#ParsedReport #CompletenessLow
29-06-2026
Chromium extension uses AI‑related branding to redirect browser search
https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Chromium browser users, Perplexity ai users
TTPs:
Tactics: 5
Technics: 0
IOCs:
BrowserExtension: 1
Domain: 1
Url: 6
File: 6
Soft:
Chromium, Microsoft Defender, Chrome, Node.js, nginx
Functions:
count
29-06-2026
Chromium extension uses AI‑related branding to redirect browser search
https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/
Report completeness: Low
Threats:
Typosquatting_technique
Victims:
Chromium browser users, Perplexity ai users
TTPs:
Tactics: 5
Technics: 0
IOCs:
BrowserExtension: 1
Domain: 1
Url: 6
File: 6
Soft:
Chromium, Microsoft Defender, Chrome, Node.js, nginx
Functions:
count
Microsoft News
Chromium extension uses AI‑related branding to redirect browser search
A malicious Chromium-based extension that spoofs the AI-powered answer engine Perplexity AI redirects browser search traffic using MV3 APIs and intermediary infrastructure.
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2026 Chromium extension uses AI‑related branding to redirect browser search https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, использующее Маскировка под Perplexity AI, предназначенное для перехвата поискового трафика и сбора пользовательских данных для профилирования и таргетированной рекламы. Оно изменяет настройки поиска, чтобы перехватить поисковые запросы в браузере с помощью функции "chrome_settings_overrides", перенаправляя трафик через собственную инфраструктуру, которая использует сервер Node.js и сервер nginx с настройками SSL для безопасного сбора данных. Расширение также имитирует легитимные процессы настройки для завоевания доверия пользователей, что является распространенной тактикой в ВПО для рекламы и перехвата браузеров.
-----
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, которое использует брендинг легитимного поискового движка с искусственным интеллектом Perplexity AI для обмана пользователей с целью убедить их в его установке. Основное назначение расширения заключается в перехвате поискового трафика и сборе пользовательских данных, которые впоследствии могут быть использованы в различных злонамеренных целях, таких как профилирование и таргетированная реклама. Расширение было сообщено в Google и впоследствии удалено.
Расширение пытается имитировать легитимный сервис Perplexity AI, используя похожее название и домен с опечаткой (typosquatted domain) perplexity-ai.online, который тесно напоминает официальный домен (perplexity.ai). Этот тактический прием широко распространен в схемах фишинг, где злоумышленники применяют схожие доменные имена, чтобы ввести пользователей в заблуждение относительно подлинности их услуг.
При установке расширение изменяет настройки поиска браузера с помощью функции «chrome_settings_overrides», тем самым заменяя поставщика поиска по умолчанию и перенаправляя все поисковые запросы через собственную инфраструктуру. Такое поведение характерно для атак с захватом браузера, которые перенаправляют пользовательские поисковые запросы на несанкционированные сайты, существенно ухудшая пользовательский опыт и конфиденциальность. Расширение перенаправляет пользователей на страницу онбординга, размещенную по адресу hxxps://extension.tilda.ws/perplexityai, которая предназначена для имитации легитимного процесса настройки — распространенная тактика, наблюдаемая в adware и ВПО для перенаправления поиска, направленная на формирование доверия пользователей и снижение внимания к изменениям в браузере.
Технический анализ расширения показывает, что оно использует прокси-сервисы, регистрируя все входящие запросы, включая метод HTTP и URL, в конечную точку, которая предполагает дальнейшие запросы к Google. Оно использует сервер Node.js (server.js), настроенный на разрешение кросс-доменных ответов, что позволяет ему собирать данные более свободно. Кроме того, он запускает сервер nginx, настроенный с SSL через Let's Encrypt, обеспечивая безопасные соединения для своего вредоносного трафика, одновременно фильтруя запросы преимущественно для инфраструктуры своего оператора.
Для снижения угрозы, создаваемой данным расширением, специалистам по безопасности рекомендуется использовать продвинутые запросы для поиска (hunting queries) с целью обнаружения присутствия вредоносного расширения по специфическим артефактам файлов, связанным с его установкой. Эта информация предоставляет возможность идентифицировать и удалить расширение с затронутых систем, укрепляя безопасность пользователей против подобных обманных тактик.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, использующее Маскировка под Perplexity AI, предназначенное для перехвата поискового трафика и сбора пользовательских данных для профилирования и таргетированной рекламы. Оно изменяет настройки поиска, чтобы перехватить поисковые запросы в браузере с помощью функции "chrome_settings_overrides", перенаправляя трафик через собственную инфраструктуру, которая использует сервер Node.js и сервер nginx с настройками SSL для безопасного сбора данных. Расширение также имитирует легитимные процессы настройки для завоевания доверия пользователей, что является распространенной тактикой в ВПО для рекламы и перехвата браузеров.
-----
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, которое использует брендинг легитимного поискового движка с искусственным интеллектом Perplexity AI для обмана пользователей с целью убедить их в его установке. Основное назначение расширения заключается в перехвате поискового трафика и сборе пользовательских данных, которые впоследствии могут быть использованы в различных злонамеренных целях, таких как профилирование и таргетированная реклама. Расширение было сообщено в Google и впоследствии удалено.
Расширение пытается имитировать легитимный сервис Perplexity AI, используя похожее название и домен с опечаткой (typosquatted domain) perplexity-ai.online, который тесно напоминает официальный домен (perplexity.ai). Этот тактический прием широко распространен в схемах фишинг, где злоумышленники применяют схожие доменные имена, чтобы ввести пользователей в заблуждение относительно подлинности их услуг.
При установке расширение изменяет настройки поиска браузера с помощью функции «chrome_settings_overrides», тем самым заменяя поставщика поиска по умолчанию и перенаправляя все поисковые запросы через собственную инфраструктуру. Такое поведение характерно для атак с захватом браузера, которые перенаправляют пользовательские поисковые запросы на несанкционированные сайты, существенно ухудшая пользовательский опыт и конфиденциальность. Расширение перенаправляет пользователей на страницу онбординга, размещенную по адресу hxxps://extension.tilda.ws/perplexityai, которая предназначена для имитации легитимного процесса настройки — распространенная тактика, наблюдаемая в adware и ВПО для перенаправления поиска, направленная на формирование доверия пользователей и снижение внимания к изменениям в браузере.
Технический анализ расширения показывает, что оно использует прокси-сервисы, регистрируя все входящие запросы, включая метод HTTP и URL, в конечную точку, которая предполагает дальнейшие запросы к Google. Оно использует сервер Node.js (server.js), настроенный на разрешение кросс-доменных ответов, что позволяет ему собирать данные более свободно. Кроме того, он запускает сервер nginx, настроенный с SSL через Let's Encrypt, обеспечивая безопасные соединения для своего вредоносного трафика, одновременно фильтруя запросы преимущественно для инфраструктуры своего оператора.
Для снижения угрозы, создаваемой данным расширением, специалистам по безопасности рекомендуется использовать продвинутые запросы для поиска (hunting queries) с целью обнаружения присутствия вредоносного расширения по специфическим артефактам файлов, связанным с его установкой. Эта информация предоставляет возможность идентифицировать и удалить расширение с затронутых систем, укрепляя безопасность пользователей против подобных обманных тактик.
#ParsedReport #CompletenessHigh
30-06-2026
Silent Swap: A Crypto Clipper Extension Campaign
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/
Report completeness: High
Threats:
Etherhiding_technique
Procmon_tool
Victims:
Consumer cryptocurrency users
Industry:
Critical_infrastructure, Financial
Geo:
India
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1036, T1059.003, T1070.004, T1083, T1102.001, T1105, T1115, T1140, T1176, T1564.003, have more...
IOCs:
Domain: 2
File: 5
Url: 2
Hash: 12
Coin: 2
Soft:
Chromium, Google Chrome, Microsoft Edge, Chrome, Opera
Crypto:
ethereum, bitcoin, ripple, solana
Algorithms:
sha256, hmac, zip
Win API:
writefile
Languages:
python, golang
30-06-2026
Silent Swap: A Crypto Clipper Extension Campaign
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/
Report completeness: High
Threats:
Etherhiding_technique
Procmon_tool
Victims:
Consumer cryptocurrency users
Industry:
Critical_infrastructure, Financial
Geo:
India
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.003, T1070.004, T1083, T1102.001, T1105, T1115, T1140, T1176, T1564.003, have more...
IOCs:
Domain: 2
File: 5
Url: 2
Hash: 12
Coin: 2
Soft:
Chromium, Google Chrome, Microsoft Edge, Chrome, Opera
Crypto:
ethereum, bitcoin, ripple, solana
Algorithms:
sha256, hmac, zip
Win API:
writefile
Languages:
python, golang
McAfee Blog
Silent Swap: A Crypto Clipper Extension Campaign | McAfee Blog
Researchers uncover browser extension malware that steals cryptocurrency by swapping wallet addresses during transactions.
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 Silent Swap: A Crypto Clipper Extension Campaign https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/ Report completeness: High Threats: Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая кампания нацелена на пользователей криптовалют с использованием скрытой техники криптоклиппера, включающей неподписанные установщики, написанные на .NET или Golang, которые развертывают обманчивое расширение Chromium, маскирующееся под утилиту Google Notes. Это расширение отслеживает буфер обмена, чтобы перехватывать и заменять адреса кошельков криптовалют в реальном времени, используя социальную инженерию для обхода функций безопасности браузера, а также динамически разрешает свою инфраструктуру управления через публичные конечные точки RPC блокчейна для уклонения. Оно изменяет конфигурационные файлы браузера для закрепления и маскируется как безобидный инструмент, сохраняя низкий профиль и усложняя усилия по обнаружению.
-----
Новая кампания с использованием браузерных расширений нацелена на пользователей криптовалют, применяя метод тихого криптоклиппера.
В рамках кампании развертываются неподписанные установщики, написанные на .NET или Golang.
Обманчивое расширение Chromium замаскировано под утилиту Google Notes.
Расширение отслеживает активность буфера обмена для перехвата адресов криптовалютных кошельков.
Он подменяет адреса кошельков на контролируемые злоумышленниками альтернативные до завершения транзакций.
Метод установки изменяет защищённые файлы настроек браузеров на базе Chromium, таких как Chrome, Brave и Edge.
ВПО обходит процессы проверки, изменяя значения безопасности, чтобы выглядеть легитимно.
Операторы могут использовать социальную инженерию, чтобы убедить пользователей включить режим разработчика для функциональности расширений.
Инфраструктура связи не использует жёстко заданный сервер управления.
Вместо этого он обращается к публичному RPC-эндпоинту блокчейна для разрешения активного домена управления.
Эта обфускация позволяет динамически обновлять развертывание ВПО через параметры смарт-контракта.
Телеметрия указывает на глобальное распространение заражения, особенно в Индии, с целью атаки на пользователей криптовалют.
Расширение поддерживает безобидный интерфейс, чтобы не привлекать внимания, пока выполняет вредоносные функции.
Это обеспечивает закрепление путем модификации файлов конфигурации браузера для загрузки расширения при каждом запуске браузера.
ВПО использует механизм самоуничтожения для удаления установщика после выполнения.
Расширение маскируется под инструмент для заметок, чтобы избежать внимания, и запрашивает обширные разрешения.
Эта кампания отражает передовые методы, направленные на избегание обнаружения и обеспечение постоянного доступа к системам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая кампания нацелена на пользователей криптовалют с использованием скрытой техники криптоклиппера, включающей неподписанные установщики, написанные на .NET или Golang, которые развертывают обманчивое расширение Chromium, маскирующееся под утилиту Google Notes. Это расширение отслеживает буфер обмена, чтобы перехватывать и заменять адреса кошельков криптовалют в реальном времени, используя социальную инженерию для обхода функций безопасности браузера, а также динамически разрешает свою инфраструктуру управления через публичные конечные точки RPC блокчейна для уклонения. Оно изменяет конфигурационные файлы браузера для закрепления и маскируется как безобидный инструмент, сохраняя низкий профиль и усложняя усилия по обнаружению.
-----
Новая кампания с использованием браузерных расширений нацелена на пользователей криптовалют, применяя метод тихого криптоклиппера.
В рамках кампании развертываются неподписанные установщики, написанные на .NET или Golang.
Обманчивое расширение Chromium замаскировано под утилиту Google Notes.
Расширение отслеживает активность буфера обмена для перехвата адресов криптовалютных кошельков.
Он подменяет адреса кошельков на контролируемые злоумышленниками альтернативные до завершения транзакций.
Метод установки изменяет защищённые файлы настроек браузеров на базе Chromium, таких как Chrome, Brave и Edge.
ВПО обходит процессы проверки, изменяя значения безопасности, чтобы выглядеть легитимно.
Операторы могут использовать социальную инженерию, чтобы убедить пользователей включить режим разработчика для функциональности расширений.
Инфраструктура связи не использует жёстко заданный сервер управления.
Вместо этого он обращается к публичному RPC-эндпоинту блокчейна для разрешения активного домена управления.
Эта обфускация позволяет динамически обновлять развертывание ВПО через параметры смарт-контракта.
Телеметрия указывает на глобальное распространение заражения, особенно в Индии, с целью атаки на пользователей криптовалют.
Расширение поддерживает безобидный интерфейс, чтобы не привлекать внимания, пока выполняет вредоносные функции.
Это обеспечивает закрепление путем модификации файлов конфигурации браузера для загрузки расширения при каждом запуске браузера.
ВПО использует механизм самоуничтожения для удаления установщика после выполнения.
Расширение маскируется под инструмент для заметок, чтобы избежать внимания, и запрашивает обширные разрешения.
Эта кампания отражает передовые методы, направленные на избегание обнаружения и обеспечение постоянного доступа к системам.
#ParsedReport #CompletenessLow
30-06-2026
Lazarus Targets the Financial Sector with Memory-Only Malware Toolset
https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/
Report completeness: Low
Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Threats:
Dpapiloader
Remotepeloader
Remotepe
Victims:
Financial institutions, Cryptocurrency organizations
Geo:
North korea
ChatGPT TTPs:
T1027, T1105, T1140, T1480.001
30-06-2026
Lazarus Targets the Financial Sector with Memory-Only Malware Toolset
https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/
Report completeness: Low
Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Threats:
Dpapiloader
Remotepeloader
Remotepe
Victims:
Financial institutions, Cryptocurrency organizations
Geo:
North korea
ChatGPT TTPs:
do not use without manual checkT1027, T1105, T1140, T1480.001
Cognyte
Lazarus Targets the Financial Sector with Memory-Only Malware Toolset
Cognyte earned two 2026 Global InfoSec Awards for LUMINAR's Digital Risk Protection and Threat Intelligence capabilities. Discover what this recognition means for your security posture.
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 Lazarus Targets the Financial Sector with Memory-Only Malware Toolset https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----
Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.
Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.
Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.
Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----
Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.
Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.
Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.
Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
#ParsedReport #CompletenessMedium
30-06-2026
TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry
https://www.trendmicro.com/en_us/research/26/f/tonresolver.html
Report completeness: Medium
Threats:
Tonresolver
Dead_drop_technique
Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry
Industry:
Entertainment, Financial, Healthcare
Geo:
Japan, Japanese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...
IOCs:
File: 7
Hash: 9
Domain: 124
Soft:
Gmail, Node.js, Telegram
Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes
Functions:
Get-Process, createCipheriv, createDecipheriv
Win API:
ShowWindow
Languages:
javascript, powershell
30-06-2026
TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry
https://www.trendmicro.com/en_us/research/26/f/tonresolver.html
Report completeness: Medium
Threats:
Tonresolver
Dead_drop_technique
Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry
Industry:
Entertainment, Financial, Healthcare
Geo:
Japan, Japanese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...
IOCs:
File: 7
Hash: 9
Domain: 124
Soft:
Gmail, Node.js, Telegram
Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes
Functions:
Get-Process, createCipheriv, createDecipheriv
Win API:
ShowWindow
Languages:
javascript, powershell
Trend Micro
TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry https://www.trendmicro.com/en_us/research/26/f/tonresolver.html Report completeness: Medium Threats: Tonresolver Dead_drop_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака включала фишинговые письма, направленные на отели Booking.com в Японии, с использованием RAT TONResolver, который применяет блокчейн TON для коммуникаций управления. ВПО, разработанное для избежания обнаружения, начинает заражение через поддельный файл LNK и использует PowerShell для доставки сильно запутанного JavaScript-пакета, который обменивается зашифрованными сообщениями через WebSocket. Техника использует «разрешитель мертвой капли», усложняя отслеживание каналов связи за счет эксплуатации легитимных сервисов.
-----
Рассматриваемая атака включает фишинговые письма, направленные на сотрудников партнерских отелей Booking.com в Японии, и характеризуется использованием RAT TONResolver, который применяет блокчейн TON для связи с серверами управления (C&C). Атака произошла в мае 2026 года и использовала техники социальной инженерии: фишинговые письма были оформлены так, чтобы напоминать жалобы гостей или запросы отзывов, побуждая персонал отелей переходить по вредоносным ссылкам, содержащимся в этих письмах. Начальный этап цепочки заражения начался, когда пользователи выполняли ярлык (LNK) файл, замаскированный под фотографию, из архива, ссылка на который была предоставлена в письме.
Вредоносное ПО, классифицируемое как TrojanSpy.JS.TONRESOLVER.A, продемонстрировало значительную сложность в своей архитектуре. Одна из ключевых тактик, применяемых им, заключается в использовании блокчейна TON для размещения адресов серверов C&C, что позволяет злоумышленникам динамически обновлять эти адреса без необходимости изменения самого вредоносного ПО. Этот метод уклонения от обнаружения усложняет усилия по выявлению, поскольку, даже если сервер C&C заблокирован, вредоносное ПО может бесшовно переключиться на новый адрес, встроенный в блокчейн.
После запуска вредоносное ПО инициирует цикл Keepalive, непрерывно отправляя запросы на сервер C&C и ожидая дальнейших команд. Процесс заражения использует PowerShell для загрузки и выполнения второго этапа полезной нагрузки — файла JavaScript, который работает под управлением Node.js. Этот файл сильно запутан, что затрудняет статический анализ. Однако динамический анализ выявил функциональные возможности вредоносного ПО, включая установ
Использование техники «dead drop resolver» позволяет злоумышленникам эффективно скрывать свои каналы связи, поскольку взаимодействие происходит через легитимный сервис (блокчейн TON). Опора вредоносного ПО на пользовательские взаимодействия и сложную обфускацию означает, что оно не извлекает учетные данные или конфиденциальную информацию немедленно, а создает условия для потенциальной дальнейшей эксплуатации.
Фишинговые письма использовали различные тактики социальной инженерии, включая подробные повествования о жалобах для завоевания доверия и использование нормативно безобидных платформ, таких как Gmail, для первоначальной коммуникации перед доставкой вредоносного содержимого. Такая слоистость векторов атаки указывает на методы сложной целенаправленной угрозы, повышая риски для целевых предприятий гостиничного сектора.
Учитывая, что RAT TONResolver продемонстрировал способность обходить традиционные механизмы обнаружения за счет эксплуатации легитимных сред и протоколов, организациям настоятельно рекомендуется усилить механизмы мониторинга, ограничить внешние коммуникации, связанные с PowerShell, и поддерживать надежные стратегии реагирования на инциденты для противодействия угрозам, исходящим от таких сложных фишинговых кампаний.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака включала фишинговые письма, направленные на отели Booking.com в Японии, с использованием RAT TONResolver, который применяет блокчейн TON для коммуникаций управления. ВПО, разработанное для избежания обнаружения, начинает заражение через поддельный файл LNK и использует PowerShell для доставки сильно запутанного JavaScript-пакета, который обменивается зашифрованными сообщениями через WebSocket. Техника использует «разрешитель мертвой капли», усложняя отслеживание каналов связи за счет эксплуатации легитимных сервисов.
-----
Рассматриваемая атака включает фишинговые письма, направленные на сотрудников партнерских отелей Booking.com в Японии, и характеризуется использованием RAT TONResolver, который применяет блокчейн TON для связи с серверами управления (C&C). Атака произошла в мае 2026 года и использовала техники социальной инженерии: фишинговые письма были оформлены так, чтобы напоминать жалобы гостей или запросы отзывов, побуждая персонал отелей переходить по вредоносным ссылкам, содержащимся в этих письмах. Начальный этап цепочки заражения начался, когда пользователи выполняли ярлык (LNK) файл, замаскированный под фотографию, из архива, ссылка на который была предоставлена в письме.
Вредоносное ПО, классифицируемое как TrojanSpy.JS.TONRESOLVER.A, продемонстрировало значительную сложность в своей архитектуре. Одна из ключевых тактик, применяемых им, заключается в использовании блокчейна TON для размещения адресов серверов C&C, что позволяет злоумышленникам динамически обновлять эти адреса без необходимости изменения самого вредоносного ПО. Этот метод уклонения от обнаружения усложняет усилия по выявлению, поскольку, даже если сервер C&C заблокирован, вредоносное ПО может бесшовно переключиться на новый адрес, встроенный в блокчейн.
После запуска вредоносное ПО инициирует цикл Keepalive, непрерывно отправляя запросы на сервер C&C и ожидая дальнейших команд. Процесс заражения использует PowerShell для загрузки и выполнения второго этапа полезной нагрузки — файла JavaScript, который работает под управлением Node.js. Этот файл сильно запутан, что затрудняет статический анализ. Однако динамический анализ выявил функциональные возможности вредоносного ПО, включая установ
Использование техники «dead drop resolver» позволяет злоумышленникам эффективно скрывать свои каналы связи, поскольку взаимодействие происходит через легитимный сервис (блокчейн TON). Опора вредоносного ПО на пользовательские взаимодействия и сложную обфускацию означает, что оно не извлекает учетные данные или конфиденциальную информацию немедленно, а создает условия для потенциальной дальнейшей эксплуатации.
Фишинговые письма использовали различные тактики социальной инженерии, включая подробные повествования о жалобах для завоевания доверия и использование нормативно безобидных платформ, таких как Gmail, для первоначальной коммуникации перед доставкой вредоносного содержимого. Такая слоистость векторов атаки указывает на методы сложной целенаправленной угрозы, повышая риски для целевых предприятий гостиничного сектора.
Учитывая, что RAT TONResolver продемонстрировал способность обходить традиционные механизмы обнаружения за счет эксплуатации легитимных сред и протоколов, организациям настоятельно рекомендуется усилить механизмы мониторинга, ограничить внешние коммуникации, связанные с PowerShell, и поддерживать надежные стратегии реагирования на инциденты для противодействия угрозам, исходящим от таких сложных фишинговых кампаний.
#ParsedReport #CompletenessLow
01-07-2026
Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique
https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
Report completeness: Low
Threats:
Voidlink
Infernograbber
Victims:
Android users, Windows users
Industry:
Healthcare, Financial, Software_development
ChatGPT TTPs:
T1005, T1020, T1056.001, T1083, T1113, T1119, T1123, T1125, T1204.001, T1486, have more...
IOCs:
Hash: 1
Soft:
DeepSeek, Google Chrome, Android, Android Chrome, ChatGPT, OpenAI, Anthropic, Flask, Chrome, Discord, have more...
Crypto:
bitcoin
Algorithms:
sha256
Functions:
showOpenFilePicker, showDirectoryPicker
Languages:
javascript, vbscript, python, powershell
Platforms:
cross-platform
01-07-2026
Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique
https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
Report completeness: Low
Threats:
Voidlink
Infernograbber
Victims:
Android users, Windows users
Industry:
Healthcare, Financial, Software_development
ChatGPT TTPs:
do not use without manual checkT1005, T1020, T1056.001, T1083, T1113, T1119, T1123, T1125, T1204.001, T1486, have more...
IOCs:
Hash: 1
Soft:
DeepSeek, Google Chrome, Android, Android Chrome, ChatGPT, OpenAI, Anthropic, Flask, Chrome, Discord, have more...
Crypto:
bitcoin
Algorithms:
sha256
Functions:
showOpenFilePicker, showDirectoryPicker
Languages:
javascript, vbscript, python, powershell
Platforms:
cross-platform
Check Point Research
Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique - Check Point Research
Research by: Alexey Bukhteyev Key Takeaways Introduction Over the past several years, large language models have reshaped software development, and malware development has followed the same path. Check Point Research has documented this trend from early experiments…
CTT Report Hub
#ParsedReport #CompletenessLow 01-07-2026 Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье представлена «браузерная программа-вымогатель» (In-Browser Ransomware) — новая киберугроза, использующая уязвимости веб-технологий, в частности через API доступа к файловой системе (File System Access API) в современных браузерах, таких как Chrome. Это ВПО использует социальную инженерию для получения несанкционированного доступа к конфиденциальным файлам на устройствах Android после того, как пользователи непреднамеренно предоставляют соответствующие разрешения. Выполняя атаки непосредственно в браузере без традиционной установки программного обеспечения, эта угроза демонстрирует растущую опасность разработки ВПО с использованием искусственного интеллекта, создавая значительные проблемы для систем кибербезопасности.
-----
Ransomware в браузере использует уязвимости в веб-технологиях без необходимости традиционной установки программного обеспечения.
Оно использует API доступа к файловой системе в современных браузерах, таких как Google Chrome, для получения несанкционированного доступа к конфиденциальным каталогам.
Злоумышленники манипулируют разрешениями пользователей с помощью социальной инженерии для получения доступа к библиотекам фотографий на устройствах Android.
iOS ограничивает доступ, в отличие от Android, который позволяет веб-приложениям читать и изменять файлы с согласия пользователя.
Искусственный интеллект, в частности большие языковые модели, такие как DeepSeek, может создавать чертежи браузерного ransomware на основе простых запросов.
Вредоносное ПО для демонстрации концепции маскируется под легитимный сервис для получения разрешений на доступ к файлам.
Атаки начинаются с тактик фишинга, чтобы убедить пользователей разрешить доступ к файловой системе.
После предоставления разрешений вредоносное ПО может перечислять, похищать, шифровать и перезаписывать файлы в каталогах, выбранных пользователем.
Концептуальная атака объединяла сбор данных, регистрацию нажатий клавиш и шифрование файлов, выполняясь непосредственно в среде браузера.
Эти техники используют браузер в качестве среды выполнения, обходя традиционные средства защиты конечных точек.
Согласие пользователя на доступ к файлам повышает риск социальной инженерии против легитимных диалоговых окон браузера.
Исследование 3 000 файлов, связанных с DeepSeek, показало возможность создания операционного ВПО на основе задокументированных рисков.
Эта техника ещё не наблюдалась в широких кампаниях на момент публикации статьи, но представляет собой уникальную проблему для кибербезопасности.
Использование ИИ снижает барьеры для создания ВПО, позволяя разрабатывать новые методы кибератак, с которыми защитникам необходимо справляться.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье представлена «браузерная программа-вымогатель» (In-Browser Ransomware) — новая киберугроза, использующая уязвимости веб-технологий, в частности через API доступа к файловой системе (File System Access API) в современных браузерах, таких как Chrome. Это ВПО использует социальную инженерию для получения несанкционированного доступа к конфиденциальным файлам на устройствах Android после того, как пользователи непреднамеренно предоставляют соответствующие разрешения. Выполняя атаки непосредственно в браузере без традиционной установки программного обеспечения, эта угроза демонстрирует растущую опасность разработки ВПО с использованием искусственного интеллекта, создавая значительные проблемы для систем кибербезопасности.
-----
Ransomware в браузере использует уязвимости в веб-технологиях без необходимости традиционной установки программного обеспечения.
Оно использует API доступа к файловой системе в современных браузерах, таких как Google Chrome, для получения несанкционированного доступа к конфиденциальным каталогам.
Злоумышленники манипулируют разрешениями пользователей с помощью социальной инженерии для получения доступа к библиотекам фотографий на устройствах Android.
iOS ограничивает доступ, в отличие от Android, который позволяет веб-приложениям читать и изменять файлы с согласия пользователя.
Искусственный интеллект, в частности большие языковые модели, такие как DeepSeek, может создавать чертежи браузерного ransomware на основе простых запросов.
Вредоносное ПО для демонстрации концепции маскируется под легитимный сервис для получения разрешений на доступ к файлам.
Атаки начинаются с тактик фишинга, чтобы убедить пользователей разрешить доступ к файловой системе.
После предоставления разрешений вредоносное ПО может перечислять, похищать, шифровать и перезаписывать файлы в каталогах, выбранных пользователем.
Концептуальная атака объединяла сбор данных, регистрацию нажатий клавиш и шифрование файлов, выполняясь непосредственно в среде браузера.
Эти техники используют браузер в качестве среды выполнения, обходя традиционные средства защиты конечных точек.
Согласие пользователя на доступ к файлам повышает риск социальной инженерии против легитимных диалоговых окон браузера.
Исследование 3 000 файлов, связанных с DeepSeek, показало возможность создания операционного ВПО на основе задокументированных рисков.
Эта техника ещё не наблюдалась в широких кампаниях на момент публикации статьи, но представляет собой уникальную проблему для кибербезопасности.
Использование ИИ снижает барьеры для создания ВПО, позволяя разрабатывать новые методы кибератак, с которыми защитникам необходимо справляться.
#ParsedReport #CompletenessHigh
01-07-2026
From cause to cash: a cross-border look at hacktivist activity
https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/
Report completeness: High
Actors/Campaigns:
4bid (motivation: hacktivism, politically_motivated)
Hakerskii
Paper_werewolf
Cyber_anarchy_squad
Threats:
Dev_tunnels_tool
Blackreaperrat
Panorama9_tool
Anydesk_tool
Clearwater
Proxyshell_vuln
Nezha_tool
Tactical_rmm_tool
Sliver_c2_tool
Havoc
Mythic_c2_tool
Adaptixc2_tool
Blacksalt
Winsw_tool
Donut
Mythic_apollo_tool
Edr-killer
Byovd_technique
Ghostdriver_tool
Rentdrv2_tool
Shadow_copies_delete_technique
Blackout_locker
Victims:
Aviation, Healthcare, Manufacturing, Russian organizations, Belarusian organizations, Kazakhstan, United arab emirates, Syria, Egypt
Industry:
Aerospace
Geo:
Ukrainian, Belarus, Egyptian, Syria, Middle east, Belarusian, Egypt, Russian, Russia, Kazakhstan
CVEs:
CVE-2023-44976 [Vulners]
CVSS V3.1: 3.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.004, T1041, T1053.005, T1055, T1057, T1059.001, T1059.003, T1059.005, T1070.004, have more...
IOCs:
File: 22
IP: 8
Path: 1
Hash: 103
Soft:
Microsoft Exchange, ASP.NET, NET Framework, Microsoft Exchange server, Windows Service, Windows kernel, winlogon, vmwaretray, vboxguest, qemu, have more...
Algorithms:
base64, rc4, xor, chacha20, rsa-2048
Functions:
kill_all_non_whitelisted_processes
Win API:
NET, CreateThread, DeviceIoControl, ZwTerminateProcess, CreateToolhelp32Snapshot Process32First Process32Next, SetFileInformationByHandle, ystemParametersInfoA wi
Win Services:
MsMpEng, AvastSvc, mfemms, mfefire, securityhealthservice, vgauthservice, mssecflt
Languages:
powershell, rust
Platforms:
x64, cross-platform
Links:
01-07-2026
From cause to cash: a cross-border look at hacktivist activity
https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/
Report completeness: High
Actors/Campaigns:
4bid (motivation: hacktivism, politically_motivated)
Hakerskii
Paper_werewolf
Cyber_anarchy_squad
Threats:
Dev_tunnels_tool
Blackreaperrat
Panorama9_tool
Anydesk_tool
Clearwater
Proxyshell_vuln
Nezha_tool
Tactical_rmm_tool
Sliver_c2_tool
Havoc
Mythic_c2_tool
Adaptixc2_tool
Blacksalt
Winsw_tool
Donut
Mythic_apollo_tool
Edr-killer
Byovd_technique
Ghostdriver_tool
Rentdrv2_tool
Shadow_copies_delete_technique
Blackout_locker
Victims:
Aviation, Healthcare, Manufacturing, Russian organizations, Belarusian organizations, Kazakhstan, United arab emirates, Syria, Egypt
Industry:
Aerospace
Geo:
Ukrainian, Belarus, Egyptian, Syria, Middle east, Belarusian, Egypt, Russian, Russia, Kazakhstan
CVEs:
CVE-2023-44976 [Vulners]
CVSS V3.1: 3.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.004, T1041, T1053.005, T1055, T1057, T1059.001, T1059.003, T1059.005, T1070.004, have more...
IOCs:
File: 22
IP: 8
Path: 1
Hash: 103
Soft:
Microsoft Exchange, ASP.NET, NET Framework, Microsoft Exchange server, Windows Service, Windows kernel, winlogon, vmwaretray, vboxguest, qemu, have more...
Algorithms:
base64, rc4, xor, chacha20, rsa-2048
Functions:
kill_all_non_whitelisted_processes
Win API:
NET, CreateThread, DeviceIoControl, ZwTerminateProcess, CreateToolhelp32Snapshot Process32First Process32Next, SetFileInformationByHandle, ystemParametersInfoA wi
Win Services:
MsMpEng, AvastSvc, mfemms, mfefire, securityhealthservice, vgauthservice, mssecflt
Languages:
powershell, rust
Platforms:
x64, cross-platform
Links:
https://github.com/winsw/winsw/Vulners Database
CVE-2023-44976 - vulnerability database | Vulners.com
The CVE-2023-44976 entry describes a local privilege escalation in Hangzhou Shunwang Rentdrv2 (pre-2024-12-24) where a local user can terminate EDR processes via DeviceIoControl with control code 0x22E010, with exploitation observed in October 202...
CTT Report Hub
#ParsedReport #CompletenessHigh 01-07-2026 From cause to cash: a cross-border look at hacktivist activity https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/ Report completeness: High Actors/Campaigns: 4bid (motivation: hacktivism, …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа 4BID сместила свои кибератаки с России и Беларуси на цели в Казахстане, ОАЭ, Сирии и Египте, в основном эксплуатируя уязвимость ProxyShell в серверах Microsoft Exchange для первоначального доступа. Они использовали веб-шелл под названием fd.aspx для удаленного управления и применяли различное ВПО, включая BlackReaperRAT и ransomware ClearWater, которые используют шифрование RSA-2048 и ChaCha20. Атакующие также развернули EDR killers для отключения средств защиты и известны своими эволюционирующими тактиками и разнообразным набором инструментов, направленных на достижение скрытности и закрепления в скомпрометированных сетях.
-----
Расследование деятельности группы 4BID выявило серию взаимосвязанных киберкампаний, демонстрирующих значительный сдвиг в географической направленности, выходящий за пределы России и Беларуси и включающий угрозы, нацеленные на организации в Казахстане, ОАЭ, Сирии и Египте. Атакующие в первую очередь эксплуатировали уязвимость ProxyShell на серверах Microsoft Exchange для получения первоначального доступа, развертывая сложные инструменты и ВПО во взломанных сетях.
После проникновения в сеть злоумышленники использовали веб-шелл под названием fd.aspx, предназначенный для удаленного управления и передачи файлов, с механизмом проверки безопасности на основе параметра AUTH_KEY. PowerShell изначально применялся для выполнения команд, но при наличии ограничений мог быть заменен на cmd.exe. Веб-шелл обеспечивал двунаправленную передачу файлов в формате Base64, что позволяло загружать вредоносные файлы и осуществлять эксфильтрацию данных через HTTP.
На затронутых системах был развернут набор пользовательских скриптов, что подчеркивает зависимость злоумышленников от легитимных инструментов удаленного управления, включая AnyDesk и Panorama9, которые маскировались под стандартные системные компоненты для избежания обнаружения. Эти скрипты не только облегчали их установку и настройку, но и отправляли отчеты с информацией о скомпрометированных системах на инфраструктуру управления злоумышленников (C2).
Расследование выявило несколько образцов вредоносного ПО, включая BlackReaperRAT и шифровальщик ClearWater. ClearWater, примечательный незашифрованным основным публичным RSA-ключом и методом шифрования файлов жертв с использованием алгоритмов RSA-2048 и ChaCha20, генерирует уникальные расширения файлов .clear после шифрования. Он также удаляет теневые копии и изменяет ключи реестра Windows для обеспечения закрепления и отображения выкупных записок. Кроме того, были обнаружены другие инструменты, такие как BlackSalt и Havoc, демонстрирующие продвинутые возможности для выполнения команд, манипуляции с операциями с файлами и удаленного доступа.
Атакующие применяли эскалирующие тактики, такие как развертывание убийц EDR — вредоносных инструментов, предназначенных для отключения средств защиты, — в частности, используя вариации техники BYOVD. Инструменты с именами kil.exe и ghostdriver.exe были сосредоточены на завершении процессов программного обеспечения безопасности.
Примечательно также недавно обнаруженное программное обеспечение-вымогатель и недавно обновленный вариант Blackout Locker, который включал функцию блокировки экрана наряду с традиционными методами шифрования файлов. Географическое расширение этих атак, указываемое предыдущими атаками на российские организации, предполагает эволюцию стратегии, направленной на захват прибыльных целей в более широком диапазоне международных организаций.
Учитывая разнообразие используемых инструментов и методов, злоумышленники демонстрируют эволюционирующий ландшафт киберугроз, характеризующийся сложностью и скрытностью, что подтверждает необходимость постоянного мониторинга и обновления разведданных об угрозах во всех затронутых секторах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа 4BID сместила свои кибератаки с России и Беларуси на цели в Казахстане, ОАЭ, Сирии и Египте, в основном эксплуатируя уязвимость ProxyShell в серверах Microsoft Exchange для первоначального доступа. Они использовали веб-шелл под названием fd.aspx для удаленного управления и применяли различное ВПО, включая BlackReaperRAT и ransomware ClearWater, которые используют шифрование RSA-2048 и ChaCha20. Атакующие также развернули EDR killers для отключения средств защиты и известны своими эволюционирующими тактиками и разнообразным набором инструментов, направленных на достижение скрытности и закрепления в скомпрометированных сетях.
-----
Расследование деятельности группы 4BID выявило серию взаимосвязанных киберкампаний, демонстрирующих значительный сдвиг в географической направленности, выходящий за пределы России и Беларуси и включающий угрозы, нацеленные на организации в Казахстане, ОАЭ, Сирии и Египте. Атакующие в первую очередь эксплуатировали уязвимость ProxyShell на серверах Microsoft Exchange для получения первоначального доступа, развертывая сложные инструменты и ВПО во взломанных сетях.
После проникновения в сеть злоумышленники использовали веб-шелл под названием fd.aspx, предназначенный для удаленного управления и передачи файлов, с механизмом проверки безопасности на основе параметра AUTH_KEY. PowerShell изначально применялся для выполнения команд, но при наличии ограничений мог быть заменен на cmd.exe. Веб-шелл обеспечивал двунаправленную передачу файлов в формате Base64, что позволяло загружать вредоносные файлы и осуществлять эксфильтрацию данных через HTTP.
На затронутых системах был развернут набор пользовательских скриптов, что подчеркивает зависимость злоумышленников от легитимных инструментов удаленного управления, включая AnyDesk и Panorama9, которые маскировались под стандартные системные компоненты для избежания обнаружения. Эти скрипты не только облегчали их установку и настройку, но и отправляли отчеты с информацией о скомпрометированных системах на инфраструктуру управления злоумышленников (C2).
Расследование выявило несколько образцов вредоносного ПО, включая BlackReaperRAT и шифровальщик ClearWater. ClearWater, примечательный незашифрованным основным публичным RSA-ключом и методом шифрования файлов жертв с использованием алгоритмов RSA-2048 и ChaCha20, генерирует уникальные расширения файлов .clear после шифрования. Он также удаляет теневые копии и изменяет ключи реестра Windows для обеспечения закрепления и отображения выкупных записок. Кроме того, были обнаружены другие инструменты, такие как BlackSalt и Havoc, демонстрирующие продвинутые возможности для выполнения команд, манипуляции с операциями с файлами и удаленного доступа.
Атакующие применяли эскалирующие тактики, такие как развертывание убийц EDR — вредоносных инструментов, предназначенных для отключения средств защиты, — в частности, используя вариации техники BYOVD. Инструменты с именами kil.exe и ghostdriver.exe были сосредоточены на завершении процессов программного обеспечения безопасности.
Примечательно также недавно обнаруженное программное обеспечение-вымогатель и недавно обновленный вариант Blackout Locker, который включал функцию блокировки экрана наряду с традиционными методами шифрования файлов. Географическое расширение этих атак, указываемое предыдущими атаками на российские организации, предполагает эволюцию стратегии, направленной на захват прибыльных целей в более широком диапазоне международных организаций.
Учитывая разнообразие используемых инструментов и методов, злоумышленники демонстрируют эволюционирующий ландшафт киберугроз, характеризующийся сложностью и скрытностью, что подтверждает необходимость постоянного мониторинга и обновления разведданных об угрозах во всех затронутых секторах.