CTT Report Hub
3.39K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 RustDuck: An In-Depth Analysis of a Two-Stage Botnet https://blog.xlab.qianxin.com/rustduck-en/ Report completeness: Medium Threats: Rustduck Mitm_technique Victims: Internet of things devices, Web applications…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RustDuck — это семейство ВПО, характеризующееся двухэтапной архитектурой Loader + Core, в первую очередь предназначенное для масштабных DDoS-атак и демонстрирующее кроссплатформенную адаптивность. Оно переходит с C на Rust, улучшая свои операционные возможности, включая продвинутые меры противодействия защите и шифрование трафика. Распространение использует слабый парольный брутфорс через Telnet и SSH, а также эксплуатацию различных уязвимостей RCE в устройствах и веб-приложениях, нацеливаясь на множество CVE для расширения поверхности атаки.
-----

RustDuck — новое семейство ВПО, выявленное с февраля 2026 года, характеризующееся двухэтапной архитектурой Loader + Core. В первую очередь оно обеспечивает проведение крупномасштабных атак типа Distributed Denial-of-Service (DDoS), демонстрируя превосходную кроссплатформенную адаптивность и способность к непрерывному технологическому развитию. Данное семейство ВПО проходит переход с языка программирования C на Rust, что повышает инженерную сложность и операционные возможности, включая механизмы противодействия защите и шифрование трафика.

Методы распространения вредоносного ПО RustDuck нацелены на широкий спектр устройств, включая продукты Интернета вещей (IoT), веб-приложения и корпоративные инфраструктуры. Его основные векторы атаки состоят из брутфорса слабых паролей — преимущественно с использованием Telnet и SSH — и эксплуатации уязвимостей Удаленного Выполнения Кода (RCE). Выявленные уязвимости включают те, что присутствуют в Android ADB, TVT API, Ruijie, TP-Link и ZTE, среди прочего. Кроме того, оно использует уязвимости, содержащиеся в веб-компонентах, таких как ThinkPHP, Jenkins и YARN. Вредоносное ПО также применяет несколько Common Vulnerabilities and Exposures (CVE), а именно CVE-2025-29635, CVE-2017-17215, CVE-2018-8007 и CVE-2024-1781, чтобы расширить свою поверхность атаки. Совокупность этих методов указывает на стратегию распространения, которая объединяет слабые пароли, уязвимости IoT и эксплойты RCE на основе веб-технологий, что позволяет осуществлять масштабные автоматизированные вторжения и доставку полезной нагрузки.

Модуль Core RustDuck демонстрирует продвинутые инженерные решения, направленные на улучшение процесса вывода ключей, защиты от анализа и протоколов связи. В частности, механизмы антиотладки реализованы для обнаружения аномалий, которые могут указывать на попытки реверс-инжиниринга, с использованием проверок, измеряющих временные расхождения и статусы сетевой доступности. Например, проверки времени оценивают отклонения во времени выполнения между различными источниками тактовых сигналов, тем самым определяя наличие сред песочницы, пытающихся манипулировать потоком выполнения. Сетевые проверки оценивают попытки подключения среды, чтобы различать реальные и поддельные сетевые ситуации.

На последующих этапах своей работы RustDuck реализует независимую схему шифрования, предназначенную для повышения защиты от атак типа «человек посередине». Во время передачи данных производный ключ шифрования тщательно разделяется для раздельного управления потоками данных в каналах «отправитель-получатель» и «получатель-отправитель». Такое структурное разделение подчеркивает продвинутый подход вредоносного ПО к обеспечению безопасности каналов связи, а также дополнительно демонстрирует его возможности для эволюции и адаптации в условиях кибератак.
#ParsedReport #CompletenessHigh
30-06-2026

A Djinn in the Machine: TaskWeaver’s Node.js Intrusion Chain

https://blackpointcyber.com/blog/a-djinn-in-the-machine-taskweavers-node-js-intrusion-chain/

Report completeness: High

Threats:
Djinn
Taskweaver_tool
Simplehelp_tool
Supply_chain_technique
Dev_tunnels_tool
Deno_tool

Victims:
Managed service providers, Developers, Administrators, Customer environments

Industry:
Transport

CVEs:
CVE-2026-48558 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.16, 6.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1059.007, T1071.001, T1082, T1083, T1105, T1119, have more...

IOCs:
File: 7
Hash: 2
Domain: 2
IP: 1

Soft:
ode.js In, Node.js, macOS, Linux, trycloudflare, Electron, Okta, Supabase, HashiCorp Vault, Docker, have more...

Wallets:
zcash, atomicwallet, electrum

Crypto:
bitcoin, litecoin, dogecoin, ethereum, monero

Algorithms:
rsa-2048, aes-256-gcm, aes, gzip

Functions:
TaskWeaver

Languages:
javascript, powershell, scala, python

Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 A Djinn in the Machine: TaskWeaver’s Node.js Intrusion Chain https://blackpointcyber.com/blog/a-djinn-in-the-machine-taskweavers-node-js-intrusion-chain/ Report completeness: High Threats: Djinn Taskweaver_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование выявило сложную атаку с использованием двух типов вредоносного ПО: TaskWeaver, зашифрованный загрузчик Node.js, и Djinn Stealer. Атака использовала уязвимость CVE-2026-48558, обход аутентификации в фреймворке SimpleHelp OIDC, что позволило несанкционированный доступ к сеансу удаленного техника. TaskWeaver устанавливает скрытый канал C2 для развертывания вредоносного ПО, в то время как Djinn Stealer нацелен на конфиденциальные данные на нескольких платформах, представляя серьезную угрозу для целостности Цепочки поставок и подчеркивая уязвимости в инструментах удаленного управления.
-----

Атака использовала два образца ВПО: TaskWeaver и Djinn стиллер.

CVE-2026-48558, обход аутентификации во фреймворке SimpleHelp OIDC, был использован для получения несанкционированного доступа.

TaskWeaver — это сильно зашифрованный загрузчик Node.js, замаскированный под библиотеку jQuery.

Он устанавливает зашифрованный канал для доставки полезной нагрузки и избегает статических команд после эксплуатации.

Протокол C2 и операционный фреймворк TaskWeaver могут быть реконструированы посредством надлежащего анализа.

Загрузчик динамически восстанавливает критические функции для обхода обнаружения общими средствами защиты.

Djinn Stealer работает на Windows, macOS и Linux, предназначен для эксфильтрации конфиденциальной информации.

Он нацелен на учетные данные из облачных платформ, инструментов разработки, систем управления исходным кодом и криптовалютных кошельков.

Djinn Stealer может обходить пользовательские каталоги и собирать файлы, минимизируя риски обнаружения.

ВПО нацелено на конфигурации различных облачных провайдеров и реестров программного обеспечения, создавая риск компрометации цепочки поставок.

Первоначальный эксплойт предоставлял легитимные возможности удаленного управления для выполнения ВПО без вызова тревог.

Архитектура полезной нагрузки использует шифрование AES-256-GCM для собранных данных с применением открытого RSA-ключа из TaskWeaver.

Одна уязвимость может поставить под угрозу несколько сред провайдеров управляемых услуг (MSP), использующих скомпрометированные инструменты.

Полученные данные подчеркивают необходимость для MSP усилить безопасность вокруг интерфейсов удаленного управления и обеспечить соблюдение контроля доступа.

Мониторинг аномальной активности из легитимных путей выполнения команд имеет решающее значение для сдерживания.

Стратегии также должны защищать пользовательские данные и операционную целостность от угроз продвинутого постоянного характера.
#ParsedReport #CompletenessMedium
30-06-2026

SideWinder APT: The Spy That Turned to the Sea

https://barricadecyber.com/sidewinder-apt-the-spy-that-turned-to-the-sea/

Report completeness: Medium

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Stealerbot
Process_injection_technique
Uac_bypass_technique
Warhawk
Revenge_rat
Njrat
Spear-phishing_technique
Ghostnet
Dll_sideloading_technique

Victims:
Government, Military, Maritime ports, Maritime shipping, Port logistics, Nuclear agencies, Diplomatic missions, Energy infrastructure, Financial services

Industry:
Financial, Entertainment, Maritime, Logistic, Transport, Nuclear_power, Energy, Military, Government, Telco

Geo:
Middle east, France, Jordan, Pakistan, Turkey, Egypt, Indian, Asia, China, Nepal, Sri lanka, Morocco, Maldives, Bangladesh, Asian, India, Afghanistan, Djibouti, Saudi arabia, Africa, Myanmar, Indonesia

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
Domain: 6

Soft:
Microsoft Office, Chrome, credential dialog, Windows authentication

Algorithms:
xor, zip

Functions:
SetWindowsHookEx

Win API:
AmsiScanBuffer

Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 SideWinder APT: The Spy That Turned to the Sea https://barricadecyber.com/sidewinder-apt-the-spy-that-turned-to-the-sea/ Report completeness: Medium Actors/Campaigns: Sidewinder (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа SideWinder APT (G0121), связанная с кибероперациями, спонсируемыми индийским государством, расширила цели в 2024 году, включив в них морские порты, ядерные агентства и дипломатические миссии в 18 странах, используя новое скрытое модульное ВПО под названием StealerBot. Этот имплантат на базе .NET работает полностью в памяти для избежания обнаружения, выполняя шпионские действия, такие как логирование нажатий клавиш и кража учетных данных. Группа эксплуатирует не исправленную уязвимость Microsoft Office CVE-2017-11882, применяя многоэтапную атаку, которая минимизирует следы криминалистический анализ и усложняет защитные меры.
-----

Группа SideWinder APT, идентифицированная как G0121 в MITRE ATT&CK и связанная с кибершпионажем, финансируемым индийским государством, в 2024 году значительно сместила свой операционный фокус. Если ранее SideWinder нацеливалась преимущественно на правительственные и военные сети стран Южной Азии, то теперь она представляет угрозу для морских портов, атомных агентств и дипломатических миссий в 18 странах. Эта стратегическая переориентация существенно расширяет масштаб её деятельности, увеличивая круг потенциальных жертв и подчеркивая необходимость усиления мер кибербезопасности в различных секторах, включая морскую логистику, энергетическую инфраструктуру и дипломатические службы в регионе Индийского океана.

В основе недавних кампаний SideWinder лежит новый вредоносный модуль под названием StealerBot. Этот модульный инструмент на базе .NET разработан для обхода традиционных методов обнаружения на конечных точках за счет работы исключительно в памяти без оставления следов на диске. StealerBot выполняет различные шпионские операции, включая захват скриншотов, логирование нажатий клавиш, кражу информации из браузеров и перехват учетных данных для удаленного рабочего стола. Его способность выполняться без создания криминалистический анализ артефактов усложняет усилия по обнаружению и реагированию.

Цепочка заражения, используемая SideWinder, эксплуатирует хорошо известную уязвимость в Microsoft Office (CVE-2017-11882), которая остается незакрытой во многих устаревших корпоративных средах. Этот многоэтапный процесс атаки минимизирует следы криминалистический анализ на каждом этапе, что затрудняет проактивное обнаружение. Что касается инфраструктуры, группа использует согласованные шаблоны, часто регистрируя домены, имитирующие легитимные государственные и военные организации, для облегчения операций управления. Их инфраструктура часто меняется, используя легитимные хостинг-сервисы для доставки фишинга, чтобы избежать обнаружения.

Исторически SideWinder использовал различные инструменты ВПО, включая WarHawk и более ранние коммерческие RAT, такие как Revenge RAT, однако зрелость и сложность, продемонстрированные StealerBot, свидетельствуют о переходе к более надежным и скрытным тактикам. Операционные возможности группы выросли, представляя реальную угрозу для более широкого круга организаций, выходящего за рамки их ранее ограниченного географического фокуса.

Для укрепления защиты от SideWinder организациям в уязвимых секторах необходимо приоритизировать установку исправлений для вектора эксплуатации, связанного с CVE-2017-11882, внедрить решения по поведенческому обнаружению и реагированию на конечных точках, способные отслеживать активность в памяти, а также усилить фишинг-симуляции, адаптированные под тактические операции группы. Повышенная бдительность и стратегическая готовность необходимы для защиты от этой развивающейся киберугрозы.
#ParsedReport #CompletenessHigh
30-06-2026

Clubfoot Wolf Is Massively Compromising Russian Companies

https://bi.zone/expertise/blog/clubfoot-wolf-massovo-komprometiruet-rossiyskie-kompanii/

Report completeness: High

Actors/Campaigns:
Clubfoot_wolf

Threats:
Netsupportmanager_rat
Spear-phishing_technique

Victims:
Wholesale of chemical products, Organizations in republic of belarus

Industry:
Financial, Chemical

Geo:
Belarus, Russian

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 17
Command: 2
Url: 24
Hash: 40
Domain: 6
Registry: 1
Path: 1

Algorithms:
aes-128-cbc, base64, zip

Functions:
Write-Host

Win API:
ZONE

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 Clubfoot Wolf Is Massively Compromising Russian Companies https://bi.zone/expertise/blog/clubfoot-wolf-massovo-komprometiruet-rossiyskie-kompanii/ Report completeness: High Actors/Campaigns: Clubfoot_wolf Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка хакеров Clubfoot Wolf нацелилась на российские оптовые химические организации через фишинговые письма, которые имитируют запросы коммерческих предложений. Эти письма доставляют вредоносные LNK-файлы, которые выполняют закодированную в Base64 команду PowerShell для развертывания NetSupport Manager, обеспечивая безфайловую атаку. Скрипт PowerShell обеспечивает закрепление, загружает дополнительное ВПО и создает отвлекающие файлы, при этом постоянно эволюционируя свои тактики, включая использование сокращателей URL для скрытия ссылок на полезную нагрузку.
-----

Группировка Clubfoot Wolf активно атаковала российские организации, особенно те, что работают в сфере оптовой торговли химической продукцией, в мае и июне 2026 года. Группировка использует фишинговые письма, которые оформлены так, чтобы выглядеть как законные запросы коммерческих предложений или счетов, при этом применяется Маскировка под сотрудников, заинтересованных в покупке продукции у целевых компаний. В письмах содержатся ZIP-архивы с файлом Вредоносная ссылка (LNK) и несколькими файлами-приманками, предназначенными для завоевания доверия получателя и побуждения его открыть вложения.

Основной полезной нагрузкой, используемой Clubfoot Wolf, является программное обеспечение для удалённого администрирования NetSupport Manager, которое доставляется на скомпрометированные системы через вредоносные LNK-файлы. Этот LNK-файл выполняет закодированную в Base64 команду PowerShell, которая извлекает дополнительное вредоносное содержимое с удалённого сервера, что фактически позволяет осуществлять атаки без создания файлов. Скрипт PowerShell закодирован в Base64 и зашифрован с использованием алгоритма AES-128-CBC, что обеспечивает его выполнение в памяти системы без создания обнаруживаемых артефактов на диске.

Раскодированный PowerShell-скрипт выполняет несколько действий, направленных на закрепление на заражённых системах. Он создаёт отвлекающий файл в папке «Документы» пользователя, одновременно загружая ZIP-архив по ссылке с Yandex Disk, содержащий файлы NetSupport Manager. После загрузки ZIP-архив монтируется, а его содержимое беззвучно копируется в указанную директорию. Этот скрипт также отвечает за регистрацию клиента NetSupport Manager в системном ключе Run, что позволяет ВПО автоматически запускаться при старте системы. Встречались случаи ошибок в названии исполняемого файла, когда некоторые версии ошибочно добавляли дублирующее расширение файла.

Кроме того, ZIP-архив содержит файлы с бессмысленным содержимым, которые, по-видимому, маскируют его истинную природу, камуфлируя атаку. Группа демонстрирует тенденцию к постоянному изменению своих методов заражения и доставки, включая использование сервисов сокращения URL для сокрытия ссылок, ведущих к их полезной нагрузке.
#ParsedReport #CompletenessMedium
30-06-2026

ToddyCat: your hidden email assistant. Part 2

https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/

Report completeness: Medium

Actors/Campaigns:
Toddycat

Threats:
Umbrij_tool
Dll_sideloading_technique
Confuserex_tool
Tomberbil
Dll_hijacking_technique

Victims:
Corporate email communications, Organizational email accounts, Gmail, Google workspace accounts

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 3
Hash: 10
Path: 13

Soft:
Gmail, Visual Studio, Google Chrome, Microsoft Edge, Google Chrome, Microsoft Edge, IndexedDB, Selenium, Chrome, Chromium, Microsoft Exchange, have more...

Functions:
ChekPortAvailable, GetActiveTcpConnections

Win API:
CreateProcessAsUserW, RevertToSelf

Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 ToddyCat: your hidden email assistant. Part 2 https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/ Report completeness: Medium Actors/Campaigns: Toddycat Threats: Umbrij_tool Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка ToddyCat APT атакует корпоративные учетные записи Gmail с помощью инструмента под названием Umbrij, который использует протокол OAuth 2.0 для удаленного доступа к API. Она применяет технику Shadow Token via Remote Debug (STRD) для компрометации браузеров на базе Chromium и использует подгрузку DLL для запуска вредоносных загрузок под видом легитимных процессов. После активации Umbrij манипулирует взаимодействиями с браузером и перехватывает коды авторизации OAuth, обеспечивая несанкционированный доступ к электронной почте пользователей и уклоняясь от обнаружения.
-----

Группировка ToddyCat APT применяет сложные техники, направленные на компрометацию корпоративных электронных почтовых коммуникаций, в частности, нацеливаясь на учетные записи Gmail через удаленный доступ к API. Их основной инструмент, названный Umbrij, работает путем эксплуатации протокола OAuth 2.0 для получения токенов доступа к электронной почте пользователей. Это достигается с помощью техники, обозначенной как Shadow Token via Remote Debug (STRD), которая использует возможности удаленной отладки браузеров на базе Chromium для перехвата и контроля сессий.

Umbrij подключается к скомпрометированным браузерам в безголовом режиме, используя порт удаленной отладки, и опирается на OAuth-код авторизации, полученный через серию HTTP-запросов. Получив сессию браузера, злоумышленники могут манипулировать им таким образом, чтобы беспрепятственно перемещаться по сервису Gmail, оставаясь незамеченными системами защиты конечных точек, поскольку большинство их действий может быть замаскировано под легитимные операции браузера.

Детальный анализ поведения Umbrij показывает, что он использует подгрузку DLL (DLL sideloading), связывая вредоносные компоненты с легитимными приложениями, такими как Bitdefender ConnectAgent и Google Desktop. В ходе расследования были обнаружены экземпляры Umbrij, запускаемые через запланированные задачи, имитирующие легитимные процессы для сокрытия своей вредоносной цели. Эта тактика позволяет группе выполнять свои компоненты без привлечения внимания, поскольку внедренные DLL часто запускаются в контексте доверенных приложений.

При запуске Umbrij оценивает операционную среду, проверяя активные TCP-соединения и дубликаты токенов процесса explorer.exe, что предоставляет ему необходимые права для продолжения атаки. Инструмент также формирует пути к критически важным пользовательским данным, таким как профили браузеров, и использует библиотеку Puppeteer Sharp для программного взаимодействия с браузером, что облегчает взаимодействие с механизмами аутентификации Google.

Процесс доступа включает серию манипуляций с JavaScript для имитации действий пользователя на страницах выбора аккаунта и подтверждения разрешений, что в конечном итоге приводит к несанкционированному получению кода авторизации OAuth, предоставляющего доступ к электронной почте и данным пользователя. Инструмент регистрирует свои операции, сохраняя захваченные коды авторизации в файл для последующей эксфильтрации.

Для смягчения этой угрозы организациям рекомендуется отслеживать события загрузки DLL, связанные с потенциальными векторами эксплуатации, такими как используемые Umbrij, и отзывать ненужный доступ сторонних приложений к Google Workspace. Непрерывный надзор за деятельностью браузера, особенно при включенном режиме разработчика, наряду с регулярными аудитами разрешений приложений, имеет решающее значение для защиты от таких продвинутых постоянных угроз.
#ParsedReport #CompletenessLow
30-06-2026

The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer

https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Defi developers, Polymarket protocol developers, Defi frontend developers, General defi math tooling users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1033, T1036.005, T1041, T1059.007, T1105, T1195.001, T1539, have more...

IOCs:
File: 12

Soft:
Docker, Chrome, Firefox, Bitwarden, KeePass, 1Password, macOS, Linux, OneNote

Wallets:
metamask, solflare, coinbase, tronlink

Algorithms:
base64

Functions:
readPackageJson, syncSession, divide, mod, require, from_str

Win API:
lockfile

Languages:
javascript, typescript, powershell

Links:
https://github.com/Trum3it/polymarket-arbitrage-bot/issues/2
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm Report completeness: Low Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Координированная кампания нацелилась на разработчиков DeFi через обманные пакеты npm, используя тайпсквоттинг для эксплуатации неправильно набранных имен пакетов. Вредоносные пакеты включали стиллер, предназначенный для сбора конфиденциальных данных из криптовалютных кошельков и учетных данных браузера, применяя такие техники, как дроппер, который загружал URL C2, и механизм самовосстановления для уклонения от обнаружения. Эта атака конкретно стремилась к компрометации кошельков, таких как MetaMask и TrustWallet, раскрывая закрытые ключи и API-токены разработчиков.
-----

Недавний анализ выявил скоординированную вредоносную кампанию, направленную против разработчиков DeFi через обманные пакеты npm. В общей сложности десять аккаунтов сопровождающих npm опубликовали около тридцати пакетов, которые выдавали себя за легитимные инструменты Polymarket и общие библиотеки математических вычислений для DeFi. Атака использовала техники тайпсквоттинга для эксплуатации разработчиков, которые ошибочно вводили неверные названия пакетов, захватывая широкий круг потенциальных жертв.

Вредоносные репозитории содержали TypeScript-бота, обещающего прибыльные криптографические прогнозы, который требовал от пользователей ввода их POLYMARKET_PRIVATE_KEY в файл окружения. Этот ключ затем становился доступным до завершения команды npm install, позволяя стиллеру получить доступ к конфиденциальным данным.

Атака использовала четыре основные техники для доставки стиллера — состоящего из 2787–2887 строк кода JavaScript, предназначенного для сбора хранилищ криптовалютных кошельков, учетных данных браузера, секретов разработчика и другого. Конкретными целями были широко используемые кошельки, такие как MetaMask, TrustWallet и различные другие платформы, а также данные браузера из Chrome и Firefox. Стиллер был способен сканировать файловую систему на наличие конкретных источников учетных данных и выполнять регулярные выражения для идентификации и эксфильтрации закрытых ключей и API-токенов.

Один из заметных методов, известный как дроппер, использовал скрипт пост-установки, который динамически извлекал URL-адрес управления (управление) из информации о домашней странице пакета, тем самым эффективно маскируя его реальное намерение. Другие методы включали прямую вставку стиллера в код пакета или его включение в качестве транзитивной зависимости, которая выполнялась во время импорта, обходя типичные меры безопасности, игнорирующие скрипты.

Кампания также использовала механизм самовосстановления, при котором первоначальная чистая версия пакета после установки загружала скомпрометированную версию, делая традиционное сканирование неэффективным. Этот стратегический подход означал, что любой разработчик, который случайно установил эти пакеты, мог стать жертвой компрометации учетных данных.
#ParsedReport #CompletenessLow
30-06-2026

The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam

https://www.secrss.com/articles/91634

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Fire_ant
Crucible
Black_bird

Threats:
Spectralviper
Supply_chain_technique
Watering_hole_technique
Dll_sideloading_technique
Soundbite
Phoreal
Cuegoe

Victims:
Infrastructure, Transportation, Finance, Securities, Government institutions, Enterprises, Dissidents, Human rights activists, Vietnam, China, have more...

Industry:
Government, Transport, Financial

Geo:
China, Vietnam, Asia, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1071.001, T1071.004, T1082, T1090.001, T1095, T1105, T1189, have more...

IOCs:
File: 5
Email: 1

Soft:
icrosoft SQL Server to, Linux

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam https://www.secrss.com/articles/91634 Report completeness: Low Actors/Campaigns: Oceanlotus (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила фокус с иностранных целей на внутренние операции во Вьетнаме, согласовав свою деятельность с антикоррупционными инициативами правительства. Используя бэкдор SPECTRALVIPER, они проводили шпионаж, нацеленный на инфраструктуру и финансовый сектор, эксплуатируя уязвимости, такие как уязвимости в Microsoft SQL Server, для первоначального доступа и применяя подгрузку DLL для закрепления. Их недавняя атака на цепочку поставок FireAnt MetaKit использовала слабости механизма обновления для развертывания полезной нагрузки SPECTRALVIPER, что указывает на повышенную сложность их тактик и инструментов.
-----

Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила свой операционный фокус с атак на иностранные объекты на внутренние нападения во Вьетнаме, особенно с середины 2024 года. Этот переход согласуется с антикоррупционными инициативами и экономическими расследованиями вьетнамского правительства. Используя свой проприетарный бэкдор SPECTRALVIPER, группировка провела две ключевые операции шпионажа, нацеленные на инфраструктуру и финансовый сектор страны.

Первая операция началась в ноябре 2024 года против крупной компании в сфере инфраструктуры и транспорта и продолжалась в сети жертвы 15 месяцев до февраля 2026 года. Считается, что первоначальный доступ к этой сети был получен через уязвимость Удаленное Выполнение Кода в Microsoft SQL Server. Оказавшись внутри, злоумышленники развернули различные варианты бэкдора SPECTRALVIPER, адаптированные для разных пользовательских устройств, используя метод подгрузки DLL с легитимным инструментом Toolbox.exe для обеспечения скрытого закрепления. Они создали сеть доменов управления (управление), которые постоянно ротировались, чтобы избежать обнаружения.

Вторая атака была направлена на сервер обновлений FireAnt MetaKit, инструмента для финансовых технологий, широко используемого во Вьетнаме. Эта атака через цепочку поставок, продолжавшаяся с октября 2025 года по март 2026 года, эксплуатировала уязвимости в механизме обновлений, включая отсутствие проверки целостности файлов и отсутствие шифрования SSL/TLS. Атакующие проверяли каналы распространения с помощью тестовых загрузчиков на ранней стадии, прежде чем развернуть более сложную и обфусцированную версию, которая загружала бы полезную нагрузку SPECTRALVIPER, маскируясь под обновление. После запуска бэкдор собирал информацию о системе и использовал технику загрузки DLL для закрепления через легитимные системные процессы.

Стратегия группы Sea Lily стала более сфокусированной и точной, вероятно, в ответ на усиление антикоррупционных кампаний во Вьетнаме. Детали этого перехода подчеркиваются сопутствующими политическими событиями, такими как отставка двух президентов, связанных со скандалами о коррупции, и значительные дисциплинарные меры против высокопоставленных должностных лиц. Примечательно, что бэкдор SPECTRALVIPER демонстрирует улучшения, облегчающие перемещение внутри компании во внутренних сетях, а также техники для маскировки сетевого трафика, что указывает на эволюцию операционной безопасности и возможностей группы.

Анализ показывает, что группа Sea Lily имеет более чем десятилетний опыт создания ВПО и поддержания арсенала инструментов для различных платформ. К предыдущим инструментам относятся Denis, использующий DNS-туннели для связи C2, и PHOREAL, работающий через ICMP. Однако SPECTRALVIPER, по-видимому, представляет новый уровень сложности в их атаках, сочетая скрытые команды, динамическую загрузку полезной нагрузки и механизмы закрепления через зашифрованные каналы связи. Стратегия выборочного распространения группы в последних атаках указывает на четкое намерение проводить целенаправленные операции сбора разведданных в соответствии с приоритетами, ориентированными на государство, во Вьетнаме.