GetProcAddress, tMapViewOfSection, NtAllocateVirtualMemory, tMapViewOfSection it, tAllocateVirtualMemory, NtOpenSection, have more...
CTT Report Hub
#ParsedReport #CompletenessLow 24-06-2026 A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DarkLoadLibrary — это вредоносный загрузчик DLL, использующий низкоуровневые функции Windows для обхода механизмов безопасности путём скрытой загрузки кода без вызова оповещений. Он применяет функции NtCreateSection и NtAllocateVirtualMemory, обходя традиционные уведомления о загрузке образа, а его реализация в фреймворке NightHawk C2 включает перехват критических вызовов API для предотвращения нормальной загрузки известных DLL. Обнаружение DarkLoadLibrary возможно через аномальные паттерны доступа к памяти, особенно когда процессы, такие как LSASS.exe, взаимодействуются с использованием функций, таких как MiniDumpWriteDump.
-----

DarkLoadLibrary — это сложный инструмент, демонстрирующий, как злоумышленники манипулируют низкоуровневыми механизмами Windows для обхода систем безопасности, в частности, путем скрытой загрузки вредоносного кода. Этот загрузчик динамической библиотеки (DLL) обходит стандартные уведомления об исполнении, предоставляемые функцией LoadImageNotifyRoutine, позволяя злоумышленникам выполнять код без срабатывания оповещения средств защиты.

Работа DarkLoadLibrary начинается с вызова функции NtCreateSection, где файл считывается на уровне ядра, создавая секцию, содержащую необходимые данные. Обычно этот процесс включает отображение секции в память с помощью функции NtMapViewOfSection, что, как правило, требует участия LoadImageNotifyRoutine. Однако DarkLoadLibrary отклоняется от этого подхода, используя функцию NtAllocateVirtualMemory для выделения памяти для DLL, тем самым эффективно предотвращая регистрацию телеметрии, связанной с загрузкой модуля, инструментами безопасности. Этот выбор архитектуры позволяет ВПО использовать функции нативного API, избегая потенциальных хуков, установленных мониторинговыми средствами защиты.

Пример практической реализации можно увидеть во фреймворке управления NightHawk (C2) (версия 0.2.1). NightHawk перехватывает критические функции, такие как NtOpenSection, NtCreateSection и NtMapViewOfSection, в процессе вызова LdrLoadDll. Перехватчик действует, предотвращая загрузку известных DLL, возвращая код ошибки, когда попытка загрузки целевой DLL совпадает с предопределенным списком для загрузки через DarkLoadLibrary. Это предотвращает загрузку DLL из KnownDll и обрабатывает её через более скрытный метод, включенный DarkLoadLibrary.

После создания секции для запрашиваемой DLL NightHawk изменяет её дескриптор секции, чтобы убедиться, что память выделяется из пространства виртуальной памяти, которое напрямую управляется операционной системой Windows, что позволяет всем нормальным операциям продолжаться без помех после первоначального перехвата. Метрики для подтверждения наличия DarkLoadLibrary могут быть получены из событий доступа к памяти, таких как создание дампа процесса LSASS.exe с помощью функции MiniDumpWriteDump. Вызовы, выполняемые из регионов памяти, не имеющих соответствующего файла, указывают на использование DarkLoadLibrary.
#ParsedReport #CompletenessMedium
24-06-2026

Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker

https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat

Report completeness: Medium

Actors/Campaigns:
Dragonforce

Threats:
Mltbackdoor
Kongtuke
Modelorat
Qilin_ransomware
Blackbasta
Interlock
Rhysida
Akira_ransomware
8base
Clickfix_technique
Filefix_technique
Crashfix
Winpython_tool
Lolbin_technique
Nexshield
Mintsloader
Kerberoasting_technique
Anydesk_tool
Splashtop_tool

Victims:
Insurance, Education, Information technology, Professional services

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1007, T1018, T1027, T1036, T1053.005, T1059.001, T1059.005, T1059.006, T1059.007, T1069.002, have more...

IOCs:
File: 12
Hash: 9

Soft:
Node.js, Curl, WordPress, Windows File Explorer, Microsoft Teams, Chrome, GateKeeper, Active Directory

Algorithms:
rc4

Win API:
GetModuleFileNameW, LoadLibraryW

Languages:
javascript, powershell, vbscript, python
CTT Report Hub
#ParsedReport #CompletenessMedium 24-06-2026 Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat Report completeness: Medium Actors/Campaigns: Dragonforce Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Backdoor.Mistic, активный с апреля 2026 года и связанный с хакерской группировкой Woodgnat, представляет собой скрытый бэкдор, нацеленный на различные сектора с использованием техник подгрузки (sideloading) для установки вредоносных DLL-файлов без обнаружения. Он функционирует в связке с ModeloRAT и применяет тактики социальной инженерии и использования легитимных программных инструментов для выполнения команд и поддержания доступа. Woodgnat фокусируется на обеспечении первоначального доступа, а не на доставке полезной нагрузки, что указывает на эволюцию ландшафта угроз и повышение уровня сложности в разработке ВПО и операционной устойчивости.
-----

Backdoor.Mistic — это новая обнаруженная бэкдор-программа, которая активна с апреля 2026 года и преимущественно используется хакерской группировкой Woodgnat, также известной как KongTuke. Она связана с различными операциями по вымогательству, особенно с Qilin, и часто разворачивается совместно с ModeloRAT — троянской программой удаленного доступа (RAT) на базе Python. Метод работы включает оппортунистическую атаку на различные сектора, такие как страхование, образование, ИТ и профессиональные услуги, что демонстрирует широкий интерес к получению доступа к высокоценным организациям, а не фокусировку на конкретных отраслях.

Бэкдор устанавливается с помощью техники, известной как sideloading, с использованием легитимного файла MpExtMs.exe для инициирования загрузки вредоносной DLL с именем EndpointDlp.dll. Этот механизм позволяет Mistic избегать обнаружения, маскируясь под доверенное программное обеспечение, что повышает его скрытность. После запуска бэкдор выполняет команды с сервера управления (C2) полностью в памяти без записи файлов на диск, что усиливает закрепление и снижает вероятность обнаружения. Ключевые возможности Mistic включают манипуляцию файлами, выполнение команд и самоуничтожение через переключатель остановки (kill switch) для поддержания скрытого доступа в течение длительного времени.

Операции Woodgnat в основном характеризуются предоставлением первоначального доступа, а не финальной доставкой вредоносных загрузок. Группа специализируется на создании устойчивого удаленного доступа для перепродажи аффилиатам программ-вымогателей и использует различные методы для компрометации систем. Их методы включают использование тактик социальной инженерии для обмана пользователей с целью выполнения вредоносных команд PowerShell, что позволяет осуществлять дальнейшую эксплуатацию.

Кроме того, Woodgnat использует набор инструментов, таких как WinPython для запуска ModeloRAT, а также Node.js, который применяется для выполнения JavaScript и цепочки команд. Группа также использовала техники living-off-the-land, задействуя встроенные инструменты Windows, такие как Net.exe для разведки и Curl для эксфильтрации данных. Важным аспектом их стратегии является поддержание операционной устойчивости за счет нескольких путей C2 и зашифрованных коммуникаций, особенно для жертв, не присоединенных к домену, что указывает на высококвалифицированный подход к уклонению от обнаружения.

Появление бэкдора Backdoor.Mistic отмечает заметную тенденцию в эволюции киберугроз, подчеркивая использование вредоносного программного обеспечения, разработанного на заказ, в атаках с применением программ-вымогателей. Эта эскалация указывает на растущую сложность в ландшафте киберпреступности, отходя от зависимости от инструментов двойного назначения. Woodgnat позиционируется как значимый злоумышленник, за которым необходимо следить, особенно в том, как он может адаптироваться и внедрять инновации в сотрудничестве с аффилированными лицами программ-вымогателей, что еще больше усложняет среду угроз.
#ParsedReport #CompletenessLow
23-06-2026

EvilTokens: How “Ghost” Code Threatens US and European Businesses

https://any.run/cybersecurity-blog/eviltokens-ghost-code-analysis/

Report completeness: Low

Threats:
Eviltokens_tool
Device_code_phishing_technique

Victims:
Businesses, Organizations

Geo:
United states

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1480.001, T1528, T1550.001

Algorithms:
aes-gcm

Win API:
RUN

Languages:
javascript