CTT Report Hub
#ParsedReport #CompletenessLow 03-07-2026 Fake site for the Pearcleaner app is pushing a Mac stealer https://moonlock.com/fake-pearcleaner-site-pushing-malware Report completeness: Low Actors/Campaigns: Pearcleaner (motivation: cyber_criminal) Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя угроза для пользователей Mac связана с фишинговым сайтом, имитирующим легитимное приложение Pearcleaner, который распространяет ВПО-стиллер, собирающий конфиденциальные данные пользователей, включая ключи криптокошельков. ВПО перенаправляет пользователей на выполнение скрипта через терминал, обходя защиту macOS с помощью техник ClickFix, и загружает исполняемый файл Python, усложняя усилия по обнаружению за счет использования различных доменов загрузки. Кроме того, злоумышленники применили Отравление поисковой оптимизации (SEO), чтобы обеспечить высокое ранжирование мошеннического сайта в результатах поиска, создавая постоянные риски для пользователей.
-----
Недавняя киберугроза, направленная на пользователей Mac, включает в себя мошеннический сайт, имитирующий легитимное приложение Pearcleaner — бесплатный инструмент с открытым исходным кодом, широко используемый для удаления приложений. Фейковый сайт pearclearner.com, как сообщается, распространяет тип ВПО, известный как стиллер, который имитирует поведение существующего вредоносного ПО, такого как AMOS и, возможно, MacSync. Это ВПО предназначено для сбора пользовательских данных, включая конфиденциальную информацию, такую как ключи криптографических кошельков.
Пользователи, перешедшие на поддельный сайт, сообщили, что нажатие ссылки для загрузки перенаправило их на filemapleshare.com, где им предлагалось выполнить скрипт через терминал Mac с использованием тактик социальной инженерии. Скрипт использует техники ClickFix, позволяющие обойти меры безопасности macOS, предоставляя полные привилегии выполняемому коду. Закодированная в base64 команда внутри скрипта дополнительно подтверждает его вредоносный характер, направляя пользователей на скомпрометированный ресурс для загрузки ВПО.
Анализ загрузки, вес которой составлял 808 МБ и которая была упакована в zip-архив, показал, что она содержала исполняемый файл Python. Этот исполняемый файл действует как загрузчик для кроссплатформенного распространения, проверяя тип операционной системы перед выполнением дальнейших вредоносных действий. Примечательно, что использование разнообразных доменов загрузки служит тактикой уклонения, усложняя обнаружение средствами защиты.
Создатели поддельного сайта Pearcleaner продемонстрировали высокий уровень квалификации в области отравления поисковой оптимизации (SEO), сумев манипулировать алгоритмами поисковых систем для размещения своей мошеннической страницы на первых позициях в органической выдаче. Этот метод эффективно привлекал неосведомленных пользователей, в отличие от традиционных подходов, которые опираются на платную рекламу для обеспечения видимости. Вредоносная инфраструктура, поддерживающая эту кампанию, оставалась активной, что подчеркивает постоянные риски для пользователей, ищущих легитимное приложение.
Для снижения угрозы, создаваемой Mac stealers, пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, полагаясь на официальные источники, такие как Apple App Store или уважаемые менеджеры пакетов, например Homebrew. Осведомленность о том, как ВПО может проникать в системы, будь то через прямые загрузки или вредоносные скрипты терминала, имеет решающее значение для поддержания безопасности. По мере того как тактики фишинга и распространения ВПО продолжают развиваться, формирование всестороннего понимания таких угроз является необходимым для пользователей Mac, чтобы защитить свои устройства и личные данные.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавняя угроза для пользователей Mac связана с фишинговым сайтом, имитирующим легитимное приложение Pearcleaner, который распространяет ВПО-стиллер, собирающий конфиденциальные данные пользователей, включая ключи криптокошельков. ВПО перенаправляет пользователей на выполнение скрипта через терминал, обходя защиту macOS с помощью техник ClickFix, и загружает исполняемый файл Python, усложняя усилия по обнаружению за счет использования различных доменов загрузки. Кроме того, злоумышленники применили Отравление поисковой оптимизации (SEO), чтобы обеспечить высокое ранжирование мошеннического сайта в результатах поиска, создавая постоянные риски для пользователей.
-----
Недавняя киберугроза, направленная на пользователей Mac, включает в себя мошеннический сайт, имитирующий легитимное приложение Pearcleaner — бесплатный инструмент с открытым исходным кодом, широко используемый для удаления приложений. Фейковый сайт pearclearner.com, как сообщается, распространяет тип ВПО, известный как стиллер, который имитирует поведение существующего вредоносного ПО, такого как AMOS и, возможно, MacSync. Это ВПО предназначено для сбора пользовательских данных, включая конфиденциальную информацию, такую как ключи криптографических кошельков.
Пользователи, перешедшие на поддельный сайт, сообщили, что нажатие ссылки для загрузки перенаправило их на filemapleshare.com, где им предлагалось выполнить скрипт через терминал Mac с использованием тактик социальной инженерии. Скрипт использует техники ClickFix, позволяющие обойти меры безопасности macOS, предоставляя полные привилегии выполняемому коду. Закодированная в base64 команда внутри скрипта дополнительно подтверждает его вредоносный характер, направляя пользователей на скомпрометированный ресурс для загрузки ВПО.
Анализ загрузки, вес которой составлял 808 МБ и которая была упакована в zip-архив, показал, что она содержала исполняемый файл Python. Этот исполняемый файл действует как загрузчик для кроссплатформенного распространения, проверяя тип операционной системы перед выполнением дальнейших вредоносных действий. Примечательно, что использование разнообразных доменов загрузки служит тактикой уклонения, усложняя обнаружение средствами защиты.
Создатели поддельного сайта Pearcleaner продемонстрировали высокий уровень квалификации в области отравления поисковой оптимизации (SEO), сумев манипулировать алгоритмами поисковых систем для размещения своей мошеннической страницы на первых позициях в органической выдаче. Этот метод эффективно привлекал неосведомленных пользователей, в отличие от традиционных подходов, которые опираются на платную рекламу для обеспечения видимости. Вредоносная инфраструктура, поддерживающая эту кампанию, оставалась активной, что подчеркивает постоянные риски для пользователей, ищущих легитимное приложение.
Для снижения угрозы, создаваемой Mac stealers, пользователям рекомендуется проявлять осторожность при загрузке программного обеспечения, полагаясь на официальные источники, такие как Apple App Store или уважаемые менеджеры пакетов, например Homebrew. Осведомленность о том, как ВПО может проникать в системы, будь то через прямые загрузки или вредоносные скрипты терминала, имеет решающее значение для поддержания безопасности. По мере того как тактики фишинга и распространения ВПО продолжают развиваться, формирование всестороннего понимания таких угроз является необходимым для пользователей Mac, чтобы защитить свои устройства и личные данные.
#ParsedReport #CompletenessLow
02-07-2026
Cyber Criminal Group TeamPCP
https://www.ic3.gov/CSA/2026/260702.pdf
Report completeness: Low
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Supply_chain_technique
Credential_stealing_technique
Canisterworm
Sandclock
Miasma
Victims:
Software development, Cybersecurity, Cloud services, Cryptocurrency
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-33634 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- aquasec setup-trivy (<0.2.6)
- aquasec trivy (0.69.4)
- aquasec trivy_action (<0.35.0)
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)
CVE-2026-48027 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nx nx_console (18.95.0)
ChatGPT TTPs:
T1195.001, T1195.002, T1528, T1552.004, T1565.001
IOCs:
IP: 6
Hash: 12
Soft:
Kubernetes, Trivy, LiteLLM
Languages:
python
02-07-2026
Cyber Criminal Group TeamPCP
https://www.ic3.gov/CSA/2026/260702.pdf
Report completeness: Low
Actors/Campaigns:
Teampcp
Mini_shai-hulud
Threats:
Supply_chain_technique
Credential_stealing_technique
Canisterworm
Sandclock
Miasma
Victims:
Software development, Cybersecurity, Cloud services, Cryptocurrency
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-33634 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- aquasec setup-trivy (<0.2.6)
- aquasec trivy (0.69.4)
- aquasec trivy_action (<0.35.0)
CVE-2026-45321 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tanstack tanstack\/arktype-adapter (1.166.12, 1.166.15)
CVE-2026-48027 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nx nx_console (18.95.0)
ChatGPT TTPs:
do not use without manual checkT1195.001, T1195.002, T1528, T1552.004, T1565.001
IOCs:
IP: 6
Hash: 12
Soft:
Kubernetes, Trivy, LiteLLM
Languages:
python
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Cyber Criminal Group TeamPCP https://www.ic3.gov/CSA/2026/260702.pdf Report completeness: Low Actors/Campaigns: Teampcp Mini_shai-hulud Threats: Supply_chain_technique Credential_stealing_technique Canisterworm…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP — это киберпреступная группа, известная крупномасштабными атаками на Цепочку поставок, которые приводят к компрометации доверенных каналов распространения программного обеспечения. Внедряя вредоносный код в легитимные инструменты, они развертывают ВПО для кражи учетных данных и поддерживают доступ через троянизированные обновления, затрагивая такие ключевые программные продукты, как Trivy и Telnyx Python SDK. Их арсенал включает CanisterWorm для эксфильтрации конфиденциальных данных и Mini Shai-Hulud, который самостоятельно распространяется по реестрам, демонстрируя их способность эксплуатировать критические уязвимости в средах разработки.
-----
Киберпреступная группа TeamPCP была идентифицирована ФБР как значительная угроза, особенно известная крупномасштабными компрометациями Цепочек поставок программного обеспечения. Эта группа в первую очередь нацелена на широко используемые инструменты разработчиков и безопасности для получения несанкционированного доступа к средам жертв, извлекая конфиденциальную информацию, такую как токены доступа к облаку, SSH-ключи и секреты Kubernetes. Информация ФБР подчеркивает тактики, техники и процедуры (TTPs) группы TeamPCP, призывая организации принимать превентивные меры против потенциальных компрометаций.
В 2026 году TeamPCP осуществила серию успешных атак, внедрившись в доверенные каналы распространения программного обеспечения. Они внедряли вредоносный код в легитимные пакеты программного обеспечения, изменяя компоненты программного обеспечения и зависимости разработки для внедрения троянизированных обновлений, которые казались безобидными. Эти обновления скрытно развертывали ВПО для кражи учетных данных и постоянные бэкдоры, обеспечивая постоянный доступ к средам разработчиков и другим системам. Среди заметных целевых инструментов были Trivy, KICS, LiteLLM и Python SDK Telnyx, все из которых являются неотъемлемой частью рабочих процессов корпоративной разработки, особенно в конвейерах непрерывной интеграции (CI) и непрерывной доставки (CD).
Злоумышленники применили тактики шантажа, сотрудничая с другими киберпреступниками для публикации информации о жертвах на сайтах утечек и угрожая дальнейшим раскрытием украденных данных. Организациям, пострадавшим от этих атак, следует проявлять бдительность, поскольку данные, выведенные за пределы, могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.
TeamPCP использовала различные ВПО в этих операциях. Одним из их основных инструментов является CanisterWorm, который специально разработан для сбора конфиденциальной информации, такой как токены доступа к облачным сервисам, ключи API и аутентификационные материалы, связанные с такими сервисами, как Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure. Другой инструмент, SANDCLOCK, служит для извлечения учетных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.
Кроме того, ФБР упомянуло кампании с участием Mini Shai-Hulud — червя цепочки поставок программного обеспечения, работающего в разных экосистемах, и его варианта Miasma, который также самостоятельно распространяется по реестрам с открытым исходным кодом, таким как npm и PyPI, атакуя учетные данные и манипулируя конфигурационными файлами.
Организациям рекомендуется сообщать о любых предположительно связанных с TeamPCP инцидентах несанкционированного доступа в ФБР, что подчеркивает серьезность текущей угрозы, создаваемой данной группировкой, и важность поддержания осведомленности в стратегиях кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TeamPCP — это киберпреступная группа, известная крупномасштабными атаками на Цепочку поставок, которые приводят к компрометации доверенных каналов распространения программного обеспечения. Внедряя вредоносный код в легитимные инструменты, они развертывают ВПО для кражи учетных данных и поддерживают доступ через троянизированные обновления, затрагивая такие ключевые программные продукты, как Trivy и Telnyx Python SDK. Их арсенал включает CanisterWorm для эксфильтрации конфиденциальных данных и Mini Shai-Hulud, который самостоятельно распространяется по реестрам, демонстрируя их способность эксплуатировать критические уязвимости в средах разработки.
-----
Киберпреступная группа TeamPCP была идентифицирована ФБР как значительная угроза, особенно известная крупномасштабными компрометациями Цепочек поставок программного обеспечения. Эта группа в первую очередь нацелена на широко используемые инструменты разработчиков и безопасности для получения несанкционированного доступа к средам жертв, извлекая конфиденциальную информацию, такую как токены доступа к облаку, SSH-ключи и секреты Kubernetes. Информация ФБР подчеркивает тактики, техники и процедуры (TTPs) группы TeamPCP, призывая организации принимать превентивные меры против потенциальных компрометаций.
В 2026 году TeamPCP осуществила серию успешных атак, внедрившись в доверенные каналы распространения программного обеспечения. Они внедряли вредоносный код в легитимные пакеты программного обеспечения, изменяя компоненты программного обеспечения и зависимости разработки для внедрения троянизированных обновлений, которые казались безобидными. Эти обновления скрытно развертывали ВПО для кражи учетных данных и постоянные бэкдоры, обеспечивая постоянный доступ к средам разработчиков и другим системам. Среди заметных целевых инструментов были Trivy, KICS, LiteLLM и Python SDK Telnyx, все из которых являются неотъемлемой частью рабочих процессов корпоративной разработки, особенно в конвейерах непрерывной интеграции (CI) и непрерывной доставки (CD).
Злоумышленники применили тактики шантажа, сотрудничая с другими киберпреступниками для публикации информации о жертвах на сайтах утечек и угрожая дальнейшим раскрытием украденных данных. Организациям, пострадавшим от этих атак, следует проявлять бдительность, поскольку данные, выведенные за пределы, могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.
TeamPCP использовала различные ВПО в этих операциях. Одним из их основных инструментов является CanisterWorm, который специально разработан для сбора конфиденциальной информации, такой как токены доступа к облачным сервисам, ключи API и аутентификационные материалы, связанные с такими сервисами, как Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure. Другой инструмент, SANDCLOCK, служит для извлечения учетных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.
Кроме того, ФБР упомянуло кампании с участием Mini Shai-Hulud — червя цепочки поставок программного обеспечения, работающего в разных экосистемах, и его варианта Miasma, который также самостоятельно распространяется по реестрам с открытым исходным кодом, таким как npm и PyPI, атакуя учетные данные и манипулируя конфигурационными файлами.
Организациям рекомендуется сообщать о любых предположительно связанных с TeamPCP инцидентах несанкционированного доступа в ФБР, что подчеркивает серьезность текущей угрозы, создаваемой данной группировкой, и важность поддержания осведомленности в стратегиях кибербезопасности.
#ParsedReport #CompletenessHigh
02-07-2026
Operation Turb00 — Part 3: Unmasking the SnappyClient RAT
https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a
Report completeness: High
Actors/Campaigns:
Turb00
Threats:
Snappyclient
Hijackloader
Vidar_stealer
Radmin_tool
Hvnc_tool
Dllsearchorder_hijacking_technique
Procmon_tool
Process_hollowing_technique
Dead_drop_technique
Dll_sideloading_technique
Victims:
German speaking users, Cryptocurrency wallet users
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 23
Hash: 3
Coin: 1
Command: 2
IP: 4
Domain: 5
Path: 9
Registry: 6
Soft:
Opera, exe, Chromium, ideload, exe ← Sp, hrome IE, Chrome, Task Scheduler, ask Scheduler 1, Windows COM, have more...
Wallets:
coinomi, electrum, exodus_wallet, wassabi, brave_wallet, coinbase, metamask, tronlink
Crypto:
bitcoin
Algorithms:
chacha20-poly1305, sha256, lzma, ripemd-160, poly1305, base58, sha1
Functions:
FUN_004112af, COM, CreateFile
Win API:
LoadLibraryW, decompress, SetProcessDPIAware, GetMessageW, TranslateMessage, DispatchMessageW, SetThreadContext, CoCreateInstance
Languages:
python
Links:
02-07-2026
Operation Turb00 — Part 3: Unmasking the SnappyClient RAT
https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a
Report completeness: High
Actors/Campaigns:
Turb00
Threats:
Snappyclient
Hijackloader
Vidar_stealer
Radmin_tool
Hvnc_tool
Dllsearchorder_hijacking_technique
Procmon_tool
Process_hollowing_technique
Dead_drop_technique
Dll_sideloading_technique
Victims:
German speaking users, Cryptocurrency wallet users
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 23
Hash: 3
Coin: 1
Command: 2
IP: 4
Domain: 5
Path: 9
Registry: 6
Soft:
Opera, exe, Chromium, ideload, exe ← Sp, hrome IE, Chrome, Task Scheduler, ask Scheduler 1, Windows COM, have more...
Wallets:
coinomi, electrum, exodus_wallet, wassabi, brave_wallet, coinbase, metamask, tronlink
Crypto:
bitcoin
Algorithms:
chacha20-poly1305, sha256, lzma, ripemd-160, poly1305, base58, sha1
Functions:
FUN_004112af, COM, CreateFile
Win API:
LoadLibraryW, decompress, SetProcessDPIAware, GetMessageW, TranslateMessage, DispatchMessageW, SetThreadContext, CoCreateInstance
Languages:
python
Links:
https://github.com/tiepologian/signature-base/tree/main/rules/vidar\_multi\_stageMedium
Operation Turb00 — Part 3: Unmasking the SnappyClient RAT
This post covers the campaign’s second infection chain, which delivers SnappyClient.
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 Operation Turb00 — Part 3: Unmasking the SnappyClient RAT https://mrtiepolo.medium.com/operation-turb00-part-3-unmasking-the-snappyclient-rat-f9336de9400a Report completeness: High Actors/Campaigns: Turb00 Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Turb00 выделяет RAT SnappyClient, сложную троянскую программу, доставляемую через многоступенчатую цепочку заражения, инициируемую HijackLoader. Используя легитимный процесс, он подгружает троянизированный DLL, который загружает пользовательскую полезную нагрузку, обеспечивая обширный контроль над скомпрометированной системой, включая доступ к удаленному рабочему столу и кражу учетных данных. Его коммуникации с управлением осуществляются по пользовательскому зашифрованному TCP-протоколу, что повышает его скрытность от традиционных методов обнаружения.
-----
Операция Turb00 раскрывает сложную киберугрозу, исходящую от SnappyClient RAT, продвинутой троянской программы, доставляемой через многоступенчатую цепочку заражения, инициированную HijackLoader. Эта вторая цепочка заражения отличается от первой использованием уникального полезного груза SnappyClient, который функционирует как постоянный имплантат, предоставляющий обширный интерактивный контроль над скомпрометированным хостом.
Атака использует легитимный процесс WizardDa42.exe (часть Radmin VPN) для запуска заражения, который подгружает троянизированный Opera DLL. Анализ показывает, что вредоносный DLL вызывает встроенный в него пользовательский загрузчик-заглушку, который затем загружает WebView2Loader.dll. Этот второй DLL, также модифицированный, содержит ресурсный пакет audio.lib, в котором находится полезная нагрузка SnappyClient. Извлечение подтвердило наличие сжатого исполняемого файла, который после распаковки подтвердил присутствие SnappyClient.
SnappyClient предназначен для полного контроля и оснащен функциями, включающими удаленный доступ к рабочему столу (HVNC), FTP-сервер, функции обратного прокси, выполнение команд, регистрацию нажатий клавиш, а также кражу учетных данных браузеров и криптовалют. Примечательно, что его связь с управлением (C2) осуществляется по собственному зашифрованному протоколу TCP, а не через HTTPS, что скрывает команды за несколькими слоями шифрования, позволяя избегать традиционного анализа трафика.
Динамический анализ детализирует поток выполнения, при котором SnappyClient, после внедрения в новый процесс, начинает устанавливать постоянные соединения с сервером C2. Вредоносное ПО выполняет различные операции, начиная от сбора учетных записей, конкретно нацеленных на данные браузеров Chrome и Edge, до поиска файлов криптографических кошельков. Собранные украденные данные размещаются в назначенных каталогах перед их эксфильтрацией на сервер C2 через несколько одновременных соединений.
Критические аспекты инфраструктуры вредоносного ПО включают использование легитимных исполняемых файлов, перехваченных злоумышленниками, что создает трудности для систем обнаружения, поскольку все взаимодействия происходят под видом доверенного программного обеспечения. Сложности в сетевых коммуникациях, отсутствие использования HTTPS и акцент на зашифрованных бинарных payload-ах через нестандартные порты усиливают его возможности скрытности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция Turb00 выделяет RAT SnappyClient, сложную троянскую программу, доставляемую через многоступенчатую цепочку заражения, инициируемую HijackLoader. Используя легитимный процесс, он подгружает троянизированный DLL, который загружает пользовательскую полезную нагрузку, обеспечивая обширный контроль над скомпрометированной системой, включая доступ к удаленному рабочему столу и кражу учетных данных. Его коммуникации с управлением осуществляются по пользовательскому зашифрованному TCP-протоколу, что повышает его скрытность от традиционных методов обнаружения.
-----
Операция Turb00 раскрывает сложную киберугрозу, исходящую от SnappyClient RAT, продвинутой троянской программы, доставляемой через многоступенчатую цепочку заражения, инициированную HijackLoader. Эта вторая цепочка заражения отличается от первой использованием уникального полезного груза SnappyClient, который функционирует как постоянный имплантат, предоставляющий обширный интерактивный контроль над скомпрометированным хостом.
Атака использует легитимный процесс WizardDa42.exe (часть Radmin VPN) для запуска заражения, который подгружает троянизированный Opera DLL. Анализ показывает, что вредоносный DLL вызывает встроенный в него пользовательский загрузчик-заглушку, который затем загружает WebView2Loader.dll. Этот второй DLL, также модифицированный, содержит ресурсный пакет audio.lib, в котором находится полезная нагрузка SnappyClient. Извлечение подтвердило наличие сжатого исполняемого файла, который после распаковки подтвердил присутствие SnappyClient.
SnappyClient предназначен для полного контроля и оснащен функциями, включающими удаленный доступ к рабочему столу (HVNC), FTP-сервер, функции обратного прокси, выполнение команд, регистрацию нажатий клавиш, а также кражу учетных данных браузеров и криптовалют. Примечательно, что его связь с управлением (C2) осуществляется по собственному зашифрованному протоколу TCP, а не через HTTPS, что скрывает команды за несколькими слоями шифрования, позволяя избегать традиционного анализа трафика.
Динамический анализ детализирует поток выполнения, при котором SnappyClient, после внедрения в новый процесс, начинает устанавливать постоянные соединения с сервером C2. Вредоносное ПО выполняет различные операции, начиная от сбора учетных записей, конкретно нацеленных на данные браузеров Chrome и Edge, до поиска файлов криптографических кошельков. Собранные украденные данные размещаются в назначенных каталогах перед их эксфильтрацией на сервер C2 через несколько одновременных соединений.
Критические аспекты инфраструктуры вредоносного ПО включают использование легитимных исполняемых файлов, перехваченных злоумышленниками, что создает трудности для систем обнаружения, поскольку все взаимодействия происходят под видом доверенного программного обеспечения. Сложности в сетевых коммуникациях, отсутствие использования HTTPS и акцент на зашифрованных бинарных payload-ах через нестандартные порты усиливают его возможности скрытности.
#ParsedReport #CompletenessMedium
30-06-2026
Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs
https://expel.com/blog/not-very-gentlemanly-analyzing-a-zero-day-exploit-used-by-the-gentlemen-ransomware-to-disable-targets-edrs/
Report completeness: Medium
Actors/Campaigns:
Gentlemen_ransomware
Threats:
Gentlemen_ransomware
Byovd_technique
Edr-killer
Robinhood
Mimikatz_tool
Victims:
Enterprises
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1068, T1211, T1562.001
IOCs:
File: 32
Hash: 3
Soft:
Windows Defender, Windows kernel, Windows Defender Application Control
Algorithms:
sha256
Functions:
CreateFile
Win API:
DeviceIoControl, ZwOpenSection, ZwMapViewOfSection, NtUserSetGestureConfig, NtQuerySystemInformation, NtUserFrostCrashedWindow, PsLookupProcessByProcessId, ObDereferenceObject, PsTerminateProcess, NtTerminateProcess, have more...
Win Services:
MsMpEng, EHttpSrv, SentinelAgent, LogProcessorService
Platforms:
intel
Links:
30-06-2026
Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs
https://expel.com/blog/not-very-gentlemanly-analyzing-a-zero-day-exploit-used-by-the-gentlemen-ransomware-to-disable-targets-edrs/
Report completeness: Medium
Actors/Campaigns:
Gentlemen_ransomware
Threats:
Gentlemen_ransomware
Byovd_technique
Edr-killer
Robinhood
Mimikatz_tool
Victims:
Enterprises
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1068, T1211, T1562.001
IOCs:
File: 32
Hash: 3
Soft:
Windows Defender, Windows kernel, Windows Defender Application Control
Algorithms:
sha256
Functions:
CreateFile
Win API:
DeviceIoControl, ZwOpenSection, ZwMapViewOfSection, NtUserSetGestureConfig, NtQuerySystemInformation, NtUserFrostCrashedWindow, PsLookupProcessByProcessId, ObDereferenceObject, PsTerminateProcess, NtTerminateProcess, have more...
Win Services:
MsMpEng, EHttpSrv, SentinelAgent, LogProcessorService
Platforms:
intel
Links:
https://github.com/hcmzah/data-ptr-commExpel
Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs
How the threat group used a zero-day vulnerability to disable the target's EDR, preventing it from intervening in their ransomware attack.
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 Not very gentlemanly: Analyzing a zero-day exploit used by The Gentlemen ransomware to disable targets’ EDRs https://expel.com/blog/not-very-gentlemanly-analyzing-a-zero-day-exploit-used-by-the-gentlemen-ransomware…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа вымогательского ПО Gentlemen, активная с июля 2025 года, использует уязвимость нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак с применением техник bring-your-own-vulnerable-driver (BYOVD), что повторяет предыдущие эксплойты других групп. Это включает обход Kernel Patch Protection для манипуляции памятью ядра из пользовательского режима, что позволяет внедрять shellcode и перенаправлять вызовы функций. ВПО использует продвинутые методы для завершения процессов EDR, сохраняя скрытность атаки.
-----
Группировка The Gentlemen, занимающаяся вымогательством, появилась в июле 2025 года и была связана с изощренным использованием уязвимости нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак. Это ВПО использует метод, известный как bring-your-own-vulnerable-driver (BYOVD), который стал заметной тенденцией после эксплуатации уязвимости gdrv.sys группировкой RobinHood в 2020 году. Во время инцидента, рассмотренного Expel в апреле, The Gentlemen использовали неопределенную уязвимость нулевого дня в драйвере стороннего производителя для вывода из строя EDR, что помешало ему предотвратить развертывание вымогательского ПО.
Эксплойт использует продвинутые техники для обхода средств защиты Windows, позволяя злоумышленникам вызывать привилегированные функции режима ядра из процесса режима пользователя. В частности, последовательность действий эксплойта включает сканирование оперативной памяти системы на наличие таблиц страниц (PML4) для получения значения cr3, что позволяет извлекать и изменять память ядра напрямую из режима пользователя.
Значимым аспектом эксплойта является его способность обходить Kernel Patch Protection (KPP), которая обычно предотвращает несанкционированные модификации функций ядра. Эксплойт хакерской группировки The Gentlemen использует технику, ссылающуюся на NtUserSetGestureConfig — метод, известный своим предыдущим применением на форумах по читерству в играх, что указывает на возможный источник вдохновения для некоторых техник эксплойтов.
Механизм эксплуатации включает чтение файла ядра с диска и его отображение в память процесса эксплойта. Он ищет определенную последовательность инструкций ассемблера для идентификации функций, которые могут быть изменены, используя общие отображения памяти (KUSER_SHARED_DATA) для внесения изменений в данные ядра без нарушения защиты Supervisor Mode Access Protection (SMAP). Кроме того, эксплойт манипулирует выделениями пула ядра, что позволяет внедрять шеллкод и перенаправлять вызовы функций для выполнения произвольного кода с привилегиями ядра.
Способность эксплойта завершать процессы EDR является значимой; он выполняет операции с использованием PsLookupProcessByProcessId и PsTerminateProcess, вероятно, для обхода обнаружения программным обеспечением безопасности, отслеживающим эти стандартные вызовы завершения процессов.
Хотя Microsoft внедрила меры безопасности, такие как кросс-подписание для драйверов ядра, устаревшие уязвимые драйверы, включая те, что эксплуатируются хакерской группировкой The Gentlemen, могут по-прежнему использоваться. Рекомендации по смягчению таких атак включают включение изоляции ядра и функций безопасности на основе виртуализации, поддержание актуального списка блокировки уязвимых драйверов, а также улучшение мер контроля приложений, таких как Windows Defender Application Control (WDAC), что может существенно ограничить поверхность атаки для эксплойтов BYOVD.
Несмотря на эти защитные стратегии, постоянная угроза, представляемая атаками BYOVD, требует бдительности и проактивных возможностей обнаружения от команд безопасности, которые должны анализировать и адаптироваться к новым уязвимостям, которые могут быть использованы злоумышленниками, такими как хакерская группировка The Gentlemen, в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа вымогательского ПО Gentlemen, активная с июля 2025 года, использует уязвимость нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак с применением техник bring-your-own-vulnerable-driver (BYOVD), что повторяет предыдущие эксплойты других групп. Это включает обход Kernel Patch Protection для манипуляции памятью ядра из пользовательского режима, что позволяет внедрять shellcode и перенаправлять вызовы функций. ВПО использует продвинутые методы для завершения процессов EDR, сохраняя скрытность атаки.
-----
Группировка The Gentlemen, занимающаяся вымогательством, появилась в июле 2025 года и была связана с изощренным использованием уязвимости нулевого дня для отключения систем обнаружения и реагирования на конечных точках (EDR) во время атак. Это ВПО использует метод, известный как bring-your-own-vulnerable-driver (BYOVD), который стал заметной тенденцией после эксплуатации уязвимости gdrv.sys группировкой RobinHood в 2020 году. Во время инцидента, рассмотренного Expel в апреле, The Gentlemen использовали неопределенную уязвимость нулевого дня в драйвере стороннего производителя для вывода из строя EDR, что помешало ему предотвратить развертывание вымогательского ПО.
Эксплойт использует продвинутые техники для обхода средств защиты Windows, позволяя злоумышленникам вызывать привилегированные функции режима ядра из процесса режима пользователя. В частности, последовательность действий эксплойта включает сканирование оперативной памяти системы на наличие таблиц страниц (PML4) для получения значения cr3, что позволяет извлекать и изменять память ядра напрямую из режима пользователя.
Значимым аспектом эксплойта является его способность обходить Kernel Patch Protection (KPP), которая обычно предотвращает несанкционированные модификации функций ядра. Эксплойт хакерской группировки The Gentlemen использует технику, ссылающуюся на NtUserSetGestureConfig — метод, известный своим предыдущим применением на форумах по читерству в играх, что указывает на возможный источник вдохновения для некоторых техник эксплойтов.
Механизм эксплуатации включает чтение файла ядра с диска и его отображение в память процесса эксплойта. Он ищет определенную последовательность инструкций ассемблера для идентификации функций, которые могут быть изменены, используя общие отображения памяти (KUSER_SHARED_DATA) для внесения изменений в данные ядра без нарушения защиты Supervisor Mode Access Protection (SMAP). Кроме того, эксплойт манипулирует выделениями пула ядра, что позволяет внедрять шеллкод и перенаправлять вызовы функций для выполнения произвольного кода с привилегиями ядра.
Способность эксплойта завершать процессы EDR является значимой; он выполняет операции с использованием PsLookupProcessByProcessId и PsTerminateProcess, вероятно, для обхода обнаружения программным обеспечением безопасности, отслеживающим эти стандартные вызовы завершения процессов.
Хотя Microsoft внедрила меры безопасности, такие как кросс-подписание для драйверов ядра, устаревшие уязвимые драйверы, включая те, что эксплуатируются хакерской группировкой The Gentlemen, могут по-прежнему использоваться. Рекомендации по смягчению таких атак включают включение изоляции ядра и функций безопасности на основе виртуализации, поддержание актуального списка блокировки уязвимых драйверов, а также улучшение мер контроля приложений, таких как Windows Defender Application Control (WDAC), что может существенно ограничить поверхность атаки для эксплойтов BYOVD.
Несмотря на эти защитные стратегии, постоянная угроза, представляемая атаками BYOVD, требует бдительности и проактивных возможностей обнаружения от команд безопасности, которые должны анализировать и адаптироваться к новым уязвимостям, которые могут быть использованы злоумышленниками, такими как хакерская группировка The Gentlemen, в будущем.
#ParsedReport #CompletenessHigh
29-06-2026
From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira
https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/
Report completeness: High
Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Dll_sideloading_technique
Nltest_tool
Lolbin_technique
Rustdesk_tool
Credential_harvesting_technique
Byovd_technique
Shadow_copies_delete_technique
Cloudflared_tool
Av-killer
Dllsearchorder_hijacking_technique
Supply_chain_technique
Process_injection_technique
Minidump_tool
Credential_dumping_technique
Impacket_tool
Softperfect_netscan_tool
Powerview_tool
Powersploit_tool
Mremoteng_tool
Passthehash_technique
Victims:
Telecommunications, Information technology
Industry:
Critical_infrastructure
Geo:
Russian, Chinese, Ukraine, Russia, Belarus
TTPs:
Tactics: 11
Technics: 28
IOCs:
File: 38
Domain: 23
IP: 14
Path: 22
Command: 3
Hash: 3
Soft:
Windows Address Book, Windows service, Active Directory, Ivanti, PostgreSQL, SoftPerfect Network Scanner, Windows Security, Windows SSH, Linux, Windows Shell, have more...
Algorithms:
base64
Functions:
Sysmon, Get-ADComputer, Get-ADUser, Get-DnsServerZone, Get-Process
Win API:
GetSystemDefaultLocaleName, ExitProcess, EXE, NETBIOS
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
have more...
29-06-2026
From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira
https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/
Report completeness: High
Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Dll_sideloading_technique
Nltest_tool
Lolbin_technique
Rustdesk_tool
Credential_harvesting_technique
Byovd_technique
Shadow_copies_delete_technique
Cloudflared_tool
Av-killer
Dllsearchorder_hijacking_technique
Supply_chain_technique
Process_injection_technique
Minidump_tool
Credential_dumping_technique
Impacket_tool
Softperfect_netscan_tool
Powerview_tool
Powersploit_tool
Mremoteng_tool
Passthehash_technique
Victims:
Telecommunications, Information technology
Industry:
Critical_infrastructure
Geo:
Russian, Chinese, Ukraine, Russia, Belarus
TTPs:
Tactics: 11
Technics: 28
IOCs:
File: 38
Domain: 23
IP: 14
Path: 22
Command: 3
Hash: 3
Soft:
Windows Address Book, Windows service, Active Directory, Ivanti, PostgreSQL, SoftPerfect Network Scanner, Windows Security, Windows SSH, Linux, Windows Shell, have more...
Algorithms:
base64
Functions:
Sysmon, Get-ADComputer, Get-ADUser, Get-DnsServerZone, Get-Process
Win API:
GetSystemDefaultLocaleName, ExitProcess, EXE, NETBIOS
Languages:
powershell
YARA: Found
SIGMA: Found
Links:
have more...
https://github.com/SigmaHQ/sigma/blob/master/rules/windows/process\_creation/proc\_creation\_win\_susp\_system\_exe\_anomaly.ymlhttps://github.com/Adaptix-Framework/AdaptixC2https://github.com/hasherezade/pe-sieveThe DFIR Report
From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira - The DFIR Report
Key Takeaways This case was first reported to customers in a threat brief released in July 2025 and in a public flash alert in August 2025 in partnership with Swisscom B2B CSIRT, which observed another intrusion tied to the same campaign. This report contains…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/ Report completeness: High Threats:…
#ParsedReport #ExtractedSchema
Classified images:
windows: 18, table: 16, dump: 1, code: 11, schema: 6, chart: 1
Classified images:
windows: 18, table: 16, dump: 1, code: 11, schema: 6, chart: 1
CTT Report Hub
#ParsedReport #CompletenessHigh 29-06-2026 From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira https://thedfirreport.com/2026/06/29/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira-3/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июле 2025 года вредоносная кампания с использованием вредоносного ПО BumbleBee применяла Отравление поисковой оптимизации (SEO) для доставки троянизированных установщиков, выполняя загрузчик первого этапа, который устанавливал связь с C2. Злоумышленник повышал привилегии и выполнял перемещение внутри компании с использованием RDP, развертывая инструменты для сбора учетных записей и эксфильтрации данных, в конечном итоге передав более 75 ГБ конфиденциальных данных. Операция привела к развертыванию ransomware Akira, используя передовые техники уклонения, боковую загрузку DLL и сетевые сканирования для достижения обширного контроля над целевой средой.
-----
В июле 2025 года вредоносная кампания BumbleBee нацелилась на пользователей через Отравление поисковой оптимизации (SEO), в частности используя поддельный сайт, маскирующийся под ManageEngine OpManager. Жертвы скачали троянизированный MSI-установщик, который выполнил загрузчик первого этапа BumbleBee (msimg32.dll) через боковую загрузку DLL. Этот первоначальный доступ установил связь управления (C2) с инфраструктурой, контролируемой злоумышленником. Вскоре после этого, примерно через пять часов после заражения, актор развернул AdgNsy.exe — переименованную утилиту Windows Address Book, встроенную с shellcode AdaptixC2, что обеспечило постоянную связь C2 и обширную разведку внутренней сети.
Злоумышленник повысил привилегии, создав доменные учетные записи с правами Enterprise Admin и развернув RustDesk на нескольких серверах. В течение трех дней они осуществляли перемещение внутри компании с использованием RDP, атаковали контроллеры домена и резервные серверы, собирали конфиденциальные данные с помощью строгих тактик сбора учетных записей и использовали такие инструменты, как wbadmin.exe, для выгрузки файла NTDS.dit, содержащего учетные данные активного каталога. Они применяли различные техники для обхода защиты, включая использование обратного SSH-туннеля для проксирования трафика RDP и применение смешанного регистра для обфускации командной строки.
Эксфильтрация данных осуществлялась с использованием FileZilla, которое актор, вероятно, внедрил через буфер обмена RDP, что позволило передать более 75 ГБ конфиденциальных данных, включая файловые шары и конфигурации SYSVOL, на сервер в Украине. Инцидент завершился развертыванием ransomware Akira примерно через 44 часа после первоначального доступа, при этом использовался бинарный файл locker.exe для шифрования ресурсов домена и дочернего домена, а затем инициировалось удаление теневых копий тома через WMI.
В ходе этой операции вредоносное ПО BumbleBee продемонстрировало сложные методы перемещения внутри компании и сбора данных, используя команды из утилит Windows и выполняя сетевые сканирования с помощью таких инструментов, как SoftPerfect Network Scanner. Фреймворк управления (command-and-control) AdaptixC2 обеспечивал устойчивую связь, одновременно облегчая злоумышленникам возможность для перемещения внутри компании и выполнения удаленных команд, что оказало значительное влияние на целевую среду.
Вектор нагрузки продемонстрировал продвинутые тактики подгрузки DLL и возможности внедрения кода в процессы для обхода обнаружения, одновременно используя встроенные системные утилиты и скрипты PowerShell для сбора информации о системе и развертывания дополнительных инструментов. Этот детальный анализ указывает на скоординированную и скрытую кибератаку, которая объединила различные методы атаки для достижения широкого сетевого доступа и контроля над данными, что в итоге привело к развертыванию программы-вымогателя.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июле 2025 года вредоносная кампания с использованием вредоносного ПО BumbleBee применяла Отравление поисковой оптимизации (SEO) для доставки троянизированных установщиков, выполняя загрузчик первого этапа, который устанавливал связь с C2. Злоумышленник повышал привилегии и выполнял перемещение внутри компании с использованием RDP, развертывая инструменты для сбора учетных записей и эксфильтрации данных, в конечном итоге передав более 75 ГБ конфиденциальных данных. Операция привела к развертыванию ransomware Akira, используя передовые техники уклонения, боковую загрузку DLL и сетевые сканирования для достижения обширного контроля над целевой средой.
-----
В июле 2025 года вредоносная кампания BumbleBee нацелилась на пользователей через Отравление поисковой оптимизации (SEO), в частности используя поддельный сайт, маскирующийся под ManageEngine OpManager. Жертвы скачали троянизированный MSI-установщик, который выполнил загрузчик первого этапа BumbleBee (msimg32.dll) через боковую загрузку DLL. Этот первоначальный доступ установил связь управления (C2) с инфраструктурой, контролируемой злоумышленником. Вскоре после этого, примерно через пять часов после заражения, актор развернул AdgNsy.exe — переименованную утилиту Windows Address Book, встроенную с shellcode AdaptixC2, что обеспечило постоянную связь C2 и обширную разведку внутренней сети.
Злоумышленник повысил привилегии, создав доменные учетные записи с правами Enterprise Admin и развернув RustDesk на нескольких серверах. В течение трех дней они осуществляли перемещение внутри компании с использованием RDP, атаковали контроллеры домена и резервные серверы, собирали конфиденциальные данные с помощью строгих тактик сбора учетных записей и использовали такие инструменты, как wbadmin.exe, для выгрузки файла NTDS.dit, содержащего учетные данные активного каталога. Они применяли различные техники для обхода защиты, включая использование обратного SSH-туннеля для проксирования трафика RDP и применение смешанного регистра для обфускации командной строки.
Эксфильтрация данных осуществлялась с использованием FileZilla, которое актор, вероятно, внедрил через буфер обмена RDP, что позволило передать более 75 ГБ конфиденциальных данных, включая файловые шары и конфигурации SYSVOL, на сервер в Украине. Инцидент завершился развертыванием ransomware Akira примерно через 44 часа после первоначального доступа, при этом использовался бинарный файл locker.exe для шифрования ресурсов домена и дочернего домена, а затем инициировалось удаление теневых копий тома через WMI.
В ходе этой операции вредоносное ПО BumbleBee продемонстрировало сложные методы перемещения внутри компании и сбора данных, используя команды из утилит Windows и выполняя сетевые сканирования с помощью таких инструментов, как SoftPerfect Network Scanner. Фреймворк управления (command-and-control) AdaptixC2 обеспечивал устойчивую связь, одновременно облегчая злоумышленникам возможность для перемещения внутри компании и выполнения удаленных команд, что оказало значительное влияние на целевую среду.
Вектор нагрузки продемонстрировал продвинутые тактики подгрузки DLL и возможности внедрения кода в процессы для обхода обнаружения, одновременно используя встроенные системные утилиты и скрипты PowerShell для сбора информации о системе и развертывания дополнительных инструментов. Этот детальный анализ указывает на скоординированную и скрытую кибератаку, которая объединила различные методы атаки для достижения широкого сетевого доступа и контроля над данными, что в итоге привело к развертыванию программы-вымогателя.
#ParsedReport #CompletenessLow
02-07-2026
Branded Gambling Campaigns: How Scammers Are Exploiting Trusted Brand Names to Drive Casino Traffic
https://www.netcraft.com/blog/branded-gambling-campaigns-how-scammers-are-exploiting-trusted-brands
Report completeness: Low
Victims:
Consumers, Financial institutions, Retail, Streaming services, Lottery, Gambling
Industry:
Financial, Entertainment, Game_industry, Retail
Geo:
Spanish, Australia, Canadian, Irish, German
ChatGPT TTPs:
T1036, T1204.001, T1583.001
IOCs:
Domain: 12
Soft:
Google Play, Instagram, TikTok
Platforms:
apple
Links:
02-07-2026
Branded Gambling Campaigns: How Scammers Are Exploiting Trusted Brand Names to Drive Casino Traffic
https://www.netcraft.com/blog/branded-gambling-campaigns-how-scammers-are-exploiting-trusted-brands
Report completeness: Low
Victims:
Consumers, Financial institutions, Retail, Streaming services, Lottery, Gambling
Industry:
Financial, Entertainment, Game_industry, Retail
Geo:
Spanish, Australia, Canadian, Irish, German
ChatGPT TTPs:
do not use without manual checkT1036, T1204.001, T1583.001
IOCs:
Domain: 12
Soft:
Google Play, Instagram, TikTok
Platforms:
apple
Links:
https://github.com/netcraftNetcraft
Branded Gambling Campaigns: How Scammers Exploit Trusted Brands
Learn how scammers use fake gambling ads, app store pages, and PWAs to impersonate trusted brands and drive users to online casinos.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 Branded Gambling Campaigns: How Scammers Are Exploiting Trusted Brand Names to Drive Casino Traffic https://www.netcraft.com/blog/branded-gambling-campaigns-how-scammers-are-exploiting-trusted-brands Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют известные названия брендов для создания обманных рекламных объявлений, которые направляют трафик на мошеннические сайты онлайн-казино. Пользователи сталкиваются с вводящими в заблуждение объявлениями на таких платформах, как Facebook и Instagram, которые ведут на поддельные целевые страницы, имитирующие доверенные бренды. Эти страницы продвигают прогрессивное веб-приложение (PWA), которое выглядит правдоподобно, но перенаправляет пользователей на платформу для ставок, предназначенную для извлечения средств, при этом мошенники получают выгоду от партнерской модели, основанной на вводящих в заблуждение ассоциациях с брендами и поддельных отзывах.
-----
Рассматриваемая кампания демонстрирует, как злоумышленники используют известные бренды для создания вводящих в заблуждение рекламных объявлений, направленных на привлечение трафика на мошеннические сайты онлайн-казино. Потребители сталкиваются с платными объявлениями на таких платформах, как Facebook и Instagram, которые ложно заявляют о партнерстве или предложениях от доверенных брендов, таких как банки и розничные торговцы. При нажатии на эти объявления пользователи перенаправляются на поддельные целевые страницы, имитирующие брендинг компаний, таких как Monzo, Tesco или Netflix, где представлены сфабрикованные отзывы или продукты, например, вымышленная игра в онлайн-слоты.
Попав на эти целевые страницы, пользователи убеждаются в том, что получают доступ к легитимным приложениям, однако на самом деле они устанавливают прогрессивное веб-приложение (PWA) вместо традиционных приложений. Это PWA действует как ярлык на домашнем экране пользователя, содержащий логотип имитируемого бренда. При открытии PWA загружает сайт для азартных игр, настроенный злоумышленниками, сохраняя при этом иллюзию легитимного брендового приложения. Использование параметров отслеживания аффилированных лиц как внутри PWA, так и в URL-адресах казино указывает на то, что бизнес-модель злоумышленника строится на привлечении пользователей такими обманными способами, при этом модели выплат, по сообщениям, варьируются от 50 до 350 долларов за каждого клиента, внесшего депозит.
Рекламные объявления и целевые страницы характеризуются нарастающими уровнями имперсонации брендов, используя поддельные записи в магазинах приложений, которые имитируют страницы Google Play или Apple App Store. В этих подделках злоумышленники создают фиктивные записи с вводящими в заблуждение рейтингами и отзывами, якобы для повышения доверия. Имена доменов для целевых страниц часто используют неопределенные или случайные комбинации слов, снижая вероятность обнаружения стандартными механизмами борьбы с мошенничеством.
Конечная цель — склонить пользователей к регистрации и внесению средств на связанных онлайн-казино, которые представляют собой функциональные игровые платформы, но не используют прямую Имперсонацию бренда. Мошенники используют узнаваемое брендовое оформление, чтобы ввести пользователей в заблуждение и вызвать доверие, необходимое для эксплуатации. Кампания демонстрирует закрепление и адаптивность злоумышленников в использовании партнерских моделей для извлечения прибыли из неосведомленных потребителей, при этом индикаторы компрометации, связанные с этими усилиями, задокументированы в открытых репозиториях для дальнейшего мониторинга и смягчения последствий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют известные названия брендов для создания обманных рекламных объявлений, которые направляют трафик на мошеннические сайты онлайн-казино. Пользователи сталкиваются с вводящими в заблуждение объявлениями на таких платформах, как Facebook и Instagram, которые ведут на поддельные целевые страницы, имитирующие доверенные бренды. Эти страницы продвигают прогрессивное веб-приложение (PWA), которое выглядит правдоподобно, но перенаправляет пользователей на платформу для ставок, предназначенную для извлечения средств, при этом мошенники получают выгоду от партнерской модели, основанной на вводящих в заблуждение ассоциациях с брендами и поддельных отзывах.
-----
Рассматриваемая кампания демонстрирует, как злоумышленники используют известные бренды для создания вводящих в заблуждение рекламных объявлений, направленных на привлечение трафика на мошеннические сайты онлайн-казино. Потребители сталкиваются с платными объявлениями на таких платформах, как Facebook и Instagram, которые ложно заявляют о партнерстве или предложениях от доверенных брендов, таких как банки и розничные торговцы. При нажатии на эти объявления пользователи перенаправляются на поддельные целевые страницы, имитирующие брендинг компаний, таких как Monzo, Tesco или Netflix, где представлены сфабрикованные отзывы или продукты, например, вымышленная игра в онлайн-слоты.
Попав на эти целевые страницы, пользователи убеждаются в том, что получают доступ к легитимным приложениям, однако на самом деле они устанавливают прогрессивное веб-приложение (PWA) вместо традиционных приложений. Это PWA действует как ярлык на домашнем экране пользователя, содержащий логотип имитируемого бренда. При открытии PWA загружает сайт для азартных игр, настроенный злоумышленниками, сохраняя при этом иллюзию легитимного брендового приложения. Использование параметров отслеживания аффилированных лиц как внутри PWA, так и в URL-адресах казино указывает на то, что бизнес-модель злоумышленника строится на привлечении пользователей такими обманными способами, при этом модели выплат, по сообщениям, варьируются от 50 до 350 долларов за каждого клиента, внесшего депозит.
Рекламные объявления и целевые страницы характеризуются нарастающими уровнями имперсонации брендов, используя поддельные записи в магазинах приложений, которые имитируют страницы Google Play или Apple App Store. В этих подделках злоумышленники создают фиктивные записи с вводящими в заблуждение рейтингами и отзывами, якобы для повышения доверия. Имена доменов для целевых страниц часто используют неопределенные или случайные комбинации слов, снижая вероятность обнаружения стандартными механизмами борьбы с мошенничеством.
Конечная цель — склонить пользователей к регистрации и внесению средств на связанных онлайн-казино, которые представляют собой функциональные игровые платформы, но не используют прямую Имперсонацию бренда. Мошенники используют узнаваемое брендовое оформление, чтобы ввести пользователей в заблуждение и вызвать доверие, необходимое для эксплуатации. Кампания демонстрирует закрепление и адаптивность злоумышленников в использовании партнерских моделей для извлечения прибыли из неосведомленных потребителей, при этом индикаторы компрометации, связанные с этими усилиями, задокументированы в открытых репозиториях для дальнейшего мониторинга и смягчения последствий.
#ParsedReport #CompletenessLow
06-07-2026
The Email Auth Was Green. The Image Still Carried Malware.
https://www.codeaintel.com/p/the-email-auth-was-green-the-image
Report completeness: Low
Threats:
Spear-phishing_technique
TTPs:
ChatGPT TTPs:
T1027, T1027.009, T1566.001
IOCs:
Hash: 2
Algorithms:
md5, sha256
06-07-2026
The Email Auth Was Green. The Image Still Carried Malware.
https://www.codeaintel.com/p/the-email-auth-was-green-the-image
Report completeness: Low
Threats:
Spear-phishing_technique
TTPs:
ChatGPT TTPs:
do not use without manual checkT1027, T1027.009, T1566.001
IOCs:
Hash: 2
Algorithms:
md5, sha256
Codeaintel
The Email Auth Was Green. The Image Still Carried Malware.
A valid SPF, DKIM, and DMARC result did not stop a Windows executable from riding inside an inline PNG. The control gap is content inspection, not authentication.
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2026 The Email Auth Was Green. The Image Still Carried Malware. https://www.codeaintel.com/p/the-email-auth-was-green-the-image Report completeness: Low Threats: Spear-phishing_technique TTPs: ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Дело IRONSCALES выявило уязвимость в безопасности электронной почты, где вредоносное ПО было скрыто во встроенных изображениях, таких как файлы PNG, обойдя стандартные проверки аутентификации (SPF, DKIM, DMARC). Этот инцидент соответствует техникам MITRE ATT&CK T1566.001 (Целевой фишинг с вложениями) и T1027 (зашифрованные полезная нагрузка), подчеркивая необходимость более тщательной проверки содержимого за пределами аутентификации отправителя. Дело демонстрирует важность критического анализа содержимого полезной нагрузки электронной почты, а не полагаться исключительно на меры аутентификации.
-----
Случай IRONSCALES демонстрирует существенную уязвимость в безопасности электронной почты, которая позволяет скрыть ВПО внутри кажущихся безобидными встроенных изображений, таких как файлы PNG. Несмотря на то, что письмо прошло проверки на соответствие SPF, DKIM и DMARC — стандартным мерам аутентификации, встроенная вредоносная нагрузка смогла обойти эти защиты. Это демонстрирует критический пробел в практике проверки содержимого, поскольку обнаружение угроз должно фокусироваться на доставляемом содержимом, а не только на аутентификации отправителя.
Специфическая техника, примененная в этом инциденте, соответствует фреймворку MITRE ATT&CK, в частности T1566.001, относящейся к целевому фишингу с вложением, и T1027, касающейся обфусцированных или встраиваемых полезных нагрузок. Такое сопоставление подчеркивает насущную необходимость усиления протоколов проверки, которые будут глубже анализировать содержимое полезной нагрузки, а не полагаться исключительно на метки аутентификации. Обнаружение таких угроз требует не только внимания к легитимности домена отправителя, но и тщательного анализа структур файлов, содержащихся в сообщении.
Важно отметить необходимость человеческого контекста при работе с этими потенциальными угрозами. Хотя не каждая странность в электронном письме должна восприниматься как злонамеренная, любое трение в доставке контента должно вызывать дополнительную проверку. Этот случай демонстрирует, что легитимные домены не следует блокировать исключительно на основе изолированных инцидентов передачи ВПО через аутентифицированные каналы. Аналогично, он предостерегает от обобщенной оценки, которая рассматривает все встроенные изображения как угрозы, подчеркивая, что DMARC не должен просто служить приговором безопасности содержимого письма.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Дело IRONSCALES выявило уязвимость в безопасности электронной почты, где вредоносное ПО было скрыто во встроенных изображениях, таких как файлы PNG, обойдя стандартные проверки аутентификации (SPF, DKIM, DMARC). Этот инцидент соответствует техникам MITRE ATT&CK T1566.001 (Целевой фишинг с вложениями) и T1027 (зашифрованные полезная нагрузка), подчеркивая необходимость более тщательной проверки содержимого за пределами аутентификации отправителя. Дело демонстрирует важность критического анализа содержимого полезной нагрузки электронной почты, а не полагаться исключительно на меры аутентификации.
-----
Случай IRONSCALES демонстрирует существенную уязвимость в безопасности электронной почты, которая позволяет скрыть ВПО внутри кажущихся безобидными встроенных изображений, таких как файлы PNG. Несмотря на то, что письмо прошло проверки на соответствие SPF, DKIM и DMARC — стандартным мерам аутентификации, встроенная вредоносная нагрузка смогла обойти эти защиты. Это демонстрирует критический пробел в практике проверки содержимого, поскольку обнаружение угроз должно фокусироваться на доставляемом содержимом, а не только на аутентификации отправителя.
Специфическая техника, примененная в этом инциденте, соответствует фреймворку MITRE ATT&CK, в частности T1566.001, относящейся к целевому фишингу с вложением, и T1027, касающейся обфусцированных или встраиваемых полезных нагрузок. Такое сопоставление подчеркивает насущную необходимость усиления протоколов проверки, которые будут глубже анализировать содержимое полезной нагрузки, а не полагаться исключительно на метки аутентификации. Обнаружение таких угроз требует не только внимания к легитимности домена отправителя, но и тщательного анализа структур файлов, содержащихся в сообщении.
Важно отметить необходимость человеческого контекста при работе с этими потенциальными угрозами. Хотя не каждая странность в электронном письме должна восприниматься как злонамеренная, любое трение в доставке контента должно вызывать дополнительную проверку. Этот случай демонстрирует, что легитимные домены не следует блокировать исключительно на основе изолированных инцидентов передачи ВПО через аутентифицированные каналы. Аналогично, он предостерегает от обобщенной оценки, которая рассматривает все встроенные изображения как угрозы, подчеркивая, что DMARC не должен просто служить приговором безопасности содержимого письма.