CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them https://www.microsoft.com/en-us/security/blog/2026/06/24/stealc-and-amadey-breaking-down-infostealers-and-the-cybercrime…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Семейство стиллеров StealC и механизм его доставки Amadey представляют значительную опасность, эффективно похищая конфиденциальные данные, такие как учетные данные и токены сессий, с скомпрометированных устройств. StealC функционирует как ВПО как услуга, позволяя создавать кастомные полез
-----
Инфостилеры, такие как семейство StealC, и механизмы доставки, такие как Amadey, представляют собой значительные угрозы, которые собирают конфиденциальные данные, включая пароли и токены.
StealC работает по модели ВПО как услуга (MaaS), позволяя злоумышленникам создавать целевые полезн
Оно может красть учетные данные из браузеров, криптовалютных кошельков, почтовых клиентов, мессенджеров и игровых платформ, позволяя одной инфекции перерасти в несколько угроз.
StealC внедряет свои полезную нагрузку в легитимные процессы для повышения своей скрытности.
Amadey служит загрузчиком для доставки различных типов ВПО, включая StealC, и активен как минимум с 2018 года.
Amadey выполняет команды для загрузки файлов, взаимодействия с бэкдором и кражи учетных данных, создавая запланированные задачи для закрепления и используя HTTP для управления (C2) взаимодействием, шифруя свой трафик с помощью RC4.
Жизненный цикл атаки для инфостилеров часто использует поведение пользователей через отравление поисковой оптимизации (SEO) и фишинг для распространения ВПО без использования крупных уязвимостей программного обеспечения.
После развертывания инфостилеры могут извлекать различные учетные данные, экспортируя эти данные на серверы C2 в структурированных форматах.
Подпольный рынок похищенных учетных данных является прибыльным, при этом цены на логи варьируются от 2 долларов за распространенные учетные данные до более чем 100 долларов за корпоративные учетные данные.
StealC использует сложные процессы для сбора информации, формируя HTTP POST-запросы для регистрации в C2 с зашифрованными данными.
Оно использует техники инъекций для сбора учетных записей, которые обходят меры безопасности в веб-браузерах.
Amadey может загружать дополнительные плагины для кражи учётных данных или содержимого буфера обмена на основе команд из своей инфраструктуры C2.
Amadey поддерживает гибкий профиль, запрашивая из системного реестра операционные конфигурации.
Несмотря на усилия по нарушению инфраструктуры StealC и Amadey, их адаптивность обеспечивает сохранение угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Семейство стиллеров StealC и механизм его доставки Amadey представляют значительную опасность, эффективно похищая конфиденциальные данные, такие как учетные данные и токены сессий, с скомпрометированных устройств. StealC функционирует как ВПО как услуга, позволяя создавать кастомные полез
-----
Инфостилеры, такие как семейство StealC, и механизмы доставки, такие как Amadey, представляют собой значительные угрозы, которые собирают конфиденциальные данные, включая пароли и токены.
StealC работает по модели ВПО как услуга (MaaS), позволяя злоумышленникам создавать целевые полезн
Оно может красть учетные данные из браузеров, криптовалютных кошельков, почтовых клиентов, мессенджеров и игровых платформ, позволяя одной инфекции перерасти в несколько угроз.
StealC внедряет свои полезную нагрузку в легитимные процессы для повышения своей скрытности.
Amadey служит загрузчиком для доставки различных типов ВПО, включая StealC, и активен как минимум с 2018 года.
Amadey выполняет команды для загрузки файлов, взаимодействия с бэкдором и кражи учетных данных, создавая запланированные задачи для закрепления и используя HTTP для управления (C2) взаимодействием, шифруя свой трафик с помощью RC4.
Жизненный цикл атаки для инфостилеров часто использует поведение пользователей через отравление поисковой оптимизации (SEO) и фишинг для распространения ВПО без использования крупных уязвимостей программного обеспечения.
После развертывания инфостилеры могут извлекать различные учетные данные, экспортируя эти данные на серверы C2 в структурированных форматах.
Подпольный рынок похищенных учетных данных является прибыльным, при этом цены на логи варьируются от 2 долларов за распространенные учетные данные до более чем 100 долларов за корпоративные учетные данные.
StealC использует сложные процессы для сбора информации, формируя HTTP POST-запросы для регистрации в C2 с зашифрованными данными.
Оно использует техники инъекций для сбора учетных записей, которые обходят меры безопасности в веб-браузерах.
Amadey может загружать дополнительные плагины для кражи учётных данных или содержимого буфера обмена на основе команд из своей инфраструктуры C2.
Amadey поддерживает гибкий профиль, запрашивая из системного реестра операционные конфигурации.
Несмотря на усилия по нарушению инфраструктуры StealC и Amadey, их адаптивность обеспечивает сохранение угрозы.
#ParsedReport #CompletenessHigh
23-06-2026
From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html
Report completeness: High
Actors/Campaigns:
Teamtnt
Autom
Threats:
Ssh_worm
Xmrig_miner
Flodrix_botnet
Kinsing_miner
Typosquatting_technique
Korkerds
Outlaw_botnet
Hezb
Supportxmr
C3pool
Malxmr_miner
Victims:
Organizations using langflow, Ai application infrastructure, Enterprise environments
Industry:
Financial, Healthcare, Telco
Geo:
America, Canada, Ontario
CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)
TTPs:
Tactics: 12
Technics: 26
IOCs:
Url: 7
File: 8
IP: 2
Domain: 1
Hash: 4
Coin: 1
Soft:
Langflow, Linux, Docker, Confluence, curl, systemd, AppArmor, SELinux, Alibaba Cloud, Chrome, have more...
Crypto:
monero, ethereum
Algorithms:
ghostrider, sha256, base64, randomx, md5, cryptonight
Functions:
createBashScript, b, lambsys_pre_setup_clear_fuckers_FindFile
Win API:
UWEKB
Languages:
php, golang, python
Links:
23-06-2026
From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html
Report completeness: High
Actors/Campaigns:
Teamtnt
Autom
Threats:
Ssh_worm
Xmrig_miner
Flodrix_botnet
Kinsing_miner
Typosquatting_technique
Korkerds
Outlaw_botnet
Hezb
Supportxmr
C3pool
Malxmr_miner
Victims:
Organizations using langflow, Ai application infrastructure, Enterprise environments
Industry:
Financial, Healthcare, Telco
Geo:
America, Canada, Ontario
CVEs:
CVE-2026-33017 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.8.2)
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)
TTPs:
Tactics: 12
Technics: 26
IOCs:
Url: 7
File: 8
IP: 2
Domain: 1
Hash: 4
Coin: 1
Soft:
Langflow, Linux, Docker, Confluence, curl, systemd, AppArmor, SELinux, Alibaba Cloud, Chrome, have more...
Crypto:
monero, ethereum
Algorithms:
ghostrider, sha256, base64, randomx, md5, cryptonight
Functions:
createBashScript, b, lambsys_pre_setup_clear_fuckers_FindFile
Win API:
UWEKB
Languages:
php, golang, python
Links:
https://github.com/langflow-ai/langflow/commit/73b6612e3ef25fdae0a752d75b0fabd47328d4f0https://github.com/langflow-ai/langflow/pull/12160Trend Micro
From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
We tracked a cryptocurrency-mining campaign exploiting CVE-2026-33017, which revealed how threat actors are now scanning exposed AI application infrastructure for their next foothold.
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 From Langflow to Monero: Inside CVE-2026-33017 Cryptominer https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по майнингу криптовалют использует уязвимость CVE-2026-33017, критическую уязвимость удаленного выполнения кода (RCE) во фреймворке Langflow, позволяющую злоумышленникам выполнять произвольный код Python с помощью одного неаутентифицированного POST-запроса. ВПО, используя bash-скрипт (`isp.sh`), создает закрепление, отключает функции безопасности и взаимодействует с сервером C&C для загрузки майнера Monero, применяя при этом техники уклонения. Сложность кампании включает целевой захват конкретных учетных записей и изменение элементов управления безопасностью ядра, что указывает на продвинутую эволюцию тактик майнинга криптовалют.
-----
Обнаружена кампания по майнингу криптовалют, использующая критическую уязвимость CVE-2026-33017 — Удаленное Выполнение Кода (RCE) без аутентификации в Langflow, который представляет собой Python фреймворк для создания рабочих процессов на основе больших языковых моделей. Эксплуатация включает один неаутентифицированный POST-запрос к определенному конечному пункту API Langflow, позволяющий злоумышленникам выполнять произвольный Python-код, который загружает и запускает майнинговое ВПО. Кампания примечательна своим фокусом на открытых конечных пунктах приложений искусственного интеллекта и использует вектор доставки, который недавно изменился по сравнению с предыдущими методами эксплуатации, нацеленными на другие платформы, такие как Docker и Confluence.
Вредоносное ПО функционирует путем отключения средств защиты на уровне хоста для закрепления и эффективно превращает скомпрометированную систему в криптомайнер, а также распространяется на другие машины путем повторного использования SSH-ключей. Основным компонентом кампании является bash-скрипт `isp.sh`, который проверяет наличие существующих процессов майнинга, создает скрытую директорию для закрепления и загружает бинарный файл с именем `lambsys`. Этот бинарный файл не только выполняет функции майнинга, но и выполняет множество команд для убийства конкурирующих процессов майнинга и отключения функций безопасности, таких как защита брандмауэра, AppArmor и SELinux. Его конструкция предполагает знакомство как с ландшафтом майнинга, так и с различными конфигурациями Linux.
После развертывания бинарный файл `lambsys` связывается со своим сервером управления (C&C) через стандартное HTTP-соединение. Он использует механизм на основе JSON для отправки статуса и ожидает получения команд или дополнительных инструкций. Кроме того, он загружает кастомную версию майнера XMRig для майнинга Monero. Развертывание майнера использует техники обфускации, включая манипуляцию с путями для избегания обнаружения.
Архитектура кампании демонстрирует высокий уровень сложности, включая техники перемещения внутри компании и уклонения, основанные на анализе других схем криптомайнинга. ВПО строго отключает определенные системные контрольные механизмы и изменяет средства защиты для сохранения foothold на скомпрометированных системах. Важно отметить, что злоумышленник, по-видимому, нацелен на конкретные учетные записи пользователей, связанные с предыдущими кампаниями, что указывает на эволюцию оперативных методов криптомайнеров.
Для организаций, использующих Langflow, критически важно внедрять обновления безопасности, ограничивать публичный доступ и отслеживать признаки эксплуатации. Скомпрометированные среды следует рассматривать как потенциальные инциденты, а раскрытые SSH-ключи необходимо ротировать для снижения дальнейших рисков. Появление этой кампании подчеркивает необходимость бдительности в обеспечении безопасности инфраструктур приложений искусственного интеллекта, которые стали привлекательными целями для злоумышленников.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по майнингу криптовалют использует уязвимость CVE-2026-33017, критическую уязвимость удаленного выполнения кода (RCE) во фреймворке Langflow, позволяющую злоумышленникам выполнять произвольный код Python с помощью одного неаутентифицированного POST-запроса. ВПО, используя bash-скрипт (`isp.sh`), создает закрепление, отключает функции безопасности и взаимодействует с сервером C&C для загрузки майнера Monero, применяя при этом техники уклонения. Сложность кампании включает целевой захват конкретных учетных записей и изменение элементов управления безопасностью ядра, что указывает на продвинутую эволюцию тактик майнинга криптовалют.
-----
Обнаружена кампания по майнингу криптовалют, использующая критическую уязвимость CVE-2026-33017 — Удаленное Выполнение Кода (RCE) без аутентификации в Langflow, который представляет собой Python фреймворк для создания рабочих процессов на основе больших языковых моделей. Эксплуатация включает один неаутентифицированный POST-запрос к определенному конечному пункту API Langflow, позволяющий злоумышленникам выполнять произвольный Python-код, который загружает и запускает майнинговое ВПО. Кампания примечательна своим фокусом на открытых конечных пунктах приложений искусственного интеллекта и использует вектор доставки, который недавно изменился по сравнению с предыдущими методами эксплуатации, нацеленными на другие платформы, такие как Docker и Confluence.
Вредоносное ПО функционирует путем отключения средств защиты на уровне хоста для закрепления и эффективно превращает скомпрометированную систему в криптомайнер, а также распространяется на другие машины путем повторного использования SSH-ключей. Основным компонентом кампании является bash-скрипт `isp.sh`, который проверяет наличие существующих процессов майнинга, создает скрытую директорию для закрепления и загружает бинарный файл с именем `lambsys`. Этот бинарный файл не только выполняет функции майнинга, но и выполняет множество команд для убийства конкурирующих процессов майнинга и отключения функций безопасности, таких как защита брандмауэра, AppArmor и SELinux. Его конструкция предполагает знакомство как с ландшафтом майнинга, так и с различными конфигурациями Linux.
После развертывания бинарный файл `lambsys` связывается со своим сервером управления (C&C) через стандартное HTTP-соединение. Он использует механизм на основе JSON для отправки статуса и ожидает получения команд или дополнительных инструкций. Кроме того, он загружает кастомную версию майнера XMRig для майнинга Monero. Развертывание майнера использует техники обфускации, включая манипуляцию с путями для избегания обнаружения.
Архитектура кампании демонстрирует высокий уровень сложности, включая техники перемещения внутри компании и уклонения, основанные на анализе других схем криптомайнинга. ВПО строго отключает определенные системные контрольные механизмы и изменяет средства защиты для сохранения foothold на скомпрометированных системах. Важно отметить, что злоумышленник, по-видимому, нацелен на конкретные учетные записи пользователей, связанные с предыдущими кампаниями, что указывает на эволюцию оперативных методов криптомайнеров.
Для организаций, использующих Langflow, критически важно внедрять обновления безопасности, ограничивать публичный доступ и отслеживать признаки эксплуатации. Скомпрометированные среды следует рассматривать как потенциальные инциденты, а раскрытые SSH-ключи необходимо ротировать для снижения дальнейших рисков. Появление этой кампании подчеркивает необходимость бдительности в обеспечении безопасности инфраструктур приложений искусственного интеллекта, которые стали привлекательными целями для злоумышленников.
#ParsedReport #CompletenessMedium
23-06-2026
OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat
https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/
Report completeness: Medium
Actors/Campaigns:
Clawhavoc
Threats:
Supply_chain_technique
Amos_stealer
Paste-jacking_technique
Victims:
Openclaw users, Macos users, Financial communities, Cryptocurrency users, Mainland china, Hong kong, Singapore
Industry:
Financial, Retail, E-commerce
Geo:
Singapore, Hong kong, China
ChatGPT TTPs:
T1027, T1027.001, T1036, T1041, T1053.003, T1059.004, T1105, T1140, T1195, T1204.004, have more...
IOCs:
IP: 2
Domain: 7
Hash: 6
Url: 6
File: 1
Soft:
OpenClaw, ClawHub, macOS, Telegram, TradingView
Crypto:
solana
Algorithms:
base64, sha256
23-06-2026
OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat
https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/
Report completeness: Medium
Actors/Campaigns:
Clawhavoc
Threats:
Supply_chain_technique
Amos_stealer
Paste-jacking_technique
Victims:
Openclaw users, Macos users, Financial communities, Cryptocurrency users, Mainland china, Hong kong, Singapore
Industry:
Financial, Retail, E-commerce
Geo:
Singapore, Hong kong, China
ChatGPT TTPs:
do not use without manual checkT1027, T1027.001, T1036, T1041, T1053.003, T1059.004, T1105, T1140, T1195, T1204.004, have more...
IOCs:
IP: 2
Domain: 7
Hash: 6
Url: 6
File: 1
Soft:
OpenClaw, ClawHub, macOS, Telegram, TradingView
Crypto:
solana
Algorithms:
base64, sha256
Unit 42
OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat
Unit 42's analysis of ClawHub revealed evasive malicious skills bypassing automated scanners to deploy infostealers and execute agentic financial fraud.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-06-2026 OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat https://unit42.paloaltonetworks.com/openclaw-ai-supply-chain-risk/ Report completeness: Medium Actors/Campaigns: Clawhavoc Threats: Supp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема OpenClaw, включающая сторонние навыки, была скомпрометирована различными вредоносными активностями, при этом пять незаблокированных навыков действовали как инфостилеры и использовали уклонистские техники в период с февраля по май 2026 года. Заметные угрозы включают вредоносное ПО для macOS для связи с управлением и инфостилеры, использующие механизмы на основе кодирования Base64 для доставки полезной нагрузки. Атакующие эксплуатируют разрешения агентов ИИ с помощью сложных методов, таких как перехват семантических инструкций и инъекция аффилированных модулей во время выполнения, что позволяет выполнять несанкционированные действия и манипуляции с финансами.
-----
OpenClaw — это ИИ-агент, который работает через сторонние навыки, доступные на ClawHub, и который находится под пристальным вниманием из-за вредоносной деятельности после своего запуска. В навыках этой экосистемы, предоставляющих широкий доступ к системе, были обнаружены вредоносные компоненты, приводящие к компрометации систем пользователей. Критический анализ, проведенный в период с февраля по май 2026 года, выявил пять заблокированных вредоносных навыков, классифицированных как инфостилеры, техники уклонения и агентные угрозы. Среди инфостилеров конкретно присутствовало ВПО для macOS, которое взаимодействовало с серверами управления (C2), а техники уклонения включали добавление заполнения в файлы для обхода обнаружения инструментами проверки, такими как VirusTotal и ClawScan.
Вредоносные навыки, эксплуатирующие цепочку поставок ИИ, используют перехват семантических инструкций для обхода традиционных мер безопасности. Они могут манипулировать операционными разрешениями агента, позволяя выполнять несанкционированные действия без типичных методов эксплуатации. Эта новая поверхность атаки контрастирует с традиционными уязвимостями цепочки поставок программного обеспечения, демонстрируя, как злоумышленники используют встроенный доступ, предоставленный агентам ИИ. Примечательно, что ранние отчеты сообщали, что около 17% проанализированных навыков OpenClaw содержали вредоносный контент, при этом для доставки полезной нагрузки применялись различные методы, включая обманные структуры команд, закодированные в Base64, и перенаправления на сайты для вставки текста.
Зловредные полезная нагрузка включала вредоносное ПО AMOS stealer и другие инфостилеры, использующие механизмы дропперов с кодировкой Base64. Постоянные механизмы, такие как автообновители, были установлены для поддержания связи с C2 даже после того, как вредоносные навыки были обнаружены и удалены. Кроме того, новые схемы, такие как инъекция аффилиатов во время выполнения через финансовые консультационные навыки, увеличивали прибыль, направляя пользователей на аффилиатные ссылки без их ведома. После установки навык сохранял контроль в реальном времени над данными о рефералах, позволяя динамически корректировать рекомендуемые продукты или услуги в соответствии с вредоносными намерениями.
Ещё одним сложным видом атаки, зафиксированным в ходе расследования, стало агентное фронтраннинг-торгование, при котором операторы манипулировали платформой ClawHub для исполнения сделок с мемами-токенами с использованием нескольких ИИ-агентов. Этот метод предполагал объединение криптовалюты в кошельке оператора перед публичным запуском токенов, что создавало искусственный спрос, который можно было эксплуатировать в целях финансовой выгоды.
Текущая эволюция этих угроз подчеркивает необходимость для организаций внедрения строгих процессов мониторинга и проверки Цепочки поставок. Активная проверка документации навыков, происхождения издателя и посимвольный аудит имеют критическое значение для противодействия этим уязвимостям, наряду с мониторингом исходящих сетевых соединений для выявления аномального поведения, указывающего на компрометацию. Такие меры являются обязательными для защиты сред от этих сложных угроз, которые продолжают адаптироваться и избегать существующих возможностей обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема OpenClaw, включающая сторонние навыки, была скомпрометирована различными вредоносными активностями, при этом пять незаблокированных навыков действовали как инфостилеры и использовали уклонистские техники в период с февраля по май 2026 года. Заметные угрозы включают вредоносное ПО для macOS для связи с управлением и инфостилеры, использующие механизмы на основе кодирования Base64 для доставки полезной нагрузки. Атакующие эксплуатируют разрешения агентов ИИ с помощью сложных методов, таких как перехват семантических инструкций и инъекция аффилированных модулей во время выполнения, что позволяет выполнять несанкционированные действия и манипуляции с финансами.
-----
OpenClaw — это ИИ-агент, который работает через сторонние навыки, доступные на ClawHub, и который находится под пристальным вниманием из-за вредоносной деятельности после своего запуска. В навыках этой экосистемы, предоставляющих широкий доступ к системе, были обнаружены вредоносные компоненты, приводящие к компрометации систем пользователей. Критический анализ, проведенный в период с февраля по май 2026 года, выявил пять заблокированных вредоносных навыков, классифицированных как инфостилеры, техники уклонения и агентные угрозы. Среди инфостилеров конкретно присутствовало ВПО для macOS, которое взаимодействовало с серверами управления (C2), а техники уклонения включали добавление заполнения в файлы для обхода обнаружения инструментами проверки, такими как VirusTotal и ClawScan.
Вредоносные навыки, эксплуатирующие цепочку поставок ИИ, используют перехват семантических инструкций для обхода традиционных мер безопасности. Они могут манипулировать операционными разрешениями агента, позволяя выполнять несанкционированные действия без типичных методов эксплуатации. Эта новая поверхность атаки контрастирует с традиционными уязвимостями цепочки поставок программного обеспечения, демонстрируя, как злоумышленники используют встроенный доступ, предоставленный агентам ИИ. Примечательно, что ранние отчеты сообщали, что около 17% проанализированных навыков OpenClaw содержали вредоносный контент, при этом для доставки полезной нагрузки применялись различные методы, включая обманные структуры команд, закодированные в Base64, и перенаправления на сайты для вставки текста.
Зловредные полезная нагрузка включала вредоносное ПО AMOS stealer и другие инфостилеры, использующие механизмы дропперов с кодировкой Base64. Постоянные механизмы, такие как автообновители, были установлены для поддержания связи с C2 даже после того, как вредоносные навыки были обнаружены и удалены. Кроме того, новые схемы, такие как инъекция аффилиатов во время выполнения через финансовые консультационные навыки, увеличивали прибыль, направляя пользователей на аффилиатные ссылки без их ведома. После установки навык сохранял контроль в реальном времени над данными о рефералах, позволяя динамически корректировать рекомендуемые продукты или услуги в соответствии с вредоносными намерениями.
Ещё одним сложным видом атаки, зафиксированным в ходе расследования, стало агентное фронтраннинг-торгование, при котором операторы манипулировали платформой ClawHub для исполнения сделок с мемами-токенами с использованием нескольких ИИ-агентов. Этот метод предполагал объединение криптовалюты в кошельке оператора перед публичным запуском токенов, что создавало искусственный спрос, который можно было эксплуатировать в целях финансовой выгоды.
Текущая эволюция этих угроз подчеркивает необходимость для организаций внедрения строгих процессов мониторинга и проверки Цепочки поставок. Активная проверка документации навыков, происхождения издателя и посимвольный аудит имеют критическое значение для противодействия этим уязвимостям, наряду с мониторингом исходящих сетевых соединений для выявления аномального поведения, указывающего на компрометацию. Такие меры являются обязательными для защиты сред от этих сложных угроз, которые продолжают адаптироваться и избегать существующих возможностей обнаружения.
#ParsedReport #CompletenessLow
24-06-2026
Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager
https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager/
Report completeness: Low
Victims:
Service provider
Industry:
Retail, Financial, Healthcare
CVEs:
CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vbond_orchestrator (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20245 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vbond_orchestrator (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1021.004, T1059.008, T1068, T1070.004, T1078.003, T1098, T1136.001
IOCs:
File: 1
IP: 8
Hash: 1
Soft:
Outlook
Algorithms:
sha256
Platforms:
intel
24-06-2026
Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager
https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager/
Report completeness: Low
Victims:
Service provider
Industry:
Retail, Financial, Healthcare
CVEs:
CVE-2026-20182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vbond_orchestrator (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20245 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
- cisco sd-wan_vsmart_controller (<20.9.9.1, <20.12.5.4, <20.12.6.2, <20.15.4.4, <20.15.5.2)
CVE-2026-20127 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco catalyst_sd-wan_manager (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vbond_orchestrator (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
- cisco sd-wan_vsmart_controller (<20.9.8.2, <20.12.5.3, <20.15.4.2, <20.18.2.1, 20.12.6)
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.004, T1059.008, T1068, T1070.004, T1078.003, T1098, T1136.001
IOCs:
File: 1
IP: 8
Hash: 1
Soft:
Outlook
Algorithms:
sha256
Platforms:
intel
Google Cloud Blog
Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager | Google Cloud Blog
The threat actor exploited the vulnerability to escalate privileges from a compromised administrative account to root-level access.
CTT Report Hub
#ParsedReport #CompletenessLow 24-06-2026 Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2026 года киберкампания нацелилась на Cisco Catalyst SD-WAN, эксплуатируя уязвимость нулевого дня CVE-2026-20245, которая позволяла повышение привилегий с уровня администратора до root путем загрузки вредоносного файла (evil_tenant.csv). Злоумышленники установили несанкционированные пиры для получения доступа по SSH, манипулируя паролями по умолчанию и выполняя команды, изменяющие критические системные файлы. Кроме того, уязвимости CVE-2026-20127 и CVE-2026-20182 в механизме аутентификации пиров могли способствовать несанкционированному доступу до их обнаружения, что указывает на тенденцию к нацеливанию на устройства управления сетью.
-----
В начале 2026 года Mandiant сообщила о продолжающейся киберкампании, нацеленной на инфраструктуру Software-Defined Wide Area Network (SD-WAN), в частности, эксплуатирующей уязвимость нулевого дня (CVE-2026-20245) в Cisco Catalyst SD-WAN. Эта уязвимость безопасности связана с неправильной фильтрацией в функции загрузки файлов, что позволяет злоумышленникам повышать привилегии с административной учетной записи до доступа root путем загрузки специально созданного вредоносного файла.
Методы атаки, применяемые злоумышленником, включали установление несанкционированных соединений пиринговой сети для получения доступа к Secure Shell (SSH), через который они изменяли пароли учетных записей по умолчанию, чтобы оставаться незамеченными. После получения первоначального доступа они эксплуатировали уязвимость CVE-2026-20245, загрузив файл с именем evil_tenant.csv, содержащий вредоносные команды, направленные на изменение критических системных файлов, таких как /etc/passwd и /etc/shadow. Этот процесс, выполняемый через интерфейс командной строки, позволял злоумышленнику выполнять произвольные команды с привилегиями root после загрузки.
Помимо CVE-2026-20245, Cisco раскрыла информацию о других уязвимостях (CVE-2026-20127 и CVE-2026-20182), которые затрагивают механизмы аутентификации пиринга контроллеров SD-WAN Cisco. Эти недостатки потенциально могут позволить неаутентифицированным удаленным злоумышленникам обойти аутентификацию, получая административные привилегии на затронутых устройствах. Наблюдения показывают, что несанкционированные пиринговые соединения могли эксплуатировать эти уязвимости до их раскрытия, способствуя первоначальному доступу в рамках атаки.
Атака подчеркивает тенденцию в направлении целевых атак на сетевые управляющие устройства, отражая парадигму "living off the edge", где злоумышленники стремятся к компрометации инструментов сетевой оркестрации для обхода традиционных мер безопасности. Такие устройства часто не имеют достаточной криминалистический анализ телеметрии, что затрудняет обнаружение и анализ вторжений, тем самым представляя риск постоянного доступа к конфиденциальному корпоративному трафику.
Для организаций рекомендуются срочные меры по устранению уязвимостей, включая немедленное обновление программного обеспечения для версий, устраняющих CVE-2026-20245, и обеспечение соблюдения руководств по усилению защиты Cisco. Также необходимы комплексные поисковые операции и мониторинг подозрительных событий изменения паролей для выявления потенциальных компрометаций, особенно с акцентом на изменения учетных данных административных учетных записей, записанные в /var/log/auth.log. Учитывая скоординированный характер этих атак и изменяющийся ландшафт уязвимостей, организации должны сохранять бдительность в своей защите от таких киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2026 года киберкампания нацелилась на Cisco Catalyst SD-WAN, эксплуатируя уязвимость нулевого дня CVE-2026-20245, которая позволяла повышение привилегий с уровня администратора до root путем загрузки вредоносного файла (evil_tenant.csv). Злоумышленники установили несанкционированные пиры для получения доступа по SSH, манипулируя паролями по умолчанию и выполняя команды, изменяющие критические системные файлы. Кроме того, уязвимости CVE-2026-20127 и CVE-2026-20182 в механизме аутентификации пиров могли способствовать несанкционированному доступу до их обнаружения, что указывает на тенденцию к нацеливанию на устройства управления сетью.
-----
В начале 2026 года Mandiant сообщила о продолжающейся киберкампании, нацеленной на инфраструктуру Software-Defined Wide Area Network (SD-WAN), в частности, эксплуатирующей уязвимость нулевого дня (CVE-2026-20245) в Cisco Catalyst SD-WAN. Эта уязвимость безопасности связана с неправильной фильтрацией в функции загрузки файлов, что позволяет злоумышленникам повышать привилегии с административной учетной записи до доступа root путем загрузки специально созданного вредоносного файла.
Методы атаки, применяемые злоумышленником, включали установление несанкционированных соединений пиринговой сети для получения доступа к Secure Shell (SSH), через который они изменяли пароли учетных записей по умолчанию, чтобы оставаться незамеченными. После получения первоначального доступа они эксплуатировали уязвимость CVE-2026-20245, загрузив файл с именем evil_tenant.csv, содержащий вредоносные команды, направленные на изменение критических системных файлов, таких как /etc/passwd и /etc/shadow. Этот процесс, выполняемый через интерфейс командной строки, позволял злоумышленнику выполнять произвольные команды с привилегиями root после загрузки.
Помимо CVE-2026-20245, Cisco раскрыла информацию о других уязвимостях (CVE-2026-20127 и CVE-2026-20182), которые затрагивают механизмы аутентификации пиринга контроллеров SD-WAN Cisco. Эти недостатки потенциально могут позволить неаутентифицированным удаленным злоумышленникам обойти аутентификацию, получая административные привилегии на затронутых устройствах. Наблюдения показывают, что несанкционированные пиринговые соединения могли эксплуатировать эти уязвимости до их раскрытия, способствуя первоначальному доступу в рамках атаки.
Атака подчеркивает тенденцию в направлении целевых атак на сетевые управляющие устройства, отражая парадигму "living off the edge", где злоумышленники стремятся к компрометации инструментов сетевой оркестрации для обхода традиционных мер безопасности. Такие устройства часто не имеют достаточной криминалистический анализ телеметрии, что затрудняет обнаружение и анализ вторжений, тем самым представляя риск постоянного доступа к конфиденциальному корпоративному трафику.
Для организаций рекомендуются срочные меры по устранению уязвимостей, включая немедленное обновление программного обеспечения для версий, устраняющих CVE-2026-20245, и обеспечение соблюдения руководств по усилению защиты Cisco. Также необходимы комплексные поисковые операции и мониторинг подозрительных событий изменения паролей для выявления потенциальных компрометаций, особенно с акцентом на изменения учетных данных административных учетных записей, записанные в /var/log/auth.log. Учитывая скоординированный характер этих атак и изменяющийся ландшафт уязвимостей, организации должны сохранять бдительность в своей защите от таких киберугроз.
#ParsedReport #CompletenessHigh
25-06-2026
Tracking UAC-0226 Tooling Evolution: From WinRAR ADS to Reflective GIFTEDCROOK Loading
https://blog.synapticsystems.de/from-winrar-ads-to-reflective-loading-reversing-a-new-uac-0226-giftedcrook-chain/
Report completeness: High
Actors/Campaigns:
Uac-0226
Gamaredon
Threats:
Giftedcrook
Antidebugging_technique
Junk_code_technique
Victims:
Defense, Military personnel
Industry:
Military
Geo:
Ukrainian
CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
TTPs:
Tactics: 5
Technics: 5
IOCs:
Hash: 9
File: 14
Path: 5
Command: 6
Url: 2
Email: 1
IP: 2
Soft:
WinRAR, Chromium, Firefox, KeePass, Google Chrome, Microsoft Edge, Opera, Chrome
Algorithms:
rc4, gzip, xor, zip, sha256
Functions:
Write-Host
Win API:
GetEnvironmentVariableW, CryptUnprotectData, GetSystemTimeAsFileTime, VirtualAlloc, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx
Languages:
java, powershell
25-06-2026
Tracking UAC-0226 Tooling Evolution: From WinRAR ADS to Reflective GIFTEDCROOK Loading
https://blog.synapticsystems.de/from-winrar-ads-to-reflective-loading-reversing-a-new-uac-0226-giftedcrook-chain/
Report completeness: High
Actors/Campaigns:
Uac-0226
Gamaredon
Threats:
Giftedcrook
Antidebugging_technique
Junk_code_technique
Victims:
Defense, Military personnel
Industry:
Military
Geo:
Ukrainian
CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
TTPs:
Tactics: 5
Technics: 5
IOCs:
Hash: 9
File: 14
Path: 5
Command: 6
Url: 2
Email: 1
IP: 2
Soft:
WinRAR, Chromium, Firefox, KeePass, Google Chrome, Microsoft Edge, Opera, Chrome
Algorithms:
rc4, gzip, xor, zip, sha256
Functions:
Write-Host
Win API:
GetEnvironmentVariableW, CryptUnprotectData, GetSystemTimeAsFileTime, VirtualAlloc, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx
Languages:
java, powershell
Synaptic Security Blog
Tracking UAC-0226 Tooling Evolution: From WinRAR ADS to Reflective GIFTEDCROOK Loading - Synaptic Security Blog
by Robin Dost A few months ago, I analyzed a UAC-0226 campaign delivering a GIFTEDCROOK stealer through a weaponized WinRAR archive.Of course, that wasn’t it yet, we’re going to keep tracking our friends, so let’s go 🙂 The chain was relatively simple: Sample:…
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Tracking UAC-0226 Tooling Evolution: From WinRAR ADS to Reflective GIFTEDCROOK Loading https://blog.synapticsystems.de/from-winrar-ads-to-reflective-loading-reversing-a-new-uac-0226-giftedcrook-chain/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UAC-0226 усовершенствовал свои методы атак, используя обход UAC через ADS-путь WinRAR для размещения вредоносного ярлыка в каталоге автозагрузки Windows и выгрузки файлов в папку C:\ProgramData. Атака использует загрузчик PowerShell, который маскирует свои операции, доставляя сложный второй этап: PE-образ без заголовка, предназначенный для выполнения в памяти, с прицелом на чувствительную информацию браузеров и конфигурации VPN. Эта недавняя тактика демонстрирует эволюцию методов маскировки и уклонения, с изменениями в механизмах закрепления и кодировании полезной нагрузки по сравнению с более ранними атаками.
-----
Злоумышленник UAC-0226 усовершенствовал свои методы атак, используя обход пути WinRAR на основе ADS для размещения ярлыка в каталоге автозагрузки Windows и выгрузки дополнительных файлов в папку C:\ProgramData. Начальный этап использует загрузчик PowerShell, который маскирует свою функцию с помощью генерируемого шума, одновременно доставляя более сложный второй этап: закодированное PE-изображение без заголовка, которое включает собственный рефлексивный маппер для выполнения.
Вредоносное ПО целенаправленно извлекает конфиденциальную информацию из браузеров, таких как Chromium и Firefox, а также конфигураций VPN и баз данных KeePass. Архитектура полезной нагрузки представляет собой PE-образ без заголовка, который не похож на стандартные исполняемые форматы на диске, что требует реконструкции для инструментов статического анализа, тем самым повышая уровень его обфускации.
На первом этапе скрипт PowerShell (WC3) деобфусцирует и выполняет закодированные данные с помощью механизма, который внутренне отключает проверку сертификатов TLS, что критично для разведки. Загрузчик генерирует телеметрические данные, указывающие на статус загрузчика во время выполнения следующего этапа полезной нагрузки.
По сравнению с более ранними версиями данная атака демонстрирует эволюцию в техниках, включая изменения в механизмах закрепления, кодировании полезной нагрузки и загрузке в память. Предыдущие образцы UAC-0226 опирались на аддитивное побайтовое декодирование, но самые последние атаки использовали другие значения вычитания для обфускации данных полезной нагрузки (в частности, изменив значение с 117 на 72).
Кроме того, отражательный маппер полезной нагрузки играет ключевую роль, конструируя исполняемый код в памяти и одновременно предоставляя обновления статуса обратно загрузчику PowerShell, что представляет собой метод, отклоняющийся от обычных шаблонов выполнения. Это отражает заметный прогресс в тактиках операционной безопасности и обхода, применяемых группой UAC-0226.
Кроме того, атака использует конкретные цели и идентификаторы сбора файлов, связанные как с Chromium, так и с Firefox, что делает её инструментом целенаправленного сбора информации, а не общим стиллером. Механизмы закрепления включают размещение вредоносного ярлыка в системе пользователя, что гарантирует запуск при загрузке системы.
Изменения инфраструктуры в рамках кампании UAC-0226, такие как смена порта связи и имен конечных точек, направлены на уход от обнаружения системами безопасности, которые могут отслеживать известные индикаторы. Отнесение к UAC-0226 остается неизменным благодаря узнаваемым поведенческим паттернам и оперативным техникам, отражающим непрерывную эволюцию, а не разрозненные инциденты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник UAC-0226 усовершенствовал свои методы атак, используя обход UAC через ADS-путь WinRAR для размещения вредоносного ярлыка в каталоге автозагрузки Windows и выгрузки файлов в папку C:\ProgramData. Атака использует загрузчик PowerShell, который маскирует свои операции, доставляя сложный второй этап: PE-образ без заголовка, предназначенный для выполнения в памяти, с прицелом на чувствительную информацию браузеров и конфигурации VPN. Эта недавняя тактика демонстрирует эволюцию методов маскировки и уклонения, с изменениями в механизмах закрепления и кодировании полезной нагрузки по сравнению с более ранними атаками.
-----
Злоумышленник UAC-0226 усовершенствовал свои методы атак, используя обход пути WinRAR на основе ADS для размещения ярлыка в каталоге автозагрузки Windows и выгрузки дополнительных файлов в папку C:\ProgramData. Начальный этап использует загрузчик PowerShell, который маскирует свою функцию с помощью генерируемого шума, одновременно доставляя более сложный второй этап: закодированное PE-изображение без заголовка, которое включает собственный рефлексивный маппер для выполнения.
Вредоносное ПО целенаправленно извлекает конфиденциальную информацию из браузеров, таких как Chromium и Firefox, а также конфигураций VPN и баз данных KeePass. Архитектура полезной нагрузки представляет собой PE-образ без заголовка, который не похож на стандартные исполняемые форматы на диске, что требует реконструкции для инструментов статического анализа, тем самым повышая уровень его обфускации.
На первом этапе скрипт PowerShell (WC3) деобфусцирует и выполняет закодированные данные с помощью механизма, который внутренне отключает проверку сертификатов TLS, что критично для разведки. Загрузчик генерирует телеметрические данные, указывающие на статус загрузчика во время выполнения следующего этапа полезной нагрузки.
По сравнению с более ранними версиями данная атака демонстрирует эволюцию в техниках, включая изменения в механизмах закрепления, кодировании полезной нагрузки и загрузке в память. Предыдущие образцы UAC-0226 опирались на аддитивное побайтовое декодирование, но самые последние атаки использовали другие значения вычитания для обфускации данных полезной нагрузки (в частности, изменив значение с 117 на 72).
Кроме того, отражательный маппер полезной нагрузки играет ключевую роль, конструируя исполняемый код в памяти и одновременно предоставляя обновления статуса обратно загрузчику PowerShell, что представляет собой метод, отклоняющийся от обычных шаблонов выполнения. Это отражает заметный прогресс в тактиках операционной безопасности и обхода, применяемых группой UAC-0226.
Кроме того, атака использует конкретные цели и идентификаторы сбора файлов, связанные как с Chromium, так и с Firefox, что делает её инструментом целенаправленного сбора информации, а не общим стиллером. Механизмы закрепления включают размещение вредоносного ярлыка в системе пользователя, что гарантирует запуск при загрузке системы.
Изменения инфраструктуры в рамках кампании UAC-0226, такие как смена порта связи и имен конечных точек, направлены на уход от обнаружения системами безопасности, которые могут отслеживать известные индикаторы. Отнесение к UAC-0226 остается неизменным благодаря узнаваемым поведенческим паттернам и оперативным техникам, отражающим непрерывную эволюцию, а не разрозненные инциденты.
#ParsedReport #CompletenessMedium
25-06-2026
Analysis of Recent APT-C-36 Activities in Colombia
https://www.ctfiot.com/311957.html
Report completeness: Medium
Actors/Campaigns:
Blindeagle
Threats:
Junk_code_technique
Hijackloader
Remcos_rat
Victims:
Financial services, Colombia
Industry:
Financial
Geo:
Colombia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1033, T1055, T1059.001, T1059.007, T1082, T1113, T1123, T1140, T1204.002, have more...
IOCs:
File: 4
Command: 1
Hash: 8
Url: 2
Domain: 1
Soft:
Chrome, WeChat
Algorithms:
exhibit, base64, rc4
Languages:
javascript, powershell
25-06-2026
Analysis of Recent APT-C-36 Activities in Colombia
https://www.ctfiot.com/311957.html
Report completeness: Medium
Actors/Campaigns:
Blindeagle
Threats:
Junk_code_technique
Hijackloader
Remcos_rat
Victims:
Financial services, Colombia
Industry:
Financial
Geo:
Colombia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1033, T1055, T1059.001, T1059.007, T1082, T1113, T1123, T1140, T1204.002, have more...
IOCs:
File: 4
Command: 1
Hash: 8
Url: 2
Domain: 1
Soft:
Chrome, WeChat
Algorithms:
exhibit, base64, rc4
Languages:
javascript, powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Analysis of Recent APT-C-36 Activities in Colombia https://www.ctfiot.com/311957.html Report completeness: Medium Actors/Campaigns: Blindeagle Threats: Junk_code_technique Hijackloader Remcos_rat Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-36, или Blind Eagle, эволюционировала в методах фишинговых атак в Колумбии, используя SVG-файлы с встроенным JavaScript для доставки полезной нагрузки, которая теперь включает зашифрованный загрузчик. Этот загрузчик работает автономно после взаимодействия с пользователем и развертывает вредоносную DLL-библиотеку Qt5Network.dll в рамках архитектуры Hijackloader, в конечном итоге доставляя троян удаленного управления Remcos. Троян собирает системную информацию и взаимодействует с сервером C2, что указывает на возросшую сложность группы и ее нацеленность на финансовый сектор.
-----
Недавняя деятельность группы APT-C-36, также известной как Blind Eagle, демонстрирует заметную эволюцию в их тактиках атак, особенно в Колумбии. Эта кампания в основном использует фишинг в качестве начального вектора атаки, применяя форматы файлов SVG, дополненные встроенным JavaScript для доставки полезной нагрузки. Примечательно, что в отличие от предыдущих кампаний, где ссылки на вредоносные полезной нагрузки были встроены напрямую, файлы SVG в данном случае содержат зашифрованный загрузчик. Этот загрузчик выполняется, когда жертва взаимодействует с SVG, используя сгенерированный искусственным интеллектом скрипт для расшифровки и запуска полезной нагрузки без необходимости подключения к интернету.
Содержимое фишингового письма демонстрирует сдвиг в фокусе: имена файлов SVG и встроенный контент ссылаются на такие темы, как банковские операции, что указывает на стратегическую нацеленность на сотрудников финансового сектора. При выполнении встроенный JavaScript использует WScript.exe в системах Windows, применяя различные техники обфускации, такие как шестнадцатеричные строки, для сокрытия своей вредоносной природы. В частности, скрипт записывает полезную нагрузку PowerShell в переменную среды пользователя INTERNAL_IO_CACHE, а затем выполняет её через Инструментарий управления Windows (WMI), чтобы обеспечить скрытность за счёт удаления следов после выполнения.
В составе полезной нагрузки находится вредоносная динамическая библиотека Qt5Network.dll вместе со сжатыми и зашифрованными файлами данных, которые совместно функционируют как Hijackloader — загрузчик, часто используемый данной группой. Архитектура Hijackloader позволяет выполнять модульные операции и многократные инъекции, в результате чего конечная полезная нагрузка доставляется в легитимную программу, а именно PlaneMon.exe, в каталог %ALLUSERSPROFILE%.
Финальный полезный код, развернутый в этой кампании, — это троян удаленного управления Remcos, инструмент, изначально разработанный для легитимного удаленного администрирования, но широко эксплуатируемый киберпреступниками. Атакующие использовали версию 6.1.2 Pro Remcos, которая при запуске расшифровывает свою конфигурацию из файла ресурсов PE. Эта конфигурация включает сведения о доменах управления (C2), идентификаторы жертв и механизмы операций для таких действий, как выполнение команд, сбор информации о системе и аудионаблюдение. Начальный пакет данных, отправляемый на сервер C2, передает важную информацию о пользователе, включая имя пользователя системы, характеристики процессора и версию операционной системы.
Анализ показывает, что методы APT-C-36 тесно согласуются с предыдущими инцидентами, связанными с данной группой. Внедрение скриптов, сгенерированных с помощью искусственного интеллекта, представляет собой значительный технический прогресс, который, вероятно, сокращает время разработки и позволяет увеличить частоту и сложность атак. В связи с этим пользователям в целевых регионах, особенно тем, кто работает в уязвимых секторах, настоятельно рекомендуется усилить меры кибербезопасности для смягчения потенциальных угроз от этих эволюционирующих тактик.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-36, или Blind Eagle, эволюционировала в методах фишинговых атак в Колумбии, используя SVG-файлы с встроенным JavaScript для доставки полезной нагрузки, которая теперь включает зашифрованный загрузчик. Этот загрузчик работает автономно после взаимодействия с пользователем и развертывает вредоносную DLL-библиотеку Qt5Network.dll в рамках архитектуры Hijackloader, в конечном итоге доставляя троян удаленного управления Remcos. Троян собирает системную информацию и взаимодействует с сервером C2, что указывает на возросшую сложность группы и ее нацеленность на финансовый сектор.
-----
Недавняя деятельность группы APT-C-36, также известной как Blind Eagle, демонстрирует заметную эволюцию в их тактиках атак, особенно в Колумбии. Эта кампания в основном использует фишинг в качестве начального вектора атаки, применяя форматы файлов SVG, дополненные встроенным JavaScript для доставки полезной нагрузки. Примечательно, что в отличие от предыдущих кампаний, где ссылки на вредоносные полезной нагрузки были встроены напрямую, файлы SVG в данном случае содержат зашифрованный загрузчик. Этот загрузчик выполняется, когда жертва взаимодействует с SVG, используя сгенерированный искусственным интеллектом скрипт для расшифровки и запуска полезной нагрузки без необходимости подключения к интернету.
Содержимое фишингового письма демонстрирует сдвиг в фокусе: имена файлов SVG и встроенный контент ссылаются на такие темы, как банковские операции, что указывает на стратегическую нацеленность на сотрудников финансового сектора. При выполнении встроенный JavaScript использует WScript.exe в системах Windows, применяя различные техники обфускации, такие как шестнадцатеричные строки, для сокрытия своей вредоносной природы. В частности, скрипт записывает полезную нагрузку PowerShell в переменную среды пользователя INTERNAL_IO_CACHE, а затем выполняет её через Инструментарий управления Windows (WMI), чтобы обеспечить скрытность за счёт удаления следов после выполнения.
В составе полезной нагрузки находится вредоносная динамическая библиотека Qt5Network.dll вместе со сжатыми и зашифрованными файлами данных, которые совместно функционируют как Hijackloader — загрузчик, часто используемый данной группой. Архитектура Hijackloader позволяет выполнять модульные операции и многократные инъекции, в результате чего конечная полезная нагрузка доставляется в легитимную программу, а именно PlaneMon.exe, в каталог %ALLUSERSPROFILE%.
Финальный полезный код, развернутый в этой кампании, — это троян удаленного управления Remcos, инструмент, изначально разработанный для легитимного удаленного администрирования, но широко эксплуатируемый киберпреступниками. Атакующие использовали версию 6.1.2 Pro Remcos, которая при запуске расшифровывает свою конфигурацию из файла ресурсов PE. Эта конфигурация включает сведения о доменах управления (C2), идентификаторы жертв и механизмы операций для таких действий, как выполнение команд, сбор информации о системе и аудионаблюдение. Начальный пакет данных, отправляемый на сервер C2, передает важную информацию о пользователе, включая имя пользователя системы, характеристики процессора и версию операционной системы.
Анализ показывает, что методы APT-C-36 тесно согласуются с предыдущими инцидентами, связанными с данной группой. Внедрение скриптов, сгенерированных с помощью искусственного интеллекта, представляет собой значительный технический прогресс, который, вероятно, сокращает время разработки и позволяет увеличить частоту и сложность атак. В связи с этим пользователям в целевых регионах, особенно тем, кто работает в уязвимых секторах, настоятельно рекомендуется усилить меры кибербезопасности для смягчения потенциальных угроз от этих эволюционирующих тактик.
#ParsedReport #CompletenessMedium
25-06-2026
NetMedved and the Summer Campaign Against Russian Organizations
https://habr.com/ru/companies/pt/articles/1050722/
Report completeness: Medium
Actors/Campaigns:
Netmedved
Threats:
Netsupportmanager_rat
Spear-phishing_technique
Victims:
Russian organizations, Procurement, Contracts, Document management
Geo:
Russian
TTPs:
Tactics: 5
Technics: 18
IOCs:
File: 11
Domain: 7
Registry: 6
Path: 1
IP: 5
Hash: 12
Soft:
Windows COM, Windows Task Scheduler
Algorithms:
aes-cbc, base64, aes-128-cbc, zip, aes
Functions:
Get-Command
Win API:
Base64
Win Services:
WebClient
Languages:
powershell, jscript, javascript
25-06-2026
NetMedved and the Summer Campaign Against Russian Organizations
https://habr.com/ru/companies/pt/articles/1050722/
Report completeness: Medium
Actors/Campaigns:
Netmedved
Threats:
Netsupportmanager_rat
Spear-phishing_technique
Victims:
Russian organizations, Procurement, Contracts, Document management
Geo:
Russian
TTPs:
Tactics: 5
Technics: 18
IOCs:
File: 11
Domain: 7
Registry: 6
Path: 1
IP: 5
Hash: 12
Soft:
Windows COM, Windows Task Scheduler
Algorithms:
aes-cbc, base64, aes-128-cbc, zip, aes
Functions:
Get-Command
Win API:
Base64
Win Services:
WebClient
Languages:
powershell, jscript, javascript
Хабр
NetMedved и летняя кампания против российских организаций
Группа киберразведки Positive Technologies зафиксировала новую фишинговую кампанию хакерской группировки NetMedved, нацеленную на российские организации. Как и в описанных нами ранее атаках ,...
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 NetMedved and the Summer Campaign Against Russian Organizations https://habr.com/ru/companies/pt/articles/1050722/ Report completeness: Medium Actors/Campaigns: Netmedved Threats: Netsupportmanager_rat Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка NetMedved запустила новую фишинг-кампанию против российских организаций, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Атака в основном использует LNK-файлы, замаскированные под запросы на закупки, для выполнения скриптов PowerShell, которые извлекают зашифрованные AES-пакеты с удаленных серверов. Кроме того, в качестве загрузчика используется ZIP-архив, содержащий вредоносный файл JScript, что повышает скрытность за счет прямого выполнения из скрипта без внешних вызовов, а также обеспечивает закрепление через модификации реестра Windows.
-----
Хакерская группировка NetMedved начала новую фишинг-кампанию, нацеленную на российские организации, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Эта кампания опирается на тактики, ранее применяемые группировкой, которые включали различные методы, такие как LNK-файлы, загрузчики PowerShell и скрипты, использующие команду `finger`, среди прочего.
В этой последней атаке LNK-файлы маскируются под запросы на закупку, а их имена файлов оформлены в профессиональном стиле, чтобы обмануть сотрудников, занимающихся управлением документами. После запуска эти LNK-файлы инициируют PowerShell-скрипт, который извлекает зашифрованные с помощью AES полезную нагрузку с удаленного сервера. Злоумышленники применяют сложные методы для сокрытия выполнения, используя `Get-Command` для динамического разрешения cmdlet `Invoke-Expression` и опираясь на COM-объект MSXML2.ServerXMLHTTP для получения полезной нагрузки, что позволяет обходить традиционные сигнатуры PowerShell, которые могут быть обнаружены при статическом анализе.
После выполнения файла LNK он подключается к удалённому серверу для получения встроенного зашифрованного PowerShell-скрипта, который затем расшифровывается с использованием AES-128-CBC. Расшифрованный этап действует как загрузчик, который скачивает ZIP-архив, содержащий NetSupportRAT, извлекает его и запускает из временной директории на машине жертвы. Угроза устанавливает закрепление, создавая запись автозапуска в реестре Windows, чтобы обеспечить запуск при входе пользователя.
Кроме того, был зафиксирован ещё один метод доставки, включающий ZIP-архив, содержащий вредоносный файл JScript. Файл JScript выступает в роли дроппера, выполняя команды Windows COM для декодирования и запуска встроенного документа-приманки, а одновременно с этим инициируя запуск NetSupportRAT на системе жертвы. Данный метод, по всей видимости, повышает скрытность, поскольку все компоненты содержатся внутри скрипта и не требуют внешних вызовов, которые могли бы спровоцировать срабатывание средств обнаружения.
Вариант JScript разделяет ключевые характеристики с предыдущими кампаниями 2024 года, что указывает на последовательный подход к операциям группы NetMedved. Последовательность наблюдается в тактиках социальной инженерии, механизмах доставки и развертывании того же RAT. Инфраструктура, лежащая в основе кампании, демонстрирует кластеризацию, при которой несколько доменов управления регистрируются одновременно, что свидетельствует о преднамеренной стратегии устойчивости и ротации доменов для поддержания вредоносной деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка NetMedved запустила новую фишинг-кампанию против российских организаций, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Атака в основном использует LNK-файлы, замаскированные под запросы на закупки, для выполнения скриптов PowerShell, которые извлекают зашифрованные AES-пакеты с удаленных серверов. Кроме того, в качестве загрузчика используется ZIP-архив, содержащий вредоносный файл JScript, что повышает скрытность за счет прямого выполнения из скрипта без внешних вызовов, а также обеспечивает закрепление через модификации реестра Windows.
-----
Хакерская группировка NetMedved начала новую фишинг-кампанию, нацеленную на российские организации, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Эта кампания опирается на тактики, ранее применяемые группировкой, которые включали различные методы, такие как LNK-файлы, загрузчики PowerShell и скрипты, использующие команду `finger`, среди прочего.
В этой последней атаке LNK-файлы маскируются под запросы на закупку, а их имена файлов оформлены в профессиональном стиле, чтобы обмануть сотрудников, занимающихся управлением документами. После запуска эти LNK-файлы инициируют PowerShell-скрипт, который извлекает зашифрованные с помощью AES полезную нагрузку с удаленного сервера. Злоумышленники применяют сложные методы для сокрытия выполнения, используя `Get-Command` для динамического разрешения cmdlet `Invoke-Expression` и опираясь на COM-объект MSXML2.ServerXMLHTTP для получения полезной нагрузки, что позволяет обходить традиционные сигнатуры PowerShell, которые могут быть обнаружены при статическом анализе.
После выполнения файла LNK он подключается к удалённому серверу для получения встроенного зашифрованного PowerShell-скрипта, который затем расшифровывается с использованием AES-128-CBC. Расшифрованный этап действует как загрузчик, который скачивает ZIP-архив, содержащий NetSupportRAT, извлекает его и запускает из временной директории на машине жертвы. Угроза устанавливает закрепление, создавая запись автозапуска в реестре Windows, чтобы обеспечить запуск при входе пользователя.
Кроме того, был зафиксирован ещё один метод доставки, включающий ZIP-архив, содержащий вредоносный файл JScript. Файл JScript выступает в роли дроппера, выполняя команды Windows COM для декодирования и запуска встроенного документа-приманки, а одновременно с этим инициируя запуск NetSupportRAT на системе жертвы. Данный метод, по всей видимости, повышает скрытность, поскольку все компоненты содержатся внутри скрипта и не требуют внешних вызовов, которые могли бы спровоцировать срабатывание средств обнаружения.
Вариант JScript разделяет ключевые характеристики с предыдущими кампаниями 2024 года, что указывает на последовательный подход к операциям группы NetMedved. Последовательность наблюдается в тактиках социальной инженерии, механизмах доставки и развертывании того же RAT. Инфраструктура, лежащая в основе кампании, демонстрирует кластеризацию, при которой несколько доменов управления регистрируются одновременно, что свидетельствует о преднамеренной стратегии устойчивости и ротации доменов для поддержания вредоносной деятельности.