#ParsedReport #CompletenessLow
02-07-2026
Linux Backdoor Targeting iKuai Routers
https://dmpdump.github.io/posts/Backdoor_iKuai_Routers/
Report completeness: Low
Threats:
Ikuai_bdoor
Victims:
Ikuai routers, Network devices
Geo:
Chinese, Japan
ChatGPT TTPs:
T1005, T1016, T1027, T1036.005, T1041, T1059.004, T1071.001, T1082, T1132.001, T1140, have more...
IOCs:
Hash: 1
Url: 4
Soft:
Linux, OpenWrt, task scheduler
Algorithms:
aes-gcm, sha2, aes-256, aes, xor, base64
Functions:
acquire_lock, get_gwid
YARA: Found
Links:
02-07-2026
Linux Backdoor Targeting iKuai Routers
https://dmpdump.github.io/posts/Backdoor_iKuai_Routers/
Report completeness: Low
Threats:
Ikuai_bdoor
Victims:
Ikuai routers, Network devices
Geo:
Chinese, Japan
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1036.005, T1041, T1059.004, T1071.001, T1082, T1132.001, T1140, have more...
IOCs:
Hash: 1
Url: 4
Soft:
Linux, OpenWrt, task scheduler
Algorithms:
aes-gcm, sha2, aes-256, aes, xor, base64
Functions:
acquire_lock, get_gwid
YARA: Found
Links:
https://github.com/openwrt/libubox/blob/master/json\_script.cdmpdump
Linux Backdoor Targeting iKuai Routers
On July 1, 2026, MalwareHunterTeam shared an ELF uploaded to VirusTotal from Japan with 0 detection. After a quick code inspection, it was evident that the ELF was a backdoor targeting specific Linux-based devices.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Linux Backdoor Targeting iKuai Routers https://dmpdump.github.io/posts/Backdoor_iKuai_Routers/ Report completeness: Low Threats: Ikuai_bdoor Victims: Ikuai routers, Network devices Geo: Chinese, Japan ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
1 июля 2026 года команда MalwareHunterTeam обнаружила бэкдор на базе Linux, нацеленный на маршрутизаторы iKuai, под названием libjson_script.so.0. Этот бэкдор имитирует легитимную библиотеку и использует метод шифрования XOR для конфигурации, включая защищенную связь через MbedTLS AES-GCM и планирование задач с сервером управления, что позволяет ему выполнять команды оболочки и эксфильтровать данные. Он специально взаимодействует с устройствами, работающими на определенных пользовательских прошивках Linux, что указывает на возможности целевой компрометации.
-----
1 июля 2026 года команда MalwareHunterTeam сообщила о бэкдоре на базе Linux, нацеленном на маршрутизаторы iKuai из Китая, идентифицированном по ELF-бинарному файлу с именем libjson_script.so.0, который был загружен на VirusTotal из Японии. Этот бэкдор имитирует легитимную библиотеку, связанную с проектом OpenWrt, что вызывает опасения из-за его специфической направленности.
Бэкдор содержит основную процедуру, которая начинается с получения блокировки для обеспечения работы только одного экземпляра, за которым следует расшифровка его конфигурации с использованием алгоритма XOR с однобайтовым ключом (0x5A). Затем создаётся директория в /var/tmp, инициализируется контекст AES-GCM MbedTLS для защищённой связи, и настраивается поток планировщика задач для регулярного взаимодействия с сервером управления (C2), расположенным по адресу https://47.80.111.129:7380. Процедура пытается получить идентификатор шлюза (GWID), специфичный для маршрутизаторов iKuai, создавая его, если он отсутствует, и входит в цикл, в котором отправляет маяки на сервер управления для получения задач, с временем ожидания по умолчанию 3600 секунд между действиями.
Расшифровка конфигурации включает разбор зашифрованных JSON-ответов от C2, которые содержат задачи и их соответствующие параметры. Среди команд, поддерживаемых бэкдором, есть возможность чтения файлов (до 512 КБ), выполнения команд оболочки асинхронно и отправки результатов обратно на C2 в виде зашифрованного JSON. Это указывает на высокий уровень контроля и возможности эксфильтрации данных, направленные на компрометацию затронутых устройств.
Что касается выполнения команд, бэкдор использует exec_cmd_async, который выполняет команды оболочки через '/bin/sh -c' и передает результаты обратно на C2-сервер. Бэкдор, по-видимому, уникально ориентирован на определенные версии пользовательской прошивки Linux, о чем свидетельствует обработка получения GWID, которая ссылается на файлы, известные как существующие на устройствах iKuai.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
1 июля 2026 года команда MalwareHunterTeam обнаружила бэкдор на базе Linux, нацеленный на маршрутизаторы iKuai, под названием libjson_script.so.0. Этот бэкдор имитирует легитимную библиотеку и использует метод шифрования XOR для конфигурации, включая защищенную связь через MbedTLS AES-GCM и планирование задач с сервером управления, что позволяет ему выполнять команды оболочки и эксфильтровать данные. Он специально взаимодействует с устройствами, работающими на определенных пользовательских прошивках Linux, что указывает на возможности целевой компрометации.
-----
1 июля 2026 года команда MalwareHunterTeam сообщила о бэкдоре на базе Linux, нацеленном на маршрутизаторы iKuai из Китая, идентифицированном по ELF-бинарному файлу с именем libjson_script.so.0, который был загружен на VirusTotal из Японии. Этот бэкдор имитирует легитимную библиотеку, связанную с проектом OpenWrt, что вызывает опасения из-за его специфической направленности.
Бэкдор содержит основную процедуру, которая начинается с получения блокировки для обеспечения работы только одного экземпляра, за которым следует расшифровка его конфигурации с использованием алгоритма XOR с однобайтовым ключом (0x5A). Затем создаётся директория в /var/tmp, инициализируется контекст AES-GCM MbedTLS для защищённой связи, и настраивается поток планировщика задач для регулярного взаимодействия с сервером управления (C2), расположенным по адресу https://47.80.111.129:7380. Процедура пытается получить идентификатор шлюза (GWID), специфичный для маршрутизаторов iKuai, создавая его, если он отсутствует, и входит в цикл, в котором отправляет маяки на сервер управления для получения задач, с временем ожидания по умолчанию 3600 секунд между действиями.
Расшифровка конфигурации включает разбор зашифрованных JSON-ответов от C2, которые содержат задачи и их соответствующие параметры. Среди команд, поддерживаемых бэкдором, есть возможность чтения файлов (до 512 КБ), выполнения команд оболочки асинхронно и отправки результатов обратно на C2 в виде зашифрованного JSON. Это указывает на высокий уровень контроля и возможности эксфильтрации данных, направленные на компрометацию затронутых устройств.
Что касается выполнения команд, бэкдор использует exec_cmd_async, который выполняет команды оболочки через '/bin/sh -c' и передает результаты обратно на C2-сервер. Бэкдор, по-видимому, уникально ориентирован на определенные версии пользовательской прошивки Linux, о чем свидетельствует обработка получения GWID, которая ссылается на файлы, известные как существующие на устройствах iKuai.
#ParsedReport #CompletenessLow
02-07-2026
A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure.
https://radar.offseq.com/threat/a-single-redline-c2-pivots-into-a-maritime-spear-p-96d1a4f1c693cdaf
Report completeness: Low
Threats:
Redline_stealer
Spear-phishing_technique
Bec_technique
Supply_chain_technique
Formbook
Artoken
Victims:
Maritime infrastructure, Maritime companies, Maritime shipping sector, Marine boiler manufacturing
Industry:
Maritime, Transport
Geo:
South korean, South korea
CVEs:
CVE-2026-7311 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-13743 [Vulners]
CVSS V3.1: 5.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-58465 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-50282 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1499, T1566, T1571, T1583.001, T1656
IOCs:
IP: 10
Url: 3
Domain: 7
Email: 5
File: 2
Soft:
WordPress
Functions:
actionMoveFolder
Platforms:
intel
02-07-2026
A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure.
https://radar.offseq.com/threat/a-single-redline-c2-pivots-into-a-maritime-spear-p-96d1a4f1c693cdaf
Report completeness: Low
Threats:
Redline_stealer
Spear-phishing_technique
Bec_technique
Supply_chain_technique
Formbook
Artoken
Victims:
Maritime infrastructure, Maritime companies, Maritime shipping sector, Marine boiler manufacturing
Industry:
Maritime, Transport
Geo:
South korean, South korea
CVEs:
CVE-2026-7311 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-13743 [Vulners]
CVSS V3.1: 5.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-58465 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2026-50282 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1499, T1566, T1571, T1583.001, T1656
IOCs:
IP: 10
Url: 3
Domain: 7
Email: 5
File: 2
Soft:
WordPress
Functions:
actionMoveFolder
Platforms:
intel
OffSeq Threat Radar
A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure. - Live Threat Intelligence…
Detailed information about A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure.. Get real-time updates, technica
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 A single RedLine C2 pivots into a maritime spear-phishing cluster and attacker-owned infrastructure. https://radar.offseq.com/threat/a-single-redline-c2-pivots-into-a-maritime-spear-p-96d1a4f1c693cdaf Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Целевая кампания BEC, направленная на морскую инфраструктуру Южной Кореи, в частности на Kangrim Heavy Industries, использовала тактики целевого фишинга для доставки ВПО Formbook через электронные письма, имитирующие компании цепочки поставок, и скоординированную инфраструктуру, связанную с RedLine Stealer. Анализ выявил начальный вектор атаки как IP-адрес 194.156.79.122 на порту 55615. Были отмечены несколько уязвимостей, включая CVE-2026-7311 в плагине WordPress TinyPNG и CVE-2026-13743 в прошивке CubeSpace, что указывает на увеличение возможностей эксплуатации across платформ.
-----
Выделенная угроза связана с целевой кампанией Business Email Compromise (BEC), направленной на морскую инфраструктуру Южной Кореи, в частности на компанию Kangrim Heavy Industries. В ходе этой кампании использовался сервер управления (C2), связанный с RedLine Stealer, который был связан с серией Целевой фишинг писем, предназначенных для имитации компаний цепочки поставок в морской отрасли. Эти письма доставляли вредоносное ПО Formbook, что привело к компрометации целевой компании. Расширенный анализ инфраструктуры показал, что семь мошеннических доменов размещались на хостинге TheHost LLC, демонстрируя общие соглашения об именовании и идентичные TLS-сертификаты, что свидетельствует о способности злоумышленников создавать скоординированную инфраструктуру для усиления своих обманных действий.
Первоначальной точкой входа злоумышленников был идентифицирован IP-адрес 194.156.79.122, работающий на порту 55615. Для отслеживания связанной инфраструктуры C2 применялись продвинутые техники отпечатков, что подчеркивает сложную и целевую природу этой кампании. Объединяя тактики социальной инженерии с развертыванием ВПО, злоумышленники эффективно имитировали легитимные деловые коммуникации, адаптированные для морского сектора. Комбинация стиллера RedLine и ВПО Formbook в этой операции указывает на фокус на краже учетных данных и эксфильтрации конфиденциальной информации, что вызывает серьезные опасения по поводу безопасности морских операций, сталкивающихся с такими сложными фишинговыми попытками.
В дополнение к кампании BEC были сообщены о нескольких уязвимостях, обнаруженных на различных платформах. Например, плагин TinyPNG для WordPress подвержен уязвимости обхода пути (CVE-2026-7311), позволяющей аутентифицированным пользователям удалять произвольные файлы из-за недостаточной проверки путей к файлам. Другая уязвимость (CVE-2026-13743) в прошивке CubeSpace’s CW0057 Reaction Wheel позволяет злоумышленникам с физическим доступом загружать вредоносную прошивку из-за неправильной проверки криптографической подписи. Третья ошибка (CVE-2026-58465) в Eclipse Wakaama создает возможности для атак на отказ в обслуживании через неограниченное выделение памяти, вызванное неаутентифицированными запросами. В совокупности эти уязвимости представляют возможности для эксплуатации, которые могут привести к компрометации целостности серверов и систем безопасности в широком масштабе.
Эта серия событий и уязвимостей подчеркивает растущую сложность и изощренность киберугроз, особенно нацеленных на конкретные отрасли и использующих социальную инженерию наряду с техническими эксплойтами. Риски, создаваемые такой комбинацией, требуют бдительных мер безопасности и необходимости для организаций, особенно в критических секторах, таких как морская инфраструктура, укреплять свою защиту от этих эволюционирующих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Целевая кампания BEC, направленная на морскую инфраструктуру Южной Кореи, в частности на Kangrim Heavy Industries, использовала тактики целевого фишинга для доставки ВПО Formbook через электронные письма, имитирующие компании цепочки поставок, и скоординированную инфраструктуру, связанную с RedLine Stealer. Анализ выявил начальный вектор атаки как IP-адрес 194.156.79.122 на порту 55615. Были отмечены несколько уязвимостей, включая CVE-2026-7311 в плагине WordPress TinyPNG и CVE-2026-13743 в прошивке CubeSpace, что указывает на увеличение возможностей эксплуатации across платформ.
-----
Выделенная угроза связана с целевой кампанией Business Email Compromise (BEC), направленной на морскую инфраструктуру Южной Кореи, в частности на компанию Kangrim Heavy Industries. В ходе этой кампании использовался сервер управления (C2), связанный с RedLine Stealer, который был связан с серией Целевой фишинг писем, предназначенных для имитации компаний цепочки поставок в морской отрасли. Эти письма доставляли вредоносное ПО Formbook, что привело к компрометации целевой компании. Расширенный анализ инфраструктуры показал, что семь мошеннических доменов размещались на хостинге TheHost LLC, демонстрируя общие соглашения об именовании и идентичные TLS-сертификаты, что свидетельствует о способности злоумышленников создавать скоординированную инфраструктуру для усиления своих обманных действий.
Первоначальной точкой входа злоумышленников был идентифицирован IP-адрес 194.156.79.122, работающий на порту 55615. Для отслеживания связанной инфраструктуры C2 применялись продвинутые техники отпечатков, что подчеркивает сложную и целевую природу этой кампании. Объединяя тактики социальной инженерии с развертыванием ВПО, злоумышленники эффективно имитировали легитимные деловые коммуникации, адаптированные для морского сектора. Комбинация стиллера RedLine и ВПО Formbook в этой операции указывает на фокус на краже учетных данных и эксфильтрации конфиденциальной информации, что вызывает серьезные опасения по поводу безопасности морских операций, сталкивающихся с такими сложными фишинговыми попытками.
В дополнение к кампании BEC были сообщены о нескольких уязвимостях, обнаруженных на различных платформах. Например, плагин TinyPNG для WordPress подвержен уязвимости обхода пути (CVE-2026-7311), позволяющей аутентифицированным пользователям удалять произвольные файлы из-за недостаточной проверки путей к файлам. Другая уязвимость (CVE-2026-13743) в прошивке CubeSpace’s CW0057 Reaction Wheel позволяет злоумышленникам с физическим доступом загружать вредоносную прошивку из-за неправильной проверки криптографической подписи. Третья ошибка (CVE-2026-58465) в Eclipse Wakaama создает возможности для атак на отказ в обслуживании через неограниченное выделение памяти, вызванное неаутентифицированными запросами. В совокупности эти уязвимости представляют возможности для эксплуатации, которые могут привести к компрометации целостности серверов и систем безопасности в широком масштабе.
Эта серия событий и уязвимостей подчеркивает растущую сложность и изощренность киберугроз, особенно нацеленных на конкретные отрасли и использующих социальную инженерию наряду с техническими эксплойтами. Риски, создаваемые такой комбинацией, требуют бдительных мер безопасности и необходимости для организаций, особенно в критических секторах, таких как морская инфраструктура, укреплять свою защиту от этих эволюционирующих угроз.
#ParsedReport #CompletenessHigh
03-07-2026
At WARP speed after your Roblox and corporate secrets: how Santa Stealer turned log theft into an assembly line
https://rt-solar.ru/solar-4rays/blog/6739/
Report completeness: High
Threats:
Santastealer
Clickfix_technique
Dead_drop_technique
Bluelinestealer
Lumma_stealer
Redline_stealer
Teamviewer_tool
Anydesk_tool
Process_injection_technique
Victims:
Industrial company, Russian organizations, Gaming accounts
Industry:
Financial, E-commerce, Entertainment
Geo:
Russian, Russian federation
TTPs:
Tactics: 8
Technics: 29
IOCs:
Url: 7
File: 5
Domain: 4
Hash: 12
IP: 8
Registry: 1
Soft:
Roblox, Telegram, Mastodon, Steam, Discord, WinSCP, KeePass, 1Password, Bitwarden, NordPass, have more...
Wallets:
electrum, metamask, rabby, coinbase, tonkeeper, keplr, exodus_wallet, tron
Crypto:
bitcoin, monero, binance, solana
Algorithms:
sha256, zip, chacha20, sha1, base64, xor, aes, md5
Functions:
get_clipboard
Win API:
VirtualAlloc, CryptGenRandom
Languages:
powershell
03-07-2026
At WARP speed after your Roblox and corporate secrets: how Santa Stealer turned log theft into an assembly line
https://rt-solar.ru/solar-4rays/blog/6739/
Report completeness: High
Threats:
Santastealer
Clickfix_technique
Dead_drop_technique
Bluelinestealer
Lumma_stealer
Redline_stealer
Teamviewer_tool
Anydesk_tool
Process_injection_technique
Victims:
Industrial company, Russian organizations, Gaming accounts
Industry:
Financial, E-commerce, Entertainment
Geo:
Russian, Russian federation
TTPs:
Tactics: 8
Technics: 29
IOCs:
Url: 7
File: 5
Domain: 4
Hash: 12
IP: 8
Registry: 1
Soft:
Roblox, Telegram, Mastodon, Steam, Discord, WinSCP, KeePass, 1Password, Bitwarden, NordPass, have more...
Wallets:
electrum, metamask, rabby, coinbase, tonkeeper, keplr, exodus_wallet, tron
Crypto:
bitcoin, monero, binance, solana
Algorithms:
sha256, zip, chacha20, sha1, base64, xor, aes, md5
Functions:
get_clipboard
Win API:
VirtualAlloc, CryptGenRandom
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 03-07-2026 At WARP speed after your Roblox and corporate secrets: how Santa Stealer turned log theft into an assembly line https://rt-solar.ru/solar-4rays/blog/6739/ Report completeness: High Threats: Santastealer Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Santa Stealer, выявленное в марте 2026 года и нацеленное на российскую промышленную компанию, использует передовые техники сбора информации через легитимный ресурс, выполняя команды через PowerShell без записи файлов. Оно обладает модульной архитектурой с 13 компонентами для сбора конфиденциальных данных из приложений, а также применяет туннелирование трафика через Cloudflare WARP для повышения скрытности. Этот инструмент Malware-as-a-Service включает возможности, такие как криптоклиппер, перехват данных в реальном времени и динамическая связь с C2, что способствует масштабному хищению данных и быстрой перепродаже украденных учетных записей на подпольном рынке.
-----
Вредоносное ПО Santa Stealer, обнаруженное в марте 2026 года в ходе атаки на российскую промышленную компанию, использует передовые техники для облегчения сбора конфиденциальных данных через скомпрометированный легитимный ресурс, доставляемый с помощью go-dropper, который выполняется полностью в памяти без записи на диск. Вредоносное ПО использует технику ClickFix, которая манипулирует сотрудниками, заставляя их загружать вредоносные payloads под видом завершения CAPTCHA на фишинг-сайте. В частности, PowerShell применяется для выполнения команд, приводящих к загрузке Santa Stealer с скомпрометированного, но легитимного ресурса.
Santa Stealer характеризуется модульной архитектурой, включающей 13 последовательных модулей, предназначенных для сбора конфиденциальной информации из различных приложений и сервисов, включая корпоративные VPN, учетные данные облачных сред и криптовалюты. ВПО мастерски туннелирует трафик через Cloudflare WARP, маскируя свою инфраструктуру управления (C2) в легитимном сетевом трафике, тем самым повышая свою скрытность во время коммуникации. ВПО может извлекать домены управления через скомпрометированные страницы на платформах, таких как Телеграм и Mastodon, с использованием метода Dead Drop Resolver.
Этот инструмент для кражи информации является частью мощной экосистемы Malware-as-a-Service (MaaS), предлагающей покупателям за плату кастомные сборки с множеством операционных возможностей. Примечательные функции включают крипто-клиппер, позволяющий изменять скопированные адреса кошельков, конфигурацию, обеспечивающую перехват конфиденциальной информации в реальном времени, а также возможность выполнения в памяти легитимных процессов посредством отраженной загрузки PE, что минимизирует риски обнаружения.
Метод эксфильтрации данных Santa Stealer также является сложным: он использует несколько каналов, которые могут динамически переключаться между серверами C2, скрывая незаконную деятельность за легитимными Веб-сервисами. Архитектура вредоносного ПО позволяет ему атаковать широкий спектр приложений, включая популярные веб-браузеры и различные криптокошельки, путем анализа памяти браузера в реальном времени для извлечения токенов доступа, паролей и автоматически сохраненных учетных данных, тем самым обходя традиционные средства защиты, которые могут обнаруживать вредоносную активность на основе взаимодействия с файловой системой.
Кроме того, конфигурация вредоносного ПО позволяет вести журнал обширных данных жертв, что подпитывает его стратегию монетизации на подпольном рынке, преимущественно сосредоточенную на перепродаже украденных учетных записей. Разработчик Santa Stealer не только продает само вредоносное ПО, но, по-видимому, участвует в распространении учетных данных, собранных из этой экосистемы. Главная проблема заключается в двойной угрозе, создаваемой комбинированными возможностями вредоносного ПО и централизованных платформ, управляющих кражами, что приводит к повышенному риску быстрой перепродажи скомпрометированных учетных записей через множество каналов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Santa Stealer, выявленное в марте 2026 года и нацеленное на российскую промышленную компанию, использует передовые техники сбора информации через легитимный ресурс, выполняя команды через PowerShell без записи файлов. Оно обладает модульной архитектурой с 13 компонентами для сбора конфиденциальных данных из приложений, а также применяет туннелирование трафика через Cloudflare WARP для повышения скрытности. Этот инструмент Malware-as-a-Service включает возможности, такие как криптоклиппер, перехват данных в реальном времени и динамическая связь с C2, что способствует масштабному хищению данных и быстрой перепродаже украденных учетных записей на подпольном рынке.
-----
Вредоносное ПО Santa Stealer, обнаруженное в марте 2026 года в ходе атаки на российскую промышленную компанию, использует передовые техники для облегчения сбора конфиденциальных данных через скомпрометированный легитимный ресурс, доставляемый с помощью go-dropper, который выполняется полностью в памяти без записи на диск. Вредоносное ПО использует технику ClickFix, которая манипулирует сотрудниками, заставляя их загружать вредоносные payloads под видом завершения CAPTCHA на фишинг-сайте. В частности, PowerShell применяется для выполнения команд, приводящих к загрузке Santa Stealer с скомпрометированного, но легитимного ресурса.
Santa Stealer характеризуется модульной архитектурой, включающей 13 последовательных модулей, предназначенных для сбора конфиденциальной информации из различных приложений и сервисов, включая корпоративные VPN, учетные данные облачных сред и криптовалюты. ВПО мастерски туннелирует трафик через Cloudflare WARP, маскируя свою инфраструктуру управления (C2) в легитимном сетевом трафике, тем самым повышая свою скрытность во время коммуникации. ВПО может извлекать домены управления через скомпрометированные страницы на платформах, таких как Телеграм и Mastodon, с использованием метода Dead Drop Resolver.
Этот инструмент для кражи информации является частью мощной экосистемы Malware-as-a-Service (MaaS), предлагающей покупателям за плату кастомные сборки с множеством операционных возможностей. Примечательные функции включают крипто-клиппер, позволяющий изменять скопированные адреса кошельков, конфигурацию, обеспечивающую перехват конфиденциальной информации в реальном времени, а также возможность выполнения в памяти легитимных процессов посредством отраженной загрузки PE, что минимизирует риски обнаружения.
Метод эксфильтрации данных Santa Stealer также является сложным: он использует несколько каналов, которые могут динамически переключаться между серверами C2, скрывая незаконную деятельность за легитимными Веб-сервисами. Архитектура вредоносного ПО позволяет ему атаковать широкий спектр приложений, включая популярные веб-браузеры и различные криптокошельки, путем анализа памяти браузера в реальном времени для извлечения токенов доступа, паролей и автоматически сохраненных учетных данных, тем самым обходя традиционные средства защиты, которые могут обнаруживать вредоносную активность на основе взаимодействия с файловой системой.
Кроме того, конфигурация вредоносного ПО позволяет вести журнал обширных данных жертв, что подпитывает его стратегию монетизации на подпольном рынке, преимущественно сосредоточенную на перепродаже украденных учетных записей. Разработчик Santa Stealer не только продает само вредоносное ПО, но, по-видимому, участвует в распространении учетных данных, собранных из этой экосистемы. Главная проблема заключается в двойной угрозе, создаваемой комбинированными возможностями вредоносного ПО и централизованных платформ, управляющих кражами, что приводит к повышенному риску быстрой перепродажи скомпрометированных учетных записей через множество каналов.
#ParsedReport #CompletenessMedium
03-07-2026
Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss!
https://labs.k7computing.com/index.php/boss-scam-dont-trust-every-urgent-message-from-your-boss/
Report completeness: Medium
Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Lolbin_technique
Victims:
Organizations, Financial staff, Human resources staff, Executives, Employees
Industry:
Financial
Geo:
India
ChatGPT TTPs:
T1005, T1041, T1113, T1185, T1204.001, T1204.002, T1547.001, T1560.001, T1566.001, T1566.002, have more...
IOCs:
File: 5
Path: 1
Url: 1
Hash: 2
Soft:
WhatsApp, Microsoft Edge, IndexedDB
Algorithms:
zip, aes
03-07-2026
Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss!
https://labs.k7computing.com/index.php/boss-scam-dont-trust-every-urgent-message-from-your-boss/
Report completeness: Medium
Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Lolbin_technique
Victims:
Organizations, Financial staff, Human resources staff, Executives, Employees
Industry:
Financial
Geo:
India
ChatGPT TTPs:
do not use without manual checkT1005, T1041, T1113, T1185, T1204.001, T1204.002, T1547.001, T1560.001, T1566.001, T1566.002, have more...
IOCs:
File: 5
Path: 1
Url: 1
Hash: 2
Soft:
WhatsApp, Microsoft Edge, IndexedDB
Algorithms:
zip, aes
K7 Labs
Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss!
We are all familiar with cyber fraud involving suspicious emails or WhatsApp messages from unknown senders, and most of us […]
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2026 Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss! https://labs.k7computing.com/index.php/boss-scam-dont-trust-every-urgent-message-from-your-boss/ Report completeness: Medium Threats: Dllsearcho…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
«Мошенничество Boss Scam» — это киберугроза, при которой злоумышленники выдают себя за доверенных лиц, чтобы обмануть жертв и заставить их открыть вредоносные вложения по электронной почте или в WhatsApp. ВПО использует подгрузку DLL для выполнения, ограничивает себя одним экземпляром и обеспечивает закрепление через записи в реестре, одновременно используя легитимные инструменты, такие как tar.exe, для сжатия и передачи конфиденциальных данных обратно злоумышленнику. Нацеливание на высокопоставленных сотрудников позволяет угрозам быстро эскалировать внутри организаций, используя тактики социальной инженерии для эксплуатации человеческого доверия в коммуникациях.
-----
«Мошенничество Boss Scam» — это киберугроза, при которой злоумышленники выдают себя за доверенных лиц, таких как сотрудники Резервного банка Индии или налоговых органов, чтобы обманом заставить жертв открыть вредоносные вложения. Первоначальные коммуникации осуществляются по электронной почте или через WhatsApp, где жертвы получают zip-файл или ссылку, по которой скачивается такой файл, ошибочно помеченный как срочное экстренное сообщение. ВПО, содержащееся в этих вложениях, использует технику подгрузки DLL (DLL sideloading), что позволяет ему выполнять вредоносный код, маскируясь под легитимное приложение.
После запуска вредоносное ПО создает мьютекс, чтобы ограничить себя одним запущенным экземпляром, и обеспечивает закрепление путем создания записей в разделе Registry Run. Это гарантирует автоматический запуск при входе пользователя в систему, позволяя ему пережить перезагрузки системы. Некоторые варианты обладают возможностью делать непрерывные скриншоты и отправлять эту информацию обратно злоумышленнику. Кроме того, вредоносное ПО копирует себя в менее заметные каталоги внутри %AppData% или %ProgramData%, усиливая закрепление и снижая вероятность обнаружения.
ВПО использует встроенные инструменты Windows, в частности tar.exe, для эффективной архивации собранных данных без привлечения внимания. Команды, выполняемые через этот легитимный инструмент, обеспечивают сжатие конфиденциальной информации, которая затем передается по TCP-соединению злоумышленнику. Эти данные могут быть использованы для перехвата сессии WhatsApp Web скомпрометированной жертвы, позволяя нападающему имперсонировать жертву и общаться с коллегами по работе.
Нацеливание на высокопоставленных сотрудников, таких как генеральные директора и финансовые руководители, усиливает эффективность атаки, поскольку злоумышленник может запрашивать срочные действия, такие как переводы средств или доступ к конфиденциальным бизнес-документам. Используя исторические переписки и контакты, доступные в захваченной сессии WhatsApp, угрозы могут быстро распространяться по всей организации. Эта возможность эскалации подчеркивает эффективность тактик социальной инженерии, где доверие, оказываемое предполагаемому знакомому контакту, значительно повышает вероятность того, что жертвы откроют вредоносные вложения.
Этот инцидент подчеркивает растущий тренд в киберкриминал, где злоумышленники эксплуатируют человеческое доверие, а не полагаются исключительно на сложные технические эксплойты, выявляя уязвимости, присущие системам организационной коммуникации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
«Мошенничество Boss Scam» — это киберугроза, при которой злоумышленники выдают себя за доверенных лиц, чтобы обмануть жертв и заставить их открыть вредоносные вложения по электронной почте или в WhatsApp. ВПО использует подгрузку DLL для выполнения, ограничивает себя одним экземпляром и обеспечивает закрепление через записи в реестре, одновременно используя легитимные инструменты, такие как tar.exe, для сжатия и передачи конфиденциальных данных обратно злоумышленнику. Нацеливание на высокопоставленных сотрудников позволяет угрозам быстро эскалировать внутри организаций, используя тактики социальной инженерии для эксплуатации человеческого доверия в коммуникациях.
-----
«Мошенничество Boss Scam» — это киберугроза, при которой злоумышленники выдают себя за доверенных лиц, таких как сотрудники Резервного банка Индии или налоговых органов, чтобы обманом заставить жертв открыть вредоносные вложения. Первоначальные коммуникации осуществляются по электронной почте или через WhatsApp, где жертвы получают zip-файл или ссылку, по которой скачивается такой файл, ошибочно помеченный как срочное экстренное сообщение. ВПО, содержащееся в этих вложениях, использует технику подгрузки DLL (DLL sideloading), что позволяет ему выполнять вредоносный код, маскируясь под легитимное приложение.
После запуска вредоносное ПО создает мьютекс, чтобы ограничить себя одним запущенным экземпляром, и обеспечивает закрепление путем создания записей в разделе Registry Run. Это гарантирует автоматический запуск при входе пользователя в систему, позволяя ему пережить перезагрузки системы. Некоторые варианты обладают возможностью делать непрерывные скриншоты и отправлять эту информацию обратно злоумышленнику. Кроме того, вредоносное ПО копирует себя в менее заметные каталоги внутри %AppData% или %ProgramData%, усиливая закрепление и снижая вероятность обнаружения.
ВПО использует встроенные инструменты Windows, в частности tar.exe, для эффективной архивации собранных данных без привлечения внимания. Команды, выполняемые через этот легитимный инструмент, обеспечивают сжатие конфиденциальной информации, которая затем передается по TCP-соединению злоумышленнику. Эти данные могут быть использованы для перехвата сессии WhatsApp Web скомпрометированной жертвы, позволяя нападающему имперсонировать жертву и общаться с коллегами по работе.
Нацеливание на высокопоставленных сотрудников, таких как генеральные директора и финансовые руководители, усиливает эффективность атаки, поскольку злоумышленник может запрашивать срочные действия, такие как переводы средств или доступ к конфиденциальным бизнес-документам. Используя исторические переписки и контакты, доступные в захваченной сессии WhatsApp, угрозы могут быстро распространяться по всей организации. Эта возможность эскалации подчеркивает эффективность тактик социальной инженерии, где доверие, оказываемое предполагаемому знакомому контакту, значительно повышает вероятность того, что жертвы откроют вредоносные вложения.
Этот инцидент подчеркивает растущий тренд в киберкриминал, где злоумышленники эксплуатируют человеческое доверие, а не полагаются исключительно на сложные технические эксплойты, выявляя уязвимости, присущие системам организационной коммуникации.
#ParsedReport #CompletenessMedium
02-07-2026
Roblox, Minecraft, and the Insidious Internet for Children
https://censys.com/blog/roblox-minecraft-and-the-insidious-internet-for-children/
Report completeness: Medium
Threats:
Typosquatting_technique
Credential_harvesting_technique
Homoglyph_technique
Victims:
Children, Roblox users, Minecraft users, Discord communities, Microsoft account users, Gaming platforms
Industry:
E-commerce, Entertainment
Geo:
Panama, Ethiopia, Germany, Finland, Switzerland
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036.005, T1111, T1566.003, T1583.001, T1583.003
IOCs:
Domain: 67
File: 7
IP: 5
Url: 5
Hash: 2
Soft:
Roblox, Minecraft, Laravel, GoDaddy, LiteSpeed, Steam, Discord, Roblox Discord, oblox pr, oblox.co, have more...
Algorithms:
sha256
Languages:
javascript, php, java
02-07-2026
Roblox, Minecraft, and the Insidious Internet for Children
https://censys.com/blog/roblox-minecraft-and-the-insidious-internet-for-children/
Report completeness: Medium
Threats:
Typosquatting_technique
Credential_harvesting_technique
Homoglyph_technique
Victims:
Children, Roblox users, Minecraft users, Discord communities, Microsoft account users, Gaming platforms
Industry:
E-commerce, Entertainment
Geo:
Panama, Ethiopia, Germany, Finland, Switzerland
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.005, T1111, T1566.003, T1583.001, T1583.003
IOCs:
Domain: 67
File: 7
IP: 5
Url: 5
Hash: 2
Soft:
Roblox, Minecraft, Laravel, GoDaddy, LiteSpeed, Steam, Discord, Roblox Discord, oblox pr, oblox.co, have more...
Algorithms:
sha256
Languages:
javascript, php, java
Censys
Roblox, Minecraft, and the Insidious Internet for Children - Censys
An exploration of Roblox and Minecraft offerwalls and phishing lures — infrastructure that isn’t well covered by conventional threat intelligence.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 Roblox, Minecraft, and the Insidious Internet for Children https://censys.com/blog/roblox-minecraft-and-the-insidious-internet-for-children/ Report completeness: Medium Threats: Typosquatting_technique Cred…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье рассматриваются угрозы в интернете, направленные на детей через сайты вознаграждений offerwall, связанные с такими играми, как Roblox и Minecraft, которые используют обманные тактики для сбора персональных данных и содействия несанкционированным подпискам, подвергая риску блокировку аккаунтов. В ней подчеркивается распространение небезопасных услуг хостинга и технологий на базе PHP на этих сайтах, при этом 437 свойств имеют схожие уязвимости. Кроме того, анализируются операции фишинг, особенно те, которые маскируют атаки под игровые контексты для захвата учетные данные Microsoft, что указывает на сложную картину угроз, эксплуатирующую цифровые взаимодействия детей.
-----
В статье рассматривается сфера интернет-угроз, направленных на детей, в частности через сайты вознаграждений offerwall, связанные с популярными играми, такими как Roblox и Minecraft. Эти сайты обещают пользователям внутриигровую валюту за выполнение простых задач, но часто используют тактики, наносящие вред несовершеннолетним. Сбор данных является серьезной проблемой; задания часто требуют предоставления личной информации, и пользователи могут неосознанно подписываться на платные услуги или пробные периоды, нарушая условия обслуживания игровых платформ, что может привести к блокировке аккаунтов.
Анализ выделяет конкретные примеры сайтов с вознаграждениями, таких как Rocash и его преемник RbxBest, демонстрируя, как эти платформы пересекаются в своей деятельности и технологиях. Эти сайты преимущественно функционируют на недорогих хостинг-услугах, что выявляет уязвимости в их инфраструктуре. В статье отмечается, что примерно 437 веб-ресурсов имеют схожие отпечатки с этими офер-воллами, что указывает на широкую проблему, характеризующуюся дешевыми и небезопасными хостинг-средами. Примечательно, что технологический стек обычно включает PHP и LiteSpeed, что свидетельствует о зависимости от готовых шаблонов, способствующих высокой текучести регистраций доменов.
Фишинг — еще одна повсеместная угроза, нацеленная на детей, часто маскирующаяся под те же игровые контексты. Например, значительное внимание уделяется фишинговым системам, построенным вокруг учетных записей Roblox, которые часто используют характерные для детей дружелюбные интерфейсы, такие как имитация популярных ботов проверки учетных записей, таких как Bloxlink. В высоко структурированных операциях попытки фишинга, как выяснилось, используют сайты, размещенные на устойчивых платформах, специально разработанных для устойчивости к злоупотреблениям. Эти сайты часто работают с множеством обманных доменов, нацеленных на извлечение учетных данных через вводящие в заблуждение ссылки, которые часто выглядят безобидными.
В статье также рассматривается дифференциация тактик фишинга для Minecraft, где цель заключается в перехвате учетных данных Microsoft, а не прямых данных учетной записи игры. Из-за перехода на учетные записи Microsoft для Minecraft эти мошеннические попытки спроектированы так, чтобы обмануть пользователей и заставить их ввести свои учетные данные для входа в Microsoft, часто с использованием приманок в стиле Minecraft, которые повышают вероятность успеха.
В совокупности описанная операционная картина выявляет сложную экосистему угроз, которые используют знакомство детей с определенными цифровыми структурами. Это подчеркивает необходимость надежного подхода к противодействию этим угрозам, выходящего за рамки типичных индикаторов компрометации (IOCs) и фокусирующегося на отпечатках и шаблонах инфраструктуры, связанных с подобной незаконной деятельностью. Значительно, что последствия распространяются на различные заинтересованные стороны — от родительского контроля и школьных сетей до регулирующих органов, рассматривающих нарушения соответствия требованиям в отношении онлайн-взаимодействия с детьми.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье рассматриваются угрозы в интернете, направленные на детей через сайты вознаграждений offerwall, связанные с такими играми, как Roblox и Minecraft, которые используют обманные тактики для сбора персональных данных и содействия несанкционированным подпискам, подвергая риску блокировку аккаунтов. В ней подчеркивается распространение небезопасных услуг хостинга и технологий на базе PHP на этих сайтах, при этом 437 свойств имеют схожие уязвимости. Кроме того, анализируются операции фишинг, особенно те, которые маскируют атаки под игровые контексты для захвата учетные данные Microsoft, что указывает на сложную картину угроз, эксплуатирующую цифровые взаимодействия детей.
-----
В статье рассматривается сфера интернет-угроз, направленных на детей, в частности через сайты вознаграждений offerwall, связанные с популярными играми, такими как Roblox и Minecraft. Эти сайты обещают пользователям внутриигровую валюту за выполнение простых задач, но часто используют тактики, наносящие вред несовершеннолетним. Сбор данных является серьезной проблемой; задания часто требуют предоставления личной информации, и пользователи могут неосознанно подписываться на платные услуги или пробные периоды, нарушая условия обслуживания игровых платформ, что может привести к блокировке аккаунтов.
Анализ выделяет конкретные примеры сайтов с вознаграждениями, таких как Rocash и его преемник RbxBest, демонстрируя, как эти платформы пересекаются в своей деятельности и технологиях. Эти сайты преимущественно функционируют на недорогих хостинг-услугах, что выявляет уязвимости в их инфраструктуре. В статье отмечается, что примерно 437 веб-ресурсов имеют схожие отпечатки с этими офер-воллами, что указывает на широкую проблему, характеризующуюся дешевыми и небезопасными хостинг-средами. Примечательно, что технологический стек обычно включает PHP и LiteSpeed, что свидетельствует о зависимости от готовых шаблонов, способствующих высокой текучести регистраций доменов.
Фишинг — еще одна повсеместная угроза, нацеленная на детей, часто маскирующаяся под те же игровые контексты. Например, значительное внимание уделяется фишинговым системам, построенным вокруг учетных записей Roblox, которые часто используют характерные для детей дружелюбные интерфейсы, такие как имитация популярных ботов проверки учетных записей, таких как Bloxlink. В высоко структурированных операциях попытки фишинга, как выяснилось, используют сайты, размещенные на устойчивых платформах, специально разработанных для устойчивости к злоупотреблениям. Эти сайты часто работают с множеством обманных доменов, нацеленных на извлечение учетных данных через вводящие в заблуждение ссылки, которые часто выглядят безобидными.
В статье также рассматривается дифференциация тактик фишинга для Minecraft, где цель заключается в перехвате учетных данных Microsoft, а не прямых данных учетной записи игры. Из-за перехода на учетные записи Microsoft для Minecraft эти мошеннические попытки спроектированы так, чтобы обмануть пользователей и заставить их ввести свои учетные данные для входа в Microsoft, часто с использованием приманок в стиле Minecraft, которые повышают вероятность успеха.
В совокупности описанная операционная картина выявляет сложную экосистему угроз, которые используют знакомство детей с определенными цифровыми структурами. Это подчеркивает необходимость надежного подхода к противодействию этим угрозам, выходящего за рамки типичных индикаторов компрометации (IOCs) и фокусирующегося на отпечатках и шаблонах инфраструктуры, связанных с подобной незаконной деятельностью. Значительно, что последствия распространяются на различные заинтересованные стороны — от родительского контроля и школьных сетей до регулирующих органов, рассматривающих нарушения соответствия требованиям в отношении онлайн-взаимодействия с детьми.
#ParsedReport #CompletenessHigh
03-07-2026
Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign
https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/
Report completeness: High
Actors/Campaigns:
Armored_likho (motivation: cyber_espionage, financially_motivated)
Eagle_werewolf
Threats:
Busysnake
Go2tunnel_tool
Polymorphism_technique
Spear-phishing_technique
Pyarmor_tool
Aquilarat
Victims:
Government agencies, Electric power sector
Industry:
Energy, Government
Geo:
Brazil, Kazakhstan, Russia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1021.004, T1027, T1027.010, T1036, T1036.004, T1041, T1053.005, T1055, T1059.001, have more...
IOCs:
File: 27
IP: 4
Hash: 26
Email: 1
Domain: 10
Soft:
Chrome, Firefox, telegram, Mozilla Firefox, OPENSSH
Algorithms:
deflate, gzip
Functions:
NSS_Init, PK11SDR_Decrypt, taskItemId
Win API:
CryptUnprotectData
Languages:
rust, powershell, golang, vbscript, python
Platforms:
x64
03-07-2026
Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign
https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/
Report completeness: High
Actors/Campaigns:
Armored_likho (motivation: cyber_espionage, financially_motivated)
Eagle_werewolf
Threats:
Busysnake
Go2tunnel_tool
Polymorphism_technique
Spear-phishing_technique
Pyarmor_tool
Aquilarat
Victims:
Government agencies, Electric power sector
Industry:
Energy, Government
Geo:
Brazil, Kazakhstan, Russia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1021.004, T1027, T1027.010, T1036, T1036.004, T1041, T1053.005, T1055, T1059.001, have more...
IOCs:
File: 27
IP: 4
Hash: 26
Email: 1
Domain: 10
Soft:
Chrome, Firefox, telegram, Mozilla Firefox, OPENSSH
Algorithms:
deflate, gzip
Functions:
NSS_Init, PK11SDR_Decrypt, taskItemId
Win API:
CryptUnprotectData
Languages:
rust, powershell, golang, vbscript, python
Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 03-07-2026 Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/ Report completeness: High Actors/Campaigns: Armored_likho…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Armored Likho, хакерская группировка, проводит целевые фишинговые кампании против государственных структур и сектора электроэнергетики в России, Бразилии и Казахстане, объединяя финансовую мотивацию с государственным кибершпионажем. Их основной инструмент, BusySnake Stealer, основанный на Python стиллер, использует техники целевого фишинга для доставки вредоносных ZIP-архивов, которые выполняют полезную нагрузку для эксфильтрации данных. ВПО применяет передовые тактики уклонения, включая шифрование во время выполнения и механизмы скрытности, поддерживая постоянные соединения с серверами управления и одновременно незаметно собирая конфиденциальную информацию с скомпрометированных систем.
-----
Armored Likho — это новая выявленная хакерская группировка, нацеленная на государственные структуры и сектор электроэнергетики в России, Бразилии и Казахстане. Их кампании фишинга используют техники Целевой фишинг с письмами, содержащими вредоносные вложения, замаскированные под легитимные документы. Вредоносные вложения часто поставляются в виде ZIP-архивов, содержащих исполняемые файлы или файлы ярлыков (LNK), при этом некоторые варианты используют самораспаковывающиеся EXE-файлы для запуска поддельных приложений. Процесс заражения использует дроппер, который записывает загрузчик на диск и внедряет вредоносный код в память процесса для выполнения BusySnake Stealer. BusySnake Stealer — это стиллер на базе Python 3.12, который включает модули, специально разработанные для кражи информации и уклонения от обнаружения. Он использует обфускацию кода и шифрование во время выполнения через PyArmor, работает скрытно в фоновом режиме и собирает данные, такие как содержимое буфера обмена и учетные данные браузеров, без обнаружения пользователем. Он подключается к серверу управления (управление) для получения дальнейших инструкций, поддерживая постоянное присутствие на скомпрометированных хостах. ВПО извлекает учетные данные из браузеров на базе Chromium и Firefox, используя соответственно API защиты данных Windows и небезопасные методы. Он использует SQL-запросы для извлечения файлов cookie и имеет вторичный модуль для усиленной кражи данных через расширение браузера. BusySnake Stealer обладает функцией обратного SSH-туннелирования для постоянного удаленного доступа и повышает операционную скрытность за счет использования COM-объектов для планирования задач. Приписывание Armored Likho основано на последовательных операционных паттернах и их использовании аналогичной архитектуры с AquilaRAT, что указывает на эволюцию в их тактике, техниках и процедурах (TTPs). Группировка остается активной, особенно нацеливаясь на критическую инфраструктуру, в то время как усилия по мониторингу находятся в стадии развертывания для обнаружения их активности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Armored Likho, хакерская группировка, проводит целевые фишинговые кампании против государственных структур и сектора электроэнергетики в России, Бразилии и Казахстане, объединяя финансовую мотивацию с государственным кибершпионажем. Их основной инструмент, BusySnake Stealer, основанный на Python стиллер, использует техники целевого фишинга для доставки вредоносных ZIP-архивов, которые выполняют полезную нагрузку для эксфильтрации данных. ВПО применяет передовые тактики уклонения, включая шифрование во время выполнения и механизмы скрытности, поддерживая постоянные соединения с серверами управления и одновременно незаметно собирая конфиденциальную информацию с скомпрометированных систем.
-----
Armored Likho — это новая выявленная хакерская группировка, нацеленная на государственные структуры и сектор электроэнергетики в России, Бразилии и Казахстане. Их кампании фишинга используют техники Целевой фишинг с письмами, содержащими вредоносные вложения, замаскированные под легитимные документы. Вредоносные вложения часто поставляются в виде ZIP-архивов, содержащих исполняемые файлы или файлы ярлыков (LNK), при этом некоторые варианты используют самораспаковывающиеся EXE-файлы для запуска поддельных приложений. Процесс заражения использует дроппер, который записывает загрузчик на диск и внедряет вредоносный код в память процесса для выполнения BusySnake Stealer. BusySnake Stealer — это стиллер на базе Python 3.12, который включает модули, специально разработанные для кражи информации и уклонения от обнаружения. Он использует обфускацию кода и шифрование во время выполнения через PyArmor, работает скрытно в фоновом режиме и собирает данные, такие как содержимое буфера обмена и учетные данные браузеров, без обнаружения пользователем. Он подключается к серверу управления (управление) для получения дальнейших инструкций, поддерживая постоянное присутствие на скомпрометированных хостах. ВПО извлекает учетные данные из браузеров на базе Chromium и Firefox, используя соответственно API защиты данных Windows и небезопасные методы. Он использует SQL-запросы для извлечения файлов cookie и имеет вторичный модуль для усиленной кражи данных через расширение браузера. BusySnake Stealer обладает функцией обратного SSH-туннелирования для постоянного удаленного доступа и повышает операционную скрытность за счет использования COM-объектов для планирования задач. Приписывание Armored Likho основано на последовательных операционных паттернах и их использовании аналогичной архитектуры с AquilaRAT, что указывает на эволюцию в их тактике, техниках и процедурах (TTPs). Группировка остается активной, особенно нацеливаясь на критическую инфраструктуру, в то время как усилия по мониторингу находятся в стадии развертывания для обнаружения их активности.