CTT Report Hub

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ В рамках целевой фишинговой кампании под названием UNK_DeadDrop северокорейский злоумышленник атаковал разработчиков в сферах финансов, криптовалют, образования и технологий в период с апреля по май 2026 года. Более 250 фишинговых писем направляли пользователей на вредоносные репозитории GitHub, что приводило к скрытой установке основанного на Go ВПО Overlord, которое функционировало как RAT на macOS и Linux, а также использовало JavaScript на Windows для эксфильтрации конфиденциальной информации, такой как данные кошельков браузеров и учетные данные. Атака продемонстрировала эволюцию тактик, применяя различные методы кражи учетных данных, специфичные для операционных систем, и переходя от менее репутационных доменов на начальном этапе к более устоявшимся почтовым сервисам для проведения outreach-кампаний. ----- Злоумышленник из Северной Кореи был выявлен в рамках фишинговой кампании под названием UNK_DeadDrop, направленной на разработчиков в сфере финансов, криптовалют, образования и технологий. Кампания включала более 250 фишинговых писем, направленных почти на 100 организаций, преимущественно в Соединенных Штатах. Злоумышленники использовали электронные письма, маскирующиеся под предложения о работе и запросы на рецензирование кода, применяя контролируемые актором репозитории GitHub для распространения вредоносных скриптов. Цели получали ссылки на эти репозитории, которые выглядели как легитимные технические проекты. Процесс заражения начался, когда пользователи клонировали и открывали репозитории, что запускало предварительно настроенную задачу, устанавливающую вредоносные расширения Visual Studio (VSIX). Эта установка требовала минимального взаимодействия с пользователем, позволяя ВПО для macOS, Linux и Windows функционировать незамеченным. Основным ВПО, использовавшимся в атаке, был фреймворк на базе Go под названием Overlord, предназначенный для удаленного доступа и эксфильтрации конфиденциальной информации. На Linux и macOS Overlord функционировал как Троянская программа (RAT), устанавливая постоянные WebSocket-соединения с сервером управления. Фреймворк собирал информацию из кошельков браузера и учетные данные пользователей с помощью скрытых процессов, таких как поддельные диалоговые окна для перехвата паролей. Вариант для Windows, выполняемый в среде редактора, использующий JavaScript для извлечения данных и избегающий создания бинарных файлов для снижения рисков обнаружения. Методы кражи учетных данных варьировались: вредоносное ПО для macOS изменяло контроль доступа к Связке ключей, тогда как вредоносное ПО для Linux использовало GNOME Keyring для извлечения паролей. В рамках кампании использовались домены фиктивных корпораций и различные методы доставки писем, изначально применялись сомнительные веб-сайты, а затем такие устоявшиеся сервисы, как Mailgun. Хотя UNK_DeadDrop имеет сходство с прошлыми операциями северокорейских хакеров, он знаменует собой эволюцию тактик, демонстрируя повышенную сложность и целенаправленное воздействие на уязвимые рабочие процессы разработчиков.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessHigh 08-06-2026 Don't Fear the Repo: UNK_DeadDrop Phishing Campaign Targets Developers to Steal Cryptocurrency https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal Report completeness: High Actors/Campaigns: Unk_deaddrop (motivation: financially_motivated) Contagious_interview Tradertraitor Applejeus Threats: Overlord_tool Tradertraitor_downloader Clickfix_technique Zenity_tool Credential_stealing_technique Shadow_copies_delete_technique Invisibleferret Ottercookie Flexibleferret Victims: Cryptocurrency, Finance, Education, Technology, Business services, Financial services, United states, Global Industry: Financial, Healthcare, Education Geo: North-korea, Korean, Korea, Dprk, North korean, North korea TTPs: Tactics: 5 Technics: 0 IOCs: Url: 16 File: 12 IP: 4 Domain: 48 Email: 44 Hash: 16 Soft: macOS, Linux, Visual Studio Code, Visual Studio, Slack, Telegram, vscode, Node.js, Electron, Chrome, have more... Wallets: bybit, metamask, rabby, keplr, electrum Crypto: ethereum, solana, monero, bitcoin Algorithms: zip, aes-256-gcm, sha256, base64 Functions: backup Win API: Arc Languages: javascript, python Platforms: apple, cross-platform, amd64, intel

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Описываемая кампания включает использование RAT STX — троянской программы, развертываемой через троянизированное программное обеспечение, нацеленное на крипто-трейдеров и пользователей X-VPN, с применением техник DLL sideloading, связанных с уязвимостью Windows (CWE-427). Кампания, осуществляемая злоумышленником Leda Elacoate, носит персистентный характер, использует централизованную инфраструктуру управления и применяет скрытую многоэтапную распаковку для избежания создания артефактов. Стратегия нацеливания эволюционировала, чтобы охватить лиц, ориентированных на конфиденциальность, что отражает адаптацию актора для эксплуатации уязвимостей с высокой ценностью в технологической экосистеме. ----- Описываемая кампания характеризуется распространением троянской программы (RAT) под названием STX RAT, осуществляемым через троянизированную цепочку поставок программного обеспечения, которая преимущественно нацелена на крипто-трейдеров и пользователей приложений, ориентированных на конфиденциальность, в частности X-VPN. Злоумышленник, действующий под псевдонимом Leda Elacoate, создал репозиторий Bitbucket для размещения вредоносных установщиков, которые использовали техники подгрузки DLL для развертывания STX RAT в памяти. Механизм опирался на CRYPTBASE.dll, эксплуатируя уязвимость (CWE-427), связанную с порядком поиска DLL в приложениях Windows. В течение всей кампании, которая продолжалась даже после первоначальных раскрытий, поддерживался единый механизм доставки, посредством которого серия троянизированных пакетов использовала одну и ту же многоэтапную цепочку распаковки для извлечения RAT STX, не оставляя артефактов файлов на диске. Эта кампания эволюционировала со временем, расширяясь от первоначального фокуса на криптовалютных платформах, таких как Binance и MEXC, до включения X-VPN в свой список приманок, что отражает тактический сдвиг в сторону использования более широкой аудитории, включая лиц, обеспокоенных конфиденциальностью, которые, вероятно, работают с чувствительными учетными данными. STX RAT способен на удалённый доступ и выполнение команд, целевой кражу учётных данных и сбор данных, всё это обеспечивается через защищённые HTTPS-соединения с его сервером управления (C2), что позволяет скрытно функционировать в потоке обычного веб-трафика. Инфраструктура C2 была централизована и в основном связана через домен supp0v3.com, поддомены которого для обратных вызовов ротировались в ответ на потребности в операционной безопасности. Уязвимости, присущие клиенту X-VPN, позволяли загрузить CRYPTBASE.dll из установщика, контролируемого злоумышленником, вместо легитимных системных файлов. Эта проблема была решена в X-VPN версии 77.5.3, которая ввела более строгие проверки загрузки DLL, обеспечивая получение системных DLL исключительно из каталога Windows. Обновление также включало проверку хешей во время запуска и усиление политик загрузки на уровне процессов, снижая риск несанкционированного выполнения кода. Кампания подчеркивает согласованные усилия злоумышленника по постоянной адаптации и поддержанию оперативной динамики, демонстрируя, как атакующие могут настойчиво эволюционировать свои стратегии в ответ на внешнее внимание. Тонкая целевая ориентация как на пользователей криптовалют, так и на клиентов VPN указывает на сложное понимание пересекающихся уязвимостей и высокоценных целей в более широкой технологической экосистеме.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessMedium 05-06-2026 From Crypto Wallets to a 100M-User VPN: Inside an Active STX RAT Supply Chain Campaign https://www.cyderes.com/howler-cell/cpuid-hwmonitor-xvpn-dll-sideloading-stx-rat Report completeness: Medium Threats: Stxrat Supply_chain_technique Dll_sideloading_technique Credential_harvesting_technique Medusalocker Victims: Cryptocurrency users, Investors, Traders, Vpn users, Gamers, Software users CVEs: CVE-2025-56383 [Vulners] CVSS V3.1: Unknown, Vulners: Exploitation: Unknown X-Force: Risk: Unknown X-Force: Patch: Unknown TTPs: Tactics: 7 Technics: 9 IOCs: Email: 1 Domain: 3 Url: 1 File: 9 Hash: 5 Soft: Steam, HWMonitor, LibreOffice, WireGuard, Google Play, Microsoft Store Wallets: bybit, exodus_wallet Crypto: binance Algorithms: zip, sha256 Platforms: apple

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Преступная хакерская кампания, направленная против японских организаций, использовала передовые техники, включающие вредоносные драйверы ядра и модульное ВПО, известное как 10FXRAT. Атакующие развернули файлы-приманки, связанные с отделом кадров, для компрометации систем, используя PXDropper для загрузки драйвера PoisonX и различных компонентов 10FXRAT. ВПО обладает возможностями антианализа, взаимодействует с сервером C2 и демонстрирует функциональность, включая Регистрация нажатий клавиш, манипуляции с файлами и обход процессов безопасности, что потенциально может быть связано с хакерской группировкой Silver Fox. ----- Недавняя преступная хакерская кампания, направленная против японских организаций, использовала передовые методы, включая развертывание вредоносных драйверов ядра и модульного ВПО, известного как 10FXRAT. Злоумышленники применяли файлы-приманки, связанные с отделом кадров, для облегчения начальной компрометации, используя вариант ВПО под названием PXDropper для извлечения и выполнения драйвера PoisonX вместе с различными компонентами 10FXRAT. PXDropper действует как загрузчик через LNK-файл, который извлекает свой полезный груз из Google Cloud Storage с использованием таких инструментов, как `curl.exe`. При запуске он загружает драйвер PoisonX и другие необходимые файлы, включая `usoclient64.exe`, `dnssd.dll`, `runtime.bin` и `vcruntime140.dll`. Примечательно, что вредоносное ПО оснащено механизмами противодействия анализу, которые обнаруживают среды виртуальных машин, тем самым останавливая свою работу в предположительно сценариях анализа. Драйвер PoisonX, обладающий легитимной подписью Microsoft, эксплуатируется в контексте атаки Bring Your Own Vulnerable Driver (BYOVD), что позволяет злоумышленникам получать привилегии на уровне ядра. Это дает им возможность отключать программное обеспечение безопасности и скрывать вредоносные процессы и сетевые коммуникации. В частности, ВПО может активно завершать 43 целевых процесса безопасности, таких как Microsoft Defender и различные китайские решения безопасности, путем отправки IOCTL-запросов. Кроме того, оно может маскировать свое присутствие в системе, уклоняясь от обнаружения стандартными средствами мониторинга. 10FXRAT — это модульное ВПО, расширяющее свою функциональность за счёт динамически загружаемых плагинов с сервера управления (C2). После первоначального выполнения оно взаимодействует по протоколу TCP с использованием собственного протокола, включающего команды для сбора информации о системе, операций с файлами и даже удалённого управления устройствами ввода. В состав полезной нагрузки входят такие возможности, как регистрация нажатий клавиш, мониторинг буфера обмена и манипуляция кошельками криптовалют. Связь с сервером C2 включает 12-байтовый заголовок с уникальным магическим числом, что позволяет отличать его трафик от легитимных данных. Идентификаторы команд указывают на широкий спектр вредоносных функций, включая управление процессами, манипуляции с дисплеем и кражу данных из браузеров и мессенджеров, таких как Телеграм. Атакующие предположительно связаны с китайской группой Silver Fox, хотя убедительные доказательства отсутствуют. Учитывая, что некоторые функции 10FXRAT всё ещё находятся в разработке, это указывает на возможность дальнейших улучшений и более широкого развертывания в будущих кампаниях. Организациям настоятельно рекомендуется усилить меры безопасности, особенно в области мониторинга и реагирования на конечных точках, чтобы эффективно противостоять этой меняющейся ландшафту угроз. Внедрение строгих возможностей обнаружения и поддержание актуальных знаний об уязвимостях будет иметь решающее значение для снижения рисков, связанных с аналогичными векторами атак.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: code: 13, windows: 4, schema: 2

#ParsedReport #CompletenessMedium 04-06-2026 Attack Campaign against Japanese Organizations Using PoisonX Drivers https://www.lac.co.jp/lacwatch/report/20260604_004759.html Report completeness: Medium Actors/Campaigns: Silver_fox Threats: Poisonx Byovd_technique Spear-phishing_technique Pxdropper Process_hacker_tool Procmon_tool Dll_sideloading_technique Hvnc_tool Victims: Organizations in japan, Organizations in china Geo: Chinese, Japan, Japanese TTPs: Tactics: 2 Technics: 0 ChatGPT TTPs: do not use without manual check T1005, T1007, T1010, T1014, T1027, T1027.007, T1033, T1041, T1049, T1055, have more... IOCs: File: 69 Command: 2 BrowserExtension: 13 Coin: 2 Hash: 50 IP: 12 Soft: curl, VirtualBox, Hyper-V, process explorer, Windows Service, Microsoft Defender, Windows kernel, Windows Defender, Windows Security Center, Telegram, have more... Wallets: metamask, tronlink, coinbase, terra_station, safepal, yoroi, bitkeep_wallet, bitget_wallet, exodus_wallet, sollet, have more... Crypto: binance, kucoin, uniswap, pancakeswap Algorithms: base64, aes-256-cbc, zip, sha256, xor Functions: DriverEntry Win API: MOUSE_EVENT Win Services: WinDefend, wscsvc, msmpeng, securityhealthservice, mcshield, savservice, avastsvc, ekrn, mbamservice Languages: powershell

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Сложный Magecart-скиммер нацелен на Stripe, внедряясь в метаданные клиента для захвата и эксфильтрации данных карт в процессе оформления заказа. Скиммер работает с использованием легитимного контейнера Google Tag Manager, что позволяет ему избегать обнаружения правилами Content Security Policy. Он извлекает свой код из метаданных Stripe, захватывает конфиденциальную информацию, которая кодируется с помощью XOR и сохраняется в localStorage, а затем незаметно эксфилтрирует данные, отправляя их на аккаунт злоумышленника в Stripe с использованием скомпрометированного тестового ключа. ----- Недавние данные показывают, что сложный Magecart-скиммер работает напрямую через Stripe, используя платформу для хранения и эксфильтрации украденных данных карт. В этой атаке скиммер встроен в метаданные клиента Stripe и выполняется на страницах оформления заказа. Этот инновационный метод позволяет вредоносному ПО использовать два широко доверяемых домена — Google Tag Manager (GTM) и Stripe — эффективно обходя правила Content Security Policy (CSP) и сетевые фильтры, которые обычно выявляют вредоносную активность. Работа вредоносного ПО состоит из трех основных компонентов: доставка кода, сбор данных и эксфильтрация. Механизм доставки использует легитимный контейнер GTM для выполнения скиммера на любой странице оформления заказа, которая его включает. В процессе оформления заказа скиммер извлекает свой код из метаданных конкретного аккаунта клиента Stripe и выполняет его. Процесс сбора данных перехватывает кнопку оформления заказа для захвата информации о карте и реквизитах. После заполнения необходимых полей данные кодируются с помощью XOR и сохраняются в localStorage браузера. Эксфильтрация выполняется отдельно от сбора данных, происходит вскоре после загрузки страницы, а затем — через регулярные интервалы. Загрузчик обращается к localStorage для извлечения сохранённой информации и отправляет её обратно на аккаунт Stripe злоумышленника, маскируясь под поддельного клиента. Такое разделение позволяет вести скрытую операцию, при которой процесс загрузки украденных данных не связан напрямую с активностью по скиммингу. Заметной особенностью атаки является наличие секретного ключа Stripe в коде JavaScript на стороне клиента, что является ненормальным и указывает на компрометацию. Ключ, содержащий префикс sk_test_, свидетельствует о том, что злоумышленник использует тестовую среду Stripe в качестве бесплатной инфраструктуры для управления украденной информацией о картах и размещения скрипера, оставаясь при этом незамеченным благодаря доверенному характеру задействованных доменов.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #CompletenessLow 04-06-2026 Magecart skimmer turns Stripe into a malware command server https://sansec.io/research/stripe-api-skimmer-infrastructure Report completeness: Low Actors/Campaigns: Magecart Victims: Online retail stores, Magento stores, Adobe commerce stores TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1056.003, T1059.007, T1074.001, T1102.002, T1102.003, T1105, T1132.002, T1567 Soft: Shopware Algorithms: xor Functions: Function, getMetaString, setTimeout Languages: javascript

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Кампания, направленная против Red Hat, включает в себя сложное вредоносное ПО для npm, в частности стиллер Shai-Hulud, который выполняет многоэтапную атаку, включающую обширную обфускацию и динамическое обновление полезной нагрузки через GitHub, используя свою инфраструктуру как управление. Это вредоносное ПО постоянно адаптируется с каждой операцией, усложняя обнаружение благодаря использованию легитимных платформ для связи и выполнения. Улики указывают на то, что злоумышленники могут быть китайскоязычными и развивают свои техники, что указывает на персистентную и сложную атаку на Цепочку поставок. ----- Текущая кампания, направленная против Red Hat с использованием вредоносного программного обеспечения в npm, продемонстрировала высокий уровень сложности, характеризующийся широким применением обфускации и шифрования, включающим шесть этапов выполнения. Обычно вредоносное программное обеспечение в npm работает с тремя этапами: декодирование обфусцированного кода, загрузка вредоносной нагрузки и ее выполнение на целевой машине. Однако данный образец представляет собой сложную систему, в которой вредоносный код выполняется в том, что напоминает бесконечный цикл. В основе этого сложного выполнения лежит стиллер Shai-Hulud, который использует различные стадии дроппера для запуска своего полезного груза. Наличие нескольких версий строки, идентифицированной как "Miasma", предполагает, что определенные учетные записи могли быть скомпрометированы шестой операционной стадией вредоносного ПО или его вариантами, которые эксплуатируют конкретную логику, связанную с кодом "firedalazer", размещенным на GitHub. Такая реализация позволяет злоумышленникам динамически изменять вредоносное ПО, делая его как адаптивным, так и сложным, при этом используя инфраструктуру GitHub в качестве средства для управления (C2). Такое использование широко доверяемой платформы значительно затрудняет усилия по обнаружению на основе сети, поскольку типичные меры безопасности не помечают трафик GitHub как вредоносный. GitHub выполняет двойную роль в этой кампании; вместо того чтобы быть лишь средством для выгрузки информации, злоумышленники используют его для проведения операций с ВПО. Они применяют помеченные коммиты со строкой "firedalazer" в качестве механизма доставки для живых обновлений, помечая каждый коммит как потенциальную новую полезную нагрузку. Архитектура обеспечивает непрерывность операций даже при блокировке учетных записей. Различия в том, как форматируются строки в скомпрометированных репозиториях GitHub, предоставляют дополнительные подсказки о версии используемого ВПО, что критически важно для выявления потенциальных заражений. Более того, участие новой учётной записи GitHub, связанной с вредоносной деятельностью, указывает на то, что злоумышленник может упорно пытаться продвинуть свою кампанию, с возможностью того, что он уже заразил свою собственную учётную запись новым вариантом. Улики свидетельствуют о связи с потенциально говорящим на китайском языке актором, что подчеркивает сдвиг в ландшафте угроз, поскольку текущее выполнение ВПО отклоняется от предыдущих, менее сложных атак, приписываемых другим группам, таким как TeamPCP. По мере продолжения расследования появляются доказательства того, что вредоносная кампания продолжается, с возможностью увеличения числа заражений — что является индикатором продолжающейся атаки на Цепочку поставок. В связи с этим инженерам по безопасности настоятельно рекомендуется использовать индикаторы компрометации (IoCs) и специфические строки для укрепления своей защиты от этой развивающейся угрозы. Эта ситуация подчеркивает необходимость точных возможностей обнаружения для снижения рисков, связанных с сложными операциями ВПО, эксплуатирующими доверенные платформы.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: schema: 2

#ParsedReport #CompletenessLow 02-06-2026 Six Stages Deep and an Endless Loop: Shai-Hulud Is Getting Sophisticated https://www.ox.security/blog/six-stages-deep-and-an-endless-loop-shai-hulud-is-getting-sophisticated/ Report completeness: Low Actors/Campaigns: Teampcp Threats: Shai-hulud Miasma Dead_drop_technique Supply_chain_technique Victims: Red hat, Github repositories Geo: Chinese ChatGPT TTPs: do not use without manual check T1027, T1102.002, T1105, T1195.001, T1567.001 IOCs: File: 1 Soft: LiteLLM Links: https://github.com/windy629?tab=repositories https://github.com/search?q=%22Miasma+%3A+The+Spreading+Blight%22&type=repositories

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Инструмент Grixba, разработанный группой Play Ransomware Group, представляет собой кастомный стиллер, нацеленный на секторы в США, Канаде и Великобритании с 2022 года, эволюционировавший через несколько версий для повышения сложности и возможностей уклонения. Ключевые улучшения включают использование XOR-зашифрованного DLL для обновлений полезной нагрузки в версии 2 и усовершенствованную стратегию развертывания в версии 3, ориентированную на обнаружение высокоценного программного обеспечения при сохранении низкой заметности. Связи с северокорейской группой Jumpy Pisces указывают на возможный сдвиг в тактике операций, влияющий на будущие итерации Grixba. ----- Grixba — это кастомный стиллер, разработанный группой Play Ransomware Group, активный как минимум с 2022 года. Целями являются секторы в США, Канаде и Великобритании. Grixba прошла через несколько версий, улучшая сложность и техники уклонения. Версия 1.5 представила расширенное сетевое сканирование и более детальный сбор данных, включая учетные данные пользователей и историю браузера. Версия 2 использовала DLL, зашифрованную с помощью XOR, для повышения уровня уклонения и анонимной эксфильтрации через узел выхода VPN Private Internet Access (PIA). Версия 3 дополнительно усовершенствовала свою развертывание, разделив сканирующий полезный груз от загрузчика, уменьшив размер исполняемого файла и повысив скрытность. Версия 3 также была сосредоточена на мониторинге программного обеспечения высокой ценности при сохранении основных возможностей перечисления. Слабые стороны различных версий Grixba включают недостаточные меры противодействия песочнице и возможность декомпиляции управляемого кода .NET. Grixba постоянно разворачивается в каталог C:\Users\Public\Music через Протокол удаленного рабочего стола (RDP), что предоставляет индикатор для мониторинга. Поведение сканирования включает перечисление через WMI и WinRM, что формирует отличительные телеметрические данные для обнаружения управления. Новые связи с северокорейским злоумышленником Jumpy Pisces указывают на потенциальные изменения в оперативной тактике для будущих итераций Grixba.

#ParsedReport #GeneratedSchema Generated with GPT-4

#ParsedReport #ExtractedSchema Classified images: code: 7, schema: 1