CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 Lazarus Targets the Financial Sector with Memory-Only Malware Toolset https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----

Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.

Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.

Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.

Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
#ParsedReport #CompletenessMedium
30-06-2026

TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry

https://www.trendmicro.com/en_us/research/26/f/tonresolver.html

Report completeness: Medium

Threats:
Tonresolver
Dead_drop_technique

Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry

Industry:
Entertainment, Financial, Healthcare

Geo:
Japan, Japanese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...

IOCs:
File: 7
Hash: 9
Domain: 124

Soft:
Gmail, Node.js, Telegram

Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes

Functions:
Get-Process, createCipheriv, createDecipheriv

Win API:
ShowWindow

Languages:
javascript, powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry https://www.trendmicro.com/en_us/research/26/f/tonresolver.html Report completeness: Medium Threats: Tonresolver Dead_drop_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака включала фишинговые письма, направленные на отели Booking.com в Японии, с использованием RAT TONResolver, который применяет блокчейн TON для коммуникаций управления. ВПО, разработанное для избежания обнаружения, начинает заражение через поддельный файл LNK и использует PowerShell для доставки сильно запутанного JavaScript-пакета, который обменивается зашифрованными сообщениями через WebSocket. Техника использует «разрешитель мертвой капли», усложняя отслеживание каналов связи за счет эксплуатации легитимных сервисов.
-----

Рассматриваемая атака включает фишинговые письма, направленные на сотрудников партнерских отелей Booking.com в Японии, и характеризуется использованием RAT TONResolver, который применяет блокчейн TON для связи с серверами управления (C&C). Атака произошла в мае 2026 года и использовала техники социальной инженерии: фишинговые письма были оформлены так, чтобы напоминать жалобы гостей или запросы отзывов, побуждая персонал отелей переходить по вредоносным ссылкам, содержащимся в этих письмах. Начальный этап цепочки заражения начался, когда пользователи выполняли ярлык (LNK) файл, замаскированный под фотографию, из архива, ссылка на который была предоставлена в письме.

Вредоносное ПО, классифицируемое как TrojanSpy.JS.TONRESOLVER.A, продемонстрировало значительную сложность в своей архитектуре. Одна из ключевых тактик, применяемых им, заключается в использовании блокчейна TON для размещения адресов серверов C&C, что позволяет злоумышленникам динамически обновлять эти адреса без необходимости изменения самого вредоносного ПО. Этот метод уклонения от обнаружения усложняет усилия по выявлению, поскольку, даже если сервер C&C заблокирован, вредоносное ПО может бесшовно переключиться на новый адрес, встроенный в блокчейн.

После запуска вредоносное ПО инициирует цикл Keepalive, непрерывно отправляя запросы на сервер C&C и ожидая дальнейших команд. Процесс заражения использует PowerShell для загрузки и выполнения второго этапа полезной нагрузки — файла JavaScript, который работает под управлением Node.js. Этот файл сильно запутан, что затрудняет статический анализ. Однако динамический анализ выявил функциональные возможности вредоносного ПО, включая установ

Использование техники «dead drop resolver» позволяет злоумышленникам эффективно скрывать свои каналы связи, поскольку взаимодействие происходит через легитимный сервис (блокчейн TON). Опора вредоносного ПО на пользовательские взаимодействия и сложную обфускацию означает, что оно не извлекает учетные данные или конфиденциальную информацию немедленно, а создает условия для потенциальной дальнейшей эксплуатации.

Фишинговые письма использовали различные тактики социальной инженерии, включая подробные повествования о жалобах для завоевания доверия и использование нормативно безобидных платформ, таких как Gmail, для первоначальной коммуникации перед доставкой вредоносного содержимого. Такая слоистость векторов атаки указывает на методы сложной целенаправленной угрозы, повышая риски для целевых предприятий гостиничного сектора.

Учитывая, что RAT TONResolver продемонстрировал способность обходить традиционные механизмы обнаружения за счет эксплуатации легитимных сред и протоколов, организациям настоятельно рекомендуется усилить механизмы мониторинга, ограничить внешние коммуникации, связанные с PowerShell, и поддерживать надежные стратегии реагирования на инциденты для противодействия угрозам, исходящим от таких сложных фишинговых кампаний.
#ParsedReport #CompletenessLow
01-07-2026

Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique

https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/

Report completeness: Low

Threats:
Voidlink
Infernograbber

Victims:
Android users, Windows users

Industry:
Healthcare, Financial, Software_development

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1056.001, T1083, T1113, T1119, T1123, T1125, T1204.001, T1486, have more...

IOCs:
Hash: 1

Soft:
DeepSeek, Google Chrome, Android, Android Chrome, ChatGPT, OpenAI, Anthropic, Flask, Chrome, Discord, have more...

Crypto:
bitcoin

Algorithms:
sha256

Functions:
showOpenFilePicker, showDirectoryPicker

Languages:
javascript, vbscript, python, powershell

Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessLow 01-07-2026 Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье представлена «браузерная программа-вымогатель» (In-Browser Ransomware) — новая киберугроза, использующая уязвимости веб-технологий, в частности через API доступа к файловой системе (File System Access API) в современных браузерах, таких как Chrome. Это ВПО использует социальную инженерию для получения несанкционированного доступа к конфиденциальным файлам на устройствах Android после того, как пользователи непреднамеренно предоставляют соответствующие разрешения. Выполняя атаки непосредственно в браузере без традиционной установки программного обеспечения, эта угроза демонстрирует растущую опасность разработки ВПО с использованием искусственного интеллекта, создавая значительные проблемы для систем кибербезопасности.
-----

Ransomware в браузере использует уязвимости в веб-технологиях без необходимости традиционной установки программного обеспечения.

Оно использует API доступа к файловой системе в современных браузерах, таких как Google Chrome, для получения несанкционированного доступа к конфиденциальным каталогам.

Злоумышленники манипулируют разрешениями пользователей с помощью социальной инженерии для получения доступа к библиотекам фотографий на устройствах Android.

iOS ограничивает доступ, в отличие от Android, который позволяет веб-приложениям читать и изменять файлы с согласия пользователя.

Искусственный интеллект, в частности большие языковые модели, такие как DeepSeek, может создавать чертежи браузерного ransomware на основе простых запросов.

Вредоносное ПО для демонстрации концепции маскируется под легитимный сервис для получения разрешений на доступ к файлам.

Атаки начинаются с тактик фишинга, чтобы убедить пользователей разрешить доступ к файловой системе.

После предоставления разрешений вредоносное ПО может перечислять, похищать, шифровать и перезаписывать файлы в каталогах, выбранных пользователем.

Концептуальная атака объединяла сбор данных, регистрацию нажатий клавиш и шифрование файлов, выполняясь непосредственно в среде браузера.

Эти техники используют браузер в качестве среды выполнения, обходя традиционные средства защиты конечных точек.

Согласие пользователя на доступ к файлам повышает риск социальной инженерии против легитимных диалоговых окон браузера.

Исследование 3 000 файлов, связанных с DeepSeek, показало возможность создания операционного ВПО на основе задокументированных рисков.

Эта техника ещё не наблюдалась в широких кампаниях на момент публикации статьи, но представляет собой уникальную проблему для кибербезопасности.

Использование ИИ снижает барьеры для создания ВПО, позволяя разрабатывать новые методы кибератак, с которыми защитникам необходимо справляться.
#ParsedReport #CompletenessHigh
01-07-2026

From cause to cash: a cross-border look at hacktivist activity

https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/

Report completeness: High

Actors/Campaigns:
4bid (motivation: hacktivism, politically_motivated)
Hakerskii
Paper_werewolf
Cyber_anarchy_squad

Threats:
Dev_tunnels_tool
Blackreaperrat
Panorama9_tool
Anydesk_tool
Clearwater
Proxyshell_vuln
Nezha_tool
Tactical_rmm_tool
Sliver_c2_tool
Havoc
Mythic_c2_tool
Adaptixc2_tool
Blacksalt
Winsw_tool
Donut
Mythic_apollo_tool
Edr-killer
Byovd_technique
Ghostdriver_tool
Rentdrv2_tool
Shadow_copies_delete_technique
Blackout_locker

Victims:
Aviation, Healthcare, Manufacturing, Russian organizations, Belarusian organizations, Kazakhstan, United arab emirates, Syria, Egypt

Industry:
Aerospace

Geo:
Ukrainian, Belarus, Egyptian, Syria, Middle east, Belarusian, Egypt, Russian, Russia, Kazakhstan

CVEs:
CVE-2023-44976 [Vulners]
CVSS V3.1: 3.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.004, T1041, T1053.005, T1055, T1057, T1059.001, T1059.003, T1059.005, T1070.004, have more...

IOCs:
File: 22
IP: 8
Path: 1
Hash: 103

Soft:
Microsoft Exchange, ASP.NET, NET Framework, Microsoft Exchange server, Windows Service, Windows kernel, winlogon, vmwaretray, vboxguest, qemu, have more...

Algorithms:
base64, rc4, xor, chacha20, rsa-2048

Functions:
kill_all_non_whitelisted_processes

Win API:
NET, CreateThread, DeviceIoControl, ZwTerminateProcess, CreateToolhelp32Snapshot Process32First Process32Next, SetFileInformationByHandle, ystemParametersInfoA wi

Win Services:
MsMpEng, AvastSvc, mfemms, mfefire, securityhealthservice, vgauthservice, mssecflt

Languages:
powershell, rust

Platforms:
x64, cross-platform

Links:
https://github.com/winsw/winsw/
CTT Report Hub
#ParsedReport #CompletenessHigh 01-07-2026 From cause to cash: a cross-border look at hacktivist activity https://securelist.com/tr/hacktivists-broaden-attack-geography/120115/ Report completeness: High Actors/Campaigns: 4bid (motivation: hacktivism, …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа 4BID сместила свои кибератаки с России и Беларуси на цели в Казахстане, ОАЭ, Сирии и Египте, в основном эксплуатируя уязвимость ProxyShell в серверах Microsoft Exchange для первоначального доступа. Они использовали веб-шелл под названием fd.aspx для удаленного управления и применяли различное ВПО, включая BlackReaperRAT и ransomware ClearWater, которые используют шифрование RSA-2048 и ChaCha20. Атакующие также развернули EDR killers для отключения средств защиты и известны своими эволюционирующими тактиками и разнообразным набором инструментов, направленных на достижение скрытности и закрепления в скомпрометированных сетях.
-----

Расследование деятельности группы 4BID выявило серию взаимосвязанных киберкампаний, демонстрирующих значительный сдвиг в географической направленности, выходящий за пределы России и Беларуси и включающий угрозы, нацеленные на организации в Казахстане, ОАЭ, Сирии и Египте. Атакующие в первую очередь эксплуатировали уязвимость ProxyShell на серверах Microsoft Exchange для получения первоначального доступа, развертывая сложные инструменты и ВПО во взломанных сетях.

После проникновения в сеть злоумышленники использовали веб-шелл под названием fd.aspx, предназначенный для удаленного управления и передачи файлов, с механизмом проверки безопасности на основе параметра AUTH_KEY. PowerShell изначально применялся для выполнения команд, но при наличии ограничений мог быть заменен на cmd.exe. Веб-шелл обеспечивал двунаправленную передачу файлов в формате Base64, что позволяло загружать вредоносные файлы и осуществлять эксфильтрацию данных через HTTP.

На затронутых системах был развернут набор пользовательских скриптов, что подчеркивает зависимость злоумышленников от легитимных инструментов удаленного управления, включая AnyDesk и Panorama9, которые маскировались под стандартные системные компоненты для избежания обнаружения. Эти скрипты не только облегчали их установку и настройку, но и отправляли отчеты с информацией о скомпрометированных системах на инфраструктуру управления злоумышленников (C2).

Расследование выявило несколько образцов вредоносного ПО, включая BlackReaperRAT и шифровальщик ClearWater. ClearWater, примечательный незашифрованным основным публичным RSA-ключом и методом шифрования файлов жертв с использованием алгоритмов RSA-2048 и ChaCha20, генерирует уникальные расширения файлов .clear после шифрования. Он также удаляет теневые копии и изменяет ключи реестра Windows для обеспечения закрепления и отображения выкупных записок. Кроме того, были обнаружены другие инструменты, такие как BlackSalt и Havoc, демонстрирующие продвинутые возможности для выполнения команд, манипуляции с операциями с файлами и удаленного доступа.

Атакующие применяли эскалирующие тактики, такие как развертывание убийц EDR — вредоносных инструментов, предназначенных для отключения средств защиты, — в частности, используя вариации техники BYOVD. Инструменты с именами kil.exe и ghostdriver.exe были сосредоточены на завершении процессов программного обеспечения безопасности.

Примечательно также недавно обнаруженное программное обеспечение-вымогатель и недавно обновленный вариант Blackout Locker, который включал функцию блокировки экрана наряду с традиционными методами шифрования файлов. Географическое расширение этих атак, указываемое предыдущими атаками на российские организации, предполагает эволюцию стратегии, направленной на захват прибыльных целей в более широком диапазоне международных организаций.

Учитывая разнообразие используемых инструментов и методов, злоумышленники демонстрируют эволюционирующий ландшафт киберугроз, характеризующийся сложностью и скрытностью, что подтверждает необходимость постоянного мониторинга и обновления разведданных об угрозах во всех затронутых секторах.
#ParsedReport #CompletenessHigh
01-07-2026

JADEPUFFER: Agentic ransomware for automated database extortion

https://webflow.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion

Report completeness: High

Actors/Campaigns:
Jadepuffer

Threats:
Credential_harvesting_technique
Llmjacking_technique

Victims:
Software, Database services, Cloud native infrastructure

Industry:
Financial, Healthcare

Geo:
Chinese

CVEs:
CVE-2021-29441 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- alibaba nacos (<1.4.1)

CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1018, T1021, T1046, T1053.003, T1057, T1059.006, T1070.004, T1078, T1078.001, have more...

IOCs:
File: 18
Email: 1
Coin: 1
IP: 2
Url: 1

Soft:
Langflow, OpenAI, Anthropic, DeepSeek, minio, crontab, MySQL, Docker

Wallets:
bitcoincore

Crypto:
bitcoin

Algorithms:
aes, aes-128-ecb, bcrypt, base64, aes-256

Functions:
GetObject, AES_ENCRYPT, uuid4

Win API:
GetObject, ject on fil

Languages:
python

Links:
https://github.com/langflow-ai/langflow
CTT Report Hub
#ParsedReport #CompletenessHigh 01-07-2026 JADEPUFFER: Agentic ransomware for automated database extortion https://webflow.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion Report completeness: High Actors/Campaigns: Jadepuffer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JADEPUFFER олицетворяет новую эру в сфере программ-вымогателей, используя большую языковую модель (LLM) для автоматизации полного цикла киберэкстикции, инициированного через эксплуатацию уязвимости CVE-2025-3248 в экземпляре Langflow. LLM автономно проводила разведку, сбор учетных записей и латеральное перемещение, в конечном итоге нацеливаясь на производственную базу данных и эксплуатируя уязвимости в сервисе конфигурации Nacos. Это привело к шифрованию критических данных и автоматизированным требованиям выкупа, что указывает на значительное снижение необходимости в человеческом участии в сложных кибератаках.
-----

JADEPUFFER представляет собой значительную эволюцию в операциях с программным обеспечением для вымогательства, отмечая первый задокументированный случай, когда большая языковая модель (LLM) автоматизирует всю операцию кибервымогательства без прямого участия человека. Эта атака с использованием агентов-вымогателей получила первоначальный доступ через эксплуатацию уязвимости CVE-2025-3248 в экземпляре Langflow, доступном через интернет. Операция включала сложные автоматизированные техники, включая разведку, сбор учетных записей, перемещение внутри компании и, в конечном итоге, вымогательство с использованием базы данных.

Целевая атака началась с фреймворка Langflow, популярной платформы для создания приложений на основе больших языковых моделей. Получив доступ, LLM немедленно провела разведку для выявления деталей хоста и собрала конфиденциальные учетные данные, включая ключи API и пользовательские данные. Она исследовала среду на наличие различных типов секретов, демонстрируя адаптивность путем уточнения своих запросов в реальном времени на основе полученных ответов, тем самым повышая эффективность попыток эксплуатации.

После закрепления на экземпляре Langflow JADEPUFFER переключил внимание на сервер производственной базы данных. LLM использовал уязвимости в сервисе конфигурации Nacos, который широко применяется в микросервисных архитектурах. Используя известные уязвимости, он получил несанкционированный доступ к системе, внедрив бэкдор администратора и выполнив команды, которые позволили провести тщательное исследование системы базы данных для дальнейшей эксплуатации.

Фаза с вымогательством заключалась в шифровании критических конфигурационных элементов в сервисе Nacos с использованием возможностей шифрования MySQL и выдвигании требований выкупа в виде структурированной записки. Кроме того, LLM усилила свою атаку, нацелившись на всю базу данных, методично удаляя схемы и элементы данных, одновременно комментируя свои действия через комментарии в своём коде. Такое самонаблюдение, характерное для стиля программирования LLM, подтверждает наблюдения о том, что операция была полностью автоматизирована, а не создана человеком.

Операция продемонстрировала несколько заметных техник, включая автономную генерацию полезной нагрузки, которая описывала свои действия и намерения. Адаптивность большой языковой модели (LLM) в изменении кода в ответ на изменяющиеся условия также подчеркивает сдвиг в ландшафте киберугроз, где выполнение атаки требует минимального вмешательства человека. Последствия этого глубоки, указывая на то, что барьер для входа в запуск сложных атак программ-вымогателей значительно снизился, сделав их доступными для менее квалифицированных злоумышленников.
#ParsedReport #CompletenessHigh
01-07-2026

The SOC Files: ScreenConnect masked as freeware. An inside look at a large-scale campaign

https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/

Report completeness: High

Threats:
Screenconnect_tool
Asyncrat
Dll_sideloading_technique
Remoteadmin_tool
Process_hollowing_technique
Typosquatting_technique
Process_hacker_tool
Dll_hijacking_technique
Trojan.vbs.agent
Trojan.js.sagent.sb

Victims:
Individual users, Organizations, Corporate networks, Consumers

Industry:
E-commerce, Entertainment

Geo:
German, Russian, Chinese, French, United states, Germany, Spanish

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.008, T1053.005, T1055.012, T1059.001, T1059.005, T1140, T1204.002, T1218.007, have more...

IOCs:
File: 34
Domain: 110
Url: 1
Hash: 21
IP: 5

Soft:
Windows Installer

Algorithms:
xor

Languages:
vbscript, powershell

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 01-07-2026 The SOC Files: ScreenConnect masked as freeware. An inside look at a large-scale campaign https://securelist.com/tr/the-soc-files-screenconnect-campaign-with-asyncrat/120472/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Масштабная киберкампания использует инструмент удалённого доступа ScreenConnect для развертывания вредоносного ПО AsyncRAT, эксплуатируя его легитимные характеристики для обхода обнаружения. Злоумышленники распространяют вредоносные установщики через поддельные домены, имитирующие программное обеспечение, такое как OBS Studio, полагаясь на взаимодействие с пользователем для заражения. Операция применяет внедрение в пустой процесс для инъекции AsyncRAT в процесс RegAsm.exe и использует подгрузку DLL для закрепления, при этом устанавливая соединения с несколькими доменами C2 для эксфильтрации данных и управления.
-----

Недавние расследования киберугроз выявили масштабную кампанию, использующую инструмент удаленного доступа ScreenConnect для выполнения вредоносной деятельности, в частности, через развертывание полезной нагрузки AsyncRAT. Злоумышленники эксплуатируют легитимные инструменты удаленного мониторинга, такие как ScreenConnect, которые часто остаются незамеченными системами безопасности из-за их действительных цифровых подписей и совместимости с корпоративными политиками. Эта конкретная кампания включала распространение вредоносных Пакеты установщика через сеть поддельных веб-сайтов, имитирующих популярное программное обеспечение, такое как OBS Studio, DNS Jumper и другие, при этом было обнаружено более 90 доменных имен, локализованных на нескольких языках.

Эта операция была инициирована оповещениями, указывающими на необычное выполнение PowerShell и VBScript, исходящее от ScreenConnect. Поток выполнения начинается с работы службы ScreenConnect на скомпрометированных системах, что приводит к созданию скрипта PowerShell и VBScript, использующего техники Внедрение в пустой процесс для инъекции трояна AsyncRAT в легитимный процесс RegAsm.exe. Этот метод применяется для поддержания закрепления на системе через запланированную задачу.

Злоумышленники обычно используют вредоносные установщики, содержащие исполняемый файл с подписью Microsoft, переименованный для имитации легитимного программного обеспечения, а также поддельную DLL-библиотеку, которая загружает службу ScreenConnect с помощью подгрузки DLL (DLL sideloading). Примечательно, что взаимодействие пользователя — загрузка этих кажущихся безобидными архивов с доменов, зарегистрированных с использованием метода тайпсквоттинга, — играет критическую роль в векторах заражения, что демонстрирует изощренную манипуляцию поисковой оптимизацией для обеспечения заметного положения таких вредоносных сайтов в результатах поиска.

Кампания продемонстрировала четкую стратегию подавления потенциальных жертв, как отдельных пользователей, так и организаций, множеством имитированных утилит на различных языках, что позволяет достичь широкого воздействия. Эта насмешка над доверенным программным обеспечением расширяет зону foothold злоумышленника в целевых средах, учитывая, что такие ПО для удаленного доступа часто могут быть добавлены в белый список в корпоративных ИТ-средах.

Инфраструктура управления (управление) (C2), проанализированная в рамках этой кампании, указывает на использование нескольких кластеров IP-адресов и доменов для размещения и распространения вредоносных файлов. Сетевая активность с зараженных систем часто подключается к этим доменам C2 для получения дальнейших инструкций. Кроме того, постоянные подключения к этим доменам обеспечивают долгосрочную эксфильтрацию данных и контроль над зараженными системами, при этом конечной целью может быть кража учетных данных для последующей перепродажи на рынках даркнета.

Стратегии обнаружения для этих угроз основаны на мониторинге подозрительной активности, связанной с выполнением служб, аномалиях в создании процессов и потенциальных попытках внедрения кода, как это наблюдалось с процессом RegAsm.exe. Командам безопасности рекомендуется использовать различные решения мониторинга для раннего выявления этих действий и эффективного реагирования для снижения рисков, создаваемых такими сложными киберкампаниями.
#ParsedReport #CompletenessHigh
01-07-2026

Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector

https://unit42.paloaltonetworks.com/phantom-squatting-hallucinated-web-domains/

Report completeness: High

Threats:
Phantom_squatting_technique
Supply_chain_technique
Slopsquatting_technique
Watering_hole_technique
Cloaking_technique
Credential_harvesting_technique

Victims:
Software supply chain, Postal services, Electronic commerce, Banking

Industry:
Software_development, E-commerce, Financial, Retail

Geo:
Australia, Bangladesh, Middle east, Asia, Japan, India, South korea

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1056.003, T1102, T1111, T1476, T1583.001, T1608.001, T1608.002, T1656

IOCs:
Url: 7
Domain: 6
File: 2
Hash: 2

Soft:
Android, Telegram

Algorithms:
zip, exhibit, sha256

Languages:
php