CTT Report Hub
3.41K subscribers
9.63K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2026 The Email Auth Was Green. The Image Still Carried Malware. https://www.codeaintel.com/p/the-email-auth-was-green-the-image Report completeness: Low Threats: Spear-phishing_technique TTPs: ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Дело IRONSCALES выявило уязвимость в безопасности электронной почты, где вредоносное ПО было скрыто во встроенных изображениях, таких как файлы PNG, обойдя стандартные проверки аутентификации (SPF, DKIM, DMARC). Этот инцидент соответствует техникам MITRE ATT&CK T1566.001 (Целевой фишинг с вложениями) и T1027 (зашифрованные полезная нагрузка), подчеркивая необходимость более тщательной проверки содержимого за пределами аутентификации отправителя. Дело демонстрирует важность критического анализа содержимого полезной нагрузки электронной почты, а не полагаться исключительно на меры аутентификации.
-----

Случай IRONSCALES демонстрирует существенную уязвимость в безопасности электронной почты, которая позволяет скрыть ВПО внутри кажущихся безобидными встроенных изображений, таких как файлы PNG. Несмотря на то, что письмо прошло проверки на соответствие SPF, DKIM и DMARC — стандартным мерам аутентификации, встроенная вредоносная нагрузка смогла обойти эти защиты. Это демонстрирует критический пробел в практике проверки содержимого, поскольку обнаружение угроз должно фокусироваться на доставляемом содержимом, а не только на аутентификации отправителя.

Специфическая техника, примененная в этом инциденте, соответствует фреймворку MITRE ATT&CK, в частности T1566.001, относящейся к целевому фишингу с вложением, и T1027, касающейся обфусцированных или встраиваемых полезных нагрузок. Такое сопоставление подчеркивает насущную необходимость усиления протоколов проверки, которые будут глубже анализировать содержимое полезной нагрузки, а не полагаться исключительно на метки аутентификации. Обнаружение таких угроз требует не только внимания к легитимности домена отправителя, но и тщательного анализа структур файлов, содержащихся в сообщении.

Важно отметить необходимость человеческого контекста при работе с этими потенциальными угрозами. Хотя не каждая странность в электронном письме должна восприниматься как злонамеренная, любое трение в доставке контента должно вызывать дополнительную проверку. Этот случай демонстрирует, что легитимные домены не следует блокировать исключительно на основе изолированных инцидентов передачи ВПО через аутентифицированные каналы. Аналогично, он предостерегает от обобщенной оценки, которая рассматривает все встроенные изображения как угрозы, подчеркивая, что DMARC не должен просто служить приговором безопасности содержимого письма.
#ParsedReport #CompletenessLow
06-07-2026

When checking the URL isn’t enough: a Device Code Phishing attack via a Microsoft website

https://securelist.com/microsoft-device-code-phishing-attack/120350/

Report completeness: Low

Threats:
Device_code_phishing_technique

Victims:
Enterprise users

Industry:
Media, Iot

Geo:
Brazil, Brazilian

ChatGPT TTPs:
do not use without manual check
T1027.013, T1528, T1566.001, T1566.002, T1656

IOCs:
Email: 1

Soft:
Microsoft Entra, Azure AD
CTT Report Hub
#ParsedReport #CompletenessLow 06-07-2026 When checking the URL isn’t enough: a Device Code Phishing attack via a Microsoft website https://securelist.com/microsoft-device-code-phishing-attack/120350/ Report completeness: Low Threats: Device_code_phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинг-кампания использовала Device Authorization Grant OAuth 2.0, нацеливаясь на пользователей через электронные письма, которые выглядели как от юридической фирмы, и направляя их на поддельный портал, имитирующий корпоративный сайт. Злоумышленники манипулировали потоком аутентификации, используя легитимные URL-адреса для перенаправления жертв, тем самым эффективно скрывая свои вредоносные намерения. Этот развивающийся подход демонстрирует сдвиг в тактике, включая нацеливание на конкретные регионы и отказ от вложений в пользу встроенных ссылок, что усложняет обнаружение.
-----

В ходе недавней фишинг-кампании, использующей платформу Microsoft Identity Platform, злоумышленники эксплуатировали механизм Device Authorization Grant спецификации OAuth 2.0, который в основном применяется для упрощения входа на устройства с ограниченными возможностями ввода. Эта схема позволяет пользователям аутентифицировать такие устройства, как смарт-телевизоры или IoT-гаджеты, путем ввода пользовательского кода на вторичном устройстве. В рамках вредоносной кампании использовались фишинговые письма, замаскированные под уведомления от юридической фирмы, которые содержали PDF-файл, защищенный паролем. Вместо традиционного фишингового домена PDF-файлы содержали ссылки на легитимный URL-адрес Microsoft, который перенаправлял пользователей на поддельный портал, имитирующий корпоративный юридический сайт.

Когда пользователи инициируют этот процесс аутентификации, они запрашивают код авторизации на сервере Microsoft, отправляя POST-запрос к указанному URL. В ответе содержатся критические параметры, такие как device_code, user_code и verification_uri, которые направляют пользователей на завершение аутентификации на другом устройстве. Злоумышленники манипулировали этими взаимодействиями, перенаправляя жертв через легитимные платформы, которые функционировали исключительно как прокси для вредоносных конечных точек, тем самым маскируя свои фишинг-активности. В одном из случаев злоумышленники использовали cacoo.com, надежную платформу для создания диаграмм, для перенаправления пользователей, продемонстрировав усовершенствованный подход к эксплуатации открытых перенаправлений для фишинг-атак.

Методология этих атак оказалась адаптивной, с заметным смещением в сторону целевых атак на конкретные географические регионы, такие как Бразилия. Последующие фишинговые попытки отказались от вложений и стали полагаться на встроенные ссылки, что вновь подчеркивает постоянно меняющийся ландшафт угроз. Эта стратегия указывает на серьезную проблему, при которой злоумышленники используют легитимные сервисы, усложняя обнаружение и увеличивая вероятность кражи учетных данных без традиционного развертывания ВПО.

Для снижения рисков, связанных с фишингом через Device Code, пользователям рекомендуется сохранять бдительность и избегать одобрения подозрительных запросов на аутентификацию. Следует проявлять осторожность даже тогда, когда ссылки, по-видимому, ведут на доверенные домены, поскольку злоумышленники часто добавляют параметры перенаправления к легитимным URL-адресам для достижения своих целей. Организациям дополнительно рекомендуется оценивать необходимость Device Code Flow в своей инфраструктуре, потенциально отключая его с помощью Политики условного доступа. Усиленный мониторинг событий входа и обеспечение соответствия устройств, наряду с надежными мерами безопасности электронной почты, необходимы для защиты от таких сложных атак фишинга.
#ParsedReport #CompletenessMedium
07-07-2026

UAT-7810 continues building ORB networks using new malware

https://blog.talosintelligence.com/uat-7810/

Report completeness: Medium

Actors/Campaigns:
Uat-7810
Uat-5918

Threats:
Lapdogs
Shortleash
Dogleash
Jarleash
Leashtest
Netcat_tool

Victims:
Networking devices, Wireless routers, Aicloud routers, Internet of things devices

Industry:
Iot

Geo:
Chinese, Hong kong, China

CVEs:
CVE-2020-22658 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless r310_firmware (10.5.1.0.199)

CVE-2020-22653 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless r310_firmware (10.5.1.0.199)

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-25717 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ruckuswireless ruckus_wireless_admin (le10.4)
- ruckuswireless smartzone_ap (<6.1.0.0.9240)


ChatGPT TTPs:
do not use without manual check
T1001.003, T1059.004, T1090, T1090.003, T1105, T1190, T1562.004, T1572, T1573, T1583.003, have more...

IOCs:
IP: 4
File: 1
Url: 9
Hash: 76

Soft:
ORB networks, Linux, Ruckus, ORB network, Chrome

Algorithms:
base64, base58

Languages:
java

Platforms:
mips, x64, arm

Links:
https://github.com/Mbed-TLS/mbedtls
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 UAT-7810 continues building ORB networks using new malware https://blog.talosintelligence.com/uat-7810/ Report completeness: Medium Actors/Campaigns: Uat-7810 Uat-5918 Threats: Lapdogs Shortleash Dogleash Jarleash…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-7810 — это китайский АТР-актор, ориентированный на создание сетей Оперативного ретрансляционного бокса (ORB) для вторичных атак, использующий сложный арсенал ВПО, включающий бэкдоры, такие как LONGLEASH, SHORTLEASH, DOGLEASH и JARLEASH. LONGLEASH усиливает операции управления, в то время как DOGLEASH действует как пассивный бэкдор для TCP-коммуникаций, используя закодированные данные для удаленного выполнения команд. UAT-7810 эксплуатирует не исправленные уязвимости в устройствах, особенно нацеливаясь на маршрутизаторы Ruckus и применяя разнообразные архитектуры для своих полезной нагрузки, что указывает на комплексную стратегию атаки.
-----

UAT-7810 — это сложная целенаправленная угроза (APT), ориентированная на создание сетей Операционного ретрансляционного блока (ORB), позволяющих вторичным злоумышленникам использовать эти сети для целевых атак. Cisco Talos отслеживает эволюционирующий арсенал ВПО UAT-7810, который включает недавно разработанный бэкдор под названием LONGLEASH, обновленную версию SHORTLEASH, а также два дополнительных семейства ВПО: DOGLEASH и JARLEASH. LONGLEASH расширяет предыдущие функциональные возможности, поддерживая коммуникации управления (C2) и улучшенные сетевые возможности, оставаясь при этом построенным на асинхронном фреймворке для обеспечения эффективности.

UAT-7810 характеризуется как злоумышленник, связанный с Китаем, потенциально сотрудничающий с группами, такими как UAT-5918. Расследования выявили тесную связь через общую инфраструктуру и пересекающиеся инструменты, что указывает на стратегическую координацию, хотя Talos утверждает, что это различные сущности с уникальными целями.

ВПО DOGLEASH действует как пассивный бэкдор для скомпрометированных систем, управляя TCP-коммуникациями через модификации конкретных IP-таблиц и выполняя команды на основе закодированных данных, полученных от атакующего. Этот бэкдор служит постоянным каналом доступа в систему после успешной компрометации. JARLEASH, бэкдор на базе Java, аналогичным образом разворачивается для административного доступа с возможностями, такими как управление файлами и серверные функции для FTP и SFTP.

Более того, UAT-7810 обнаружен эксплуатирующим незакрытые уязвимости, особенно нацеливаясь на беспроводные маршрутизаторы Ruckus и применяя техники для компрометация устройств, хостящих известные CVE, включая CVE-2025-2492. Эта стратегия эксплуатации подчеркивает зависимость UAT-7810 от легко эксплуатируемых слабостей для создания плацдармов для своих операционных схем.

UAT-7810 использовал новые серверы для размещения вредоносных загрузок на нескольких платформах аппаратного обеспечения, включая архитектуры ARM, MIPS и x64. Инфраструктура включает определенные IP-адреса, которые не только обслуживают вредоносные загрузки, но и связаны с попытками эксплуатации различных устройств, демонстрируя более широкие усилия кампании за пределами сетей ORB.

Бинарный файл LEASHTEST, хотя и не является вредоносным сам по себе, указывает на продолжающуюся разработку и тестирование, направленные на платформы MIPS. Его развертывание на скомпрометированных устройствах демонстрирует осторожный подход UAT-7810, поскольку они продолжают расширять свои возможности и обеспечивать работоспособность своих развивающихся технологий.
#ParsedReport #CompletenessMedium
07-07-2026

One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation

https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation

Report completeness: Medium

Actors/Campaigns:
Masstraction (motivation: information_theft, cyber_espionage)

Threats:
Vshell
Icecube
Squareshell
Snowlight

Victims:
Universities, Physics departments, Engineering departments

Industry:
Government, Education

Geo:
China, Canadian, Chinese

CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- barracuda email_security_gateway_300_firmware (le9.2.0.006)

CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.10, <1.6.11)

CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)


ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1059.004, T1059.007, T1070, T1070.006, T1071.001, T1082, T1083, T1095, have more...

IOCs:
File: 1
Email: 1
IP: 3
Url: 5
Hash: 1

Soft:
Roundcube, Linux, macOS

Algorithms:
sha256

Functions:
__destruct, PHP

Languages:
php, javascript

Links:
https://github.com/fearsoff-org/CVE-2025-49113/blob/main/CVE-2025-49113.php
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С мая 2026 года кластер злоумышленников UNK_MassTraction, связанный с группой, лояльной Китаю, эксплуатировал уязвимость межсайтового скриптинга (XSS) CVE-2024-42009 в почтовых серверах Roundcube в отделах физики и инженерии университетов США и Канады. Атака включает фишинговые письма, доставляющие полезную нагрузку IceCube, которая обращается к DOM для кражи учетных данных и развертывает веб-шелл SquareShell через CVE-2025-49113, усиливая закрепление и уклоняясь от обнаружения. Эта операция указывает на использование скрытых сетей для шпионажа, выявляя почтовые каналы как критические точки входа для более широкого проникновения в сеть.
-----

С мая 2026 года исследовательская группа Proofpoint Threat Research отслеживает кластер злоумышленников, идентифицированный как UNK_MassTraction, приписываемый группе, связанной с Китаем. Этот кластер эксплуатирует уязвимости в почтовых серверах Roundcube в физических и инженерных подразделениях университетов США и Канады, нацеливаясь на организации, имеющие связи с национальной безопасностью и передовыми научными исследованиями. Основной эксплойт, CVE-2024-42009, представляет собой уязвимость межсайтового скриптинга (XSS), которая позволяет выполнять несанкционированный JavaScript при открытии письма, что способствует краже учетных данных и внедрению бэкдоров.

Эксплуатация начинается с доставки фишинговых писем через скомпрометированные учетные записи или поддельные домены. Сообщения разработаны так, чтобы выглядеть безобидно, что повышает вероятность взаимодействия со стороны целевых пользователей. После открытия в уязвимом экземпляре Roundcube встроенный JavaScript-код активируется, загружая вторичную вредоносную нагрузку, известную как IceCube. IceCube использует продвинутые техники, такие как обход ограничений iframe через DOM-обход для доступа ко всему DOM и сеансам аутентификации клиентов Roundcube, что позволяет красть имена пользователей, пароли и даже токены двухфакторной аутентификации (MFA).

После этапа эксфильтрации данных IceCube использует уязвимость десериализации (CVE-2025-49113) для развертывания веб-шелла, называемого SquareShell, на почтовом сервере. Этот веб-шелл позволяет удаленное выполнение через различные функции PHP и маскируется для обхода обнаружения путем имитации поведения легитимных плагинов. Подробное ведение журналов и процедуры очистки, встроенные в IceCube, демонстрируют высокий уровень оперативной безопасности, с наличием механизмов для сокрытия следов злоумышленника и обеспечения устойчивости заражения.

Более того, если первоначальное развертывание веб-шелла не удастся, IceCube может загрузить и выполнить скрипт оболочки, нацеленный на специфичные для архитектуры полезную нагрузку, тем самым расширяя возможности актора. Этот скрипт служит загрузчиком для бэкдора VShell, который использовался в прошлых кампаниях другими противниками, ориентированными на Китай, что демонстрирует скоординированное использование общей вредоносной инфраструктуры.

Использование скрытой сети виртуальных выделенных серверов (Виртуальный выделенный сервер) указывает на связь с более крупной операцией, связанной с шпионажем, при этом низкочастотное, но стратегически значимое целеполагание отражает традиционные тактики шпионажа. Кампания подчеркивает важность защиты почтовых серверов как точек входа в более широкие сетевые инфраструктуры, аналогично тому, как организации защищают другие критические узлы доступа, такие как концентраторы VPN. Как продемонстрировал UNK_MassTraction, каналы электронной почты могут служить прикрытыми каналами для более широких стратегий доступа или проникновения.
#ParsedReport #CompletenessMedium
06-07-2026

Fake Google and Cloudflare Verification Pages Are Now a Seven Malware Delivery Pipeline

https://www.secureblink.com/threat-feeds/fake-google-and-cloudflare-verification-pages-are-now-a-seven-malware-delivery-pipeline-1

Report completeness: Medium

Actors/Campaigns:
Ta4922

Threats:
Clickfix_technique
Stealc
Amatera_stealer
Remus
Netsupportmanager_rat
Castleloader
Resiloader
Hijackloader
Dll_hijacking_technique
Runpe_tool
Uac_bypass_technique
Icmluautil_tool
Process_hollowing_technique
Atlas_rat

Victims:
Google meet users, Organizations across sectors, Football fans

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.012, T1059.001, T1059.003, T1059.004, T1059.007, T1071.001, T1105, T1140, have more...

IOCs:
Command: 1
Hash: 6
Domain: 26
IP: 15

Soft:
Cloudflare R2, macOS, Windows PowerShell, Electron

Algorithms:
base64, zip, xor, md5

Languages:
php, powershell, javascript, rust

Platforms:
cross-platform, intel
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2026 Fake Google and Cloudflare Verification Pages Are Now a Seven Malware Delivery Pipeline https://www.secureblink.com/threat-feeds/fake-google-and-cloudflare-verification-pages-are-now-a-seven-malware-delivery-pipeline…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инфраструктура ClickFix развертывает различные вредоносные программы, включая новый вариант под названием ResiLoader, используя тактики социальной инженерии, которые включают поддельные механизмы верификации для обмана пользователей с целью запуска вредоносных команд PowerShell. Эта кампания использует унифицированную инфраструктуру, размещенную на Cloudflare R2, и применяет психологические триггеры для повышения легитимности. Примечательно, что ResiLoader включает расширенные функции, такие как мониторинг буфера обмена и использование зашифрованных структур команд, что свидетельствует об адаптивном подходе его операторов к совершенствованию методов доставки и уклонению от обнаружения.
-----

Инфраструктура ClickFix использовалась для развертывания различных видов ВПО, включая StealC, Amatera, Remus, NetSupport, CastleLoader и новый обнаруженный вариант загрузчика под названием ResiLoader. Эта система использует поддельные механизмы верификации, имитирующие известные сервисы, такие как Google reCAPTCHA и проверки Cloudflare, чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell. Техника разработана таким образом, что вредоносный код запускается самим жертвой, что помогает избегать нескольких средств защиты браузера и конечных точек, направленных на более традиционные методы доставки, такие как drive-by загрузки.

Этот подход социальной инженерии включает в себя последовательный шаблон команд, который побуждает жертв копировать команду, отображаемую на мошеннических веб-страницах, в их консоли PowerShell. Эти веб-страницы используют визуальные подсказки и психологические уловки, такие как таймеры обратного отсчета или сообщения об ошибках, чтобы создать иллюзию легитимности и срочности.

Ключевой особенностью этой кампании является унифицированная инфраструктура. Различные полезная нагрузка размещаются на хранилищах Cloudflare R2, а адаптируемые структуры команд заимствуются из пула предопределённых портов. Отличительным признаком, позволяющим выявить кампанию, являются серверы, возвращающие определённый HTML-ответ, содержащий слово "hehe", в ответ на непредвиденные запросы. Атакующие используют смесь простых и обфусцированных структур команд, сохраняя гибкость в способах доставки полезной нагрузки.

ResiLoader, в частности, демонстрирует расширенные возможности, используя легитимный клиент обмена сообщениями и опираясь на ранее собранный драйвер для завершения процессов, тем самым обходя стандартные меры безопасности. Этот загрузчик не только хранит вредоносные команды, но и работает посредством комбинации JavaScript blobbing для выполнения. Его архитектура включает различные компоненты, отвечающие за мониторинг активности буфера обмена и делегирование выполнения задач на основе определения операционной системы.

Кроме того, кампания демонстрирует эволюционирующую стратегию, с указанием на то, что одни и те же акторы экспериментируют с новыми средами выполнения, что предполагает продолжение усилий по совершенствованию их стратегий доставки. Для команд обнаружения угроз смягчение рисков, создаваемых атаками ClickFix, требует сосредоточения на поведенческих индикаторах, таких как корреляция действий буфера обмена с выполнением PowerShell, и мониторинг необычных паттернов в управлении процессами, особенно связанных с легитимными драйверами, используемыми в злонамеренных целях.

Тактики, применяемые этой инфраструктурой, обнажают тревожную реальность киберугроз, где привычные среды и интерфейсы используются в качестве оружия против неосведомленных пользователей. Ландшафт угроз продолжает адаптироваться, подчеркивая необходимость проактивного мониторинга и гибких стратегий защиты для противодействия этим эволюционирующим методам.
#ParsedReport #CompletenessHigh
07-07-2026

Banana RAT Evolves: Comparing Two Recent Branches Through ANY.RUN

https://any.run/cybersecurity-blog/banana-rat-evolution-analysis/

Report completeness: High

Threats:
Banana_rat
Polymorphism_technique

Victims:
Financial services, Banking, Brazil

Industry:
Financial

Geo:
Brazilian

TTPs:
Tactics: 5
Technics: 12

IOCs:
IP: 2
File: 14
Url: 3
Registry: 1
Hash: 4

Soft:
Windows Event Tracing, FastAPI

Algorithms:
base64, sha256, md5

Functions:
ord, TaskName

Win API:
RUN

Languages:
php, vbscript, powershell, visual_basic
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Banana RAT Evolves: Comparing Two Recent Branches Through ANY.RUN https://any.run/cybersecurity-blog/banana-rat-evolution-analysis/ Report completeness: High Threats: Banana_rat Polymorphism_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Banana RAT демонстрирует значительную эволюцию в своей архитектуре и оперативных тактиках, что подчеркивается двумя различными ветвями. Старая версия использовала базовый PowerShell для установки и простого выполнения команд, тогда как новая ветвь применяла случайные идентификаторы, VBS для закрепления и защищенный канал C2 на базе WebSocket, что повышало скрытность и уклонение от обнаружения. Ключевые функции включают удаленный доступ к рабочему столу, регистрацию нажатий клавиш и возможности, направленные на бразильские банковские транзакции, что указывает на постоянную и адаптивную угрозу, особенно в финансовом секторе.
-----

Анализ вредоносного ПО Banana RAT выявляет значительную эволюцию его оперативных тактик и архитектуры, в частности, через изучение двух отдельных ветвей, связанных с одной и той же инфраструктурой. Более старая ветвь, которая была замечена 25 мая 2026 года, использовала простые пути установки, тематически связанные с трассировкой событий Windows (ETW), с подходом к поддельному брендингу Microsoft. Этот метод включал предсказуемое скриптование для выполнения полезной нагрузки, используя базовый загрузчик на основе PowerShell. Он использовал такие файлы, как "Fatura-BtgPactual-22568.bat", и подключался к открытому серверу по адресу 198.245.53.26 через простые запросы GET для получения своей полезной нагрузки.

Напротив, более новая ветвь, проанализированная 09 июня 2026 года, отражает заметную эволюцию в её поведении и методах реализации. Она использовала случайные идентификаторы установки, опиралась на VBS для закрепления и перешла на более сложный канал управления через WebSocket (C2), размещённый на хешированном поддомене testewin.com. Примечательно, что эта ветвь реализовала TLS 1.2 для повышения безопасности на этапе подготовки полезной нагрузки, демонстрируя продвинутый подход к уклонению от методов обнаружения.

В базовую инфраструктуру были включены несколько новых артефактов, таких как "client.pid" и "user_process.log", что свидетельствует об улучшенных методах поддержания оперативной скрытности, в то время как стратегия закрепления вредоносного ПО изначально опиралась на выполнение на уровне пользователя через реестр с последующим переходом к задачам на уровне системы. Новая версия также представила механизм транспорта через зашифрованный WebSocket, добавляя дополнительный уровень устойчивости к её взаимодействию с командным сервером.

Ключевые компоненты, связанные с обеими ветвями, включают возможности генерации продвинутого ВПО, что указывает на то, что операторы развертывают модель ВПО как услуга (MaaS), позволяющую генерировать варианты в реальном времени, адаптированные к среде жертвы. Эта эволюция также демонстрирует стратегический поворот, при котором уникальные поддомены динамически создаются на основе MachineGuid конкретного пользователя, с целью обхода общих мер блокировки, которые могли бы затронуть легитимные сервисы.

Вредоносное ПО обладает комплексными функциями, включая удаленный доступ к рабочему столу, мониторинг сессий, регистрацию нажатий клавиш и возможности передачи файлов, разработанные специально для нацеливания на финансовые транзакции, такие как банковская деятельность в Бразилии и системы платежей Pix. В целом, сравнительный анализ двух ветвей Banana RAT подчеркивает непрерывное развитие и адаптивность этой угрозы, указывая на постоянный риск для целей, особенно в финансовом секторе.
#ParsedReport #CompletenessMedium
07-07-2026

Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits

https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits

Report completeness: Medium

Threats:
Chocopoc
Supply_chain_technique
Dead_drop_technique
Timestomp_technique
React2shell_vuln
Nuclei_tool
Copyfail_vuln

Victims:
Vulnerability researchers, Pentesters, Developer environments, Offensive security tooling

Geo:
Chinese, Turkish, Indonesian, French, Spanish

CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)

CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)

CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)

CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)

CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1027.007, T1036.005, T1041, T1057, T1059, T1059.006, T1070.006, have more...

IOCs:
File: 13
Email: 4
Hash: 5
Url: 1

Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow

Algorithms:
base36, xor, hmac, base64, exhibit

Functions:
exec

Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, decompress

Languages:
python

Links:
https://github.com/bolubey/CVE-2026-0257
have more...
https://github.com/projectdiscovery/nuclei-templates
https://github.com/bolubey/CVE-2026-50751
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака через цепочку поставок «ChocoPoC» нацелена конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение, компрометируя репозитории с доказательствами концепции (PoC) и развертывая вредоносный Python-троян (RAT), который похищает файлы и собирает конфиденциальные данные. Злоумышленники используют потребность исследователей в быстрой разработке модулей, вставляя вредоносные пакеты в репозитории, что приводит к выполнению троянизированных загрузчиков при установке. ВПО использует продвинутые техники уклонения и сервер управления для взаимодействия с жертвами, замаскированный под легитимный трафик, для манипуляции системными процессами и захвата учетных данных из браузеров.
-----

В статье подчеркивается значительная атака на цепочку поставок, направленная конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение через скомпрометированные репозитории доказательств концепции (PoC). Эта угроза, идентифицированная как "ChocoPoC", включает использование вредоносной Python троянской программы для удаленного доступа (RAT), впервые примененной в 2025 году. ВПО способно похищать файлы, выполнять команды и собирать конфиденциальные данные в скомпрометированных системах.

Атакующие используют срочность, с которой исследователи разрабатывают модули для недавно раскрытых уязвимостей. Они создали множество поддельных репозиториев PoC CVE, используя вредоносную зависимость из Python Package Index (PyPI), которая при установке загружает и выполняет троянизированный дроппер. RAT ChocoPoC применяет сложные техники уклонения, полагаясь на такие методы, как timestomping, мьютексы блокировки файлов, обход блока окружения процесса (PEB) и антиотладка, чтобы оставаться незамеченным в целевых средах.

Расследования показали, что цепочка заражения включает тактику путаницы зависимостей, при которой вредоносные пакеты вставляются в существующие репозитории. Когда жертвы пытаются выполнить PoC, запуская команду `pip install`, они непреднамеренно устанавливают скомпрометированные зависимости, что приводит к выполнению вредоносного кода. Анализ цепочки заражения демонстрирует, что для дальнейшего сокрытия деятельности ВПО используются собственные расширения легитимных пакетов. Этот метод позволяет ВПО манипулировать порядком загрузки Python, обеспечивая выполнение вредоносных компонентов, в то время как безобидные части кода выглядят подлинными.

Установленные вредоносные библиотеки расшифровывают встроенные скрипты, которые подключаются к серверу управления (C2), используя Mapbox в качестве скрытого канала. Этот сервер управления способен выдавать команды и получать эксфильтрованные данные, эффективно маскируя коммуникации ВПО в легитимном трафике. ChocoPoC в первую очередь фокусируется на сборе учетных записей из основных веб-браузеров и сборе файлов, которые обычно являются конфиденциальными.

Анализ также указывает на наличие других PoC, использующих аналогичные тактики для развертывания RAT ChocoPoC, что свидетельствует о систематических усилиях одного злоумышленника или группы по эксплуатации уязвимостей в сообществе исследователей. Эти кампании демонстрируют эволюционирующие методы злоумышленников, при которых ВПО скрыто в кажущихся безобидными зависимостях, что затрудняет для средств защиты обнаружение скомпрометированных пакетов или препятствие рабочим процессам исследователей.