CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 TeamPCP Supply Chain Attacks: SafeBreach Coverage for FBI FLASH Alert FLASH-20260702-01 https://www.safebreach.com/blog/teampcp-supply-chain-attacks-fbi-flash-alert-20260702-01-safebreach-coverage/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP — это киберпреступная группа, мотивированная финансовой выгодой, которая проводит масштабные атаки на цепочку поставок программного обеспечения, в первую очередь нацеливаясь на инструменты разработчиков и безопасности для эксфильтрации конфиденциальных данных, таких как токены доступа к облаку и SSH-ключи. Они внедряют вредоносный код в легитимное программное обеспечение, развертывая ВПО, предназначенное для кражи учетных данных и создания постоянных бэкдоров в средах разработчиков. Их операции включают такие известные семейства ВПО, как CanisterWorm, SANDCLOCK и Mini Shai-Hulud, которые облегчают перемещение внутри компании и репликацию между затронутыми системами и экосистемами.
-----
2 июля 2026 года ФБР совместно с Министерством внутренней безопасности США (DHS) и Управлением по кибербезопасности и инфраструктурной безопасности (CISA) опубликовало экстренное предупреждение FLASH о киберпреступной группе TeamPCP, в котором подробно описываются её тактики, техники и процедуры (TTPs), связанные с масштабными компрометациями Цепочки поставок программного обеспечения. Заметным методом TeamPCP является нацеливание на популярные инструменты разработки и безопасности для получения несанкционированного доступа к конфиденциальной информации, такой как токены доступа к облачным сервисам, SSH-ключи и секреты Kubernetes. Группа применяла стратегии шантажа, включая публичные угрозы, связанные с похищенными данными.
TeamPCP характеризуется как хакерская группировка, движимая финансовой выгодой, которая успешно внедряла вредоносный код в легитимные программные пакеты, позволяя распространять троянизированные обновления. Эта манипуляция привела к установке ВПО, предназначенного для кражи учетных данных и создания постоянных бэкдоров в средах разработки, что облегчало долгосрочный доступ к скомпрометированным системам. Среди инструментов, зараженных TeamPCP, — Trivy, KICS, LiteLLM и Telnyx Python SDK, которые активно используются в корпоративных конвейерах CI/CD и облачной инфраструктуре, тем самым превращая инструменты, предназначенные для безопасности и разработки, в оружие.
ФБР выявило четыре основные семейства ВПО, связанные с деятельностью TeamPCP. CanisterWorm предназначен для сбора конфиденциальных данных с основных облачных платформ, тогда как SANDCLOCK фокусируется на извлечении различных учетных данных, включая ключи доступа AWS и токены Kubernetes ServiceAccount. Mini Shai-Hulud функционирует как самореплицирующийся червь в реестрах пакетов npm и PyPI, а его вариант Miasma одновременно распространяется и компрометирует эти экосистемы путем изменения конфигурационных файлов.
Жизненный цикл атаки начинается с того, что TeamPCP компрометирует цепочки поставок программного обеспечения посредством вредоносных инъекций кода, что приводит к выполнению их ВПО для кражи учетных данных и установлению закрепления в затронутых средах. Их последующее перемещение внутри компании использует Mini Shai-Hulud и Miasma для репликации и распространения по взаимосвязанным репозиториям и учетным записям.
Дальнейшее усложнение угрозы связано с тем, что TeamPCP использует тактики шантажа, публикуя информацию о своих жертвах и угрожая раскрытием данных. Организациям рекомендуется придерживаться строгих практик безопасности, таких как внедрение многофакторной аутентификации, ротация учетных данных CI/CD и поддержание строгих ограничений доступа для снижения риска от этих постоянных угроз. Меры безопасности также должны включать поведенческий мониторинг для выявления аномалий, а также непрерывные аудиты учетных записей сопровождающих пакетов для предотвращения эксплуатации. В целом, стратегии обнаружения и устранения последствий должны выходить за рамки первоначального доступа и учитывать потенциальное перемещение внутри компании для защиты от многогранного подхода TeamPCP к реализации угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP — это киберпреступная группа, мотивированная финансовой выгодой, которая проводит масштабные атаки на цепочку поставок программного обеспечения, в первую очередь нацеливаясь на инструменты разработчиков и безопасности для эксфильтрации конфиденциальных данных, таких как токены доступа к облаку и SSH-ключи. Они внедряют вредоносный код в легитимное программное обеспечение, развертывая ВПО, предназначенное для кражи учетных данных и создания постоянных бэкдоров в средах разработчиков. Их операции включают такие известные семейства ВПО, как CanisterWorm, SANDCLOCK и Mini Shai-Hulud, которые облегчают перемещение внутри компании и репликацию между затронутыми системами и экосистемами.
-----
2 июля 2026 года ФБР совместно с Министерством внутренней безопасности США (DHS) и Управлением по кибербезопасности и инфраструктурной безопасности (CISA) опубликовало экстренное предупреждение FLASH о киберпреступной группе TeamPCP, в котором подробно описываются её тактики, техники и процедуры (TTPs), связанные с масштабными компрометациями Цепочки поставок программного обеспечения. Заметным методом TeamPCP является нацеливание на популярные инструменты разработки и безопасности для получения несанкционированного доступа к конфиденциальной информации, такой как токены доступа к облачным сервисам, SSH-ключи и секреты Kubernetes. Группа применяла стратегии шантажа, включая публичные угрозы, связанные с похищенными данными.
TeamPCP характеризуется как хакерская группировка, движимая финансовой выгодой, которая успешно внедряла вредоносный код в легитимные программные пакеты, позволяя распространять троянизированные обновления. Эта манипуляция привела к установке ВПО, предназначенного для кражи учетных данных и создания постоянных бэкдоров в средах разработки, что облегчало долгосрочный доступ к скомпрометированным системам. Среди инструментов, зараженных TeamPCP, — Trivy, KICS, LiteLLM и Telnyx Python SDK, которые активно используются в корпоративных конвейерах CI/CD и облачной инфраструктуре, тем самым превращая инструменты, предназначенные для безопасности и разработки, в оружие.
ФБР выявило четыре основные семейства ВПО, связанные с деятельностью TeamPCP. CanisterWorm предназначен для сбора конфиденциальных данных с основных облачных платформ, тогда как SANDCLOCK фокусируется на извлечении различных учетных данных, включая ключи доступа AWS и токены Kubernetes ServiceAccount. Mini Shai-Hulud функционирует как самореплицирующийся червь в реестрах пакетов npm и PyPI, а его вариант Miasma одновременно распространяется и компрометирует эти экосистемы путем изменения конфигурационных файлов.
Жизненный цикл атаки начинается с того, что TeamPCP компрометирует цепочки поставок программного обеспечения посредством вредоносных инъекций кода, что приводит к выполнению их ВПО для кражи учетных данных и установлению закрепления в затронутых средах. Их последующее перемещение внутри компании использует Mini Shai-Hulud и Miasma для репликации и распространения по взаимосвязанным репозиториям и учетным записям.
Дальнейшее усложнение угрозы связано с тем, что TeamPCP использует тактики шантажа, публикуя информацию о своих жертвах и угрожая раскрытием данных. Организациям рекомендуется придерживаться строгих практик безопасности, таких как внедрение многофакторной аутентификации, ротация учетных данных CI/CD и поддержание строгих ограничений доступа для снижения риска от этих постоянных угроз. Меры безопасности также должны включать поведенческий мониторинг для выявления аномалий, а также непрерывные аудиты учетных записей сопровождающих пакетов для предотвращения эксплуатации. В целом, стратегии обнаружения и устранения последствий должны выходить за рамки первоначального доступа и учитывать потенциальное перемещение внутри компании для защиты от многогранного подхода TeamPCP к реализации угроз.
#ParsedReport #CompletenessLow
03-07-2026
Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts
https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accounts
Report completeness: Low
Threats:
Consentfix_technique
Clickfix_technique
Amos_stealer
Victims:
Mac users, Windows users, Microsoft 365 accounts
Geo:
Russian
ChatGPT TTPs:
T1036, T1059.004, T1204.001, T1204.004, T1528, T1566.002
IOCs:
Domain: 1
Soft:
macOS, Dropbox
Platforms:
apple
03-07-2026
Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts
https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accounts
Report completeness: Low
Threats:
Consentfix_technique
Clickfix_technique
Amos_stealer
Victims:
Mac users, Windows users, Microsoft 365 accounts
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1036, T1059.004, T1204.001, T1204.004, T1528, T1566.002
IOCs:
Domain: 1
Soft:
macOS, Dropbox
Platforms:
apple
Malwarebytes
Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts
Two new campaigns show how cybercriminals are increasingly relying on social engineering instead of software exploits to compromise devices and accounts.
CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accounts Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки, направленные на пользователей Mac и учетных записей Microsoft 365, включают схему ClickFix, которая использовала скомпрометированную верифицированную учетную запись X для заманивания пользователей на загрузку вредоносной утилиты, имитирующей функцию Dynamic Island от Apple, что приводило к установке вредоносного ПО Atomic Stealer. Параллельно кампания ConsentFix нацелена на пользователей Windows, извлекая токены облачной аутентификации через обманные страницы входа, полагаясь на тактики социальной инженерии для манипуляции пользователями без установки традиционного вредоносного ПО. Эти развивающиеся угрозы подчеркивают эффективность эксплуатации поведения пользователей и риски, создаваемые доверенными платформами и рекламой.
-----
Недавние исследования выявили тревожную тенденцию в деятельности киберпреступников, направленной в частности на пользователей Mac и аккаунты Microsoft 365. Одним из заметных атак, осуществленных через верифицированный аккаунт в X (ранее Twitter), стала схема в стиле ClickFix, которая эффективно подталкивала пользователей к компрометации собственных устройств. Эта мошенническая схема использовала спонсируемую рекламу, выглядевшую достоверной, и направляла пользователей на обманчивый домен dynamicmacisland.com. Злоумышленники применяли тактики социальной инженерии, предлагая то, что казалось легитимной загрузкой утилиты для macOS, имитирующей функцию Dynamic Island от Apple. Однако пользователи, которые следовали инструкциям, неосознанно выполняли команды в терминале, что приводило к установке ВПО.
Вредоносное ПО, доставленное в рамках этой кампании, включало несколько вариантов Atomic Stealer, стиллера, известного сбором конфиденциальной информации. Этот инцидент подчеркивает три значимые угрозы: зависимость от взаимодействия с пользователем для вредоносных установок, использование доменов-двойников для имитации доверенных приложений и использование платной рекламы для расширения охвата этих атак. Опора на надежные платформы и значки верификации, такие как использованный в этой рекламе, служит опасным напоминанием о том, что такие индикаторы нельзя приравнивать к безопасности, особенно в отношении тщательно продуманных схем, направленных на обход обнаружения автоматизированными системами безопасности.
В рамках смежного инцидента появилась новая кампания под названием ConsentFix, представляющая иную категорию рисков для пользователей Windows. Вместо развертывания вредоносного ПО ConsentFix изобретательно использует социальную инженерию для извлечения токенов облачной аутентификации у пользователей. Этот метод не требует прямой установки вредоносного программного обеспечения; вместо этого он манипулирует пользователями, заставляя их раскрыть свои учетные данные через кажущиеся легитимными страницами входа Microsoft, которые часто размещаются на доверенных платформах, таких как Dropbox. Атака была облегчена за счет фишинговых писем, в которых пользователям предписывается перетаскивать определенные ссылки в свои браузеры, что дополнительно усложняет усилия по обнаружению.
Техника, распространенная на российских форумах киберкриминала, эффективно снизила порог входа, позволяя даже менее квалифицированным киберпреступникам выполнять такие атаки с относительной легкостью. Рост таких тактик требует повышенной бдительности и осведомленности среди пользователей, подчеркивая важность осторожности при переходе по ссылкам из нежелательных сообщений или из неизвестных источников.
В заключение, постоянная эволюция киберугроз, таких как атаки ClickFix и ConsentFix, подчеркивает необходимость повышения уровня безопасности и внедрения защитных мер против тактик социальной инженерии, манипулирующих поведением пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние атаки, направленные на пользователей Mac и учетных записей Microsoft 365, включают схему ClickFix, которая использовала скомпрометированную верифицированную учетную запись X для заманивания пользователей на загрузку вредоносной утилиты, имитирующей функцию Dynamic Island от Apple, что приводило к установке вредоносного ПО Atomic Stealer. Параллельно кампания ConsentFix нацелена на пользователей Windows, извлекая токены облачной аутентификации через обманные страницы входа, полагаясь на тактики социальной инженерии для манипуляции пользователями без установки традиционного вредоносного ПО. Эти развивающиеся угрозы подчеркивают эффективность эксплуатации поведения пользователей и риски, создаваемые доверенными платформами и рекламой.
-----
Недавние исследования выявили тревожную тенденцию в деятельности киберпреступников, направленной в частности на пользователей Mac и аккаунты Microsoft 365. Одним из заметных атак, осуществленных через верифицированный аккаунт в X (ранее Twitter), стала схема в стиле ClickFix, которая эффективно подталкивала пользователей к компрометации собственных устройств. Эта мошенническая схема использовала спонсируемую рекламу, выглядевшую достоверной, и направляла пользователей на обманчивый домен dynamicmacisland.com. Злоумышленники применяли тактики социальной инженерии, предлагая то, что казалось легитимной загрузкой утилиты для macOS, имитирующей функцию Dynamic Island от Apple. Однако пользователи, которые следовали инструкциям, неосознанно выполняли команды в терминале, что приводило к установке ВПО.
Вредоносное ПО, доставленное в рамках этой кампании, включало несколько вариантов Atomic Stealer, стиллера, известного сбором конфиденциальной информации. Этот инцидент подчеркивает три значимые угрозы: зависимость от взаимодействия с пользователем для вредоносных установок, использование доменов-двойников для имитации доверенных приложений и использование платной рекламы для расширения охвата этих атак. Опора на надежные платформы и значки верификации, такие как использованный в этой рекламе, служит опасным напоминанием о том, что такие индикаторы нельзя приравнивать к безопасности, особенно в отношении тщательно продуманных схем, направленных на обход обнаружения автоматизированными системами безопасности.
В рамках смежного инцидента появилась новая кампания под названием ConsentFix, представляющая иную категорию рисков для пользователей Windows. Вместо развертывания вредоносного ПО ConsentFix изобретательно использует социальную инженерию для извлечения токенов облачной аутентификации у пользователей. Этот метод не требует прямой установки вредоносного программного обеспечения; вместо этого он манипулирует пользователями, заставляя их раскрыть свои учетные данные через кажущиеся легитимными страницами входа Microsoft, которые часто размещаются на доверенных платформах, таких как Dropbox. Атака была облегчена за счет фишинговых писем, в которых пользователям предписывается перетаскивать определенные ссылки в свои браузеры, что дополнительно усложняет усилия по обнаружению.
Техника, распространенная на российских форумах киберкриминала, эффективно снизила порог входа, позволяя даже менее квалифицированным киберпреступникам выполнять такие атаки с относительной легкостью. Рост таких тактик требует повышенной бдительности и осведомленности среди пользователей, подчеркивая важность осторожности при переходе по ссылкам из нежелательных сообщений или из неизвестных источников.
В заключение, постоянная эволюция киберугроз, таких как атаки ClickFix и ConsentFix, подчеркивает необходимость повышения уровня безопасности и внедрения защитных мер против тактик социальной инженерии, манипулирующих поведением пользователей.
#ParsedReport #CompletenessMedium
05-07-2026
BlackMatter Ransomware Explained: Delivery Methods, Tactics, and Targets
https://cyberint.com/blog/dark-web/blackmatter-ransomware-explained-delivery-methods-tactics-and-targets/
Report completeness: Medium
Threats:
Blackmatter
Darkside
Cobalt_strike_tool
Spear-phishing_technique
Victims:
Healthcare, Telecommunications, Banking, Finance, Education, Government, Essential infrastructure, Hospitals, Universities, Major corporations, have more...
Industry:
Healthcare, Education, Financial, Telco, Government
Geo:
United states
TTPs:
Tactics: 7
Technics: 4
IOCs:
Hash: 44
Url: 6
Soft:
TOR browser
Crypto:
bitcoin, monero
Algorithms:
sha256
05-07-2026
BlackMatter Ransomware Explained: Delivery Methods, Tactics, and Targets
https://cyberint.com/blog/dark-web/blackmatter-ransomware-explained-delivery-methods-tactics-and-targets/
Report completeness: Medium
Threats:
Blackmatter
Darkside
Cobalt_strike_tool
Spear-phishing_technique
Victims:
Healthcare, Telecommunications, Banking, Finance, Education, Government, Essential infrastructure, Hospitals, Universities, Major corporations, have more...
Industry:
Healthcare, Education, Financial, Telco, Government
Geo:
United states
TTPs:
Tactics: 7
Technics: 4
IOCs:
Hash: 44
Url: 6
Soft:
TOR browser
Crypto:
bitcoin, monero
Algorithms:
sha256
Cyberint
BlackMatter Ransomware Explained: Delivery Methods, Tactics, and Targets
Introduction to BlackMatter Ransomware Emerging in July 2021, BlackMatter is a ransomware-as-a-service (RaaS) platform that permits the developers of the ransomware to generate income through the actions of their cybercriminal associates, referred to as BlackMatter…
CTT Report Hub
#ParsedReport #CompletenessMedium 05-07-2026 BlackMatter Ransomware Explained: Delivery Methods, Tactics, and Targets https://cyberint.com/blog/dark-web/blackmatter-ransomware-explained-delivery-methods-tactics-and-targets/ Report completeness: Medium …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlackMatter — ransomware, появившийся в июле 2021 года как платформа RaaS, связанная с DarkSide, нацеленная на организации в США с требованиями выкупа от $80 000 до $15 миллионов, преимущественно в криптовалютах. Методы распространения включают фишинговые письма и злоупотребление Cobalt Strike, а также эксплуатацию уязвимостей протоколов LDAP и SMB; он нацелен на слабые периферийные устройства и использует украденные корпоративные учетные данные для первоначального доступа. Ransomware затрагивает широкий спектр секторов, подчеркивая свою потенциальную угрозу для критической инфраструктуры.
-----
BlackMatter — программа-вымогатель, появившаяся в июле 2021 года, работает как платформа ransomware-as-a-service (RaaS). Эта модель позволяет разработчикам извлекать прибыль из деятельности их партнеров, называемых BlackMatter actors, которые развертывают её против различных целей. Считается, что этот ransomware является продолжением операций DarkSide и, по сообщениям, нацелен на организации в Соединенных Штатах, требуя выкупы в размере от $80 000 до $15 миллионов, которые обычно выплачиваются в криптовалютах, таких как Bitcoin и Monero.
Методы распространения ransomware BlackMatter в основном включают фишинговые письма. Однако его кампании также демонстрируют зависимость от Cobalt Strike и другого коммерческого программного обеспечения (COTS) для управления. Примечательно, что BlackMatter эксплуатировал уязвимости в протоколах LDAP и SMB. Его стратегия первоначального доступа отличается от тактик, наблюдаемых в других кибератаках, поскольку он часто нацеливается на уязвимые периферийные устройства и использует корпоративные учетные данные, полученные из различных источников, вместо того чтобы сильно полагаться на фишинг или вредоносные документы. Хотя существует потенциал для использования тактик целевого фишинга и вредоносных документов в определенных случаях, конкретных примеров в ходе существующих расследований не выявлено.
Помимо эксплуатации уязвимостей инфраструктуры, таких как протоколы удаленного рабочего стола, виртуализация или устройства VPN, операторы BlackMatter также применяют ряд тактик, техник и процедур (TTPs), что указывает на предпочтение определенных уязвимостей. Жертвы получают записки с требованием выкупа, информирующие об шифровании и краже данных, с инструкциями использовать браузер TOR для доступа к сайту для переговоров в темной сети.
Чернобыль ransomware затрагивает широкий спектр секторов, включая здравоохранение, телекоммуникации, банковский сектор, финансы, образование и государственные учреждения, нацеливаясь на различные организации от крупных корпораций до малых предприятий. Это широкое охват подчеркивает его потенциальное воздействие на критическую инфраструктуру и подчеркивает необходимость надежных мер кибербезопасности во всех секторах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlackMatter — ransomware, появившийся в июле 2021 года как платформа RaaS, связанная с DarkSide, нацеленная на организации в США с требованиями выкупа от $80 000 до $15 миллионов, преимущественно в криптовалютах. Методы распространения включают фишинговые письма и злоупотребление Cobalt Strike, а также эксплуатацию уязвимостей протоколов LDAP и SMB; он нацелен на слабые периферийные устройства и использует украденные корпоративные учетные данные для первоначального доступа. Ransomware затрагивает широкий спектр секторов, подчеркивая свою потенциальную угрозу для критической инфраструктуры.
-----
BlackMatter — программа-вымогатель, появившаяся в июле 2021 года, работает как платформа ransomware-as-a-service (RaaS). Эта модель позволяет разработчикам извлекать прибыль из деятельности их партнеров, называемых BlackMatter actors, которые развертывают её против различных целей. Считается, что этот ransomware является продолжением операций DarkSide и, по сообщениям, нацелен на организации в Соединенных Штатах, требуя выкупы в размере от $80 000 до $15 миллионов, которые обычно выплачиваются в криптовалютах, таких как Bitcoin и Monero.
Методы распространения ransomware BlackMatter в основном включают фишинговые письма. Однако его кампании также демонстрируют зависимость от Cobalt Strike и другого коммерческого программного обеспечения (COTS) для управления. Примечательно, что BlackMatter эксплуатировал уязвимости в протоколах LDAP и SMB. Его стратегия первоначального доступа отличается от тактик, наблюдаемых в других кибератаках, поскольку он часто нацеливается на уязвимые периферийные устройства и использует корпоративные учетные данные, полученные из различных источников, вместо того чтобы сильно полагаться на фишинг или вредоносные документы. Хотя существует потенциал для использования тактик целевого фишинга и вредоносных документов в определенных случаях, конкретных примеров в ходе существующих расследований не выявлено.
Помимо эксплуатации уязвимостей инфраструктуры, таких как протоколы удаленного рабочего стола, виртуализация или устройства VPN, операторы BlackMatter также применяют ряд тактик, техник и процедур (TTPs), что указывает на предпочтение определенных уязвимостей. Жертвы получают записки с требованием выкупа, информирующие об шифровании и краже данных, с инструкциями использовать браузер TOR для доступа к сайту для переговоров в темной сети.
Чернобыль ransomware затрагивает широкий спектр секторов, включая здравоохранение, телекоммуникации, банковский сектор, финансы, образование и государственные учреждения, нацеливаясь на различные организации от крупных корпораций до малых предприятий. Это широкое охват подчеркивает его потенциальное воздействие на критическую инфраструктуру и подчеркивает необходимость надежных мер кибербезопасности во всех секторах.
#ParsedReport #CompletenessLow
04-07-2026
Microsoft Store Apps + Go Backconnect Proxyware Part 2
https://blog.lukeacha.com/2026/07/microsoft-store-apps-go-backconnect.html
Report completeness: Low
Threats:
Baoloader
Solarmarker
Bondat
Donut
Emotet
Tamperedchef
Justaskjacky
Purerat
Quasar_rat
Recipelister
Seo_poisoning_technique
Steganography_technique
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Domain: 3
Soft:
Microsoft Store, electron, Jupyter
Algorithms:
xor
Languages:
rust, javascript
Links:
04-07-2026
Microsoft Store Apps + Go Backconnect Proxyware Part 2
https://blog.lukeacha.com/2026/07/microsoft-store-apps-go-backconnect.html
Report completeness: Low
Threats:
Baoloader
Solarmarker
Bondat
Donut
Emotet
Tamperedchef
Justaskjacky
Purerat
Quasar_rat
Recipelister
Seo_poisoning_technique
Steganography_technique
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Domain: 3
Soft:
Microsoft Store, electron, Jupyter
Algorithms:
xor
Languages:
rust, javascript
Links:
https://github.com/securitymagic/yara/tree/main/proxywareLukeacha
Microsoft Store Apps + Go Backconnect Proxyware Part 2
Microsoft App Store publisher continues hosting undisclosed proxyware: StoreSocks proxyware campaign analysis and updates.
#ParsedReport #CompletenessHigh
03-07-2026
Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft
https://ransom-isac.org/blog/kali365-phaas-oauth-device-code-phishing/
Report completeness: High
Threats:
Device_code_phishing_technique
Kali365_tool
Octopus
Aitm_technique
Victims:
Microsoft 365 users, Max messenger users, Russian speaking users
Industry:
Entertainment, E-commerce, Iot, Media
Geo:
Germany, Russian, Berlin, American, Russia
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1078.004, T1185, T1539, T1550.001, T1566, T1567, T1583.001, T1583.003, T1583.006, T1589.002, have more...
IOCs:
Domain: 47
File: 24
Url: 6
IP: 11
Coin: 3
Hash: 9
Soft:
Telegram, Outlook, Microsoft Office, macOS, Electron, elegram, a, Linux, Linux Firefox, Microsoft Entra, Azure AD, have more...
Wallets:
tron
Crypto:
monero, litecoin, bitcoin
Algorithms:
md5
Functions:
exchangeTokenInBrowser, generateCookieScript, URL
Win API:
RUN, V, Request
Languages:
typescript
Platforms:
x86
03-07-2026
Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft
https://ransom-isac.org/blog/kali365-phaas-oauth-device-code-phishing/
Report completeness: High
Threats:
Device_code_phishing_technique
Kali365_tool
Octopus
Aitm_technique
Victims:
Microsoft 365 users, Max messenger users, Russian speaking users
Industry:
Entertainment, E-commerce, Iot, Media
Geo:
Germany, Russian, Berlin, American, Russia
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1078.004, T1185, T1539, T1550.001, T1566, T1567, T1583.001, T1583.003, T1583.006, T1589.002, have more...
IOCs:
Domain: 47
File: 24
Url: 6
IP: 11
Coin: 3
Hash: 9
Soft:
Telegram, Outlook, Microsoft Office, macOS, Electron, elegram, a, Linux, Linux Firefox, Microsoft Entra, Azure AD, have more...
Wallets:
tron
Crypto:
monero, litecoin, bitcoin
Algorithms:
md5
Functions:
exchangeTokenInBrowser, generateCookieScript, URL
Win API:
RUN, V, Request
Languages:
typescript
Platforms:
x86
Ransom-ISAC
Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft
End-to-end reverse engineering of the Kali365 (K365) Microsoft 365 Phishing-as-a-Service operator client, purchased web panel, and payment infrastructure.
CTT Report Hub
#ParsedReport #CompletenessHigh 03-07-2026 Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft https://ransom-isac.org/blog/kali365-phaas-oauth-device-code-phishing/ Report completeness: High Threats: Device_code_phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Kali365 (K365) — это платформа Фишинг как услуга, нацеленная на учетные записи Microsoft 365 с использованием фишинга через OAuth device-code, опирающегося на фреймворк авторизации устройств OAuth 2.0. Она позволяет злоумышленникам красть refresh-токены, обманом заставляя жертв одобрять несанкционированные сеансы через легитимный интерфейс Microsoft, что обеспечивает сохранение доступа даже после настройки MFA. Инструмент оператора kali365.exe позволяет легко извлекать и повторно использовать токены, при этом платформа постоянно развивается для улучшения своих фишинговых техник и расширения охвата, включая нацеливание на русскоязычных пользователей.
-----
Kali365 (K365) — это платформа Фишинг как услуга (PhaaS), работающая с апреля 2026 года, в первую очередь предназначенная для атак на учетные записи Microsoft 365 с использованием инновационной техники атаки, известной как фишинг с использованием OAuth device-code. Система, которая была реверс-инжинирингом, использует легитимный фреймворк авторизации устройств OAuth 2.0 (RFC 8628) для того, чтобы заставить жертв одобрить несанкционированные сессии, тем самым позволяя злоумышленникам красть долгоживущие refresh-токены без необходимости обхода многофакторной аутентификации (MFA). ВПО использует настоящий интерфейс входа Microsoft, обманывая пользователей, чтобы они ввели пользовательский код, который злоумышленник предварительно инициировал.
Клиентское приложение оператора Kali365, идентифицируемое как kali365.exe, функционирует как инструмент управления для операторов, которые могут получать доступ к украденным учетным записям для извлечения токенов и взаимодействия со службами жертв, такими как Outlook или Admin Center, одним нажатием. Оно подключается к бэкенд-инфраструктуре, где хранятся захваченные токены, позволяя их повторно использовать, тем самым поддерживая атаку даже спустя недели. Эта возможность служит ярким напоминанием о том, как MFA может стать неэффективной, когда Кража токена происходит после аутентификации.
Вектор атаки начинается с того, что оператор инициирует запрос на авторизацию кода устройства у Microsoft, используя легитимный, захардкоженный идентификатор клиента Microsoft. Жертве отображается пользовательский код и URI для проверки, после чего жертва вводит в заблуждение и перенаправляется на легитимную страницу входа в Azure для устройств, где она авторизует сеанс, в результате чего атакующему напрямую выдается токен обновления. Этот токен сохраняется вместе с информацией о жертве для будущего использования, оставаясь действительным при смене учетных данных и изменении настроек многофакторной аутентификации (MFA).
Рыночные операции Kali365 включают не только доступ к их фишинговому инструментарию за подписку, но и параллельную экономику лидов, в которой продаются украденные OAuth-токены. Платформа имеет широкое присутствие в Телеграм и постоянно эволюционирует, оптимизируя свои функции для удобной настройки фишинговых приманок и управления целями. Архитектура вредоносного ПО, построенная с использованием Electron и упакованная с помощью NSIS, отражает цикл быстрой итерации, позволяя улучшать методы в ходе последовательных сборок.
Кроме того, эта фишинговая кампания расширилась и нацелилась на русскоязычных пользователей через такие платформы, как мессенджер MAX, что указывает на универсальность Kali365 в использовании различных рекламных тем и применении тактик социальной инженерии для захвата учетных данных. В отчете подробно описаны несколько индикаторов компрометации (IOCs), касающихся инфраструктуры кампании, которые защитники могут использовать для мониторинга активности и укрепления защиты от этой сложной фишинговой операции. В целом, Kali365 представляет собой значительную угрозу благодаря своему мощному фреймворку, позволяющему киберпреступникам эффективно выполнять фишинговые атаки под видом законных процессов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Kali365 (K365) — это платформа Фишинг как услуга, нацеленная на учетные записи Microsoft 365 с использованием фишинга через OAuth device-code, опирающегося на фреймворк авторизации устройств OAuth 2.0. Она позволяет злоумышленникам красть refresh-токены, обманом заставляя жертв одобрять несанкционированные сеансы через легитимный интерфейс Microsoft, что обеспечивает сохранение доступа даже после настройки MFA. Инструмент оператора kali365.exe позволяет легко извлекать и повторно использовать токены, при этом платформа постоянно развивается для улучшения своих фишинговых техник и расширения охвата, включая нацеливание на русскоязычных пользователей.
-----
Kali365 (K365) — это платформа Фишинг как услуга (PhaaS), работающая с апреля 2026 года, в первую очередь предназначенная для атак на учетные записи Microsoft 365 с использованием инновационной техники атаки, известной как фишинг с использованием OAuth device-code. Система, которая была реверс-инжинирингом, использует легитимный фреймворк авторизации устройств OAuth 2.0 (RFC 8628) для того, чтобы заставить жертв одобрить несанкционированные сессии, тем самым позволяя злоумышленникам красть долгоживущие refresh-токены без необходимости обхода многофакторной аутентификации (MFA). ВПО использует настоящий интерфейс входа Microsoft, обманывая пользователей, чтобы они ввели пользовательский код, который злоумышленник предварительно инициировал.
Клиентское приложение оператора Kali365, идентифицируемое как kali365.exe, функционирует как инструмент управления для операторов, которые могут получать доступ к украденным учетным записям для извлечения токенов и взаимодействия со службами жертв, такими как Outlook или Admin Center, одним нажатием. Оно подключается к бэкенд-инфраструктуре, где хранятся захваченные токены, позволяя их повторно использовать, тем самым поддерживая атаку даже спустя недели. Эта возможность служит ярким напоминанием о том, как MFA может стать неэффективной, когда Кража токена происходит после аутентификации.
Вектор атаки начинается с того, что оператор инициирует запрос на авторизацию кода устройства у Microsoft, используя легитимный, захардкоженный идентификатор клиента Microsoft. Жертве отображается пользовательский код и URI для проверки, после чего жертва вводит в заблуждение и перенаправляется на легитимную страницу входа в Azure для устройств, где она авторизует сеанс, в результате чего атакующему напрямую выдается токен обновления. Этот токен сохраняется вместе с информацией о жертве для будущего использования, оставаясь действительным при смене учетных данных и изменении настроек многофакторной аутентификации (MFA).
Рыночные операции Kali365 включают не только доступ к их фишинговому инструментарию за подписку, но и параллельную экономику лидов, в которой продаются украденные OAuth-токены. Платформа имеет широкое присутствие в Телеграм и постоянно эволюционирует, оптимизируя свои функции для удобной настройки фишинговых приманок и управления целями. Архитектура вредоносного ПО, построенная с использованием Electron и упакованная с помощью NSIS, отражает цикл быстрой итерации, позволяя улучшать методы в ходе последовательных сборок.
Кроме того, эта фишинговая кампания расширилась и нацелилась на русскоязычных пользователей через такие платформы, как мессенджер MAX, что указывает на универсальность Kali365 в использовании различных рекламных тем и применении тактик социальной инженерии для захвата учетных данных. В отчете подробно описаны несколько индикаторов компрометации (IOCs), касающихся инфраструктуры кампании, которые защитники могут использовать для мониторинга активности и укрепления защиты от этой сложной фишинговой операции. В целом, Kali365 представляет собой значительную угрозу благодаря своему мощному фреймворку, позволяющему киберпреступникам эффективно выполнять фишинговые атаки под видом законных процессов.
#ParsedReport #CompletenessMedium
03-07-2026
Kairos Ransomware: Data-Extortion Case Study Involving a U.S. Government Entity
https://ransom-isac.org/blog/kairos-ransomware-data-extortion-case-study/
Report completeness: Medium
Actors/Campaigns:
Lockbitsupp
Threats:
Kairos
Lockbit
Cobalt_strike_tool
Victims:
Government, Public sector
Industry:
Financial, Government
Geo:
Russian, Ukrainian, Ukraine
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1039, T1083, T1110
IOCs:
File: 12
Coin: 9
Url: 6
Domain: 10
Email: 1
IP: 1
Soft:
NGINX
Wallets:
bybit
Crypto:
bitcoin, binance
Win API:
You, We, But, How, Do, What, Your, Youve, Making, Our, have more...
03-07-2026
Kairos Ransomware: Data-Extortion Case Study Involving a U.S. Government Entity
https://ransom-isac.org/blog/kairos-ransomware-data-extortion-case-study/
Report completeness: Medium
Actors/Campaigns:
Lockbitsupp
Threats:
Kairos
Lockbit
Cobalt_strike_tool
Victims:
Government, Public sector
Industry:
Financial, Government
Geo:
Russian, Ukrainian, Ukraine
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1039, T1083, T1110
IOCs:
File: 12
Coin: 9
Url: 6
Domain: 10
Email: 1
IP: 1
Soft:
NGINX
Wallets:
bybit
Crypto:
bitcoin, binance
Win API:
You, We, But, How, Do, What, Your, Youve, Making, Our, have more...
Ransom-ISAC
Kairos Ransomware: Data-Extortion Case Study Involving a U.S. Government Entity
A leaked negotiation transcript and payment-flow analysis of a successful $1 million ransom payment by a U.S. government body to Kairos — a data-extortion actor whose "ransomware group" status remains unverified.
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2026 Kairos Ransomware: Data-Extortion Case Study Involving a U.S. Government Entity https://ransom-isac.org/blog/kairos-ransomware-data-extortion-case-study/ Report completeness: Medium Actors/Campaigns: Lockbitsupp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инцидент с вымогательским ПО Kairos включал выплату $1 млн американским государственным органом после угрозы экстренной утечки данных. Kairos получил доступ к более чем 2 ТБ конфиденциальных данных посредством брутфорс-атаки, сосредоточившись на вымогательстве, а не на шифровании, используя тактики переговоров для давления на жертву и создания иллюзии сотрудничества. Хотя не было обнаружено образцов ВПО, связанных с Kairos, выкуп был распределён между несколькими кошельками криптовалют, что усложнило атрибуцию, но предоставило направления для текущих расследований.
-----
Отчет об инциденте с программой-вымогателем Kairos, затронувшем государственную структуру США, сосредоточен на значительной выплате выкупа в размере 1 миллиона долларов, совершенной в ответ на угрозу шантажа с использованием данных. Kairos, злоумышленник, чья классификация в качестве подтвержденной группы программ-вымогателей остается неопределенной, якобы получил доступ к более чем 2 ТБ конфиденциальных данных, включая примерно 1,6 миллиона файлов. Изначально требуя 3 миллиона долларов, сумма выкупа была снижена в результате нескольких предложений со стороны пострадавшей организации, которые варьировались от 100 000 до 430 000 долларов, прежде чем стороны пришли к согласию по окончательной сумме в условиях временных ограничений, установленных Kairos.
По сообщениям, Kairos получил доступ с помощью атаки брутфорс по учетным данным. В отличие от традиционных злоумышленников, использующих шифрование, метод Kairos был сосредоточен на вымогательстве данных и использовании угроз публичного раскрытия, связанных с этими данными. Важной частью их стратегии атаки стали психологически мотивированные тактики переговоров, включавшие строгие дедлайны и поэтапные уступки, которые создавали иллюзию сотрудничества, обеспечивая при этом крупное выкуп
В стенограмме переговоров видно, что Kairos поддерживал быстрое время отклика, что указывает на активно мониторимый канал связи, и применял ряд тактик давления, включая упоминание конфиденциальных файлов для усиления репутационных рисков для жертвы. Несмотря на оплату со стороны жертвы, доказательства, подтверждающие заявления Kairos об удалении данных, не имели технической верифицируемости. Представленное доказательство удаления указывало лишь на выборочный подход и не подтверждало уничтожение исходных данных.
С точки зрения платежей выкуп был распределен между несколькими кошельками, связанными с криптобиржами, такими как ByBit, OKX и BELQI. Эта сложная схема платежей не позволяет напрямую связать действия с конкретными операторами, но предоставляет важные зацепки для продолжающихся расследований деятельности группы. Примечательно, что образцы ВПО или бинарные файлы шифровальщика не были четко связаны с Kairos, что дополнительно подчеркивает, что их тактика основана на вымогательстве, а не на традиционных механизмах работы шифровальщиков.
Инцидент подчеркивает уязвимости в готовности организаций к сценариям вымогательства данных, особенно среди государственных структур. В отчете обращается внимание на необходимость заранее установленных рамок для переговоров, путей эскалации и надежных практик мониторинга для эффективного реагирования на такие кризисы. Кроме того, хотя оперативные возможности Kairos, по-видимому, снижены после действий украинских правоохранительных органов, потенциал продолжения деятельности сохраняется, при этом данные о перемещениях в блокчейне служат важными инструментами расследования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инцидент с вымогательским ПО Kairos включал выплату $1 млн американским государственным органом после угрозы экстренной утечки данных. Kairos получил доступ к более чем 2 ТБ конфиденциальных данных посредством брутфорс-атаки, сосредоточившись на вымогательстве, а не на шифровании, используя тактики переговоров для давления на жертву и создания иллюзии сотрудничества. Хотя не было обнаружено образцов ВПО, связанных с Kairos, выкуп был распределён между несколькими кошельками криптовалют, что усложнило атрибуцию, но предоставило направления для текущих расследований.
-----
Отчет об инциденте с программой-вымогателем Kairos, затронувшем государственную структуру США, сосредоточен на значительной выплате выкупа в размере 1 миллиона долларов, совершенной в ответ на угрозу шантажа с использованием данных. Kairos, злоумышленник, чья классификация в качестве подтвержденной группы программ-вымогателей остается неопределенной, якобы получил доступ к более чем 2 ТБ конфиденциальных данных, включая примерно 1,6 миллиона файлов. Изначально требуя 3 миллиона долларов, сумма выкупа была снижена в результате нескольких предложений со стороны пострадавшей организации, которые варьировались от 100 000 до 430 000 долларов, прежде чем стороны пришли к согласию по окончательной сумме в условиях временных ограничений, установленных Kairos.
По сообщениям, Kairos получил доступ с помощью атаки брутфорс по учетным данным. В отличие от традиционных злоумышленников, использующих шифрование, метод Kairos был сосредоточен на вымогательстве данных и использовании угроз публичного раскрытия, связанных с этими данными. Важной частью их стратегии атаки стали психологически мотивированные тактики переговоров, включавшие строгие дедлайны и поэтапные уступки, которые создавали иллюзию сотрудничества, обеспечивая при этом крупное выкуп
В стенограмме переговоров видно, что Kairos поддерживал быстрое время отклика, что указывает на активно мониторимый канал связи, и применял ряд тактик давления, включая упоминание конфиденциальных файлов для усиления репутационных рисков для жертвы. Несмотря на оплату со стороны жертвы, доказательства, подтверждающие заявления Kairos об удалении данных, не имели технической верифицируемости. Представленное доказательство удаления указывало лишь на выборочный подход и не подтверждало уничтожение исходных данных.
С точки зрения платежей выкуп был распределен между несколькими кошельками, связанными с криптобиржами, такими как ByBit, OKX и BELQI. Эта сложная схема платежей не позволяет напрямую связать действия с конкретными операторами, но предоставляет важные зацепки для продолжающихся расследований деятельности группы. Примечательно, что образцы ВПО или бинарные файлы шифровальщика не были четко связаны с Kairos, что дополнительно подчеркивает, что их тактика основана на вымогательстве, а не на традиционных механизмах работы шифровальщиков.
Инцидент подчеркивает уязвимости в готовности организаций к сценариям вымогательства данных, особенно среди государственных структур. В отчете обращается внимание на необходимость заранее установленных рамок для переговоров, путей эскалации и надежных практик мониторинга для эффективного реагирования на такие кризисы. Кроме того, хотя оперативные возможности Kairos, по-видимому, снижены после действий украинских правоохранительных органов, потенциал продолжения деятельности сохраняется, при этом данные о перемещениях в блокчейне служат важными инструментами расследования.
#ParsedReport #CompletenessHigh
02-07-2026
Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities
https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/
Report completeness: High
Threats:
Avalon
Crownx
Credential_harvesting_technique
Shadow_copies_delete_technique
Tartarusgate_tool
Victims:
Software development, Engineering, Data storage, Virtual infrastructure, Business operations, Creative sector, Backup platforms, Information technology infrastructure
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1018, T1021.002, T1021.003, T1027, T1027.010, T1036.007, T1041, T1047, T1053.005, have more...
IOCs:
File: 27
Domain: 1
Command: 1
Url: 1
Coin: 1
Hash: 5
Soft:
Microsoft Edge, NET Framework, Event Tracing for Windows, Microsoft Defender, Chromium, Firefox, Ledger Live, Discord, Discord Canary, Slack, have more...
Wallets:
metamask, coinbase, exodus_wallet, electrum, atomicwallet, bitcoincore
Crypto:
bitcoin
Algorithms:
zip, base64, aes-gcm, xor, aes
Win API:
EtwEventWrite, EtwEventWriteEx, EtwEventWriteFull, EtwEventWriteTransfer, EtwEventWriteString, EtwNotificationRegister, NtTraceEvent, AmsiScanBuffer, AddVectoredExceptionHandler, GetThreadContext, have more...
Win Services:
WebClient
Languages:
powershell
Platforms:
x64
02-07-2026
Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities
https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/
Report completeness: High
Threats:
Avalon
Crownx
Credential_harvesting_technique
Shadow_copies_delete_technique
Tartarusgate_tool
Victims:
Software development, Engineering, Data storage, Virtual infrastructure, Business operations, Creative sector, Backup platforms, Information technology infrastructure
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1018, T1021.002, T1021.003, T1027, T1027.010, T1036.007, T1041, T1047, T1053.005, have more...
IOCs:
File: 27
Domain: 1
Command: 1
Url: 1
Coin: 1
Hash: 5
Soft:
Microsoft Edge, NET Framework, Event Tracing for Windows, Microsoft Defender, Chromium, Firefox, Ledger Live, Discord, Discord Canary, Slack, have more...
Wallets:
metamask, coinbase, exodus_wallet, electrum, atomicwallet, bitcoincore
Crypto:
bitcoin
Algorithms:
zip, base64, aes-gcm, xor, aes
Win API:
EtwEventWrite, EtwEventWriteEx, EtwEventWriteFull, EtwEventWriteTransfer, EtwEventWriteString, EtwNotificationRegister, NtTraceEvent, AmsiScanBuffer, AddVectoredExceptionHandler, GetThreadContext, have more...
Win Services:
WebClient
Languages:
powershell
Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фреймворк ВПО Avalon интегрирует возможности шифрования файлов, кражи учетных данных и перемещения внутри компании, используя многоэтапный метод доставки через фишинг. Он развертывает сложное ISO-изображение внутри архива, защищенного паролем, запуская вредоносную активность при выполнении. Компонент шифрования CrownX шифрует файлы с использованием AES, делая упор на противодействие криминалистике и эксфильтрацию конфиденциальных данных через сложные коммуникации C2, что демонстрирует продвинутую способность избегать обнаружения и надежное оперативное планирование со стороны злоумышленников.
-----
Недавно раскрытая фреймворк ВПО под названием Avalon представляет собой значительную эволюцию в киберугрозах, особенно из-за его интеграции с программным обеспечением для вымогательства и обширными возможностями кражи учетных данных и перемещения внутри компании. Выявленный группой Adversary Pursuit Group компании Blackpoint, Avalon использует сложный многоэтапный метод фишинговой доставки, начиная атаки с писем, которые выглядят как законные юридические документы. Получатели направляются к архиву, защищенному паролем, на Proton Drive, который скрывает вредоносные части, находящиеся внутри образа ISO, тем самым избегая стандартных средств защиты электронной почты.
При запуске ISO-образа пользователи невольно запускают сложную последовательность вредоносных действий без какого-либо обычного исполняемого файла, прикрепленного к первоначальным сообщениям. Надежный функционал Avalon включает сбор учетных данных из различных приложений, меры противодействия форензике и возможности шифровальщика, причем компонент шифровальщика получил название CrownX. Такая интеграция позволяет одному скомпрометированному узлу инициировать масштабные операционные сбои в инфраструктуре организации.
Дизайн Avalon предполагает использование искусственного интеллекта для ускорения разработки, что снижает порог входа для злоумышленников при развертывании сложного и модульного ВПО. Он функционирует как центральный оркестратор, способный выполнять сбор учетных записей, устанавливать каналы управления (C2) и готовиться к перемещению внутри компании для захвата дополнительных систем в сети. ВПО взаимодействует через HTTPS, используя User-Agent, похожий на браузерный, и применяет собственные методы для обхода мер безопасности, включая манипуляции с классовой маршрутизацией между доменами (CIDR) и использование различных публичных API-запросов.
С точки зрения оперативных тактик, Avalon фокусируется на проверке подлинности учетных данных и их сборе путем доступа к широкому спектру приложений и системной информации, включая браузеры, платформы обмена сообщениями, профили VPN и даже криптовалютные кошельки. Это позволяет захватывать множество типов конфиденциальных данных, которые затем эксфильтруются обратно злоумышленнику через сложные механизмы связи C2, обеспечивающие маскировку трафика под легитимный.
CrownX, являясь компонентом шифрования фреймворка, осуществляет шифрование файлов с использованием AES в режиме Galois/Counter Mode через API Windows Cryptography Next Generation. Этот сложный процесс шифрования позволяет структурированно обрабатывать данные и гарантирует, что затронутые файлы могут быть восстановлены только с использованием уникального ключа. Кроме того, ransomware использует различные методы для отображения вымогательских записок, обеспечивая высокую вероятность того, что жертвы увидят требования выкупа после атаки.
В сочетании с функциями отключения и повреждения теневых копий тома (VSS) для обеспечения минимальных шансов на восстановление, Avalon делает пост-интрузивное восстановление значительно более сложным. Также интегрирована подсистема анти-криминалистический анализ очистки, предназначенная для устранения следов атаки с целью затруднения расследований, что демонстрирует тщательную подготовку для поддержания оперативной секретности после нарушения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фреймворк ВПО Avalon интегрирует возможности шифрования файлов, кражи учетных данных и перемещения внутри компании, используя многоэтапный метод доставки через фишинг. Он развертывает сложное ISO-изображение внутри архива, защищенного паролем, запуская вредоносную активность при выполнении. Компонент шифрования CrownX шифрует файлы с использованием AES, делая упор на противодействие криминалистике и эксфильтрацию конфиденциальных данных через сложные коммуникации C2, что демонстрирует продвинутую способность избегать обнаружения и надежное оперативное планирование со стороны злоумышленников.
-----
Недавно раскрытая фреймворк ВПО под названием Avalon представляет собой значительную эволюцию в киберугрозах, особенно из-за его интеграции с программным обеспечением для вымогательства и обширными возможностями кражи учетных данных и перемещения внутри компании. Выявленный группой Adversary Pursuit Group компании Blackpoint, Avalon использует сложный многоэтапный метод фишинговой доставки, начиная атаки с писем, которые выглядят как законные юридические документы. Получатели направляются к архиву, защищенному паролем, на Proton Drive, который скрывает вредоносные части, находящиеся внутри образа ISO, тем самым избегая стандартных средств защиты электронной почты.
При запуске ISO-образа пользователи невольно запускают сложную последовательность вредоносных действий без какого-либо обычного исполняемого файла, прикрепленного к первоначальным сообщениям. Надежный функционал Avalon включает сбор учетных данных из различных приложений, меры противодействия форензике и возможности шифровальщика, причем компонент шифровальщика получил название CrownX. Такая интеграция позволяет одному скомпрометированному узлу инициировать масштабные операционные сбои в инфраструктуре организации.
Дизайн Avalon предполагает использование искусственного интеллекта для ускорения разработки, что снижает порог входа для злоумышленников при развертывании сложного и модульного ВПО. Он функционирует как центральный оркестратор, способный выполнять сбор учетных записей, устанавливать каналы управления (C2) и готовиться к перемещению внутри компании для захвата дополнительных систем в сети. ВПО взаимодействует через HTTPS, используя User-Agent, похожий на браузерный, и применяет собственные методы для обхода мер безопасности, включая манипуляции с классовой маршрутизацией между доменами (CIDR) и использование различных публичных API-запросов.
С точки зрения оперативных тактик, Avalon фокусируется на проверке подлинности учетных данных и их сборе путем доступа к широкому спектру приложений и системной информации, включая браузеры, платформы обмена сообщениями, профили VPN и даже криптовалютные кошельки. Это позволяет захватывать множество типов конфиденциальных данных, которые затем эксфильтруются обратно злоумышленнику через сложные механизмы связи C2, обеспечивающие маскировку трафика под легитимный.
CrownX, являясь компонентом шифрования фреймворка, осуществляет шифрование файлов с использованием AES в режиме Galois/Counter Mode через API Windows Cryptography Next Generation. Этот сложный процесс шифрования позволяет структурированно обрабатывать данные и гарантирует, что затронутые файлы могут быть восстановлены только с использованием уникального ключа. Кроме того, ransomware использует различные методы для отображения вымогательских записок, обеспечивая высокую вероятность того, что жертвы увидят требования выкупа после атаки.
В сочетании с функциями отключения и повреждения теневых копий тома (VSS) для обеспечения минимальных шансов на восстановление, Avalon делает пост-интрузивное восстановление значительно более сложным. Также интегрирована подсистема анти-криминалистический анализ очистки, предназначенная для устранения следов атаки с целью затруднения расследований, что демонстрирует тщательную подготовку для поддержания оперативной секретности после нарушения.
#ParsedReport #CompletenessMedium
02-07-2026
SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework
https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework
Report completeness: Medium
Actors/Campaigns:
Strikeshark
Threats:
Cobalt_strike_tool
Sharkloader
Dll_sideloading_technique
Dll_hijacking_technique
Victims:
Government related organizations, Diplomatic entities, Software development companies
Industry:
Software_development, Government
Geo:
Asia, Latin america, Middle east
ChatGPT TTPs:
T1003.001, T1003.003, T1027, T1027.002, T1036, T1053.005, T1134.004, T1140, T1179, T1190, have more...
IOCs:
File: 2
Hash: 1
Soft:
Microsoft Exchange, Openfire, GeoServer, Apache Shiro, BIG-IP, Zimbra, AnyConnect, Event Tracing for Windows, Active Directory
02-07-2026
SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework
https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework
Report completeness: Medium
Actors/Campaigns:
Strikeshark
Threats:
Cobalt_strike_tool
Sharkloader
Dll_sideloading_technique
Dll_hijacking_technique
Victims:
Government related organizations, Diplomatic entities, Software development companies
Industry:
Software_development, Government
Geo:
Asia, Latin america, Middle east
ChatGPT TTPs:
do not use without manual checkT1003.001, T1003.003, T1027, T1027.002, T1036, T1053.005, T1134.004, T1140, T1179, T1190, have more...
IOCs:
File: 2
Hash: 1
Soft:
Microsoft Exchange, Openfire, GeoServer, Apache Shiro, BIG-IP, Zimbra, AnyConnect, Event Tracing for Windows, Active Directory
blog.polyswarm.io
SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework
Researchers have identified a previously undocumented malware loader named SharkLoader, used by an intrusion cluster tracked as StrikeShark to deploy Cobalt Strike Beacon against organizations across multiple countries and industries.