CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessHigh
25-06-2026

Tracking UAC-0226 Tooling Evolution: From WinRAR ADS to Reflective GIFTEDCROOK Loading

https://blog.synapticsystems.de/from-winrar-ads-to-reflective-loading-reversing-a-new-uac-0226-giftedcrook-chain/

Report completeness: High

Actors/Campaigns:
Uac-0226
Gamaredon

Threats:
Giftedcrook
Antidebugging_technique
Junk_code_technique

Victims:
Defense, Military personnel

Industry:
Military

Geo:
Ukrainian

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 5
Technics: 5

IOCs:
Hash: 9
File: 14
Path: 5
Command: 6
Url: 2
Email: 1
IP: 2

Soft:
WinRAR, Chromium, Firefox, KeePass, Google Chrome, Microsoft Edge, Opera, Chrome

Algorithms:
rc4, gzip, xor, zip, sha256

Functions:
Write-Host

Win API:
GetEnvironmentVariableW, CryptUnprotectData, GetSystemTimeAsFileTime, VirtualAlloc, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

Languages:
java, powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Tracking UAC-0226 Tooling Evolution: From WinRAR ADS to Reflective GIFTEDCROOK Loading https://blog.synapticsystems.de/from-winrar-ads-to-reflective-loading-reversing-a-new-uac-0226-giftedcrook-chain/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник UAC-0226 усовершенствовал свои методы атак, используя обход UAC через ADS-путь WinRAR для размещения вредоносного ярлыка в каталоге автозагрузки Windows и выгрузки файлов в папку C:\ProgramData. Атака использует загрузчик PowerShell, который маскирует свои операции, доставляя сложный второй этап: PE-образ без заголовка, предназначенный для выполнения в памяти, с прицелом на чувствительную информацию браузеров и конфигурации VPN. Эта недавняя тактика демонстрирует эволюцию методов маскировки и уклонения, с изменениями в механизмах закрепления и кодировании полезной нагрузки по сравнению с более ранними атаками.
-----

Злоумышленник UAC-0226 усовершенствовал свои методы атак, используя обход пути WinRAR на основе ADS для размещения ярлыка в каталоге автозагрузки Windows и выгрузки дополнительных файлов в папку C:\ProgramData. Начальный этап использует загрузчик PowerShell, который маскирует свою функцию с помощью генерируемого шума, одновременно доставляя более сложный второй этап: закодированное PE-изображение без заголовка, которое включает собственный рефлексивный маппер для выполнения.

Вредоносное ПО целенаправленно извлекает конфиденциальную информацию из браузеров, таких как Chromium и Firefox, а также конфигураций VPN и баз данных KeePass. Архитектура полезной нагрузки представляет собой PE-образ без заголовка, который не похож на стандартные исполняемые форматы на диске, что требует реконструкции для инструментов статического анализа, тем самым повышая уровень его обфускации.

На первом этапе скрипт PowerShell (WC3) деобфусцирует и выполняет закодированные данные с помощью механизма, который внутренне отключает проверку сертификатов TLS, что критично для разведки. Загрузчик генерирует телеметрические данные, указывающие на статус загрузчика во время выполнения следующего этапа полезной нагрузки.

По сравнению с более ранними версиями данная атака демонстрирует эволюцию в техниках, включая изменения в механизмах закрепления, кодировании полезной нагрузки и загрузке в память. Предыдущие образцы UAC-0226 опирались на аддитивное побайтовое декодирование, но самые последние атаки использовали другие значения вычитания для обфускации данных полезной нагрузки (в частности, изменив значение с 117 на 72).

Кроме того, отражательный маппер полезной нагрузки играет ключевую роль, конструируя исполняемый код в памяти и одновременно предоставляя обновления статуса обратно загрузчику PowerShell, что представляет собой метод, отклоняющийся от обычных шаблонов выполнения. Это отражает заметный прогресс в тактиках операционной безопасности и обхода, применяемых группой UAC-0226.

Кроме того, атака использует конкретные цели и идентификаторы сбора файлов, связанные как с Chromium, так и с Firefox, что делает её инструментом целенаправленного сбора информации, а не общим стиллером. Механизмы закрепления включают размещение вредоносного ярлыка в системе пользователя, что гарантирует запуск при загрузке системы.

Изменения инфраструктуры в рамках кампании UAC-0226, такие как смена порта связи и имен конечных точек, направлены на уход от обнаружения системами безопасности, которые могут отслеживать известные индикаторы. Отнесение к UAC-0226 остается неизменным благодаря узнаваемым поведенческим паттернам и оперативным техникам, отражающим непрерывную эволюцию, а не разрозненные инциденты.
#ParsedReport #CompletenessMedium
25-06-2026

Analysis of Recent APT-C-36 Activities in Colombia

https://www.ctfiot.com/311957.html

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Junk_code_technique
Hijackloader
Remcos_rat

Victims:
Financial services, Colombia

Industry:
Financial

Geo:
Colombia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1055, T1059.001, T1059.007, T1082, T1113, T1123, T1140, T1204.002, have more...

IOCs:
File: 4
Command: 1
Hash: 8
Url: 2
Domain: 1

Soft:
Chrome, WeChat

Algorithms:
exhibit, base64, rc4

Languages:
javascript, powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Analysis of Recent APT-C-36 Activities in Colombia https://www.ctfiot.com/311957.html Report completeness: Medium Actors/Campaigns: Blindeagle Threats: Junk_code_technique Hijackloader Remcos_rat Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-36, или Blind Eagle, эволюционировала в методах фишинговых атак в Колумбии, используя SVG-файлы с встроенным JavaScript для доставки полезной нагрузки, которая теперь включает зашифрованный загрузчик. Этот загрузчик работает автономно после взаимодействия с пользователем и развертывает вредоносную DLL-библиотеку Qt5Network.dll в рамках архитектуры Hijackloader, в конечном итоге доставляя троян удаленного управления Remcos. Троян собирает системную информацию и взаимодействует с сервером C2, что указывает на возросшую сложность группы и ее нацеленность на финансовый сектор.
-----

Недавняя деятельность группы APT-C-36, также известной как Blind Eagle, демонстрирует заметную эволюцию в их тактиках атак, особенно в Колумбии. Эта кампания в основном использует фишинг в качестве начального вектора атаки, применяя форматы файлов SVG, дополненные встроенным JavaScript для доставки полезной нагрузки. Примечательно, что в отличие от предыдущих кампаний, где ссылки на вредоносные полезной нагрузки были встроены напрямую, файлы SVG в данном случае содержат зашифрованный загрузчик. Этот загрузчик выполняется, когда жертва взаимодействует с SVG, используя сгенерированный искусственным интеллектом скрипт для расшифровки и запуска полезной нагрузки без необходимости подключения к интернету.

Содержимое фишингового письма демонстрирует сдвиг в фокусе: имена файлов SVG и встроенный контент ссылаются на такие темы, как банковские операции, что указывает на стратегическую нацеленность на сотрудников финансового сектора. При выполнении встроенный JavaScript использует WScript.exe в системах Windows, применяя различные техники обфускации, такие как шестнадцатеричные строки, для сокрытия своей вредоносной природы. В частности, скрипт записывает полезную нагрузку PowerShell в переменную среды пользователя INTERNAL_IO_CACHE, а затем выполняет её через Инструментарий управления Windows (WMI), чтобы обеспечить скрытность за счёт удаления следов после выполнения.

В составе полезной нагрузки находится вредоносная динамическая библиотека Qt5Network.dll вместе со сжатыми и зашифрованными файлами данных, которые совместно функционируют как Hijackloader — загрузчик, часто используемый данной группой. Архитектура Hijackloader позволяет выполнять модульные операции и многократные инъекции, в результате чего конечная полезная нагрузка доставляется в легитимную программу, а именно PlaneMon.exe, в каталог %ALLUSERSPROFILE%.

Финальный полезный код, развернутый в этой кампании, — это троян удаленного управления Remcos, инструмент, изначально разработанный для легитимного удаленного администрирования, но широко эксплуатируемый киберпреступниками. Атакующие использовали версию 6.1.2 Pro Remcos, которая при запуске расшифровывает свою конфигурацию из файла ресурсов PE. Эта конфигурация включает сведения о доменах управления (C2), идентификаторы жертв и механизмы операций для таких действий, как выполнение команд, сбор информации о системе и аудионаблюдение. Начальный пакет данных, отправляемый на сервер C2, передает важную информацию о пользователе, включая имя пользователя системы, характеристики процессора и версию операционной системы.

Анализ показывает, что методы APT-C-36 тесно согласуются с предыдущими инцидентами, связанными с данной группой. Внедрение скриптов, сгенерированных с помощью искусственного интеллекта, представляет собой значительный технический прогресс, который, вероятно, сокращает время разработки и позволяет увеличить частоту и сложность атак. В связи с этим пользователям в целевых регионах, особенно тем, кто работает в уязвимых секторах, настоятельно рекомендуется усилить меры кибербезопасности для смягчения потенциальных угроз от этих эволюционирующих тактик.
#ParsedReport #CompletenessMedium
25-06-2026

NetMedved and the Summer Campaign Against Russian Organizations

https://habr.com/ru/companies/pt/articles/1050722/

Report completeness: Medium

Actors/Campaigns:
Netmedved

Threats:
Netsupportmanager_rat
Spear-phishing_technique

Victims:
Russian organizations, Procurement, Contracts, Document management

Geo:
Russian

TTPs:
Tactics: 5
Technics: 18

IOCs:
File: 11
Domain: 7
Registry: 6
Path: 1
IP: 5
Hash: 12

Soft:
Windows COM, Windows Task Scheduler

Algorithms:
aes-cbc, base64, aes-128-cbc, zip, aes

Functions:
Get-Command

Win API:
Base64

Win Services:
WebClient

Languages:
powershell, jscript, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 NetMedved and the Summer Campaign Against Russian Organizations https://habr.com/ru/companies/pt/articles/1050722/ Report completeness: Medium Actors/Campaigns: Netmedved Threats: Netsupportmanager_rat Spear…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка NetMedved запустила новую фишинг-кампанию против российских организаций, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Атака в основном использует LNK-файлы, замаскированные под запросы на закупки, для выполнения скриптов PowerShell, которые извлекают зашифрованные AES-пакеты с удаленных серверов. Кроме того, в качестве загрузчика используется ZIP-архив, содержащий вредоносный файл JScript, что повышает скрытность за счет прямого выполнения из скрипта без внешних вызовов, а также обеспечивает закрепление через модификации реестра Windows.
-----

Хакерская группировка NetMedved начала новую фишинг-кампанию, нацеленную на российские организации, используя поддельные документы на бизнес-тематику и инструмент удаленного администрирования NetSupport Manager. Эта кампания опирается на тактики, ранее применяемые группировкой, которые включали различные методы, такие как LNK-файлы, загрузчики PowerShell и скрипты, использующие команду `finger`, среди прочего.

В этой последней атаке LNK-файлы маскируются под запросы на закупку, а их имена файлов оформлены в профессиональном стиле, чтобы обмануть сотрудников, занимающихся управлением документами. После запуска эти LNK-файлы инициируют PowerShell-скрипт, который извлекает зашифрованные с помощью AES полезную нагрузку с удаленного сервера. Злоумышленники применяют сложные методы для сокрытия выполнения, используя `Get-Command` для динамического разрешения cmdlet `Invoke-Expression` и опираясь на COM-объект MSXML2.ServerXMLHTTP для получения полезной нагрузки, что позволяет обходить традиционные сигнатуры PowerShell, которые могут быть обнаружены при статическом анализе.

После выполнения файла LNK он подключается к удалённому серверу для получения встроенного зашифрованного PowerShell-скрипта, который затем расшифровывается с использованием AES-128-CBC. Расшифрованный этап действует как загрузчик, который скачивает ZIP-архив, содержащий NetSupportRAT, извлекает его и запускает из временной директории на машине жертвы. Угроза устанавливает закрепление, создавая запись автозапуска в реестре Windows, чтобы обеспечить запуск при входе пользователя.

Кроме того, был зафиксирован ещё один метод доставки, включающий ZIP-архив, содержащий вредоносный файл JScript. Файл JScript выступает в роли дроппера, выполняя команды Windows COM для декодирования и запуска встроенного документа-приманки, а одновременно с этим инициируя запуск NetSupportRAT на системе жертвы. Данный метод, по всей видимости, повышает скрытность, поскольку все компоненты содержатся внутри скрипта и не требуют внешних вызовов, которые могли бы спровоцировать срабатывание средств обнаружения.

Вариант JScript разделяет ключевые характеристики с предыдущими кампаниями 2024 года, что указывает на последовательный подход к операциям группы NetMedved. Последовательность наблюдается в тактиках социальной инженерии, механизмах доставки и развертывании того же RAT. Инфраструктура, лежащая в основе кампании, демонстрирует кластеризацию, при которой несколько доменов управления регистрируются одновременно, что свидетельствует о преднамеренной стратегии устойчивости и ротации доменов для поддержания вредоносной деятельности.
#ParsedReport #CompletenessMedium
25-06-2026

Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy

https://www.d3lab.net/breaking-out-of-chromes-sandbox-a-native-messaging-backdoor-observed-in-italy/

Report completeness: Medium

Threats:
Dll_sideloading_technique

Victims:
Italy

Geo:
Italy, Italian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.001, T1059.007, T1071.001, T1083, T1112, T1176, T1564.003, have more...

IOCs:
File: 9
BrowserExtension: 1
Registry: 3
Domain: 2
Hash: 4
IP: 1
Url: 1

Soft:
Chrome, Google Chrome

Algorithms:
md5, sha1, sha256

Languages:
powershell, php, javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 Breaking Out of Chrome’s Sandbox: A Native Messaging Backdoor Observed in Italy https://www.d3lab.net/breaking-out-of-chromes-sandbox-a-native-messaging-backdoor-observed-in-italy/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года вредоносная кампания нацелилась на итальянских пользователей через фишинговые письма, замаскированные под счета-фактуры, что привело к выполнению зашифрованного файла JavaScript, создавшего доверенный исполняемый файл и вредоносную DLL с помощью подгрузки DLL. Эта DLL запустила скрытый процесс PowerShell, обеспечив установку вредоносного расширения Chrome, которое использовало ключи политик Chrome для имитации авторизованного и применяло Native Messaging для выполнения команд вне песочницы браузера. Атака обеспечила удаленное выполнение команд, представляя значительные риски за счет использования легитимных технологий.
-----

В июне 2026 года была обнаружена вредоносная кампания, направленная против итальянских пользователей, которая использовала фишинговые письма, замаскированные под счета-фактуры. В письмах использовалась тема «Fattura #2819889242» и содержался документ, который выглядел как PDF-файл. Однако файл, который жертвы скачивали, представлял собой обфусцированный файл Windows JavaScript с именем Fattura-2819889242.pfd.js, а необычное расширение файла, вероятно, было создано для имитации расширения PDF.

После запуска через Windows Script Host файл JavaScript декодировал и создал два значимых файла во временной директории пользователя: легитимный исполняемый файл client_124578.exe от Epic Games и вредоносную библиотеку d3d11.dll. Это представляет собой технику подгрузки DLL (DLL side-loading), при которой доверенный исполняемый файл загружает вредоносную библиотеку из-за особенностей разрешения зависимостей в Windows. Библиотека d3d11.dll впоследствии запустила скрытый процесс PowerShell, который подготовил вредоносное расширение для Google Chrome и изменил настройки политик Chrome для облегчения установки расширения.

Вредоносное ПО использовало ключи политик Chrome, в частности ExtensionInstallAllowlist и ExtensionInstallSources, делая установку похожей на ту, что была авторизована администраторами. Хотя расширение работало в рамках разрешений браузера Chrome и не могло выполнять команды, такие как powershell.exe напрямую, использование Native Messaging предоставило способ обойти эти ограничения. Эта легитимная функция позволяет приложениям взаимодействовать с расширениями браузера, создавая мост, через который расширение могло инструктировать локальный хост выполнять команды PowerShell вне песочницы браузера.

Появились доказательства того, что расширение и хост Native Messaging образовывали бэкдор для удаленного управления: команды приводили к выводу содержимого каталогов, а результаты отправлялись через POST-запросы злоумышленникам. Комбинация компонентов использовала легитимные технологии, включая подписанные приложения, корпоративные расширения Chrome и Native Messaging, что представляет значительные риски при несанкционированном использовании.

Стратегии обнаружения для данного типа атак включают мониторинг необычных записей в ключах корпоративных политик Chrome и корреляцию изменений с процессами, такими как установка расширений Chrome и скрытые выполнения PowerShell. Расследования должны сосредоточиться на записях, ведущих к подключениям к localhost, а реагирование на инциденты должно не только удалять вредоносное расширение, но и устранять его регистрацию в Native Messaging, анализировать активность PowerShell и защищать затронутые сеансы браузера и учетные данные. Этот многогранный подход эффективно устраняет как уязвимости браузера, так и уязвимости базовой системы.
#ParsedReport #CompletenessMedium
25-06-2026

ShinyHunters’ 0-day attacks: After patching, find out if you were breached

https://www.intel471.com/blog/shinyhunters-0-day-attacks-after-patching-find-out-if-you-were-breached

Report completeness: Medium

Actors/Campaigns:
Shinyhunters
Fancy_bear
Sandworm

Threats:
Lolbin_technique
Meshcentral_tool
Devman
Meshagent_tool

Victims:
Education, Government, Commercial, European council

Industry:
Government, Education

CVEs:
CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.61, 8.62)


ChatGPT TTPs:
do not use without manual check
T1021.004, T1036, T1074, T1190, T1219, T1486

IOCs:
IP: 6
File: 3
Hash: 4
Domain: 1

Soft:
Microsoft Defender

Algorithms:
sha256

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 ShinyHunters’ 0-day attacks: After patching, find out if you were breached https://www.intel471.com/blog/shinyhunters-0-day-attacks-after-patching-find-out-if-you-were-breached Report completeness: Medium A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters эксплуатировали уязвимость несанкционированного удаленного выполнения кода (RCE) CVE-2026-35273 в системах PeopleSoft, затронувшую более 110 образовательных учреждений США и нацеленную на дополнительные сектора даже после выпуска патча Oracle. Группа использовала техники living-off-the-land, применяя MeshCentral, замаскированный под Microsoft Azure, для операций C2, и маскировала вредоносную активность под легитимный трафик, уклоняясь от обнаружения на этапе начальной эксплуатации. Расследования выявили истории команд, связанные с установками и SSH-перемещениями, подчеркивая важность ретроспективного обнаружения для выявления предыдущих нарушений, связанных с этим злоумышленником.
-----

ShinyHunters эксплуатирует критическую уязвимость удаленного выполнения кода (Удаленное Выполнение Кода) без аутентификации в PeopleSoft Enterprise PeopleTools, отслеживаемую как CVE-2026-35273, с конца мая 2026 года, продолжая свои атаки даже после того, как Oracle устранил уязвимость 10 июня 2026 года. По сообщениям, группа осуществила компрометацию 110 образовательных организаций США и нацелилась на дополнительные жертвы в государственном и коммерческом секторах, включая Европейский совет. Это подчеркивает необходимость для организаций быстро блокировать индикаторы компрометации (IOCs) и проверять исторические журналы на предмет предыдущих взаимодействий с этими IOCs.

Группа применяла тактику living-off-the-land для уклонения от обнаружения, используя такие инструменты, как MeshCentral, инструмент удаленного администрирования, замаскированный под службы Microsoft Azure для операций command-and-control. Их деятельность, вероятно, оставалась незамеченной на начальной фазе эксплуатации, поскольку они маскировали вредоносный трафик под легитимные облачные операции. Расследования, связанные с раскрытыми каталогами, привязанными к ShinyHunters, выявили имена файлов, такие как .bash_history, что указывает на использование предварительно сконфигурированных бинарных файлов агента Windows и истории команд, включавших установку сервера MeshCentral, попытки перемещение внутри компании по SSH и подготовку к возможной эксфильтрация данных.

Для помощи в выявлении любых исторических инцидентов, связанных с ShinyHunters, инструменты ретроспективного обнаружения угроз (Retroactive Threat Detection, RTD) могут автоматизировать создание запросов на основе индикаторов компрометации (IoC) для более чем 20 платформ, фокусируясь на индикаторах критической инфраструктуры. Пример включает проверку сетевых подключений к определенным IP-адресам, связанным с кампанией ShinyHunters, включая IP-адреса в диапазоне 142.11.200.186-190 и домен azurenetfiles.net. Мониторинг этих индикаторов может помочь определить, происходили ли какие-либо взаимодействия с известной инфраструктурой C2.

В ситуациях, когда запросы не выявляют никаких результатов, организации могут сделать вывод, что они, возможно, не пострадали. Однако активные меры обнаружения и реагирования, включая поведенческие охоты, остаются жизненно важными. Такие пакеты, разработанные охотниками за угрозами, позволяют аналитикам распознавать поведение ShinyHunters, несмотря на вариации индикаторов в разных атаках. Например, такие паттерны, как нестандартная SMB-коммуникация, были связаны с несколькими группами злоумышленников, что подчеркивает необходимость комплексного поведенческого подхода к пониманию и смягчению таких угроз.

Устранение уязвимостей решает непосредственные риски, но не проясняет факт предыдущих нарушений. Акцент на ретроспективном обнаружении позволяет организациям установить, подвергались ли они компрометации до устранения уязвимостей, и понять масштаб любого нарушения. Команды CTI и SOC, испытывающие нехватку ресурсов, получают выгоду от инструментов, которые упрощают анализ угроз, обеспечивая более быстрое реагирование на кампании, такие как ShinyHunters.
#ParsedReport #CompletenessHigh
25-06-2026

ESET takes part in Operation Endgame to disrupt Amadey and Stealc

https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/

Report completeness: High

Actors/Campaigns:
Plymouth

Threats:
Amadey
Stealc
Lumma_stealer
Danabot
Hvnc_tool
Supply_chain_technique
Process_injection_technique

Industry:
Entertainment, Energy

Geo:
United states, Italy, Poland, Turkey, America, Mexico, Spain, India, Egypt

TTPs:
Tactics: 10
Technics: 43

IOCs:
File: 2
Hash: 9
IP: 10
Domain: 1

Soft:
Telegram, Outlook, WinSCP

Crypto:
bitcoin

Algorithms:
rc4, base64, zip

Win API:
decompress

Links:
https://github.com/eset/malware-ioc/tree/master/amadey\_stealc
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 ESET takes part in Operation Endgame to disrupt Amadey and Stealc https://www.welivesecurity.com/en/eset-research/eset-takes-part-operation-endgame-disrupt-amadey-stealc/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET внесли вклад в операцию Operation Endgame, эффективно нарушив работу ботнета Amadey и стиллера Stealc, оба из которых функционируют по модели ВПО как услуга. Amadey действует как модульный загрузчик ВПО для доставки дополнительного вредоносного ПО и поддерживает эксфильтрацию данных, тогда как Stealc нацелен на чувствительную информацию, используя модель подписки для своих аффилиатов. Обе семьи вредоносного ПО используют различные протоколы связи; Amadey полагается на HTTP и трехэтапный жизненный цикл, тогда как Stealc применяет JSON в зашифрованных RC4-передачах, что усложняет усилия по нарушению работы из-за их взаимосвязанной инфраструктуры.
-----

Исследователи ESET сыграли ключевую роль в операции Endgame — глобальной инициативе, направленной на ликвидацию ботнета Amadey и стиллера Stealc, оба из которых используют модель ВПО как услуга (MaaS). Благодаря всестороннему техническому анализу и отслеживанию ESET смогло предоставить жизненно важную информацию, включая данные серверов управления (C&C), ключи шифрования и другие индикаторы угроз. В результате операции было прервано функционирование примерно 50 доменов и почти 200 активных серверов C&C, связанных с этими семействами ВПО, что значительно повлияло на их операционные возможности.

Amadey — это модульный загрузчик ВПО, предназначенный в первую очередь для распространения дополнительного ВПО, и обладающий возможностями эксфильтрации данных и удалённого доступа. Он работает по модели оплаты за пересборку, требуя от аффилированных лиц оплаты лицензий и дополнительных сборов при создании новых сборок, что подчёркивает индивидуальный контроль, которым каждый аффилированный участник обладает над своими методами заражения, которые обычно включают поддельные обновления программного обеспечения и загрузчики ВПО.

С другой стороны, Stealc — это более традиционный стиллер, нацеленный на чувствительные учетные данные и файлы на основе предопределенных шаблонов. Он предлагает своим аффилированным лицам модель подписки, позволяющую создавать неограниченное количество сборок, что снижает операционные затраты и упрощает процесс управления заражениями.

Протоколы связи обеих семей вредоносного ПО также выявляют различные операционные методологии. Amadey использует HTTP для взаимодействия с C&C, опираясь на трехэтапный жизненный цикл, включающий начальные маяки, регистрацию и получение задач, с использованием структурированных командных строк для инструкций. Stealc применяет модель связи на основе JSON, инкапсулированную в RC4-зашифрованные передачи, реагируя на конкретные команды, определяемые его конфигурацией.

Ключевым достижением ESET стала разработка метода кластеризации, позволяющего группировать образцы ВПО для улучшения отслеживания и выявления уязвимых мест для пресечения деятельности. Этот подход выявил различные взаимосвязанные кластеры в деятельности Amadey и Stealc, при этом некоторые кластеры демонстрировали высокий уровень координации между своими инфраструктурами. Важно отметить, что ESET отследила значительное количество кластеров в обеих экосистемах, что усложняет усилия по пресечению, поскольку отсутствует единая точка отказа.

Долгосрочное отслеживание и техническая экспертиза, предоставленные ESET, а также сотрудничество с правоохранительными органами и партнерами, внесли значительный вклад в пресечение операций, обеспечивающих функционирование Amadey и Stealc. Текущее наблюдение в рамках операции Operation Endgame направлено на мониторинг попыток потенциального возрождения этих семейств ВПО и предоставление своевременной разведывательной информации для противодействия будущим угрозам.
#ParsedReport #CompletenessMedium
25-06-2026

KimJongRAT Continues to Evolve by Leveraging LOTS

https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/

Report completeness: Medium

Actors/Campaigns:
Kimsuky
Scarcruft

Threats:
Kimjongrat
Meshagent_tool
Meshcentral_tool

Victims:
Users

Geo:
North korea, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1059.005, T1102.001, T1105, T1140, T1204.002, T1218.005, T1218.011, have more...

IOCs:
File: 8
Command: 7
Url: 4
IP: 2
Hash: 4

Soft:
Windows Defender, curl, Twitter

Algorithms:
aes, rc4, zip, base64

Win Services:
WinDefend

Languages:
powershell, vbscript, javascript