CTT Report Hub

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Фишинговая кампания использовала домен-омофон amazonattention.com для распространения пользовательской Троянской программы (RAT) под названием HarborWatch Agent. Атака включала социальную инженерию для обмана пользователей с целью выполнения вредоносных команд PowerShell, которые загружали ВПО с сервера управления. HarborWatch Agent способен собирать конфиденциальную информацию о системе и отправлять её обратно на сервер управления, что демонстрирует сдвиг в сторону тактик, эксплуатирующих действия пользователей, а не традиционные вложения. ----- В ходе недавней фишинговой кампании злоумышленники использовали доверие, связанное с Amazon, применяя тактики социальной инженерии и домен-двойник amazonattention.com для распространения пользовательской Троянской программы для удаленного доступа (RAT) под названием HarborWatch Agent. Атака использовала сфабрикованное предупреждение безопасности, которое побуждало пользователей участвовать в том, что выглядело как стандартный процесс проверки учетной записи, что в конечном итоге привело к их самоинфицированию. При нажатии кнопки «Verify Account Information» пользователи перенаправлялись на страницу, имитирующую проверку CAPTCHA. Однако вместо стандартного CAPTCHA-задания сайт инструктировал жертв выполнить вредоносные команды на их локальных системах. Вредоносные команды были хитро замаскированы под безобидный текст, вводя пользователей в заблуждение и заставляя их вставлять команду PowerShell из буфера обмена в диалоговое окно «Выполнить» (Run) в Windows. Эта команда, скрытая под фразой «I am not a robot», активировала PowerShell в скрытом режиме и запускала вредоносный скрипт. Данный скрипт впоследствии загрузил файл с именем mysql.exe с сервера управления (C2), расположенного по адресу hxps://zoomupdate.b-cdn.net/mysql.exe, в папку App Data Local Temp для удобства сокрытия. Процесс mysql.exe был идентифицирован как HarborWatch Agent после анализа, который выявил его сетевые коммуникации с IP-адресом (185.193.127.44), выступающим в роли сервера управления. Этот сервер использовался для выдачи команд и эксфильтрации системной информации. Вредоносное ПО использовало конечные точки API, такие как /api/agent/tasks/ и /api/heartbeat, для получения команд и сбора данных об зараженной системе. Анализ памяти показал, что агент HarborWatch собирал конфиденциальные данные, такие как версия операционной системы, имя хоста, количество процессоров и использование памяти, передавая эту информацию обратно на сервер C2. Дальнейшее исследование инфраструктуры C2 выявило панель входа администратора, доступную через веб-браузер, которая была оформлена с элементами китайского языка, напоминающими «Harbor Sentinel». Этот веб-интерфейс был предназначен для злоумышленников, чтобы они могли отслеживать зараженные системы, что отражает двойную функциональность ВПО. Агент HarborWatch демонстрирует сдвиг в тактиках фишинга, переходя от традиционных методов доставки с использованием вложений к стратегиям, которые заставляют пользователей самостоятельно выполнять вредоносные команды. Этот метод усложняет усилия по обнаружению, поскольку характер заражения, вызванного самим пользователем, может скрыть его присутствие от решений безопасности. В связи с этим организациям рекомендуется усилить свою защиту от этих эволюционирующих техник фишинга.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 08-06-2026 From Fake Amazon Security Alert to HarborWatch Agent: ClickFix Delivery of a Custom Monitoring RAT https://cofense.com/blog/from-fake-amazon-security-alert-to-harborwatch-agent-clickfix-delivery-of-a-custom-monitoring-rat Report completeness: Medium Threats: Harborwatch Clickfix_technique Geo: Chinese ChatGPT TTPs: do not use without manual check T1027, T1041, T1059.001, T1071.001, T1082, T1105, T1140, T1204.004, T1564.003, T1566.002, have more... IOCs: Email: 1 Domain: 2 Command: 1 Url: 5 IP: 3 Hash: 3 Soft: mysql Algorithms: base64, sha256, md5 Languages: powershell

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Microsoft Threat Intelligence зафиксировала рост атак социальной инженерии с использованием искусственного интеллекта, при этом злоумышленники имитируют популярные платформы, такие как ChatGPT и Claude. Известные фишинговые схемы использовали поддельные уведомления и скомпрометированные легитимные URL-адреса для сбора конфиденциальной информации, в то время как кампании вредоносной рекламы применяли убедительные всплывающие окна для распространения ВПО, таких как Vidar Stealer, что затронуло множество конечных точек. Атакующие также создавали мошеннические репозитории, чтобы эксплуатировать интерес к искусственному интеллекту для распространения вредоносных загрузок, демонстрируя эволюцию их тактик. ----- Согласно недавним наблюдениям Microsoft Threat Intelligence, злоумышленники демонстрируют стратегический сдвиг, всё чаще используя повышенный глобальный интерес к искусственному интеллекту (ИИ) в качестве средства социальной инженерии. Атаки в основном направлены на физических лиц и организации через кампании, имитирующие популярные платформы ИИ, такие как ChatGPT и Claude. Эти вредоносные активности включают широкий спектр тактик, включая фишинг, вредоносную рекламу и атаки с использованием поисковой оптимизации, направленные на кражу учетных данных, совершение финансовых мошенничеств или развертывание ВПО. Заметная фишинговая схема, обнаруженная 5 мая 2026 года, использовала приманку на тему ChatGPT, нацеленную на пользователей путем отправки писем, маскирующихся под срочные уведомления, связанные с обновлениями оплаты подписки. Злоумышленники отправили примерно 4 500 писем в Южную Африку и до 100 000 за один день, направляя получателей через серию легитимных URL-адресов для последующего перехода на скомпрометированный сайт, где им предлагалось ввести конфиденциальные личные и финансовые данные. Использование легитимных перенаправляющих звеньев было тактикой для обхода обнаружения почтовыми фильтрами и отслеживания взаимодействия с жертвами. Более того, с 20 по 22 апреля 2026 года отдельная кампания эксплуатировала процессы аутентификации путем имперсонации сервисов, связанных с платформой Anthropic Claude. Письма, отправленные более чем 2 000 организациям, утверждали о нарушениях учетных записей, побуждая пользователей нажимать на вложения, которые инициировали процесс сбора учетных записей, приводящий к компрометации учетных записей и утечке токенов доступа. Подобно предыдущим атакам, эта кампания опиралась на поддельные коммуникации, чтобы ввести пользователей в заблуждение и заставить их предоставить конфиденциальные учетные данные. Кампании вредоносной рекламы также были зафиксированы под псевдонимом Storm-3075, где в всплывающих окнах и установках ВПО, затронувших десятки тысяч конечных точек, использовались такие термины, как "Awesome AI Windows Plugin". Vidar Stealer, среди других полезной нагрузки, распространялся через хорошо подписанное ВПО, что придавало ему видимость легитимности, обеспечивая более широкое распространение до обнаружения. Эта кампания продемонстрировала тактическую эволюцию в развертывании ВПО с использованием категоризированных имен исполняемых файлов и вредоносной рекламы. В другом случае в апреле 2026 года была выявлена атака с использованием поддельных установщиков DeepSeek V4. Злоумышленники создали мошеннический репозиторий на GitHub, который использовал ажиотаж вокруг недавнего выпуска DeepSeek AI. Этот репозиторий содержал вредоносные payloads, замаскированные под легитимные ссылки для загрузки, что в конечном итоге приводило к установке Vidar Stealer. Инфраструктура репозитория была спроектирована для повышения обнаруживаемости с помощью тактик SEO, демонстрируя скоординированную атаку, обеспечивающую быстрое заражение жертв.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: schema: 4, windows: 5, code: 1, chats: 1

#ParsedReport #CompletenessHigh 08-06-2026 AI brands as bait: How threat actors are using the AI hype in social engineering https://www.microsoft.com/en-us/security/blog/2026/06/08/ai-brands-as-bait-how-threat-actors-are-using-the-ai-hype-in-social-engineering/ Report completeness: High Actors/Campaigns: Fox_tempest (motivation: financially_motivated) Storm-3075 (motivation: financially_motivated) Threats: Aitm_technique Credential_harvesting_technique Vidar_stealer Lumma_stealer Hijackloader Oyster Fraudgpt_tool Ghostsocks Victims: Higher education, Professional services, Information technology, Business entities, Financial services, Consumer endpoints Industry: Education Geo: France, United states, United kingdom, Switzerland, Africa, India, South africa, Japan, Austria TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1036, T1059.006, T1105, T1189, T1204.002, T1497.002, T1553.002, T1557, T1566.001, T1566.002, have more... IOCs: Domain: 6 File: 12 Hash: 8 Url: 3 Soft: Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, ChatGPT, DeepSeek, Anthropic, Claude, GPT-5, Hugging Face, PT-5.5, have more... Algorithms: sha256, exhibit Languages: python

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Недавние данные свидетельствуют о появлении вредоносных пакетов PyPI, связанных с атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades, при этом выявлено 23 новые версии, нацеленные на среды разработки, особенно в биоинформатике и ИИ. Техники атак включают выполнение встроенного вредоносного JavaScript через скомпилированные нативные расширения и использование механизма поиска загрузчика для уклонения от обнаружения. JavaScript- payload, нацеленный на конфиденциальную информацию в средах CI/CD, использует техники обфускации, напоминающие ВПО Hades, для уклонения от обнаружения. ----- Ландшафт угроз, связанный с вредоносными пакетами Индекса пакетов Python (PyPI), недавно эволюционировал, о чем свидетельствуют новые данные, представленные исследовательской группой Socket Threat Research. В их число входит волна вредоносных пакетов PyPI, связанных с более масштабными атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades. Эта новая волна выявляет 23 новые вредоносные версии пакетов, которые добавляются к ранее упомянутым 37, теперь затрагивая среды разработчиков через целевые темы, такие как биоинформатика, искусственный интеллект и пакеты конфигурации ВПО. Техники атак существенно различаются среди вновь выявленных пакетов. Некоторые используют скомпилированные нативные расширения (в частности, файлы .abi3.so) для выполнения вредоносного JavaScript в момент импорта, обходя обнаружение, которое обычно проверяет исходный код Python. Заметные вариации включают пакет langchain-core-mcp, который проводит более сложный поиск своего вредоносного payload (_index.js) по пути поиска модулей Python (sys.path), в отличие от простого включения его в состав пакета. JavaScript-код вредоносного payloads следует специфическому шаблону обфускации, связанному с вредоносным ПО Hades, и добавляет заголовок, содержащий вводящие в заблуждение комментарии, предназначенные для запутывания инструментов автоматического анализа, особенно тех, которые используют модели искусственного интеллекта. Payload нацелен на высокоценные секреты на рабочих станциях разработчиков и в средах непрерывной интеграции и развертывания (CI/CD), стремясь получить чувствительную информацию, такую как учетные данные облачных сервисов, SSH-ключи и токены реестров пакетов. Риск особенно высок в средах сборки и выпуска, где скомпрометированный токен может оказать серьезное воздействие на производственную инфраструктуру. В рамках этой кампании выявлено три различных механизма доставки. Первый использует вредоносный установочный файл, который запускает JavaScript-код при запуске Python через .pth-хук. Второй метод предполагает выполнение функциональности, скрытой в скомпилированных нативных расширениях, что затрудняет обнаружение. Наконец, вариант langchain-core-mcp применяет подход поиска загрузчика: он ищет свой JavaScript-код, а не встраивает его напрямую, что может лучше обходить традиционные системы обнаружения. Для снижения рисков, связанных с этими угрозами, организациям следует сосредоточиться на мониторинге своих сред на предмет таких проблем, как неожиданные исполняемые файлы .pth, нераспознанные JavaScript-полезные нагрузки и загрузки сред выполнения, таких как Bun. Кроме того, все открытые токены должны быть немедленно заменены, чтобы предотвратить несанкционированный доступ и атаки, консолидирующие оперативный контроль. По мере того как кампания продолжает развиваться, поддержание бдительности и тщательной проверки зависимостей пакетов, особенно тех, которые связаны с биоинформатикой и искусственным интеллектом, является необходимым. Регулярные проверки сред CI/CD на предмет подозрительных изменений в рабочих процессах и доступности сокета Docker будут иметь решающее значение для смягчения потенциальных угроз, исходящих от этой продолжающейся атаки на Цепочку поставок.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 08-06-2026 Mini Shai-Hulud, Miasma, and Hades Worms Target Bioinformatics and MCP Developers via Malicious PyPI Wheels https://socket.dev/blog/mini-shai-hulud-miasma-and-hades-worms-target-bioinformatics-and-mcp-developers-via-malicious Report completeness: Medium Actors/Campaigns: Mini_shai-hulud Threats: Shai-hulud Miasma Hades Supply_chain_technique Typosquatting_technique Dead_drop_technique Victims: Bioinformatics, Ai developers, Mcp developers, Developer environments, Ci/cd environments, Scientific research TTPs: Tactics: 3 Technics: 0 ChatGPT TTPs: do not use without manual check T1021.004, T1027, T1036.005, T1059.006, T1059.007, T1102.001, T1105, T1129, T1195.001, T1528, have more... IOCs: File: 5 Hash: 2 Soft: Kubernetes, Docker, Flask, LangChain, OpenAI Algorithms: sha256 Functions: dlopen Languages: cpython, javascript, python

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ 8 июня 2026 года была раскрыта критическая уязвимость обхода аутентификации CVE-2026-50751 в продуктах Check Point Remote Access VPN, Mobile Access и Spark Firewall, позволяющая неаутентифицированным злоумышленникам устанавливать сеанс VPN без действительных учетных данных. Уязвимость эксплуатирует недостаток в протоколе обмена ключами IKEv1, что привело к подтвержденной эксплуатации в дикой природе, связанной с киберпреступной деятельностью, включая аффилированное лицо вымогательского ПО Qilin. Связанная уязвимость CVE-2026-50752 представляет потенциальный риск для атак типа «человек посередине», но пока не была использована. ----- 8 июня 2026 года Check Point раскрыла критическую уязвимость обхода аутентификации, CVE-2026-50751, затрагивающую продукты Remote Access VPN, Mobile Access и Spark Firewall. Эта уязвимость, имеющая оценку CVSS 9.3, представляет особую значимость, поскольку связана со старым протоколом обмена ключами IKEv1. Она позволяет неаутентифицированным злоумышленникам устанавливать сеанс VPN без действительных учетных данных из-за ошибки в проверке сертификатов в процессе обмена ключами IKEv1. Организации, использующие конфигурации, которые все еще принимают этих устаревших клиентов Remote Access, находятся в зоне высокого риска. Хотя злоумышленники могут инициировать сеанс VPN, им потребуются дополнительные действия после аутентификации для доступа к внутренним ресурсам или повышения привилегий. Эксплуатация уязвимости CVE-2026-50751 уже наблюдалась в реальных условиях, при этом сообщения об атаках датируются 7 мая 2026 года, а в начале июня было отмечено увеличение активности. Эта кампания в первую очередь нацелена на десятки организаций, при этом выявлены заметные связи с киберпреступными группировками, включая аффилиата шифровальщика Qilin. Компания Rapid7 подтвердила как минимум один инцидент, связанный с данной уязвимостью, с высоким уровнем достоверности. В дополнение к CVE-2026-50751, Check Point выявил связанную уязвимость CVE-2026-50752, имеющую оценку CVSS 7.4. Эта уязвимость может позволить атаки «человек посередине» на конфигурациях VPN между сайтами, однако на данный момент случаев эксплуатации этой проблемы не зафиксировано. В свете этих уязвимостей организациям, использующим продукты Check Point, необходимо оперативно применить исправления, выпущенные для CVE-2026-50751, учитывая активную эксплуатацию. Check Point рекомендует затронутым субъектам устранить поддержку устаревших клиентов удаленного доступа, настроить глобальные свойства для требования аутентификации IKEv2 исключительно, обязать аутентификацию по машинному сертификату и включить функции Системы предотвращения вторжений (IPS), обеспечивая при этом загрузку последних сигнатур. Организации не должны откладывать применение этих обновлений и должны приоритизировать их внедрение для защиты от возникающих угроз.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 08-06-2026 Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751) https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751 Report completeness: Low Threats: Qilin_ransomware Mitm_technique Victims: Organizations CVEs: CVE-2026-50751 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2026-50752 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown CVE-2024-24919 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown ChatGPT TTPs: do not use without manual check T1190, T1557 IOCs: IP: 9 Hash: 2 Algorithms: md5

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ В рамках целевой фишинговой кампании под названием UNK_DeadDrop северокорейский злоумышленник атаковал разработчиков в сферах финансов, криптовалют, образования и технологий в период с апреля по май 2026 года. Более 250 фишинговых писем направляли пользователей на вредоносные репозитории GitHub, что приводило к скрытой установке основанного на Go ВПО Overlord, которое функционировало как RAT на macOS и Linux, а также использовало JavaScript на Windows для эксфильтрации конфиденциальной информации, такой как данные кошельков браузеров и учетные данные. Атака продемонстрировала эволюцию тактик, применяя различные методы кражи учетных данных, специфичные для операционных систем, и переходя от менее репутационных доменов на начальном этапе к более устоявшимся почтовым сервисам для проведения outreach-кампаний. ----- Злоумышленник из Северной Кореи был выявлен в рамках фишинговой кампании под названием UNK_DeadDrop, направленной на разработчиков в сфере финансов, криптовалют, образования и технологий. Кампания включала более 250 фишинговых писем, направленных почти на 100 организаций, преимущественно в Соединенных Штатах. Злоумышленники использовали электронные письма, маскирующиеся под предложения о работе и запросы на рецензирование кода, применяя контролируемые актором репозитории GitHub для распространения вредоносных скриптов. Цели получали ссылки на эти репозитории, которые выглядели как легитимные технические проекты. Процесс заражения начался, когда пользователи клонировали и открывали репозитории, что запускало предварительно настроенную задачу, устанавливающую вредоносные расширения Visual Studio (VSIX). Эта установка требовала минимального взаимодействия с пользователем, позволяя ВПО для macOS, Linux и Windows функционировать незамеченным. Основным ВПО, использовавшимся в атаке, был фреймворк на базе Go под названием Overlord, предназначенный для удаленного доступа и эксфильтрации конфиденциальной информации. На Linux и macOS Overlord функционировал как Троянская программа (RAT), устанавливая постоянные WebSocket-соединения с сервером управления. Фреймворк собирал информацию из кошельков браузера и учетные данные пользователей с помощью скрытых процессов, таких как поддельные диалоговые окна для перехвата паролей. Вариант для Windows, выполняемый в среде редактора, использующий JavaScript для извлечения данных и избегающий создания бинарных файлов для снижения рисков обнаружения. Методы кражи учетных данных варьировались: вредоносное ПО для macOS изменяло контроль доступа к Связке ключей, тогда как вредоносное ПО для Linux использовало GNOME Keyring для извлечения паролей. В рамках кампании использовались домены фиктивных корпораций и различные методы доставки писем, изначально применялись сомнительные веб-сайты, а затем такие устоявшиеся сервисы, как Mailgun. Хотя UNK_DeadDrop имеет сходство с прошлыми операциями северокорейских хакеров, он знаменует собой эволюцию тактик, демонстрируя повышенную сложность и целенаправленное воздействие на уязвимые рабочие процессы разработчиков.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessHigh 08-06-2026 Don't Fear the Repo: UNK_DeadDrop Phishing Campaign Targets Developers to Steal Cryptocurrency https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal Report completeness: High Actors/Campaigns: Unk_deaddrop (motivation: financially_motivated) Contagious_interview Tradertraitor Applejeus Threats: Overlord_tool Tradertraitor_downloader Clickfix_technique Zenity_tool Credential_stealing_technique Shadow_copies_delete_technique Invisibleferret Ottercookie Flexibleferret Victims: Cryptocurrency, Finance, Education, Technology, Business services, Financial services, United states, Global Industry: Financial, Healthcare, Education Geo: North-korea, Korean, Korea, Dprk, North korean, North korea TTPs: Tactics: 5 Technics: 0 IOCs: Url: 16 File: 12 IP: 4 Domain: 48 Email: 44 Hash: 16 Soft: macOS, Linux, Visual Studio Code, Visual Studio, Slack, Telegram, vscode, Node.js, Electron, Chrome, have more... Wallets: bybit, metamask, rabby, keplr, electrum Crypto: ethereum, solana, monero, bitcoin Algorithms: zip, aes-256-gcm, sha256, base64 Functions: backup Win API: Arc Languages: javascript, python Platforms: apple, cross-platform, amd64, intel

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Описываемая кампания включает использование RAT STX — троянской программы, развертываемой через троянизированное программное обеспечение, нацеленное на крипто-трейдеров и пользователей X-VPN, с применением техник DLL sideloading, связанных с уязвимостью Windows (CWE-427). Кампания, осуществляемая злоумышленником Leda Elacoate, носит персистентный характер, использует централизованную инфраструктуру управления и применяет скрытую многоэтапную распаковку для избежания создания артефактов. Стратегия нацеливания эволюционировала, чтобы охватить лиц, ориентированных на конфиденциальность, что отражает адаптацию актора для эксплуатации уязвимостей с высокой ценностью в технологической экосистеме. ----- Описываемая кампания характеризуется распространением троянской программы (RAT) под названием STX RAT, осуществляемым через троянизированную цепочку поставок программного обеспечения, которая преимущественно нацелена на крипто-трейдеров и пользователей приложений, ориентированных на конфиденциальность, в частности X-VPN. Злоумышленник, действующий под псевдонимом Leda Elacoate, создал репозиторий Bitbucket для размещения вредоносных установщиков, которые использовали техники подгрузки DLL для развертывания STX RAT в памяти. Механизм опирался на CRYPTBASE.dll, эксплуатируя уязвимость (CWE-427), связанную с порядком поиска DLL в приложениях Windows. В течение всей кампании, которая продолжалась даже после первоначальных раскрытий, поддерживался единый механизм доставки, посредством которого серия троянизированных пакетов использовала одну и ту же многоэтапную цепочку распаковки для извлечения RAT STX, не оставляя артефактов файлов на диске. Эта кампания эволюционировала со временем, расширяясь от первоначального фокуса на криптовалютных платформах, таких как Binance и MEXC, до включения X-VPN в свой список приманок, что отражает тактический сдвиг в сторону использования более широкой аудитории, включая лиц, обеспокоенных конфиденциальностью, которые, вероятно, работают с чувствительными учетными данными. STX RAT способен на удалённый доступ и выполнение команд, целевой кражу учётных данных и сбор данных, всё это обеспечивается через защищённые HTTPS-соединения с его сервером управления (C2), что позволяет скрытно функционировать в потоке обычного веб-трафика. Инфраструктура C2 была централизована и в основном связана через домен supp0v3.com, поддомены которого для обратных вызовов ротировались в ответ на потребности в операционной безопасности. Уязвимости, присущие клиенту X-VPN, позволяли загрузить CRYPTBASE.dll из установщика, контролируемого злоумышленником, вместо легитимных системных файлов. Эта проблема была решена в X-VPN версии 77.5.3, которая ввела более строгие проверки загрузки DLL, обеспечивая получение системных DLL исключительно из каталога Windows. Обновление также включало проверку хешей во время запуска и усиление политик загрузки на уровне процессов, снижая риск несанкционированного выполнения кода. Кампания подчеркивает согласованные усилия злоумышленника по постоянной адаптации и поддержанию оперативной динамики, демонстрируя, как атакующие могут настойчиво эволюционировать свои стратегии в ответ на внешнее внимание. Тонкая целевая ориентация как на пользователей криптовалют, так и на клиентов VPN указывает на сложное понимание пересекающихся уязвимостей и высокоценных целей в более широкой технологической экосистеме.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 05-06-2026 From Crypto Wallets to a 100M-User VPN: Inside an Active STX RAT Supply Chain Campaign https://www.cyderes.com/howler-cell/cpuid-hwmonitor-xvpn-dll-sideloading-stx-rat Report completeness: Medium Threats: Stxrat Supply_chain_technique Dll_sideloading_technique Credential_harvesting_technique Medusalocker Victims: Cryptocurrency users, Investors, Traders, Vpn users, Gamers, Software users CVEs: CVE-2025-56383 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown TTPs: Tactics: 7 Technics: 9 IOCs: Email: 1 Domain: 3 Url: 1 File: 9 Hash: 5 Soft: Steam, HWMonitor, LibreOffice, WireGuard, Google Play, Microsoft Store Wallets: bybit, exodus_wallet Crypto: binance Algorithms: zip, sha256 Platforms: apple

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Преступная хакерская кампания, направленная против японских организаций, использовала передовые техники, включающие вредоносные драйверы ядра и модульное ВПО, известное как 10FXRAT. Атакующие развернули файлы-приманки, связанные с отделом кадров, для компрометации систем, используя PXDropper для загрузки драйвера PoisonX и различных компонентов 10FXRAT. ВПО обладает возможностями антианализа, взаимодействует с сервером C2 и демонстрирует функциональность, включая Регистрация нажатий клавиш, манипуляции с файлами и обход процессов безопасности, что потенциально может быть связано с хакерской группировкой Silver Fox. ----- Недавняя преступная хакерская кампания, направленная против японских организаций, использовала передовые методы, включая развертывание вредоносных драйверов ядра и модульного ВПО, известного как 10FXRAT. Злоумышленники применяли файлы-приманки, связанные с отделом кадров, для облегчения начальной компрометации, используя вариант ВПО под названием PXDropper для извлечения и выполнения драйвера PoisonX вместе с различными компонентами 10FXRAT. PXDropper действует как загрузчик через LNK-файл, который извлекает свой полезный груз из Google Cloud Storage с использованием таких инструментов, как `curl.exe`. При запуске он загружает драйвер PoisonX и другие необходимые файлы, включая `usoclient64.exe`, `dnssd.dll`, `runtime.bin` и `vcruntime140.dll`. Примечательно, что вредоносное ПО оснащено механизмами противодействия анализу, которые обнаруживают среды виртуальных машин, тем самым останавливая свою работу в предположительно сценариях анализа. Драйвер PoisonX, обладающий легитимной подписью Microsoft, эксплуатируется в контексте атаки Bring Your Own Vulnerable Driver (BYOVD), что позволяет злоумышленникам получать привилегии на уровне ядра. Это дает им возможность отключать программное обеспечение безопасности и скрывать вредоносные процессы и сетевые коммуникации. В частности, ВПО может активно завершать 43 целевых процесса безопасности, таких как Microsoft Defender и различные китайские решения безопасности, путем отправки IOCTL-запросов. Кроме того, оно может маскировать свое присутствие в системе, уклоняясь от обнаружения стандартными средствами мониторинга. 10FXRAT — это модульное ВПО, расширяющее свою функциональность за счёт динамически загружаемых плагинов с сервера управления (C2). После первоначального выполнения оно взаимодействует по протоколу TCP с использованием собственного протокола, включающего команды для сбора информации о системе, операций с файлами и даже удалённого управления устройствами ввода. В состав полезной нагрузки входят такие возможности, как регистрация нажатий клавиш, мониторинг буфера обмена и манипуляция кошельками криптовалют. Связь с сервером C2 включает 12-байтовый заголовок с уникальным магическим числом, что позволяет отличать его трафик от легитимных данных. Идентификаторы команд указывают на широкий спектр вредоносных функций, включая управление процессами, манипуляции с дисплеем и кражу данных из браузеров и мессенджеров, таких как Телеграм. Атакующие предположительно связаны с китайской группой Silver Fox, хотя убедительные доказательства отсутствуют. Учитывая, что некоторые функции 10FXRAT всё ещё находятся в разработке, это указывает на возможность дальнейших улучшений и более широкого развертывания в будущих кампаниях. Организациям настоятельно рекомендуется усилить меры безопасности, особенно в области мониторинга и реагирования на конечных точках, чтобы эффективно противостоять этой меняющейся ландшафту угроз. Внедрение строгих возможностей обнаружения и поддержание актуальных знаний об уязвимостях будет иметь решающее значение для снижения рисков, связанных с аналогичными векторами атак.