CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 SharkLoader Emerges as Stealthy Cobalt Strike Delivery Framework https://blog.polyswarm.io/sharkloader-emerges-as-stealthy-cobalt-strike-delivery-framework Report completeness: Medium Actors/Campaigns: Strikeshark…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon в различных секторах по всему миру. ВПО использует многоэтапный процесс доставки, эксплуатируя уязвимости в таких приложениях, как Microsoft Exchange и Fortinet, маскируя пользовательские дропперы под легитимное программное обеспечение. Оно применяет передовые техники, включая отражательную загрузку, перехват API и загрузку DLL-библиотек, чтобы минимизировать обнаружение при выполнении вредоносного кода в памяти, а также механизмы закрепления, такие как запланированные задачи и модификации реестра, для обеспечения непрерывной работы.
-----
SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon.
Он нацелен на сектора, включая государственные, дипломатические и программные компании в Азии, Европе, на Ближнем Востоке и в Латинской Америке.
Загрузчик выполняет многоэтапный процесс, используя уязвимости в приложениях, обращенных к интернету, и пользовательских дропперах.
Использованные уязвимости включают те, что обнаружены в Microsoft Exchange, SharePoint и Fortinet.
Собственные загрузчики маскируются под легитимные приложения, такие как Cisco AnyConnect и Google Update.
SharkLoader использует многослойное шифрование, отражённую загрузку и перехват API для выполнения в памяти, что снижает цифровой след.
Он использует тактики подгрузки DLL, включая внедрение вредоносной DLL (SystemSettings.dll) через SystemSettings.exe.
ВПО использует технику идеальной подмены DLL для обхода ограничений загрузчика Windows.
Хукинг API используется для сокрытия активности от механизмов мониторинга путём модификации системных вызовов во время выполнения.
Механизмы закрепления включают запланированные задачи каждые пять минут и изменения в ключах реестра Run.
Действия после начальной компрометации включают разведку системы, кражу учетных данных и перемещение внутри компании с использованием Cobalt Strike и других инструментов.
Нет конкретных доказательств эксфильтрации данных, несмотря на зафиксированные активности, связанные с разведкой и сбором учетных записей.
Операторы могут быть носителями китайского языка, однако атрибуция выполняется с осторожностью из-за отсутствия неопровержимых связей с другими злоумышленниками.
SharkLoader представляет собой тенденцию к созданию сложных загрузчиков вредоносного ПО, которые используют общедоступные уязвимости.
Организациям рекомендуется приоритизировать установку исправлений для уязвимых приложений и осуществлять мониторинг подозрительного боковой загрузки DLL и выполнения вредоносного программного обеспечения в памяти.
Применение поведенческого анализа и передовых систем обнаружения может помочь снизить риски, связанные с такими эволюционирующими угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon в различных секторах по всему миру. ВПО использует многоэтапный процесс доставки, эксплуатируя уязвимости в таких приложениях, как Microsoft Exchange и Fortinet, маскируя пользовательские дропперы под легитимное программное обеспечение. Оно применяет передовые техники, включая отражательную загрузку, перехват API и загрузку DLL-библиотек, чтобы минимизировать обнаружение при выполнении вредоносного кода в памяти, а также механизмы закрепления, такие как запланированные задачи и модификации реестра, для обеспечения непрерывной работы.
-----
SharkLoader — это загрузчик ВПО, используемый коллективом злоумышленников StrikeShark для развертывания Cobalt Strike Beacon.
Он нацелен на сектора, включая государственные, дипломатические и программные компании в Азии, Европе, на Ближнем Востоке и в Латинской Америке.
Загрузчик выполняет многоэтапный процесс, используя уязвимости в приложениях, обращенных к интернету, и пользовательских дропперах.
Использованные уязвимости включают те, что обнаружены в Microsoft Exchange, SharePoint и Fortinet.
Собственные загрузчики маскируются под легитимные приложения, такие как Cisco AnyConnect и Google Update.
SharkLoader использует многослойное шифрование, отражённую загрузку и перехват API для выполнения в памяти, что снижает цифровой след.
Он использует тактики подгрузки DLL, включая внедрение вредоносной DLL (SystemSettings.dll) через SystemSettings.exe.
ВПО использует технику идеальной подмены DLL для обхода ограничений загрузчика Windows.
Хукинг API используется для сокрытия активности от механизмов мониторинга путём модификации системных вызовов во время выполнения.
Механизмы закрепления включают запланированные задачи каждые пять минут и изменения в ключах реестра Run.
Действия после начальной компрометации включают разведку системы, кражу учетных данных и перемещение внутри компании с использованием Cobalt Strike и других инструментов.
Нет конкретных доказательств эксфильтрации данных, несмотря на зафиксированные активности, связанные с разведкой и сбором учетных записей.
Операторы могут быть носителями китайского языка, однако атрибуция выполняется с осторожностью из-за отсутствия неопровержимых связей с другими злоумышленниками.
SharkLoader представляет собой тенденцию к созданию сложных загрузчиков вредоносного ПО, которые используют общедоступные уязвимости.
Организациям рекомендуется приоритизировать установку исправлений для уязвимых приложений и осуществлять мониторинг подозрительного боковой загрузки DLL и выполнения вредоносного программного обеспечения в памяти.
Применение поведенческого анализа и передовых систем обнаружения может помочь снизить риски, связанные с такими эволюционирующими угрозами.
#ParsedReport #CompletenessHigh
02-07-2026
TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques
https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion
Report completeness: High
Threats:
Timbrestealer
Dll_sideloading_technique
Spear-phishing_technique
Victims:
Companies, Organizations
Industry:
Financial
Geo:
Russian, Mexican, Mexico
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1027.001, T1027.007, T1036.005, T1114.001, T1217, T1480.001, T1497.001, T1566.002, have more...
IOCs:
Url: 1
File: 4
IP: 1
Soft:
Mozilla Firefox, Postbox, Firefox, Dropbox, Google Chrome, Google Chrome SxS, Microsoft Edge, PostboxApp, Mozilla Thunderbird
Algorithms:
rc4, zip
Functions:
GetModuleHandle
Win API:
ExitProcess, GetSystemDefaultUILanguage, GetTimeZoneInformation, CreateToolhelp32Snapshot, Module32FirstW, Module32NextW, OpenSCManagerW, FindWindowW, SwitchToThisWindow, CryptAcquireContextW, have more...
Platforms:
x86
02-07-2026
TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques
https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion
Report completeness: High
Threats:
Timbrestealer
Dll_sideloading_technique
Spear-phishing_technique
Victims:
Companies, Organizations
Industry:
Financial
Geo:
Russian, Mexican, Mexico
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1027.001, T1027.007, T1036.005, T1114.001, T1217, T1480.001, T1497.001, T1566.002, have more...
IOCs:
Url: 1
File: 4
IP: 1
Soft:
Mozilla Firefox, Postbox, Firefox, Dropbox, Google Chrome, Google Chrome SxS, Microsoft Edge, PostboxApp, Mozilla Thunderbird
Algorithms:
rc4, zip
Functions:
GetModuleHandle
Win API:
ExitProcess, GetSystemDefaultUILanguage, GetTimeZoneInformation, CreateToolhelp32Snapshot, Module32FirstW, Module32NextW, OpenSCManagerW, FindWindowW, SwitchToThisWindow, CryptAcquireContextW, have more...
Platforms:
x86
Watchguard
TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques
WatchGuard telemetry identified a campaign associated to TimbreStealer, which is known to target companies based in Mexico.
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 TimbreStealer Malware Targets Mexico Companies with Advanced Evasion Techniques https://www.watchguard.com/wgrd-security-hub/secplicity-blog/timbrestealer-malware-targets-mexico-companies-advanced-evasion Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TimbreStealer — это продвинутое ВПО, нацеленное на мексиканские компании, использующее техники DLL Side-Loading для маскировки крупных вредоносных DLL-файлов как легитимных компонентов обновлений Microsoft. Оно распространяется через фишинговые схемы с использованием ZIP-архивов, связанных с мексиканской системой электронного инвойсинга. ВПО проводит географические проверки, активируя свой полезный груз только при запуске в пределах назначенных мексиканских часовых поясов, и агрессивно собирает конфиденциальную информацию из браузеров и почтовых приложений, демонстрируя свою ориентацию на кражу данных.
-----
TimbreStealer — это сложное ВПО, преимущественно нацеленное на компании в Мексике, характеризующееся передовыми техниками уклонения, усложняющими обнаружение и анализ. Кампания ВПО, выявленная благодаря телеметрии WatchGuard и детальному исследованию Эйлера Нету и Кристибаля Тарраги, использует тактики, напоминающие более ранние атаки, задокументированные Cisco Talos. Заметным методом, применяемым здесь, является DLL Side-Loading, при котором крупные вредоносные DLL-файлы размером от 45 до 50 МБ маскируются под легитимные компоненты обновления Windows, такие как EdgeUpdate или GoogleUpdater, которые обычно имеют размер менее 500 КБ.
Первоначальный вектор заражения представляет собой схему фишинга, которая доставляет ZIP-файл через URL-адреса, размещенные на DigitalOcean, с прямым доступом по их IP-адресам. Эти ZIP-файлы содержат имена файлов, связанные с мексиканской системой электронного инвойсинга (CFDI), что манипулирует контекстом, знакомым целевой аудитории. Вредоносные DLL-файлы разработаны для динамической загрузки и обхода традиционных механизмов обнаружения, учитывая их размер и методы обфускации. После запуска ВПО анализирует среду на наличие определенных условий, таких как проверка того, выполняется ли программа в назначенных часовых поясах, связанных с Мексикой, используя проверки, такие как `GetTimeZoneInformation`.
Анализ DLL выявляет структуру с 27 секциями, из которых только пять заполнены содержимым, что указывает на манипуляцию выделенными пространствами памяти в злонамеренных целях. Функциональность DLL сосредоточена вокруг главной точки входа, которая выполняет действия без использования типичных методов идентификации загруженных модулей. В плане сбора данных TimbreStealer агрессивно собирает информацию из браузеров, включая Mozilla Firefox, и почтовых приложений, таких как Thunderbird и Postbox, с целью извлечения конфиденциальных пользовательских данных, которые могут способствовать дальнейшим финансовым мошенничествам или компрометации учетных записей.
Отличительной особенностью этой кампании является условное выполнение вредоносного кода на основе географических проверок; если доступ не осуществляется из Мексики, предоставляется безобидный пустой PDF-файл, что демонстрирует возможности географического ограничения (геофенсинга). В целом, TimbreStealer является примером целевой операции по краже информации, которая интегрирует социальную инженерию, специфичную для определенного региона, надежные методы обфускации и четкую ориентацию на извлечение критически важных данных из окружения жертв.
Для защитников в сфере кибербезопасности эта кампания подчеркивает эффективность целевого фишинга в сочетании с легитимной инфраструктурой при развертывании ВПО, призывая организации сохранять бдительность в отношении подозрительных ZIP-файлов, необычных характеристик DLL и неожиданных поведений приложений, особенно в контексте облачных ресурсов. Сложная природа TimbreStealer подчеркивает необходимость повышения осведомленности и проактивного мониторинга в организациях, особенно тех, которые работают на мексиканском рынке или подвержены его влиянию.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TimbreStealer — это продвинутое ВПО, нацеленное на мексиканские компании, использующее техники DLL Side-Loading для маскировки крупных вредоносных DLL-файлов как легитимных компонентов обновлений Microsoft. Оно распространяется через фишинговые схемы с использованием ZIP-архивов, связанных с мексиканской системой электронного инвойсинга. ВПО проводит географические проверки, активируя свой полезный груз только при запуске в пределах назначенных мексиканских часовых поясов, и агрессивно собирает конфиденциальную информацию из браузеров и почтовых приложений, демонстрируя свою ориентацию на кражу данных.
-----
TimbreStealer — это сложное ВПО, преимущественно нацеленное на компании в Мексике, характеризующееся передовыми техниками уклонения, усложняющими обнаружение и анализ. Кампания ВПО, выявленная благодаря телеметрии WatchGuard и детальному исследованию Эйлера Нету и Кристибаля Тарраги, использует тактики, напоминающие более ранние атаки, задокументированные Cisco Talos. Заметным методом, применяемым здесь, является DLL Side-Loading, при котором крупные вредоносные DLL-файлы размером от 45 до 50 МБ маскируются под легитимные компоненты обновления Windows, такие как EdgeUpdate или GoogleUpdater, которые обычно имеют размер менее 500 КБ.
Первоначальный вектор заражения представляет собой схему фишинга, которая доставляет ZIP-файл через URL-адреса, размещенные на DigitalOcean, с прямым доступом по их IP-адресам. Эти ZIP-файлы содержат имена файлов, связанные с мексиканской системой электронного инвойсинга (CFDI), что манипулирует контекстом, знакомым целевой аудитории. Вредоносные DLL-файлы разработаны для динамической загрузки и обхода традиционных механизмов обнаружения, учитывая их размер и методы обфускации. После запуска ВПО анализирует среду на наличие определенных условий, таких как проверка того, выполняется ли программа в назначенных часовых поясах, связанных с Мексикой, используя проверки, такие как `GetTimeZoneInformation`.
Анализ DLL выявляет структуру с 27 секциями, из которых только пять заполнены содержимым, что указывает на манипуляцию выделенными пространствами памяти в злонамеренных целях. Функциональность DLL сосредоточена вокруг главной точки входа, которая выполняет действия без использования типичных методов идентификации загруженных модулей. В плане сбора данных TimbreStealer агрессивно собирает информацию из браузеров, включая Mozilla Firefox, и почтовых приложений, таких как Thunderbird и Postbox, с целью извлечения конфиденциальных пользовательских данных, которые могут способствовать дальнейшим финансовым мошенничествам или компрометации учетных записей.
Отличительной особенностью этой кампании является условное выполнение вредоносного кода на основе географических проверок; если доступ не осуществляется из Мексики, предоставляется безобидный пустой PDF-файл, что демонстрирует возможности географического ограничения (геофенсинга). В целом, TimbreStealer является примером целевой операции по краже информации, которая интегрирует социальную инженерию, специфичную для определенного региона, надежные методы обфускации и четкую ориентацию на извлечение критически важных данных из окружения жертв.
Для защитников в сфере кибербезопасности эта кампания подчеркивает эффективность целевого фишинга в сочетании с легитимной инфраструктурой при развертывании ВПО, призывая организации сохранять бдительность в отношении подозрительных ZIP-файлов, необычных характеристик DLL и неожиданных поведений приложений, особенно в контексте облачных ресурсов. Сложная природа TimbreStealer подчеркивает необходимость повышения осведомленности и проактивного мониторинга в организациях, особенно тех, которые работают на мексиканском рынке или подвержены его влиянию.
#ParsedReport #CompletenessMedium
30-06-2026
From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks
https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/
Report completeness: Medium
Threats:
Citrix_bleed_vuln
Cloudflared_tool
Anubis
Zoho_assist_tool
Screenconnect_tool
Meshagent_tool
Ultra_vnc_tool
Sphinx
Mremoteng_tool
Mimikatz_tool
Rclone_tool
S5cmd_tool
Putty_tool
Pchunter_tool
Netscan_tool
Lolbin_technique
CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)
TTPs:
Tactics: 5
Technics: 0
IOCs:
IP: 3
File: 23
Domain: 3
Url: 1
Soft:
Remote Desktop Services, AnyConnect, PsExec, Hyper-V, S3 Browser, Linux, rsync, sudo, curl, Chrome, have more...
Algorithms:
zip, ed25519
Win API:
MSI
Languages:
powershell
Platforms:
x64
Links:
30-06-2026
From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks
https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware-attacks/
Report completeness: Medium
Threats:
Citrix_bleed_vuln
Cloudflared_tool
Anubis
Zoho_assist_tool
Screenconnect_tool
Meshagent_tool
Ultra_vnc_tool
Sphinx
Mremoteng_tool
Mimikatz_tool
Rclone_tool
S5cmd_tool
Putty_tool
Pchunter_tool
Netscan_tool
Lolbin_technique
CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)
TTPs:
Tactics: 5
Technics: 0
IOCs:
IP: 3
File: 23
Domain: 3
Url: 1
Soft:
Remote Desktop Services, AnyConnect, PsExec, Hyper-V, S3 Browser, Linux, rsync, sudo, curl, Chrome, have more...
Algorithms:
zip, ed25519
Win API:
MSI
Languages:
powershell
Platforms:
x64
Links:
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/anubis-citrixbleed2-to-cloudflaredArctic Wolf
From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks - Arctic Wolf
In our latest investigation, Arctic Wolf provides new insight into initial access techniques in Anubis ransomware cases, including exploitation of CitrixBleed 2 (CVE-2025-5777).
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 From CitrixBleed 2 to Cloudflared: The Tools and Techniques Behind Anubis Ransomware Attacks https://arcticwolf.com/resources/blog/citrixbleed-2-to-cloudflared-the-tools-and-techniques-behind-anubis-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Arctic Wolf документирует атаки с использованием вредоносного ПО Anubis с начала 2026 года, отмечая использование действительных учетных данных VPN и эксплуатацию уязвимостей, таких как CitrixBleed 2 (CVE-2025-5777), для первоначального доступа. Злоумышленники применяют легитимные инструменты RMM для поддержания контроля над скомпрометированными системами, выполняя перемещение по сети через RDP и PsExec, а также способствуя эксфильтрации данных с помощью таких инструментов, как cloudflared. Кража учетных данных широко распространена, при этом методы включают использование Mimikatz для сбора конфиденциальных данных, что предшествует развертыванию вредоносного ПО, которое шифрует файлы с расширением .anubis.
-----
С начала 2026 года Arctic Wolf расследовала различные случаи атак с использованием вымогательского ПО Anubis, выявив заметные тактики, такие как использование действительных учетных данных VPN и эксплуатация уязвимостей, таких как CitrixBleed 2 (CVE-2025-5777), для первоначального доступа. Аффилированные лица Anubis демонстрируют разнообразное ремесло, но общие шаблоны включают использование легитимных инструментов удаленного управления и мониторинга (RMM), что позволяет им действовать под прикрытием обычных ИТ-активностей, сохраняя при этом контроль над скомпрометированными системами. Целевые объекты с высокой ценностью, включая службы удаленного рабочего стола Microsoft, контроллеры домена и устройства NAS, часто становились скомпрометированными, тем самым усиливая воздействие на операции и усложняя усилия по восстановлению.
CVE-2025-5777 — это уязвимость раскрытия памяти до аутентификации, которая может привести к перехвату сеанса и обходу MFA. Наблюдается, что злоумышленники получают доступ к скомпрометированным системам через публичные IP-адреса, связанные с провайдерами VPS, особенно во время эксплуатации легитимных VPN, таких как Cisco AnyConnect. Проникновения обычно демонстрируют использование RDP и PsExec для перемещения внутри компании, используя атипичные удаленные подключения к критической инфраструктуре, включая файловые серверы и системы резервного копирования.
Отличительной особенностью операций Anubis является развертывание различных инструментов RMM, таких как ScreenConnect, Zoho Assist и MeshAgent, для поддержания постоянного доступа. Эти инструменты позволяют злоумышленникам выполнять передачу файлов и удаленное выполнение команд, маскируясь под обычные административные действия. Также отмечались случаи использования cloudflared, когда атакующие создают исходящие туннели либо на серверах Windows, либо на устройствах NAS для облегчения эксфильтрации данных.
Кража учетных данных во время этих вторжений была широко распространена, при этом использовались такие инструменты, как Mimikatz для сбора конфиденциальной информации. Акторы Anubis также применяют инструменты облачного хранения, такие как S3 Browser и rclone, для перемещения данных, что часто свидетельствует о фазе предварительного шифрования, предшествующей развертыванию их программ-вымогателей. Кроме того, применяются стратегии обхода защиты с попытками отключения защиты конечных точек и изменения журналов безопасности, что затрудняет анализ инцидентов.
Развертывание вымогателя Anubis создает файлы с расширением .anubis и включает последовательность действий, характеризующихся подозрительным удаленным доступом, перемещением внутри компании, получением учетных данных и, в конечном итоге, выполнением вымогательского ПО. Комплексные защитные меры включают устранение уязвимостей, мониторинг несанкционированных установок инструментов RMM и поддержание изолированных резервных копий для противодействия потенциальным угрозам, создаваемым данной операцией вымогательского ПО. По мере того как Anubis продолжает развиваться, организациям рекомендуется внедрять меры, позволяющие обнаруживать и прерывать ранние индикаторы таких вторжений, чтобы снизить риски, связанные с вымогательством.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Arctic Wolf документирует атаки с использованием вредоносного ПО Anubis с начала 2026 года, отмечая использование действительных учетных данных VPN и эксплуатацию уязвимостей, таких как CitrixBleed 2 (CVE-2025-5777), для первоначального доступа. Злоумышленники применяют легитимные инструменты RMM для поддержания контроля над скомпрометированными системами, выполняя перемещение по сети через RDP и PsExec, а также способствуя эксфильтрации данных с помощью таких инструментов, как cloudflared. Кража учетных данных широко распространена, при этом методы включают использование Mimikatz для сбора конфиденциальных данных, что предшествует развертыванию вредоносного ПО, которое шифрует файлы с расширением .anubis.
-----
С начала 2026 года Arctic Wolf расследовала различные случаи атак с использованием вымогательского ПО Anubis, выявив заметные тактики, такие как использование действительных учетных данных VPN и эксплуатация уязвимостей, таких как CitrixBleed 2 (CVE-2025-5777), для первоначального доступа. Аффилированные лица Anubis демонстрируют разнообразное ремесло, но общие шаблоны включают использование легитимных инструментов удаленного управления и мониторинга (RMM), что позволяет им действовать под прикрытием обычных ИТ-активностей, сохраняя при этом контроль над скомпрометированными системами. Целевые объекты с высокой ценностью, включая службы удаленного рабочего стола Microsoft, контроллеры домена и устройства NAS, часто становились скомпрометированными, тем самым усиливая воздействие на операции и усложняя усилия по восстановлению.
CVE-2025-5777 — это уязвимость раскрытия памяти до аутентификации, которая может привести к перехвату сеанса и обходу MFA. Наблюдается, что злоумышленники получают доступ к скомпрометированным системам через публичные IP-адреса, связанные с провайдерами VPS, особенно во время эксплуатации легитимных VPN, таких как Cisco AnyConnect. Проникновения обычно демонстрируют использование RDP и PsExec для перемещения внутри компании, используя атипичные удаленные подключения к критической инфраструктуре, включая файловые серверы и системы резервного копирования.
Отличительной особенностью операций Anubis является развертывание различных инструментов RMM, таких как ScreenConnect, Zoho Assist и MeshAgent, для поддержания постоянного доступа. Эти инструменты позволяют злоумышленникам выполнять передачу файлов и удаленное выполнение команд, маскируясь под обычные административные действия. Также отмечались случаи использования cloudflared, когда атакующие создают исходящие туннели либо на серверах Windows, либо на устройствах NAS для облегчения эксфильтрации данных.
Кража учетных данных во время этих вторжений была широко распространена, при этом использовались такие инструменты, как Mimikatz для сбора конфиденциальной информации. Акторы Anubis также применяют инструменты облачного хранения, такие как S3 Browser и rclone, для перемещения данных, что часто свидетельствует о фазе предварительного шифрования, предшествующей развертыванию их программ-вымогателей. Кроме того, применяются стратегии обхода защиты с попытками отключения защиты конечных точек и изменения журналов безопасности, что затрудняет анализ инцидентов.
Развертывание вымогателя Anubis создает файлы с расширением .anubis и включает последовательность действий, характеризующихся подозрительным удаленным доступом, перемещением внутри компании, получением учетных данных и, в конечном итоге, выполнением вымогательского ПО. Комплексные защитные меры включают устранение уязвимостей, мониторинг несанкционированных установок инструментов RMM и поддержание изолированных резервных копий для противодействия потенциальным угрозам, создаваемым данной операцией вымогательского ПО. По мере того как Anubis продолжает развиваться, организациям рекомендуется внедрять меры, позволяющие обнаруживать и прерывать ранние индикаторы таких вторжений, чтобы снизить риски, связанные с вымогательством.
#ParsedReport #CompletenessLow
03-07-2026
Fake site for the Pearcleaner app is pushing a Mac stealer
https://moonlock.com/fake-pearcleaner-site-pushing-malware
Report completeness: Low
Actors/Campaigns:
Pearcleaner (motivation: cyber_criminal)
Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Seo_poisoning_technique
Victims:
Mac users, Cryptocurrency users
ChatGPT TTPs:
T1027.010, T1059.004, T1059.006, T1140, T1204.001, T1204.004, T1583.001, T1608.006, T1656
IOCs:
Domain: 2
Soft:
MacOS, curl, openssl, Android, Linux
Algorithms:
base64, zip
Languages:
python
Platforms:
cross-platform, apple
Links:
03-07-2026
Fake site for the Pearcleaner app is pushing a Mac stealer
https://moonlock.com/fake-pearcleaner-site-pushing-malware
Report completeness: Low
Actors/Campaigns:
Pearcleaner (motivation: cyber_criminal)
Threats:
Amos_stealer
Clickfix_technique
Macc_stealer
Seo_poisoning_technique
Victims:
Mac users, Cryptocurrency users
ChatGPT TTPs:
do not use without manual checkT1027.010, T1059.004, T1059.006, T1140, T1204.001, T1204.004, T1583.001, T1608.006, T1656
IOCs:
Domain: 2
Soft:
MacOS, curl, openssl, Android, Linux
Algorithms:
base64, zip
Languages:
python
Platforms:
cross-platform, apple
Links:
https://github.com/alienator88/Pearcleaner/Moonlock
Fake Pearcleaner site is pushing a Mac stealer
Criminals are using SEO poisoning to spread malware.
CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 Fake site for the Pearcleaner app is pushing a Mac stealer https://moonlock.com/fake-pearcleaner-site-pushing-malware Report completeness: Low Actors/Campaigns: Pearcleaner (motivation: cyber_criminal) Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя угроза для пользователей Mac связана с фишинговым сайтом, имитирующим легитимное приложение Pearcleaner, который распространяет ВПО-стиллер, собирающий конфиденциальные данные пользователей, включая ключи криптокошельков. ВПО перенаправляет пользователей на выполнение скрипта через терминал, обходя защиту macOS с помощью техник ClickFix, и загружает исполняемый файл Python, усложняя усилия по обнаружению за счет использования различных доменов загрузки. Кроме того, злоумышленники применили Отравление поисковой оптимизации (SEO), чтобы обеспечить высокое ранжирование мошеннического сайта в результатах поиска, создавая постоянные риски для пользователей.
-----
Недавняя киберугроза, направленная на пользователей Mac, включает в себя мошеннический сайт, имитирующий легитимное приложение Pearcleaner — бесплатный инструмент с открытым исходным кодом, широко используемый для удаления приложений. Фейковый сайт pearclearner.com, как сообщается, распространяет тип ВПО, известный как стиллер, который имитирует поведение существующего вредоносного ПО, такого как AMOS и, возможно, MacSync. Это ВПО предназначено для сбора пользовательских данных, включая конфиденциальную информацию, такую как ключи криптографических кошельков.
Пользователи, перешедшие на поддельный сайт, сообщили, что нажатие ссылки для загрузки перенаправило их на filemapleshare.com, где им предлагалось выполнить скрипт через терминал Mac с использованием тактик социальной инженерии. Скрипт использует техники ClickFix, позволяющие обойти меры безопасности macOS, предоставляя полные привилегии выполняемому коду. Закодированная в base64 команда внутри скрипта дополнительно подтверждает его вредоносный характер, направляя пользователей на скомпрометированный ресурс для загрузки ВПО.
Анализ загрузки, вес которой составлял 808 МБ и которая была упакована в zip-архив, показал, что она содержала исполняемый файл Python. Этот исполняемый файл действует как загрузчик для кроссплатформенного распространения, проверяя тип операционной системы перед выполнением дальнейших вредоносных действий. Примечательно, что использование разнообразных доменов загрузки служит тактикой уклонения, усложняя обнаружение средствами защиты.
Создатели поддельного сайта Pearcleaner продемонстрировали высокий уровень квалификации в области отравления поисковой оптимизации (SEO), сумев манипулировать алгоритмами поисковых систем для размещения своей мошеннической страницы на первых позициях в органической выдаче. Этот метод эффективно привлекал неосведомленных пользователей, в отличие от традиционных подходов, которые опираются на платную рекламу для обеспечения видимости. Вредоносная инфраструктура, поддерживающая эту кампанию, оставалась активной, что подчеркивает постоянные риски для пользователей, ищущих легитимное приложение.
Для снижения угрозы, создаваемой Mac stealers, пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, полагаясь на официальные источники, такие как Apple App Store или уважаемые менеджеры пакетов, например Homebrew. Осведомленность о том, как ВПО может проникать в системы, будь то через прямые загрузки или вредоносные скрипты терминала, имеет решающее значение для поддержания безопасности. По мере того как тактики фишинга и распространения ВПО продолжают развиваться, формирование всестороннего понимания таких угроз является необходимым для пользователей Mac, чтобы защитить свои устройства и личные данные.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя угроза для пользователей Mac связана с фишинговым сайтом, имитирующим легитимное приложение Pearcleaner, который распространяет ВПО-стиллер, собирающий конфиденциальные данные пользователей, включая ключи криптокошельков. ВПО перенаправляет пользователей на выполнение скрипта через терминал, обходя защиту macOS с помощью техник ClickFix, и загружает исполняемый файл Python, усложняя усилия по обнаружению за счет использования различных доменов загрузки. Кроме того, злоумышленники применили Отравление поисковой оптимизации (SEO), чтобы обеспечить высокое ранжирование мошеннического сайта в результатах поиска, создавая постоянные риски для пользователей.
-----
Недавняя киберугроза, направленная на пользователей Mac, включает в себя мошеннический сайт, имитирующий легитимное приложение Pearcleaner — бесплатный инструмент с открытым исходным кодом, широко используемый для удаления приложений. Фейковый сайт pearclearner.com, как сообщается, распространяет тип ВПО, известный как стиллер, который имитирует поведение существующего вредоносного ПО, такого как AMOS и, возможно, MacSync. Это ВПО предназначено для сбора пользовательских данных, включая конфиденциальную информацию, такую как ключи криптографических кошельков.
Пользователи, перешедшие на поддельный сайт, сообщили, что нажатие ссылки для загрузки перенаправило их на filemapleshare.com, где им предлагалось выполнить скрипт через терминал Mac с использованием тактик социальной инженерии. Скрипт использует техники ClickFix, позволяющие обойти меры безопасности macOS, предоставляя полные привилегии выполняемому коду. Закодированная в base64 команда внутри скрипта дополнительно подтверждает его вредоносный характер, направляя пользователей на скомпрометированный ресурс для загрузки ВПО.
Анализ загрузки, вес которой составлял 808 МБ и которая была упакована в zip-архив, показал, что она содержала исполняемый файл Python. Этот исполняемый файл действует как загрузчик для кроссплатформенного распространения, проверяя тип операционной системы перед выполнением дальнейших вредоносных действий. Примечательно, что использование разнообразных доменов загрузки служит тактикой уклонения, усложняя обнаружение средствами защиты.
Создатели поддельного сайта Pearcleaner продемонстрировали высокий уровень квалификации в области отравления поисковой оптимизации (SEO), сумев манипулировать алгоритмами поисковых систем для размещения своей мошеннической страницы на первых позициях в органической выдаче. Этот метод эффективно привлекал неосведомленных пользователей, в отличие от традиционных подходов, которые опираются на платную рекламу для обеспечения видимости. Вредоносная инфраструктура, поддерживающая эту кампанию, оставалась активной, что подчеркивает постоянные риски для пользователей, ищущих легитимное приложение.
Для снижения угрозы, создаваемой Mac stealers, пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, полагаясь на официальные источники, такие как Apple App Store или уважаемые менеджеры пакетов, например Homebrew. Осведомленность о том, как ВПО может проникать в системы, будь то через прямые загрузки или вредоносные скрипты терминала, имеет решающее значение для поддержания безопасности. По мере того как тактики фишинга и распространения ВПО продолжают развиваться, формирование всестороннего понимания таких угроз является необходимым для пользователей Mac, чтобы защитить свои устройства и личные данные.
#ParsedReport #CompletenessLow
02-07-2026
Cyber Criminal Group TeamPCP
https://www.ic3.gov/CSA/2026/260702.pdf
Report completeness: Low
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Supply_chain_technique
Credential_stealing_technique
Canisterworm
Sandclock
Miasma
Victims:
Software development, Cybersecurity, Cloud services, Cryptocurrency
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-33634 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- aquasec setup-trivy (<0.2.6)
- aquasec trivy (0.69.4)
- aquasec trivy_action (<0.35.0)
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)
CVE-2026-48027 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nx nx_console (18.95.0)
ChatGPT TTPs:
T1195.001, T1195.002, T1528, T1552.004, T1565.001
IOCs:
IP: 6
Hash: 12
Soft:
Kubernetes, Trivy, LiteLLM
Languages:
python
02-07-2026
Cyber Criminal Group TeamPCP
https://www.ic3.gov/CSA/2026/260702.pdf
Report completeness: Low
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Supply_chain_technique
Credential_stealing_technique
Canisterworm
Sandclock
Miasma
Victims:
Software development, Cybersecurity, Cloud services, Cryptocurrency
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-33634 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- aquasec setup-trivy (<0.2.6)
- aquasec trivy (0.69.4)
- aquasec trivy_action (<0.35.0)
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)
CVE-2026-48027 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nx nx_console (18.95.0)
ChatGPT TTPs:
do not use without manual checkT1195.001, T1195.002, T1528, T1552.004, T1565.001
IOCs:
IP: 6
Hash: 12
Soft:
Kubernetes, Trivy, LiteLLM
Languages:
python
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Cyber Criminal Group TeamPCP https://www.ic3.gov/CSA/2026/260702.pdf Report completeness: Low Actors/Campaigns: Teampcp Mini_shai-hulud Threats: Supply_chain_technique Credential_stealing_technique Canisterworm…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP — это киберпреступная группа, известная крупномасштабными атаками на Цепочку поставок, которые приводят к компрометации доверенных каналов распространения программного обеспечения. Внедряя вредоносный код в легитимные инструменты, они развертывают ВПО для кражи учетных данных и поддерживают доступ через троянизированные обновления, затрагивая такие ключевые программные продукты, как Trivy и Telnyx Python SDK. Их арсенал включает CanisterWorm для эксфильтрации конфиденциальных данных и Mini Shai-Hulud, который самостоятельно распространяется по реестрам, демонстрируя их способность эксплуатировать критические уязвимости в средах разработки.
-----
Киберпреступная группа TeamPCP была идентифицирована ФБР как значительная угроза, особенно известная крупномасштабными компрометациями Цепочек поставок программного обеспечения. Эта группа в первую очередь нацелена на широко используемые инструменты разработчиков и безопасности для получения несанкционированного доступа к средам жертв, извлекая конфиденциальную информацию, такую как токены доступа к облаку, SSH-ключи и секреты Kubernetes. Информация ФБР подчеркивает тактики, техники и процедуры (TTPs) группы TeamPCP, призывая организации принимать превентивные меры против потенциальных компрометаций.
В 2026 году TeamPCP осуществила серию успешных атак, внедрившись в доверенные каналы распространения программного обеспечения. Они внедряли вредоносный код в легитимные пакеты программного обеспечения, изменяя компоненты программного обеспечения и зависимости разработки для внедрения троянизированных обновлений, которые казались безобидными. Эти обновления скрытно развертывали ВПО для кражи учетных данных и постоянные бэкдоры, обеспечивая постоянный доступ к средам разработчиков и другим системам. Среди заметных целевых инструментов были Trivy, KICS, LiteLLM и Python SDK Telnyx, все из которых являются неотъемлемой частью рабочих процессов корпоративной разработки, особенно в конвейерах непрерывной интеграции (CI) и непрерывной доставки (CD).
Злоумышленники применили тактики шантажа, сотрудничая с другими киберпреступниками для публикации информации о жертвах на сайтах утечек и угрожая дальнейшим раскрытием украденных данных. Организациям, пострадавшим от этих атак, следует проявлять бдительность, поскольку данные, выведенные за пределы, могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.
TeamPCP использовала различные ВПО в этих операциях. Одним из их основных инструментов является CanisterWorm, который специально разработан для сбора конфиденциальной информации, такой как токены доступа к облачным сервисам, ключи API и аутентификационные материалы, связанные с такими сервисами, как Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure. Другой инструмент, SANDCLOCK, служит для извлечения учетных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.
Кроме того, ФБР упомянуло кампании с участием Mini Shai-Hulud — червя цепочки поставок программного обеспечения, работающего в разных экосистемах, и его варианта Miasma, который также самостоятельно распространяется по реестрам с открытым исходным кодом, таким как npm и PyPI, атакуя учетные данные и манипулируя конфигурационными файлами.
Организациям рекомендуется сообщать о любых предположительно связанных с TeamPCP инцидентах несанкционированного доступа в ФБР, что подчеркивает серьезность текущей угрозы, создаваемой данной группировкой, и важность поддержания осведомленности в стратегиях кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP — это киберпреступная группа, известная крупномасштабными атаками на Цепочку поставок, которые приводят к компрометации доверенных каналов распространения программного обеспечения. Внедряя вредоносный код в легитимные инструменты, они развертывают ВПО для кражи учетных данных и поддерживают доступ через троянизированные обновления, затрагивая такие ключевые программные продукты, как Trivy и Telnyx Python SDK. Их арсенал включает CanisterWorm для эксфильтрации конфиденциальных данных и Mini Shai-Hulud, который самостоятельно распространяется по реестрам, демонстрируя их способность эксплуатировать критические уязвимости в средах разработки.
-----
Киберпреступная группа TeamPCP была идентифицирована ФБР как значительная угроза, особенно известная крупномасштабными компрометациями Цепочек поставок программного обеспечения. Эта группа в первую очередь нацелена на широко используемые инструменты разработчиков и безопасности для получения несанкционированного доступа к средам жертв, извлекая конфиденциальную информацию, такую как токены доступа к облаку, SSH-ключи и секреты Kubernetes. Информация ФБР подчеркивает тактики, техники и процедуры (TTPs) группы TeamPCP, призывая организации принимать превентивные меры против потенциальных компрометаций.
В 2026 году TeamPCP осуществила серию успешных атак, внедрившись в доверенные каналы распространения программного обеспечения. Они внедряли вредоносный код в легитимные пакеты программного обеспечения, изменяя компоненты программного обеспечения и зависимости разработки для внедрения троянизированных обновлений, которые казались безобидными. Эти обновления скрытно развертывали ВПО для кражи учетных данных и постоянные бэкдоры, обеспечивая постоянный доступ к средам разработчиков и другим системам. Среди заметных целевых инструментов были Trivy, KICS, LiteLLM и Python SDK Telnyx, все из которых являются неотъемлемой частью рабочих процессов корпоративной разработки, особенно в конвейерах непрерывной интеграции (CI) и непрерывной доставки (CD).
Злоумышленники применили тактики шантажа, сотрудничая с другими киберпреступниками для публикации информации о жертвах на сайтах утечек и угрожая дальнейшим раскрытием украденных данных. Организациям, пострадавшим от этих атак, следует проявлять бдительность, поскольку данные, выведенные за пределы, могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.
TeamPCP использовала различные ВПО в этих операциях. Одним из их основных инструментов является CanisterWorm, который специально разработан для сбора конфиденциальной информации, такой как токены доступа к облачным сервисам, ключи API и аутентификационные материалы, связанные с такими сервисами, как Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure. Другой инструмент, SANDCLOCK, служит для извлечения учетных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.
Кроме того, ФБР упомянуло кампании с участием Mini Shai-Hulud — червя цепочки поставок программного обеспечения, работающего в разных экосистемах, и его варианта Miasma, который также самостоятельно распространяется по реестрам с открытым исходным кодом, таким как npm и PyPI, атакуя учетные данные и манипулируя конфигурационными файлами.
Организациям рекомендуется сообщать о любых предположительно связанных с TeamPCP инцидентах несанкционированного доступа в ФБР, что подчеркивает серьезность текущей угрозы, создаваемой данной группировкой, и важность поддержания осведомленности в стратегиях кибербезопасности.
#ParsedReport #CompletenessHigh
02-07-2026
Operation Turb00 — Part 3: Unmasking the SnappyClient RAT
https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a
Report completeness: High
Actors/Campaigns:
Turb00
Threats:
Snappyclient
Hijackloader
Vidar_stealer
Radmin_tool
Hvnc_tool
Dllsearchorder_hijacking_technique
Procmon_tool
Process_hollowing_technique
Dead_drop_technique
Dll_sideloading_technique
Victims:
German speaking users, Cryptocurrency wallet users
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 23
Hash: 3
Coin: 1
Command: 2
IP: 4
Domain: 5
Path: 9
Registry: 6
Soft:
Opera, exe, Chromium, ideload, exe ← Sp, hrome IE, Chrome, Task Scheduler, ask Scheduler 1, Windows COM, have more...
Wallets:
coinomi, electrum, exodus_wallet, wassabi, brave_wallet, coinbase, metamask, tronlink
Crypto:
bitcoin
Algorithms:
chacha20-poly1305, sha256, lzma, ripemd-160, poly1305, base58, sha1
Functions:
FUN_004112af, COM, CreateFile
Win API:
LoadLibraryW, decompress, SetProcessDPIAware, GetMessageW, TranslateMessage, DispatchMessageW, SetThreadContext, CoCreateInstance
Languages:
python
Links:
02-07-2026
Operation Turb00 — Part 3: Unmasking the SnappyClient RAT
https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a
Report completeness: High
Actors/Campaigns:
Turb00
Threats:
Snappyclient
Hijackloader
Vidar_stealer
Radmin_tool
Hvnc_tool
Dllsearchorder_hijacking_technique
Procmon_tool
Process_hollowing_technique
Dead_drop_technique
Dll_sideloading_technique
Victims:
German speaking users, Cryptocurrency wallet users
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 23
Hash: 3
Coin: 1
Command: 2
IP: 4
Domain: 5
Path: 9
Registry: 6
Soft:
Opera, exe, Chromium, ideload, exe ← Sp, hrome IE, Chrome, Task Scheduler, ask Scheduler 1, Windows COM, have more...
Wallets:
coinomi, electrum, exodus_wallet, wassabi, brave_wallet, coinbase, metamask, tronlink
Crypto:
bitcoin
Algorithms:
chacha20-poly1305, sha256, lzma, ripemd-160, poly1305, base58, sha1
Functions:
FUN_004112af, COM, CreateFile
Win API:
LoadLibraryW, decompress, SetProcessDPIAware, GetMessageW, TranslateMessage, DispatchMessageW, SetThreadContext, CoCreateInstance
Languages:
python
Links:
https://github.com/tiepologian/signature-base/tree/main/rules/vidar\_multi\_stageMedium
Operation Turb00 — Part 3: Unmasking the SnappyClient RAT
This post covers the campaign’s second infection chain, which delivers SnappyClient.
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 Operation Turb00 — Part 3: Unmasking the SnappyClient RAT https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a Report completeness: High Actors/Campaigns: Turb00 Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Turb00 выделяет RAT SnappyClient, сложную троянскую программу, доставляемую через многоступенчатую цепочку заражения, инициируемую HijackLoader. Используя легитимный процесс, он подгружает троянизированный DLL, который загружает пользовательскую полезную нагрузку, обеспечивая обширный контроль над скомпрометированной системой, включая доступ к удаленному рабочему столу и кражу учетных данных. Его коммуникации с управлением осуществляются по пользовательскому зашифрованному TCP-протоколу, что повышает его скрытность от традиционных методов обнаружения.
-----
Операция Turb00 раскрывает сложную киберугрозу, исходящую от SnappyClient RAT, продвинутой троянской программы, доставляемой через многоступенчатую цепочку заражения, инициированную HijackLoader. Эта вторая цепочка заражения отличается от первой использованием уникального полезного груза SnappyClient, который функционирует как постоянный имплантат, предоставляющий обширный интерактивный контроль над скомпрометированным хостом.
Атака использует легитимный процесс WizardDa42.exe (часть Radmin VPN) для запуска заражения, который подгружает троянизированный Opera DLL. Анализ показывает, что вредоносный DLL вызывает встроенный в него пользовательский загрузчик-заглушку, который затем загружает WebView2Loader.dll. Этот второй DLL, также модифицированный, содержит ресурсный пакет audio.lib, в котором находится полезная нагрузка SnappyClient. Извлечение подтвердило наличие сжатого исполняемого файла, который после распаковки подтвердил присутствие SnappyClient.
SnappyClient предназначен для полного контроля и оснащен функциями, включающими удаленный доступ к рабочему столу (HVNC), FTP-сервер, функции обратного прокси, выполнение команд, регистрацию нажатий клавиш, а также кражу учетных данных браузеров и криптовалют. Примечательно, что его связь с управлением (C2) осуществляется по собственному зашифрованному протоколу TCP, а не через HTTPS, что скрывает команды за несколькими слоями шифрования, позволяя избегать традиционного анализа трафика.
Динамический анализ детализирует поток выполнения, при котором SnappyClient, после внедрения в новый процесс, начинает устанавливать постоянные соединения с сервером C2. Вредоносное ПО выполняет различные операции, начиная от сбора учетных записей, конкретно нацеленных на данные браузеров Chrome и Edge, до поиска файлов криптографических кошельков. Собранные украденные данные размещаются в назначенных каталогах перед их эксфильтрацией на сервер C2 через несколько одновременных соединений.
Критические аспекты инфраструктуры вредоносного ПО включают использование легитимных исполняемых файлов, перехваченных злоумышленниками, что создает трудности для систем обнаружения, поскольку все взаимодействия происходят под видом доверенного программного обеспечения. Сложности в сетевых коммуникациях, отсутствие использования HTTPS и акцент на зашифрованных бинарных payload-ах через нестандартные порты усиливают его возможности скрытности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Turb00 выделяет RAT SnappyClient, сложную троянскую программу, доставляемую через многоступенчатую цепочку заражения, инициируемую HijackLoader. Используя легитимный процесс, он подгружает троянизированный DLL, который загружает пользовательскую полезную нагрузку, обеспечивая обширный контроль над скомпрометированной системой, включая доступ к удаленному рабочему столу и кражу учетных данных. Его коммуникации с управлением осуществляются по пользовательскому зашифрованному TCP-протоколу, что повышает его скрытность от традиционных методов обнаружения.
-----
Операция Turb00 раскрывает сложную киберугрозу, исходящую от SnappyClient RAT, продвинутой троянской программы, доставляемой через многоступенчатую цепочку заражения, инициированную HijackLoader. Эта вторая цепочка заражения отличается от первой использованием уникального полезного груза SnappyClient, который функционирует как постоянный имплантат, предоставляющий обширный интерактивный контроль над скомпрометированным хостом.
Атака использует легитимный процесс WizardDa42.exe (часть Radmin VPN) для запуска заражения, который подгружает троянизированный Opera DLL. Анализ показывает, что вредоносный DLL вызывает встроенный в него пользовательский загрузчик-заглушку, который затем загружает WebView2Loader.dll. Этот второй DLL, также модифицированный, содержит ресурсный пакет audio.lib, в котором находится полезная нагрузка SnappyClient. Извлечение подтвердило наличие сжатого исполняемого файла, который после распаковки подтвердил присутствие SnappyClient.
SnappyClient предназначен для полного контроля и оснащен функциями, включающими удаленный доступ к рабочему столу (HVNC), FTP-сервер, функции обратного прокси, выполнение команд, регистрацию нажатий клавиш, а также кражу учетных данных браузеров и криптовалют. Примечательно, что его связь с управлением (C2) осуществляется по собственному зашифрованному протоколу TCP, а не через HTTPS, что скрывает команды за несколькими слоями шифрования, позволяя избегать традиционного анализа трафика.
Динамический анализ детализирует поток выполнения, при котором SnappyClient, после внедрения в новый процесс, начинает устанавливать постоянные соединения с сервером C2. Вредоносное ПО выполняет различные операции, начиная от сбора учетных записей, конкретно нацеленных на данные браузеров Chrome и Edge, до поиска файлов криптографических кошельков. Собранные украденные данные размещаются в назначенных каталогах перед их эксфильтрацией на сервер C2 через несколько одновременных соединений.
Критические аспекты инфраструктуры вредоносного ПО включают использование легитимных исполняемых файлов, перехваченных злоумышленниками, что создает трудности для систем обнаружения, поскольку все взаимодействия происходят под видом доверенного программного обеспечения. Сложности в сетевых коммуникациях, отсутствие использования HTTPS и акцент на зашифрованных бинарных payload-ах через нестандартные порты усиливают его возможности скрытности.
#ParsedReport #CompletenessMedium
30-06-2026
Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs
https://expel.com/blog/not-very-gentlemanly-analyzing-a-zero-day-exploit-used-by-the-gentlemen-ransomware-to-disable-targets-edrs/
Report completeness: Medium
Actors/Campaigns:
Gentlemen_ransomware
Threats:
Gentlemen_ransomware
Byovd_technique
Edr-killer
Robinhood
Mimikatz_tool
Victims:
Enterprises
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1068, T1211, T1562.001
IOCs:
File: 32
Hash: 3
Soft:
Windows Defender, Windows kernel, Windows Defender Application Control
Algorithms:
sha256
Functions:
CreateFile
Win API:
DeviceIoControl, ZwOpenSection, ZwMapViewOfSection, NtUserSetGestureConfig, NtQuerySystemInformation, NtUserFrostCrashedWindow, PsLookupProcessByProcessId, ObDereferenceObject, PsTerminateProcess, NtTerminateProcess, have more...
Win Services:
MsMpEng, EHttpSrv, SentinelAgent, LogProcessorService
Platforms:
intel
Links:
30-06-2026
Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs
https://expel.com/blog/not-very-gentlemanly-analyzing-a-zero-day-exploit-used-by-the-gentlemen-ransomware-to-disable-targets-edrs/
Report completeness: Medium
Actors/Campaigns:
Gentlemen_ransomware
Threats:
Gentlemen_ransomware
Byovd_technique
Edr-killer
Robinhood
Mimikatz_tool
Victims:
Enterprises
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1068, T1211, T1562.001
IOCs:
File: 32
Hash: 3
Soft:
Windows Defender, Windows kernel, Windows Defender Application Control
Algorithms:
sha256
Functions:
CreateFile
Win API:
DeviceIoControl, ZwOpenSection, ZwMapViewOfSection, NtUserSetGestureConfig, NtQuerySystemInformation, NtUserFrostCrashedWindow, PsLookupProcessByProcessId, ObDereferenceObject, PsTerminateProcess, NtTerminateProcess, have more...
Win Services:
MsMpEng, EHttpSrv, SentinelAgent, LogProcessorService
Platforms:
intel
Links:
https://github.com/hcmzah/data-ptr-commExpel
Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs
How the threat group used a zero-day vulnerability to disable the target's EDR, preventing it from intervening in their ransomware attack.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs https://expel.com/blog/not-very-gentlemanly-analyzing-a-zero-day-exploit-used-by-the-gentlemen-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа вымогательского ПО Gentlemen, активная с июля 2025 года, использует уязвимость нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак с применением техник bring-your-own-vulnerable-driver (BYOVD), что повторяет предыдущие эксплойты других групп. Это включает обход Kernel Patch Protection для манипуляции памятью ядра из пользовательского режима, что позволяет внедрять shellcode и перенаправлять вызовы функций. ВПО использует продвинутые методы для завершения процессов EDR, сохраняя скрытность атаки.
-----
Группировка The Gentlemen, занимающаяся вымогательством, появилась в июле 2025 года и была связана с изощренным использованием уязвимости нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак. Это ВПО использует метод, известный как bring-your-own-vulnerable-driver (BYOVD), который стал заметной тенденцией после эксплуатации уязвимости gdrv.sys группировкой RobinHood в 2020 году. Во время инцидента, рассмотренного Expel в апреле, The Gentlemen использовали неопределенную уязвимость нулевого дня в драйвере стороннего производителя для вывода из строя EDR, что помешало ему предотвратить развертывание вымогательского ПО.
Эксплойт использует продвинутые техники для обхода средств защиты Windows, позволяя злоумышленникам вызывать привилегированные функции режима ядра из процесса режима пользователя. В частности, последовательность действий эксплойта включает сканирование оперативной памяти системы на наличие таблиц страниц (PML4) для получения значения cr3, что позволяет извлекать и изменять память ядра напрямую из режима пользователя.
Значимым аспектом эксплойта является его способность обходить Kernel Patch Protection (KPP), которая обычно предотвращает несанкционированные модификации функций ядра. Эксплойт хакерской группировки The Gentlemen использует технику, ссылающуюся на NtUserSetGestureConfig — метод, известный своим предыдущим применением на форумах по читерству в играх, что указывает на возможный источник вдохновения для некоторых техник эксплойтов.
Механизм эксплуатации включает чтение файла ядра с диска и его отображение в память процесса эксплойта. Он ищет определенную последовательность инструкций ассемблера для идентификации функций, которые могут быть изменены, используя общие отображения памяти (KUSER_SHARED_DATA) для внесения изменений в данные ядра без нарушения защиты Supervisor Mode Access Protection (SMAP). Кроме того, эксплойт манипулирует выделениями пула ядра, что позволяет внедрять шеллкод и перенаправлять вызовы функций для выполнения произвольного кода с привилегиями ядра.
Способность эксплойта завершать процессы EDR является значимой; он выполняет операции с использованием PsLookupProcessByProcessId и PsTerminateProcess, вероятно, для обхода обнаружения программным обеспечением безопасности, отслеживающим эти стандартные вызовы завершения процессов.
Хотя Microsoft внедрила меры безопасности, такие как кросс-подписание для драйверов ядра, устаревшие уязвимые драйверы, включая те, что эксплуатируются хакерской группировкой The Gentlemen, могут по-прежнему использоваться. Рекомендации по смягчению таких атак включают включение изоляции ядра и функций безопасности на основе виртуализации, поддержание актуального списка блокировки уязвимых драйверов, а также улучшение мер контроля приложений, таких как Windows Defender Application Control (WDAC), что может существенно ограничить поверхность атаки для эксплойтов BYOVD.
Несмотря на эти защитные стратегии, постоянная угроза, представляемая атаками BYOVD, требует бдительности и проактивных возможностей обнаружения от команд безопасности, которые должны анализировать и адаптироваться к новым уязвимостям, которые могут быть использованы злоумышленниками, такими как хакерская группировка The Gentlemen, в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа вымогательского ПО Gentlemen, активная с июля 2025 года, использует уязвимость нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак с применением техник bring-your-own-vulnerable-driver (BYOVD), что повторяет предыдущие эксплойты других групп. Это включает обход Kernel Patch Protection для манипуляции памятью ядра из пользовательского режима, что позволяет внедрять shellcode и перенаправлять вызовы функций. ВПО использует продвинутые методы для завершения процессов EDR, сохраняя скрытность атаки.
-----
Группировка The Gentlemen, занимающаяся вымогательством, появилась в июле 2025 года и была связана с изощренным использованием уязвимости нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак. Это ВПО использует метод, известный как bring-your-own-vulnerable-driver (BYOVD), который стал заметной тенденцией после эксплуатации уязвимости gdrv.sys группировкой RobinHood в 2020 году. Во время инцидента, рассмотренного Expel в апреле, The Gentlemen использовали неопределенную уязвимость нулевого дня в драйвере стороннего производителя для вывода из строя EDR, что помешало ему предотвратить развертывание вымогательского ПО.
Эксплойт использует продвинутые техники для обхода средств защиты Windows, позволяя злоумышленникам вызывать привилегированные функции режима ядра из процесса режима пользователя. В частности, последовательность действий эксплойта включает сканирование оперативной памяти системы на наличие таблиц страниц (PML4) для получения значения cr3, что позволяет извлекать и изменять память ядра напрямую из режима пользователя.
Значимым аспектом эксплойта является его способность обходить Kernel Patch Protection (KPP), которая обычно предотвращает несанкционированные модификации функций ядра. Эксплойт хакерской группировки The Gentlemen использует технику, ссылающуюся на NtUserSetGestureConfig — метод, известный своим предыдущим применением на форумах по читерству в играх, что указывает на возможный источник вдохновения для некоторых техник эксплойтов.
Механизм эксплуатации включает чтение файла ядра с диска и его отображение в память процесса эксплойта. Он ищет определенную последовательность инструкций ассемблера для идентификации функций, которые могут быть изменены, используя общие отображения памяти (KUSER_SHARED_DATA) для внесения изменений в данные ядра без нарушения защиты Supervisor Mode Access Protection (SMAP). Кроме того, эксплойт манипулирует выделениями пула ядра, что позволяет внедрять шеллкод и перенаправлять вызовы функций для выполнения произвольного кода с привилегиями ядра.
Способность эксплойта завершать процессы EDR является значимой; он выполняет операции с использованием PsLookupProcessByProcessId и PsTerminateProcess, вероятно, для обхода обнаружения программным обеспечением безопасности, отслеживающим эти стандартные вызовы завершения процессов.
Хотя Microsoft внедрила меры безопасности, такие как кросс-подписание для драйверов ядра, устаревшие уязвимые драйверы, включая те, что эксплуатируются хакерской группировкой The Gentlemen, могут по-прежнему использоваться. Рекомендации по смягчению таких атак включают включение изоляции ядра и функций безопасности на основе виртуализации, поддержание актуального списка блокировки уязвимых драйверов, а также улучшение мер контроля приложений, таких как Windows Defender Application Control (WDAC), что может существенно ограничить поверхность атаки для эксплойтов BYOVD.
Несмотря на эти защитные стратегии, постоянная угроза, представляемая атаками BYOVD, требует бдительности и проактивных возможностей обнаружения от команд безопасности, которые должны анализировать и адаптироваться к новым уязвимостям, которые могут быть использованы злоумышленниками, такими как хакерская группировка The Gentlemen, в будущем.