CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
29-06-2026

Chromium extension uses AI‑related branding to redirect browser search

https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Chromium browser users, Perplexity ai users

TTPs:
Tactics: 5
Technics: 0

IOCs:
BrowserExtension: 1
Domain: 1
Url: 6
File: 6

Soft:
Chromium, Microsoft Defender, Chrome, Node.js, nginx

Functions:
count
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2026 Chromium extension uses AI‑related branding to redirect browser search https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, использующее Маскировка под Perplexity AI, предназначенное для перехвата поискового трафика и сбора пользовательских данных для профилирования и таргетированной рекламы. Оно изменяет настройки поиска, чтобы перехватить поисковые запросы в браузере с помощью функции "chrome_settings_overrides", перенаправляя трафик через собственную инфраструктуру, которая использует сервер Node.js и сервер nginx с настройками SSL для безопасного сбора данных. Расширение также имитирует легитимные процессы настройки для завоевания доверия пользователей, что является распространенной тактикой в ВПО для рекламы и перехвата браузеров.
-----

Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, которое использует брендинг легитимного поискового движка с искусственным интеллектом Perplexity AI для обмана пользователей с целью убедить их в его установке. Основное назначение расширения заключается в перехвате поискового трафика и сборе пользовательских данных, которые впоследствии могут быть использованы в различных злонамеренных целях, таких как профилирование и таргетированная реклама. Расширение было сообщено в Google и впоследствии удалено.

Расширение пытается имитировать легитимный сервис Perplexity AI, используя похожее название и домен с опечаткой (typosquatted domain) perplexity-ai.online, который тесно напоминает официальный домен (perplexity.ai). Этот тактический прием широко распространен в схемах фишинг, где злоумышленники применяют схожие доменные имена, чтобы ввести пользователей в заблуждение относительно подлинности их услуг.

При установке расширение изменяет настройки поиска браузера с помощью функции «chrome_settings_overrides», тем самым заменяя поставщика поиска по умолчанию и перенаправляя все поисковые запросы через собственную инфраструктуру. Такое поведение характерно для атак с захватом браузера, которые перенаправляют пользовательские поисковые запросы на несанкционированные сайты, существенно ухудшая пользовательский опыт и конфиденциальность. Расширение перенаправляет пользователей на страницу онбординга, размещенную по адресу hxxps://extension.tilda.ws/perplexityai, которая предназначена для имитации легитимного процесса настройки — распространенная тактика, наблюдаемая в adware и ВПО для перенаправления поиска, направленная на формирование доверия пользователей и снижение внимания к изменениям в браузере.

Технический анализ расширения показывает, что оно использует прокси-сервисы, регистрируя все входящие запросы, включая метод HTTP и URL, в конечную точку, которая предполагает дальнейшие запросы к Google. Оно использует сервер Node.js (server.js), настроенный на разрешение кросс-доменных ответов, что позволяет ему собирать данные более свободно. Кроме того, он запускает сервер nginx, настроенный с SSL через Let's Encrypt, обеспечивая безопасные соединения для своего вредоносного трафика, одновременно фильтруя запросы преимущественно для инфраструктуры своего оператора.

Для снижения угрозы, создаваемой данным расширением, специалистам по безопасности рекомендуется использовать продвинутые запросы для поиска (hunting queries) с целью обнаружения присутствия вредоносного расширения по специфическим артефактам файлов, связанным с его установкой. Эта информация предоставляет возможность идентифицировать и удалить расширение с затронутых систем, укрепляя безопасность пользователей против подобных обманных тактик.
#ParsedReport #CompletenessHigh
30-06-2026

Silent Swap: A Crypto Clipper Extension Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/

Report completeness: High

Threats:
Etherhiding_technique
Procmon_tool

Victims:
Consumer cryptocurrency users

Industry:
Critical_infrastructure, Financial

Geo:
India

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1070.004, T1083, T1102.001, T1105, T1115, T1140, T1176, T1564.003, have more...

IOCs:
Domain: 2
File: 5
Url: 2
Hash: 12
Coin: 2

Soft:
Chromium, Google Chrome, Microsoft Edge, Chrome, Opera

Crypto:
ethereum, bitcoin, ripple, solana

Algorithms:
sha256, hmac, zip

Win API:
writefile

Languages:
python, golang
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 Silent Swap: A Crypto Clipper Extension Campaign https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/ Report completeness: High Threats: Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кампания нацелена на пользователей криптовалют с использованием скрытой техники криптоклиппера, включающей неподписанные установщики, написанные на .NET или Golang, которые развертывают обманчивое расширение Chromium, маскирующееся под утилиту Google Notes. Это расширение отслеживает буфер обмена, чтобы перехватывать и заменять адреса кошельков криптовалют в реальном времени, используя социальную инженерию для обхода функций безопасности браузера, а также динамически разрешает свою инфраструктуру управления через публичные конечные точки RPC блокчейна для уклонения. Оно изменяет конфигурационные файлы браузера для закрепления и маскируется как безобидный инструмент, сохраняя низкий профиль и усложняя усилия по обнаружению.
-----

Новая кампания с использованием браузерных расширений нацелена на пользователей криптовалют, применяя метод тихого криптоклиппера.

В рамках кампании развертываются неподписанные установщики, написанные на .NET или Golang.

Обманчивое расширение Chromium замаскировано под утилиту Google Notes.

Расширение отслеживает активность буфера обмена для перехвата адресов криптовалютных кошельков.

Он подменяет адреса кошельков на контролируемые злоумышленниками альтернативные до завершения транзакций.

Метод установки изменяет защищённые файлы настроек браузеров на базе Chromium, таких как Chrome, Brave и Edge.

ВПО обходит процессы проверки, изменяя значения безопасности, чтобы выглядеть легитимно.

Операторы могут использовать социальную инженерию, чтобы убедить пользователей включить режим разработчика для функциональности расширений.

Инфраструктура связи не использует жёстко заданный сервер управления.

Вместо этого он обращается к публичному RPC-эндпоинту блокчейна для разрешения активного домена управления.

Эта обфускация позволяет динамически обновлять развертывание ВПО через параметры смарт-контракта.

Телеметрия указывает на глобальное распространение заражения, особенно в Индии, с целью атаки на пользователей криптовалют.

Расширение поддерживает безобидный интерфейс, чтобы не привлекать внимания, пока выполняет вредоносные функции.

Это обеспечивает закрепление путем модификации файлов конфигурации браузера для загрузки расширения при каждом запуске браузера.

ВПО использует механизм самоуничтожения для удаления установщика после выполнения.

Расширение маскируется под инструмент для заметок, чтобы избежать внимания, и запрашивает обширные разрешения.

Эта кампания отражает передовые методы, направленные на избегание обнаружения и обеспечение постоянного доступа к системам.
#ParsedReport #CompletenessLow
30-06-2026

Lazarus Targets the Financial Sector with Memory-Only Malware Toolset

https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/

Report completeness: Low

Actors/Campaigns:
Lazarus (motivation: financially_motivated)

Threats:
Dpapiloader
Remotepeloader
Remotepe

Victims:
Financial institutions, Cryptocurrency organizations

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1140, T1480.001
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 Lazarus Targets the Financial Sector with Memory-Only Malware Toolset https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----

Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.

Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.

Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.

Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
#ParsedReport #CompletenessMedium
30-06-2026

TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry

https://www.trendmicro.com/en_us/research/26/f/tonresolver.html

Report completeness: Medium

Threats:
Tonresolver
Dead_drop_technique

Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry

Industry:
Entertainment, Financial, Healthcare

Geo:
Japan, Japanese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...

IOCs:
File: 7
Hash: 9
Domain: 124

Soft:
Gmail, Node.js, Telegram

Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes

Functions:
Get-Process, createCipheriv, createDecipheriv

Win API:
ShowWindow

Languages:
javascript, powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry https://www.trendmicro.com/en_us/research/26/f/tonresolver.html Report completeness: Medium Threats: Tonresolver Dead_drop_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака включала фишинговые письма, направленные на отели Booking.com в Японии, с использованием RAT TONResolver, который применяет блокчейн TON для коммуникаций управления. ВПО, разработанное для избежания обнаружения, начинает заражение через поддельный файл LNK и использует PowerShell для доставки сильно запутанного JavaScript-пакета, который обменивается зашифрованными сообщениями через WebSocket. Техника использует «разрешитель мертвой капли», усложняя отслеживание каналов связи за счет эксплуатации легитимных сервисов.
-----

Рассматриваемая атака включает фишинговые письма, направленные на сотрудников партнерских отелей Booking.com в Японии, и характеризуется использованием RAT TONResolver, который применяет блокчейн TON для связи с серверами управления (C&C). Атака произошла в мае 2026 года и использовала техники социальной инженерии: фишинговые письма были оформлены так, чтобы напоминать жалобы гостей или запросы отзывов, побуждая персонал отелей переходить по вредоносным ссылкам, содержащимся в этих письмах. Начальный этап цепочки заражения начался, когда пользователи выполняли ярлык (LNK) файл, замаскированный под фотографию, из архива, ссылка на который была предоставлена в письме.

Вредоносное ПО, классифицируемое как TrojanSpy.JS.TONRESOLVER.A, продемонстрировало значительную сложность в своей архитектуре. Одна из ключевых тактик, применяемых им, заключается в использовании блокчейна TON для размещения адресов серверов C&C, что позволяет злоумышленникам динамически обновлять эти адреса без необходимости изменения самого вредоносного ПО. Этот метод уклонения от обнаружения усложняет усилия по выявлению, поскольку, даже если сервер C&C заблокирован, вредоносное ПО может бесшовно переключиться на новый адрес, встроенный в блокчейн.

После запуска вредоносное ПО инициирует цикл Keepalive, непрерывно отправляя запросы на сервер C&C и ожидая дальнейших команд. Процесс заражения использует PowerShell для загрузки и выполнения второго этапа полезной нагрузки — файла JavaScript, который работает под управлением Node.js. Этот файл сильно запутан, что затрудняет статический анализ. Однако динамический анализ выявил функциональные возможности вредоносного ПО, включая установ

Использование техники «dead drop resolver» позволяет злоумышленникам эффективно скрывать свои каналы связи, поскольку взаимодействие происходит через легитимный сервис (блокчейн TON). Опора вредоносного ПО на пользовательские взаимодействия и сложную обфускацию означает, что оно не извлекает учетные данные или конфиденциальную информацию немедленно, а создает условия для потенциальной дальнейшей эксплуатации.

Фишинговые письма использовали различные тактики социальной инженерии, включая подробные повествования о жалобах для завоевания доверия и использование нормативно безобидных платформ, таких как Gmail, для первоначальной коммуникации перед доставкой вредоносного содержимого. Такая слоистость векторов атаки указывает на методы сложной целенаправленной угрозы, повышая риски для целевых предприятий гостиничного сектора.

Учитывая, что RAT TONResolver продемонстрировал способность обходить традиционные механизмы обнаружения за счет эксплуатации легитимных сред и протоколов, организациям настоятельно рекомендуется усилить механизмы мониторинга, ограничить внешние коммуникации, связанные с PowerShell, и поддерживать надежные стратегии реагирования на инциденты для противодействия угрозам, исходящим от таких сложных фишинговых кампаний.
#ParsedReport #CompletenessLow
01-07-2026

Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique

https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/

Report completeness: Low

Threats:
Voidlink
Infernograbber

Victims:
Android users, Windows users

Industry:
Healthcare, Financial, Software_development

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1056.001, T1083, T1113, T1119, T1123, T1125, T1204.001, T1486, have more...

IOCs:
Hash: 1

Soft:
DeepSeek, Google Chrome, Android, Android Chrome, ChatGPT, OpenAI, Anthropic, Flask, Chrome, Discord, have more...

Crypto:
bitcoin

Algorithms:
sha256

Functions:
showOpenFilePicker, showDirectoryPicker

Languages:
javascript, vbscript, python, powershell

Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessLow 01-07-2026 Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье представлена «браузерная программа-вымогатель» (In-Browser Ransomware) — новая киберугроза, использующая уязвимости веб-технологий, в частности через API доступа к файловой системе (File System Access API) в современных браузерах, таких как Chrome. Это ВПО использует социальную инженерию для получения несанкционированного доступа к конфиденциальным файлам на устройствах Android после того, как пользователи непреднамеренно предоставляют соответствующие разрешения. Выполняя атаки непосредственно в браузере без традиционной установки программного обеспечения, эта угроза демонстрирует растущую опасность разработки ВПО с использованием искусственного интеллекта, создавая значительные проблемы для систем кибербезопасности.
-----

Ransomware в браузере использует уязвимости в веб-технологиях без необходимости традиционной установки программного обеспечения.

Оно использует API доступа к файловой системе в современных браузерах, таких как Google Chrome, для получения несанкционированного доступа к конфиденциальным каталогам.

Злоумышленники манипулируют разрешениями пользователей с помощью социальной инженерии для получения доступа к библиотекам фотографий на устройствах Android.

iOS ограничивает доступ, в отличие от Android, который позволяет веб-приложениям читать и изменять файлы с согласия пользователя.

Искусственный интеллект, в частности большие языковые модели, такие как DeepSeek, может создавать чертежи браузерного ransomware на основе простых запросов.

Вредоносное ПО для демонстрации концепции маскируется под легитимный сервис для получения разрешений на доступ к файлам.

Атаки начинаются с тактик фишинга, чтобы убедить пользователей разрешить доступ к файловой системе.

После предоставления разрешений вредоносное ПО может перечислять, похищать, шифровать и перезаписывать файлы в каталогах, выбранных пользователем.

Концептуальная атака объединяла сбор данных, регистрацию нажатий клавиш и шифрование файлов, выполняясь непосредственно в среде браузера.

Эти техники используют браузер в качестве среды выполнения, обходя традиционные средства защиты конечных точек.

Согласие пользователя на доступ к файлам повышает риск социальной инженерии против легитимных диалоговых окон браузера.

Исследование 3 000 файлов, связанных с DeepSeek, показало возможность создания операционного ВПО на основе задокументированных рисков.

Эта техника ещё не наблюдалась в широких кампаниях на момент публикации статьи, но представляет собой уникальную проблему для кибербезопасности.

Использование ИИ снижает барьеры для создания ВПО, позволяя разрабатывать новые методы кибератак, с которыми защитникам необходимо справляться.
#ParsedReport #CompletenessHigh
01-07-2026

From cause to cash: a cross-border look at hacktivist activity

https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/

Report completeness: High

Actors/Campaigns:
4bid (motivation: hacktivism, politically_motivated)
Hakerskii
Paper_werewolf
Cyber_anarchy_squad

Threats:
Dev_tunnels_tool
Blackreaperrat
Panorama9_tool
Anydesk_tool
Clearwater
Proxyshell_vuln
Nezha_tool
Tactical_rmm_tool
Sliver_c2_tool
Havoc
Mythic_c2_tool
Adaptixc2_tool
Blacksalt
Winsw_tool
Donut
Mythic_apollo_tool
Edr-killer
Byovd_technique
Ghostdriver_tool
Rentdrv2_tool
Shadow_copies_delete_technique
Blackout_locker

Victims:
Aviation, Healthcare, Manufacturing, Russian organizations, Belarusian organizations, Kazakhstan, United arab emirates, Syria, Egypt

Industry:
Aerospace

Geo:
Ukrainian, Belarus, Egyptian, Syria, Middle east, Belarusian, Egypt, Russian, Russia, Kazakhstan

CVEs:
CVE-2023-44976 [Vulners]
CVSS V3.1: 3.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.004, T1041, T1053.005, T1055, T1057, T1059.001, T1059.003, T1059.005, T1070.004, have more...

IOCs:
File: 22
IP: 8
Path: 1
Hash: 103

Soft:
Microsoft Exchange, ASP.NET, NET Framework, Microsoft Exchange server, Windows Service, Windows kernel, winlogon, vmwaretray, vboxguest, qemu, have more...

Algorithms:
base64, rc4, xor, chacha20, rsa-2048

Functions:
kill_all_non_whitelisted_processes

Win API:
NET, CreateThread, DeviceIoControl, ZwTerminateProcess, CreateToolhelp32Snapshot Process32First Process32Next, SetFileInformationByHandle, ystemParametersInfoA wi

Win Services:
MsMpEng, AvastSvc, mfemms, mfefire, securityhealthservice, vgauthservice, mssecflt

Languages:
powershell, rust

Platforms:
x64, cross-platform

Links:
https://github.com/winsw/winsw/
CTT Report Hub
#ParsedReport #CompletenessHigh 01-07-2026 From cause to cash: a cross-border look at hacktivist activity https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/ Report completeness: High Actors/Campaigns: 4bid (motivation: hacktivism, …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа 4BID сместила свои кибератаки с России и Беларуси на цели в Казахстане, ОАЭ, Сирии и Египте, в основном эксплуатируя уязвимость ProxyShell в серверах Microsoft Exchange для первоначального доступа. Они использовали веб-шелл под названием fd.aspx для удаленного управления и применяли различное ВПО, включая BlackReaperRAT и ransomware ClearWater, которые используют шифрование RSA-2048 и ChaCha20. Атакующие также развернули EDR killers для отключения средств защиты и известны своими эволюционирующими тактиками и разнообразным набором инструментов, направленных на достижение скрытности и закрепления в скомпрометированных сетях.
-----

Расследование деятельности группы 4BID выявило серию взаимосвязанных киберкампаний, демонстрирующих значительный сдвиг в географической направленности, выходящий за пределы России и Беларуси и включающий угрозы, нацеленные на организации в Казахстане, ОАЭ, Сирии и Египте. Атакующие в первую очередь эксплуатировали уязвимость ProxyShell на серверах Microsoft Exchange для получения первоначального доступа, развертывая сложные инструменты и ВПО во взломанных сетях.

После проникновения в сеть злоумышленники использовали веб-шелл под названием fd.aspx, предназначенный для удаленного управления и передачи файлов, с механизмом проверки безопасности на основе параметра AUTH_KEY. PowerShell изначально применялся для выполнения команд, но при наличии ограничений мог быть заменен на cmd.exe. Веб-шелл обеспечивал двунаправленную передачу файлов в формате Base64, что позволяло загружать вредоносные файлы и осуществлять эксфильтрацию данных через HTTP.

На затронутых системах был развернут набор пользовательских скриптов, что подчеркивает зависимость злоумышленников от легитимных инструментов удаленного управления, включая AnyDesk и Panorama9, которые маскировались под стандартные системные компоненты для избежания обнаружения. Эти скрипты не только облегчали их установку и настройку, но и отправляли отчеты с информацией о скомпрометированных системах на инфраструктуру управления злоумышленников (C2).

Расследование выявило несколько образцов вредоносного ПО, включая BlackReaperRAT и шифровальщик ClearWater. ClearWater, примечательный незашифрованным основным публичным RSA-ключом и методом шифрования файлов жертв с использованием алгоритмов RSA-2048 и ChaCha20, генерирует уникальные расширения файлов .clear после шифрования. Он также удаляет теневые копии и изменяет ключи реестра Windows для обеспечения закрепления и отображения выкупных записок. Кроме того, были обнаружены другие инструменты, такие как BlackSalt и Havoc, демонстрирующие продвинутые возможности для выполнения команд, манипуляции с операциями с файлами и удаленного доступа.

Атакующие применяли эскалирующие тактики, такие как развертывание убийц EDR — вредоносных инструментов, предназначенных для отключения средств защиты, — в частности, используя вариации техники BYOVD. Инструменты с именами kil.exe и ghostdriver.exe были сосредоточены на завершении процессов программного обеспечения безопасности.

Примечательно также недавно обнаруженное программное обеспечение-вымогатель и недавно обновленный вариант Blackout Locker, который включал функцию блокировки экрана наряду с традиционными методами шифрования файлов. Географическое расширение этих атак, указываемое предыдущими атаками на российские организации, предполагает эволюцию стратегии, направленной на захват прибыльных целей в более широком диапазоне международных организаций.

Учитывая разнообразие используемых инструментов и методов, злоумышленники демонстрируют эволюционирующий ландшафт киберугроз, характеризующийся сложностью и скрытностью, что подтверждает необходимость постоянного мониторинга и обновления разведданных об угрозах во всех затронутых секторах.