CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 25-06-2026 KimJongRAT Continues to Evolve by Leveraging LOTS https://sect.iij.ad.jp/blog/2026/06/continuous-evolution-of-kimjongrat-2026/ Report completeness: Medium Actors/Campaigns: Kimsuky Scarcruft Threats: Kimjongrat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2026 года северокорейская хакерская группировка Kimsuky запустила кампанию с использованием ВПО KimJongRAT, которое сочетает в себе функциональность стиллера и Троянской программы. Эта варианта использует GitHub для распространения своей полезной нагрузки через вредоносные URL-адреса, ведущие к ZIP-архивам, содержащим LNK-файлы, которые загружают HTA-файлы для дальнейшего выполнения ВПО. Примечательно, что теперь она динамически извлекает адреса серверов управления из внешних источников и может устанавливать инструмент удаленного мониторинга и управления MeshAgent для поддержания доступа даже в случае удаления основного ВПО, что иллюстрирует устойчивую эволюцию в стратегиях угроз.
-----

В мае 2026 года была выявлена новая кампания атак, в которой использовалась KimJongRAT — вредоносное ПО, связанное с северокорейской хакерской группировкой Kimsuky. Этот новейший вариант использует GitHub и другие платформы для распространения своей полезной нагрузки. KimJongRAT функционирует как гибридное ВПО, сочетающее в себе функции стиллера и Троянской программы (RAT), с момента своего первого появления в 2013 году. Атака характеризовалась многоэтапным потоком выполнения, который инициировался, когда целевой пользователь нажимал на вредоносную сокращенную ссылку в электронном письме, что приводило к загрузке ZIP-архива из GitHub Releases.

ZIP-файл содержит вредоносный LNK-файл, который при запуске использует легитимную команду Windows mshta для загрузки и выполнения HTA-файла с GitHub. HTA-файл затем запускает зашифрованный VBScript, который продолжает процесс заражения, загружая дополнительные компоненты вредоносного ПО с контролируемого аккаунта Google Drive. Если Windows Defender не работает, он загружает скрытые файлы, такие как user.txt и sys.log; в противном случае он извлекает зашифрованный ZIP-файл. Вредоносное ПО использует команды PowerShell для обработки расшифровки и выполнения последующих компонентов, включая полезную нагрузку, известную как KimJongRAT, которая имеет как DLL, так и PowerShell варианты.

Кроме того, вариант мая 2026 года вносит значительные изменения, динамически извлекая адреса серверов управления (управление) из внешних источников вместо их жёсткой привязки в коде, что повышает его устойчивость к блокировкам. Такая динамическая связь позволяет злоумышленникам адаптироваться без необходимости пересборки ВПО каждый раз при изменении адреса управления. Кроме того, обновлённая версия KimJongRAT получила возможность устанавливать инструмент удалённого мониторинга и управления (RMM) под названием MeshAgent, что направлено на обеспечение постоянного доступа к заражённым хостам даже в случае изоляции основного ВПО средствами защиты.

Несмотря на удаление с GitHub репозитория, содержащего эксплойт, 27 мая 2026 года злоумышленники оперативно создали новый репозиторий для продолжения своей деятельности, что указывает на устойчивую угрозу. В целом, эти эволюции демонстрируют стратегический сдвиг в сторону эксплуатации легитимных сервисов для размещения вредоносного программного обеспечения и выполнения атак — техника, которая всё чаще встречается в кампаниях, связанных с различными акторами, представляющими государства, особенно из Северной Кореи. Поскольку эти угрозы остаются актуальными, бдительность и проактивные стратегии защиты необходимы для потенциальных целей.
#ParsedReport #CompletenessLow
25-06-2026

Miasma Worm Infects Multiple LeoPlatform npm Packages

https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages

Report completeness: Low

Threats:
Miasma

Victims:
Leoplatform, Leoinsights, Software development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1059.007, T1078, T1195.001, T1550.001

IOCs:
File: 6
Hash: 7

Soft:
Dependabot, Kubernetes, HashiCorp Vault, curl, 1Password, OPENSSH

Algorithms:
ed25519, sha256, aes-128-gcm, sha1

Functions:
getBunPath, CreateEvent

Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 Miasma Worm Infects Multiple LeoPlatform npm Packages https://safedep.io/miasma-worm-hits-leoplatform-20-npm-packages Report completeness: Low Threats: Miasma Victims: Leoplatform, Leoinsights, Software development…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
24 июня 2026 года экосистема npm LeoPlatform была скомпрометирована вариантом червя Miasma после того, как злоумышленник получил доступ к токенам npm и GitHub одного из сопровождающих, что привело к выпуску вредоносных версий 20 пакетов. Зараженные пакеты выполняли полезную нагрузку во время установки, используя зашифрованные методы и маскированные рабочие процессы, которые эксплуатировали повышенные права для потенциального кражи учетных данных. Атака выявила уязвимости в управлении пакетами и рабочих процессах GitHub, позволив несанкционированное распространение кода и создав широкую угрозу для различных платформ.
-----

24 июня 2026 года экосистема npm LeoPlatform подверглась атаке с использованием варианта червя Miasma. Инцидент начался с того, что злоумышленник скомпрометировал токены npm и GitHub одного из сопровождающих, что привело к быстрой публикации зараженных версий 20 пакетов npm. Кроме того, в качестве оружия были использованы рабочие процессы GitHub Actions, замаскированные под Dependabot, которые были внедрены как минимум в три репозитория, связанные с скомпрометированной учетной записью.

Вредоносные обновления затронули 20 пакетов организации LeoPlatform / LeoInsights, идентифицированных по файлу binding.gyp, который инициировал загрузку вредоносного кода в процессе установки, тем самым избегая обнаружения сканерами скриптов жизненного цикла. Все зараженные пакеты имели одинаковый хеш SHA256, и хотя их полезная нагрузка была зашифрована с использованием уникальных значений шифра ROT и ключей AES-128-GCM, базовая функциональность оставалась согласованной во всех пакетах. К числу наиболее загружаемых затронутых пакетов относились leo-logger, leo-sdk и leo-aws, которые в совокупности имели около 13 600 загрузок в неделю. Напротив, четыре других пакета, поддерживаемых тем же оператором, остались нетронутыми, вероятно, из-за отсутствия стабильной версии релиза.

Метод заражения опирался на несколько ключевых тактик. Зараженные файлы package.json содержали зависимость от Bun, конкретно версии ^1.3.13, предназначенную для ситуаций, когда первоначальный процесс установки завершался неудачей. Такой подход указывает на стратегию обеспечения выполнения несанкционированного кода независимо от среды установки. В репозиториях GitHub скомпрометированных сопровождающих содержались поддельные рабочие процессы, которые использовали легитимные действия, одновременно извлекая несанкционированный код. Рабочий процесс эксплуатировал широкие разрешения, включая возможность записи id-token, что могло позволить злоумышленнику получить учетные данные для публикации в npm.

При анализе полезная нагрузка червя продемонстрировала возможности, аналогичные тем, что были задокументированы в более ранних исследованиях, что указывает на потенциальную возможность кражи учетных данных и других вредоносных действий. Примечательно, что регулярные выражения в полезной нагрузке предполагали, что она может извлекать конфиденциальную информацию, такую как токены аутентификации и закрытые ключи, усиливая свой самораспространяющийся характер на нескольких платформах, включая GitHub, AWS и различные инструменты конфигурации кода.

Это событие подчеркивает значительные риски, связанные с компрометацией учетных записей разработчиков, и необходимость строгих практик безопасности в управлении пакетами и рабочих процессах GitHub для снижения воздействия таких сложных атак.
#ParsedReport #CompletenessLow
25-06-2026

AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key

https://nsfocusglobal.com/ai-security-incident-case-jetbrains-plugin-supply-chain-attack-stealing-ai-key/

Report completeness: Low

Threats:
Supply_chain_technique
Glassworm

Victims:
Software developers, Jetbrains plugin market users, Ai service providers

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1071.001, T1195.002, T1528

IOCs:
File: 2
IP: 1

Soft:
Jetbrains, DeepSeek, OpenAI

Functions:
save, FindBugs
CTT Report Hub
#ParsedReport #CompletenessLow 25-06-2026 AI Security Incident Case: Jetbrains Plugin Supply Chain Attack Stealing AI Key https://nsfocusglobal.com/ai-security-incident-case-jetbrains-plugin-supply-chain-attack-stealing-ai-key/ Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года был обнаружен инцидент безопасности, связанный с 15 вредоносными плагинами на рынке плагинов JetBrains, которые были предназначены для эксфильтрации API-ключей пользователей на сервер, контролируемый злоумышленником, при сохранении. Атака использовала общую кодовую базу и стандартные процессы инициализации, эксплуатируя HTTP-протокол с открытым текстом для передачи ключей, что делало её незаметной и уязвимой для перехвата. Этот инцидент подчеркивает тревожную тенденцию атак на Цепочку поставок в инструментах разработки, обусловленную ростом инструментов на базе ИИ и необходимостью улучшения безопасности внутри экосистем плагинов.
-----

В июне 2026 года был выявлен значительный инцидент безопасности, связанный с коллекцией из 15 вредоносных плагинов на рынке плагинов JetBrains, суммарно насчитывающей около 70 000 установок. Эти плагины, ложно рекламировавшие такие функции, как автоматическое завершение кода с помощью ИИ и обнаружение ошибок, были разработаны для скрытой эксфильтрации API-ключей пользователей. После сохранения API-ключа плагин без уведомления отправлял эту конфиденциальную информацию на сервер, контролируемый злоумышленником. Эта вредоносная активность берёт начало в первоначальной версии данных плагинов, которая датируется октябрем 2025 года, при этом обновления продолжали выходить даже после их обнаружения.

Методология атаки опиралась на общую кодовую базу среди плагинов, предлагая не подозревающим ничего пользователям обычный процесс инициализации для ввода API-ключей от популярных сервисов, таких как OpenAI. В момент, когда пользователь нажимал «Применить» для сохранения своего API-ключа, ключ проверялся на соответствие формату и затем отправлялся через синхронный HTTP POST-запрос на жестко закодированный IP-адрес, что означало, что операция оставалась незаметной для пользователя. Этот подход эффективно позволял избегать традиционных аудитов безопасности за счет объединения операции кражи ключей со стандартными процессами конфигурации. Использование незашифрованного HTTP вместо HTTPS оставляло украденные ключи уязвимыми для перехвата в сетях, включая корпоративные интранеты.

Кроме того, злоумышленники создали систему распространения украденных API-ключей, что позволило им продавать нелегитимный доступ к ИИ-сервисам платящим клиентам. Эта модель представляет собой самодостаточную экосистему, в которой API-ключи, полученные от жертв, используются для обеспечения несанкционированного доступа к возможностям ИИ со стороны третьих лиц, тем самым создавая подпольную торговлю украденными учетными данными.

Риск, создаваемый плагинами для IDE, усиливается их встроенными правами безопасности; они работают в высокодоверенной среде, часто без песочницы и с широким доступом к файловой системе и сети. Отсутствие ограничивающих контролей делает их особенно уязвимыми для атак на Цепочка поставок. Хотя рынок плагинов JetBrains внедряет процесс ручного обзора, сложность вредоносного кода может легко избежать обнаружения, поскольку он может быть встроен в нормально функционирующие функции.

Последствия этого инцидента отражают более широкую тенденцию в экосистеме инструментов разработки, характеризующуюся серией атак на Цепочку поставок на различных платформах, включая npm и VS Code. По мере распространения использования ИИ-инструментов критически важной становится необходимость усиления проверки безопасности внутри экосистем плагинов и повышения осведомленности разработчиков об этих угрозах.
#ParsedReport #CompletenessHigh
26-06-2026

When Three Threats Meet One Inbox Against Japan

https://ransom-isac.org/blog/three-threats-one-inbox-japan

Report completeness: High

Actors/Campaigns:
Smishing_triad (motivation: cyber_espionage)
Mirrorface (motivation: cyber_espionage)
Stone_panda (motivation: cyber_espionage)

Threats:
Cogui
Darcula_tool
Spear-phishing_technique
Noopdoor
Supply_chain_technique
Anel
Lodeinfo
Dll_sideloading_technique
Aitm_technique
Lighthouse_tool
Smishing_technique
Roamingmouse
Asyncrat

Victims:
Japan, Financial services, Electronic commerce, Payments, Logistics, Utilities, Government, Defense, Think tanks, Research institutions, have more...

Industry:
Semiconductor_industry, E-commerce, Logistic, Financial, Government

Geo:
China, Singapore, Japan, Tokyo, Chinese, Japanese

TTPs:
Tactics: 2
Technics: 3

IOCs:
Domain: 382
IP: 4
Hash: 77
File: 68

Soft:
Telegram, iMessage, Chrome

Algorithms:
zip, sha256

Functions:
getState

Languages:
javascript

Platforms:
apple

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 26-06-2026 When Three Threats Meet One Inbox Against Japan https://ransom-isac.org/blog/three-threats-one-inbox-japan Report completeness: High Actors/Campaigns: Smishing_triad (motivation: cyber_espionage) Mirrorface (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иск по закону RICO, поданный Google в конце 2025 года, выявил китайскую киберпреступную сеть, использующую модель фишинг как услуга (PhaaS), нацеленную на японских пользователей и связанную с компрометацией около 115 миллионов кредитных карт. Сеть состоит из трех кластеров злоумышленников: CoGUI, специализирующегося на фишинге по электронной почте; Smishing Triad, использующего платформы SMS для атак, нацеленных на конкретные бренды; и MirrorFace, связанной с государственной шпионской деятельностью через продвинутый целевой фишинг. Эти угрозы указывают на сложную картину, эксплуатирующую экономические уязвимости Японии, что требует улучшения мониторинга атак.
-----

В конце 2025 года федеральный иск по закону RICO, поданный Google, раскрыл китайскую киберпреступную сеть, работающую по модели Фишинг как услуга (PhaaS), в которой фигурируют несколько злоумышленников, нацеленных на японских пользователей через различные каналы. Эта сеть была связана с компрометацией примерно 115 миллионов кредитных карт в numerous странах, что вызвало обеспокоенность в отношении системных киберугроз, направленных против экономической ситуации в Японии, особенно в ее финансовом и производственном секторах.

Япония стала фокусом киберпреступной активности из-за своей значительной экономики, обширной потребительской базы и культурных особенностей, которые препятствуют публичным раскрытиям инцидентов. Схождение трех различных кластеров киберакторов — CoGUI, Smishing Triad и MirrorFace — подчеркивает сложную угрожающую среду. CoGUI проводит высокообъемные кампании целевого фишинга по электронной почте, направленные на кражу учетных данных и номеров кредитных карт, используя сложные техники уклонения путем профилирования жертв на основе геолокации, типа браузера и характеристик устройства. Smishing Triad эксплуатирует платформы SMS, в основном iMessage, применяя фишинговые тактики, специфичные для брендов, для доставки вредоносного контента. Ее операции, подкрепленные подписной моделью для функций анти-обнаружения, позволяют быстро изменять инфраструктуру в ответ на меры безопасности. MirrorFace, в свою очередь, связана с китайской государственной шпионской деятельностью, нацеленной на высокоценные объекты, такие как оборонные подрядчики и исследовательские институты, через продвинутые техники целевого фишинга, которые используют местный язык и контекст.

С точки зрения защиты существует острая необходимость в устойчивости к этим многослойным угрозам, действующим одновременно, поскольку сотрудники таких секторов, как финансы, могут столкнуться с попытками со стороны всех трех акторов в течение одной недели, часто не осознавая наличия пересекающихся кампаний. В дальнейшем аналитики подозревают наличие элемента «локализация как услуга» (LaaS), влияющего на эти операции, где японская языковая экспертиза и стратегии контента разделяются между различными операторами, что усиливает уязвимость Японии. Следовательно, организациям необходимо сосредоточиться на выявлении поведенческих индикаторов, а не полагаться исключительно на эфемерные домены и IP-адреса, которые часто меняются в рамках наступательных стратегий этих киберпреступников. Это включает мониторинг специфических шаблонов трафика и предназначенных механизмов фильтрации, которые выделяют операционные архитектуры и намерения злоумышленников.
#ParsedReport #CompletenessHigh
26-06-2026

Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT Deployment

https://www.seqrite.com/blog/operation-dragonreturn-china-nexus-cyber-espionage-campaign-targeting-govt-of-india-mof-tax-infrastructure-via-multi-stage-dcrat-deployment/

Report completeness: High

Actors/Campaigns:
Dragonreturn (motivation: financially_motivated, information_theft, cyber_espionage)
Silver_fox

Threats:
Dcrat
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Uac_bypass_technique

Victims:
Government tax infrastructure, Indian taxpayers, Tax professionals, Corporate finance teams

Industry:
Telco, Government, Financial

Geo:
India, Burma, Asian, Indian, China

TTPs:
Tactics: 8
Technics: 27

IOCs:
Url: 1
File: 20
IP: 6
Domain: 3
Hash: 34

Soft:
Windows Service, Windows Media Player, Windows Defender, NET Framework

Algorithms:
aes, zip, xor

Functions:
injection_initialize, injection_terminate, fgetc_nolock, sub_1800015A0, sub_180001000, sub_1400011E0, CLRCreateInstance

Win API:
WinMain, VirtualAlloc, CheckTokenMembership, ShellExecuteW, GetTickCount64, LoadLibraryA, GetProcAddress, CreateToolhelp32Snapshot, WTSEnumerateSessionsW, GetModuleHandleA, have more...
CTT Report Hub
#ParsedReport #CompletenessHigh 26-06-2026 Operation DragonReturn: China-Nexus Cyber Espionage Campaign Targeting Govt. of India/MoF Tax Infrastructure via Multi-Stage DcRAT Deployment https://www.seqrite.com/blog/operation-dragonreturn-china-nexus-cyber…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция DragonReturn — это кампания кибершпионажа, приписываемая актору, связанному с Китаем, и направленная против финансовой инфраструктуры Индии. В ней используются сложные тактики целевого фишинга с вредоносными вложениями, имитирующими официальное налоговое программное обеспечение, что запускает многоэтапный процесс внедрения ВПО, обеспечивающее закрепление через Служба Windows под названием MixedSvc. Вредоносное ПО обладает продвинутыми техниками уклонения, включая антивспомогательные механизмы, динамическое выполнение полезной нагрузки и зашифрованную связь с серверами C2, что позволяет осуществлять эксфильтрацию данных и непрерывную разведку.
-----

Операция DragonReturn — это сложная кампания кибершпионажа, приписываемая злоумышленнику, связанному с Китаем, нацеленная на финансовую и налоговую инфраструктуру правительства Индии. Операция началась 18 мая 2026 года и продолжает активно поддерживаться, применяя передовые тактики, соответствующие тем, которые ранее наблюдались среди кластеров злоумышленников, связанных с Китаем. Кампания в основном использует тщательно составленные письма целевого фишинга, предназначенные для имперсонации Департамента подоходного налога Индии, и направленные на налогоплательщиков и налоговых специалистов. Эти письма сопровождаются вредоносными вложениями, которые тесно имитируют официальное программное обеспечение для налоговых утилит, что затрудняет обнаружение даже для внимательных пользователей.

Развертывание ВПО использует многоэтапный процесс, инициируемый ZIP-архивом, названным аналогично легальному программному обеспечению для подачи налоговой декларации. После запуска это вредоносное ПО создает Служба Windows под названием MixedSvc, выполняя Маскировка под легитимный компонент для обеспечения закрепления на зараженной машине. Эта служба настроена на автоматический запуск при загрузке системы, тем самым обеспечивая долгосрочный доступ. ВПО включает сложные техники уклонения, такие как проверка административных привилегий, антианалитическое поведение для избежания обнаружения в средах песочницы и использование обертывания внутри кажущихся безобидными файлов (например, файл изображения с именем background.jpg) для сокрытия вторичных полез

ВПО использует продвинутые методы обфускации и антианализа, включая отключение интерфейса сканирования Windows AntiMalware (AMSI) и выполнение обширных проверок для обеспечения того, что оно не работает в виртуализированной среде. Оно расшифровывает встраиваемую полезную нагрузку динамически и выполняет её непосредственно в памяти без записи на диск, что повышает скрытность. Основная функциональность включает возможность загрузки дополнительных полезной нагрузки, установления зашифрованных каналов связи с серверами управления (управление) и проведения разведки для сбора конфиденциальной информации об зараженной инфраструктуре.

Дополнительные функции вредоносного ПО включают систематический захват активности экрана и эксфильтрацию данных на сервер C2 через каналы, зашифрованные с помощью TLS. Фреймворк связи позволяет выполнять несколько вредоносных компонентов, вероятно включая бэкдоры и инструменты сбора учетных записей, с целью поддержания непрерывного доступа к ценным данным в целевой инфраструктуре.

Операционная инфраструктура была прослежена до IP-адресов, связанных с китайскими хостинг-провайдерами, что способствовало оценке происхождения кампании. Быстрая итерация и ротация полезной нагрузки с показателем обнаружения 0/66 на VirusTotal указывают на хорошо финансируемого и ресурсного противника, способного быстро адаптироваться к контрмерам. По состоянию на 17 июня 2026 года операция продолжается, что подчеркивает значительную угрозу для налоговой и финансовой систем Индии, усиленную постоянными усилиями по эксплуатации конкретных высокоценных целей в критические периоды подачи налоговых деклараций. Очевидная цель заключается в обеспечении долгосрочного скрытого доступа для сбора разведданных и эксфильтрации данных.
#ParsedReport #CompletenessHigh
25-06-2026

STOCKSTAY Another Day: The Latest Addition to Turla’s Intelligence Gathering Apparatus

https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering/

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage, government_sponsored)
Uac-0194
Diamondback
Chikenfresh

Threats:
Stockstay
Kazuar
Stockbroker
Tunneler
Stockmarket
Marketmaker
K1morpher
Junk_code_technique
Wildday
Spear-phishing_technique

Victims:
Government organizations, Military organizations, Ministries of foreign affairs, Defense organizations, Entities interested in italian foreign policy, Ukraine, Italy, Europe

Industry:
Transport, Healthcare, Military, Government, Education

Geo:
Ukrainian, Russian, Italy, Poland, Jordan, Russia, Netherlands, Italian, Ukraine, Germany, Asia, United states

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


ChatGPT TTPs:
do not use without manual check
T1012, T1021.001, T1027, T1027.016, T1036, T1036.005, T1059.001, T1071.001, T1082, T1083, have more...

IOCs:
File: 11
Path: 1
Url: 9
Hash: 51
Domain: 5

Soft:
Windows registry, WordPress, WinRAR

Wallets:
coinbase, bybit

Crypto:
binance

Algorithms:
zip, base64, xor, fnv1-a

Functions:
renameAndRunFile, function, GetSystemProxy, GetDataTrade, GetDataNews, GetFiles

Win API:
STOCKBROKER, STOCKMARKET, STOCKTRADER, MARKETMAKER, NET

Languages:
jscript, python, dotnet, javascript, powershell

Platforms:
intel

YARA: Found

Links:
https://github.com/sta/websocket-sharp
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 STOCKSTAY Another Day: The Latest Addition to Turla’s Intelligence Gathering Apparatus https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering/ Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор STOCKSTAY — это сложный инструмент кибершпионажа, приписываемый связанному с Россией злоумышленнику Turla, нацеленному на государственные и военные сектора, особенно в Украине. Он использует многокомпонентную архитектуру для обеспечения функциональности, включая модули для связи через WebSocket и управления конфигурацией, а также техники обфускации для уклонения от обнаружения. Методы развертывания эволюционировали, чтобы включать тактики фишинга с вредоносными файлами RDP и использование скомпрометированных легитимных сервисов, что подчеркивает адаптивность Turla в операциях против чувствительных целей.
-----

Бэкдор STOCKSTAY, идентифицированный Группой разведки угроз Google (GTIG) как инструмент кибершпионажа, разработанный связанным с Россией злоумышленником Turla, постоянно улучшается с момента первоначального развертывания в конце 2022 года. Это ВПО нацелено на правительственные и военные организации, особенно в Украине, и демонстрирует значительные сходства в коде с набором инструментов KAZUAR от Turla. STOCKSTAY работает через многокомпонентную архитектуру, состоящую из различных модулей, которые обеспечивают связь и функциональность ВПО.

Основными компонентами STOCKSTAY являются STOCKSTAY.STOCKBROKER — прокси-ориентированный туннелизатор, управляющий связью с серверами управления (управление) через WebSocket-соединения, и STOCKSTAY.STOCKMARKET, выступающий в качестве точки оркестровки ВПО, обрабатывающей конфигурацию и выполнение команд. Файлы конфигурации, созданные для имитации легитимных, содержат зашифрованные данные, критически важные для поддержания функционирования ВПО, такие как сведения о сервере управления. Эти файлы используют использование ключей на основе окружения, благодаря чему механизм дешифрования привязан к конкретному хосту или сети, что усложняет обнаружение ВПО.

Методы развертывания STOCKSTAY эволюционировали, включая тактики фишинга с использованием вредоносных файлов конфигурации RDP для установления соединений с инфраструктурой актора. Например, GTIG наблюдал фишинговые письма, якобы от академических учреждений, которые содержали вложения в виде файлов RDP, что позволяло развернуть ВПО после успешных соединений. Кроме того, ВПО было связано с использованием скомпрометированных легитимных сервисов для размещения вредоносных загрузок.

Недавние обновления STOCKSTAY включают внедрение техники обфускации строк K1MORPHER, повышающей его возможности по уклонению от средств обнаружения. Эта техника опирается на алгоритм генерации псевдослучайных чисел, который способствует динамической обфускации различных типов данных в коде ВПО.

STOCKSTAY демонстрирует характерный шаблон развертывания, часто совпадающий с нацеливанием на украинские организации на фоне продолжающихся политических напряжений с Россией. Операционные методы злоумышленника также распространяются на нацеливание на европейские структуры, особенно те, которые имеют интересы в сфере внешних связей, хотя эти операции подтверждаются реже. Общая архитектура и эволюционирующий характер STOCKSTAY подчеркивают постоянную сложность кибершпионских усилий Turla, отражая их давние тактики и адаптивность при нацеливании на чувствительные государственные структуры.