CTT Report Hub
3.39K subscribers
9.56K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
24-06-2026

A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks

https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/

Report completeness: Low

Threats:
Darkloadlibrary_tool
Nighthawk_tool

ChatGPT TTPs:
do not use without manual check
T1003.001, T1106, T1179, T1620

IOCs:
File: 5
Coin: 2

Functions:
LdrpFindLoadedDllByName, GetModuleHandle

Win API:
ZONE, LdrLoadDll, NtCreateSection, NtMapViewOfSection, GetProcAddress, tMapViewOfSection, NtAllocateVirtualMemory, tMapViewOfSection it, tAllocateVirtualMemory, NtOpenSection, have more...
CTT Report Hub
#ParsedReport #CompletenessLow 24-06-2026 A Hidden Threat: Why DarkLoadLibrary Is Dangerous and How to Detect Its Use in Attacks https://bi.zone/expertise/blog/skrytaya-ugroza-chem-opasen-darkloadlibrary-i-kak-vyyavit-ego-ispolzovanie-pri-atakakh/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DarkLoadLibrary — это вредоносный загрузчик DLL, использующий низкоуровневые функции Windows для обхода механизмов безопасности путём скрытой загрузки кода без вызова оповещений. Он применяет функции NtCreateSection и NtAllocateVirtualMemory, обходя традиционные уведомления о загрузке образа, а его реализация в фреймворке NightHawk C2 включает перехват критических вызовов API для предотвращения нормальной загрузки известных DLL. Обнаружение DarkLoadLibrary возможно через аномальные паттерны доступа к памяти, особенно когда процессы, такие как LSASS.exe, взаимодействуются с использованием функций, таких как MiniDumpWriteDump.
-----

DarkLoadLibrary — это сложный инструмент, демонстрирующий, как злоумышленники манипулируют низкоуровневыми механизмами Windows для обхода систем безопасности, в частности, путем скрытой загрузки вредоносного кода. Этот загрузчик динамической библиотеки (DLL) обходит стандартные уведомления об исполнении, предоставляемые функцией LoadImageNotifyRoutine, позволяя злоумышленникам выполнять код без срабатывания оповещения средств защиты.

Работа DarkLoadLibrary начинается с вызова функции NtCreateSection, где файл считывается на уровне ядра, создавая секцию, содержащую необходимые данные. Обычно этот процесс включает отображение секции в память с помощью функции NtMapViewOfSection, что, как правило, требует участия LoadImageNotifyRoutine. Однако DarkLoadLibrary отклоняется от этого подхода, используя функцию NtAllocateVirtualMemory для выделения памяти для DLL, тем самым эффективно предотвращая регистрацию телеметрии, связанной с загрузкой модуля, инструментами безопасности. Этот выбор архитектуры позволяет ВПО использовать функции нативного API, избегая потенциальных хуков, установленных мониторинговыми средствами защиты.

Пример практической реализации можно увидеть во фреймворке управления NightHawk (C2) (версия 0.2.1). NightHawk перехватывает критические функции, такие как NtOpenSection, NtCreateSection и NtMapViewOfSection, в процессе вызова LdrLoadDll. Перехватчик действует, предотвращая загрузку известных DLL, возвращая код ошибки, когда попытка загрузки целевой DLL совпадает с предопределенным списком для загрузки через DarkLoadLibrary. Это предотвращает загрузку DLL из KnownDll и обрабатывает её через более скрытный метод, включенный DarkLoadLibrary.

После создания секции для запрашиваемой DLL NightHawk изменяет её дескриптор секции, чтобы убедиться, что память выделяется из пространства виртуальной памяти, которое напрямую управляется операционной системой Windows, что позволяет всем нормальным операциям продолжаться без помех после первоначального перехвата. Метрики для подтверждения наличия DarkLoadLibrary могут быть получены из событий доступа к памяти, таких как создание дампа процесса LSASS.exe с помощью функции MiniDumpWriteDump. Вызовы, выполняемые из регионов памяти, не имеющих соответствующего файла, указывают на использование DarkLoadLibrary.
#ParsedReport #CompletenessMedium
24-06-2026

Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker

https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat

Report completeness: Medium

Actors/Campaigns:
Dragonforce

Threats:
Mltbackdoor
Kongtuke
Modelorat
Qilin_ransomware
Blackbasta
Interlock
Rhysida
Akira_ransomware
8base
Clickfix_technique
Filefix_technique
Crashfix
Winpython_tool
Lolbin_technique
Nexshield
Mintsloader
Kerberoasting_technique
Anydesk_tool
Splashtop_tool

Victims:
Insurance, Education, Information technology, Professional services

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1007, T1018, T1027, T1036, T1053.005, T1059.001, T1059.005, T1059.006, T1059.007, T1069.002, have more...

IOCs:
File: 12
Hash: 9

Soft:
Node.js, Curl, WordPress, Windows File Explorer, Microsoft Teams, Chrome, GateKeeper, Active Directory

Algorithms:
rc4

Win API:
GetModuleFileNameW, LoadLibraryW

Languages:
javascript, powershell, vbscript, python
CTT Report Hub
#ParsedReport #CompletenessMedium 24-06-2026 Backdoor.Mistic: New Backdoor May be Linked to Ransomware Access Broker https://www.security.com/threat-intelligence/new-mistic-backdoor-modelorat Report completeness: Medium Actors/Campaigns: Dragonforce Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Backdoor.Mistic, активный с апреля 2026 года и связанный с хакерской группировкой Woodgnat, представляет собой скрытый бэкдор, нацеленный на различные сектора с использованием техник подгрузки (sideloading) для установки вредоносных DLL-файлов без обнаружения. Он функционирует в связке с ModeloRAT и применяет тактики социальной инженерии и использования легитимных программных инструментов для выполнения команд и поддержания доступа. Woodgnat фокусируется на обеспечении первоначального доступа, а не на доставке полезной нагрузки, что указывает на эволюцию ландшафта угроз и повышение уровня сложности в разработке ВПО и операционной устойчивости.
-----

Backdoor.Mistic — это новая обнаруженная бэкдор-программа, которая активна с апреля 2026 года и преимущественно используется хакерской группировкой Woodgnat, также известной как KongTuke. Она связана с различными операциями по вымогательству, особенно с Qilin, и часто разворачивается совместно с ModeloRAT — троянской программой удаленного доступа (RAT) на базе Python. Метод работы включает оппортунистическую атаку на различные сектора, такие как страхование, образование, ИТ и профессиональные услуги, что демонстрирует широкий интерес к получению доступа к высокоценным организациям, а не фокусировку на конкретных отраслях.

Бэкдор устанавливается с помощью техники, известной как sideloading, с использованием легитимного файла MpExtMs.exe для инициирования загрузки вредоносной DLL с именем EndpointDlp.dll. Этот механизм позволяет Mistic избегать обнаружения, маскируясь под доверенное программное обеспечение, что повышает его скрытность. После запуска бэкдор выполняет команды с сервера управления (C2) полностью в памяти без записи файлов на диск, что усиливает закрепление и снижает вероятность обнаружения. Ключевые возможности Mistic включают манипуляцию файлами, выполнение команд и самоуничтожение через переключатель остановки (kill switch) для поддержания скрытого доступа в течение длительного времени.

Операции Woodgnat в основном характеризуются предоставлением первоначального доступа, а не финальной доставкой вредоносных загрузок. Группа специализируется на создании устойчивого удаленного доступа для перепродажи аффилиатам программ-вымогателей и использует различные методы для компрометации систем. Их методы включают использование тактик социальной инженерии для обмана пользователей с целью выполнения вредоносных команд PowerShell, что позволяет осуществлять дальнейшую эксплуатацию.

Кроме того, Woodgnat использует набор инструментов, таких как WinPython для запуска ModeloRAT, а также Node.js, который применяется для выполнения JavaScript и цепочки команд. Группа также использовала техники living-off-the-land, задействуя встроенные инструменты Windows, такие как Net.exe для разведки и Curl для эксфильтрации данных. Важным аспектом их стратегии является поддержание операционной устойчивости за счет нескольких путей C2 и зашифрованных коммуникаций, особенно для жертв, не присоединенных к домену, что указывает на высококвалифицированный подход к уклонению от обнаружения.

Появление бэкдора Backdoor.Mistic отмечает заметную тенденцию в эволюции киберугроз, подчеркивая использование вредоносного программного обеспечения, разработанного на заказ, в атаках с применением программ-вымогателей. Эта эскалация указывает на растущую сложность в ландшафте киберпреступности, отходя от зависимости от инструментов двойного назначения. Woodgnat позиционируется как значимый злоумышленник, за которым необходимо следить, особенно в том, как он может адаптироваться и внедрять инновации в сотрудничестве с аффилированными лицами программ-вымогателей, что еще больше усложняет среду угроз.
#ParsedReport #CompletenessLow
23-06-2026

EvilTokens: How “Ghost” Code Threatens US and European Businesses

https://any.run/cybersecurity-blog/eviltokens-ghost-code-analysis/

Report completeness: Low

Threats:
Eviltokens_tool
Device_code_phishing_technique

Victims:
Businesses, Organizations

Geo:
United states

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1480.001, T1528, T1550.001

Algorithms:
aes-gcm

Win API:
RUN

Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 EvilTokens: How “Ghost” Code Threatens US and European Businesses https://any.run/cybersecurity-blog/eviltokens-ghost-code-analysis/ Report completeness: Low Threats: Eviltokens_tool Device_code_phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EvilTokens — это сложный фишинговый набор, нацеленный на организации в США и Европе, использующий аутентификацию Device Code от Microsoft для сокрытия своих злонамеренных намерений. Он использует дешифровку на стороне браузера с шифрованием AES-GCM, что усложняет обнаружение при статическом анализе URL и позволяет пользователям неосознанно авторизовывать доступ к учетной записи вместо прямого кражи учетных данных. Исследование доказательств на уровне браузера и отслеживание изменений в HTML DOM может помочь выявить связанную фишинговую инфраструктуру и улучшить методы обнаружения таких угроз.
-----

EvilTokens представляет собой серьезную киберугрозу благодаря своему сложному механизму фишинговых атак, в первую очередь нацеленному на организации в Соединенных Штатах и Европе. Этот фишинговый набор использует процесс аутентификации кода устройства Microsoft и работает таким образом, чтобы скрыть свои злонамеренные намерения, что затрудняет обнаружение командами центра безопасности (SOC). Вместо прямого кражи учетных данных пользователей EvilTokens побуждает жертв неосознанно авторизовать доступ к их учетным записям через легитимные потоки входа.

Набор инструментов использует дешифровку на стороне браузера, где ключевые элементы фишинговой схемы скрыты за шифрованием AES-GCM и становятся видимыми только после того, как браузер расшифровывает и отображает содержимое. Это создает значительный пробел в видимости при статическом анализе URL и усложняет расследование инцидентов. Команды SOC могут извлечь пользу из изучения доказательств на уровне браузера, которые могут привести к более быстрым решениям по изоляции. Такие доказательства включают отслеживание изменений в модели документа HTML (DOM), мониторинг HTTP-запросов и анализ деталей URL для понимания сетевой активности и конечных пунктов назначения, вовлеченных в фишинговую атаку.

Более того, детальный анализ одной сессии EvilTokens может выявить связанную фишинговую инфраструктуру, поскольку выявленные шаблоны и сигнатуры могут быть связаны с другой фишинговой активностью. Это позволяет командам SOC выходить за рамки изолированных инцидентов и обнаруживать более широкие кампании, которые могут использовать аналогичные тактики. Создавая разведданные об угрозах на основе наблюдаемого поведения и шаблонов кода, команды получают возможность улучшить фишинговые сигнатуры, внедрить эффективные методы обнаружения на заказ и выполнять проактивный поиск угроз.

Встроенная природа «призрачного кода» EvilTokens делает атаку сложной, но также подчеркивает важность мониторинга браузера. Восстанавливая фишинговую логику через расшифрованное содержимое DOM и сопоставляя её с сетевым трафиком, специалисты по безопасности могут выявлять паттерны вредоносного кода, конечные точки и поведения, которые могут способствовать будущим усилиям по обнаружению. Этот многогранный подход позволяет командам SOC эффективно реагировать на EvilTokens, а также на аналогичные угрозы, тем самым улучшая их общую безопасность против эволюционирующих тактик фишинга.
#ParsedReport #CompletenessHigh
23-06-2026

Chinese actor compromises thousands of Wordpress sites

http://ctrlaltintel.com/research/Wordpress/

Report completeness: High

Threats:
Godzilla_webshell
Bestshell
Meterpreter_tool
Vshell
Snowlight

Victims:
Wordpress sites, Joomla sites, Prestashop sites, Metinfo sites, Craft cms sites, Magento sites, Nacos sites, Internet facing sites

Geo:
Chinese

CVEs:
CVE-2025-5394 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-3300 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-6648 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apollotheme ap_pagebuilder (<4.0.0)

CVE-2024-34102 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ad
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 Chinese actor compromises thousands of Wordpress sites http://ctrlaltintel.com/research/Wordpress/ Report completeness: High Threats: Godzilla_webshell Bestshell Meterpreter_tool Vshell Snowlight Victims: Wordpress…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года массовая кампания по эксплуатации веб-уязвимостей, приписываемая китайскому злоумышленнику, привела к компрометации тысяч сайтов на WordPress путем эксплуатации уязвимостей в популярных плагинах, при этом использовались такие техники, как произвольная загрузка файлов и Удаленное Выполнение Кода, связанные с уязвимостями, такими как CVE-2026-48907 и CVE-2025-7852. Атакующие использовали вредоносные PHP-файлы, замаскированные под легитимный контент, для получения первоначального доступа, развертывая продвинутые веб-оболочки, такие как «down.php», для управления системой. Их операция включала масштабное сканирование, пользовательские скрипты для эксплуатации уязвимостей и детальное логирование действий, что отражает высокий уровень их профессионализма.
-----

Массовая операция по эксплуатации веб-уязвимостей, приписываемая китайскому актору, привела к компрометации тысяч сайтов WordPress в июне 2026 года, что стало известно благодаря данным, раскрытым на платформе Hunt.io. Эта операция включала тщательный сбор целей, зафиксировав более 850 000 попыток против более чем 442 000 пар «уязвимость-сайт», в результате чего было выявлено 25 195 уникальных сайтов, имеющих подтвержденные или проверенные доказательства компрометации.

Атака была в первую очередь направлена на веб-приложения, в частности на плагины WordPress, с использованием выявленных уязвимостей и экспозиций (CVE) для получения первоначального доступа. Ключевыми эксплуатированными уязвимостями были произвольная загрузка файлов и возможности Удаленное Выполнение Кода в широко используемых плагинах, таких как Breeze Cache, ThemeREX Addons и Gravity Forms, а также в различных системах управления контентом, таких как Joomla и PrestaShop. Заметными CVE были CVE-2026-48907 (Joomla JCE), CVE-2026-31843 (Pay-UZ) и CVE-2025-7852 (WPBookit), которые позволили несанкционированную эксплуатацию этих платформ.

Злоумышленник применил сложные методы для первоначальной компрометации, используя шаблоны проектирования в своих эксплойтах, которые включали загрузку вредоносных PHP-файлов, замаскированных под легитимный контент (например, изображения), выполнение удаленных команд через функции обработки файлов и развертывание пользовательских инструментов эксплуатации для автоматизации процесса. Были задействованы различные техники пост-эксплуатации, включая установку Веб-шеллов и получение файлов, контролируемых злоумышленником. Основной выявленный Веб-шелл, названный "down.php", продемонстрировал расширенные возможности для полного контроля над системой, выполнения произвольных команд и обширных функций управления файлами.

Используемое актором программное обеспечение включало пользовательские скрипты для настройки параметров в различных фреймворках разработки эксплойтов и процедурах эксплуатации с целью максимизации эффективности процессов сканирования. Это включало модификации для улучшения параметров потоков и уточнения шаблонов поиска для обнаружения уязвимостей. Акторы также вели подробные журналы своей деятельности, предоставляя информацию об их оперативном темпе и методологиях.

Атрибуция кампании основана на лингвистическом анализе содержащихся скриптов, которые демонстрировали свободное владение упрощенным китайским языком, что указывает на участие китайскоязычного актора. Операционные методы и наборы инструментов предполагают принадлежность к группам, известным применением аналогичных тактик. Использование FOFA для разведки и внедрение веб-шелла Godzilla для обеспечения постоянного доступа подчеркивают сложную природу данной атаки.

В заключение, данная кибероперация демонстрирует эксплуатацию широко известных уязвимостей на нескольких веб-платформах, с четким акцентом на плагины WordPress и популярные системы управления контентом, что выявляет устойчивые угрозы веб-безопасности и необходимость бдительности в отношении аналогичных попыток массовой эксплуатации.
#ParsedReport #CompletenessHigh
24-06-2026

StrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader

https://securelist.com/strikeshark-campaign/120326/

Report completeness: High

Actors/Campaigns:
Strikeshark (motivation: cyber_espionage)

Threats:
Cobalt_strike_tool
Sharkloader
Proxylogon_exploit
Dll_sideloading_technique
Dll_hijacking_technique
Fscan_tool
Searchall_tool
Pillager_tool
Sharpgpoabuse_tool
Credential_dumping_technique

Victims:
Diplomatic organizations, Government organizations, Software development companies

Industry:
Software_development, Government

Geo:
North macedonia, Macedonia, Nepal, Lebanon, Syria, Chinese, Taiwan, Colombian, Indonesia, Colombia, Serbia, Hong kong, Indonesian

CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-36260 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hikvision ds-2cd2026g2-iu\/sl_firmware (-)

CVE-2022-27925 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- synacor zimbra_collaboration_suite (8.8.15, 9.0.0)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)

CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.7, 7.2.0)
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 StrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader https://securelist.com/strikeshark-campaign/120326/ Report completeness: High Actors/Campaigns: Strikeshark (motivation: …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания StrikeShark использует загрузчик вредоносного ПО SharkLoader для развертывания Cobalt Strike Beacon, эксплуатируя уязвимости в приложениях, доступных через интернет, таких как Microsoft Exchange и Openfire Server, в частности CVE-2021-26855 и CVE-2023-32315. SharkLoader использует приманки в виде легитимных приложений, таких как Cisco AnyConnect, и выполняет полезную нагрузку с помощью продвинутых техник, таких как Perfect DLL Hijacking. Хотя кампания связана как с государственным сектором, так и с сектором разработки программного обеспечения, идентификация конкретных злоумышленников остается неподтвержденной, несмотря на указания на то, что за инструментами стоят разработчики, говорящие на китайском языке.
-----

Кампания StrikeShark была идентифицирована как сложная угроза, включающая новый загрузчик ВПО под названием SharkLoader, предназначенный для развертывания Cobalt Strike Beacon на скомпрометированных системах. Эта кампания, по-видимому, использует несколько векторов заражения, в первую очередь путем эксплуатации уязвимостей в приложениях, доступных через интернет, таких как Microsoft Exchange, Openfire Server и GeoServer. Среди выявленных уязвимостей notable являются CVE-2021-26855 (ProxyLogon) и CVE-2023-32315, которые использовались в атаках в различных странах, что указывает на широкий диапазон целей, охватывающий правительственные и секторы разработки программного обеспечения по всему миру.

Атакующие используют как методы эксплуатации, так и пользовательские дропперы, причем последние часто имитируют легитимные установки программного обеспечения. Например, в качестве приманки использовался установщик Cisco AnyConnect, который извлекал и выполнял вредоносные компоненты, оставаясь незаметным для пользователей. Дроппер SharkLoader выполняет эти компоненты скрытно, сохраняя их в общих каталогах, таких как %APPDATA%, и применяет техники для закрепления, включая запланированные задачи и модификации реестра.

После загрузки SharkLoader использует технику идеальной подмены DLL для выполнения вредоносного кода без вызова взаимоблокировок из-за блокировки загрузчика Windows, что свидетельствует о высоком уровне технической изощренности. Вредоносное ПО также реализует надежные техники уклонения, такие как перехват API и использование обработчиков векторных исключений для обманных манипуляций с защитой памяти во время своей работы.

Цепочка заражения формирует многоуровневую архитектуру, в которой SharkLoader распаковывает дополнительные вредоносные компоненты, такие как DscCoreR.mui и SyncRes.dat, что в конечном итоге приводит к выполнению shellcode Cobalt Strike Beacon. Такая продвинутая реализация позволяет ВПО создавать потоки для выполнения своего полезного груза, одновременно активно отслеживая поведение системы на предмет потенциального обнаружения.

Анализ жертв указывает на двойную стратегию, направленную как на государственные, так и на коммерческие организации, занимающиеся разработкой программного обеспечения, что предполагает потенциальные шпионские мотивы наряду с возможностью оппортунистической эксплуатации уязвимостей в различных секторах. Несмотря на наличие различных индикаторов, указывающих на разработчиков, говорящих на китайском языке, стоящих за инструментами, используемыми в этой кампании, атрибуция остается предварительной, поскольку не установлено окончательных связей с известными злоумышленниками.

В заключение, продолжающееся расследование кампании StrikeShark демонстрирует сложную систему доставки ВПО, способную осуществлять атаки широкого масштаба в различных секторах, что требует тщательного анализа и подготовки к таким эволюционирующим техническим угрозам.
#ParsedReport #CompletenessHigh
24-06-2026

StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them

https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime-services-that-deliver-them/

Report completeness: High

Threats:
Stealc
Amadey
Lumma_stealer
Redline_stealer
Raccoon_stealer
Vidar_stealer
Seo_poisoning_technique
Clickfix_technique
Credential_stealing_technique
Process_injection_technique

Victims:
Enterprise environments, Consumer devices, Financial services, Cryptocurrency, Gaming, Email services, Information technology

Industry:
Entertainment, Financial

Geo:
Russian, Ukrainian, Belarusian

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 15
Command: 1
Path: 1
Hash: 15
Url: 12

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Steam, Outlook, Foxmail, WinSCP, Chromium, Chrome, Opera, have more...

Algorithms:
base64, rc4, sha256

Win API:
As, CreateProcessA, VirtualAllocEx, WriteProcessMemory, QueueUserAPC, ResumeThread, WaitForSingleObject

Languages:
python, powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство стиллеров StealC и механизм его доставки Amadey представляют значительную опасность, эффективно похищая конфиденциальные данные, такие как учетные данные и токены сессий, с скомпрометированных устройств. StealC функционирует как ВПО как услуга, позволяя создавать кастомные полез
-----

Инфостилеры, такие как семейство StealC, и механизмы доставки, такие как Amadey, представляют собой значительные угрозы, которые собирают конфиденциальные данные, включая пароли и токены.

StealC работает по модели ВПО как услуга (MaaS), позволяя злоумышленникам создавать целевые полезн

Оно может красть учетные данные из браузеров, криптовалютных кошельков, почтовых клиентов, мессенджеров и игровых платформ, позволяя одной инфекции перерасти в несколько угроз.

StealC внедряет свои полезную нагрузку в легитимные процессы для повышения своей скрытности.

Amadey служит загрузчиком для доставки различных типов ВПО, включая StealC, и активен как минимум с 2018 года.

Amadey выполняет команды для загрузки файлов, взаимодействия с бэкдором и кражи учетных данных, создавая запланированные задачи для закрепления и используя HTTP для управления (C2) взаимодействием, шифруя свой трафик с помощью RC4.

Жизненный цикл атаки для инфостилеров часто использует поведение пользователей через отравление поисковой оптимизации (SEO) и фишинг для распространения ВПО без использования крупных уязвимостей программного обеспечения.

После развертывания инфостилеры могут извлекать различные учетные данные, экспортируя эти данные на серверы C2 в структурированных форматах.

Подпольный рынок похищенных учетных данных является прибыльным, при этом цены на логи варьируются от 2 долларов за распространенные учетные данные до более чем 100 долларов за корпоративные учетные данные.

StealC использует сложные процессы для сбора информации, формируя HTTP POST-запросы для регистрации в C2 с зашифрованными данными.

Оно использует техники инъекций для сбора учетных записей, которые обходят меры безопасности в веб-браузерах.

Amadey может загружать дополнительные плагины для кражи учётных данных или содержимого буфера обмена на основе команд из своей инфраструктуры C2.

Amadey поддерживает гибкий профиль, запрашивая из системного реестра операционные конфигурации.

Несмотря на усилия по нарушению инфраструктуры StealC и Amadey, их адаптивность обеспечивает сохранение угрозы.