#ParsedReport #CompletenessMedium
07-07-2026
One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation
https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation
Report completeness: Medium
Actors/Campaigns:
Masstraction (motivation: information_theft, cyber_espionage)
Threats:
Vshell
Icecube
Squareshell
Snowlight
Victims:
Universities, Physics departments, Engineering departments
Industry:
Government, Education
Geo:
China, Canadian, Chinese
CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- barracuda email_security_gateway_300_firmware (le9.2.0.006)
CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.10, <1.6.11)
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)
ChatGPT TTPs:
T1036.005, T1041, T1059.004, T1059.007, T1070, T1070.006, T1071.001, T1082, T1083, T1095, have more...
IOCs:
File: 1
Email: 1
IP: 3
Url: 5
Hash: 1
Soft:
Roundcube, Linux, macOS
Algorithms:
sha256
Functions:
__destruct, PHP
Languages:
php, javascript
Links:
07-07-2026
One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation
https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation
Report completeness: Medium
Actors/Campaigns:
Masstraction (motivation: information_theft, cyber_espionage)
Threats:
Vshell
Icecube
Squareshell
Snowlight
Victims:
Universities, Physics departments, Engineering departments
Industry:
Government, Education
Geo:
China, Canadian, Chinese
CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- barracuda email_security_gateway_300_firmware (le9.2.0.006)
CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.10, <1.6.11)
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)
ChatGPT TTPs:
do not use without manual checkT1036.005, T1041, T1059.004, T1059.007, T1070, T1070.006, T1071.001, T1082, T1083, T1095, have more...
IOCs:
File: 1
Email: 1
IP: 3
Url: 5
Hash: 1
Soft:
Roundcube, Linux, macOS
Algorithms:
sha256
Functions:
__destruct, PHP
Languages:
php, javascript
Links:
https://github.com/fearsoff-org/CVE-2025-49113/blob/main/CVE-2025-49113.phpProofpoint
One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation | Proofpoint US
Analyst note: Proofpoint uses the UNK_ designator to define clusters of activity that are still developing and have not been observed for long enough to receive a numerical TA designation. Key
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation https://www.proofpoint.com/us/blog/threat-insight/one-email-closer-edge-unkmasstraction-physics-exploitation Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С мая 2026 года кластер злоумышленников UNK_MassTraction, связанный с группой, лояльной Китаю, эксплуатировал уязвимость межсайтового скриптинга (XSS) CVE-2024-42009 в почтовых серверах Roundcube в отделах физики и инженерии университетов США и Канады. Атака включает фишинговые письма, доставляющие полезную нагрузку IceCube, которая обращается к DOM для кражи учетных данных и развертывает веб-шелл SquareShell через CVE-2025-49113, усиливая закрепление и уклоняясь от обнаружения. Эта операция указывает на использование скрытых сетей для шпионажа, выявляя почтовые каналы как критические точки входа для более широкого проникновения в сеть.
-----
С мая 2026 года исследовательская группа Proofpoint Threat Research отслеживает кластер злоумышленников, идентифицированный как UNK_MassTraction, приписываемый группе, связанной с Китаем. Этот кластер эксплуатирует уязвимости в почтовых серверах Roundcube в физических и инженерных подразделениях университетов США и Канады, нацеливаясь на организации, имеющие связи с национальной безопасностью и передовыми научными исследованиями. Основной эксплойт, CVE-2024-42009, представляет собой уязвимость межсайтового скриптинга (XSS), которая позволяет выполнять несанкционированный JavaScript при открытии письма, что способствует краже учетных данных и внедрению бэкдоров.
Эксплуатация начинается с доставки фишинговых писем через скомпрометированные учетные записи или поддельные домены. Сообщения разработаны так, чтобы выглядеть безобидно, что повышает вероятность взаимодействия со стороны целевых пользователей. После открытия в уязвимом экземпляре Roundcube встроенный JavaScript-код активируется, загружая вторичную вредоносную нагрузку, известную как IceCube. IceCube использует продвинутые техники, такие как обход ограничений iframe через DOM-обход для доступа ко всему DOM и сеансам аутентификации клиентов Roundcube, что позволяет красть имена пользователей, пароли и даже токены двухфакторной аутентификации (MFA).
После этапа эксфильтрации данных IceCube использует уязвимость десериализации (CVE-2025-49113) для развертывания веб-шелла, называемого SquareShell, на почтовом сервере. Этот веб-шелл позволяет удаленное выполнение через различные функции PHP и маскируется для обхода обнаружения путем имитации поведения легитимных плагинов. Подробное ведение журналов и процедуры очистки, встроенные в IceCube, демонстрируют высокий уровень оперативной безопасности, с наличием механизмов для сокрытия следов злоумышленника и обеспечения устойчивости заражения.
Более того, если первоначальное развертывание веб-шелла не удастся, IceCube может загрузить и выполнить скрипт оболочки, нацеленный на специфичные для архитектуры полезную нагрузку, тем самым расширяя возможности актора. Этот скрипт служит загрузчиком для бэкдора VShell, который использовался в прошлых кампаниях другими противниками, ориентированными на Китай, что демонстрирует скоординированное использование общей вредоносной инфраструктуры.
Использование скрытой сети виртуальных выделенных серверов (Виртуальный выделенный сервер) указывает на связь с более крупной операцией, связанной с шпионажем, при этом низкочастотное, но стратегически значимое целеполагание отражает традиционные тактики шпионажа. Кампания подчеркивает важность защиты почтовых серверов как точек входа в более широкие сетевые инфраструктуры, аналогично тому, как организации защищают другие критические узлы доступа, такие как концентраторы VPN. Как продемонстрировал UNK_MassTraction, каналы электронной почты могут служить прикрытыми каналами для более широких стратегий доступа или проникновения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С мая 2026 года кластер злоумышленников UNK_MassTraction, связанный с группой, лояльной Китаю, эксплуатировал уязвимость межсайтового скриптинга (XSS) CVE-2024-42009 в почтовых серверах Roundcube в отделах физики и инженерии университетов США и Канады. Атака включает фишинговые письма, доставляющие полезную нагрузку IceCube, которая обращается к DOM для кражи учетных данных и развертывает веб-шелл SquareShell через CVE-2025-49113, усиливая закрепление и уклоняясь от обнаружения. Эта операция указывает на использование скрытых сетей для шпионажа, выявляя почтовые каналы как критические точки входа для более широкого проникновения в сеть.
-----
С мая 2026 года исследовательская группа Proofpoint Threat Research отслеживает кластер злоумышленников, идентифицированный как UNK_MassTraction, приписываемый группе, связанной с Китаем. Этот кластер эксплуатирует уязвимости в почтовых серверах Roundcube в физических и инженерных подразделениях университетов США и Канады, нацеливаясь на организации, имеющие связи с национальной безопасностью и передовыми научными исследованиями. Основной эксплойт, CVE-2024-42009, представляет собой уязвимость межсайтового скриптинга (XSS), которая позволяет выполнять несанкционированный JavaScript при открытии письма, что способствует краже учетных данных и внедрению бэкдоров.
Эксплуатация начинается с доставки фишинговых писем через скомпрометированные учетные записи или поддельные домены. Сообщения разработаны так, чтобы выглядеть безобидно, что повышает вероятность взаимодействия со стороны целевых пользователей. После открытия в уязвимом экземпляре Roundcube встроенный JavaScript-код активируется, загружая вторичную вредоносную нагрузку, известную как IceCube. IceCube использует продвинутые техники, такие как обход ограничений iframe через DOM-обход для доступа ко всему DOM и сеансам аутентификации клиентов Roundcube, что позволяет красть имена пользователей, пароли и даже токены двухфакторной аутентификации (MFA).
После этапа эксфильтрации данных IceCube использует уязвимость десериализации (CVE-2025-49113) для развертывания веб-шелла, называемого SquareShell, на почтовом сервере. Этот веб-шелл позволяет удаленное выполнение через различные функции PHP и маскируется для обхода обнаружения путем имитации поведения легитимных плагинов. Подробное ведение журналов и процедуры очистки, встроенные в IceCube, демонстрируют высокий уровень оперативной безопасности, с наличием механизмов для сокрытия следов злоумышленника и обеспечения устойчивости заражения.
Более того, если первоначальное развертывание веб-шелла не удастся, IceCube может загрузить и выполнить скрипт оболочки, нацеленный на специфичные для архитектуры полезную нагрузку, тем самым расширяя возможности актора. Этот скрипт служит загрузчиком для бэкдора VShell, который использовался в прошлых кампаниях другими противниками, ориентированными на Китай, что демонстрирует скоординированное использование общей вредоносной инфраструктуры.
Использование скрытой сети виртуальных выделенных серверов (Виртуальный выделенный сервер) указывает на связь с более крупной операцией, связанной с шпионажем, при этом низкочастотное, но стратегически значимое целеполагание отражает традиционные тактики шпионажа. Кампания подчеркивает важность защиты почтовых серверов как точек входа в более широкие сетевые инфраструктуры, аналогично тому, как организации защищают другие критические узлы доступа, такие как концентраторы VPN. Как продемонстрировал UNK_MassTraction, каналы электронной почты могут служить прикрытыми каналами для более широких стратегий доступа или проникновения.
#ParsedReport #CompletenessMedium
06-07-2026
Fake Google and Cloudflare Verification Pages Are Now a Seven Malware Delivery Pipeline
https://www.secureblink.com/threat-feeds/fake-google-and-cloudflare-verification-pages-are-now-a-seven-malware-delivery-pipeline-1
Report completeness: Medium
Actors/Campaigns:
Ta4922
Threats:
Clickfix_technique
Stealc
Amatera_stealer
Remus
Netsupportmanager_rat
Castleloader
Resiloader
Hijackloader
Dll_hijacking_technique
Runpe_tool
Uac_bypass_technique
Icmluautil_tool
Process_hollowing_technique
Atlas_rat
Victims:
Google meet users, Organizations across sectors, Football fans
Industry:
Government
ChatGPT TTPs:
T1027, T1036.005, T1055.012, T1059.001, T1059.003, T1059.004, T1059.007, T1071.001, T1105, T1140, have more...
IOCs:
Command: 1
Hash: 6
Domain: 26
IP: 15
Soft:
Cloudflare R2, macOS, Windows PowerShell, Electron
Algorithms:
base64, zip, xor, md5
Languages:
php, powershell, javascript, rust
Platforms:
cross-platform, intel
06-07-2026
Fake Google and Cloudflare Verification Pages Are Now a Seven Malware Delivery Pipeline
https://www.secureblink.com/threat-feeds/fake-google-and-cloudflare-verification-pages-are-now-a-seven-malware-delivery-pipeline-1
Report completeness: Medium
Actors/Campaigns:
Ta4922
Threats:
Clickfix_technique
Stealc
Amatera_stealer
Remus
Netsupportmanager_rat
Castleloader
Resiloader
Hijackloader
Dll_hijacking_technique
Runpe_tool
Uac_bypass_technique
Icmluautil_tool
Process_hollowing_technique
Atlas_rat
Victims:
Google meet users, Organizations across sectors, Football fans
Industry:
Government
ChatGPT TTPs:
do not use without manual checkT1027, T1036.005, T1055.012, T1059.001, T1059.003, T1059.004, T1059.007, T1071.001, T1105, T1140, have more...
IOCs:
Command: 1
Hash: 6
Domain: 26
IP: 15
Soft:
Cloudflare R2, macOS, Windows PowerShell, Electron
Algorithms:
base64, zip, xor, md5
Languages:
php, powershell, javascript, rust
Platforms:
cross-platform, intel
Secureblink
Fake Google and Cloudflare Verification Pages Are Now a Seven Malware Delivery Pipeline | Secure Blink
A single ClickFix infrastructure is pushing StealC, Amatera, Remus, NetSupport, CastleLoader and a new loader called ResiLoader through fake Google/Cloudflare checks.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-07-2026 Fake Google and Cloudflare Verification Pages Are Now a Seven Malware Delivery Pipeline https://www.secureblink.com/threat-feeds/fake-google-and-cloudflare-verification-pages-are-now-a-seven-malware-delivery-pipeline…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инфраструктура ClickFix развертывает различные вредоносные программы, включая новый вариант под названием ResiLoader, используя тактики социальной инженерии, которые включают поддельные механизмы верификации для обмана пользователей с целью запуска вредоносных команд PowerShell. Эта кампания использует унифицированную инфраструктуру, размещенную на Cloudflare R2, и применяет психологические триггеры для повышения легитимности. Примечательно, что ResiLoader включает расширенные функции, такие как мониторинг буфера обмена и использование зашифрованных структур команд, что свидетельствует об адаптивном подходе его операторов к совершенствованию методов доставки и уклонению от обнаружения.
-----
Инфраструктура ClickFix использовалась для развертывания различных видов ВПО, включая StealC, Amatera, Remus, NetSupport, CastleLoader и новый обнаруженный вариант загрузчика под названием ResiLoader. Эта система использует поддельные механизмы верификации, имитирующие известные сервисы, такие как Google reCAPTCHA и проверки Cloudflare, чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell. Техника разработана таким образом, что вредоносный код запускается самим жертвой, что помогает избегать нескольких средств защиты браузера и конечных точек, направленных на более традиционные методы доставки, такие как drive-by загрузки.
Этот подход социальной инженерии включает в себя последовательный шаблон команд, который побуждает жертв копировать команду, отображаемую на мошеннических веб-страницах, в их консоли PowerShell. Эти веб-страницы используют визуальные подсказки и психологические уловки, такие как таймеры обратного отсчета или сообщения об ошибках, чтобы создать иллюзию легитимности и срочности.
Ключевой особенностью этой кампании является унифицированная инфраструктура. Различные полезная нагрузка размещаются на хранилищах Cloudflare R2, а адаптируемые структуры команд заимствуются из пула предопределённых портов. Отличительным признаком, позволяющим выявить кампанию, являются серверы, возвращающие определённый HTML-ответ, содержащий слово "hehe", в ответ на непредвиденные запросы. Атакующие используют смесь простых и обфусцированных структур команд, сохраняя гибкость в способах доставки полезной нагрузки.
ResiLoader, в частности, демонстрирует расширенные возможности, используя легитимный клиент обмена сообщениями и опираясь на ранее собранный драйвер для завершения процессов, тем самым обходя стандартные меры безопасности. Этот загрузчик не только хранит вредоносные команды, но и работает посредством комбинации JavaScript blobbing для выполнения. Его архитектура включает различные компоненты, отвечающие за мониторинг активности буфера обмена и делегирование выполнения задач на основе определения операционной системы.
Кроме того, кампания демонстрирует эволюционирующую стратегию, с указанием на то, что одни и те же акторы экспериментируют с новыми средами выполнения, что предполагает продолжение усилий по совершенствованию их стратегий доставки. Для команд обнаружения угроз смягчение рисков, создаваемых атаками ClickFix, требует сосредоточения на поведенческих индикаторах, таких как корреляция действий буфера обмена с выполнением PowerShell, и мониторинг необычных паттернов в управлении процессами, особенно связанных с легитимными драйверами, используемыми в злонамеренных целях.
Тактики, применяемые этой инфраструктурой, обнажают тревожную реальность киберугроз, где привычные среды и интерфейсы используются в качестве оружия против неосведомленных пользователей. Ландшафт угроз продолжает адаптироваться, подчеркивая необходимость проактивного мониторинга и гибких стратегий защиты для противодействия этим эволюционирующим методам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инфраструктура ClickFix развертывает различные вредоносные программы, включая новый вариант под названием ResiLoader, используя тактики социальной инженерии, которые включают поддельные механизмы верификации для обмана пользователей с целью запуска вредоносных команд PowerShell. Эта кампания использует унифицированную инфраструктуру, размещенную на Cloudflare R2, и применяет психологические триггеры для повышения легитимности. Примечательно, что ResiLoader включает расширенные функции, такие как мониторинг буфера обмена и использование зашифрованных структур команд, что свидетельствует об адаптивном подходе его операторов к совершенствованию методов доставки и уклонению от обнаружения.
-----
Инфраструктура ClickFix использовалась для развертывания различных видов ВПО, включая StealC, Amatera, Remus, NetSupport, CastleLoader и новый обнаруженный вариант загрузчика под названием ResiLoader. Эта система использует поддельные механизмы верификации, имитирующие известные сервисы, такие как Google reCAPTCHA и проверки Cloudflare, чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell. Техника разработана таким образом, что вредоносный код запускается самим жертвой, что помогает избегать нескольких средств защиты браузера и конечных точек, направленных на более традиционные методы доставки, такие как drive-by загрузки.
Этот подход социальной инженерии включает в себя последовательный шаблон команд, который побуждает жертв копировать команду, отображаемую на мошеннических веб-страницах, в их консоли PowerShell. Эти веб-страницы используют визуальные подсказки и психологические уловки, такие как таймеры обратного отсчета или сообщения об ошибках, чтобы создать иллюзию легитимности и срочности.
Ключевой особенностью этой кампании является унифицированная инфраструктура. Различные полезная нагрузка размещаются на хранилищах Cloudflare R2, а адаптируемые структуры команд заимствуются из пула предопределённых портов. Отличительным признаком, позволяющим выявить кампанию, являются серверы, возвращающие определённый HTML-ответ, содержащий слово "hehe", в ответ на непредвиденные запросы. Атакующие используют смесь простых и обфусцированных структур команд, сохраняя гибкость в способах доставки полезной нагрузки.
ResiLoader, в частности, демонстрирует расширенные возможности, используя легитимный клиент обмена сообщениями и опираясь на ранее собранный драйвер для завершения процессов, тем самым обходя стандартные меры безопасности. Этот загрузчик не только хранит вредоносные команды, но и работает посредством комбинации JavaScript blobbing для выполнения. Его архитектура включает различные компоненты, отвечающие за мониторинг активности буфера обмена и делегирование выполнения задач на основе определения операционной системы.
Кроме того, кампания демонстрирует эволюционирующую стратегию, с указанием на то, что одни и те же акторы экспериментируют с новыми средами выполнения, что предполагает продолжение усилий по совершенствованию их стратегий доставки. Для команд обнаружения угроз смягчение рисков, создаваемых атаками ClickFix, требует сосредоточения на поведенческих индикаторах, таких как корреляция действий буфера обмена с выполнением PowerShell, и мониторинг необычных паттернов в управлении процессами, особенно связанных с легитимными драйверами, используемыми в злонамеренных целях.
Тактики, применяемые этой инфраструктурой, обнажают тревожную реальность киберугроз, где привычные среды и интерфейсы используются в качестве оружия против неосведомленных пользователей. Ландшафт угроз продолжает адаптироваться, подчеркивая необходимость проактивного мониторинга и гибких стратегий защиты для противодействия этим эволюционирующим методам.
#ParsedReport #CompletenessHigh
07-07-2026
Banana RAT Evolves: Comparing Two Recent Branches Through ANY.RUN
https://any.run/cybersecurity-blog/banana-rat-evolution-analysis/
Report completeness: High
Threats:
Banana_rat
Polymorphism_technique
Victims:
Financial services, Banking, Brazil
Industry:
Financial
Geo:
Brazilian
TTPs:
Tactics: 5
Technics: 12
IOCs:
IP: 2
File: 14
Url: 3
Registry: 1
Hash: 4
Soft:
Windows Event Tracing, FastAPI
Algorithms:
base64, sha256, md5
Functions:
ord, TaskName
Win API:
RUN
Languages:
php, vbscript, powershell, visual_basic
07-07-2026
Banana RAT Evolves: Comparing Two Recent Branches Through ANY.RUN
https://any.run/cybersecurity-blog/banana-rat-evolution-analysis/
Report completeness: High
Threats:
Banana_rat
Polymorphism_technique
Victims:
Financial services, Banking, Brazil
Industry:
Financial
Geo:
Brazilian
TTPs:
Tactics: 5
Technics: 12
IOCs:
IP: 2
File: 14
Url: 3
Registry: 1
Hash: 4
Soft:
Windows Event Tracing, FastAPI
Algorithms:
base64, sha256, md5
Functions:
ord, TaskName
Win API:
RUN
Languages:
php, vbscript, powershell, visual_basic
any.run
Banana RAT Evolves: Comparing Branches Through ANY.RUN
ANY.RUN solutions are used to compare two Banana RAT branches and analyze the malware's evolution along with defence strategies.
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Banana RAT Evolves: Comparing Two Recent Branches Through ANY.RUN https://any.run/cybersecurity-blog/banana-rat-evolution-analysis/ Report completeness: High Threats: Banana_rat Polymorphism_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Banana RAT демонстрирует значительную эволюцию в своей архитектуре и оперативных тактиках, что подчеркивается двумя различными ветвями. Старая версия использовала базовый PowerShell для установки и простого выполнения команд, тогда как новая ветвь применяла случайные идентификаторы, VBS для закрепления и защищенный канал C2 на базе WebSocket, что повышало скрытность и уклонение от обнаружения. Ключевые функции включают удаленный доступ к рабочему столу, регистрацию нажатий клавиш и возможности, направленные на бразильские банковские транзакции, что указывает на постоянную и адаптивную угрозу, особенно в финансовом секторе.
-----
Анализ вредоносного ПО Banana RAT выявляет значительную эволюцию его оперативных тактик и архитектуры, в частности, через изучение двух отдельных ветвей, связанных с одной и той же инфраструктурой. Более старая ветвь, которая была замечена 25 мая 2026 года, использовала простые пути установки, тематически связанные с трассировкой событий Windows (ETW), с подходом к поддельному брендингу Microsoft. Этот метод включал предсказуемое скриптование для выполнения полезной нагрузки, используя базовый загрузчик на основе PowerShell. Он использовал такие файлы, как "Fatura-BtgPactual-22568.bat", и подключался к открытому серверу по адресу 198.245.53.26 через простые запросы GET для получения своей полезной нагрузки.
Напротив, более новая ветвь, проанализированная 09 июня 2026 года, отражает заметную эволюцию в её поведении и методах реализации. Она использовала случайные идентификаторы установки, опиралась на VBS для закрепления и перешла на более сложный канал управления через WebSocket (C2), размещённый на хешированном поддомене testewin.com. Примечательно, что эта ветвь реализовала TLS 1.2 для повышения безопасности на этапе подготовки полезной нагрузки, демонстрируя продвинутый подход к уклонению от методов обнаружения.
В базовую инфраструктуру были включены несколько новых артефактов, таких как "client.pid" и "user_process.log", что свидетельствует об улучшенных методах поддержания оперативной скрытности, в то время как стратегия закрепления вредоносного ПО изначально опиралась на выполнение на уровне пользователя через реестр с последующим переходом к задачам на уровне системы. Новая версия также представила механизм транспорта через зашифрованный WebSocket, добавляя дополнительный уровень устойчивости к её взаимодействию с командным сервером.
Ключевые компоненты, связанные с обеими ветвями, включают возможности генерации продвинутого ВПО, что указывает на то, что операторы развертывают модель ВПО как услуга (MaaS), позволяющую генерировать варианты в реальном времени, адаптированные к среде жертвы. Эта эволюция также демонстрирует стратегический поворот, при котором уникальные поддомены динамически создаются на основе MachineGuid конкретного пользователя, с целью обхода общих мер блокировки, которые могли бы затронуть легитимные сервисы.
Вредоносное ПО обладает комплексными функциями, включая удаленный доступ к рабочему столу, мониторинг сессий, регистрацию нажатий клавиш и возможности передачи файлов, разработанные специально для нацеливания на финансовые транзакции, такие как банковская деятельность в Бразилии и системы платежей Pix. В целом, сравнительный анализ двух ветвей Banana RAT подчеркивает непрерывное развитие и адаптивность этой угрозы, указывая на постоянный риск для целей, особенно в финансовом секторе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Banana RAT демонстрирует значительную эволюцию в своей архитектуре и оперативных тактиках, что подчеркивается двумя различными ветвями. Старая версия использовала базовый PowerShell для установки и простого выполнения команд, тогда как новая ветвь применяла случайные идентификаторы, VBS для закрепления и защищенный канал C2 на базе WebSocket, что повышало скрытность и уклонение от обнаружения. Ключевые функции включают удаленный доступ к рабочему столу, регистрацию нажатий клавиш и возможности, направленные на бразильские банковские транзакции, что указывает на постоянную и адаптивную угрозу, особенно в финансовом секторе.
-----
Анализ вредоносного ПО Banana RAT выявляет значительную эволюцию его оперативных тактик и архитектуры, в частности, через изучение двух отдельных ветвей, связанных с одной и той же инфраструктурой. Более старая ветвь, которая была замечена 25 мая 2026 года, использовала простые пути установки, тематически связанные с трассировкой событий Windows (ETW), с подходом к поддельному брендингу Microsoft. Этот метод включал предсказуемое скриптование для выполнения полезной нагрузки, используя базовый загрузчик на основе PowerShell. Он использовал такие файлы, как "Fatura-BtgPactual-22568.bat", и подключался к открытому серверу по адресу 198.245.53.26 через простые запросы GET для получения своей полезной нагрузки.
Напротив, более новая ветвь, проанализированная 09 июня 2026 года, отражает заметную эволюцию в её поведении и методах реализации. Она использовала случайные идентификаторы установки, опиралась на VBS для закрепления и перешла на более сложный канал управления через WebSocket (C2), размещённый на хешированном поддомене testewin.com. Примечательно, что эта ветвь реализовала TLS 1.2 для повышения безопасности на этапе подготовки полезной нагрузки, демонстрируя продвинутый подход к уклонению от методов обнаружения.
В базовую инфраструктуру были включены несколько новых артефактов, таких как "client.pid" и "user_process.log", что свидетельствует об улучшенных методах поддержания оперативной скрытности, в то время как стратегия закрепления вредоносного ПО изначально опиралась на выполнение на уровне пользователя через реестр с последующим переходом к задачам на уровне системы. Новая версия также представила механизм транспорта через зашифрованный WebSocket, добавляя дополнительный уровень устойчивости к её взаимодействию с командным сервером.
Ключевые компоненты, связанные с обеими ветвями, включают возможности генерации продвинутого ВПО, что указывает на то, что операторы развертывают модель ВПО как услуга (MaaS), позволяющую генерировать варианты в реальном времени, адаптированные к среде жертвы. Эта эволюция также демонстрирует стратегический поворот, при котором уникальные поддомены динамически создаются на основе MachineGuid конкретного пользователя, с целью обхода общих мер блокировки, которые могли бы затронуть легитимные сервисы.
Вредоносное ПО обладает комплексными функциями, включая удаленный доступ к рабочему столу, мониторинг сессий, регистрацию нажатий клавиш и возможности передачи файлов, разработанные специально для нацеливания на финансовые транзакции, такие как банковская деятельность в Бразилии и системы платежей Pix. В целом, сравнительный анализ двух ветвей Banana RAT подчеркивает непрерывное развитие и адаптивность этой угрозы, указывая на постоянный риск для целей, особенно в финансовом секторе.
#ParsedReport #CompletenessMedium
07-07-2026
Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits
https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits
Report completeness: Medium
Threats:
Chocopoc
Supply_chain_technique
Dead_drop_technique
Timestomp_technique
React2shell_vuln
Nuclei_tool
Copyfail_vuln
Victims:
Vulnerability researchers, Pentesters, Developer environments, Offensive security tooling
Geo:
Chinese, Turkish, Indonesian, French, Spanish
CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)
CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)
CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)
CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1027, T1027.007, T1036.005, T1041, T1057, T1059, T1059.006, T1070.006, have more...
IOCs:
File: 13
Email: 4
Hash: 5
Url: 1
Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow
Algorithms:
base36, xor, hmac, base64, exhibit
Functions:
exec
Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, decompress
Languages:
python
Links:
have more...
07-07-2026
Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits
https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits
Report completeness: Medium
Threats:
Chocopoc
Supply_chain_technique
Dead_drop_technique
Timestomp_technique
React2shell_vuln
Nuclei_tool
Copyfail_vuln
Victims:
Vulnerability researchers, Pentesters, Developer environments, Offensive security tooling
Geo:
Chinese, Turkish, Indonesian, French, Spanish
CVEs:
CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)
CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)
CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)
CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)
CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1027.007, T1036.005, T1041, T1057, T1059, T1059.006, T1070.006, have more...
IOCs:
File: 13
Email: 4
Hash: 5
Url: 1
Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow
Algorithms:
base36, xor, hmac, base64, exhibit
Functions:
exec
Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, decompress
Languages:
python
Links:
https://github.com/bolubey/CVE-2026-0257have more...
https://github.com/projectdiscovery/nuclei-templateshttps://github.com/bolubey/CVE-2026-50751YesWeHack
Don’t eat the ChocoPoCs! Vulnerability researchers targeted by trojanised exploits
A suspicious contribution request led YesWeHack and Sekoia researchers to uncover sophisticated malware targeting the vulnerability research supply chain.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 Don’t eat the ChocoPoCs! How vulnerability researchers were repeatedly targeted by trojanised exploits https://www.yeswehack.com/news/chocopocs-vulnerability-researchers-trojanised-exploits Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака через цепочку поставок «ChocoPoC» нацелена конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение, компрометируя репозитории с доказательствами концепции (PoC) и развертывая вредоносный Python-троян (RAT), который похищает файлы и собирает конфиденциальные данные. Злоумышленники используют потребность исследователей в быстрой разработке модулей, вставляя вредоносные пакеты в репозитории, что приводит к выполнению троянизированных загрузчиков при установке. ВПО использует продвинутые техники уклонения и сервер управления для взаимодействия с жертвами, замаскированный под легитимный трафик, для манипуляции системными процессами и захвата учетных данных из браузеров.
-----
В статье подчеркивается значительная атака на цепочку поставок, направленная конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение через скомпрометированные репозитории доказательств концепции (PoC). Эта угроза, идентифицированная как "ChocoPoC", включает использование вредоносной Python троянской программы для удаленного доступа (RAT), впервые примененной в 2025 году. ВПО способно похищать файлы, выполнять команды и собирать конфиденциальные данные в скомпрометированных системах.
Атакующие используют срочность, с которой исследователи разрабатывают модули для недавно раскрытых уязвимостей. Они создали множество поддельных репозиториев PoC CVE, используя вредоносную зависимость из Python Package Index (PyPI), которая при установке загружает и выполняет троянизированный дроппер. RAT ChocoPoC применяет сложные техники уклонения, полагаясь на такие методы, как timestomping, мьютексы блокировки файлов, обход блока окружения процесса (PEB) и антиотладка, чтобы оставаться незамеченным в целевых средах.
Расследования показали, что цепочка заражения включает тактику путаницы зависимостей, при которой вредоносные пакеты вставляются в существующие репозитории. Когда жертвы пытаются выполнить PoC, запуская команду `pip install`, они непреднамеренно устанавливают скомпрометированные зависимости, что приводит к выполнению вредоносного кода. Анализ цепочки заражения демонстрирует, что для дальнейшего сокрытия деятельности ВПО используются собственные расширения легитимных пакетов. Этот метод позволяет ВПО манипулировать порядком загрузки Python, обеспечивая выполнение вредоносных компонентов, в то время как безобидные части кода выглядят подлинными.
Установленные вредоносные библиотеки расшифровывают встроенные скрипты, которые подключаются к серверу управления (C2), используя Mapbox в качестве скрытого канала. Этот сервер управления способен выдавать команды и получать эксфильтрованные данные, эффективно маскируя коммуникации ВПО в легитимном трафике. ChocoPoC в первую очередь фокусируется на сборе учетных записей из основных веб-браузеров и сборе файлов, которые обычно являются конфиденциальными.
Анализ также указывает на наличие других PoC, использующих аналогичные тактики для развертывания RAT ChocoPoC, что свидетельствует о систематических усилиях одного злоумышленника или группы по эксплуатации уязвимостей в сообществе исследователей. Эти кампании демонстрируют эволюционирующие методы злоумышленников, при которых ВПО скрыто в кажущихся безобидными зависимостях, что затрудняет для средств защиты обнаружение скомпрометированных пакетов или препятствие рабочим процессам исследователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака через цепочку поставок «ChocoPoC» нацелена конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение, компрометируя репозитории с доказательствами концепции (PoC) и развертывая вредоносный Python-троян (RAT), который похищает файлы и собирает конфиденциальные данные. Злоумышленники используют потребность исследователей в быстрой разработке модулей, вставляя вредоносные пакеты в репозитории, что приводит к выполнению троянизированных загрузчиков при установке. ВПО использует продвинутые техники уклонения и сервер управления для взаимодействия с жертвами, замаскированный под легитимный трафик, для манипуляции системными процессами и захвата учетных данных из браузеров.
-----
В статье подчеркивается значительная атака на цепочку поставок, направленная конкретно на исследователей уязвимостей и специалистов по тестированию на проникновение через скомпрометированные репозитории доказательств концепции (PoC). Эта угроза, идентифицированная как "ChocoPoC", включает использование вредоносной Python троянской программы для удаленного доступа (RAT), впервые примененной в 2025 году. ВПО способно похищать файлы, выполнять команды и собирать конфиденциальные данные в скомпрометированных системах.
Атакующие используют срочность, с которой исследователи разрабатывают модули для недавно раскрытых уязвимостей. Они создали множество поддельных репозиториев PoC CVE, используя вредоносную зависимость из Python Package Index (PyPI), которая при установке загружает и выполняет троянизированный дроппер. RAT ChocoPoC применяет сложные техники уклонения, полагаясь на такие методы, как timestomping, мьютексы блокировки файлов, обход блока окружения процесса (PEB) и антиотладка, чтобы оставаться незамеченным в целевых средах.
Расследования показали, что цепочка заражения включает тактику путаницы зависимостей, при которой вредоносные пакеты вставляются в существующие репозитории. Когда жертвы пытаются выполнить PoC, запуская команду `pip install`, они непреднамеренно устанавливают скомпрометированные зависимости, что приводит к выполнению вредоносного кода. Анализ цепочки заражения демонстрирует, что для дальнейшего сокрытия деятельности ВПО используются собственные расширения легитимных пакетов. Этот метод позволяет ВПО манипулировать порядком загрузки Python, обеспечивая выполнение вредоносных компонентов, в то время как безобидные части кода выглядят подлинными.
Установленные вредоносные библиотеки расшифровывают встроенные скрипты, которые подключаются к серверу управления (C2), используя Mapbox в качестве скрытого канала. Этот сервер управления способен выдавать команды и получать эксфильтрованные данные, эффективно маскируя коммуникации ВПО в легитимном трафике. ChocoPoC в первую очередь фокусируется на сборе учетных записей из основных веб-браузеров и сборе файлов, которые обычно являются конфиденциальными.
Анализ также указывает на наличие других PoC, использующих аналогичные тактики для развертывания RAT ChocoPoC, что свидетельствует о систематических усилиях одного злоумышленника или группы по эксплуатации уязвимостей в сообществе исследователей. Эти кампании демонстрируют эволюционирующие методы злоумышленников, при которых ВПО скрыто в кажущихся безобидными зависимостях, что затрудняет для средств защиты обнаружение скомпрометированных пакетов или препятствие рабочим процессам исследователей.
#ParsedReport #CompletenessHigh
07-07-2026
The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six Stages
https://www.cyderes.com/howler-cell/fake-indian-itr-notice-dual-rat-deployment
Report completeness: High
Threats:
Gh0st_rat
Quasar_rat
Asyncrat
Dllsearchorder_hijacking_technique
Polyglot_technique
Polyglot_ransomware
Dll_sideloading_technique
Amsi_bypass_technique
Process_injection_technique
Spear-phishing_technique
Medusalocker
Victims:
Indian users
Industry:
Government, Financial
Geo:
India, Indian
TTPs:
Tactics: 8
Technics: 19
IOCs:
File: 10
Domain: 7
Url: 6
IP: 1
Hash: 10
Path: 3
Soft:
Microsoft Edge, Windows Media Player, Windows service, Pastebin, NET Reactor
Algorithms:
aes, xor, base64, aes-256-cbc, pbkdf2, zip, bcrypt, aes-128
Functions:
Start, GetRuntime, GetInterface
Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, CreateProcessW, ShellExecuteW, AmsiOpenSession, VirtualProtect, NtCreateThreadEx
07-07-2026
The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six Stages
https://www.cyderes.com/howler-cell/fake-indian-itr-notice-dual-rat-deployment
Report completeness: High
Threats:
Gh0st_rat
Quasar_rat
Asyncrat
Dllsearchorder_hijacking_technique
Polyglot_technique
Polyglot_ransomware
Dll_sideloading_technique
Amsi_bypass_technique
Process_injection_technique
Spear-phishing_technique
Medusalocker
Victims:
Indian users
Industry:
Government, Financial
Geo:
India, Indian
TTPs:
Tactics: 8
Technics: 19
IOCs:
File: 10
Domain: 7
Url: 6
IP: 1
Hash: 10
Path: 3
Soft:
Microsoft Edge, Windows Media Player, Windows service, Pastebin, NET Reactor
Algorithms:
aes, xor, base64, aes-256-cbc, pbkdf2, zip, bcrypt, aes-128
Functions:
Start, GetRuntime, GetInterface
Win API:
CreateProcessA, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, CreateProcessW, ShellExecuteW, AmsiOpenSession, VirtualProtect, NtCreateThreadEx
Cyderes
Tax Trap: Fake Indian ITR Notice to Dual RAT Deployment in Six Stages
Howler Cell covers an active malware campaign deploying a six-stage infection chain targeting Indian users through fake Income Tax Department websites.
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 The Tax Trap: From Fake Indian ITR Notice to Dual RAT Deployment in Six Stages https://www.cyderes.com/howler-cell/fake-indian-itr-notice-dual-rat-deployment Report completeness: High Threats: Gh0st_rat Quasar_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Преступная хакерская кампания, нацеленная на пользователей Индии, использует тактики социальной инженерии через мошеннические веб-сайты, маскирующиеся под Департамент подоходного налога Индии. Она применяет шестистадийный процесс заражения, используя подмену порядка поиска DLL в Windows, повышение привилегий и механизмы закрепления через вновь созданную Службу Windows. ВПО развертывает два ПО для удаленного доступа (RAT), работающих в памяти, с продвинутыми техниками для уклонения от обнаружения, такими как манипуляция AMSI и создание полиглотных файлов для обеспечения резервирования в коммуникации управления.
-----
Выявлена недавняя преступная хакерская кампания, которая целенаправленно атакует пользователей Индии через мошеннические веб-сайты, имитирующие Департамент подоходного налога Индии. Кампания использует тактики социальной инженерии, представляя пользователям поддельные уведомления о соблюдении налоговых требований, которые побуждают их загрузить ВПО, замаскированное под легальное программное обеспечение для налоговых утилит. Жертвам доставляется ZIP-архив, содержащий подписанный исполняемый файл и вредоносную DLL, после чего их обманом заставляют выполнить полезную нагрузку.
Процесс заражения включает в себя сложную шестиступенчатую цепочку. Изначально вредоносное ПО использует технику, известную как подмена порядка поиска DLL в Windows, для загрузки вредоносной DLL через легитимный исполняемый файл. После запуска оно инициирует процедуры повышения привилегий и закрепления, создавая новую Службу Windows под названием "MixedSvc". Эта служба гарантирует, что вредоносное ПО остается активным даже после перезагрузки системы.
Суть угрозы заключается в двойном развертывании ПО для удаленного доступа (RAT): производной Gh0st RAT, подключенной к специфическому серверу управления (C2) на порту 6666, и внедрения Quasar/AsyncRAT, подключенного к другому серверу на порту 6351. Обе полезная нагрузка работают исключительно в памяти, что значительно снижает их шансы на обнаружение. Вариант Gh0st RAT способен выполнять такие функции, как захват экрана и операции с файлами, тогда как вариант Quasar/AsyncRAT занимается аналогичными действиями с использованием усиленных методов обфускации.
Ключевым элементом атаки является создание полиглотного файла — файла изображения, который также содержит скрытые вредоносные payloads, — но основной упор делается на поддержание работы через несколько каналов C2. Эта избыточность позволяет злоумышленнику сохранять доступ даже в случае отключения одного из конечных точек C2. Вредоносное ПО демонстрирует продвинутую операционную безопасность с тщательным избеганием стандартных методов обнаружения, включая патчинг интерфейса сканирования антивируса (AMSI) для предотвращения обнаружения вредоносной активности.
С точки зрения стратегий обнаружения защитникам рекомендуется искать несколько индикаторов: случаи загрузки легитимными процессами недоверенных DLL, создание аномальных служб Windows, доказательства вмешательства в AMSI и размещение библиотек CLR в памяти. Опора вредоносного ПО на внедрение вредоносного кода в легитимные процессы, особенно svchost.exe, создает дополнительные трудности для традиционных мер безопасности.
Сложность и изощренность этой кампании подчеркивают необходимость надежных возможностей мониторинга и обнаружения, особенно учитывая ее операционную зрелость, направленную на закрепление и уклонение. Охота на угрозы, сосредоточенная на выявлении необычных паттернов в создании служб и загрузке DLL, может быть существенной для смягчения этой угрозы до того, как она проявится в виде более широких компрометаций системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Преступная хакерская кампания, нацеленная на пользователей Индии, использует тактики социальной инженерии через мошеннические веб-сайты, маскирующиеся под Департамент подоходного налога Индии. Она применяет шестистадийный процесс заражения, используя подмену порядка поиска DLL в Windows, повышение привилегий и механизмы закрепления через вновь созданную Службу Windows. ВПО развертывает два ПО для удаленного доступа (RAT), работающих в памяти, с продвинутыми техниками для уклонения от обнаружения, такими как манипуляция AMSI и создание полиглотных файлов для обеспечения резервирования в коммуникации управления.
-----
Выявлена недавняя преступная хакерская кампания, которая целенаправленно атакует пользователей Индии через мошеннические веб-сайты, имитирующие Департамент подоходного налога Индии. Кампания использует тактики социальной инженерии, представляя пользователям поддельные уведомления о соблюдении налоговых требований, которые побуждают их загрузить ВПО, замаскированное под легальное программное обеспечение для налоговых утилит. Жертвам доставляется ZIP-архив, содержащий подписанный исполняемый файл и вредоносную DLL, после чего их обманом заставляют выполнить полезную нагрузку.
Процесс заражения включает в себя сложную шестиступенчатую цепочку. Изначально вредоносное ПО использует технику, известную как подмена порядка поиска DLL в Windows, для загрузки вредоносной DLL через легитимный исполняемый файл. После запуска оно инициирует процедуры повышения привилегий и закрепления, создавая новую Службу Windows под названием "MixedSvc". Эта служба гарантирует, что вредоносное ПО остается активным даже после перезагрузки системы.
Суть угрозы заключается в двойном развертывании ПО для удаленного доступа (RAT): производной Gh0st RAT, подключенной к специфическому серверу управления (C2) на порту 6666, и внедрения Quasar/AsyncRAT, подключенного к другому серверу на порту 6351. Обе полезная нагрузка работают исключительно в памяти, что значительно снижает их шансы на обнаружение. Вариант Gh0st RAT способен выполнять такие функции, как захват экрана и операции с файлами, тогда как вариант Quasar/AsyncRAT занимается аналогичными действиями с использованием усиленных методов обфускации.
Ключевым элементом атаки является создание полиглотного файла — файла изображения, который также содержит скрытые вредоносные payloads, — но основной упор делается на поддержание работы через несколько каналов C2. Эта избыточность позволяет злоумышленнику сохранять доступ даже в случае отключения одного из конечных точек C2. Вредоносное ПО демонстрирует продвинутую операционную безопасность с тщательным избеганием стандартных методов обнаружения, включая патчинг интерфейса сканирования антивируса (AMSI) для предотвращения обнаружения вредоносной активности.
С точки зрения стратегий обнаружения защитникам рекомендуется искать несколько индикаторов: случаи загрузки легитимными процессами недоверенных DLL, создание аномальных служб Windows, доказательства вмешательства в AMSI и размещение библиотек CLR в памяти. Опора вредоносного ПО на внедрение вредоносного кода в легитимные процессы, особенно svchost.exe, создает дополнительные трудности для традиционных мер безопасности.
Сложность и изощренность этой кампании подчеркивают необходимость надежных возможностей мониторинга и обнаружения, особенно учитывая ее операционную зрелость, направленную на закрепление и уклонение. Охота на угрозы, сосредоточенная на выявлении необычных паттернов в создании служб и загрузке DLL, может быть существенной для смягчения этой угрозы до того, как она проявится в виде более широких компрометаций системы.
#ParsedReport #CompletenessMedium
07-07-2026
Fake Installers, Fake Reviews, Fake Services - Real Proxies, Real Victims
https://www.infoblox.com/blog/threat-intelligence/fake-installers-fake-reviews-fake-services-real-proxies-real-victims/
Report completeness: Medium
Actors/Campaigns:
Lurking_lizard
Threats:
Residential_proxy_technique
Smartproxy_tool
Victims:
Consumer device users, Proxy services, Virtual private network services, Software download users
Industry:
Financial, E-commerce, Media, Petroleum
Geo:
Chinese, China
ChatGPT TTPs:
T1036, T1071.001, T1090, T1204.002, T1496, T1553.002, T1583.001
IOCs:
Domain: 19
Url: 1
File: 5
Soft:
911Proxy, IPLogger, TikTok, WhatsApp, WireVPN, macOS, Google Play, Android, Kookeey
Algorithms:
exhibit, rdga
Platforms:
apple, intel
07-07-2026
Fake Installers, Fake Reviews, Fake Services - Real Proxies, Real Victims
https://www.infoblox.com/blog/threat-intelligence/fake-installers-fake-reviews-fake-services-real-proxies-real-victims/
Report completeness: Medium
Actors/Campaigns:
Lurking_lizard
Threats:
Residential_proxy_technique
Smartproxy_tool
Victims:
Consumer device users, Proxy services, Virtual private network services, Software download users
Industry:
Financial, E-commerce, Media, Petroleum
Geo:
Chinese, China
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1090, T1204.002, T1496, T1553.002, T1583.001
IOCs:
Domain: 19
Url: 1
File: 5
Soft:
911Proxy, IPLogger, TikTok, WhatsApp, WireVPN, macOS, Google Play, Android, Kookeey
Algorithms:
exhibit, rdga
Platforms:
apple, intel
Infoblox Blog
Proxyware actor behind fake 7-Zip is bigger than you think!
Learn how a threat actor runs an end-to-end residential proxy business using lookalike domains, fake software downloads, and a connection to Chinese IPIDEA.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-07-2026 Fake Installers, Fake Reviews, Fake Services - Real Proxies, Real Victims https://www.infoblox.com/blog/threat-intelligence/fake-installers-fake-reviews-fake-services-real-proxies-real-victims/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lurking Lizard — это хакерская группировка, которая вербует устройства жертв в вредоносную прокси-сеть, обманом заставляя пользователей загружать троянизированные версии популярных приложений, таких как 7-Zip и VPN-сервисы, с доменов-двойников. ВПО, характеризующееся жёстко закодированным URL-адресом IPLogger, собирает метаданные, поддерживая постоянные соединения, что указывает на структурированную операцию с более чем 230 связанными доменами, вероятно, связанную с акторами, базирующимися в Китае. Недавние адаптации демонстрируют ВПО, брендированное как WireVPN, функционирующее как распределённая прокси-сеть, что подчёркивает сложный подход к эксплуатации скомпрометированных устройств.
-----
В статье подробно рассматриваются операции хакерской группировки Lurking Lizard, которая организует вредоносный прокси-бизнес путем вербовки устройств жертв. Основной метод работы заключается в обмане пользователей с целью заставить их загрузить модифицированное программное обеспечение, главным образом под видом популярных приложений, таких как архиватор 7-Zip. ВПО распространяется с доменов-двойников, таких как 7zip.com, который маскируется под легитимный домен 7-zip.org, в конечном итоге регистрируя зараженные устройства в качестве прокси-узлов для услуг домашнего прокси, которые сдаются в аренду.
Активность Lurking Lizard характеризуется использованием троянизированного программного обеспечения, которое обеспечивает достаточную функциональность для предотвращения удаления вредоносного ПО пользователями. Помимо приложения 7-Zip, актор имперсонировал различные VPN-сервисы и поддерживал портфолио общих доменов загрузки, что способствовало формированию сложной сети резидентных прокси-серверов. Было выявлено более 230 доменов, потенциально связанных с Lurking Lizard, что указывает на структурированную и устойчивую злонамеренную деятельность, а не на изолированные инциденты распространения вредоносного ПО. Данные регистрации указывают на вероятное происхождение из Китая, при этом несколько доменов, связанных с фиктивными регистрантами, по-видимому, предназначены для сокрытия истинной личности актора.
Критическим механизмом, выявленным в образцах вредоносного ПО, является интеграция жёстко закодированного URL-адреса IPLogger, что позволяет актору собирать метаданные посетителей и фиксировать IP-адреса. Эта инфраструктура связывает различные кампании вредоносного ПО, восходящие к 2022 году, включая альтернативные полезную нагрузку, которые эксплуатируют различные функции, такие как загрузка видео. Постоянные паттерны в развёртывании, структура API и бэкенд-инфраструктура укрепляют вывод о том, что Lurking Lizard управляет сложной сущностью, а не случайными инцидентами вредоносного ПО.
Кроме того, недавние адаптации кампаний Lurking Lizard привели к тому, что их ВПО стало называться WireVPN. Образцы ВПО демонстрируют последовательную структуру по сравнению с предыдущими угрозами, показывая трансформацию при сохранении основных компонентов и взаимодействии с привычной инфраструктурой. В отличие от традиционных VPN-сервисов, WireVPN, по-видимому, устанавливает множество одновременных соединений и может функционировать как распределенная прокси-сеть, а не просто предоставлять инструменты конфиденциальности. Такое поведение указывает на то, что скомпрометированные устройства работают как выходные узлы для трафика, что подтверждает наличие злонамеренных намерений.
В заключение, Lurking Lizard организует сложную экосистему, предназначенную для вербовки устройств с помощью обманного программного обеспечения, что в итоге приводит к созданию обширной сети резидентных прокси-серверов, продаваемых под поддельными торговыми марками сервисов. Операционная модель отражает значительные параллели с более широкими тенденциями в сфере ВПО, где согласие пользователей систематически игнорируется при получении ресурсов, что перекликается с практиками, характерными для мошеннических схем в партнерской рекламе.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Lurking Lizard — это хакерская группировка, которая вербует устройства жертв в вредоносную прокси-сеть, обманом заставляя пользователей загружать троянизированные версии популярных приложений, таких как 7-Zip и VPN-сервисы, с доменов-двойников. ВПО, характеризующееся жёстко закодированным URL-адресом IPLogger, собирает метаданные, поддерживая постоянные соединения, что указывает на структурированную операцию с более чем 230 связанными доменами, вероятно, связанную с акторами, базирующимися в Китае. Недавние адаптации демонстрируют ВПО, брендированное как WireVPN, функционирующее как распределённая прокси-сеть, что подчёркивает сложный подход к эксплуатации скомпрометированных устройств.
-----
В статье подробно рассматриваются операции хакерской группировки Lurking Lizard, которая организует вредоносный прокси-бизнес путем вербовки устройств жертв. Основной метод работы заключается в обмане пользователей с целью заставить их загрузить модифицированное программное обеспечение, главным образом под видом популярных приложений, таких как архиватор 7-Zip. ВПО распространяется с доменов-двойников, таких как 7zip.com, который маскируется под легитимный домен 7-zip.org, в конечном итоге регистрируя зараженные устройства в качестве прокси-узлов для услуг домашнего прокси, которые сдаются в аренду.
Активность Lurking Lizard характеризуется использованием троянизированного программного обеспечения, которое обеспечивает достаточную функциональность для предотвращения удаления вредоносного ПО пользователями. Помимо приложения 7-Zip, актор имперсонировал различные VPN-сервисы и поддерживал портфолио общих доменов загрузки, что способствовало формированию сложной сети резидентных прокси-серверов. Было выявлено более 230 доменов, потенциально связанных с Lurking Lizard, что указывает на структурированную и устойчивую злонамеренную деятельность, а не на изолированные инциденты распространения вредоносного ПО. Данные регистрации указывают на вероятное происхождение из Китая, при этом несколько доменов, связанных с фиктивными регистрантами, по-видимому, предназначены для сокрытия истинной личности актора.
Критическим механизмом, выявленным в образцах вредоносного ПО, является интеграция жёстко закодированного URL-адреса IPLogger, что позволяет актору собирать метаданные посетителей и фиксировать IP-адреса. Эта инфраструктура связывает различные кампании вредоносного ПО, восходящие к 2022 году, включая альтернативные полезную нагрузку, которые эксплуатируют различные функции, такие как загрузка видео. Постоянные паттерны в развёртывании, структура API и бэкенд-инфраструктура укрепляют вывод о том, что Lurking Lizard управляет сложной сущностью, а не случайными инцидентами вредоносного ПО.
Кроме того, недавние адаптации кампаний Lurking Lizard привели к тому, что их ВПО стало называться WireVPN. Образцы ВПО демонстрируют последовательную структуру по сравнению с предыдущими угрозами, показывая трансформацию при сохранении основных компонентов и взаимодействии с привычной инфраструктурой. В отличие от традиционных VPN-сервисов, WireVPN, по-видимому, устанавливает множество одновременных соединений и может функционировать как распределенная прокси-сеть, а не просто предоставлять инструменты конфиденциальности. Такое поведение указывает на то, что скомпрометированные устройства работают как выходные узлы для трафика, что подтверждает наличие злонамеренных намерений.
В заключение, Lurking Lizard организует сложную экосистему, предназначенную для вербовки устройств с помощью обманного программного обеспечения, что в итоге приводит к созданию обширной сети резидентных прокси-серверов, продаваемых под поддельными торговыми марками сервисов. Операционная модель отражает значительные параллели с более широкими тенденциями в сфере ВПО, где согласие пользователей систематически игнорируется при получении ресурсов, что перекликается с практиками, характерными для мошеннических схем в партнерской рекламе.