CTT Report Hub
#ParsedReport #CompletenessHigh 24-06-2026 LokiBot After a Decade: An Analysis of a Recent LokiBot Campaign https://www.levelblue.com/blogs/spiderlabs-blog/lokibot-after-a-decade-an-analysis-of-a-recent-lokibot-campaign Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LokiBot, стиллер, активный с 2015 года, эволюционировал для атаки как на платформы Windows, так и на Android, используя такие тактики, как регистрация нажатий клавиш и удаленный доступ, для захвата учетных данных из различных приложений. Недавно он был доставлен через кампанию malspam с использованием файлов JScript, которая запускает многоэтапный процесс загрузки вредоносного ПО, включающий PowerShell и обфусцированную .NET-сборку для внедрения кода в процессы. После запуска LokiBot собирает учетные данные, эксфильтрует данные и поддерживает связь со своим сервером управления, хотя недавние варианты столкнулись с проблемами закрепления из-за ошибок в своих routines расшифровки.
-----
LokiBot, давний стиллер, впервые появившийся в 2015 году, продолжает развиваться, демонстрируя новые оперативные тактики и структуры полезной нагрузки с течением времени. Изначально ориентированный на платформы Windows, функционал LokiBot расширился и теперь включает поддержку Android, а также возможности для удаленного доступа и регистрации нажатий клавиш, в первую очередь нацеленные на учетные данные из широкого спектра приложений, включая веб-браузеры, криптовалютные кошельки и почтовые клиенты. Несмотря на снижение активности в последние годы, LokiBot остается значимым игроком на ландшафте киберугроз благодаря своей доступности и обширному функционалу.
В ходе недавней кампании, проанализированной экспертами, LokiBot был доставлен через кампанию malspam в виде вложения к электронному письму, а именно файла JScript, который выполняется на системах Windows с помощью Windows Script Host. После запуска скрипт выполняет несколько этапов загрузки вредоносного ПО. Первый этап включает загрузчик PowerShell, который расшифровывает .NET-сборку, закодированную в формате Base64, с использованием операции XOR с жёстко заданным ключом, подготавливая систему к последующему этапу внедрения.
Второй этап включает использование хорошо защищённой .NET-сборки, которая обфусцирована с помощью ConfuserEx. Эта сборка содержит API, обычно связанные с внедрением кода в процессы, что позволяет ВПО скрыть свой рабочий процесс. После внедрения кода в процессы активируется последний этап — загрузка полезной нагрузки LokiBot, которая скомпилирована как 32-битный PE-исполняемый файл. Для данного образца характерно использование минимальной таблицы импорта: адреса функций API разрешаются во время выполнения с помощью хеширования, а не стандартных импортов, что затрудняет обнаружение.
Чтобы гарантировать, что на зараженной системе работает только один экземпляр LokiBot, он создает мьютекс, хешируя значение MachineGuid, найденное в реестре. После запуска LokiBot начинает выполнять свою основную функцию — сбор учетных данных, эксфильтрацию данных, закрепление и взаимодействие с сервером управления (C2). Вредоносное ПО копирует себя в директорию %AppData% с именем, полученным в процессе генерации мьютекса, и пытается создать ключ реестра для закрепления, связанный с URL-адресом C2. Однако, по сообщениям, новые варианты имеют недостатки в механизмах закрепления из-за изменений в подпрограмме расшифровки, которая ошибочно возвращает статический адрес C2, усложняя попытки поддержания устойчивой инфекции.
LokiBot систематически собирает учетные данные из целевого программного обеспечения, выполняя выделенные процедуры для каждого приложения, сжимая собранные данные с помощью библиотеки aPLib, а затем передавая их на сервер C2. После эксфильтрации он переходит в цикл, постоянно проверяя наличие инструкций от C2, отправляя системную информацию каждую минуту и одновременно обрабатывая команды сервера. Это непрерывное взаимодействие с C2 подчеркивает функцию LokiBot как инструмента для длительных кибервторжений и кражи данных, демонстрируя его сохраняющуюся актуальность в меняющемся ландшафте угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
LokiBot, стиллер, активный с 2015 года, эволюционировал для атаки как на платформы Windows, так и на Android, используя такие тактики, как регистрация нажатий клавиш и удаленный доступ, для захвата учетных данных из различных приложений. Недавно он был доставлен через кампанию malspam с использованием файлов JScript, которая запускает многоэтапный процесс загрузки вредоносного ПО, включающий PowerShell и обфусцированную .NET-сборку для внедрения кода в процессы. После запуска LokiBot собирает учетные данные, эксфильтрует данные и поддерживает связь со своим сервером управления, хотя недавние варианты столкнулись с проблемами закрепления из-за ошибок в своих routines расшифровки.
-----
LokiBot, давний стиллер, впервые появившийся в 2015 году, продолжает развиваться, демонстрируя новые оперативные тактики и структуры полезной нагрузки с течением времени. Изначально ориентированный на платформы Windows, функционал LokiBot расширился и теперь включает поддержку Android, а также возможности для удаленного доступа и регистрации нажатий клавиш, в первую очередь нацеленные на учетные данные из широкого спектра приложений, включая веб-браузеры, криптовалютные кошельки и почтовые клиенты. Несмотря на снижение активности в последние годы, LokiBot остается значимым игроком на ландшафте киберугроз благодаря своей доступности и обширному функционалу.
В ходе недавней кампании, проанализированной экспертами, LokiBot был доставлен через кампанию malspam в виде вложения к электронному письму, а именно файла JScript, который выполняется на системах Windows с помощью Windows Script Host. После запуска скрипт выполняет несколько этапов загрузки вредоносного ПО. Первый этап включает загрузчик PowerShell, который расшифровывает .NET-сборку, закодированную в формате Base64, с использованием операции XOR с жёстко заданным ключом, подготавливая систему к последующему этапу внедрения.
Второй этап включает использование хорошо защищённой .NET-сборки, которая обфусцирована с помощью ConfuserEx. Эта сборка содержит API, обычно связанные с внедрением кода в процессы, что позволяет ВПО скрыть свой рабочий процесс. После внедрения кода в процессы активируется последний этап — загрузка полезной нагрузки LokiBot, которая скомпилирована как 32-битный PE-исполняемый файл. Для данного образца характерно использование минимальной таблицы импорта: адреса функций API разрешаются во время выполнения с помощью хеширования, а не стандартных импортов, что затрудняет обнаружение.
Чтобы гарантировать, что на зараженной системе работает только один экземпляр LokiBot, он создает мьютекс, хешируя значение MachineGuid, найденное в реестре. После запуска LokiBot начинает выполнять свою основную функцию — сбор учетных данных, эксфильтрацию данных, закрепление и взаимодействие с сервером управления (C2). Вредоносное ПО копирует себя в директорию %AppData% с именем, полученным в процессе генерации мьютекса, и пытается создать ключ реестра для закрепления, связанный с URL-адресом C2. Однако, по сообщениям, новые варианты имеют недостатки в механизмах закрепления из-за изменений в подпрограмме расшифровки, которая ошибочно возвращает статический адрес C2, усложняя попытки поддержания устойчивой инфекции.
LokiBot систематически собирает учетные данные из целевого программного обеспечения, выполняя выделенные процедуры для каждого приложения, сжимая собранные данные с помощью библиотеки aPLib, а затем передавая их на сервер C2. После эксфильтрации он переходит в цикл, постоянно проверяя наличие инструкций от C2, отправляя системную информацию каждую минуту и одновременно обрабатывая команды сервера. Это непрерывное взаимодействие с C2 подчеркивает функцию LokiBot как инструмента для длительных кибервторжений и кражи данных, демонстрируя его сохраняющуюся актуальность в меняющемся ландшафте угроз.
#ParsedReport #CompletenessMedium
30-06-2026
Glitch SPY: An Emerging Android RAT Distributed Through a Fake Polish Rental App
https://cyble.com/blog/glitch-spy-rat-distributed-via-fake-polish-app/
Report completeness: Medium
Threats:
Glitch_spy
Brokewell
Victims:
Android users, Rental property users, Banking users, Cryptocurrency users
Industry:
Financial
Geo:
Poland, Polish
TTPs:
Tactics: 11
Technics: 19
IOCs:
Domain: 3
File: 1
Url: 1
Hash: 2
Soft:
Android, Telegram, Google Play
Wallets:
tron
Crypto:
bitcoin, ethereum, arbitrum
Algorithms:
zip, aes
Win API:
polygon
30-06-2026
Glitch SPY: An Emerging Android RAT Distributed Through a Fake Polish Rental App
https://cyble.com/blog/glitch-spy-rat-distributed-via-fake-polish-app/
Report completeness: Medium
Threats:
Glitch_spy
Brokewell
Victims:
Android users, Rental property users, Banking users, Cryptocurrency users
Industry:
Financial
Geo:
Poland, Polish
TTPs:
Tactics: 11
Technics: 19
IOCs:
Domain: 3
File: 1
Url: 1
Hash: 2
Soft:
Android, Telegram, Google Play
Wallets:
tron
Crypto:
bitcoin, ethereum, arbitrum
Algorithms:
zip, aes
Win API:
polygon
Cyble
Glitch SPY RAT Distributed Via Fake Polish Rental App
CRIL analyzes Glitch SPY, an Android RAT with 70+ commands, crypto-clipping, and a silent remote browser, giving attackers full device control.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 Glitch SPY: An Emerging Android RAT Distributed Through a Fake Polish Rental App https://cyble.com/blog/glitch-spy-rat-distributed-via-fake-polish-app/ Report completeness: Medium Threats: Glitch_spy Brokewell…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Glitch SPY — это продвинутая Троянская программа для удалённого доступа (RAT) для Android, распространяемая через мошенническое приложение для аренды, нацеленное на пользователей в Польше. После установки она использует службу доступности Android для автоматического предоставления разрешений, что обеспечивает расширенные возможности наблюдения, такие как потоковая передача экрана в реальном времени, регистрация нажатий клавиш, кража SMS и удалённый доступ к камере и микрофону. В ней также присутствует крипто-клиппер, нацеленный на пользователей криптовалют, который заменяет скопированные адреса кошельков, а также настраиваемый модуль Builder, позволяющий злоумышленникам создавать адаптированные полез
-----
Glitch SPY — это новая Android Троянская программа (RAT), которая была выявлена как распространяемая через мошенническое польское приложение для аренды, предназначенное для обмана пользователей с целью заставить их загрузить APK-файл. Это ВПО в основном нацелено на лиц в Польше и польских эмигрантов, используя сайт-приманку на тему аренды. После установки приложение функционирует как дроппер, что приводит к установке полезной нагрузки Glitch SPY под предлогом предоставления функций, связанных с арендой. Критически важным для его работы является то, что ВПО использует службу доступности Android для автоматического предоставления разрешений и выполнения широкого спектра вредоносных действий с минимальным взаимодействием со стороны пользователя.
Glitch SPY устанавливает постоянное соединение со своим сервером управления (C&C) через канал WebSocket, поддерживая более 70 команд, которые обеспечивают широкие возможности для слежки. К ним относятся потоковая передача экрана в реальном времени, Регистрация нажатий клавиш, кража SMS, доступ к контактам и журналам вызовов, а также удаленное управление для мониторинга камеры и микрофона. Примечательно, что он обладает функцией крипто-клиппера, которая перехватывает и заменяет скопированные адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками, целенаправленно воздействуя на пользователей криптовалют. Эта возможность охватывает несколько форматов блокчейна, обеспечивая ее адаптивность против различных типов кошельков.
Вредоносное ПО также включает модуль Builder, позволяющий злоумышленникам настраивать Android- payloads с конкретными именами, идентификаторами пакетов и значками, что указывает на фреймворк, предназначенный для нескольких кампаний, а не для единичной целевой атаки. В ходе анализа инфраструктуры вредоносного ПО стало очевидно, что заражение позволяет осуществлять контроль над устройством жертвы в реальном времени, с возможностью захвата содержимого экрана, выполнения команд и удаленного управления файлами.
После установки Glitch SPY пытается включить специальные возможности на устройстве, тем самым получая критические разрешения для выполнения своих вредоносных функций. Способность ВПО к эксфильтрации конфиденциальных данных усиливается за счет взаимодействия с активным экраном, что позволяет злоумышленникам наблюдать за действиями пользователя и собирать информацию, отображаемую в приложениях, связанных с банковским сектором и аутентификацией.
В заключение, Glitch SPY представляет собой сложную угрозу для Android, объединяющую различные возможности в единой платформе, что отражает фокус на слежке, удаленном управлении и финансовом мошенничестве. Его первоначальное распространение через фасад легитимных сервисов подчеркивает более широкую тенденцию создания ВПО, предназначенного для эксплуатации доверия пользователей и манипуляции функциональностью мобильных устройств в корыстных целях. Поскольку это ВПО продолжает развиваться, оно представляет значительную угрозу, особенно для тех, кто может неосознанно предоставить повышенные разрешения сомнительным приложениям.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Glitch SPY — это продвинутая Троянская программа для удалённого доступа (RAT) для Android, распространяемая через мошенническое приложение для аренды, нацеленное на пользователей в Польше. После установки она использует службу доступности Android для автоматического предоставления разрешений, что обеспечивает расширенные возможности наблюдения, такие как потоковая передача экрана в реальном времени, регистрация нажатий клавиш, кража SMS и удалённый доступ к камере и микрофону. В ней также присутствует крипто-клиппер, нацеленный на пользователей криптовалют, который заменяет скопированные адреса кошельков, а также настраиваемый модуль Builder, позволяющий злоумышленникам создавать адаптированные полез
-----
Glitch SPY — это новая Android Троянская программа (RAT), которая была выявлена как распространяемая через мошенническое польское приложение для аренды, предназначенное для обмана пользователей с целью заставить их загрузить APK-файл. Это ВПО в основном нацелено на лиц в Польше и польских эмигрантов, используя сайт-приманку на тему аренды. После установки приложение функционирует как дроппер, что приводит к установке полезной нагрузки Glitch SPY под предлогом предоставления функций, связанных с арендой. Критически важным для его работы является то, что ВПО использует службу доступности Android для автоматического предоставления разрешений и выполнения широкого спектра вредоносных действий с минимальным взаимодействием со стороны пользователя.
Glitch SPY устанавливает постоянное соединение со своим сервером управления (C&C) через канал WebSocket, поддерживая более 70 команд, которые обеспечивают широкие возможности для слежки. К ним относятся потоковая передача экрана в реальном времени, Регистрация нажатий клавиш, кража SMS, доступ к контактам и журналам вызовов, а также удаленное управление для мониторинга камеры и микрофона. Примечательно, что он обладает функцией крипто-клиппера, которая перехватывает и заменяет скопированные адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками, целенаправленно воздействуя на пользователей криптовалют. Эта возможность охватывает несколько форматов блокчейна, обеспечивая ее адаптивность против различных типов кошельков.
Вредоносное ПО также включает модуль Builder, позволяющий злоумышленникам настраивать Android- payloads с конкретными именами, идентификаторами пакетов и значками, что указывает на фреймворк, предназначенный для нескольких кампаний, а не для единичной целевой атаки. В ходе анализа инфраструктуры вредоносного ПО стало очевидно, что заражение позволяет осуществлять контроль над устройством жертвы в реальном времени, с возможностью захвата содержимого экрана, выполнения команд и удаленного управления файлами.
После установки Glitch SPY пытается включить специальные возможности на устройстве, тем самым получая критические разрешения для выполнения своих вредоносных функций. Способность ВПО к эксфильтрации конфиденциальных данных усиливается за счет взаимодействия с активным экраном, что позволяет злоумышленникам наблюдать за действиями пользователя и собирать информацию, отображаемую в приложениях, связанных с банковским сектором и аутентификацией.
В заключение, Glitch SPY представляет собой сложную угрозу для Android, объединяющую различные возможности в единой платформе, что отражает фокус на слежке, удаленном управлении и финансовом мошенничестве. Его первоначальное распространение через фасад легитимных сервисов подчеркивает более широкую тенденцию создания ВПО, предназначенного для эксплуатации доверия пользователей и манипуляции функциональностью мобильных устройств в корыстных целях. Поскольку это ВПО продолжает развиваться, оно представляет значительную угрозу, особенно для тех, кто может неосознанно предоставить повышенные разрешения сомнительным приложениям.
#ParsedReport #CompletenessMedium
29-06-2026
Chrome and Firefox Extensions Posing as Free VPNs Add Clipboard Stealers via Malicious Updates
https://socket.dev/blog/chrome-and-firefox-extensions-free-vpns-add-clipboard-stealers
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Browser extension users, Chrome web store users, Mozilla firefox users, Cryptocurrency users
Industry:
E-commerce
TTPs:
Tactics: 2
Technics: 7
IOCs:
Url: 6
File: 10
IP: 3
BrowserExtension: 1
Hash: 5
Soft:
Chrome, Firefox, Mozilla Firefox
Algorithms:
sha256
Functions:
setInterval
Win API:
sendMessage
Languages:
php, javascript
29-06-2026
Chrome and Firefox Extensions Posing as Free VPNs Add Clipboard Stealers via Malicious Updates
https://socket.dev/blog/chrome-and-firefox-extensions-free-vpns-add-clipboard-stealers
Report completeness: Medium
Threats:
Supply_chain_technique
Victims:
Browser extension users, Chrome web store users, Mozilla firefox users, Cryptocurrency users
Industry:
E-commerce
TTPs:
Tactics: 2
Technics: 7
IOCs:
Url: 6
File: 10
IP: 3
BrowserExtension: 1
Hash: 5
Soft:
Chrome, Firefox, Mozilla Firefox
Algorithms:
sha256
Functions:
setInterval
Win API:
sendMessage
Languages:
php, javascript
Socket
Chrome and Firefox Extensions Posing as Free VPNs Add Clipbo...
Malicious Chrome and Firefox extensions posed as free VPNs while stealing clipboard data through later extension updates.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-06-2026 Chrome and Firefox Extensions Posing as Free VPNs Add Clipboard Stealers via Malicious Updates https://socket.dev/blog/chrome-and-firefox-extensions-free-vpns-add-clipboard-stealers Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Два расширения для браузера, выдающие себя за VPN-сервисы, VPN Go: Free VPN, оказались заражены вредоносным ПО, крадущим данные из буфера обмена. Начиная с версии 1.1 для Chrome и 1.3.3 для Firefox эти расширения начали захватывать конфиденциальные данные из буфера обмена, такие как пароли и API-ключи, и передавать их на серверы, контролируемые злоумышленником. Вредоносная активность была скрыта после обновления, используя стратегию для уклонения от обнаружения и эксплуатации доверия пользователей к инструментам, выглядящим легитимно, одновременно облегчая непрерывное хищение данных.
-----
Два браузерных расширения, маскирующихся под VPN-сервисы, VPN Go: Free VPN, используются для распространения вредоносного ПО, крадущего данные из буфера обмена.
Эти расширения постоянно захватывают и выводят конфиденциальные данные, такие как пароли и ключи API.
Кража данных из буфера обмена является основным методом, используемым для сбора учетных данных за счет эксплуатации поведения пользователей без сложных установок.
Вредоносные функции активируются только после определённых обновлений версий, скрывая истинное назначение расширений.
В версии 1.1 для Chrome была введена функция мониторинга буфера обмена с интервалом 500 миллисекунд, при этом захваченные данные отправлялись на жёстко заданный URL.
В последующих версиях точки эксфильтрации были изменены для избежания обнаружения.
Версия Firefox 1.3.3 также добавила возможности кражи буфера обмена, следуя аналогичному паттерну обновления.
Расширения могут получать доступ к данным из буфера обмена без взаимодействия с пользователем, обеспечивая непрерывный мониторинг скопированного текста.
Они утверждают, что предлагают функциональность VPN в качестве прикрытие для своей вредоносной деятельности, одновременно перехватывая данные в пути передачи.
Пользователям рекомендуется удалить расширения и считать любые данные, скопированные во время их работы, скомпрометированными.
Техники атаки соответствуют фреймворку MITRE ATT&CK, особенно в части расширений браузера, выполнения с участием пользователя и эксфильтрации данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Два расширения для браузера, выдающие себя за VPN-сервисы, VPN Go: Free VPN, оказались заражены вредоносным ПО, крадущим данные из буфера обмена. Начиная с версии 1.1 для Chrome и 1.3.3 для Firefox эти расширения начали захватывать конфиденциальные данные из буфера обмена, такие как пароли и API-ключи, и передавать их на серверы, контролируемые злоумышленником. Вредоносная активность была скрыта после обновления, используя стратегию для уклонения от обнаружения и эксплуатации доверия пользователей к инструментам, выглядящим легитимно, одновременно облегчая непрерывное хищение данных.
-----
Два браузерных расширения, маскирующихся под VPN-сервисы, VPN Go: Free VPN, используются для распространения вредоносного ПО, крадущего данные из буфера обмена.
Эти расширения постоянно захватывают и выводят конфиденциальные данные, такие как пароли и ключи API.
Кража данных из буфера обмена является основным методом, используемым для сбора учетных данных за счет эксплуатации поведения пользователей без сложных установок.
Вредоносные функции активируются только после определённых обновлений версий, скрывая истинное назначение расширений.
В версии 1.1 для Chrome была введена функция мониторинга буфера обмена с интервалом 500 миллисекунд, при этом захваченные данные отправлялись на жёстко заданный URL.
В последующих версиях точки эксфильтрации были изменены для избежания обнаружения.
Версия Firefox 1.3.3 также добавила возможности кражи буфера обмена, следуя аналогичному паттерну обновления.
Расширения могут получать доступ к данным из буфера обмена без взаимодействия с пользователем, обеспечивая непрерывный мониторинг скопированного текста.
Они утверждают, что предлагают функциональность VPN в качестве прикрытие для своей вредоносной деятельности, одновременно перехватывая данные в пути передачи.
Пользователям рекомендуется удалить расширения и считать любые данные, скопированные во время их работы, скомпрометированными.
Техники атаки соответствуют фреймворку MITRE ATT&CK, особенно в части расширений браузера, выполнения с участием пользователя и эксфильтрации данных.
#ParsedReport #CompletenessMedium
30-06-2026
RustDuck: An In-Depth Analysis of a Two-Stage Botnet
https://blog.xlab.qianxin.com/rustduck-en/
Report completeness: Medium
Threats:
Rustduck
Mitm_technique
Victims:
Internet of things devices, Web applications, Enterprise infrastructure, Routers, Cameras, Android terminals, Server environments
Industry:
Media, Iot
CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532_firmware (-)
CVE-2018-8007 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache couchdb (le1.7.1, le2.1.1)
CVE-2024-1781 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- totolink x6000r_firmware (9.4.0cu.852_b20230719)
CVE-2025-29635 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-823x_firmware (240126, 240802)
ChatGPT TTPs:
T1027, T1110.001, T1190, T1210, T1497.003, T1498, T1573.001, T1622
IOCs:
IP: 1
Hash: 4
Soft:
Android, ThinkPHP, Jenkins, virtualbox
Algorithms:
exhibit, chacha20, aes-gcm, curve25519, xor, sha1, chacha20-poly1305, sha256, ecdh
Functions:
check_timing_safetly, check_network_blackhole
Languages:
rust
Platforms:
cross-platform
30-06-2026
RustDuck: An In-Depth Analysis of a Two-Stage Botnet
https://blog.xlab.qianxin.com/rustduck-en/
Report completeness: Medium
Threats:
Rustduck
Mitm_technique
Victims:
Internet of things devices, Web applications, Enterprise infrastructure, Routers, Cameras, Android terminals, Server environments
Industry:
Media, Iot
CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532_firmware (-)
CVE-2018-8007 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache couchdb (le1.7.1, le2.1.1)
CVE-2024-1781 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- totolink x6000r_firmware (9.4.0cu.852_b20230719)
CVE-2025-29635 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-823x_firmware (240126, 240802)
ChatGPT TTPs:
do not use without manual checkT1027, T1110.001, T1190, T1210, T1497.003, T1498, T1573.001, T1622
IOCs:
IP: 1
Hash: 4
Soft:
Android, ThinkPHP, Jenkins, virtualbox
Algorithms:
exhibit, chacha20, aes-gcm, curve25519, xor, sha1, chacha20-poly1305, sha256, ecdh
Functions:
check_timing_safetly, check_network_blackhole
Languages:
rust
Platforms:
cross-platform
奇安信 X 实验室
RustDuck: An In-Depth Analysis of a Two-Stage Botnet
Overview
Since February 2026, the XLAB large-scale network threat perception system has detected a new malware family active in cyberspace that adopts a Loader + Core (two-stage loading) architecture. Currently, the family has spawned multiple variants…
Since February 2026, the XLAB large-scale network threat perception system has detected a new malware family active in cyberspace that adopts a Loader + Core (two-stage loading) architecture. Currently, the family has spawned multiple variants…
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 RustDuck: An In-Depth Analysis of a Two-Stage Botnet https://blog.xlab.qianxin.com/rustduck-en/ Report completeness: Medium Threats: Rustduck Mitm_technique Victims: Internet of things devices, Web applications…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RustDuck — это семейство ВПО, характеризующееся двухэтапной архитектурой Loader + Core, в первую очередь предназначенное для масштабных DDoS-атак и демонстрирующее кроссплатформенную адаптивность. Оно переходит с C на Rust, улучшая свои операционные возможности, включая продвинутые меры противодействия защите и шифрование трафика. Распространение использует слабый парольный брутфорс через Telnet и SSH, а также эксплуатацию различных уязвимостей RCE в устройствах и веб-приложениях, нацеливаясь на множество CVE для расширения поверхности атаки.
-----
RustDuck — новое семейство ВПО, выявленное с февраля 2026 года, характеризующееся двухэтапной архитектурой Loader + Core. В первую очередь оно обеспечивает проведение крупномасштабных атак типа Distributed Denial-of-Service (DDoS), демонстрируя превосходную кроссплатформенную адаптивность и способность к непрерывному технологическому развитию. Данное семейство ВПО проходит переход с языка программирования C на Rust, что повышает инженерную сложность и операционные возможности, включая механизмы противодействия защите и шифрование трафика.
Методы распространения вредоносного ПО RustDuck нацелены на широкий спектр устройств, включая продукты Интернета вещей (IoT), веб-приложения и корпоративные инфраструктуры. Его основные векторы атаки состоят из брутфорса слабых паролей — преимущественно с использованием Telnet и SSH — и эксплуатации уязвимостей Удаленного Выполнения Кода (RCE). Выявленные уязвимости включают те, что присутствуют в Android ADB, TVT API, Ruijie, TP-Link и ZTE, среди прочего. Кроме того, оно использует уязвимости, содержащиеся в веб-компонентах, таких как ThinkPHP, Jenkins и YARN. Вредоносное ПО также применяет несколько Common Vulnerabilities and Exposures (CVE), а именно CVE-2025-29635, CVE-2017-17215, CVE-2018-8007 и CVE-2024-1781, чтобы расширить свою поверхность атаки. Совокупность этих методов указывает на стратегию распространения, которая объединяет слабые пароли, уязвимости IoT и эксплойты RCE на основе веб-технологий, что позволяет осуществлять масштабные автоматизированные вторжения и доставку полезной нагрузки.
Модуль Core RustDuck демонстрирует продвинутые инженерные решения, направленные на улучшение процесса вывода ключей, защиты от анализа и протоколов связи. В частности, механизмы антиотладки реализованы для обнаружения аномалий, которые могут указывать на попытки реверс-инжиниринга, с использованием проверок, измеряющих временные расхождения и статусы сетевой доступности. Например, проверки времени оценивают отклонения во времени выполнения между различными источниками тактовых сигналов, тем самым определяя наличие сред песочницы, пытающихся манипулировать потоком выполнения. Сетевые проверки оценивают попытки подключения среды, чтобы различать реальные и поддельные сетевые ситуации.
На последующих этапах своей работы RustDuck реализует независимую схему шифрования, предназначенную для повышения защиты от атак типа «человек посередине». Во время передачи данных производный ключ шифрования тщательно разделяется для раздельного управления потоками данных в каналах «отправитель-получатель» и «получатель-отправитель». Такое структурное разделение подчеркивает продвинутый подход вредоносного ПО к обеспечению безопасности каналов связи, а также дополнительно демонстрирует его возможности для эволюции и адаптации в условиях кибератак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RustDuck — это семейство ВПО, характеризующееся двухэтапной архитектурой Loader + Core, в первую очередь предназначенное для масштабных DDoS-атак и демонстрирующее кроссплатформенную адаптивность. Оно переходит с C на Rust, улучшая свои операционные возможности, включая продвинутые меры противодействия защите и шифрование трафика. Распространение использует слабый парольный брутфорс через Telnet и SSH, а также эксплуатацию различных уязвимостей RCE в устройствах и веб-приложениях, нацеливаясь на множество CVE для расширения поверхности атаки.
-----
RustDuck — новое семейство ВПО, выявленное с февраля 2026 года, характеризующееся двухэтапной архитектурой Loader + Core. В первую очередь оно обеспечивает проведение крупномасштабных атак типа Distributed Denial-of-Service (DDoS), демонстрируя превосходную кроссплатформенную адаптивность и способность к непрерывному технологическому развитию. Данное семейство ВПО проходит переход с языка программирования C на Rust, что повышает инженерную сложность и операционные возможности, включая механизмы противодействия защите и шифрование трафика.
Методы распространения вредоносного ПО RustDuck нацелены на широкий спектр устройств, включая продукты Интернета вещей (IoT), веб-приложения и корпоративные инфраструктуры. Его основные векторы атаки состоят из брутфорса слабых паролей — преимущественно с использованием Telnet и SSH — и эксплуатации уязвимостей Удаленного Выполнения Кода (RCE). Выявленные уязвимости включают те, что присутствуют в Android ADB, TVT API, Ruijie, TP-Link и ZTE, среди прочего. Кроме того, оно использует уязвимости, содержащиеся в веб-компонентах, таких как ThinkPHP, Jenkins и YARN. Вредоносное ПО также применяет несколько Common Vulnerabilities and Exposures (CVE), а именно CVE-2025-29635, CVE-2017-17215, CVE-2018-8007 и CVE-2024-1781, чтобы расширить свою поверхность атаки. Совокупность этих методов указывает на стратегию распространения, которая объединяет слабые пароли, уязвимости IoT и эксплойты RCE на основе веб-технологий, что позволяет осуществлять масштабные автоматизированные вторжения и доставку полезной нагрузки.
Модуль Core RustDuck демонстрирует продвинутые инженерные решения, направленные на улучшение процесса вывода ключей, защиты от анализа и протоколов связи. В частности, механизмы антиотладки реализованы для обнаружения аномалий, которые могут указывать на попытки реверс-инжиниринга, с использованием проверок, измеряющих временные расхождения и статусы сетевой доступности. Например, проверки времени оценивают отклонения во времени выполнения между различными источниками тактовых сигналов, тем самым определяя наличие сред песочницы, пытающихся манипулировать потоком выполнения. Сетевые проверки оценивают попытки подключения среды, чтобы различать реальные и поддельные сетевые ситуации.
На последующих этапах своей работы RustDuck реализует независимую схему шифрования, предназначенную для повышения защиты от атак типа «человек посередине». Во время передачи данных производный ключ шифрования тщательно разделяется для раздельного управления потоками данных в каналах «отправитель-получатель» и «получатель-отправитель». Такое структурное разделение подчеркивает продвинутый подход вредоносного ПО к обеспечению безопасности каналов связи, а также дополнительно демонстрирует его возможности для эволюции и адаптации в условиях кибератак.
#ParsedReport #CompletenessHigh
30-06-2026
A Djinn in the Machine: TaskWeaver’s Node.js Intrusion Chain
https://blackpointcyber.com/blog/a-djinn-in-the-machine-taskweavers-node-js-intrusion-chain/
Report completeness: High
Threats:
Djinn
Taskweaver_tool
Simplehelp_tool
Supply_chain_technique
Dev_tunnels_tool
Deno_tool
Victims:
Managed service providers, Developers, Administrators, Customer environments
Industry:
Transport
CVEs:
CVE-2026-48558 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.16, 6.0)
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1036.005, T1041, T1059.007, T1071.001, T1082, T1083, T1105, T1119, have more...
IOCs:
File: 7
Hash: 2
Domain: 2
IP: 1
Soft:
ode.js In, Node.js, macOS, Linux, trycloudflare, Electron, Okta, Supabase, HashiCorp Vault, Docker, have more...
Wallets:
zcash, atomicwallet, electrum
Crypto:
bitcoin, litecoin, dogecoin, ethereum, monero
Algorithms:
rsa-2048, aes-256-gcm, aes, gzip
Functions:
TaskWeaver
Languages:
javascript, powershell, scala, python
Platforms:
cross-platform
30-06-2026
A Djinn in the Machine: TaskWeaver’s Node.js Intrusion Chain
https://blackpointcyber.com/blog/a-djinn-in-the-machine-taskweavers-node-js-intrusion-chain/
Report completeness: High
Threats:
Djinn
Taskweaver_tool
Simplehelp_tool
Supply_chain_technique
Dev_tunnels_tool
Deno_tool
Victims:
Managed service providers, Developers, Administrators, Customer environments
Industry:
Transport
CVEs:
CVE-2026-48558 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.16, 6.0)
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036.005, T1041, T1059.007, T1071.001, T1082, T1083, T1105, T1119, have more...
IOCs:
File: 7
Hash: 2
Domain: 2
IP: 1
Soft:
ode.js In, Node.js, macOS, Linux, trycloudflare, Electron, Okta, Supabase, HashiCorp Vault, Docker, have more...
Wallets:
zcash, atomicwallet, electrum
Crypto:
bitcoin, litecoin, dogecoin, ethereum, monero
Algorithms:
rsa-2048, aes-256-gcm, aes, gzip
Functions:
TaskWeaver
Languages:
javascript, powershell, scala, python
Platforms:
cross-platform
Vulners Database
CVE-2026-48558 - vulnerability database | Vulners.com
Summary of vulnerability (CVE-2026-48558) : SimpleHelp versions 5.5.15 and earlier and 6.0 pre-release contain an authentication bypass in the OpenID Connect (OIDC) flow. When OIDC is configured, identity tokens are accepted without cryptographic ...
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 A Djinn in the Machine: TaskWeaver’s Node.js Intrusion Chain https://blackpointcyber.com/blog/a-djinn-in-the-machine-taskweavers-node-js-intrusion-chain/ Report completeness: High Threats: Djinn Taskweaver_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование выявило сложную атаку с использованием двух типов вредоносного ПО: TaskWeaver, зашифрованный загрузчик Node.js, и Djinn Stealer. Атака использовала уязвимость CVE-2026-48558, обход аутентификации в фреймворке SimpleHelp OIDC, что позволило несанкционированный доступ к сеансу удаленного техника. TaskWeaver устанавливает скрытый канал C2 для развертывания вредоносного ПО, в то время как Djinn Stealer нацелен на конфиденциальные данные на нескольких платформах, представляя серьезную угрозу для целостности Цепочки поставок и подчеркивая уязвимости в инструментах удаленного управления.
-----
Атака использовала два образца ВПО: TaskWeaver и Djinn стиллер.
CVE-2026-48558, обход аутентификации во фреймворке SimpleHelp OIDC, был использован для получения несанкционированного доступа.
TaskWeaver — это сильно зашифрованный загрузчик Node.js, замаскированный под библиотеку jQuery.
Он устанавливает зашифрованный канал для доставки полезной нагрузки и избегает статических команд после эксплуатации.
Протокол C2 и операционный фреймворк TaskWeaver могут быть реконструированы посредством надлежащего анализа.
Загрузчик динамически восстанавливает критические функции для обхода обнаружения общими средствами защиты.
Djinn Stealer работает на Windows, macOS и Linux, предназначен для эксфильтрации конфиденциальной информации.
Он нацелен на учетные данные из облачных платформ, инструментов разработки, систем управления исходным кодом и криптовалютных кошельков.
Djinn Stealer может обходить пользовательские каталоги и собирать файлы, минимизируя риски обнаружения.
ВПО нацелено на конфигурации различных облачных провайдеров и реестров программного обеспечения, создавая риск компрометации цепочки поставок.
Первоначальный эксплойт предоставлял легитимные возможности удаленного управления для выполнения ВПО без вызова тревог.
Архитектура полезной нагрузки использует шифрование AES-256-GCM для собранных данных с применением открытого RSA-ключа из TaskWeaver.
Одна уязвимость может поставить под угрозу несколько сред провайдеров управляемых услуг (MSP), использующих скомпрометированные инструменты.
Полученные данные подчеркивают необходимость для MSP усилить безопасность вокруг интерфейсов удаленного управления и обеспечить соблюдение контроля доступа.
Мониторинг аномальной активности из легитимных путей выполнения команд имеет решающее значение для сдерживания.
Стратегии также должны защищать пользовательские данные и операционную целостность от угроз продвинутого постоянного характера.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование выявило сложную атаку с использованием двух типов вредоносного ПО: TaskWeaver, зашифрованный загрузчик Node.js, и Djinn Stealer. Атака использовала уязвимость CVE-2026-48558, обход аутентификации в фреймворке SimpleHelp OIDC, что позволило несанкционированный доступ к сеансу удаленного техника. TaskWeaver устанавливает скрытый канал C2 для развертывания вредоносного ПО, в то время как Djinn Stealer нацелен на конфиденциальные данные на нескольких платформах, представляя серьезную угрозу для целостности Цепочки поставок и подчеркивая уязвимости в инструментах удаленного управления.
-----
Атака использовала два образца ВПО: TaskWeaver и Djinn стиллер.
CVE-2026-48558, обход аутентификации во фреймворке SimpleHelp OIDC, был использован для получения несанкционированного доступа.
TaskWeaver — это сильно зашифрованный загрузчик Node.js, замаскированный под библиотеку jQuery.
Он устанавливает зашифрованный канал для доставки полезной нагрузки и избегает статических команд после эксплуатации.
Протокол C2 и операционный фреймворк TaskWeaver могут быть реконструированы посредством надлежащего анализа.
Загрузчик динамически восстанавливает критические функции для обхода обнаружения общими средствами защиты.
Djinn Stealer работает на Windows, macOS и Linux, предназначен для эксфильтрации конфиденциальной информации.
Он нацелен на учетные данные из облачных платформ, инструментов разработки, систем управления исходным кодом и криптовалютных кошельков.
Djinn Stealer может обходить пользовательские каталоги и собирать файлы, минимизируя риски обнаружения.
ВПО нацелено на конфигурации различных облачных провайдеров и реестров программного обеспечения, создавая риск компрометации цепочки поставок.
Первоначальный эксплойт предоставлял легитимные возможности удаленного управления для выполнения ВПО без вызова тревог.
Архитектура полезной нагрузки использует шифрование AES-256-GCM для собранных данных с применением открытого RSA-ключа из TaskWeaver.
Одна уязвимость может поставить под угрозу несколько сред провайдеров управляемых услуг (MSP), использующих скомпрометированные инструменты.
Полученные данные подчеркивают необходимость для MSP усилить безопасность вокруг интерфейсов удаленного управления и обеспечить соблюдение контроля доступа.
Мониторинг аномальной активности из легитимных путей выполнения команд имеет решающее значение для сдерживания.
Стратегии также должны защищать пользовательские данные и операционную целостность от угроз продвинутого постоянного характера.
#ParsedReport #CompletenessMedium
30-06-2026
SideWinder APT: The Spy That Turned to the Sea
https://barricadecyber.com/sidewinder-apt-the-spy-that-turned-to-the-sea/
Report completeness: Medium
Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)
Threats:
Stealerbot
Process_injection_technique
Uac_bypass_technique
Warhawk
Revenge_rat
Njrat
Spear-phishing_technique
Ghostnet
Dll_sideloading_technique
Victims:
Government, Military, Maritime ports, Maritime shipping, Port logistics, Nuclear agencies, Diplomatic missions, Energy infrastructure, Financial services
Industry:
Financial, Entertainment, Maritime, Logistic, Transport, Nuclear_power, Energy, Military, Government, Telco
Geo:
Middle east, France, Jordan, Pakistan, Turkey, Egypt, Indian, Asia, China, Nepal, Sri lanka, Morocco, Maldives, Bangladesh, Asian, India, Afghanistan, Djibouti, Saudi arabia, Africa, Myanmar, Indonesia
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
TTPs:
Tactics: 8
Technics: 16
IOCs:
File: 10
Domain: 6
Soft:
Microsoft Office, Chrome, credential dialog, Windows authentication
Algorithms:
xor, zip
Functions:
SetWindowsHookEx
Win API:
AmsiScanBuffer
Languages:
javascript
30-06-2026
SideWinder APT: The Spy That Turned to the Sea
https://barricadecyber.com/sidewinder-apt-the-spy-that-turned-to-the-sea/
Report completeness: Medium
Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)
Threats:
Stealerbot
Process_injection_technique
Uac_bypass_technique
Warhawk
Revenge_rat
Njrat
Spear-phishing_technique
Ghostnet
Dll_sideloading_technique
Victims:
Government, Military, Maritime ports, Maritime shipping, Port logistics, Nuclear agencies, Diplomatic missions, Energy infrastructure, Financial services
Industry:
Financial, Entertainment, Maritime, Logistic, Transport, Nuclear_power, Energy, Military, Government, Telco
Geo:
Middle east, France, Jordan, Pakistan, Turkey, Egypt, Indian, Asia, China, Nepal, Sri lanka, Morocco, Maldives, Bangladesh, Asian, India, Afghanistan, Djibouti, Saudi arabia, Africa, Myanmar, Indonesia
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
TTPs:
Tactics: 8
Technics: 16
IOCs:
File: 10
Domain: 6
Soft:
Microsoft Office, Chrome, credential dialog, Windows authentication
Algorithms:
xor, zip
Functions:
SetWindowsHookEx
Win API:
AmsiScanBuffer
Languages:
javascript
Barricade Cyber Solutions
SideWinder APT: The Spy That Turned to the Sea - Barricade Cyber Solutions
A suspected Indian state-backed espionage group rewrote its playbook in 2024 — pivoting from South Asian government networks to maritime ports, nuclear
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 SideWinder APT: The Spy That Turned to the Sea https://barricadecyber.com/sidewinder-apt-the-spy-that-turned-to-the-sea/ Report completeness: Medium Actors/Campaigns: Sidewinder (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа SideWinder APT (G0121), связанная с кибероперациями, спонсируемыми индийским государством, расширила цели в 2024 году, включив в них морские порты, ядерные агентства и дипломатические миссии в 18 странах, используя новое скрытое модульное ВПО под названием StealerBot. Этот имплантат на базе .NET работает полностью в памяти для избежания обнаружения, выполняя шпионские действия, такие как логирование нажатий клавиш и кража учетных данных. Группа эксплуатирует не исправленную уязвимость Microsoft Office CVE-2017-11882, применяя многоэтапную атаку, которая минимизирует следы криминалистический анализ и усложняет защитные меры.
-----
Группа SideWinder APT, идентифицированная как G0121 в MITRE ATT&CK и связанная с кибершпионажем, финансируемым индийским государством, в 2024 году значительно сместила свой операционный фокус. Если ранее SideWinder нацеливалась преимущественно на правительственные и военные сети стран Южной Азии, то теперь она представляет угрозу для морских портов, атомных агентств и дипломатических миссий в 18 странах. Эта стратегическая переориентация существенно расширяет масштаб её деятельности, увеличивая круг потенциальных жертв и подчеркивая необходимость усиления мер кибербезопасности в различных секторах, включая морскую логистику, энергетическую инфраструктуру и дипломатические службы в регионе Индийского океана.
В основе недавних кампаний SideWinder лежит новый вредоносный модуль под названием StealerBot. Этот модульный инструмент на базе .NET разработан для обхода традиционных методов обнаружения на конечных точках за счет работы исключительно в памяти без оставления следов на диске. StealerBot выполняет различные шпионские операции, включая захват скриншотов, логирование нажатий клавиш, кражу информации из браузеров и перехват учетных данных для удаленного рабочего стола. Его способность выполняться без создания криминалистический анализ артефактов усложняет усилия по обнаружению и реагированию.
Цепочка заражения, используемая SideWinder, эксплуатирует хорошо известную уязвимость в Microsoft Office (CVE-2017-11882), которая остается незакрытой во многих устаревших корпоративных средах. Этот многоэтапный процесс атаки минимизирует следы криминалистический анализ на каждом этапе, что затрудняет проактивное обнаружение. Что касается инфраструктуры, группа использует согласованные шаблоны, часто регистрируя домены, имитирующие легитимные государственные и военные организации, для облегчения операций управления. Их инфраструктура часто меняется, используя легитимные хостинг-сервисы для доставки фишинга, чтобы избежать обнаружения.
Исторически SideWinder использовал различные инструменты ВПО, включая WarHawk и более ранние коммерческие RAT, такие как Revenge RAT, однако зрелость и сложность, продемонстрированные StealerBot, свидетельствуют о переходе к более надежным и скрытным тактикам. Операционные возможности группы выросли, представляя реальную угрозу для более широкого круга организаций, выходящего за рамки их ранее ограниченного географического фокуса.
Для укрепления защиты от SideWinder организациям в уязвимых секторах необходимо приоритизировать установку исправлений для вектора эксплуатации, связанного с CVE-2017-11882, внедрить решения по поведенческому обнаружению и реагированию на конечных точках, способные отслеживать активность в памяти, а также усилить фишинг-симуляции, адаптированные под тактические операции группы. Повышенная бдительность и стратегическая готовность необходимы для защиты от этой развивающейся киберугрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа SideWinder APT (G0121), связанная с кибероперациями, спонсируемыми индийским государством, расширила цели в 2024 году, включив в них морские порты, ядерные агентства и дипломатические миссии в 18 странах, используя новое скрытое модульное ВПО под названием StealerBot. Этот имплантат на базе .NET работает полностью в памяти для избежания обнаружения, выполняя шпионские действия, такие как логирование нажатий клавиш и кража учетных данных. Группа эксплуатирует не исправленную уязвимость Microsoft Office CVE-2017-11882, применяя многоэтапную атаку, которая минимизирует следы криминалистический анализ и усложняет защитные меры.
-----
Группа SideWinder APT, идентифицированная как G0121 в MITRE ATT&CK и связанная с кибершпионажем, финансируемым индийским государством, в 2024 году значительно сместила свой операционный фокус. Если ранее SideWinder нацеливалась преимущественно на правительственные и военные сети стран Южной Азии, то теперь она представляет угрозу для морских портов, атомных агентств и дипломатических миссий в 18 странах. Эта стратегическая переориентация существенно расширяет масштаб её деятельности, увеличивая круг потенциальных жертв и подчеркивая необходимость усиления мер кибербезопасности в различных секторах, включая морскую логистику, энергетическую инфраструктуру и дипломатические службы в регионе Индийского океана.
В основе недавних кампаний SideWinder лежит новый вредоносный модуль под названием StealerBot. Этот модульный инструмент на базе .NET разработан для обхода традиционных методов обнаружения на конечных точках за счет работы исключительно в памяти без оставления следов на диске. StealerBot выполняет различные шпионские операции, включая захват скриншотов, логирование нажатий клавиш, кражу информации из браузеров и перехват учетных данных для удаленного рабочего стола. Его способность выполняться без создания криминалистический анализ артефактов усложняет усилия по обнаружению и реагированию.
Цепочка заражения, используемая SideWinder, эксплуатирует хорошо известную уязвимость в Microsoft Office (CVE-2017-11882), которая остается незакрытой во многих устаревших корпоративных средах. Этот многоэтапный процесс атаки минимизирует следы криминалистический анализ на каждом этапе, что затрудняет проактивное обнаружение. Что касается инфраструктуры, группа использует согласованные шаблоны, часто регистрируя домены, имитирующие легитимные государственные и военные организации, для облегчения операций управления. Их инфраструктура часто меняется, используя легитимные хостинг-сервисы для доставки фишинга, чтобы избежать обнаружения.
Исторически SideWinder использовал различные инструменты ВПО, включая WarHawk и более ранние коммерческие RAT, такие как Revenge RAT, однако зрелость и сложность, продемонстрированные StealerBot, свидетельствуют о переходе к более надежным и скрытным тактикам. Операционные возможности группы выросли, представляя реальную угрозу для более широкого круга организаций, выходящего за рамки их ранее ограниченного географического фокуса.
Для укрепления защиты от SideWinder организациям в уязвимых секторах необходимо приоритизировать установку исправлений для вектора эксплуатации, связанного с CVE-2017-11882, внедрить решения по поведенческому обнаружению и реагированию на конечных точках, способные отслеживать активность в памяти, а также усилить фишинг-симуляции, адаптированные под тактические операции группы. Повышенная бдительность и стратегическая готовность необходимы для защиты от этой развивающейся киберугрозы.
#ParsedReport #CompletenessHigh
30-06-2026
Clubfoot Wolf Is Massively Compromising Russian Companies
https://bi.zone/expertise/blog/clubfoot-wolf-massovo-komprometiruet-rossiyskie-kompanii/
Report completeness: High
Actors/Campaigns:
Clubfoot_wolf
Threats:
Netsupportmanager_rat
Spear-phishing_technique
Victims:
Wholesale of chemical products, Organizations in republic of belarus
Industry:
Financial, Chemical
Geo:
Belarus, Russian
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 17
Command: 2
Url: 24
Hash: 40
Domain: 6
Registry: 1
Path: 1
Algorithms:
aes-128-cbc, base64, zip
Functions:
Write-Host
Win API:
ZONE
Languages:
powershell
30-06-2026
Clubfoot Wolf Is Massively Compromising Russian Companies
https://bi.zone/expertise/blog/clubfoot-wolf-massovo-komprometiruet-rossiyskie-kompanii/
Report completeness: High
Actors/Campaigns:
Clubfoot_wolf
Threats:
Netsupportmanager_rat
Spear-phishing_technique
Victims:
Wholesale of chemical products, Organizations in republic of belarus
Industry:
Financial, Chemical
Geo:
Belarus, Russian
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 17
Command: 2
Url: 24
Hash: 40
Domain: 6
Registry: 1
Path: 1
Algorithms:
aes-128-cbc, base64, zip
Functions:
Write-Host
Win API:
ZONE
Languages:
powershell
BI.ZONE
Clubfoot Wolf массово компрометирует российские компании
Для получения первоначального доступа атакующие использовали фишинговые рассылки, через которые доставляли NetSupport Manager — легитимное ПО для удаленного администрирования
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 Clubfoot Wolf Is Massively Compromising Russian Companies https://bi.zone/expertise/blog/clubfoot-wolf-massovo-komprometiruet-rossiyskie-kompanii/ Report completeness: High Actors/Campaigns: Clubfoot_wolf Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка хакеров Clubfoot Wolf нацелилась на российские оптовые химические организации через фишинговые письма, которые имитируют запросы коммерческих предложений. Эти письма доставляют вредоносные LNK-файлы, которые выполняют закодированную в Base64 команду PowerShell для развертывания NetSupport Manager, обеспечивая безфайловую атаку. Скрипт PowerShell обеспечивает закрепление, загружает дополнительное ВПО и создает отвлекающие файлы, при этом постоянно эволюционируя свои тактики, включая использование сокращателей URL для скрытия ссылок на полезную нагрузку.
-----
Группировка Clubfoot Wolf активно атаковала российские организации, особенно те, что работают в сфере оптовой торговли химической продукцией, в мае и июне 2026 года. Группировка использует фишинговые письма, которые оформлены так, чтобы выглядеть как законные запросы коммерческих предложений или счетов, при этом применяется Маскировка под сотрудников, заинтересованных в покупке продукции у целевых компаний. В письмах содержатся ZIP-архивы с файлом Вредоносная ссылка (LNK) и несколькими файлами-приманками, предназначенными для завоевания доверия получателя и побуждения его открыть вложения.
Основной полезной нагрузкой, используемой Clubfoot Wolf, является программное обеспечение для удалённого администрирования NetSupport Manager, которое доставляется на скомпрометированные системы через вредоносные LNK-файлы. Этот LNK-файл выполняет закодированную в Base64 команду PowerShell, которая извлекает дополнительное вредоносное содержимое с удалённого сервера, что фактически позволяет осуществлять атаки без создания файлов. Скрипт PowerShell закодирован в Base64 и зашифрован с использованием алгоритма AES-128-CBC, что обеспечивает его выполнение в памяти системы без создания обнаруживаемых артефактов на диске.
Раскодированный PowerShell-скрипт выполняет несколько действий, направленных на закрепление на заражённых системах. Он создаёт отвлекающий файл в папке «Документы» пользователя, одновременно загружая ZIP-архив по ссылке с Yandex Disk, содержащий файлы NetSupport Manager. После загрузки ZIP-архив монтируется, а его содержимое беззвучно копируется в указанную директорию. Этот скрипт также отвечает за регистрацию клиента NetSupport Manager в системном ключе Run, что позволяет ВПО автоматически запускаться при старте системы. Встречались случаи ошибок в названии исполняемого файла, когда некоторые версии ошибочно добавляли дублирующее расширение файла.
Кроме того, ZIP-архив содержит файлы с бессмысленным содержимым, которые, по-видимому, маскируют его истинную природу, камуфлируя атаку. Группа демонстрирует тенденцию к постоянному изменению своих методов заражения и доставки, включая использование сервисов сокращения URL для сокрытия ссылок, ведущих к их полезной нагрузке.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группировка хакеров Clubfoot Wolf нацелилась на российские оптовые химические организации через фишинговые письма, которые имитируют запросы коммерческих предложений. Эти письма доставляют вредоносные LNK-файлы, которые выполняют закодированную в Base64 команду PowerShell для развертывания NetSupport Manager, обеспечивая безфайловую атаку. Скрипт PowerShell обеспечивает закрепление, загружает дополнительное ВПО и создает отвлекающие файлы, при этом постоянно эволюционируя свои тактики, включая использование сокращателей URL для скрытия ссылок на полезную нагрузку.
-----
Группировка Clubfoot Wolf активно атаковала российские организации, особенно те, что работают в сфере оптовой торговли химической продукцией, в мае и июне 2026 года. Группировка использует фишинговые письма, которые оформлены так, чтобы выглядеть как законные запросы коммерческих предложений или счетов, при этом применяется Маскировка под сотрудников, заинтересованных в покупке продукции у целевых компаний. В письмах содержатся ZIP-архивы с файлом Вредоносная ссылка (LNK) и несколькими файлами-приманками, предназначенными для завоевания доверия получателя и побуждения его открыть вложения.
Основной полезной нагрузкой, используемой Clubfoot Wolf, является программное обеспечение для удалённого администрирования NetSupport Manager, которое доставляется на скомпрометированные системы через вредоносные LNK-файлы. Этот LNK-файл выполняет закодированную в Base64 команду PowerShell, которая извлекает дополнительное вредоносное содержимое с удалённого сервера, что фактически позволяет осуществлять атаки без создания файлов. Скрипт PowerShell закодирован в Base64 и зашифрован с использованием алгоритма AES-128-CBC, что обеспечивает его выполнение в памяти системы без создания обнаруживаемых артефактов на диске.
Раскодированный PowerShell-скрипт выполняет несколько действий, направленных на закрепление на заражённых системах. Он создаёт отвлекающий файл в папке «Документы» пользователя, одновременно загружая ZIP-архив по ссылке с Yandex Disk, содержащий файлы NetSupport Manager. После загрузки ZIP-архив монтируется, а его содержимое беззвучно копируется в указанную директорию. Этот скрипт также отвечает за регистрацию клиента NetSupport Manager в системном ключе Run, что позволяет ВПО автоматически запускаться при старте системы. Встречались случаи ошибок в названии исполняемого файла, когда некоторые версии ошибочно добавляли дублирующее расширение файла.
Кроме того, ZIP-архив содержит файлы с бессмысленным содержимым, которые, по-видимому, маскируют его истинную природу, камуфлируя атаку. Группа демонстрирует тенденцию к постоянному изменению своих методов заражения и доставки, включая использование сервисов сокращения URL для сокрытия ссылок, ведущих к их полезной нагрузке.
#ParsedReport #CompletenessMedium
30-06-2026
ToddyCat: your hidden email assistant. Part 2
https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/
Report completeness: Medium
Actors/Campaigns:
Toddycat
Threats:
Umbrij_tool
Dll_sideloading_technique
Confuserex_tool
Tomberbil
Dll_hijacking_technique
Victims:
Corporate email communications, Organizational email accounts, Gmail, Google workspace accounts
TTPs:
Tactics: 1
Technics: 3
IOCs:
File: 3
Hash: 10
Path: 13
Soft:
Gmail, Visual Studio, Google Chrome, Microsoft Edge, Google Chrome, Microsoft Edge, IndexedDB, Selenium, Chrome, Chromium, Microsoft Exchange, have more...
Functions:
ChekPortAvailable, GetActiveTcpConnections
Win API:
CreateProcessAsUserW, RevertToSelf
Languages:
javascript
30-06-2026
ToddyCat: your hidden email assistant. Part 2
https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/
Report completeness: Medium
Actors/Campaigns:
Toddycat
Threats:
Umbrij_tool
Dll_sideloading_technique
Confuserex_tool
Tomberbil
Dll_hijacking_technique
Victims:
Corporate email communications, Organizational email accounts, Gmail, Google workspace accounts
TTPs:
Tactics: 1
Technics: 3
IOCs:
File: 3
Hash: 10
Path: 13
Soft:
Gmail, Visual Studio, Google Chrome, Microsoft Edge, Google Chrome, Microsoft Edge, IndexedDB, Selenium, Chrome, Chromium, Microsoft Exchange, have more...
Functions:
ChekPortAvailable, GetActiveTcpConnections
Win API:
CreateProcessAsUserW, RevertToSelf
Languages:
javascript