CTT Report Hub
3.4K subscribers
9.61K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
04-07-2026

Microsoft Store Apps + Go Backconnect Proxyware Part 2

https://blog.lukeacha.com/2026/07/microsoft-store-apps-go-backconnect.html

Report completeness: Low

Threats:
Baoloader
Solarmarker
Bondat
Donut
Emotet
Tamperedchef
Justaskjacky
Purerat
Quasar_rat
Recipelister
Seo_poisoning_technique
Steganography_technique

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Domain: 3

Soft:
Microsoft Store, electron, Jupyter

Algorithms:
xor

Languages:
rust, javascript

Links:
https://github.com/securitymagic/yara/tree/main/proxyware
#ParsedReport #CompletenessHigh
03-07-2026

Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft

https://ransom-isac.org/blog/kali365-phaas-oauth-device-code-phishing/

Report completeness: High

Threats:
Device_code_phishing_technique
Kali365_tool
Octopus
Aitm_technique

Victims:
Microsoft 365 users, Max messenger users, Russian speaking users

Industry:
Entertainment, E-commerce, Iot, Media

Geo:
Germany, Russian, Berlin, American, Russia

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1078.004, T1185, T1539, T1550.001, T1566, T1567, T1583.001, T1583.003, T1583.006, T1589.002, have more...

IOCs:
Domain: 47
File: 24
Url: 6
IP: 11
Coin: 3
Hash: 9

Soft:
Telegram, Outlook, Microsoft Office, macOS, Electron, elegram, a, Linux, Linux Firefox, Microsoft Entra, Azure AD, have more...

Wallets:
tron

Crypto:
monero, litecoin, bitcoin

Algorithms:
md5

Functions:
exchangeTokenInBrowser, generateCookieScript, URL

Win API:
RUN, V, Request

Languages:
typescript

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 03-07-2026 Kali365 PhaaS Kit: OAuth Device-Code Phishing Enables MFA-Satisfied Token Theft https://ransom-isac.org/blog/kali365-phaas-oauth-device-code-phishing/ Report completeness: High Threats: Device_code_phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kali365 (K365) — это платформа Фишинг как услуга, нацеленная на учетные записи Microsoft 365 с использованием фишинга через OAuth device-code, опирающегося на фреймворк авторизации устройств OAuth 2.0. Она позволяет злоумышленникам красть refresh-токены, обманом заставляя жертв одобрять несанкционированные сеансы через легитимный интерфейс Microsoft, что обеспечивает сохранение доступа даже после настройки MFA. Инструмент оператора kali365.exe позволяет легко извлекать и повторно использовать токены, при этом платформа постоянно развивается для улучшения своих фишинговых техник и расширения охвата, включая нацеливание на русскоязычных пользователей.
-----

Kali365 (K365) — это платформа Фишинг как услуга (PhaaS), работающая с апреля 2026 года, в первую очередь предназначенная для атак на учетные записи Microsoft 365 с использованием инновационной техники атаки, известной как фишинг с использованием OAuth device-code. Система, которая была реверс-инжинирингом, использует легитимный фреймворк авторизации устройств OAuth 2.0 (RFC 8628) для того, чтобы заставить жертв одобрить несанкционированные сессии, тем самым позволяя злоумышленникам красть долгоживущие refresh-токены без необходимости обхода многофакторной аутентификации (MFA). ВПО использует настоящий интерфейс входа Microsoft, обманывая пользователей, чтобы они ввели пользовательский код, который злоумышленник предварительно инициировал.

Клиентское приложение оператора Kali365, идентифицируемое как kali365.exe, функционирует как инструмент управления для операторов, которые могут получать доступ к украденным учетным записям для извлечения токенов и взаимодействия со службами жертв, такими как Outlook или Admin Center, одним нажатием. Оно подключается к бэкенд-инфраструктуре, где хранятся захваченные токены, позволяя их повторно использовать, тем самым поддерживая атаку даже спустя недели. Эта возможность служит ярким напоминанием о том, как MFA может стать неэффективной, когда Кража токена происходит после аутентификации.

Вектор атаки начинается с того, что оператор инициирует запрос на авторизацию кода устройства у Microsoft, используя легитимный, захардкоженный идентификатор клиента Microsoft. Жертве отображается пользовательский код и URI для проверки, после чего жертва вводит в заблуждение и перенаправляется на легитимную страницу входа в Azure для устройств, где она авторизует сеанс, в результате чего атакующему напрямую выдается токен обновления. Этот токен сохраняется вместе с информацией о жертве для будущего использования, оставаясь действительным при смене учетных данных и изменении настроек многофакторной аутентификации (MFA).

Рыночные операции Kali365 включают не только доступ к их фишинговому инструментарию за подписку, но и параллельную экономику лидов, в которой продаются украденные OAuth-токены. Платформа имеет широкое присутствие в Телеграм и постоянно эволюционирует, оптимизируя свои функции для удобной настройки фишинговых приманок и управления целями. Архитектура вредоносного ПО, построенная с использованием Electron и упакованная с помощью NSIS, отражает цикл быстрой итерации, позволяя улучшать методы в ходе последовательных сборок.

Кроме того, эта фишинговая кампания расширилась и нацелилась на русскоязычных пользователей через такие платформы, как мессенджер MAX, что указывает на универсальность Kali365 в использовании различных рекламных тем и применении тактик социальной инженерии для захвата учетных данных. В отчете подробно описаны несколько индикаторов компрометации (IOCs), касающихся инфраструктуры кампании, которые защитники могут использовать для мониторинга активности и укрепления защиты от этой сложной фишинговой операции. В целом, Kali365 представляет собой значительную угрозу благодаря своему мощному фреймворку, позволяющему киберпреступникам эффективно выполнять фишинговые атаки под видом законных процессов.
#ParsedReport #CompletenessMedium
03-07-2026

Kairos Ransomware: Data-Extortion Case Study Involving a U.S. Government Entity

https://ransom-isac.org/blog/kairos-ransomware-data-extortion-case-study/

Report completeness: Medium

Actors/Campaigns:
Lockbitsupp

Threats:
Kairos
Lockbit
Cobalt_strike_tool

Victims:
Government, Public sector

Industry:
Financial, Government

Geo:
Russian, Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1039, T1083, T1110

IOCs:
File: 12
Coin: 9
Url: 6
Domain: 10
Email: 1
IP: 1

Soft:
NGINX

Wallets:
bybit

Crypto:
bitcoin, binance

Win API:
You, We, But, How, Do, What, Your, Youve, Making, Our, have more...
CTT Report Hub
#ParsedReport #CompletenessMedium 03-07-2026 Kairos Ransomware: Data-Extortion Case Study Involving a U.S. Government Entity https://ransom-isac.org/blog/kairos-ransomware-data-extortion-case-study/ Report completeness: Medium Actors/Campaigns: Lockbitsupp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с вымогательским ПО Kairos включал выплату $1 млн американским государственным органом после угрозы экстренной утечки данных. Kairos получил доступ к более чем 2 ТБ конфиденциальных данных посредством брутфорс-атаки, сосредоточившись на вымогательстве, а не на шифровании, используя тактики переговоров для давления на жертву и создания иллюзии сотрудничества. Хотя не было обнаружено образцов ВПО, связанных с Kairos, выкуп был распределён между несколькими кошельками криптовалют, что усложнило атрибуцию, но предоставило направления для текущих расследований.
-----

Отчет об инциденте с программой-вымогателем Kairos, затронувшем государственную структуру США, сосредоточен на значительной выплате выкупа в размере 1 миллиона долларов, совершенной в ответ на угрозу шантажа с использованием данных. Kairos, злоумышленник, чья классификация в качестве подтвержденной группы программ-вымогателей остается неопределенной, якобы получил доступ к более чем 2 ТБ конфиденциальных данных, включая примерно 1,6 миллиона файлов. Изначально требуя 3 миллиона долларов, сумма выкупа была снижена в результате нескольких предложений со стороны пострадавшей организации, которые варьировались от 100 000 до 430 000 долларов, прежде чем стороны пришли к согласию по окончательной сумме в условиях временных ограничений, установленных Kairos.

По сообщениям, Kairos получил доступ с помощью атаки брутфорс по учетным данным. В отличие от традиционных злоумышленников, использующих шифрование, метод Kairos был сосредоточен на вымогательстве данных и использовании угроз публичного раскрытия, связанных с этими данными. Важной частью их стратегии атаки стали психологически мотивированные тактики переговоров, включавшие строгие дедлайны и поэтапные уступки, которые создавали иллюзию сотрудничества, обеспечивая при этом крупное выкуп

В стенограмме переговоров видно, что Kairos поддерживал быстрое время отклика, что указывает на активно мониторимый канал связи, и применял ряд тактик давления, включая упоминание конфиденциальных файлов для усиления репутационных рисков для жертвы. Несмотря на оплату со стороны жертвы, доказательства, подтверждающие заявления Kairos об удалении данных, не имели технической верифицируемости. Представленное доказательство удаления указывало лишь на выборочный подход и не подтверждало уничтожение исходных данных.

С точки зрения платежей выкуп был распределен между несколькими кошельками, связанными с криптобиржами, такими как ByBit, OKX и BELQI. Эта сложная схема платежей не позволяет напрямую связать действия с конкретными операторами, но предоставляет важные зацепки для продолжающихся расследований деятельности группы. Примечательно, что образцы ВПО или бинарные файлы шифровальщика не были четко связаны с Kairos, что дополнительно подчеркивает, что их тактика основана на вымогательстве, а не на традиционных механизмах работы шифровальщиков.

Инцидент подчеркивает уязвимости в готовности организаций к сценариям вымогательства данных, особенно среди государственных структур. В отчете обращается внимание на необходимость заранее установленных рамок для переговоров, путей эскалации и надежных практик мониторинга для эффективного реагирования на такие кризисы. Кроме того, хотя оперативные возможности Kairos, по-видимому, снижены после действий украинских правоохранительных органов, потенциал продолжения деятельности сохраняется, при этом данные о перемещениях в блокчейне служат важными инструментами расследования.
#ParsedReport #CompletenessHigh
02-07-2026

Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities

https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/

Report completeness: High

Threats:
Avalon
Crownx
Credential_harvesting_technique
Shadow_copies_delete_technique
Tartarusgate_tool

Victims:
Software development, Engineering, Data storage, Virtual infrastructure, Business operations, Creative sector, Backup platforms, Information technology infrastructure

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1018, T1021.002, T1021.003, T1027, T1027.010, T1036.007, T1041, T1047, T1053.005, have more...

IOCs:
File: 27
Domain: 1
Command: 1
Url: 1
Coin: 1
Hash: 5

Soft:
Microsoft Edge, NET Framework, Event Tracing for Windows, Microsoft Defender, Chromium, Firefox, Ledger Live, Discord, Discord Canary, Slack, have more...

Wallets:
metamask, coinbase, exodus_wallet, electrum, atomicwallet, bitcoincore

Crypto:
bitcoin

Algorithms:
zip, base64, aes-gcm, xor, aes

Win API:
EtwEventWrite, EtwEventWriteEx, EtwEventWriteFull, EtwEventWriteTransfer, EtwEventWriteString, EtwNotificationRegister, NtTraceEvent, AmsiScanBuffer, AddVectoredExceptionHandler, GetThreadContext, have more...

Win Services:
WebClient

Languages:
powershell

Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 Vibe Coded Extortion: Avalon’s Path from Legal Lure to CrownX Ransom Capabilities https://blackpointcyber.com/blog/avalons-path-from-legal-lure-to-crownx-ransom-capabilities/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фреймворк ВПО Avalon интегрирует возможности шифрования файлов, кражи учетных данных и перемещения внутри компании, используя многоэтапный метод доставки через фишинг. Он развертывает сложное ISO-изображение внутри архива, защищенного паролем, запуская вредоносную активность при выполнении. Компонент шифрования CrownX шифрует файлы с использованием AES, делая упор на противодействие криминалистике и эксфильтрацию конфиденциальных данных через сложные коммуникации C2, что демонстрирует продвинутую способность избегать обнаружения и надежное оперативное планирование со стороны злоумышленников.
-----

Недавно раскрытая фреймворк ВПО под названием Avalon представляет собой значительную эволюцию в киберугрозах, особенно из-за его интеграции с программным обеспечением для вымогательства и обширными возможностями кражи учетных данных и перемещения внутри компании. Выявленный группой Adversary Pursuit Group компании Blackpoint, Avalon использует сложный многоэтапный метод фишинговой доставки, начиная атаки с писем, которые выглядят как законные юридические документы. Получатели направляются к архиву, защищенному паролем, на Proton Drive, который скрывает вредоносные части, находящиеся внутри образа ISO, тем самым избегая стандартных средств защиты электронной почты.

При запуске ISO-образа пользователи невольно запускают сложную последовательность вредоносных действий без какого-либо обычного исполняемого файла, прикрепленного к первоначальным сообщениям. Надежный функционал Avalon включает сбор учетных данных из различных приложений, меры противодействия форензике и возможности шифровальщика, причем компонент шифровальщика получил название CrownX. Такая интеграция позволяет одному скомпрометированному узлу инициировать масштабные операционные сбои в инфраструктуре организации.

Дизайн Avalon предполагает использование искусственного интеллекта для ускорения разработки, что снижает порог входа для злоумышленников при развертывании сложного и модульного ВПО. Он функционирует как центральный оркестратор, способный выполнять сбор учетных записей, устанавливать каналы управления (C2) и готовиться к перемещению внутри компании для захвата дополнительных систем в сети. ВПО взаимодействует через HTTPS, используя User-Agent, похожий на браузерный, и применяет собственные методы для обхода мер безопасности, включая манипуляции с классовой маршрутизацией между доменами (CIDR) и использование различных публичных API-запросов.

С точки зрения оперативных тактик, Avalon фокусируется на проверке подлинности учетных данных и их сборе путем доступа к широкому спектру приложений и системной информации, включая браузеры, платформы обмена сообщениями, профили VPN и даже криптовалютные кошельки. Это позволяет захватывать множество типов конфиденциальных данных, которые затем эксфильтруются обратно злоумышленнику через сложные механизмы связи C2, обеспечивающие маскировку трафика под легитимный.

CrownX, являясь компонентом шифрования фреймворка, осуществляет шифрование файлов с использованием AES в режиме Galois/Counter Mode через API Windows Cryptography Next Generation. Этот сложный процесс шифрования позволяет структурированно обрабатывать данные и гарантирует, что затронутые файлы могут быть восстановлены только с использованием уникального ключа. Кроме того, ransomware использует различные методы для отображения вымогательских записок, обеспечивая высокую вероятность того, что жертвы увидят требования выкупа после атаки.

В сочетании с функциями отключения и повреждения теневых копий тома (VSS) для обеспечения минимальных шансов на восстановление, Avalon делает пост-интрузивное восстановление значительно более сложным. Также интегрирована подсистема анти-криминалистический анализ очистки, предназначенная для устранения следов атаки с целью затруднения расследований, что демонстрирует тщательную подготовку для поддержания оперативной секретности после нарушения.
#ParsedReport #CompletenessMedium
02-07-2026

SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework

https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework

Report completeness: Medium

Actors/Campaigns:
Strikeshark

Threats:
Cobalt_strike_tool
Sharkloader
Dll_sideloading_technique
Dll_hijacking_technique

Victims:
Government related organizations, Diplomatic entities, Software development companies

Industry:
Software_development, Government

Geo:
Asia, Latin america, Middle east

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.003, T1027, T1027.002, T1036, T1053.005, T1134.004, T1140, T1179, T1190, have more...

IOCs:
File: 2
Hash: 1

Soft:
Microsoft Exchange, Openfire, GeoServer, Apache Shiro, BIG-IP, Zimbra, AnyConnect, Event Tracing for Windows, Active Directory
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework Report completeness: Medium Actors/Campaigns: Strikeshark…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon в различных секторах по всему миру. ВПО использует многоэтапный процесс доставки, эксплуатируя уязвимости в таких приложениях, как Microsoft Exchange и Fortinet, маскируя пользовательские дропперы под легитимное программное обеспечение. Оно применяет передовые техники, включая отражательную загрузку, перехват API и загрузку DLL-библиотек, чтобы минимизировать обнаружение при выполнении вредоносного кода в памяти, а также механизмы закрепления, такие как запланированные задачи и модификации реестра, для обеспечения непрерывной работы.
-----

SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon.

Он нацелен на сектора, включая государственные, дипломатические и программные компании в Азии, Европе, на Ближнем Востоке и в Латинской Америке.

Загрузчик выполняет многоэтапный процесс, используя уязвимости в приложениях, обращенных к интернету, и пользовательских дропперах.

Использованные уязвимости включают те, что обнаружены в Microsoft Exchange, SharePoint и Fortinet.

Собственные загрузчики маскируются под легитимные приложения, такие как Cisco AnyConnect и Google Update.

SharkLoader использует многослойное шифрование, отражённую загрузку и перехват API для выполнения в памяти, что снижает цифровой след.

Он использует тактики подгрузки DLL, включая внедрение вредоносной DLL (SystemSettings.dll) через SystemSettings.exe.

ВПО использует технику идеальной подмены DLL для обхода ограничений загрузчика Windows.

Хукинг API используется для сокрытия активности от механизмов мониторинга путём модификации системных вызовов во время выполнения.

Механизмы закрепления включают запланированные задачи каждые пять минут и изменения в ключах реестра Run.

Действия после начальной компрометации включают разведку системы, кражу учетных данных и перемещение внутри компании с использованием Cobalt Strike и других инструментов.

Нет конкретных доказательств эксфильтрации данных, несмотря на зафиксированные активности, связанные с разведкой и сбором учетных записей.

Операторы могут быть носителями китайского языка, однако атрибуция выполняется с осторожностью из-за отсутствия неопровержимых связей с другими злоумышленниками.

SharkLoader представляет собой тенденцию к созданию сложных загрузчиков вредоносного ПО, которые используют общедоступные уязвимости.

Организациям рекомендуется приоритизировать установку исправлений для уязвимых приложений и осуществлять мониторинг подозрительного боковой загрузки DLL и выполнения вредоносного программного обеспечения в памяти.

Применение поведенческого анализа и передовых систем обнаружения может помочь снизить риски, связанные с такими эволюционирующими угрозами.
#ParsedReport #CompletenessHigh
02-07-2026

TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques

https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion

Report completeness: High

Threats:
Timbrestealer
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Companies, Organizations

Industry:
Financial

Geo:
Russian, Mexican, Mexico

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.001, T1027.007, T1036.005, T1114.001, T1217, T1480.001, T1497.001, T1566.002, have more...

IOCs:
Url: 1
File: 4
IP: 1

Soft:
Mozilla Firefox, Postbox, Firefox, Dropbox, Google Chrome, Google Chrome SxS, Microsoft Edge, PostboxApp, Mozilla Thunderbird

Algorithms:
rc4, zip

Functions:
GetModuleHandle

Win API:
ExitProcess, GetSystemDefaultUILanguage, GetTimeZoneInformation, CreateToolhelp32Snapshot, Module32FirstW, Module32NextW, OpenSCManagerW, FindWindowW, SwitchToThisWindow, CryptAcquireContextW, have more...

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TimbreStealer — это продвинутое ВПО, нацеленное на мексиканские компании, использующее техники DLL Side-Loading для маскировки крупных вредоносных DLL-файлов как легитимных компонентов обновлений Microsoft. Оно распространяется через фишинговые схемы с использованием ZIP-архивов, связанных с мексиканской системой электронного инвойсинга. ВПО проводит географические проверки, активируя свой полезный груз только при запуске в пределах назначенных мексиканских часовых поясов, и агрессивно собирает конфиденциальную информацию из браузеров и почтовых приложений, демонстрируя свою ориентацию на кражу данных.
-----

TimbreStealer — это сложное ВПО, преимущественно нацеленное на компании в Мексике, характеризующееся передовыми техниками уклонения, усложняющими обнаружение и анализ. Кампания ВПО, выявленная благодаря телеметрии WatchGuard и детальному исследованию Эйлера Нету и Кристибаля Тарраги, использует тактики, напоминающие более ранние атаки, задокументированные Cisco Talos. Заметным методом, применяемым здесь, является DLL Side-Loading, при котором крупные вредоносные DLL-файлы размером от 45 до 50 МБ маскируются под легитимные компоненты обновления Windows, такие как EdgeUpdate или GoogleUpdater, которые обычно имеют размер менее 500 КБ.

Первоначальный вектор заражения представляет собой схему фишинга, которая доставляет ZIP-файл через URL-адреса, размещенные на DigitalOcean, с прямым доступом по их IP-адресам. Эти ZIP-файлы содержат имена файлов, связанные с мексиканской системой электронного инвойсинга (CFDI), что манипулирует контекстом, знакомым целевой аудитории. Вредоносные DLL-файлы разработаны для динамической загрузки и обхода традиционных механизмов обнаружения, учитывая их размер и методы обфускации. После запуска ВПО анализирует среду на наличие определенных условий, таких как проверка того, выполняется ли программа в назначенных часовых поясах, связанных с Мексикой, используя проверки, такие как `GetTimeZoneInformation`.

Анализ DLL выявляет структуру с 27 секциями, из которых только пять заполнены содержимым, что указывает на манипуляцию выделенными пространствами памяти в злонамеренных целях. Функциональность DLL сосредоточена вокруг главной точки входа, которая выполняет действия без использования типичных методов идентификации загруженных модулей. В плане сбора данных TimbreStealer агрессивно собирает информацию из браузеров, включая Mozilla Firefox, и почтовых приложений, таких как Thunderbird и Postbox, с целью извлечения конфиденциальных пользовательских данных, которые могут способствовать дальнейшим финансовым мошенничествам или компрометации учетных записей.

Отличительной особенностью этой кампании является условное выполнение вредоносного кода на основе географических проверок; если доступ не осуществляется из Мексики, предоставляется безобидный пустой PDF-файл, что демонстрирует возможности географического ограничения (геофенсинга). В целом, TimbreStealer является примером целевой операции по краже информации, которая интегрирует социальную инженерию, специфичную для определенного региона, надежные методы обфускации и четкую ориентацию на извлечение критически важных данных из окружения жертв.

Для защитников в сфере кибербезопасности эта кампания подчеркивает эффективность целевого фишинга в сочетании с легитимной инфраструктурой при развертывании ВПО, призывая организации сохранять бдительность в отношении подозрительных ZIP-файлов, необычных характеристик DLL и неожиданных поведений приложений, особенно в контексте облачных ресурсов. Сложная природа TimbreStealer подчеркивает необходимость повышения осведомленности и проактивного мониторинга в организациях, особенно тех, которые работают на мексиканском рынке или подвержены его влиянию.
#ParsedReport #CompletenessMedium
30-06-2026

From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks

https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/

Report completeness: Medium

Threats:
Citrix_bleed_vuln
Cloudflared_tool
Anubis
Zoho_assist_tool
Screenconnect_tool
Meshagent_tool
Ultra_vnc_tool
Sphinx
Mremoteng_tool
Mimikatz_tool
Rclone_tool
S5cmd_tool
Putty_tool
Pchunter_tool
Netscan_tool
Lolbin_technique

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)


TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 3
File: 23
Domain: 3
Url: 1

Soft:
Remote Desktop Services, AnyConnect, PsExec, Hyper-V, S3 Browser, Linux, rsync, sudo, curl, Chrome, have more...

Algorithms:
zip, ed25519

Win API:
MSI

Languages:
powershell

Platforms:
x64

Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/anubis-citrixbleed2-to-cloudflared