CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 Lazarus-Linked npm Malware Masquerades as Rollup Polyfills https://research.jfrog.com/post/rollup-polyfill-masquerading/ Report completeness: Medium Actors/Campaigns: Lazarus (motivation: information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Команда исследователей безопасности JFrog выявила вредоносные пакеты npm, связанные с группировкой Lazarus Group, которые имитируют легитимные полифиллы Rollup. Эти пакеты, такие как `rollup-packages-polyfill-core`, содержат скрытую логику, активируемую при импорте, что раскрывает загрузчик для дополнительных скриптов. Вредоносное ПО включает компонент удаленного доступа для глубокого профилирования хоста, выполнения команд и кражи конфиденциальных данных, в частности информации из браузеров и криптовалютных кошельков на различных операционных системах.
-----
Команда исследователей безопасности JFrog недавно раскрыла кластер вредоносных пакетов npm, связанных с северокорейским злоумышленником Lazarus Group, предназначенных для маскировки под легитимные полифиллы Rollup. В частности, пакеты с именами `rollup-packages-polyfill-core` и `rollup-runtime-polyfill-core` тесно имитируют легитимный `rollup-plugin-polyfill-node`, который является хорошо зарекомендовавшим себя пакетом в экосистеме сборки JavaScript и испытывает значительную активность загрузок.
Эти вредоносные пакеты используют соглашение об именовании и метаданные репозитория, которые тесно соответствуют легитимному аналогу, что делает их правдоподобными при быстром обзоре зависимостей. Хотя некоторые связанные пакеты, такие как `rollup-plugin-polyfill-connect`, были помечены версиями с удержанием безопасности, несколько других вредоносных пакетов остаются активными и могут представлять значительный риск для пользователей.
Обманные тактики, применяемые в этих пакетах, включают скрытую логику внутри того, что выглядит как стандартный код плагина Rollup. Эта скрытая логика активируется через процедуру установки во время импорта, которая использует невинные имена для маскировки своего истинного намерения. Примечательно, что в вредоносном пакете `rollup-packages-polyfill-core` компонент под названием JSONKeeper содержит зашифрованный JavaScript-пакет, который после расшифровки раскрывает загрузчик для нескольких дополнительных скриптов.
Обнаруженный компонент удалённого доступа вызывает особую обеспокоенность, предоставляя широкие возможности для профилирования хоста, включая идентификацию операционной системы, проверку системных ресурсов и возможность выполнения команд скрытно. Этот функционал включает создание интерактивных терминальных сессий и обеспечение SSH-соединений, а также способность захватывать скриншоты и имитировать движения мыши и нажатия клавиш.
Кроме того, вредоносное ПО оснащено полезной нагрузкой, которая нацелена на конфиденциальные данные профилей браузеров и информацию кошельков криптовалют, сканируя общие директории браузеров на нескольких операционных системах. Оно рекурсивно ищет секреты в пользовательских директориях, исключая обычно игнорируемые места, что раскрывает сложный механизм сбора, который конкретно сосредоточен на получении ценной информации без вызова подозрений.
С точки зрения общего риска, эти вредоносные пакеты выходят за рамки простого сбора данных, внедряясь в пользовательские среды и получая полный контроль над системами. Они не только крадут конфиденциальную информацию, но и облегчают дальнейшую эксплуатацию через возможности управления, включая выполнение команд и мониторинг содержимого буфера обмена.
Для снижения рисков пользователям, которые могли установить любой из этих вредоносных пакетов, рекомендуется предпринять немедленные действия. Обманчивая природа этой кампании заключается в её многоуровневом подходе: на каждом уровне она выглядит безобидно, но после полного выполнения приводит к значительной вредоносной активности. Обнаружение этих вредоносных пакетов возможно с помощью таких инструментов, как JFrog Xray и JFrog Curation, что подчеркивает необходимость бдительности в управлении программными пакетами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Команда исследователей безопасности JFrog выявила вредоносные пакеты npm, связанные с группировкой Lazarus Group, которые имитируют легитимные полифиллы Rollup. Эти пакеты, такие как `rollup-packages-polyfill-core`, содержат скрытую логику, активируемую при импорте, что раскрывает загрузчик для дополнительных скриптов. Вредоносное ПО включает компонент удаленного доступа для глубокого профилирования хоста, выполнения команд и кражи конфиденциальных данных, в частности информации из браузеров и криптовалютных кошельков на различных операционных системах.
-----
Команда исследователей безопасности JFrog недавно раскрыла кластер вредоносных пакетов npm, связанных с северокорейским злоумышленником Lazarus Group, предназначенных для маскировки под легитимные полифиллы Rollup. В частности, пакеты с именами `rollup-packages-polyfill-core` и `rollup-runtime-polyfill-core` тесно имитируют легитимный `rollup-plugin-polyfill-node`, который является хорошо зарекомендовавшим себя пакетом в экосистеме сборки JavaScript и испытывает значительную активность загрузок.
Эти вредоносные пакеты используют соглашение об именовании и метаданные репозитория, которые тесно соответствуют легитимному аналогу, что делает их правдоподобными при быстром обзоре зависимостей. Хотя некоторые связанные пакеты, такие как `rollup-plugin-polyfill-connect`, были помечены версиями с удержанием безопасности, несколько других вредоносных пакетов остаются активными и могут представлять значительный риск для пользователей.
Обманные тактики, применяемые в этих пакетах, включают скрытую логику внутри того, что выглядит как стандартный код плагина Rollup. Эта скрытая логика активируется через процедуру установки во время импорта, которая использует невинные имена для маскировки своего истинного намерения. Примечательно, что в вредоносном пакете `rollup-packages-polyfill-core` компонент под названием JSONKeeper содержит зашифрованный JavaScript-пакет, который после расшифровки раскрывает загрузчик для нескольких дополнительных скриптов.
Обнаруженный компонент удалённого доступа вызывает особую обеспокоенность, предоставляя широкие возможности для профилирования хоста, включая идентификацию операционной системы, проверку системных ресурсов и возможность выполнения команд скрытно. Этот функционал включает создание интерактивных терминальных сессий и обеспечение SSH-соединений, а также способность захватывать скриншоты и имитировать движения мыши и нажатия клавиш.
Кроме того, вредоносное ПО оснащено полезной нагрузкой, которая нацелена на конфиденциальные данные профилей браузеров и информацию кошельков криптовалют, сканируя общие директории браузеров на нескольких операционных системах. Оно рекурсивно ищет секреты в пользовательских директориях, исключая обычно игнорируемые места, что раскрывает сложный механизм сбора, который конкретно сосредоточен на получении ценной информации без вызова подозрений.
С точки зрения общего риска, эти вредоносные пакеты выходят за рамки простого сбора данных, внедряясь в пользовательские среды и получая полный контроль над системами. Они не только крадут конфиденциальную информацию, но и облегчают дальнейшую эксплуатацию через возможности управления, включая выполнение команд и мониторинг содержимого буфера обмена.
Для снижения рисков пользователям, которые могли установить любой из этих вредоносных пакетов, рекомендуется предпринять немедленные действия. Обманчивая природа этой кампании заключается в её многоуровневом подходе: на каждом уровне она выглядит безобидно, но после полного выполнения приводит к значительной вредоносной активности. Обнаружение этих вредоносных пакетов возможно с помощью таких инструментов, как JFrog Xray и JFrog Curation, что подчеркивает необходимость бдительности в управлении программными пакетами.
#ParsedReport #CompletenessLow
02-07-2026
Blacksite: New AiTM Phishing Kit Evades URL Scanners via Cloaked.gg
https://abnormal.ai/blog/blacksite-aitm-phishing-kit-cloaked-gg
Report completeness: Low
Threats:
Blacksite
Aitm_technique
Cloaking_technique
Tycoon_2fa
Victims:
Financial services, Information technology, Social media, Cryptocurrency, Corporate identity and access management, Enterprise organizations, Consumers in poland
Industry:
Financial
ChatGPT TTPs:
T1090.002, T1111, T1115, T1480, T1539, T1550.004, T1557, T1566
IOCs:
Domain: 9
Url: 1
Soft:
Telegram, Instagram, Docker, Nginx
02-07-2026
Blacksite: New AiTM Phishing Kit Evades URL Scanners via Cloaked.gg
https://abnormal.ai/blog/blacksite-aitm-phishing-kit-cloaked-gg
Report completeness: Low
Threats:
Blacksite
Aitm_technique
Cloaking_technique
Tycoon_2fa
Victims:
Financial services, Information technology, Social media, Cryptocurrency, Corporate identity and access management, Enterprise organizations, Consumers in poland
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1090.002, T1111, T1115, T1480, T1539, T1550.004, T1557, T1566
IOCs:
Domain: 9
Url: 1
Soft:
Telegram, Instagram, Docker, Nginx
Abnormal AI
Blacksite: New AiTM Phishing Kit Evades URL Scanners via Cloaked.gg
Blacksite, a new adversary-in-the-middle kit, is sold with Cloaked.gg, a cloaking service that hides phishing pages from automated URL analysis and serves benign decoys to scanners.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Blacksite: New AiTM Phishing Kit Evades URL Scanners via Cloaked.gg https://abnormal.ai/blog/blacksite-aitm-phishing-kit-cloaked-gg Report completeness: Low Threats: Blacksite Aitm_technique Cloaking_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговый набор Blacksite использует технологию маскировки через Cloaked.gg для избежания обнаружения средствами защиты, что позволяет злоумышленникам показывать сканерам легитимный контент, одновременно направляя цели на фишинговые сайты. Он захватывает конфиденциальную информацию, такую как токены аутентификации и сеансовые куки, в реальном времени, что позволяет осуществлять полный захват учетных записей, включая обход многофакторной аутентификации. Эта операция значительно снижает порог входа для менее квалифицированных злоумышленников, стремящихся эксплуатировать как корпоративные, так и личные учетные записи, вызывая обеспокоенность в области безопасности во многих организациях.
-----
Blacksite — это недавно выявленный фишинговый набор для атаки «человек посередине» (AiTM), который использует службу маскировки под названием Cloaked.gg для обхода обнаружения автоматизированными инструментами анализа URL. Эта двойная функция позволяет злоумышленникам показывать сканерам безобидный контент, в то время как реальные цели направляются на живые фишинговые страницы, тем самым повышая шансы на успешные компрометации. Стоимость Blacksite составляет от 600 до 1000 долларов в месяц, что значительно снижает порог входа в продвинутые фишинговые операции, позволяя менее опытным злоумышленникам выполнять полные захват учетных записей, даже против учетных записей, защищенных многофакторной аутентификацией (MFA).
Набор инструментов Blacksite перехватывает аутентификационные токены, сеансовые файлы cookie и одноразовые коды 2FA в реальном времени благодаря своей работе в качестве обратного прокси-сервера. Перехватывая поток легитимного трафика, он позволяет злоумышленникам захватывать контроль над сеансами и обходить многофакторную аутентификацию (MFA), что является критической функцией, обеспечивающей эффективный фишинг в больших масштабах. Набор инструментов способен зеркалировать различные сервисы, включая банковские порталы и корпоративные системы единого входа (SSO), что вызывает опасения относительно безопасности организаций с учетом его потенциала для проникновения в чувствительные корпоративные среды.
Интеграция с Cloaked.gg усиливает вредоносную операцию за счёт внедрения элементов, предназначенных для сокрытия фишинговых попыток от автоматизированных средств безопасности. Cloaked.gg блокирует трафик VPN, прокси и дата-центров, одновременно предоставляя сканерам безобидную информацию, тем самым сохраняя видимость безопасности для URL-адресов, проверяемых решениями безопасности. Эта возможность создаёт ложное чувство защищённости, поскольку легитимные пользователи направляются к реальному фишинговому контенту без обнаружения.
Cloaked.gg работает за счет выявления и блокировки трафика, связанного с подозрительными шаблонами, которые обычно ассоциируются с автоматизированным сканированием, создавая отдельный опыт на основе профиля посетителя. В результате, хотя сканеры могут регистрировать чистые URL-адреса, которые выглядят безобидно, потенциальные жертвы сталкиваются с реальными фишинговыми средами, предназначенными для сбора их учетных данных. Эта операционная структура подчеркивает серьезную проблему для специалистов по кибербезопасности, поскольку она превращает уклонение от URL-адресов из сложного процесса, требующего технических знаний, в доступную услугу.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговый набор Blacksite использует технологию маскировки через Cloaked.gg для избежания обнаружения средствами защиты, что позволяет злоумышленникам показывать сканерам легитимный контент, одновременно направляя цели на фишинговые сайты. Он захватывает конфиденциальную информацию, такую как токены аутентификации и сеансовые куки, в реальном времени, что позволяет осуществлять полный захват учетных записей, включая обход многофакторной аутентификации. Эта операция значительно снижает порог входа для менее квалифицированных злоумышленников, стремящихся эксплуатировать как корпоративные, так и личные учетные записи, вызывая обеспокоенность в области безопасности во многих организациях.
-----
Blacksite — это недавно выявленный фишинговый набор для атаки «человек посередине» (AiTM), который использует службу маскировки под названием Cloaked.gg для обхода обнаружения автоматизированными инструментами анализа URL. Эта двойная функция позволяет злоумышленникам показывать сканерам безобидный контент, в то время как реальные цели направляются на живые фишинговые страницы, тем самым повышая шансы на успешные компрометации. Стоимость Blacksite составляет от 600 до 1000 долларов в месяц, что значительно снижает порог входа в продвинутые фишинговые операции, позволяя менее опытным злоумышленникам выполнять полные захват учетных записей, даже против учетных записей, защищенных многофакторной аутентификацией (MFA).
Набор инструментов Blacksite перехватывает аутентификационные токены, сеансовые файлы cookie и одноразовые коды 2FA в реальном времени благодаря своей работе в качестве обратного прокси-сервера. Перехватывая поток легитимного трафика, он позволяет злоумышленникам захватывать контроль над сеансами и обходить многофакторную аутентификацию (MFA), что является критической функцией, обеспечивающей эффективный фишинг в больших масштабах. Набор инструментов способен зеркалировать различные сервисы, включая банковские порталы и корпоративные системы единого входа (SSO), что вызывает опасения относительно безопасности организаций с учетом его потенциала для проникновения в чувствительные корпоративные среды.
Интеграция с Cloaked.gg усиливает вредоносную операцию за счёт внедрения элементов, предназначенных для сокрытия фишинговых попыток от автоматизированных средств безопасности. Cloaked.gg блокирует трафик VPN, прокси и дата-центров, одновременно предоставляя сканерам безобидную информацию, тем самым сохраняя видимость безопасности для URL-адресов, проверяемых решениями безопасности. Эта возможность создаёт ложное чувство защищённости, поскольку легитимные пользователи направляются к реальному фишинговому контенту без обнаружения.
Cloaked.gg работает за счет выявления и блокировки трафика, связанного с подозрительными шаблонами, которые обычно ассоциируются с автоматизированным сканированием, создавая отдельный опыт на основе профиля посетителя. В результате, хотя сканеры могут регистрировать чистые URL-адреса, которые выглядят безобидно, потенциальные жертвы сталкиваются с реальными фишинговыми средами, предназначенными для сбора их учетных данных. Эта операционная структура подчеркивает серьезную проблему для специалистов по кибербезопасности, поскольку она превращает уклонение от URL-адресов из сложного процесса, требующего технических знаний, в доступную услугу.
#ParsedReport #CompletenessLow
02-07-2026
Indirect Prompt Injection in Web Content Targets AI Agents
https://www.zscaler.com/blogs/security-research/indirect-prompt-injection-web-content-targets-ai-agents
Report completeness: Low
Threats:
Typosquatting_technique
Seo_poisoning_technique
Victims:
Ai agents, Software developers, Cryptocurrency users
Industry:
Financial
ChatGPT TTPs:
T1059.007, T1583.001, T1608.006
IOCs:
Coin: 1
Domain: 11
Url: 10
Soft:
Twitter, Llama, GPT-5, Claude
Languages:
python, javascript
02-07-2026
Indirect Prompt Injection in Web Content Targets AI Agents
https://www.zscaler.com/blogs/security-research/indirect-prompt-injection-web-content-targets-ai-agents
Report completeness: Low
Threats:
Typosquatting_technique
Seo_poisoning_technique
Victims:
Ai agents, Software developers, Cryptocurrency users
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1059.007, T1583.001, T1608.006
IOCs:
Coin: 1
Domain: 11
Url: 10
Soft:
Twitter, Llama, GPT-5, Claude
Languages:
python, javascript
Zscaler
Indirect Prompt Injection Targets AI Agents | ThreatLabz
ThreatLabz details indirect prompt injection hidden in malicious webpages meant to mislead AI agents performing tasks.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Indirect Prompt Injection in Web Content Targets AI Agents https://www.zscaler.com/blogs/security-research/indirect-prompt-injection-web-content-targets-ai-agents Report completeness: Low Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Непрямая инъекция промпта (IPI) — это новая угроза, нацеленная на ИИ-агентов путем внедрения вредоносных инструкций в веб-сайты, документы или электронные письма. Два значимых инцидента иллюстрируют это: один представляет собой мошенничество с платежами, маскирующееся под легитимный сайт документации API, использующее SEO для привлечения жертв, а другой — операцию с тайпсквоттингом, имитирующую платформу DeBank. Тестирование больших языковых моделей выявило уязвимости, при этом несколько моделей не смогли распознать мошеннический контент как вредоносный, что подчеркивает необходимость улучшения механизмов обнаружения атак IPI.
-----
Косвенная инъекция промпта (IPI) представляет собой новый вектор угроз, нацеленный на ИИ-агентов, использующий контент, потребляемый этими системами, для внедрения вредоносных инструкций. Этот метод имитирует техники социальной инженерии, традиционно применявшиеся против человеческих пользователей, манипулируя процессами принятия решений ИИ путем внедрения IPI в веб-сайты, документы или электронные письма. Недавние расследования Zscaler ThreatLabz выявили две значимые кампании, использующие IPI: одна связана со схемой мошенничества с платежами, а другая — с операцией по тайпсквоттингу, имитирующей платформу криптовалют.
В рамках первой кампании мошенническая схема с использованием IPI маскируется под легитимный сайт с документацией API, применяя Отравление поисковой оптимизации (SEO) для повышения видимости при поиске пользователями конкретных запросов по библиотекам Python. Фальшивый сайт внедряет в свой HTML-код перегруженные ключевые слова, чтобы ввести в заблуждение AI-агентов и направить их на вредоносный контент. Сайт предлагает пользователям перевести небольшую сумму Ethereum (ETH) на указанный адрес кошелька под предлогом легитимной транзакции, после чего выдает поддельный API-ключ в качестве подтверждения. Злоумышленники, стоящие за этой операцией, создали несколько репозиториев на GitHub, которые ссылаются на различные аналогичные мошеннические сайты, предназначенные для обмана AI-агентов.
Вторая кампания связана с доменом, использующим метод тайпсквоттинга, который имитирует DeBank — известную платформу для отслеживания портфелей в децентрализованных финансах. Этот мошеннический сайт структурирован таким образом, чтобы занимать высокие позиции в поисковых запросах, связанных с DeBank, за счет включения вводящих в заблуждение ключевых слов в заголовок и мета-описание. Чтобы укрепить свой фасад, сайт использует структурированные данные JSON-LD, чтобы представиться легитимным программным обеспечением, связанным с DeBank, ложно указывая официальный домен DeBank в качестве своего издателя. Техники IPI аналогичным образом используются для манипуляции системами искусственного интеллекта путем внедрения инструкций, которые побуждают модели игнорировать предыдущие вводы и вместо этого следовать вредоносным директивам внедрителя.
Результаты тестирования различных больших языковых моделей (LLM) продемонстрировали тревожный уровень уязвимости. Например, в ходе проверки первой кампании четыре из 26 LLM не предприняли необходимых действий против мошеннического сайта, а во время второй кампании две модели ошибочно классифицировали рискованный домен как легитимный при определенных условиях. Особенно когда контент мошеннического сайта оценивался изолированно, модели неверно определяли его как легитимный, что подчеркивает необходимость улучшения механизмов обнаружения в системах ИИ для защиты от таких сложных манипулятивных атак. По мере того как ландшафт угроз продолжает развиваться, понимание нюансов атак IPI становится критически важным для повышения устойчивости приложений на основе ИИ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Непрямая инъекция промпта (IPI) — это новая угроза, нацеленная на ИИ-агентов путем внедрения вредоносных инструкций в веб-сайты, документы или электронные письма. Два значимых инцидента иллюстрируют это: один представляет собой мошенничество с платежами, маскирующееся под легитимный сайт документации API, использующее SEO для привлечения жертв, а другой — операцию с тайпсквоттингом, имитирующую платформу DeBank. Тестирование больших языковых моделей выявило уязвимости, при этом несколько моделей не смогли распознать мошеннический контент как вредоносный, что подчеркивает необходимость улучшения механизмов обнаружения атак IPI.
-----
Косвенная инъекция промпта (IPI) представляет собой новый вектор угроз, нацеленный на ИИ-агентов, использующий контент, потребляемый этими системами, для внедрения вредоносных инструкций. Этот метод имитирует техники социальной инженерии, традиционно применявшиеся против человеческих пользователей, манипулируя процессами принятия решений ИИ путем внедрения IPI в веб-сайты, документы или электронные письма. Недавние расследования Zscaler ThreatLabz выявили две значимые кампании, использующие IPI: одна связана со схемой мошенничества с платежами, а другая — с операцией по тайпсквоттингу, имитирующей платформу криптовалют.
В рамках первой кампании мошенническая схема с использованием IPI маскируется под легитимный сайт с документацией API, применяя Отравление поисковой оптимизации (SEO) для повышения видимости при поиске пользователями конкретных запросов по библиотекам Python. Фальшивый сайт внедряет в свой HTML-код перегруженные ключевые слова, чтобы ввести в заблуждение AI-агентов и направить их на вредоносный контент. Сайт предлагает пользователям перевести небольшую сумму Ethereum (ETH) на указанный адрес кошелька под предлогом легитимной транзакции, после чего выдает поддельный API-ключ в качестве подтверждения. Злоумышленники, стоящие за этой операцией, создали несколько репозиториев на GitHub, которые ссылаются на различные аналогичные мошеннические сайты, предназначенные для обмана AI-агентов.
Вторая кампания связана с доменом, использующим метод тайпсквоттинга, который имитирует DeBank — известную платформу для отслеживания портфелей в децентрализованных финансах. Этот мошеннический сайт структурирован таким образом, чтобы занимать высокие позиции в поисковых запросах, связанных с DeBank, за счет включения вводящих в заблуждение ключевых слов в заголовок и мета-описание. Чтобы укрепить свой фасад, сайт использует структурированные данные JSON-LD, чтобы представиться легитимным программным обеспечением, связанным с DeBank, ложно указывая официальный домен DeBank в качестве своего издателя. Техники IPI аналогичным образом используются для манипуляции системами искусственного интеллекта путем внедрения инструкций, которые побуждают модели игнорировать предыдущие вводы и вместо этого следовать вредоносным директивам внедрителя.
Результаты тестирования различных больших языковых моделей (LLM) продемонстрировали тревожный уровень уязвимости. Например, в ходе проверки первой кампании четыре из 26 LLM не предприняли необходимых действий против мошеннического сайта, а во время второй кампании две модели ошибочно классифицировали рискованный домен как легитимный при определенных условиях. Особенно когда контент мошеннического сайта оценивался изолированно, модели неверно определяли его как легитимный, что подчеркивает необходимость улучшения механизмов обнаружения в системах ИИ для защиты от таких сложных манипулятивных атак. По мере того как ландшафт угроз продолжает развиваться, понимание нюансов атак IPI становится критически важным для повышения устойчивости приложений на основе ИИ.
#ParsedReport #CompletenessLow
02-07-2026
Linux Backdoor Targeting iKuai Routers
https://dmpdump.github.io/posts/Backdoor_iKuai_Routers/
Report completeness: Low
Threats:
Ikuai_bdoor
Victims:
Ikuai routers, Network devices
Geo:
Chinese, Japan
ChatGPT TTPs:
T1005, T1016, T1027, T1036.005, T1041, T1059.004, T1071.001, T1082, T1132.001, T1140, have more...
IOCs:
Hash: 1
Url: 4
Soft:
Linux, OpenWrt, task scheduler
Algorithms:
aes-gcm, sha2, aes-256, aes, xor, base64
Functions:
acquire_lock, get_gwid
YARA: Found
Links:
02-07-2026
Linux Backdoor Targeting iKuai Routers
https://dmpdump.github.io/posts/Backdoor_iKuai_Routers/
Report completeness: Low
Threats:
Ikuai_bdoor
Victims:
Ikuai routers, Network devices
Geo:
Chinese, Japan
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1036.005, T1041, T1059.004, T1071.001, T1082, T1132.001, T1140, have more...
IOCs:
Hash: 1
Url: 4
Soft:
Linux, OpenWrt, task scheduler
Algorithms:
aes-gcm, sha2, aes-256, aes, xor, base64
Functions:
acquire_lock, get_gwid
YARA: Found
Links:
https://github.com/openwrt/libubox/blob/master/json\_script.cdmpdump
Linux Backdoor Targeting iKuai Routers
On July 1, 2026, MalwareHunterTeam shared an ELF uploaded to VirusTotal from Japan with 0 detection. After a quick code inspection, it was evident that the ELF was a backdoor targeting specific Linux-based devices.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Linux Backdoor Targeting iKuai Routers https://dmpdump.github.io/posts/Backdoor_iKuai_Routers/ Report completeness: Low Threats: Ikuai_bdoor Victims: Ikuai routers, Network devices Geo: Chinese, Japan ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
1 июля 2026 года команда MalwareHunterTeam обнаружила бэкдор на базе Linux, нацеленный на маршрутизаторы iKuai, под названием libjson_script.so.0. Этот бэкдор имитирует легитимную библиотеку и использует метод шифрования XOR для конфигурации, включая защищенную связь через MbedTLS AES-GCM и планирование задач с сервером управления, что позволяет ему выполнять команды оболочки и эксфильтровать данные. Он специально взаимодействует с устройствами, работающими на определенных пользовательских прошивках Linux, что указывает на возможности целевой компрометации.
-----
1 июля 2026 года команда MalwareHunterTeam сообщила о бэкдоре на базе Linux, нацеленном на маршрутизаторы iKuai из Китая, идентифицированном по ELF-бинарному файлу с именем libjson_script.so.0, который был загружен на VirusTotal из Японии. Этот бэкдор имитирует легитимную библиотеку, связанную с проектом OpenWrt, что вызывает опасения из-за его специфической направленности.
Бэкдор содержит основную процедуру, которая начинается с получения блокировки для обеспечения работы только одного экземпляра, за которым следует расшифровка его конфигурации с использованием алгоритма XOR с однобайтовым ключом (0x5A). Затем создаётся директория в /var/tmp, инициализируется контекст AES-GCM MbedTLS для защищённой связи, и настраивается поток планировщика задач для регулярного взаимодействия с сервером управления (C2), расположенным по адресу https://47.80.111.129:7380. Процедура пытается получить идентификатор шлюза (GWID), специфичный для маршрутизаторов iKuai, создавая его, если он отсутствует, и входит в цикл, в котором отправляет маяки на сервер управления для получения задач, с временем ожидания по умолчанию 3600 секунд между действиями.
Расшифровка конфигурации включает разбор зашифрованных JSON-ответов от C2, которые содержат задачи и их соответствующие параметры. Среди команд, поддерживаемых бэкдором, есть возможность чтения файлов (до 512 КБ), выполнения команд оболочки асинхронно и отправки результатов обратно на C2 в виде зашифрованного JSON. Это указывает на высокий уровень контроля и возможности эксфильтрации данных, направленные на компрометацию затронутых устройств.
Что касается выполнения команд, бэкдор использует exec_cmd_async, который выполняет команды оболочки через '/bin/sh -c' и передает результаты обратно на C2-сервер. Бэкдор, по-видимому, уникально ориентирован на определенные версии пользовательской прошивки Linux, о чем свидетельствует обработка получения GWID, которая ссылается на файлы, известные как существующие на устройствах iKuai.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
1 июля 2026 года команда MalwareHunterTeam обнаружила бэкдор на базе Linux, нацеленный на маршрутизаторы iKuai, под названием libjson_script.so.0. Этот бэкдор имитирует легитимную библиотеку и использует метод шифрования XOR для конфигурации, включая защищенную связь через MbedTLS AES-GCM и планирование задач с сервером управления, что позволяет ему выполнять команды оболочки и эксфильтровать данные. Он специально взаимодействует с устройствами, работающими на определенных пользовательских прошивках Linux, что указывает на возможности целевой компрометации.
-----
1 июля 2026 года команда MalwareHunterTeam сообщила о бэкдоре на базе Linux, нацеленном на маршрутизаторы iKuai из Китая, идентифицированном по ELF-бинарному файлу с именем libjson_script.so.0, который был загружен на VirusTotal из Японии. Этот бэкдор имитирует легитимную библиотеку, связанную с проектом OpenWrt, что вызывает опасения из-за его специфической направленности.
Бэкдор содержит основную процедуру, которая начинается с получения блокировки для обеспечения работы только одного экземпляра, за которым следует расшифровка его конфигурации с использованием алгоритма XOR с однобайтовым ключом (0x5A). Затем создаётся директория в /var/tmp, инициализируется контекст AES-GCM MbedTLS для защищённой связи, и настраивается поток планировщика задач для регулярного взаимодействия с сервером управления (C2), расположенным по адресу https://47.80.111.129:7380. Процедура пытается получить идентификатор шлюза (GWID), специфичный для маршрутизаторов iKuai, создавая его, если он отсутствует, и входит в цикл, в котором отправляет маяки на сервер управления для получения задач, с временем ожидания по умолчанию 3600 секунд между действиями.
Расшифровка конфигурации включает разбор зашифрованных JSON-ответов от C2, которые содержат задачи и их соответствующие параметры. Среди команд, поддерживаемых бэкдором, есть возможность чтения файлов (до 512 КБ), выполнения команд оболочки асинхронно и отправки результатов обратно на C2 в виде зашифрованного JSON. Это указывает на высокий уровень контроля и возможности эксфильтрации данных, направленные на компрометацию затронутых устройств.
Что касается выполнения команд, бэкдор использует exec_cmd_async, который выполняет команды оболочки через '/bin/sh -c' и передает результаты обратно на C2-сервер. Бэкдор, по-видимому, уникально ориентирован на определенные версии пользовательской прошивки Linux, о чем свидетельствует обработка получения GWID, которая ссылается на файлы, известные как существующие на устройствах iKuai.
#ParsedReport #CompletenessLow
02-07-2026
A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure.
https://radar.offseq.com/threat/a-single-redline-c2-pivots-into-a-maritime-spear-p-96d1a4f1c693cdaf
Report completeness: Low
Threats:
Redline_stealer
Spear-phishing_technique
Bec_technique
Supply_chain_technique
Formbook
Artoken
Victims:
Maritime infrastructure, Maritime companies, Maritime shipping sector, Marine boiler manufacturing
Industry:
Maritime, Transport
Geo:
South korean, South korea
CVEs:
CVE-2026-7311 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-13743 [Vulners]
CVSS V3.1: 5.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-58465 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-50282 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1499, T1566, T1571, T1583.001, T1656
IOCs:
IP: 10
Url: 3
Domain: 7
Email: 5
File: 2
Soft:
WordPress
Functions:
actionMoveFolder
Platforms:
intel
02-07-2026
A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure.
https://radar.offseq.com/threat/a-single-redline-c2-pivots-into-a-maritime-spear-p-96d1a4f1c693cdaf
Report completeness: Low
Threats:
Redline_stealer
Spear-phishing_technique
Bec_technique
Supply_chain_technique
Formbook
Artoken
Victims:
Maritime infrastructure, Maritime companies, Maritime shipping sector, Marine boiler manufacturing
Industry:
Maritime, Transport
Geo:
South korean, South korea
CVEs:
CVE-2026-7311 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-13743 [Vulners]
CVSS V3.1: 5.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-58465 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-50282 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1499, T1566, T1571, T1583.001, T1656
IOCs:
IP: 10
Url: 3
Domain: 7
Email: 5
File: 2
Soft:
WordPress
Functions:
actionMoveFolder
Platforms:
intel
OffSeq Threat Radar
A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure. - Live Threat Intelligence…
Detailed information about A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure.. Get real-time updates, technica
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure. https://radar.offseq.com/threat/a-single-redline-c2-pivots-into-a-maritime-spear-p-96d1a4f1c693cdaf Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Целевая кампания BEC, направленная на морскую инфраструктуру Южной Кореи, в частности на Kangrim Heavy Industries, использовала тактики целевого фишинга для доставки ВПО Formbook через электронные письма, имитирующие компании цепочки поставок, и скоординированную инфраструктуру, связанную с RedLine Stealer. Анализ выявил начальный вектор атаки как IP-адрес 194.156.79.122 на порту 55615. Были отмечены несколько уязвимостей, включая CVE-2026-7311 в плагине WordPress TinyPNG и CVE-2026-13743 в прошивке CubeSpace, что указывает на увеличение возможностей эксплуатации across платформ.
-----
Выделенная угроза связана с целевой кампанией Business Email Compromise (BEC), направленной на морскую инфраструктуру Южной Кореи, в частности на компанию Kangrim Heavy Industries. В ходе этой кампании использовался сервер управления (C2), связанный с RedLine Stealer, который был связан с серией Целевой фишинг писем, предназначенных для имитации компаний цепочки поставок в морской отрасли. Эти письма доставляли вредоносное ПО Formbook, что привело к компрометации целевой компании. Расширенный анализ инфраструктуры показал, что семь мошеннических доменов размещались на хостинге TheHost LLC, демонстрируя общие соглашения об именовании и идентичные TLS-сертификаты, что свидетельствует о способности злоумышленников создавать скоординированную инфраструктуру для усиления своих обманных действий.
Первоначальной точкой входа злоумышленников был идентифицирован IP-адрес 194.156.79.122, работающий на порту 55615. Для отслеживания связанной инфраструктуры C2 применялись продвинутые техники отпечатков, что подчеркивает сложную и целевую природу этой кампании. Объединяя тактики социальной инженерии с развертыванием ВПО, злоумышленники эффективно имитировали легитимные деловые коммуникации, адаптированные для морского сектора. Комбинация стиллера RedLine и ВПО Formbook в этой операции указывает на фокус на краже учетных данных и эксфильтрации конфиденциальной информации, что вызывает серьезные опасения по поводу безопасности морских операций, сталкивающихся с такими сложными фишинговыми попытками.
В дополнение к кампании BEC были сообщены о нескольких уязвимостях, обнаруженных на различных платформах. Например, плагин TinyPNG для WordPress подвержен уязвимости обхода пути (CVE-2026-7311), позволяющей аутентифицированным пользователям удалять произвольные файлы из-за недостаточной проверки путей к файлам. Другая уязвимость (CVE-2026-13743) в прошивке CubeSpace’s CW0057 Reaction Wheel позволяет злоумышленникам с физическим доступом загружать вредоносную прошивку из-за неправильной проверки криптографической подписи. Третья ошибка (CVE-2026-58465) в Eclipse Wakaama создает возможности для атак на отказ в обслуживании через неограниченное выделение памяти, вызванное неаутентифицированными запросами. В совокупности эти уязвимости представляют возможности для эксплуатации, которые могут привести к компрометации целостности серверов и систем безопасности в широком масштабе.
Эта серия событий и уязвимостей подчеркивает растущую сложность и изощренность киберугроз, особенно нацеленных на конкретные отрасли и использующих социальную инженерию наряду с техническими эксплойтами. Риски, создаваемые такой комбинацией, требуют бдительных мер безопасности и необходимости для организаций, особенно в критических секторах, таких как морская инфраструктура, укреплять свою защиту от этих эволюционирующих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Целевая кампания BEC, направленная на морскую инфраструктуру Южной Кореи, в частности на Kangrim Heavy Industries, использовала тактики целевого фишинга для доставки ВПО Formbook через электронные письма, имитирующие компании цепочки поставок, и скоординированную инфраструктуру, связанную с RedLine Stealer. Анализ выявил начальный вектор атаки как IP-адрес 194.156.79.122 на порту 55615. Были отмечены несколько уязвимостей, включая CVE-2026-7311 в плагине WordPress TinyPNG и CVE-2026-13743 в прошивке CubeSpace, что указывает на увеличение возможностей эксплуатации across платформ.
-----
Выделенная угроза связана с целевой кампанией Business Email Compromise (BEC), направленной на морскую инфраструктуру Южной Кореи, в частности на компанию Kangrim Heavy Industries. В ходе этой кампании использовался сервер управления (C2), связанный с RedLine Stealer, который был связан с серией Целевой фишинг писем, предназначенных для имитации компаний цепочки поставок в морской отрасли. Эти письма доставляли вредоносное ПО Formbook, что привело к компрометации целевой компании. Расширенный анализ инфраструктуры показал, что семь мошеннических доменов размещались на хостинге TheHost LLC, демонстрируя общие соглашения об именовании и идентичные TLS-сертификаты, что свидетельствует о способности злоумышленников создавать скоординированную инфраструктуру для усиления своих обманных действий.
Первоначальной точкой входа злоумышленников был идентифицирован IP-адрес 194.156.79.122, работающий на порту 55615. Для отслеживания связанной инфраструктуры C2 применялись продвинутые техники отпечатков, что подчеркивает сложную и целевую природу этой кампании. Объединяя тактики социальной инженерии с развертыванием ВПО, злоумышленники эффективно имитировали легитимные деловые коммуникации, адаптированные для морского сектора. Комбинация стиллера RedLine и ВПО Formbook в этой операции указывает на фокус на краже учетных данных и эксфильтрации конфиденциальной информации, что вызывает серьезные опасения по поводу безопасности морских операций, сталкивающихся с такими сложными фишинговыми попытками.
В дополнение к кампании BEC были сообщены о нескольких уязвимостях, обнаруженных на различных платформах. Например, плагин TinyPNG для WordPress подвержен уязвимости обхода пути (CVE-2026-7311), позволяющей аутентифицированным пользователям удалять произвольные файлы из-за недостаточной проверки путей к файлам. Другая уязвимость (CVE-2026-13743) в прошивке CubeSpace’s CW0057 Reaction Wheel позволяет злоумышленникам с физическим доступом загружать вредоносную прошивку из-за неправильной проверки криптографической подписи. Третья ошибка (CVE-2026-58465) в Eclipse Wakaama создает возможности для атак на отказ в обслуживании через неограниченное выделение памяти, вызванное неаутентифицированными запросами. В совокупности эти уязвимости представляют возможности для эксплуатации, которые могут привести к компрометации целостности серверов и систем безопасности в широком масштабе.
Эта серия событий и уязвимостей подчеркивает растущую сложность и изощренность киберугроз, особенно нацеленных на конкретные отрасли и использующих социальную инженерию наряду с техническими эксплойтами. Риски, создаваемые такой комбинацией, требуют бдительных мер безопасности и необходимости для организаций, особенно в критических секторах, таких как морская инфраструктура, укреплять свою защиту от этих эволюционирующих угроз.
#ParsedReport #CompletenessHigh
03-07-2026
At WARP speed after your Roblox and corporate secrets: how Santa Stealer turned log theft into an assembly line
https://rt-solar.ru/solar-4rays/blog/6739/
Report completeness: High
Threats:
Santastealer
Clickfix_technique
Dead_drop_technique
Bluelinestealer
Lumma_stealer
Redline_stealer
Teamviewer_tool
Anydesk_tool
Process_injection_technique
Victims:
Industrial company, Russian organizations, Gaming accounts
Industry:
Financial, E-commerce, Entertainment
Geo:
Russian, Russian federation
TTPs:
Tactics: 8
Technics: 29
IOCs:
Url: 7
File: 5
Domain: 4
Hash: 12
IP: 8
Registry: 1
Soft:
Roblox, Telegram, Mastodon, Steam, Discord, WinSCP, KeePass, 1Password, Bitwarden, NordPass, have more...
Wallets:
electrum, metamask, rabby, coinbase, tonkeeper, keplr, exodus_wallet, tron
Crypto:
bitcoin, monero, binance, solana
Algorithms:
sha256, zip, chacha20, sha1, base64, xor, aes, md5
Functions:
get_clipboard
Win API:
VirtualAlloc, CryptGenRandom
Languages:
powershell
03-07-2026
At WARP speed after your Roblox and corporate secrets: how Santa Stealer turned log theft into an assembly line
https://rt-solar.ru/solar-4rays/blog/6739/
Report completeness: High
Threats:
Santastealer
Clickfix_technique
Dead_drop_technique
Bluelinestealer
Lumma_stealer
Redline_stealer
Teamviewer_tool
Anydesk_tool
Process_injection_technique
Victims:
Industrial company, Russian organizations, Gaming accounts
Industry:
Financial, E-commerce, Entertainment
Geo:
Russian, Russian federation
TTPs:
Tactics: 8
Technics: 29
IOCs:
Url: 7
File: 5
Domain: 4
Hash: 12
IP: 8
Registry: 1
Soft:
Roblox, Telegram, Mastodon, Steam, Discord, WinSCP, KeePass, 1Password, Bitwarden, NordPass, have more...
Wallets:
electrum, metamask, rabby, coinbase, tonkeeper, keplr, exodus_wallet, tron
Crypto:
bitcoin, monero, binance, solana
Algorithms:
sha256, zip, chacha20, sha1, base64, xor, aes, md5
Functions:
get_clipboard
Win API:
VirtualAlloc, CryptGenRandom
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 03-07-2026 At WARP speed after your Roblox and corporate secrets: how Santa Stealer turned log theft into an assembly line https://rt-solar.ru/solar-4rays/blog/6739/ Report completeness: High Threats: Santastealer Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Santa Stealer, выявленное в марте 2026 года и нацеленное на российскую промышленную компанию, использует передовые техники сбора информации через легитимный ресурс, выполняя команды через PowerShell без записи файлов. Оно обладает модульной архитектурой с 13 компонентами для сбора конфиденциальных данных из приложений, а также применяет туннелирование трафика через Cloudflare WARP для повышения скрытности. Этот инструмент Malware-as-a-Service включает возможности, такие как криптоклиппер, перехват данных в реальном времени и динамическая связь с C2, что способствует масштабному хищению данных и быстрой перепродаже украденных учетных записей на подпольном рынке.
-----
Вредоносное ПО Santa Stealer, обнаруженное в марте 2026 года в ходе атаки на российскую промышленную компанию, использует передовые техники для облегчения сбора конфиденциальных данных через скомпрометированный легитимный ресурс, доставляемый с помощью go-dropper, который выполняется полностью в памяти без записи на диск. Вредоносное ПО использует технику ClickFix, которая манипулирует сотрудниками, заставляя их загружать вредоносные payloads под видом завершения CAPTCHA на фишинг-сайте. В частности, PowerShell применяется для выполнения команд, приводящих к загрузке Santa Stealer с скомпрометированного, но легитимного ресурса.
Santa Stealer характеризуется модульной архитектурой, включающей 13 последовательных модулей, предназначенных для сбора конфиденциальной информации из различных приложений и сервисов, включая корпоративные VPN, учетные данные облачных сред и криптовалюты. ВПО мастерски туннелирует трафик через Cloudflare WARP, маскируя свою инфраструктуру управления (C2) в легитимном сетевом трафике, тем самым повышая свою скрытность во время коммуникации. ВПО может извлекать домены управления через скомпрометированные страницы на платформах, таких как Телеграм и Mastodon, с использованием метода Dead Drop Resolver.
Этот инструмент для кражи информации является частью мощной экосистемы Malware-as-a-Service (MaaS), предлагающей покупателям за плату кастомные сборки с множеством операционных возможностей. Примечательные функции включают крипто-клиппер, позволяющий изменять скопированные адреса кошельков, конфигурацию, обеспечивающую перехват конфиденциальной информации в реальном времени, а также возможность выполнения в памяти легитимных процессов посредством отраженной загрузки PE, что минимизирует риски обнаружения.
Метод эксфильтрации данных Santa Stealer также является сложным: он использует несколько каналов, которые могут динамически переключаться между серверами C2, скрывая незаконную деятельность за легитимными Веб-сервисами. Архитектура вредоносного ПО позволяет ему атаковать широкий спектр приложений, включая популярные веб-браузеры и различные криптокошельки, путем анализа памяти браузера в реальном времени для извлечения токенов доступа, паролей и автоматически сохраненных учетных данных, тем самым обходя традиционные средства защиты, которые могут обнаруживать вредоносную активность на основе взаимодействия с файловой системой.
Кроме того, конфигурация вредоносного ПО позволяет вести журнал обширных данных жертв, что подпитывает его стратегию монетизации на подпольном рынке, преимущественно сосредоточенную на перепродаже украденных учетных записей. Разработчик Santa Stealer не только продает само вредоносное ПО, но, по-видимому, участвует в распространении учетных данных, собранных из этой экосистемы. Главная проблема заключается в двойной угрозе, создаваемой комбинированными возможностями вредоносного ПО и централизованных платформ, управляющих кражами, что приводит к повышенному риску быстрой перепродажи скомпрометированных учетных записей через множество каналов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Santa Stealer, выявленное в марте 2026 года и нацеленное на российскую промышленную компанию, использует передовые техники сбора информации через легитимный ресурс, выполняя команды через PowerShell без записи файлов. Оно обладает модульной архитектурой с 13 компонентами для сбора конфиденциальных данных из приложений, а также применяет туннелирование трафика через Cloudflare WARP для повышения скрытности. Этот инструмент Malware-as-a-Service включает возможности, такие как криптоклиппер, перехват данных в реальном времени и динамическая связь с C2, что способствует масштабному хищению данных и быстрой перепродаже украденных учетных записей на подпольном рынке.
-----
Вредоносное ПО Santa Stealer, обнаруженное в марте 2026 года в ходе атаки на российскую промышленную компанию, использует передовые техники для облегчения сбора конфиденциальных данных через скомпрометированный легитимный ресурс, доставляемый с помощью go-dropper, который выполняется полностью в памяти без записи на диск. Вредоносное ПО использует технику ClickFix, которая манипулирует сотрудниками, заставляя их загружать вредоносные payloads под видом завершения CAPTCHA на фишинг-сайте. В частности, PowerShell применяется для выполнения команд, приводящих к загрузке Santa Stealer с скомпрометированного, но легитимного ресурса.
Santa Stealer характеризуется модульной архитектурой, включающей 13 последовательных модулей, предназначенных для сбора конфиденциальной информации из различных приложений и сервисов, включая корпоративные VPN, учетные данные облачных сред и криптовалюты. ВПО мастерски туннелирует трафик через Cloudflare WARP, маскируя свою инфраструктуру управления (C2) в легитимном сетевом трафике, тем самым повышая свою скрытность во время коммуникации. ВПО может извлекать домены управления через скомпрометированные страницы на платформах, таких как Телеграм и Mastodon, с использованием метода Dead Drop Resolver.
Этот инструмент для кражи информации является частью мощной экосистемы Malware-as-a-Service (MaaS), предлагающей покупателям за плату кастомные сборки с множеством операционных возможностей. Примечательные функции включают крипто-клиппер, позволяющий изменять скопированные адреса кошельков, конфигурацию, обеспечивающую перехват конфиденциальной информации в реальном времени, а также возможность выполнения в памяти легитимных процессов посредством отраженной загрузки PE, что минимизирует риски обнаружения.
Метод эксфильтрации данных Santa Stealer также является сложным: он использует несколько каналов, которые могут динамически переключаться между серверами C2, скрывая незаконную деятельность за легитимными Веб-сервисами. Архитектура вредоносного ПО позволяет ему атаковать широкий спектр приложений, включая популярные веб-браузеры и различные криптокошельки, путем анализа памяти браузера в реальном времени для извлечения токенов доступа, паролей и автоматически сохраненных учетных данных, тем самым обходя традиционные средства защиты, которые могут обнаруживать вредоносную активность на основе взаимодействия с файловой системой.
Кроме того, конфигурация вредоносного ПО позволяет вести журнал обширных данных жертв, что подпитывает его стратегию монетизации на подпольном рынке, преимущественно сосредоточенную на перепродаже украденных учетных записей. Разработчик Santa Stealer не только продает само вредоносное ПО, но, по-видимому, участвует в распространении учетных данных, собранных из этой экосистемы. Главная проблема заключается в двойной угрозе, создаваемой комбинированными возможностями вредоносного ПО и централизованных платформ, управляющих кражами, что приводит к повышенному риску быстрой перепродажи скомпрометированных учетных записей через множество каналов.
#ParsedReport #CompletenessMedium
03-07-2026
Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss!
https://labs.k7computing.com/index.php/boss-scam-dont-trust-every-urgent-message-from-your-boss/
Report completeness: Medium
Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Lolbin_technique
Victims:
Organizations, Financial staff, Human resources staff, Executives, Employees
Industry:
Financial
Geo:
India
ChatGPT TTPs:
T1005, T1041, T1113, T1185, T1204.001, T1204.002, T1547.001, T1560.001, T1566.001, T1566.002, have more...
IOCs:
File: 5
Path: 1
Url: 1
Hash: 2
Soft:
WhatsApp, Microsoft Edge, IndexedDB
Algorithms:
zip, aes
03-07-2026
Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss!
https://labs.k7computing.com/index.php/boss-scam-dont-trust-every-urgent-message-from-your-boss/
Report completeness: Medium
Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Lolbin_technique
Victims:
Organizations, Financial staff, Human resources staff, Executives, Employees
Industry:
Financial
Geo:
India
ChatGPT TTPs:
do not use without manual checkT1005, T1041, T1113, T1185, T1204.001, T1204.002, T1547.001, T1560.001, T1566.001, T1566.002, have more...
IOCs:
File: 5
Path: 1
Url: 1
Hash: 2
Soft:
WhatsApp, Microsoft Edge, IndexedDB
Algorithms:
zip, aes
K7 Labs
Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss!
We are all familiar with cyber fraud involving suspicious emails or WhatsApp messages from unknown senders, and most of us […]