CTT Report Hub
3.4K subscribers
9.61K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2026 Boss Scam: Don’t Trust Every “Urgent” Message from Your Boss! https://labs.k7computing.com/index.php/boss-scam-dont-trust-every-urgent-message-from-your-boss/ Report completeness: Medium Threats: Dllsearcho…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
«Мошенничество Boss Scam» — это киберугроза, при которой злоумышленники выдают себя за доверенных лиц, чтобы обмануть жертв и заставить их открыть вредоносные вложения по электронной почте или в WhatsApp. ВПО использует подгрузку DLL для выполнения, ограничивает себя одним экземпляром и обеспечивает закрепление через записи в реестре, одновременно используя легитимные инструменты, такие как tar.exe, для сжатия и передачи конфиденциальных данных обратно злоумышленнику. Нацеливание на высокопоставленных сотрудников позволяет угрозам быстро эскалировать внутри организаций, используя тактики социальной инженерии для эксплуатации человеческого доверия в коммуникациях.
-----

«Мошенничество Boss Scam» — это киберугроза, при которой злоумышленники выдают себя за доверенных лиц, таких как сотрудники Резервного банка Индии или налоговых органов, чтобы обманом заставить жертв открыть вредоносные вложения. Первоначальные коммуникации осуществляются по электронной почте или через WhatsApp, где жертвы получают zip-файл или ссылку, по которой скачивается такой файл, ошибочно помеченный как срочное экстренное сообщение. ВПО, содержащееся в этих вложениях, использует технику подгрузки DLL (DLL sideloading), что позволяет ему выполнять вредоносный код, маскируясь под легитимное приложение.

После запуска вредоносное ПО создает мьютекс, чтобы ограничить себя одним запущенным экземпляром, и обеспечивает закрепление путем создания записей в разделе Registry Run. Это гарантирует автоматический запуск при входе пользователя в систему, позволяя ему пережить перезагрузки системы. Некоторые варианты обладают возможностью делать непрерывные скриншоты и отправлять эту информацию обратно злоумышленнику. Кроме того, вредоносное ПО копирует себя в менее заметные каталоги внутри %AppData% или %ProgramData%, усиливая закрепление и снижая вероятность обнаружения.

ВПО использует встроенные инструменты Windows, в частности tar.exe, для эффективной архивации собранных данных без привлечения внимания. Команды, выполняемые через этот легитимный инструмент, обеспечивают сжатие конфиденциальной информации, которая затем передается по TCP-соединению злоумышленнику. Эти данные могут быть использованы для перехвата сессии WhatsApp Web скомпрометированной жертвы, позволяя нападающему имперсонировать жертву и общаться с коллегами по работе.

Нацеливание на высокопоставленных сотрудников, таких как генеральные директора и финансовые руководители, усиливает эффективность атаки, поскольку злоумышленник может запрашивать срочные действия, такие как переводы средств или доступ к конфиденциальным бизнес-документам. Используя исторические переписки и контакты, доступные в захваченной сессии WhatsApp, угрозы могут быстро распространяться по всей организации. Эта возможность эскалации подчеркивает эффективность тактик социальной инженерии, где доверие, оказываемое предполагаемому знакомому контакту, значительно повышает вероятность того, что жертвы откроют вредоносные вложения.

Этот инцидент подчеркивает растущий тренд в киберкриминал, где злоумышленники эксплуатируют человеческое доверие, а не полагаются исключительно на сложные технические эксплойты, выявляя уязвимости, присущие системам организационной коммуникации.
#ParsedReport #CompletenessMedium
02-07-2026

Roblox, Minecraft, and the Insidious Internet for Children

https://censys.com/blog/roblox-minecraft-and-the-insidious-internet-for-children/

Report completeness: Medium

Threats:
Typosquatting_technique
Credential_harvesting_technique
Homoglyph_technique

Victims:
Children, Roblox users, Minecraft users, Discord communities, Microsoft account users, Gaming platforms

Industry:
E-commerce, Entertainment

Geo:
Panama, Ethiopia, Germany, Finland, Switzerland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1111, T1566.003, T1583.001, T1583.003

IOCs:
Domain: 67
File: 7
IP: 5
Url: 5
Hash: 2

Soft:
Roblox, Minecraft, Laravel, GoDaddy, LiteSpeed, Steam, Discord, Roblox Discord, oblox pr, oblox.co, have more...

Algorithms:
sha256

Languages:
javascript, php, java
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 Roblox, Minecraft, and the Insidious Internet for Children https://censys.com/blog/roblox-minecraft-and-the-insidious-internet-for-children/ Report completeness: Medium Threats: Typosquatting_technique Cred…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье рассматриваются угрозы в интернете, направленные на детей через сайты вознаграждений offerwall, связанные с такими играми, как Roblox и Minecraft, которые используют обманные тактики для сбора персональных данных и содействия несанкционированным подпискам, подвергая риску блокировку аккаунтов. В ней подчеркивается распространение небезопасных услуг хостинга и технологий на базе PHP на этих сайтах, при этом 437 свойств имеют схожие уязвимости. Кроме того, анализируются операции фишинг, особенно те, которые маскируют атаки под игровые контексты для захвата учетные данные Microsoft, что указывает на сложную картину угроз, эксплуатирующую цифровые взаимодействия детей.
-----

В статье рассматривается сфера интернет-угроз, направленных на детей, в частности через сайты вознаграждений offerwall, связанные с популярными играми, такими как Roblox и Minecraft. Эти сайты обещают пользователям внутриигровую валюту за выполнение простых задач, но часто используют тактики, наносящие вред несовершеннолетним. Сбор данных является серьезной проблемой; задания часто требуют предоставления личной информации, и пользователи могут неосознанно подписываться на платные услуги или пробные периоды, нарушая условия обслуживания игровых платформ, что может привести к блокировке аккаунтов.

Анализ выделяет конкретные примеры сайтов с вознаграждениями, таких как Rocash и его преемник RbxBest, демонстрируя, как эти платформы пересекаются в своей деятельности и технологиях. Эти сайты преимущественно функционируют на недорогих хостинг-услугах, что выявляет уязвимости в их инфраструктуре. В статье отмечается, что примерно 437 веб-ресурсов имеют схожие отпечатки с этими офер-воллами, что указывает на широкую проблему, характеризующуюся дешевыми и небезопасными хостинг-средами. Примечательно, что технологический стек обычно включает PHP и LiteSpeed, что свидетельствует о зависимости от готовых шаблонов, способствующих высокой текучести регистраций доменов.

Фишинг — еще одна повсеместная угроза, нацеленная на детей, часто маскирующаяся под те же игровые контексты. Например, значительное внимание уделяется фишинговым системам, построенным вокруг учетных записей Roblox, которые часто используют характерные для детей дружелюбные интерфейсы, такие как имитация популярных ботов проверки учетных записей, таких как Bloxlink. В высоко структурированных операциях попытки фишинга, как выяснилось, используют сайты, размещенные на устойчивых платформах, специально разработанных для устойчивости к злоупотреблениям. Эти сайты часто работают с множеством обманных доменов, нацеленных на извлечение учетных данных через вводящие в заблуждение ссылки, которые часто выглядят безобидными.

В статье также рассматривается дифференциация тактик фишинга для Minecraft, где цель заключается в перехвате учетных данных Microsoft, а не прямых данных учетной записи игры. Из-за перехода на учетные записи Microsoft для Minecraft эти мошеннические попытки спроектированы так, чтобы обмануть пользователей и заставить их ввести свои учетные данные для входа в Microsoft, часто с использованием приманок в стиле Minecraft, которые повышают вероятность успеха.

В совокупности описанная операционная картина выявляет сложную экосистему угроз, которые используют знакомство детей с определенными цифровыми структурами. Это подчеркивает необходимость надежного подхода к противодействию этим угрозам, выходящего за рамки типичных индикаторов компрометации (IOCs) и фокусирующегося на отпечатках и шаблонах инфраструктуры, связанных с подобной незаконной деятельностью. Значительно, что последствия распространяются на различные заинтересованные стороны — от родительского контроля и школьных сетей до регулирующих органов, рассматривающих нарушения соответствия требованиям в отношении онлайн-взаимодействия с детьми.
#ParsedReport #CompletenessHigh
03-07-2026

Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign

https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/

Report completeness: High

Actors/Campaigns:
Armored_likho (motivation: cyber_espionage, financially_motivated)
Eagle_werewolf

Threats:
Busysnake
Go2tunnel_tool
Polymorphism_technique
Spear-phishing_technique
Pyarmor_tool
Aquilarat

Victims:
Government agencies, Electric power sector

Industry:
Energy, Government

Geo:
Brazil, Kazakhstan, Russia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1027, T1027.010, T1036, T1036.004, T1041, T1053.005, T1055, T1059.001, have more...

IOCs:
File: 27
IP: 4
Hash: 26
Email: 1
Domain: 10

Soft:
Chrome, Firefox, telegram, Mozilla Firefox, OPENSSH

Algorithms:
deflate, gzip

Functions:
NSS_Init, PK11SDR_Decrypt, taskItemId

Win API:
CryptUnprotectData

Languages:
rust, powershell, golang, vbscript, python

Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 03-07-2026 Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/ Report completeness: High Actors/Campaigns: Armored_likho…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Armored Likho, хакерская группировка, проводит целевые фишинговые кампании против государственных структур и сектора электроэнергетики в России, Бразилии и Казахстане, объединяя финансовую мотивацию с государственным кибершпионажем. Их основной инструмент, BusySnake Stealer, основанный на Python стиллер, использует техники целевого фишинга для доставки вредоносных ZIP-архивов, которые выполняют полезную нагрузку для эксфильтрации данных. ВПО применяет передовые тактики уклонения, включая шифрование во время выполнения и механизмы скрытности, поддерживая постоянные соединения с серверами управления и одновременно незаметно собирая конфиденциальную информацию с скомпрометированных систем.
-----

Armored Likho — это новая выявленная хакерская группировка, нацеленная на государственные структуры и сектор электроэнергетики в России, Бразилии и Казахстане. Их кампании фишинга используют техники Целевой фишинг с письмами, содержащими вредоносные вложения, замаскированные под легитимные документы. Вредоносные вложения часто поставляются в виде ZIP-архивов, содержащих исполняемые файлы или файлы ярлыков (LNK), при этом некоторые варианты используют самораспаковывающиеся EXE-файлы для запуска поддельных приложений. Процесс заражения использует дроппер, который записывает загрузчик на диск и внедряет вредоносный код в память процесса для выполнения BusySnake Stealer. BusySnake Stealer — это стиллер на базе Python 3.12, который включает модули, специально разработанные для кражи информации и уклонения от обнаружения. Он использует обфускацию кода и шифрование во время выполнения через PyArmor, работает скрытно в фоновом режиме и собирает данные, такие как содержимое буфера обмена и учетные данные браузеров, без обнаружения пользователем. Он подключается к серверу управления (управление) для получения дальнейших инструкций, поддерживая постоянное присутствие на скомпрометированных хостах. ВПО извлекает учетные данные из браузеров на базе Chromium и Firefox, используя соответственно API защиты данных Windows и небезопасные методы. Он использует SQL-запросы для извлечения файлов cookie и имеет вторичный модуль для усиленной кражи данных через расширение браузера. BusySnake Stealer обладает функцией обратного SSH-туннелирования для постоянного удаленного доступа и повышает операционную скрытность за счет использования COM-объектов для планирования задач. Приписывание Armored Likho основано на последовательных операционных паттернах и их использовании аналогичной архитектуры с AquilaRAT, что указывает на эволюцию в их тактике, техниках и процедурах (TTPs). Группировка остается активной, особенно нацеливаясь на критическую инфраструктуру, в то время как усилия по мониторингу находятся в стадии развертывания для обнаружения их активности.
#ParsedReport #CompletenessLow
03-07-2026

TeamPCP Supply Chain Attacks: SafeBreach Coverage for FBI FLASH Alert FLASH-20260702-01

https://www.safebreach.com/blog/teampcp-supply-chain-attacks-fbi-flash-alert-20260702-01-safebreach-coverage/

Report completeness: Low

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Mini_shai-hulud

Threats:
Supply_chain_technique
Credential_stealing_technique
Canisterworm
Sandclock
Miasma

Victims:
Software, Cloud services, Security tools, Developer tools

CVEs:
CVE-2026-33634 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- aquasec setup-trivy (<0.2.6)
- aquasec trivy (0.69.4)
- aquasec trivy_action (<0.35.0)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2026-48027 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nx nx_console (18.95.0)

CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)


TTPs:
Tactics: 6
Technics: 0

Soft:
Kubernetes, Trivy, LiteLLM

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 TeamPCP Supply Chain Attacks: SafeBreach Coverage for FBI FLASH Alert FLASH-20260702-01 https://www.safebreach.com/blog/teampcp-supply-chain-attacks-fbi-flash-alert-20260702-01-safebreach-coverage/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP — это киберпреступная группа, мотивированная финансовой выгодой, которая проводит масштабные атаки на цепочку поставок программного обеспечения, в первую очередь нацеливаясь на инструменты разработчиков и безопасности для эксфильтрации конфиденциальных данных, таких как токены доступа к облаку и SSH-ключи. Они внедряют вредоносный код в легитимное программное обеспечение, развертывая ВПО, предназначенное для кражи учетных данных и создания постоянных бэкдоров в средах разработчиков. Их операции включают такие известные семейства ВПО, как CanisterWorm, SANDCLOCK и Mini Shai-Hulud, которые облегчают перемещение внутри компании и репликацию между затронутыми системами и экосистемами.
-----

2 июля 2026 года ФБР совместно с Министерством внутренней безопасности США (DHS) и Управлением по кибербезопасности и инфраструктурной безопасности (CISA) опубликовало экстренное предупреждение FLASH о киберпреступной группе TeamPCP, в котором подробно описываются её тактики, техники и процедуры (TTPs), связанные с масштабными компрометациями Цепочки поставок программного обеспечения. Заметным методом TeamPCP является нацеливание на популярные инструменты разработки и безопасности для получения несанкционированного доступа к конфиденциальной информации, такой как токены доступа к облачным сервисам, SSH-ключи и секреты Kubernetes. Группа применяла стратегии шантажа, включая публичные угрозы, связанные с похищенными данными.

TeamPCP характеризуется как хакерская группировка, движимая финансовой выгодой, которая успешно внедряла вредоносный код в легитимные программные пакеты, позволяя распространять троянизированные обновления. Эта манипуляция привела к установке ВПО, предназначенного для кражи учетных данных и создания постоянных бэкдоров в средах разработки, что облегчало долгосрочный доступ к скомпрометированным системам. Среди инструментов, зараженных TeamPCP, — Trivy, KICS, LiteLLM и Telnyx Python SDK, которые активно используются в корпоративных конвейерах CI/CD и облачной инфраструктуре, тем самым превращая инструменты, предназначенные для безопасности и разработки, в оружие.

ФБР выявило четыре основные семейства ВПО, связанные с деятельностью TeamPCP. CanisterWorm предназначен для сбора конфиденциальных данных с основных облачных платформ, тогда как SANDCLOCK фокусируется на извлечении различных учетных данных, включая ключи доступа AWS и токены Kubernetes ServiceAccount. Mini Shai-Hulud функционирует как самореплицирующийся червь в реестрах пакетов npm и PyPI, а его вариант Miasma одновременно распространяется и компрометирует эти экосистемы путем изменения конфигурационных файлов.

Жизненный цикл атаки начинается с того, что TeamPCP компрометирует цепочки поставок программного обеспечения посредством вредоносных инъекций кода, что приводит к выполнению их ВПО для кражи учетных данных и установлению закрепления в затронутых средах. Их последующее перемещение внутри компании использует Mini Shai-Hulud и Miasma для репликации и распространения по взаимосвязанным репозиториям и учетным записям.

Дальнейшее усложнение угрозы связано с тем, что TeamPCP использует тактики шантажа, публикуя информацию о своих жертвах и угрожая раскрытием данных. Организациям рекомендуется придерживаться строгих практик безопасности, таких как внедрение многофакторной аутентификации, ротация учетных данных CI/CD и поддержание строгих ограничений доступа для снижения риска от этих постоянных угроз. Меры безопасности также должны включать поведенческий мониторинг для выявления аномалий, а также непрерывные аудиты учетных записей сопровождающих пакетов для предотвращения эксплуатации. В целом, стратегии обнаружения и устранения последствий должны выходить за рамки первоначального доступа и учитывать потенциальное перемещение внутри компании для защиты от многогранного подхода TeamPCP к реализации угроз.
#ParsedReport #CompletenessLow
03-07-2026

Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts

https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accounts

Report completeness: Low

Threats:
Consentfix_technique
Clickfix_technique
Amos_stealer

Victims:
Mac users, Windows users, Microsoft 365 accounts

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1204.001, T1204.004, T1528, T1566.002

IOCs:
Domain: 1

Soft:
macOS, Dropbox

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accounts Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки, направленные на пользователей Mac и учетных записей Microsoft 365, включают схему ClickFix, которая использовала скомпрометированную верифицированную учетную запись X для заманивания пользователей на загрузку вредоносной утилиты, имитирующей функцию Dynamic Island от Apple, что приводило к установке вредоносного ПО Atomic Stealer. Параллельно кампания ConsentFix нацелена на пользователей Windows, извлекая токены облачной аутентификации через обманные страницы входа, полагаясь на тактики социальной инженерии для манипуляции пользователями без установки традиционного вредоносного ПО. Эти развивающиеся угрозы подчеркивают эффективность эксплуатации поведения пользователей и риски, создаваемые доверенными платформами и рекламой.
-----

Недавние исследования выявили тревожную тенденцию в деятельности киберпреступников, направленной в частности на пользователей Mac и аккаунты Microsoft 365. Одним из заметных атак, осуществленных через верифицированный аккаунт в X (ранее Twitter), стала схема в стиле ClickFix, которая эффективно подталкивала пользователей к компрометации собственных устройств. Эта мошенническая схема использовала спонсируемую рекламу, выглядевшую достоверной, и направляла пользователей на обманчивый домен dynamicmacisland.com. Злоумышленники применяли тактики социальной инженерии, предлагая то, что казалось легитимной загрузкой утилиты для macOS, имитирующей функцию Dynamic Island от Apple. Однако пользователи, которые следовали инструкциям, неосознанно выполняли команды в терминале, что приводило к установке ВПО.

Вредоносное ПО, доставленное в рамках этой кампании, включало несколько вариантов Atomic Stealer, стиллера, известного сбором конфиденциальной информации. Этот инцидент подчеркивает три значимые угрозы: зависимость от взаимодействия с пользователем для вредоносных установок, использование доменов-двойников для имитации доверенных приложений и использование платной рекламы для расширения охвата этих атак. Опора на надежные платформы и значки верификации, такие как использованный в этой рекламе, служит опасным напоминанием о том, что такие индикаторы нельзя приравнивать к безопасности, особенно в отношении тщательно продуманных схем, направленных на обход обнаружения автоматизированными системами безопасности.

В рамках смежного инцидента появилась новая кампания под названием ConsentFix, представляющая иную категорию рисков для пользователей Windows. Вместо развертывания вредоносного ПО ConsentFix изобретательно использует социальную инженерию для извлечения токенов облачной аутентификации у пользователей. Этот метод не требует прямой установки вредоносного программного обеспечения; вместо этого он манипулирует пользователями, заставляя их раскрыть свои учетные данные через кажущиеся легитимными страницами входа Microsoft, которые часто размещаются на доверенных платформах, таких как Dropbox. Атака была облегчена за счет фишинговых писем, в которых пользователям предписывается перетаскивать определенные ссылки в свои браузеры, что дополнительно усложняет усилия по обнаружению.

Техника, распространенная на российских форумах киберкриминала, эффективно снизила порог входа, позволяя даже менее квалифицированным киберпреступникам выполнять такие атаки с относительной легкостью. Рост таких тактик требует повышенной бдительности и осведомленности среди пользователей, подчеркивая важность осторожности при переходе по ссылкам из нежелательных сообщений или из неизвестных источников.

В заключение, постоянная эволюция киберугроз, таких как атаки ClickFix и ConsentFix, подчеркивает необходимость повышения уровня безопасности и внедрения защитных мер против тактик социальной инженерии, манипулирующих поведением пользователей.
#ParsedReport #CompletenessMedium
05-07-2026

BlackMatter Ransomware Explained: Delivery Methods, Tactics, and Targets

https://cyberint.com/blog/dark-web/blackmatter-ransomware-explained-delivery-methods-tactics-and-targets/

Report completeness: Medium

Threats:
Blackmatter
Darkside
Cobalt_strike_tool
Spear-phishing_technique

Victims:
Healthcare, Telecommunications, Banking, Finance, Education, Government, Essential infrastructure, Hospitals, Universities, Major corporations, have more...

Industry:
Healthcare, Education, Financial, Telco, Government

Geo:
United states

TTPs:
Tactics: 7
Technics: 4

IOCs:
Hash: 44
Url: 6

Soft:
TOR browser

Crypto:
bitcoin, monero

Algorithms:
sha256
CTT Report Hub
#ParsedReport #CompletenessMedium 05-07-2026 BlackMatter Ransomware Explained: Delivery Methods, Tactics, and Targets https://cyberint.com/blog/dark-web/blackmatter-ransomware-explained-delivery-methods-tactics-and-targets/ Report completeness: Medium …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackMatter — ransomware, появившийся в июле 2021 года как платформа RaaS, связанная с DarkSide, нацеленная на организации в США с требованиями выкупа от $80 000 до $15 миллионов, преимущественно в криптовалютах. Методы распространения включают фишинговые письма и злоупотребление Cobalt Strike, а также эксплуатацию уязвимостей протоколов LDAP и SMB; он нацелен на слабые периферийные устройства и использует украденные корпоративные учетные данные для первоначального доступа. Ransomware затрагивает широкий спектр секторов, подчеркивая свою потенциальную угрозу для критической инфраструктуры.
-----

BlackMatter — программа-вымогатель, появившаяся в июле 2021 года, работает как платформа ransomware-as-a-service (RaaS). Эта модель позволяет разработчикам извлекать прибыль из деятельности их партнеров, называемых BlackMatter actors, которые развертывают её против различных целей. Считается, что этот ransomware является продолжением операций DarkSide и, по сообщениям, нацелен на организации в Соединенных Штатах, требуя выкупы в размере от $80 000 до $15 миллионов, которые обычно выплачиваются в криптовалютах, таких как Bitcoin и Monero.

Методы распространения ransomware BlackMatter в основном включают фишинговые письма. Однако его кампании также демонстрируют зависимость от Cobalt Strike и другого коммерческого программного обеспечения (COTS) для управления. Примечательно, что BlackMatter эксплуатировал уязвимости в протоколах LDAP и SMB. Его стратегия первоначального доступа отличается от тактик, наблюдаемых в других кибератаках, поскольку он часто нацеливается на уязвимые периферийные устройства и использует корпоративные учетные данные, полученные из различных источников, вместо того чтобы сильно полагаться на фишинг или вредоносные документы. Хотя существует потенциал для использования тактик целевого фишинга и вредоносных документов в определенных случаях, конкретных примеров в ходе существующих расследований не выявлено.

Помимо эксплуатации уязвимостей инфраструктуры, таких как протоколы удаленного рабочего стола, виртуализация или устройства VPN, операторы BlackMatter также применяют ряд тактик, техник и процедур (TTPs), что указывает на предпочтение определенных уязвимостей. Жертвы получают записки с требованием выкупа, информирующие об шифровании и краже данных, с инструкциями использовать браузер TOR для доступа к сайту для переговоров в темной сети.

Чернобыль ransomware затрагивает широкий спектр секторов, включая здравоохранение, телекоммуникации, банковский сектор, финансы, образование и государственные учреждения, нацеливаясь на различные организации от крупных корпораций до малых предприятий. Это широкое охват подчеркивает его потенциальное воздействие на критическую инфраструктуру и подчеркивает необходимость надежных мер кибербезопасности во всех секторах.
#ParsedReport #CompletenessLow
04-07-2026

Microsoft Store Apps + Go Backconnect Proxyware Part 2

https://blog.lukeacha.com/2026/07/microsoft-store-apps-go-backconnect.html

Report completeness: Low

Threats:
Baoloader
Solarmarker
Bondat
Donut
Emotet
Tamperedchef
Justaskjacky
Purerat
Quasar_rat
Recipelister
Seo_poisoning_technique
Steganography_technique

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Domain: 3

Soft:
Microsoft Store, electron, Jupyter

Algorithms:
xor

Languages:
rust, javascript

Links:
https://github.com/securitymagic/yara/tree/main/proxyware
#ParsedReport #CompletenessHigh
03-07-2026

Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft

https://ransom-isac.org/blog/kali365-phaas-oauth-device-code-phishing/

Report completeness: High

Threats:
Device_code_phishing_technique
Kali365_tool
Octopus
Aitm_technique

Victims:
Microsoft 365 users, Max messenger users, Russian speaking users

Industry:
Entertainment, E-commerce, Iot, Media

Geo:
Germany, Russian, Berlin, American, Russia

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1078.004, T1185, T1539, T1550.001, T1566, T1567, T1583.001, T1583.003, T1583.006, T1589.002, have more...

IOCs:
Domain: 47
File: 24
Url: 6
IP: 11
Coin: 3
Hash: 9

Soft:
Telegram, Outlook, Microsoft Office, macOS, Electron, elegram, a, Linux, Linux Firefox, Microsoft Entra, Azure AD, have more...

Wallets:
tron

Crypto:
monero, litecoin, bitcoin

Algorithms:
md5

Functions:
exchangeTokenInBrowser, generateCookieScript, URL

Win API:
RUN, V, Request

Languages:
typescript

Platforms:
x86