CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 Inside Kimsuky’s CHM Tradecraft: Multi-Stage Execution and Selective Payload Delivery https://blog.synapticsystems.de/inside-kimsukys-chm-tradecraft-multi-stage-execution-and-selective-payload-delivery/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник Kimsuky использует многоэтапную стратегию ВПО, применяя скомпрометированный CHM-файл, маскирующийся под легитимный документ, и нацеленный на лиц, говорящих на корейском языке. ВПО, идентифицируемое по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, выполняет скрипт PowerShell, который инкапсулирует вредоносный VBScript, обеспечивает закрепление через запланированные задачи и модификации реестра, а также взаимодействует с сервером управления для сбора системных данных в целях сбора разведывательной информации.
-----
Анализ выделяет многоэтапную стратегию выполнения ВПО, применяемую злоумышленником Kimsuky, с использованием скомпрометированного файла CHM (Скомпилированная справка HTML). Первоначальный образец, идентифицированный по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, запускает серию вредоносных процессов для закрепления, разведки и выборочной доставки полезной нагрузки. Файл CHM отображает то, что кажется легитимным документом, связанным с политикой Северной Кореи, служа приманкой для привлечения корейскоязычных целей.
При запуске CHM-файл инициирует скрытое выполнение PowerShell-скрипта. Этот скрипт декодирует встроенное содержимое в формате Base64, создавая файл с именем Link.ini, который обрабатывается wscript.exe как VBScript. Этот начальный полезный модуль связывается с сервером управления (command-and-control) по адресу acnms.dmdoc.dynv6.net, обеспечивая профилирование хоста посредством различных задач перечисления системы и процессов. Он собирает данные о конфигурации системы, запущенных процессах и структуре каталогов, которые затем эксфильтруются на другой конечный узел, обозначенный как finalservice.php.
ВПО обеспечивает закрепление путем создания запланированной задачи, связанной с Edge Updater, которая запускает вторичный загрузчик через определенные интервалы времени путем выполнения другого VBScript, сохраненного с вводящим в заблуждение расширением .ini. Механизм закрепления использует специфические изменения реестра для сокрытия своего присутствия и обеспечения непрерывной работы. Кроме того, архитектура ВПО позволяет осуществлять выборочную доставку полезной нагрузки; ответы от C2-сервера могут варьироваться в зависимости от таких критериев, как географическое положение или состояние системы, что потенциально позволяет избегать обнаружения.
Операции Kimsuky согласуются с ранее наблюдаемыми методиками в распространении CHM-файлов, которые ранее связывались с целями сбора информации с скомпрометированных систем. Данный анализ выявляет сложность тактик Kimsuky, которые используют социальную инженерию через приманки в контенте и надежные технические фреймворки для выполнения и закрепления, с основной целью сбора разведданных с целевых систем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник Kimsuky использует многоэтапную стратегию ВПО, применяя скомпрометированный CHM-файл, маскирующийся под легитимный документ, и нацеленный на лиц, говорящих на корейском языке. ВПО, идентифицируемое по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, выполняет скрипт PowerShell, который инкапсулирует вредоносный VBScript, обеспечивает закрепление через запланированные задачи и модификации реестра, а также взаимодействует с сервером управления для сбора системных данных в целях сбора разведывательной информации.
-----
Анализ выделяет многоэтапную стратегию выполнения ВПО, применяемую злоумышленником Kimsuky, с использованием скомпрометированного файла CHM (Скомпилированная справка HTML). Первоначальный образец, идентифицированный по хешу SHA256 0efbd18c77479b458078521c18bdad84852b71250122a17cb8105c10d3df38d4, запускает серию вредоносных процессов для закрепления, разведки и выборочной доставки полезной нагрузки. Файл CHM отображает то, что кажется легитимным документом, связанным с политикой Северной Кореи, служа приманкой для привлечения корейскоязычных целей.
При запуске CHM-файл инициирует скрытое выполнение PowerShell-скрипта. Этот скрипт декодирует встроенное содержимое в формате Base64, создавая файл с именем Link.ini, который обрабатывается wscript.exe как VBScript. Этот начальный полезный модуль связывается с сервером управления (command-and-control) по адресу acnms.dmdoc.dynv6.net, обеспечивая профилирование хоста посредством различных задач перечисления системы и процессов. Он собирает данные о конфигурации системы, запущенных процессах и структуре каталогов, которые затем эксфильтруются на другой конечный узел, обозначенный как finalservice.php.
ВПО обеспечивает закрепление путем создания запланированной задачи, связанной с Edge Updater, которая запускает вторичный загрузчик через определенные интервалы времени путем выполнения другого VBScript, сохраненного с вводящим в заблуждение расширением .ini. Механизм закрепления использует специфические изменения реестра для сокрытия своего присутствия и обеспечения непрерывной работы. Кроме того, архитектура ВПО позволяет осуществлять выборочную доставку полезной нагрузки; ответы от C2-сервера могут варьироваться в зависимости от таких критериев, как географическое положение или состояние системы, что потенциально позволяет избегать обнаружения.
Операции Kimsuky согласуются с ранее наблюдаемыми методиками в распространении CHM-файлов, которые ранее связывались с целями сбора информации с скомпрометированных систем. Данный анализ выявляет сложность тактик Kimsuky, которые используют социальную инженерию через приманки в контенте и надежные технические фреймворки для выполнения и закрепления, с основной целью сбора разведданных с целевых систем.
#ParsedReport #CompletenessHigh
29-06-2026
Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON
https://www.acronis.com/en/tru/posts/mustang-panda-targets-indias-government-and-energy-sectors/
Report completeness: High
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Zohomurk
Minirecon
Shardloader
Dll_sideloading_technique
Toneshell
Shadowpad
Spear-phishing_technique
Victims:
Government, Hydropower, Energy
Industry:
Government, Energy, Critical_infrastructure
Geo:
India, Myanmar, Taiwanese, Indian, China, Taiwan
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1016.001, T1027, T1036.005, T1053.005, T1071.001, T1082, T1102.002, T1140, T1204.002, T1547.001, have more...
IOCs:
File: 16
Url: 1
Coin: 1
Domain: 1
IP: 2
Hash: 8
Soft:
twitter, WinHTTP, Task Scheduler
Algorithms:
sha256, xor, rc4, zip, prng
Functions:
GetSPApp
Win API:
CreateEventW, EnumSystemLocalesA, CoCreateInstance, GetLocalTime, QueryPerformanceCounter, GetComputerNameA
Languages:
python
Platforms:
x64
29-06-2026
Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON
https://www.acronis.com/en/tru/posts/mustang-panda-targets-indias-government-and-energy-sectors/
Report completeness: High
Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Threats:
Zohomurk
Minirecon
Shardloader
Dll_sideloading_technique
Toneshell
Shadowpad
Spear-phishing_technique
Victims:
Government, Hydropower, Energy
Industry:
Government, Energy, Critical_infrastructure
Geo:
India, Myanmar, Taiwanese, Indian, China, Taiwan
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016.001, T1027, T1036.005, T1053.005, T1071.001, T1082, T1102.002, T1140, T1204.002, T1547.001, have more...
IOCs:
File: 16
Url: 1
Coin: 1
Domain: 1
IP: 2
Hash: 8
Soft:
twitter, WinHTTP, Task Scheduler
Algorithms:
sha256, xor, rc4, zip, prng
Functions:
GetSPApp
Win API:
CreateEventW, EnumSystemLocalesA, CoCreateInstance, GetLocalTime, QueryPerformanceCounter, GetComputerNameA
Languages:
python
Platforms:
x64
Acronis
Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON
Acronis Threat Research Unit (TRU) has been tracking two concurrent campaigns orchestrated by Mustang Panda targeting Indian government entities, delivering new malware implants and abusing Zoho WorkDrive, a legitimate cloud storage platform commonly used…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 Mustang Panda targets India's government and energy sectors with ZOHOMURK and MINIRECON https://www.acronis.com/en/tru/posts/mustang-panda-targets-indias-government-and-energy-sectors/ Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mustang Panda, злоумышленник, связанный с государством, осуществляет кампании шпионажа против правительственных структур и энергетического сектора Индии, уделяя особое внимание гидроэнергетике и партнёрствам с Тайванем. Они используют легитимный облачный сервис Zoho WorkDrive и развёртывают набор вредоносного ПО, включающий SHARDLOADER, ZOHOMURK и MINIRECON, при этом SHARDLOADER функционирует как загрузчик DLL, обеспечивающий закрепление с помощью таких техник, как подгрузка DLL. Оба внедрённых модуля занимаются эксфильтрацией данных и удалённым выполнением, применяя методы противодействия анализу и используя легитимные приложения для маскировки вредоносной активности.
-----
Mustang Panda, злоумышленник, связанный с государством, нацелен на правительственные структуры и энергетический сектор Индии, уделяя особое внимание гидроэнергетической отрасли и партнёрствам с Тайванем.
Группа использует облачную платформу хранения данных Zoho WorkDrive для развертывания нового ВПО, включая SHARDLOADER, ZOHOMURK и MINIRECON.
SHARDLOADER — это загрузчик на основе DLL, использующий закрепление и техники подгрузки DLL для развертывания ZOHOMURK и MINIRECON.
SHARDLOADER v1.0 и v1.1 используют сложную цепочку выполнения, опираясь на легитимные приложения, такие как Solid PDF Creator, для запуска вредоносных DLL-файлов во время запуска системы.
Этот загрузчик создает скрытые каталоги для закрепления и манипулирует функциями ОС для сокрытия вредоносной деятельности.
ZOHOMURK функционирует как C2-имплант, использующий Zoho WorkDrive для эксфильтрации данных и выполнения удалённых задач, обеспечивая устойчивый цикл C2-коммуникации.
ZOHOMURK использует техники противодействия анализу и генерирует уникальные идентификаторы жертв на основе атрибутов системы для повышения скрытности.
В рамках кампании II вариант SHARDLOADER доставляется через ZIP-архив с использованием механизма-дропера для развертывания дополнительных файлов, включая модифицированный Citrix Receiver для подгрузки ZOHOMURK.
Механизм закрепления этой кампании использует Планировщик задач Windows для обеспечения выживаемости внедрения после перезагрузок.
Связь MINIRECON осуществляется по протоколу WebSocket с использованием самоподписанных сертификатов, что обеспечивает скрытые операции управления.
Индикаторы общего происхождения разработки включают жестко закодированные учетные данные OAuth, скрытые атрибуты ВПО и повторяющиеся опечатки в коде, что указывает на согласованность с интересами Китая.
Стейкхолдеры в государственном и энергетическом секторах должны проявлять осторожность в отношении атак целевой фишинг с использованием геополитических тем и быть осведомлены о злонамеренном использовании облачных сервисов для операций C2.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mustang Panda, злоумышленник, связанный с государством, осуществляет кампании шпионажа против правительственных структур и энергетического сектора Индии, уделяя особое внимание гидроэнергетике и партнёрствам с Тайванем. Они используют легитимный облачный сервис Zoho WorkDrive и развёртывают набор вредоносного ПО, включающий SHARDLOADER, ZOHOMURK и MINIRECON, при этом SHARDLOADER функционирует как загрузчик DLL, обеспечивающий закрепление с помощью таких техник, как подгрузка DLL. Оба внедрённых модуля занимаются эксфильтрацией данных и удалённым выполнением, применяя методы противодействия анализу и используя легитимные приложения для маскировки вредоносной активности.
-----
Mustang Panda, злоумышленник, связанный с государством, нацелен на правительственные структуры и энергетический сектор Индии, уделяя особое внимание гидроэнергетической отрасли и партнёрствам с Тайванем.
Группа использует облачную платформу хранения данных Zoho WorkDrive для развертывания нового ВПО, включая SHARDLOADER, ZOHOMURK и MINIRECON.
SHARDLOADER — это загрузчик на основе DLL, использующий закрепление и техники подгрузки DLL для развертывания ZOHOMURK и MINIRECON.
SHARDLOADER v1.0 и v1.1 используют сложную цепочку выполнения, опираясь на легитимные приложения, такие как Solid PDF Creator, для запуска вредоносных DLL-файлов во время запуска системы.
Этот загрузчик создает скрытые каталоги для закрепления и манипулирует функциями ОС для сокрытия вредоносной деятельности.
ZOHOMURK функционирует как C2-имплант, использующий Zoho WorkDrive для эксфильтрации данных и выполнения удалённых задач, обеспечивая устойчивый цикл C2-коммуникации.
ZOHOMURK использует техники противодействия анализу и генерирует уникальные идентификаторы жертв на основе атрибутов системы для повышения скрытности.
В рамках кампании II вариант SHARDLOADER доставляется через ZIP-архив с использованием механизма-дропера для развертывания дополнительных файлов, включая модифицированный Citrix Receiver для подгрузки ZOHOMURK.
Механизм закрепления этой кампании использует Планировщик задач Windows для обеспечения выживаемости внедрения после перезагрузок.
Связь MINIRECON осуществляется по протоколу WebSocket с использованием самоподписанных сертификатов, что обеспечивает скрытые операции управления.
Индикаторы общего происхождения разработки включают жестко закодированные учетные данные OAuth, скрытые атрибуты ВПО и повторяющиеся опечатки в коде, что указывает на согласованность с интересами Китая.
Стейкхолдеры в государственном и энергетическом секторах должны проявлять осторожность в отношении атак целевой фишинг с использованием геополитических тем и быть осведомлены о злонамеренном использовании облачных сервисов для операций C2.
#ParsedReport #CompletenessLow
29-06-2026
Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory
https://kudelskisecurity.com/research/klue-supply-chain-compromise-and-crm-data-exfiltration-incident-advisory
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Klue, Customer integrations, Crm systems, Salesforce, Sales platforms, Collaboration platforms
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1195.002, T1199, T1213, T1528, T1550.001, T1567
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
29-06-2026
Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory
https://kudelskisecurity.com/research/klue-supply-chain-compromise-and-crm-data-exfiltration-incident-advisory
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Klue, Customer integrations, Crm systems, Salesforce, Sales platforms, Collaboration platforms
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1195.002, T1199, T1213, T1528, T1550.001, T1567
IOCs:
IP: 4
Soft:
Salesforce, HubSpot, Zoom, Slack
Kudelskisecurity
Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory - Kudelski Security Research Center
Jun 19, 2026 - Kudelski Security Team -
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2026 Klue Supply Chain Compromise and CRM Data Exfiltration Incident Advisory https://kudelskisecurity.com/research/klue-supply-chain-compromise-and-crm-data-exfiltration-incident-advisory Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака на цепочку поставок программного обеспечения против Klue использовала спящие учетные данные для получения доступа к его бэкенду, что позволило злоумышленнику развернуть вредоносный код для сбора OAuth-токенов. Это дало возможность атакующему запрашивать данные из клиентских CRM-систем, таких как Salesforce, в результате чего произошла эксфильтрация конфиденциальных бизнес-данных. Инцидент демонстрирует цепную компрометацию цепочки поставок, подчеркивая уязвимости в интеграциях клиентов и несанкционированном доступе к нескольким платформам нижестоящего уровня.
-----
Недавний инцидент, связанный с атакой на цепочку поставок программного обеспечения против платформы рыночной аналитики Klue, выявил значительные уязвимости в интеграциях клиентов, приведшие к несанкционированному доступу к данным и эксфильтрации из различных последующих SaaS-приложений, особенно CRM-систем.
Атака началась с того, что злоумышленник использовал давно неактивные учетные данные, связанные с внутренней средой Klue, что позволило ему получить первоначальный доступ. Оказавшись внутри, актор развернул вредоносный код, специально разработанный для сбора токенов OAuth, которые обеспечивают подключение между Klue и его сторонними интеграциями. Эти токены имеют решающее значение для аутентификации и управления доступом к данным между системами.
Успешно собрав эти OAuth-токены, злоумышленник выполнил запросы к CRM-системам клиентов, что позволило получить доступ к нескольким подключенным платформам. В их число вошли такие известные сервисы, как Salesforce, из которых были эксфильтрованы различные наборы данных. Включенные данные содержали структурированную бизнес-информацию, такую как контакты, детали ценообразования, коммерческие коммуникации и внутренние заметки. Этот инцидент является примером цепной Компрометации цепочки поставок, где эксплуатация единственного отказа интеграции на верхнем уровне привела к масштабному несанкционированному доступу в многочисленных средах нижнего уровня.
После этого инцидента рекомендуется проявлять бдительность в отношении потенциальной утечки данных. Организациям рекомендуется отслеживать почтовые системы на предмет сообщений, связанных с вымогательством, и сохранять любые подозрительные письма для дальнейшего криминалистический анализ. Кроме того, системные администраторы должны быть начеку в отношении индикаторов компрометация, связанных с несанкционированным доступом, особенно в отношении экспортов данных CRM или Salesforce.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака на цепочку поставок программного обеспечения против Klue использовала спящие учетные данные для получения доступа к его бэкенду, что позволило злоумышленнику развернуть вредоносный код для сбора OAuth-токенов. Это дало возможность атакующему запрашивать данные из клиентских CRM-систем, таких как Salesforce, в результате чего произошла эксфильтрация конфиденциальных бизнес-данных. Инцидент демонстрирует цепную компрометацию цепочки поставок, подчеркивая уязвимости в интеграциях клиентов и несанкционированном доступе к нескольким платформам нижестоящего уровня.
-----
Недавний инцидент, связанный с атакой на цепочку поставок программного обеспечения против платформы рыночной аналитики Klue, выявил значительные уязвимости в интеграциях клиентов, приведшие к несанкционированному доступу к данным и эксфильтрации из различных последующих SaaS-приложений, особенно CRM-систем.
Атака началась с того, что злоумышленник использовал давно неактивные учетные данные, связанные с внутренней средой Klue, что позволило ему получить первоначальный доступ. Оказавшись внутри, актор развернул вредоносный код, специально разработанный для сбора токенов OAuth, которые обеспечивают подключение между Klue и его сторонними интеграциями. Эти токены имеют решающее значение для аутентификации и управления доступом к данным между системами.
Успешно собрав эти OAuth-токены, злоумышленник выполнил запросы к CRM-системам клиентов, что позволило получить доступ к нескольким подключенным платформам. В их число вошли такие известные сервисы, как Salesforce, из которых были эксфильтрованы различные наборы данных. Включенные данные содержали структурированную бизнес-информацию, такую как контакты, детали ценообразования, коммерческие коммуникации и внутренние заметки. Этот инцидент является примером цепной Компрометации цепочки поставок, где эксплуатация единственного отказа интеграции на верхнем уровне привела к масштабному несанкционированному доступу в многочисленных средах нижнего уровня.
После этого инцидента рекомендуется проявлять бдительность в отношении потенциальной утечки данных. Организациям рекомендуется отслеживать почтовые системы на предмет сообщений, связанных с вымогательством, и сохранять любые подозрительные письма для дальнейшего криминалистический анализ. Кроме того, системные администраторы должны быть начеку в отношении индикаторов компрометация, связанных с несанкционированным доступом, особенно в отношении экспортов данных CRM или Salesforce.
#ParsedReport #CompletenessHigh
29-06-2026
The Gentlemen are knocking: сustom backdoors and evolving tactics
https://securelist.com/the-gentlemen-raas/120447/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware
Threats:
Sharpadws_tool
Netscan_tool
Byovd_technique
Yamux_tool
Psexec_tool
Victims:
Large corporations, Critical infrastructure, Manufacturing, It services, Healthcare, Financial services, Construction, Logistics
Industry:
Critical_infrastructure, Healthcare, Logistic
Geo:
Thailand, Brazil, Taiwan, China, Indonesia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1016, T1018, T1021.002, T1027, T1046, T1047, T1053.005, T1059.001, T1059.003, T1070.001, have more...
IOCs:
Command: 8
File: 37
IP: 2
Path: 1
Registry: 1
Hash: 31
Soft:
Active Directory, PsExec, Windows Kernel, OpenArk64, Windows registry, Windows Defender, Hyper-V, Microsoft Office, ESXi, Linux, have more...
Algorithms:
xchacha20, aes-256-gcm, xor, curve25519, base64
Functions:
TaskSystem
Win API:
NetServerEnum, SetEntriesInAclA, EvtClearLog
Languages:
powershell, golang
Platforms:
cross-platform
29-06-2026
The Gentlemen are knocking: сustom backdoors and evolving tactics
https://securelist.com/the-gentlemen-raas/120447/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware
Threats:
Sharpadws_tool
Netscan_tool
Byovd_technique
Yamux_tool
Psexec_tool
Victims:
Large corporations, Critical infrastructure, Manufacturing, It services, Healthcare, Financial services, Construction, Logistics
Industry:
Critical_infrastructure, Healthcare, Logistic
Geo:
Thailand, Brazil, Taiwan, China, Indonesia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016, T1018, T1021.002, T1027, T1046, T1047, T1053.005, T1059.001, T1059.003, T1070.001, have more...
IOCs:
Command: 8
File: 37
IP: 2
Path: 1
Registry: 1
Hash: 31
Soft:
Active Directory, PsExec, Windows Kernel, OpenArk64, Windows registry, Windows Defender, Hyper-V, Microsoft Office, ESXi, Linux, have more...
Algorithms:
xchacha20, aes-256-gcm, xor, curve25519, base64
Functions:
TaskSystem
Win API:
NetServerEnum, SetEntriesInAclA, EvtClearLog
Languages:
powershell, golang
Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 The Gentlemen are knocking: сustom backdoors and evolving tactics https://securelist.com/the-gentlemen-raas/120447/ Report completeness: High Actors/Campaigns: Gentlemen_ransomware Threats: Sharpadws_tool Netscan_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
The Gentlemen, хакерская группировка The Gentlemen, использующая модель RaaS, выделяются своими эволюционирующими тактиками, включая эксплуатацию уязвимостей в онлайн-сервисах и использование украденных учетных данных. Их разведка включает такие инструменты, как SharpADWS для сбора информации об Active Directory, а перемещение внутри компании достигается с помощью таких техник, как NETLOGON-шары и пользовательские скрипты PowerShell. Примечательно их продвинутое Go-основанное программное обеспечение-вымогатель, которое использует гибридную криптографию и сложную обфускацию для уклонения от обнаружения, наряду с разрабатываемой C-основанной версией, что указывает на их растущую сложность и операционный охват в различных отраслях.
-----
The Gentlemen — хакерская группировка The Gentlemen, действующая по модели программа-вымогатель как услуга (RaaS).
Операции начались примерно в середине 2025 года, при этом повышенная активность отмечалась с начала 2026 года.
Их атаки используют уязвимости в онлайн-сервисах, украденные учетные данные и экспонированные устройства, такие как аппаратные VPN и межсетевые экраны.
Они сотрудничают с брокерами первоначального доступа, что подтверждается задержками между взломами и развертыванием программ-вымогателей.
Группа проводит обширную разведку с использованием таких инструментов, как SharpADWS для сбора данных Active Directory, а также инструментов сетевого сканирования, таких как NetScan и Advanced IP Scanner.
Они используют общий ресурс NETLOGON и пользовательские скрипты PowerShell для перемещения внутри компании по сетям.
Развертывание программ-вымогателей включает такие техники, как PsExec и манипуляция объектами групповых политик (GPO).
Они отключают программное обеспечение безопасности с помощью уязвимых драйверов и инструментов с открытым исходным кодом, чтобы избежать обнаружения.
Разработанный в домашних условиях бэкдор на языке Go используется для управления (C2) коммуникацией, позволяя осуществлять удаленный мониторинг и выполнение команд.
Их основной вариант ransomware, написанный на Go, использует уникальный механизм обфускации для усложнения анализа.
Для выполнения требуется пароль, чтобы затруднить автоматический анализ, а для шифрования используется гибридная комбинация криптографии Curve25519 и XChaCha20.
Процессы вредоносного ПО для шифрования приостанавливают работу активных виртуальных машин и завершают ключевые процессы перед шифрованием.
Появился новый вариант шифровальщика на C, сохраняющий схожую структуру, но использующий AES256-GCM и RSA для шифрования.
Этот вариант включает в себя эволюционирующие методы повышения привилегий и попытки очистки журналов событий после заражения.
Среди жертв — такие отрасли, как производство, здравоохранение и финансы, особенно в Бразилии и Китае.
Операции «Джентльменов» демонстрируют адаптивность, при этом растёт их зависимость от кастомного инструментария для различных сред.
Ожидается, что их вредоносная активность усилится, что потребует от организаций усиления мер безопасности и внедрения надежных стратегий управления уязвимостями.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
The Gentlemen, хакерская группировка The Gentlemen, использующая модель RaaS, выделяются своими эволюционирующими тактиками, включая эксплуатацию уязвимостей в онлайн-сервисах и использование украденных учетных данных. Их разведка включает такие инструменты, как SharpADWS для сбора информации об Active Directory, а перемещение внутри компании достигается с помощью таких техник, как NETLOGON-шары и пользовательские скрипты PowerShell. Примечательно их продвинутое Go-основанное программное обеспечение-вымогатель, которое использует гибридную криптографию и сложную обфускацию для уклонения от обнаружения, наряду с разрабатываемой C-основанной версией, что указывает на их растущую сложность и операционный охват в различных отраслях.
-----
The Gentlemen — хакерская группировка The Gentlemen, действующая по модели программа-вымогатель как услуга (RaaS).
Операции начались примерно в середине 2025 года, при этом повышенная активность отмечалась с начала 2026 года.
Их атаки используют уязвимости в онлайн-сервисах, украденные учетные данные и экспонированные устройства, такие как аппаратные VPN и межсетевые экраны.
Они сотрудничают с брокерами первоначального доступа, что подтверждается задержками между взломами и развертыванием программ-вымогателей.
Группа проводит обширную разведку с использованием таких инструментов, как SharpADWS для сбора данных Active Directory, а также инструментов сетевого сканирования, таких как NetScan и Advanced IP Scanner.
Они используют общий ресурс NETLOGON и пользовательские скрипты PowerShell для перемещения внутри компании по сетям.
Развертывание программ-вымогателей включает такие техники, как PsExec и манипуляция объектами групповых политик (GPO).
Они отключают программное обеспечение безопасности с помощью уязвимых драйверов и инструментов с открытым исходным кодом, чтобы избежать обнаружения.
Разработанный в домашних условиях бэкдор на языке Go используется для управления (C2) коммуникацией, позволяя осуществлять удаленный мониторинг и выполнение команд.
Их основной вариант ransomware, написанный на Go, использует уникальный механизм обфускации для усложнения анализа.
Для выполнения требуется пароль, чтобы затруднить автоматический анализ, а для шифрования используется гибридная комбинация криптографии Curve25519 и XChaCha20.
Процессы вредоносного ПО для шифрования приостанавливают работу активных виртуальных машин и завершают ключевые процессы перед шифрованием.
Появился новый вариант шифровальщика на C, сохраняющий схожую структуру, но использующий AES256-GCM и RSA для шифрования.
Этот вариант включает в себя эволюционирующие методы повышения привилегий и попытки очистки журналов событий после заражения.
Среди жертв — такие отрасли, как производство, здравоохранение и финансы, особенно в Бразилии и Китае.
Операции «Джентльменов» демонстрируют адаптивность, при этом растёт их зависимость от кастомного инструментария для различных сред.
Ожидается, что их вредоносная активность усилится, что потребует от организаций усиления мер безопасности и внедрения надежных стратегий управления уязвимостями.
#ParsedReport #CompletenessHigh
25-06-2026
CL-STA-1062 Targets Southeast Asian Governments and Critical Infrastructure
https://unit42.paloaltonetworks.com/cl-sta-1062-tinyrct-backdoor/
Report completeness: High
Actors/Campaigns:
Uat-7237
Threats:
Mimikatz_tool
Tinyrct
Yuze_tool
Juicypotato_tool
Victims:
Government, Energy, Critical infrastructure, Web hosting infrastructure, Southeast asia, East asia, Taiwan
Industry:
Energy, Critical_infrastructure, Government
Geo:
Taiwan, Chinese, Asian, Asia-pacific, Asia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1018, T1033, T1036.005, T1041, T1053.005, T1059.003, T1070.004, T1071.001, have more...
IOCs:
IP: 4
File: 7
Hash: 6
Url: 7
Soft:
SoftEther, MSSQL, curl, vmtools, Microsoft Visual Studio
Algorithms:
gzip, cbc, aes, sha256, zip, aes-128
Links:
25-06-2026
CL-STA-1062 Targets Southeast Asian Governments and Critical Infrastructure
https://unit42.paloaltonetworks.com/cl-sta-1062-tinyrct-backdoor/
Report completeness: High
Actors/Campaigns:
Uat-7237
Threats:
Mimikatz_tool
Tinyrct
Yuze_tool
Juicypotato_tool
Victims:
Government, Energy, Critical infrastructure, Web hosting infrastructure, Southeast asia, East asia, Taiwan
Industry:
Energy, Critical_infrastructure, Government
Geo:
Taiwan, Chinese, Asian, Asia-pacific, Asia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1018, T1033, T1036.005, T1041, T1053.005, T1059.003, T1070.004, T1071.001, have more...
IOCs:
IP: 4
File: 7
Hash: 6
Url: 7
Soft:
SoftEther, MSSQL, curl, vmtools, Microsoft Visual Studio
Algorithms:
gzip, cbc, aes, sha256, zip, aes-128
Links:
https://github.com/P001water/yuzehttps://github.com/vnt-dev/vntUnit 42
CL-STA-1062 Targets Southeast Asian Governments and Critical Infrastructure
Government entities and critical infrastructure were targeted for espionage in SE Asia by attackers using a hybrid toolkit, including custom TinyRCT backdoor.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 CL-STA-1062 Targets Southeast Asian Governments and Critical Infrastructure https://unit42.paloaltonetworks.com/cl-sta-1062-tinyrct-backdoor/ Report completeness: High Actors/Campaigns: Uat-7237 Threats: Mimikatz_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кластер киберугроз CL-STA-1062, активный с марта 2022 года, нацелен на государственные структуры и критическую инфраструктуру в Юго-Восточной Азии, в частности на государственные энергетические предприятия. Группа использует веб-оболочки для первоначального проникновения и разработала троянскую программу удаленного доступа на базе .NET под названием TinyRCT, которая обеспечивает обширный контроль над зараженными системами, включая выполнение команд и управление файлами. TinyRCT использует дроппер, который эксплуатирует доверительные отношения в приложениях .NET, применяя внедрение AppDomainManager Injection для сокрытия своего присутствия во время выполнения команд.
-----
В 2025 году киберугроза, известная как CL-STA-1062, была идентифицирована как активно нацеленная на государственные органы и критическую инфраструктуру в Юго-Восточной Азии, особенно на государственные предприятия энергетического сектора. Эта группа китайскоязычных злоумышленников действует как минимум с марта 2022 года и связана с предыдущими атаками на веб-инфраструктуру Тайваня. Кампании включают устойчивую стратегию в регионе Азиатско-Тихоокеанского региона, использующую гибридный набор инструментов, который включает как открытые инструменты, так и новое ВПО под названием TinyRCT.
Атакующие используют различные техники для проникновения в свои цели. Например, в сентябре 2025 года они скомпрометировали государственную организацию в Юго-Восточной Азии путем развертывания веб-оболочек, что позволило им эксфильтровать конфиденциальную информацию из базы данных и провести разведку других подключенных систем. Это привело к попыткам перемещения внутри компании в рамках сети, что указывает на стремление к более широкому доступу.
С середины 2025 года наблюдается значительный рост активности по компрометации критической энергетической инфраструктуры. Атакующие проводили масштабное сканирование на наличие уязвимостей и инициировали исходящие соединения со своей инфраструктурой для загрузки вредоносных загрузчиков, включая компоненты, связанные с SoftEther VPN. Эксплуатация обычно начинается через веб-приложения, где развертываются ASPX веб-шеллы, выступающие в качестве механизмов выполнения команд, что облегчает проведение начальной разведки и внедрение дополнительных вредоносных инструментов.
Ключевой инновацией в этом кластере атак является выявление бэкдора TinyRCT, троянской программы на базе .NET, обеспечивающей обширный контроль над зараженными системами. Она выполняет проверки для подтверждения контекста выполнения, предотвращая активацию в средах анализа. После внедрения TinyRCT собирает системную информацию для создания уникального профиля жертвы, что облегчает целевые операции. Она взаимодействует со своим сервером управления через зашифрованные каналы, используя стандартный HTTP для передачи данных, и применяет шифрование AES-128 для дополнительной безопасности.
TinyRCT обладает набором возможностей, таких как выполнение команд, управление файлами и проведение слежки, включая создание снимков экрана. Важно отметить, что он имеет механизм самоуничтожения, способный стирать следы своего присутствия по команде, тем самым усложняя криминалистический анализ.
Вектор заражения TinyRCT начинается с дроппера, использующего техники инъекции AppDomainManager, эксплуатируя доверительные отношения внутри приложений .NET. Это включает использование легитимного исполняемого файла в сочетании с манипулированным конфигурационным файлом, который загружает вредоносную DLL, позволяя выполнять бэкдор TinyRCT, сохраняя при этом видимость нормального приложения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кластер киберугроз CL-STA-1062, активный с марта 2022 года, нацелен на государственные структуры и критическую инфраструктуру в Юго-Восточной Азии, в частности на государственные энергетические предприятия. Группа использует веб-оболочки для первоначального проникновения и разработала троянскую программу удаленного доступа на базе .NET под названием TinyRCT, которая обеспечивает обширный контроль над зараженными системами, включая выполнение команд и управление файлами. TinyRCT использует дроппер, который эксплуатирует доверительные отношения в приложениях .NET, применяя внедрение AppDomainManager Injection для сокрытия своего присутствия во время выполнения команд.
-----
В 2025 году киберугроза, известная как CL-STA-1062, была идентифицирована как активно нацеленная на государственные органы и критическую инфраструктуру в Юго-Восточной Азии, особенно на государственные предприятия энергетического сектора. Эта группа китайскоязычных злоумышленников действует как минимум с марта 2022 года и связана с предыдущими атаками на веб-инфраструктуру Тайваня. Кампании включают устойчивую стратегию в регионе Азиатско-Тихоокеанского региона, использующую гибридный набор инструментов, который включает как открытые инструменты, так и новое ВПО под названием TinyRCT.
Атакующие используют различные техники для проникновения в свои цели. Например, в сентябре 2025 года они скомпрометировали государственную организацию в Юго-Восточной Азии путем развертывания веб-оболочек, что позволило им эксфильтровать конфиденциальную информацию из базы данных и провести разведку других подключенных систем. Это привело к попыткам перемещения внутри компании в рамках сети, что указывает на стремление к более широкому доступу.
С середины 2025 года наблюдается значительный рост активности по компрометации критической энергетической инфраструктуры. Атакующие проводили масштабное сканирование на наличие уязвимостей и инициировали исходящие соединения со своей инфраструктурой для загрузки вредоносных загрузчиков, включая компоненты, связанные с SoftEther VPN. Эксплуатация обычно начинается через веб-приложения, где развертываются ASPX веб-шеллы, выступающие в качестве механизмов выполнения команд, что облегчает проведение начальной разведки и внедрение дополнительных вредоносных инструментов.
Ключевой инновацией в этом кластере атак является выявление бэкдора TinyRCT, троянской программы на базе .NET, обеспечивающей обширный контроль над зараженными системами. Она выполняет проверки для подтверждения контекста выполнения, предотвращая активацию в средах анализа. После внедрения TinyRCT собирает системную информацию для создания уникального профиля жертвы, что облегчает целевые операции. Она взаимодействует со своим сервером управления через зашифрованные каналы, используя стандартный HTTP для передачи данных, и применяет шифрование AES-128 для дополнительной безопасности.
TinyRCT обладает набором возможностей, таких как выполнение команд, управление файлами и проведение слежки, включая создание снимков экрана. Важно отметить, что он имеет механизм самоуничтожения, способный стирать следы своего присутствия по команде, тем самым усложняя криминалистический анализ.
Вектор заражения TinyRCT начинается с дроппера, использующего техники инъекции AppDomainManager, эксплуатируя доверительные отношения внутри приложений .NET. Это включает использование легитимного исполняемого файла в сочетании с манипулированным конфигурационным файлом, который загружает вредоносную DLL, позволяя выполнять бэкдор TinyRCT, сохраняя при этом видимость нормального приложения.
#ParsedReport #CompletenessHigh
24-06-2026
LokiBot After a Decade: An Analysis of a Recent LokiBot Campaign
https://www.levelblue.com/blogs/spiderlabs-blog/lokibot-after-a-decade-an-analysis-of-a-recent-lokibot-campaign
Report completeness: High
Threats:
Confuserex_tool
Process_injection_technique
Loki_bot
Credential_harvesting_technique
Credential_stealing_technique
Victims:
Browser users, Cryptocurrency wallet users, Password manager users, Email client users, Ftp client users, Windows users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1012, T1027, T1027.007, T1041, T1055, T1059.001, T1059.007, T1071.001, T1112, T1140, have more...
IOCs:
File: 6
Hash: 5
IP: 1
Domain: 4
Url: 5
Soft:
Android, ASP.NET
Algorithms:
sha256, base64, xor, 3des, md5
Functions:
LAUNCH
Win API:
EXECUTE, NET, CreateProcessA, WriteProcessMemory, SetThreadContext, ResumeThread, LoadLibraryW
Languages:
powershell, python, jscript
Links:
have more...
24-06-2026
LokiBot After a Decade: An Analysis of a Recent LokiBot Campaign
https://www.levelblue.com/blogs/spiderlabs-blog/lokibot-after-a-decade-an-analysis-of-a-recent-lokibot-campaign
Report completeness: High
Threats:
Confuserex_tool
Process_injection_technique
Loki_bot
Credential_harvesting_technique
Credential_stealing_technique
Victims:
Browser users, Cryptocurrency wallet users, Password manager users, Email client users, Ftp client users, Windows users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1012, T1027, T1027.007, T1041, T1055, T1059.001, T1059.007, T1071.001, T1112, T1140, have more...
IOCs:
File: 6
Hash: 5
IP: 1
Domain: 4
Url: 5
Soft:
Android, ASP.NET
Algorithms:
sha256, base64, xor, 3des, md5
Functions:
LAUNCH
Win API:
EXECUTE, NET, CreateProcessA, WriteProcessMemory, SetThreadContext, ResumeThread, LoadLibraryW
Languages:
powershell, python, jscript
Links:
https://github.com/d00rt/hijacked\_lokibot\_versionhave more...
https://github.com/OALabs/hashdb/blob/main/algorithms/lokibot.pyhttps://github.com/HumanSecurity/obfuscation-detectorLevelblue
LokiBot After a Decade: An Analysis of a Recent LokiBot Campaign
In this blog, we take a closer look at a multi-stage LokiBot sample from a recent campaign.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 LokiBot After a Decade: An Analysis of a Recent LokiBot Campaign https://www.levelblue.com/blogs/spiderlabs-blog/lokibot-after-a-decade-an-analysis-of-a-recent-lokibot-campaign Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LokiBot, стиллер, активный с 2015 года, эволюционировал для атаки как на платформы Windows, так и на Android, используя такие тактики, как регистрация нажатий клавиш и удаленный доступ, для захвата учетных данных из различных приложений. Недавно он был доставлен через кампанию malspam с использованием файлов JScript, которая запускает многоэтапный процесс загрузки вредоносного ПО, включающий PowerShell и обфусцированную .NET-сборку для внедрения кода в процессы. После запуска LokiBot собирает учетные данные, эксфильтрует данные и поддерживает связь со своим сервером управления, хотя недавние варианты столкнулись с проблемами закрепления из-за ошибок в своих routines расшифровки.
-----
LokiBot, давний стиллер, впервые появившийся в 2015 году, продолжает развиваться, демонстрируя новые оперативные тактики и структуры полезной нагрузки с течением времени. Изначально ориентированный на платформы Windows, функционал LokiBot расширился и теперь включает поддержку Android, а также возможности для удаленного доступа и регистрации нажатий клавиш, в первую очередь нацеленные на учетные данные из широкого спектра приложений, включая веб-браузеры, криптовалютные кошельки и почтовые клиенты. Несмотря на снижение активности в последние годы, LokiBot остается значимым игроком на ландшафте киберугроз благодаря своей доступности и обширному функционалу.
В ходе недавней кампании, проанализированной экспертами, LokiBot был доставлен через кампанию malspam в виде вложения к электронному письму, а именно файла JScript, который выполняется на системах Windows с помощью Windows Script Host. После запуска скрипт выполняет несколько этапов загрузки вредоносного ПО. Первый этап включает загрузчик PowerShell, который расшифровывает .NET-сборку, закодированную в формате Base64, с использованием операции XOR с жёстко заданным ключом, подготавливая систему к последующему этапу внедрения.
Второй этап включает использование хорошо защищённой .NET-сборки, которая обфусцирована с помощью ConfuserEx. Эта сборка содержит API, обычно связанные с внедрением кода в процессы, что позволяет ВПО скрыть свой рабочий процесс. После внедрения кода в процессы активируется последний этап — загрузка полезной нагрузки LokiBot, которая скомпилирована как 32-битный PE-исполняемый файл. Для данного образца характерно использование минимальной таблицы импорта: адреса функций API разрешаются во время выполнения с помощью хеширования, а не стандартных импортов, что затрудняет обнаружение.
Чтобы гарантировать, что на зараженной системе работает только один экземпляр LokiBot, он создает мьютекс, хешируя значение MachineGuid, найденное в реестре. После запуска LokiBot начинает выполнять свою основную функцию — сбор учетных данных, эксфильтрацию данных, закрепление и взаимодействие с сервером управления (C2). Вредоносное ПО копирует себя в директорию %AppData% с именем, полученным в процессе генерации мьютекса, и пытается создать ключ реестра для закрепления, связанный с URL-адресом C2. Однако, по сообщениям, новые варианты имеют недостатки в механизмах закрепления из-за изменений в подпрограмме расшифровки, которая ошибочно возвращает статический адрес C2, усложняя попытки поддержания устойчивой инфекции.
LokiBot систематически собирает учетные данные из целевого программного обеспечения, выполняя выделенные процедуры для каждого приложения, сжимая собранные данные с помощью библиотеки aPLib, а затем передавая их на сервер C2. После эксфильтрации он переходит в цикл, постоянно проверяя наличие инструкций от C2, отправляя системную информацию каждую минуту и одновременно обрабатывая команды сервера. Это непрерывное взаимодействие с C2 подчеркивает функцию LokiBot как инструмента для длительных кибервторжений и кражи данных, демонстрируя его сохраняющуюся актуальность в меняющемся ландшафте угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LokiBot, стиллер, активный с 2015 года, эволюционировал для атаки как на платформы Windows, так и на Android, используя такие тактики, как регистрация нажатий клавиш и удаленный доступ, для захвата учетных данных из различных приложений. Недавно он был доставлен через кампанию malspam с использованием файлов JScript, которая запускает многоэтапный процесс загрузки вредоносного ПО, включающий PowerShell и обфусцированную .NET-сборку для внедрения кода в процессы. После запуска LokiBot собирает учетные данные, эксфильтрует данные и поддерживает связь со своим сервером управления, хотя недавние варианты столкнулись с проблемами закрепления из-за ошибок в своих routines расшифровки.
-----
LokiBot, давний стиллер, впервые появившийся в 2015 году, продолжает развиваться, демонстрируя новые оперативные тактики и структуры полезной нагрузки с течением времени. Изначально ориентированный на платформы Windows, функционал LokiBot расширился и теперь включает поддержку Android, а также возможности для удаленного доступа и регистрации нажатий клавиш, в первую очередь нацеленные на учетные данные из широкого спектра приложений, включая веб-браузеры, криптовалютные кошельки и почтовые клиенты. Несмотря на снижение активности в последние годы, LokiBot остается значимым игроком на ландшафте киберугроз благодаря своей доступности и обширному функционалу.
В ходе недавней кампании, проанализированной экспертами, LokiBot был доставлен через кампанию malspam в виде вложения к электронному письму, а именно файла JScript, который выполняется на системах Windows с помощью Windows Script Host. После запуска скрипт выполняет несколько этапов загрузки вредоносного ПО. Первый этап включает загрузчик PowerShell, который расшифровывает .NET-сборку, закодированную в формате Base64, с использованием операции XOR с жёстко заданным ключом, подготавливая систему к последующему этапу внедрения.
Второй этап включает использование хорошо защищённой .NET-сборки, которая обфусцирована с помощью ConfuserEx. Эта сборка содержит API, обычно связанные с внедрением кода в процессы, что позволяет ВПО скрыть свой рабочий процесс. После внедрения кода в процессы активируется последний этап — загрузка полезной нагрузки LokiBot, которая скомпилирована как 32-битный PE-исполняемый файл. Для данного образца характерно использование минимальной таблицы импорта: адреса функций API разрешаются во время выполнения с помощью хеширования, а не стандартных импортов, что затрудняет обнаружение.
Чтобы гарантировать, что на зараженной системе работает только один экземпляр LokiBot, он создает мьютекс, хешируя значение MachineGuid, найденное в реестре. После запуска LokiBot начинает выполнять свою основную функцию — сбор учетных данных, эксфильтрацию данных, закрепление и взаимодействие с сервером управления (C2). Вредоносное ПО копирует себя в директорию %AppData% с именем, полученным в процессе генерации мьютекса, и пытается создать ключ реестра для закрепления, связанный с URL-адресом C2. Однако, по сообщениям, новые варианты имеют недостатки в механизмах закрепления из-за изменений в подпрограмме расшифровки, которая ошибочно возвращает статический адрес C2, усложняя попытки поддержания устойчивой инфекции.
LokiBot систематически собирает учетные данные из целевого программного обеспечения, выполняя выделенные процедуры для каждого приложения, сжимая собранные данные с помощью библиотеки aPLib, а затем передавая их на сервер C2. После эксфильтрации он переходит в цикл, постоянно проверяя наличие инструкций от C2, отправляя системную информацию каждую минуту и одновременно обрабатывая команды сервера. Это непрерывное взаимодействие с C2 подчеркивает функцию LokiBot как инструмента для длительных кибервторжений и кражи данных, демонстрируя его сохраняющуюся актуальность в меняющемся ландшафте угроз.
#ParsedReport #CompletenessMedium
30-06-2026
Glitch SPY: An Emerging Android RAT Distributed Through a Fake Polish Rental App
https://cyble.com/blog/glitch-spy-rat-distributed-via-fake-polish-app/
Report completeness: Medium
Threats:
Glitch_spy
Brokewell
Victims:
Android users, Rental property users, Banking users, Cryptocurrency users
Industry:
Financial
Geo:
Poland, Polish
TTPs:
Tactics: 11
Technics: 19
IOCs:
Domain: 3
File: 1
Url: 1
Hash: 2
Soft:
Android, Telegram, Google Play
Wallets:
tron
Crypto:
bitcoin, ethereum, arbitrum
Algorithms:
zip, aes
Win API:
polygon
30-06-2026
Glitch SPY: An Emerging Android RAT Distributed Through a Fake Polish Rental App
https://cyble.com/blog/glitch-spy-rat-distributed-via-fake-polish-app/
Report completeness: Medium
Threats:
Glitch_spy
Brokewell
Victims:
Android users, Rental property users, Banking users, Cryptocurrency users
Industry:
Financial
Geo:
Poland, Polish
TTPs:
Tactics: 11
Technics: 19
IOCs:
Domain: 3
File: 1
Url: 1
Hash: 2
Soft:
Android, Telegram, Google Play
Wallets:
tron
Crypto:
bitcoin, ethereum, arbitrum
Algorithms:
zip, aes
Win API:
polygon
Cyble
Glitch SPY RAT Distributed Via Fake Polish Rental App
CRIL analyzes Glitch SPY, an Android RAT with 70+ commands, crypto-clipping, and a silent remote browser, giving attackers full device control.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 Glitch SPY: An Emerging Android RAT Distributed Through a Fake Polish Rental App https://cyble.com/blog/glitch-spy-rat-distributed-via-fake-polish-app/ Report completeness: Medium Threats: Glitch_spy Brokewell…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Glitch SPY — это продвинутая Троянская программа для удалённого доступа (RAT) для Android, распространяемая через мошенническое приложение для аренды, нацеленное на пользователей в Польше. После установки она использует службу доступности Android для автоматического предоставления разрешений, что обеспечивает расширенные возможности наблюдения, такие как потоковая передача экрана в реальном времени, регистрация нажатий клавиш, кража SMS и удалённый доступ к камере и микрофону. В ней также присутствует крипто-клиппер, нацеленный на пользователей криптовалют, который заменяет скопированные адреса кошельков, а также настраиваемый модуль Builder, позволяющий злоумышленникам создавать адаптированные полез
-----
Glitch SPY — это новая Android Троянская программа (RAT), которая была выявлена как распространяемая через мошенническое польское приложение для аренды, предназначенное для обмана пользователей с целью заставить их загрузить APK-файл. Это ВПО в основном нацелено на лиц в Польше и польских эмигрантов, используя сайт-приманку на тему аренды. После установки приложение функционирует как дроппер, что приводит к установке полезной нагрузки Glitch SPY под предлогом предоставления функций, связанных с арендой. Критически важным для его работы является то, что ВПО использует службу доступности Android для автоматического предоставления разрешений и выполнения широкого спектра вредоносных действий с минимальным взаимодействием со стороны пользователя.
Glitch SPY устанавливает постоянное соединение со своим сервером управления (C&C) через канал WebSocket, поддерживая более 70 команд, которые обеспечивают широкие возможности для слежки. К ним относятся потоковая передача экрана в реальном времени, Регистрация нажатий клавиш, кража SMS, доступ к контактам и журналам вызовов, а также удаленное управление для мониторинга камеры и микрофона. Примечательно, что он обладает функцией крипто-клиппера, которая перехватывает и заменяет скопированные адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками, целенаправленно воздействуя на пользователей криптовалют. Эта возможность охватывает несколько форматов блокчейна, обеспечивая ее адаптивность против различных типов кошельков.
Вредоносное ПО также включает модуль Builder, позволяющий злоумышленникам настраивать Android- payloads с конкретными именами, идентификаторами пакетов и значками, что указывает на фреймворк, предназначенный для нескольких кампаний, а не для единичной целевой атаки. В ходе анализа инфраструктуры вредоносного ПО стало очевидно, что заражение позволяет осуществлять контроль над устройством жертвы в реальном времени, с возможностью захвата содержимого экрана, выполнения команд и удаленного управления файлами.
После установки Glitch SPY пытается включить специальные возможности на устройстве, тем самым получая критические разрешения для выполнения своих вредоносных функций. Способность ВПО к эксфильтрации конфиденциальных данных усиливается за счет взаимодействия с активным экраном, что позволяет злоумышленникам наблюдать за действиями пользователя и собирать информацию, отображаемую в приложениях, связанных с банковским сектором и аутентификацией.
В заключение, Glitch SPY представляет собой сложную угрозу для Android, объединяющую различные возможности в единой платформе, что отражает фокус на слежке, удаленном управлении и финансовом мошенничестве. Его первоначальное распространение через фасад легитимных сервисов подчеркивает более широкую тенденцию создания ВПО, предназначенного для эксплуатации доверия пользователей и манипуляции функциональностью мобильных устройств в корыстных целях. Поскольку это ВПО продолжает развиваться, оно представляет значительную угрозу, особенно для тех, кто может неосознанно предоставить повышенные разрешения сомнительным приложениям.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Glitch SPY — это продвинутая Троянская программа для удалённого доступа (RAT) для Android, распространяемая через мошенническое приложение для аренды, нацеленное на пользователей в Польше. После установки она использует службу доступности Android для автоматического предоставления разрешений, что обеспечивает расширенные возможности наблюдения, такие как потоковая передача экрана в реальном времени, регистрация нажатий клавиш, кража SMS и удалённый доступ к камере и микрофону. В ней также присутствует крипто-клиппер, нацеленный на пользователей криптовалют, который заменяет скопированные адреса кошельков, а также настраиваемый модуль Builder, позволяющий злоумышленникам создавать адаптированные полез
-----
Glitch SPY — это новая Android Троянская программа (RAT), которая была выявлена как распространяемая через мошенническое польское приложение для аренды, предназначенное для обмана пользователей с целью заставить их загрузить APK-файл. Это ВПО в основном нацелено на лиц в Польше и польских эмигрантов, используя сайт-приманку на тему аренды. После установки приложение функционирует как дроппер, что приводит к установке полезной нагрузки Glitch SPY под предлогом предоставления функций, связанных с арендой. Критически важным для его работы является то, что ВПО использует службу доступности Android для автоматического предоставления разрешений и выполнения широкого спектра вредоносных действий с минимальным взаимодействием со стороны пользователя.
Glitch SPY устанавливает постоянное соединение со своим сервером управления (C&C) через канал WebSocket, поддерживая более 70 команд, которые обеспечивают широкие возможности для слежки. К ним относятся потоковая передача экрана в реальном времени, Регистрация нажатий клавиш, кража SMS, доступ к контактам и журналам вызовов, а также удаленное управление для мониторинга камеры и микрофона. Примечательно, что он обладает функцией крипто-клиппера, которая перехватывает и заменяет скопированные адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками, целенаправленно воздействуя на пользователей криптовалют. Эта возможность охватывает несколько форматов блокчейна, обеспечивая ее адаптивность против различных типов кошельков.
Вредоносное ПО также включает модуль Builder, позволяющий злоумышленникам настраивать Android- payloads с конкретными именами, идентификаторами пакетов и значками, что указывает на фреймворк, предназначенный для нескольких кампаний, а не для единичной целевой атаки. В ходе анализа инфраструктуры вредоносного ПО стало очевидно, что заражение позволяет осуществлять контроль над устройством жертвы в реальном времени, с возможностью захвата содержимого экрана, выполнения команд и удаленного управления файлами.
После установки Glitch SPY пытается включить специальные возможности на устройстве, тем самым получая критические разрешения для выполнения своих вредоносных функций. Способность ВПО к эксфильтрации конфиденциальных данных усиливается за счет взаимодействия с активным экраном, что позволяет злоумышленникам наблюдать за действиями пользователя и собирать информацию, отображаемую в приложениях, связанных с банковским сектором и аутентификацией.
В заключение, Glitch SPY представляет собой сложную угрозу для Android, объединяющую различные возможности в единой платформе, что отражает фокус на слежке, удаленном управлении и финансовом мошенничестве. Его первоначальное распространение через фасад легитимных сервисов подчеркивает более широкую тенденцию создания ВПО, предназначенного для эксплуатации доверия пользователей и манипуляции функциональностью мобильных устройств в корыстных целях. Поскольку это ВПО продолжает развиваться, оно представляет значительную угрозу, особенно для тех, кто может неосознанно предоставить повышенные разрешения сомнительным приложениям.
#ParsedReport #CompletenessMedium
29-06-2026
Chrome and Firefox Extensions Posing as Free VPNs Add Clipboard Stealers via Malicious Updates
https://socket.dev/blog/chrome-and-firefox-extensions-free-vpns-add-clipboard-stealers
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Browser extension users, Chrome web store users, Mozilla firefox users, Cryptocurrency users
Industry:
E-commerce
TTPs:
Tactics: 2
Technics: 7
IOCs:
Url: 6
File: 10
IP: 3
BrowserExtension: 1
Hash: 5
Soft:
Chrome, Firefox, Mozilla Firefox
Algorithms:
sha256
Functions:
setInterval
Win API:
sendMessage
Languages:
php, javascript
29-06-2026
Chrome and Firefox Extensions Posing as Free VPNs Add Clipboard Stealers via Malicious Updates
https://socket.dev/blog/chrome-and-firefox-extensions-free-vpns-add-clipboard-stealers
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Browser extension users, Chrome web store users, Mozilla firefox users, Cryptocurrency users
Industry:
E-commerce
TTPs:
Tactics: 2
Technics: 7
IOCs:
Url: 6
File: 10
IP: 3
BrowserExtension: 1
Hash: 5
Soft:
Chrome, Firefox, Mozilla Firefox
Algorithms:
sha256
Functions:
setInterval
Win API:
sendMessage
Languages:
php, javascript
Socket
Chrome and Firefox Extensions Posing as Free VPNs Add Clipbo...
Malicious Chrome and Firefox extensions posed as free VPNs while stealing clipboard data through later extension updates.