#ParsedReport #CompletenessHigh
18-01-2026
Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms
https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing
Report completeness: High
Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky
Threats:
Spear-phishing_technique
Endrat
Autoitrat
Victims:
Financial sector, Non profit organizations, Wordpress website operators
Industry:
Ngo, Financial
Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...
IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4
Soft:
WordPress, PHPMailer
Algorithms:
base64, zip, md5
Languages:
php, autoit, powershell
18-01-2026
Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms
https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing
Report completeness: High
Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky
Threats:
Spear-phishing_technique
Endrat
Autoitrat
Victims:
Financial sector, Non profit organizations, Wordpress website operators
Industry:
Ngo, Financial
Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...
IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4
Soft:
WordPress, PHPMailer
Algorithms:
base64, zip, md5
Languages:
php, autoit, powershell
www.genians.co.kr
Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms
Konni APT group conducted a spear phishing attack by exploiting the redirection URL structure of the domain used for Google ad click tracking.
CTT Report Hub
#ParsedReport #CompletenessHigh 18-01-2026 Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing Report completeness: High Actors/Campaigns: Poseidon Scarcruft…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Operation Poseidon - это spear phishing-кампания, приписываемая APT-группировке Konni, использующей скомпрометированные сайты WordPress для распространения вредоносного ПО и инфраструктуры командования и контроля. Атака в основном включает в себя spear phishing электронные письма с вводящими в заблуждение URL-адресами, что приводит пользователей к загрузке сжатых файлов, содержащих вредоносные LNK-файлы, которые запускают вредоносное ПО EndRAT с помощью сценариев AutoIt. Konni APT демонстрирует адаптивность, используя различные тактики Имперсонации, чтобы использовать доверие пользователей и обойти механизмы обнаружения.
-----
Operation Poseidon - это spear phishing-кампания, связанная с Konni APT-группировкой, которая использует сложные методы для обхода механизмов обнаружения. Эта кампания использует неправильно настроенные веб-сайты WordPress в качестве точек распространения вредоносного ПО и инфраструктуры командования и контроля (C2). Используя эти скомпрометированные сайты, злоумышленники могут обойти традиционные меры безопасности, основанные на блокировке URL-адресов и доменов, что позволяет быстро вносить изменения в их операционную инфраструктуру.
Первоначальный доступ в рамках этой кампании преимущественно включает в себя spear phishing электронные письма, содержащие замаскированные URL-адреса загрузки, которые вводят пользователей в заблуждение и заставляют загружать сжатые архивы. Эти архивы содержат вредоносные файлы LNK, которые запускают загрузку вредоносного ПО EndRAT с помощью сценариев автоматической загрузки, замаскированных под PDF-документы. Эта тактика направлена не только на использование доверия пользователей, но и на обход фильтров безопасности. В электронных письмах с фишингом используются дополнительные методы запутывания, путем вставки большого количества бессмысленного текста в невидимые области, чтобы еще больше избежать обнаружения.
Анализ поведения злоумышленников показывает, что программа Konni APT ранее использовала различные темы, включая Имперсонацию финансовых учреждений и некоммерческих организаций, чтобы увеличить свои шансы на успех. Например, недавние атаки включали приманки, связанные с некоммерческой НПО, которая стремилась повысить осведомленность о проблемах прав человека в Северной Корее, что иллюстрирует адаптивность группы в их стратегиях Имперсонации.
Тактика, методы и процедуры (TTP), использованные в Operation Poseidon, демонстрируют сильную согласованность с предыдущими операциями Konni, подтверждая модель использования аналогичной инфраструктуры и методов для доставки вредоносного ПО. Эта корреляция имеет решающее значение для понимания закрепления и эволюции их методов атаки.
Чтобы смягчить этот тип угроз, эксперты рекомендуют усовершенствовать механизмы обнаружения, основанные на поведении, вместо того, чтобы просто блокировать домены, используемые в законной рекламе. Шлюзы безопасности и прокси-серверы должны сосредоточиться на мониторинге конечных адресов назначения в перенаправленном трафике для выявления потенциально опасных загрузок. Системы обнаружения конечных точек и реагирования на них (EDR) становятся незаменимыми в таких контекстах, поскольку они предназначены для мониторинга поведения конечных точек и обнаружения аномалий, которые могут быть пропущены методами обнаружения на основе статических сигнатур. Этот многоуровневый подход к безопасности жизненно важен для защиты от эволюционирующих методологий, используемых такими группами, как APT Konni, в таких кампаниях, как Operation Poseidon.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Operation Poseidon - это spear phishing-кампания, приписываемая APT-группировке Konni, использующей скомпрометированные сайты WordPress для распространения вредоносного ПО и инфраструктуры командования и контроля. Атака в основном включает в себя spear phishing электронные письма с вводящими в заблуждение URL-адресами, что приводит пользователей к загрузке сжатых файлов, содержащих вредоносные LNK-файлы, которые запускают вредоносное ПО EndRAT с помощью сценариев AutoIt. Konni APT демонстрирует адаптивность, используя различные тактики Имперсонации, чтобы использовать доверие пользователей и обойти механизмы обнаружения.
-----
Operation Poseidon - это spear phishing-кампания, связанная с Konni APT-группировкой, которая использует сложные методы для обхода механизмов обнаружения. Эта кампания использует неправильно настроенные веб-сайты WordPress в качестве точек распространения вредоносного ПО и инфраструктуры командования и контроля (C2). Используя эти скомпрометированные сайты, злоумышленники могут обойти традиционные меры безопасности, основанные на блокировке URL-адресов и доменов, что позволяет быстро вносить изменения в их операционную инфраструктуру.
Первоначальный доступ в рамках этой кампании преимущественно включает в себя spear phishing электронные письма, содержащие замаскированные URL-адреса загрузки, которые вводят пользователей в заблуждение и заставляют загружать сжатые архивы. Эти архивы содержат вредоносные файлы LNK, которые запускают загрузку вредоносного ПО EndRAT с помощью сценариев автоматической загрузки, замаскированных под PDF-документы. Эта тактика направлена не только на использование доверия пользователей, но и на обход фильтров безопасности. В электронных письмах с фишингом используются дополнительные методы запутывания, путем вставки большого количества бессмысленного текста в невидимые области, чтобы еще больше избежать обнаружения.
Анализ поведения злоумышленников показывает, что программа Konni APT ранее использовала различные темы, включая Имперсонацию финансовых учреждений и некоммерческих организаций, чтобы увеличить свои шансы на успех. Например, недавние атаки включали приманки, связанные с некоммерческой НПО, которая стремилась повысить осведомленность о проблемах прав человека в Северной Корее, что иллюстрирует адаптивность группы в их стратегиях Имперсонации.
Тактика, методы и процедуры (TTP), использованные в Operation Poseidon, демонстрируют сильную согласованность с предыдущими операциями Konni, подтверждая модель использования аналогичной инфраструктуры и методов для доставки вредоносного ПО. Эта корреляция имеет решающее значение для понимания закрепления и эволюции их методов атаки.
Чтобы смягчить этот тип угроз, эксперты рекомендуют усовершенствовать механизмы обнаружения, основанные на поведении, вместо того, чтобы просто блокировать домены, используемые в законной рекламе. Шлюзы безопасности и прокси-серверы должны сосредоточиться на мониторинге конечных адресов назначения в перенаправленном трафике для выявления потенциально опасных загрузок. Системы обнаружения конечных точек и реагирования на них (EDR) становятся незаменимыми в таких контекстах, поскольку они предназначены для мониторинга поведения конечных точек и обнаружения аномалий, которые могут быть пропущены методами обнаружения на основе статических сигнатур. Этот многоуровневый подход к безопасности жизненно важен для защиты от эволюционирующих методологий, используемых такими группами, как APT Konni, в таких кампаниях, как Operation Poseidon.
#ParsedReport #CompletenessLow
17-01-2026
Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate
https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/
Report completeness: Low
Threats:
Mamba_2fa_tool
Aitm_technique
Mamba
Credential_harvesting_technique
Spear-phishing_technique
Victims:
Cloud identity platforms, Microsoft 365 users, Multiple sectors
TTPs:
Tactics: 7
Technics: 13
Languages:
javascript
17-01-2026
Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate
https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/
Report completeness: Low
Threats:
Mamba_2fa_tool
Aitm_technique
Mamba
Credential_harvesting_technique
Spear-phishing_technique
Victims:
Cloud identity platforms, Microsoft 365 users, Multiple sectors
TTPs:
Tactics: 7
Technics: 13
Languages:
javascript
CYFIRMA
Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate - CYFIRMA
INTRODUCTION CYFIRMA assesses that Mamba 2FA is a representative of a broader class of adversary-in-the-middle phishing frameworks that have become...
CTT Report Hub
#ParsedReport #CompletenessLow 17-01-2026 Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор Mamba phishing-as-a-service, появляющийся в 2023 году, расширяет возможности атак Злоумышленника посередине (AiTM), фокусируясь на обходе Многофакторной аутентификации (MFA) путем автоматизации и имитации законных процессов аутентификации. Его дизайн повышает эффективность работы и сводит к минимуму взаимодействие с пользователем, обеспечивая быстрый захват учетных данных и маскируя вредоносную активность под обычное поведение пользователя. Это отражает растущую тенденцию в сфере фишинга, ориентированную на облачные службы идентификации, особенно на такие платформы, как Microsoft 365, что указывает на стандартизацию методов фишинга различными злоумышленниками.
-----
Набор Mamba phishing-as-a-service представляет собой значительную эволюцию в области атак Злоумышленника посередине (AiTM), особенно в контексте растущих угроз кибербезопасности, ориентированных на облако. Mamba 2FA, появившаяся в 2023 году, означает переход от традиционных методов credential-harvesting к более сложным фреймворкам AiTM, нацеленным на обход защиты от Многофакторной аутентификации (MFA). Этот сдвиг свидетельствует о растущей тенденции в фишинге, когда злоумышленники используют автоматизацию и реалистичность для обмана пользователей и более эффективного обхода средств контроля безопасности.
Mamba основана на философии дизайна, которая подчеркивает эффективность работы и минимальное взаимодействие с пользователем. Он включает в себя передовые методы для эмуляции законных процессов аутентификации, управления пользовательскими сеансами и осуществления взаимодействия в режиме реального времени с серверными системами. Уменьшая трудности в процессе аутентификации, Mamba позволяет быстро получать учетные данные, сохраняя видимость обычной активности пользователя. Эти характеристики делают его мощным инструментом в экосистеме "фишинг как услуга", поскольку он способствует масштабируемым и повторяемым кампаниям атак, которые требуют меньших технических знаний от операторов.
Поведение при фишинге, демонстрируемое с помощью URL-адресов Mamba, согласуется с установленными шаблонами, наблюдаемыми в аналогичных фреймворках AiTM, демонстрируя такие методы, как высокоточное клонирование потоков облачной аутентификации. Эта среда усиливает угрозу, исходящую от Mamba 2FA, которая является не единичным случаем, а скорее проявлением стандартизированного подхода к разработке в рамках активного ландшафта PhaaS. Конвергенция возможностей AiTM означает, что множество акторов используют схожие методы для таргетирования облачных служб идентификации, особенно тех, которые связаны с широко используемыми платформами, такими как Microsoft 365.
По мере развития экосистемы фишинга традиционные средства защиты должны адаптироваться. Продолжающееся распространение Mamba и ее аналогов подчеркивает необходимость многоуровневого контроля безопасности идентификационных данных и способности эффективно обнаруживать аномалии аутентификации. Мониторинг более широких тенденций в экосистеме, а не сосредоточение внимания исключительно на отдельных инструментах, будет иметь важное значение для прогнозирования и выработки стратегии с учетом будущих изменений в методологиях фишинга. Ожидается, что риск, создаваемый такими платформами, как Mamba 2FA, сохранится, создавая постоянные проблемы для организаций, полагающихся на облачные службы идентификации в качестве основных векторов атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Набор Mamba phishing-as-a-service, появляющийся в 2023 году, расширяет возможности атак Злоумышленника посередине (AiTM), фокусируясь на обходе Многофакторной аутентификации (MFA) путем автоматизации и имитации законных процессов аутентификации. Его дизайн повышает эффективность работы и сводит к минимуму взаимодействие с пользователем, обеспечивая быстрый захват учетных данных и маскируя вредоносную активность под обычное поведение пользователя. Это отражает растущую тенденцию в сфере фишинга, ориентированную на облачные службы идентификации, особенно на такие платформы, как Microsoft 365, что указывает на стандартизацию методов фишинга различными злоумышленниками.
-----
Набор Mamba phishing-as-a-service представляет собой значительную эволюцию в области атак Злоумышленника посередине (AiTM), особенно в контексте растущих угроз кибербезопасности, ориентированных на облако. Mamba 2FA, появившаяся в 2023 году, означает переход от традиционных методов credential-harvesting к более сложным фреймворкам AiTM, нацеленным на обход защиты от Многофакторной аутентификации (MFA). Этот сдвиг свидетельствует о растущей тенденции в фишинге, когда злоумышленники используют автоматизацию и реалистичность для обмана пользователей и более эффективного обхода средств контроля безопасности.
Mamba основана на философии дизайна, которая подчеркивает эффективность работы и минимальное взаимодействие с пользователем. Он включает в себя передовые методы для эмуляции законных процессов аутентификации, управления пользовательскими сеансами и осуществления взаимодействия в режиме реального времени с серверными системами. Уменьшая трудности в процессе аутентификации, Mamba позволяет быстро получать учетные данные, сохраняя видимость обычной активности пользователя. Эти характеристики делают его мощным инструментом в экосистеме "фишинг как услуга", поскольку он способствует масштабируемым и повторяемым кампаниям атак, которые требуют меньших технических знаний от операторов.
Поведение при фишинге, демонстрируемое с помощью URL-адресов Mamba, согласуется с установленными шаблонами, наблюдаемыми в аналогичных фреймворках AiTM, демонстрируя такие методы, как высокоточное клонирование потоков облачной аутентификации. Эта среда усиливает угрозу, исходящую от Mamba 2FA, которая является не единичным случаем, а скорее проявлением стандартизированного подхода к разработке в рамках активного ландшафта PhaaS. Конвергенция возможностей AiTM означает, что множество акторов используют схожие методы для таргетирования облачных служб идентификации, особенно тех, которые связаны с широко используемыми платформами, такими как Microsoft 365.
По мере развития экосистемы фишинга традиционные средства защиты должны адаптироваться. Продолжающееся распространение Mamba и ее аналогов подчеркивает необходимость многоуровневого контроля безопасности идентификационных данных и способности эффективно обнаруживать аномалии аутентификации. Мониторинг более широких тенденций в экосистеме, а не сосредоточение внимания исключительно на отдельных инструментах, будет иметь важное значение для прогнозирования и выработки стратегии с учетом будущих изменений в методологиях фишинга. Ожидается, что риск, создаваемый такими платформами, как Mamba 2FA, сохранится, создавая постоянные проблемы для организаций, полагающихся на облачные службы идентификации в качестве основных векторов атак.
#technique
sliver-tor-bridge
tor-based transport bridge for sliver c2. creates a hidden service and proxies traffic to your sliver server so your real ip is never exposed.
https://github.com/Otsmane-Ahmed/sliver-tor-bridge
sliver-tor-bridge
tor-based transport bridge for sliver c2. creates a hidden service and proxies traffic to your sliver server so your real ip is never exposed.
https://github.com/Otsmane-Ahmed/sliver-tor-bridge
GitHub
GitHub - Otsmane-Ahmed/sliver-tor-bridge: Tor transport bridge for Sliver C2 - anonymous command and control
Tor transport bridge for Sliver C2 - anonymous command and control - Otsmane-Ahmed/sliver-tor-bridge
#technique
Obfusk8: C++17-Based Obfuscation Library
Obfusk8: lightweight Obfuscation library based on C++17 / Header Only for windows binaries
https://github.com/x86byte/Obfusk8
Obfusk8: C++17-Based Obfuscation Library
Obfusk8: lightweight Obfuscation library based on C++17 / Header Only for windows binaries
https://github.com/x86byte/Obfusk8
GitHub
GitHub - x86byte/Obfusk8: Obfusk8: lightweight Obfuscation library based on C++17 / Header Only for windows binaries
Obfusk8: lightweight Obfuscation library based on C++17 / Header Only for windows binaries - x86byte/Obfusk8
#technique
GhostWrite
Cross-platform scripts to edit files without leaving timestamp traces.
https://github.com/Logisek/GhostWrite
GhostWrite
Cross-platform scripts to edit files without leaving timestamp traces.
https://github.com/Logisek/GhostWrite
GitHub
GitHub - Logisek/GhostWrite: Edit files without leaving timestamp traces.
Edit files without leaving timestamp traces. Contribute to Logisek/GhostWrite development by creating an account on GitHub.
WhatsApp Session Hijack + Surveillance Kit
https://github.com/narimangharib/irgc-whatsapp-phishkit/blob/main/threat-report.md
https://github.com/narimangharib/irgc-whatsapp-phishkit/blob/main/threat-report.md
GitHub
irgc-whatsapp-phishkit/threat-report.md at main · narimangharib/irgc-whatsapp-phishkit
Analysis of state-sponsored WhatsApp phishing infrastructure with real-time QR hijacking and device surveillance - narimangharib/irgc-whatsapp-phishkit
#technique
Tangled
Tangled is a phishing platform designed from an offensive security perspective.
It automates many of the aspects of social engineering campaigns delivery and weaponizes iCalendar rendering features in Microsoft Outlook & Gmail (Google Workspace) to deliver spoofed meeting invites that are automatically added to a user's calendar without interaction.
https://github.com/ineesdv/Tangled
Tangled
Tangled is a phishing platform designed from an offensive security perspective.
It automates many of the aspects of social engineering campaigns delivery and weaponizes iCalendar rendering features in Microsoft Outlook & Gmail (Google Workspace) to deliver spoofed meeting invites that are automatically added to a user's calendar without interaction.
https://github.com/ineesdv/Tangled
GitHub
GitHub - ineesdv/Tangled: Open-source offensive security platform for conducting phishing campaigns that weaponizes iCalendar automatic…
Open-source offensive security platform for conducting phishing campaigns that weaponizes iCalendar automatic event processing. - ineesdv/Tangled
#ParsedReport #CompletenessHigh
19-01-2026
Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentinas Judicial Sector to Deploy a Covert RAT
https://www.seqrite.com/blog/operation-covert-access-weaponized-lnk-based-spear-phishing-targeting-argentinas-judicial-sector-to-deploy-a-covert-rat/
Report completeness: High
Actors/Campaigns:
Covert_accesss
Threats:
Covertrat
Spear-phishing_technique
Cobalt_strike_tool
Credential_harvesting_technique
Credential_dumping_technique
Victims:
Judicial sector
Industry:
Government, Healthcare
Geo:
Spanish, Argentina, America, Burma
TTPs:
Tactics: 12
Technics: 48
IOCs:
Path: 12
File: 24
Registry: 7
IP: 1
Hash: 5
Soft:
Microsoft Edge, Windows registry, VirtualBox, Hyper-V, qemu, task scheduler
Algorithms:
exhibit, xor, zip, base64
Functions:
exit
Win API:
IsDebuggerPresent, QueryPerformanceFrequency
Win Services:
WebClient
Languages:
powershell, rust
Platforms:
x86, x64
19-01-2026
Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentinas Judicial Sector to Deploy a Covert RAT
https://www.seqrite.com/blog/operation-covert-access-weaponized-lnk-based-spear-phishing-targeting-argentinas-judicial-sector-to-deploy-a-covert-rat/
Report completeness: High
Actors/Campaigns:
Covert_accesss
Threats:
Covertrat
Spear-phishing_technique
Cobalt_strike_tool
Credential_harvesting_technique
Credential_dumping_technique
Victims:
Judicial sector
Industry:
Government, Healthcare
Geo:
Spanish, Argentina, America, Burma
TTPs:
Tactics: 12
Technics: 48
IOCs:
Path: 12
File: 24
Registry: 7
IP: 1
Hash: 5
Soft:
Microsoft Edge, Windows registry, VirtualBox, Hyper-V, qemu, task scheduler
Algorithms:
exhibit, xor, zip, base64
Functions:
exit
Win API:
IsDebuggerPresent, QueryPerformanceFrequency
Win Services:
WebClient
Languages:
powershell, rust
Platforms:
x86, x64
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentina’s Judicial Sector to Deploy a Covert RAT
<p>Table of Contents: Introduction: Infection Chain: Targeted sectors: Initial Findings about Campaign: Analysis of Decoy: Technical Analysis: Stage-1: Analysis of Windows Shortcut file (.LNK). Stage-2: Analysis of Batch file. Stage-3: Details analysis of…
CTT Report Hub
#ParsedReport #CompletenessHigh 19-01-2026 Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentinas Judicial Sector to Deploy a Covert RAT https://www.seqrite.com/blog/operation-covert-access-weaponized-lnk-based-spear-phishing-targeting…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Operation Covert Access нацелена на судебный сектор Аргентины, используя методы Целевого фишинга и "оружейные" файлы ярлыков Windows (.LNK) в качестве переносчика инфекции. Тот самый .Файлы LNK запускают вредоносный пакетный файл, который развертывает скрытый троян удаленного доступа (RAT), предоставляя злоумышленникам постоянный доступ к скомпрометированным системам. Эта RAT облегчает эксфильтрацию данных и наблюдение за ними с помощью скрытных операций и тактики уклонения, что отражает глубокое понимание уязвимостей судебной системы.
-----
Operation Covert Access включает в себя сложную кампанию Целевого фишинга, направленную конкретно на судебный сектор Аргентины. В качестве исходного вектора заражения в атаке используются защищенные файлы ярлыков Windows (.LNK), демонстрирующие нацеленный подход к компрометации чувствительных правительственных учреждений.
На первом этапе инфекционной цепочки происходит .Файлы LNK служат приманкой для запуска вредоносного пакетного файла после его открытия. Этот метод умело маскирует злой умысел под видом законного запроса или документа, повышая вероятность успешного обмана. Пакетный файл выполняет ряд действий, которые облегчают развертывание скрытого троянца удаленного доступа (RAT), тем самым позволяя злоумышленникам получать постоянный доступ к зараженным системам.
Анализ covert RAT раскрывает ее возможности и поведение. После развертывания это вредоносное ПО может обеспечить несанкционированный контроль над зараженным компьютером, что может привести к потенциальной эксфильтрации данных и слежке за конфиденциальными сообщениями в рамках судебной системы. Конструкция RAT позволяет ему действовать скрытно и избегать обнаружения с помощью различных методов запутывания.
Кампания отражает четкое понимание операционной среды и уязвимостей, существующих в судебном секторе, подчеркивая необходимость принятия надежных мер по кибербезопасности. Были выявлены индикаторы компрометации (IOCs), связанные с этой операцией, которые предоставляют ключевую разведывательную информацию для принятия защитных мер. Кроме того, тактика, используемая в этой атаке, коррелирует со специфическими техниками из платформы MITRE ATT&CK, иллюстрируя процедурный метод, используемый злоумышленниками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Operation Covert Access нацелена на судебный сектор Аргентины, используя методы Целевого фишинга и "оружейные" файлы ярлыков Windows (.LNK) в качестве переносчика инфекции. Тот самый .Файлы LNK запускают вредоносный пакетный файл, который развертывает скрытый троян удаленного доступа (RAT), предоставляя злоумышленникам постоянный доступ к скомпрометированным системам. Эта RAT облегчает эксфильтрацию данных и наблюдение за ними с помощью скрытных операций и тактики уклонения, что отражает глубокое понимание уязвимостей судебной системы.
-----
Operation Covert Access включает в себя сложную кампанию Целевого фишинга, направленную конкретно на судебный сектор Аргентины. В качестве исходного вектора заражения в атаке используются защищенные файлы ярлыков Windows (.LNK), демонстрирующие нацеленный подход к компрометации чувствительных правительственных учреждений.
На первом этапе инфекционной цепочки происходит .Файлы LNK служат приманкой для запуска вредоносного пакетного файла после его открытия. Этот метод умело маскирует злой умысел под видом законного запроса или документа, повышая вероятность успешного обмана. Пакетный файл выполняет ряд действий, которые облегчают развертывание скрытого троянца удаленного доступа (RAT), тем самым позволяя злоумышленникам получать постоянный доступ к зараженным системам.
Анализ covert RAT раскрывает ее возможности и поведение. После развертывания это вредоносное ПО может обеспечить несанкционированный контроль над зараженным компьютером, что может привести к потенциальной эксфильтрации данных и слежке за конфиденциальными сообщениями в рамках судебной системы. Конструкция RAT позволяет ему действовать скрытно и избегать обнаружения с помощью различных методов запутывания.
Кампания отражает четкое понимание операционной среды и уязвимостей, существующих в судебном секторе, подчеркивая необходимость принятия надежных мер по кибербезопасности. Были выявлены индикаторы компрометации (IOCs), связанные с этой операцией, которые предоставляют ключевую разведывательную информацию для принятия защитных мер. Кроме того, тактика, используемая в этой атаке, коррелирует со специфическими техниками из платформы MITRE ATT&CK, иллюстрируя процедурный метод, используемый злоумышленниками.
#ParsedReport #CompletenessLow
19-01-2026
How threat actors are using self-hosted GitHub Actions runners as backdoors
https://www.sysdig.com/blog/how-threat-actors-are-using-self-hosted-github-actions-runners-as-backdoors
Report completeness: Low
Threats:
Shai-hulud
Victims:
Software development, Open source focused companies
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1078, T1105, T1195
IOCs:
File: 10
Soft:
curl, linux, systemd
Functions:
setTimeout
Links:
have more...
19-01-2026
How threat actors are using self-hosted GitHub Actions runners as backdoors
https://www.sysdig.com/blog/how-threat-actors-are-using-self-hosted-github-actions-runners-as-backdoors
Report completeness: Low
Threats:
Shai-hulud
Victims:
Software development, Open source focused companies
Industry:
Software_development
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1078, T1105, T1195
IOCs:
File: 10
Soft:
curl, linux, systemd
Functions:
setTimeout
Links:
https://resources.github.com/actions/2026-pricing-changes-for-github-actions/https://docs.github.com/en/actions/how-tos/manage-runners/self-hosted-runners/configure-the-applicationhave more...
Sysdig
How threat actors are using self-hosted GitHub Actions runners as backdoors | Sysdig
Using Shai-Hulud as a case study, explore how attackers can abuse GitHub's self-hosted runner infrastructure to establish persistent remote access.
CTT Report Hub
#ParsedReport #CompletenessLow 19-01-2026 How threat actors are using self-hosted GitHub Actions runners as backdoors https://www.sysdig.com/blog/how-threat-actors-are-using-self-hosted-github-actions-runners-as-backdoors Report completeness: Low Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Автономные пользователи GitHub Actions runner все чаще становятся нацелены на кибератаки из-за их доступа к внутренним ресурсам и способности запускать произвольный код. Бэкдор Shai-Hulud компрометирует компьютеры разработчиков с помощью троянских пакетов NPM, создавая общедоступный репозиторий GitHub для управления. Используя API-интерфейсы GitHub, он регистрирует runner для поддержания постоянного доступа, манипулируя идентификатором RUNNER_TRACKING_ID, чтобы избежать процессов очистки, тем самым позволяя злоумышленникам удаленно выполнять команды через обсуждения в репозитории.
-----
Автономные программы для запуска действий на GitHub стали важной мишенью для киберугроз из-за присущего им доступа к внутренним сетям, сохраненным учетным данным и способности выполнять произвольный код. Простота регистрации еще больше повышает их привлекательность для злоумышленников, облегчая внедрение вредоносных операций в конвейерах CI/CD. Примером этой уязвимости стал бэкдор Shai-Hulud, изощренная атака, которая компрометирует компьютеры разработчиков с помощью троянских пакетов NPM, в конечном итоге развертывая сторонние программы GitHub runners в качестве постоянных точек доступа.
Атака Shai-Hulud разворачивается в четыре этапа. На первом этапе вредоносное ПО создает общедоступный репозиторий GitHub после обнаружения действительного токена GitHub с требуемыми разрешениями. В репозитории, названном случайной строкой, но содержащем фиксированный маркер в описании, включена функция обсуждений, которая служит каналом командования и контроля (C2) для злоумышленников.
На втором этапе вредоносное ПО использует API GitHub для получения регистрационного токена runner. Этот токен позволяет устанавливать и выполнять официальный двоичный файл GitHub Actions runner, который незаметно устанавливается в скрытый каталог на скомпрометированном компьютере, идентифицируемый уникальным именем SHA1HULUD. Это третья стадия атаки.
Четвертый этап демонстрирует стойкость бэкдор бэкдор закрепление, манипулировать через переменную RUNNER_TRACKING_ID. Установив эту переменную в 0, вредоносное ПО гарантирует, что породил процессы выжить после завершения рабочего процесса, в обход обычных процедур очистки и преобразования резидентной бегунов в эффективные ходы. Данный механизм позволяет злоумышленнику удаленно выполнять команды, просто размещая комментарии в обсуждениях публичном репозитории.
Кроме того, атака выявляет более широкие риски, связанные с тем, как рабочие процессы обрабатывают ненадежный ввод, предполагая, что любое событие, допускающее ненадежное взаимодействие с пользователем, может быть использовано для создания экземпляра бэкдора. Несмотря на свою хрупкость из-за зависимости от активного жизненного цикла выполняемого процесса, бэкдор может оставаться работоспособным до перезагрузки хост-компьютера.
Индикаторы компрометации для такой активности бэкдора включают использование переменной RUNNER_TRACKING_ID=0, которая не имеет никакой законной функции, кроме как уклоняться от очистки системы. Кампания Shai-Hulud подчеркивает важность признания самостоятельных бегунов в качестве критической зоны атаки. Их конструкция для выполнения непроверенного кода, поддержания подключений к GitHub и часто работы с повышенными разрешениями создает значительные риски для безопасности, позволяя злоумышленникам проводить операции, которые органично вписываются в законную деятельность системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Автономные пользователи GitHub Actions runner все чаще становятся нацелены на кибератаки из-за их доступа к внутренним ресурсам и способности запускать произвольный код. Бэкдор Shai-Hulud компрометирует компьютеры разработчиков с помощью троянских пакетов NPM, создавая общедоступный репозиторий GitHub для управления. Используя API-интерфейсы GitHub, он регистрирует runner для поддержания постоянного доступа, манипулируя идентификатором RUNNER_TRACKING_ID, чтобы избежать процессов очистки, тем самым позволяя злоумышленникам удаленно выполнять команды через обсуждения в репозитории.
-----
Автономные программы для запуска действий на GitHub стали важной мишенью для киберугроз из-за присущего им доступа к внутренним сетям, сохраненным учетным данным и способности выполнять произвольный код. Простота регистрации еще больше повышает их привлекательность для злоумышленников, облегчая внедрение вредоносных операций в конвейерах CI/CD. Примером этой уязвимости стал бэкдор Shai-Hulud, изощренная атака, которая компрометирует компьютеры разработчиков с помощью троянских пакетов NPM, в конечном итоге развертывая сторонние программы GitHub runners в качестве постоянных точек доступа.
Атака Shai-Hulud разворачивается в четыре этапа. На первом этапе вредоносное ПО создает общедоступный репозиторий GitHub после обнаружения действительного токена GitHub с требуемыми разрешениями. В репозитории, названном случайной строкой, но содержащем фиксированный маркер в описании, включена функция обсуждений, которая служит каналом командования и контроля (C2) для злоумышленников.
На втором этапе вредоносное ПО использует API GitHub для получения регистрационного токена runner. Этот токен позволяет устанавливать и выполнять официальный двоичный файл GitHub Actions runner, который незаметно устанавливается в скрытый каталог на скомпрометированном компьютере, идентифицируемый уникальным именем SHA1HULUD. Это третья стадия атаки.
Четвертый этап демонстрирует стойкость бэкдор бэкдор закрепление, манипулировать через переменную RUNNER_TRACKING_ID. Установив эту переменную в 0, вредоносное ПО гарантирует, что породил процессы выжить после завершения рабочего процесса, в обход обычных процедур очистки и преобразования резидентной бегунов в эффективные ходы. Данный механизм позволяет злоумышленнику удаленно выполнять команды, просто размещая комментарии в обсуждениях публичном репозитории.
Кроме того, атака выявляет более широкие риски, связанные с тем, как рабочие процессы обрабатывают ненадежный ввод, предполагая, что любое событие, допускающее ненадежное взаимодействие с пользователем, может быть использовано для создания экземпляра бэкдора. Несмотря на свою хрупкость из-за зависимости от активного жизненного цикла выполняемого процесса, бэкдор может оставаться работоспособным до перезагрузки хост-компьютера.
Индикаторы компрометации для такой активности бэкдора включают использование переменной RUNNER_TRACKING_ID=0, которая не имеет никакой законной функции, кроме как уклоняться от очистки системы. Кампания Shai-Hulud подчеркивает важность признания самостоятельных бегунов в качестве критической зоны атаки. Их конструкция для выполнения непроверенного кода, поддержания подключений к GitHub и часто работы с повышенными разрешениями создает значительные риски для безопасности, позволяя злоумышленникам проводить операции, которые органично вписываются в законную деятельность системы.
#ParsedReport #CompletenessHigh
19-01-2026
SHADOW#REACTOR - Text-Only Staging, .NET Reactor, and In-Memory Remcos RAT Deployment
https://www.securonix.com/blog/shadowreactor-text-only-staging-net-reactor-and-in-memory-remcos-rat-deployment/
Report completeness: High
Actors/Campaigns:
Shadow_reactor (motivation: financially_motivated)
Threats:
Dotnet_reactor_tool
Remcos_rat
Lolbin_technique
Procmon_tool
Lolbas_technique
Industry:
Entertainment
TTPs:
Tactics: 5
Technics: 10
IOCs:
File: 18
Path: 3
IP: 2
Registry: 1
Hash: 6
Url: 3
Soft:
NET Reactor, VirtualBox, Windows Powershell
Algorithms:
xor, base64, sha256
Functions:
Ruseysn, ReverseString, Decode
Win Services:
WebClient
Languages:
visual_basic, powershell
Platforms:
x64, x86
19-01-2026
SHADOW#REACTOR - Text-Only Staging, .NET Reactor, and In-Memory Remcos RAT Deployment
https://www.securonix.com/blog/shadowreactor-text-only-staging-net-reactor-and-in-memory-remcos-rat-deployment/
Report completeness: High
Actors/Campaigns:
Shadow_reactor (motivation: financially_motivated)
Threats:
Dotnet_reactor_tool
Remcos_rat
Lolbin_technique
Procmon_tool
Lolbas_technique
Industry:
Entertainment
TTPs:
Tactics: 5
Technics: 10
IOCs:
File: 18
Path: 3
IP: 2
Registry: 1
Hash: 6
Url: 3
Soft:
NET Reactor, VirtualBox, Windows Powershell
Algorithms:
xor, base64, sha256
Functions:
Ruseysn, ReverseString, Decode
Win Services:
WebClient
Languages:
visual_basic, powershell
Platforms:
x64, x86
Securonix
SHADOW#REACTOR – Text-Only Staging, .NET Reactor, and In-Memory Remcos RAT Deployment
Analyzing SHADOW#REACTOR – Text-Only Staging, .NET Reactor, and In-Memory Remcos RAT Deployment
CTT Report Hub
#ParsedReport #CompletenessHigh 19-01-2026 SHADOW#REACTOR - Text-Only Staging, .NET Reactor, and In-Memory Remcos RAT Deployment https://www.securonix.com/blog/shadowreactor-text-only-staging-net-reactor-and-in-memory-remcos-rat-deployment/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания SHADOW#REACTOR использует сложное многоэтапное развертывание вредоносного ПО с использованием запутанного скрипта Visual Basic, который загружает загрузчик PowerShell. Этот загрузчик извлекает и обрабатывает закодированные полезные данные с удаленного сервера, создавая дополнительный скрипт, предназначенный для выполнения сборки .NET, скрытой с помощью методов расшифровки строк XOR. Последняя полезная нагрузка, троян удаленного доступа Remcos, работает с использованием законных инструментов, таких как MSBuild.exe чтобы избежать обнаружения при сохранении закрепления с помощью самозапускающихся скриптов и благоприятных соглашений об именовании.
-----
Кампания SHADOW#REACTOR представляет собой продвинутый многоэтапный процесс развертывания вредоносного ПО, который объединяет различные методы для эффективного проникновения, выполнения и закрепления на скомпрометированных системах. Начальный этап инициируется запутанным скриптом Visual Basic (VBS), выполняемым с помощью `wscript.exe `, который служит в качестве облегченного загрузчика, устанавливая мост к загрузчику PowerShell. Этот загрузчик извлекает фрагментированные полезные данные, закодированные в виде обычного текста, с удаленного сервера, используя устойчивый цикл загрузки для обеспечения целостности данных перед дальнейшей обработкой.
Сценарий PowerShell, получив доступ к текстовой полезной нагрузке, создает дополнительный сценарий для последующего выполнения. Он нормализует закодированные данные, заменяет специальные символы и создает временный промежуточный файл в системном каталоге "%TEMP%`. Архитектура PowerShell stager важна, поскольку она динамически собирает сценарий, который обрабатывает следующие этапы атаки, используя системные вызовы через "System.Net.WebClient" для взаимодействия с инфраструктурой, контролируемой злоумышленником.
Как только этап PowerShell извлекает проверку и обработку данных полезной нагрузки, он переходит к выполнению сборки .NET, которая была защищена с помощью .NET Reactor, который использует расшифровку строки XOR для скрытия конфиденциальных параметров. Этот аспект загрузчика сводит к минимуму его видимость для инструментов статического анализа и вводит различные уровни запутывания, такие как удаление запутывания путей к файлам и выполнение антианалитических проверок в известных виртуализированных средах.
Атака обеспечивает дальнейшее уклонение, используя законные инструменты Microsoft, такие как MSBuild.exe на поздней стадии выполнения. Этот метод классифицируется как использование двоичного кода Living-off-the-Land (LOLBin), который позволяет конечной полезной нагрузке, идентифицированной как троян удаленного доступа Remcos (RAT), работать под видом доверенного приложения. Remcos RAT после развертывания обеспечивает всесторонний контроль над скомпрометированной системой, позволяя злоумышленникам выполнять различные вредоносные действия.
Постоянные механизмы включают повторяющиеся самозапускающиеся скрипты из временных папок в сочетании с удобными соглашениями об именовании исполняемых файлов, которые органично вписываются в обычные системные операции. Вся архитектура кампании SHADOW#REACTOR демонстрирует изощренное использование легального программного обеспечения и четкое понимание методов обхода защиты, что делает обнаружение довольно сложным.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания SHADOW#REACTOR использует сложное многоэтапное развертывание вредоносного ПО с использованием запутанного скрипта Visual Basic, который загружает загрузчик PowerShell. Этот загрузчик извлекает и обрабатывает закодированные полезные данные с удаленного сервера, создавая дополнительный скрипт, предназначенный для выполнения сборки .NET, скрытой с помощью методов расшифровки строк XOR. Последняя полезная нагрузка, троян удаленного доступа Remcos, работает с использованием законных инструментов, таких как MSBuild.exe чтобы избежать обнаружения при сохранении закрепления с помощью самозапускающихся скриптов и благоприятных соглашений об именовании.
-----
Кампания SHADOW#REACTOR представляет собой продвинутый многоэтапный процесс развертывания вредоносного ПО, который объединяет различные методы для эффективного проникновения, выполнения и закрепления на скомпрометированных системах. Начальный этап инициируется запутанным скриптом Visual Basic (VBS), выполняемым с помощью `wscript.exe `, который служит в качестве облегченного загрузчика, устанавливая мост к загрузчику PowerShell. Этот загрузчик извлекает фрагментированные полезные данные, закодированные в виде обычного текста, с удаленного сервера, используя устойчивый цикл загрузки для обеспечения целостности данных перед дальнейшей обработкой.
Сценарий PowerShell, получив доступ к текстовой полезной нагрузке, создает дополнительный сценарий для последующего выполнения. Он нормализует закодированные данные, заменяет специальные символы и создает временный промежуточный файл в системном каталоге "%TEMP%`. Архитектура PowerShell stager важна, поскольку она динамически собирает сценарий, который обрабатывает следующие этапы атаки, используя системные вызовы через "System.Net.WebClient" для взаимодействия с инфраструктурой, контролируемой злоумышленником.
Как только этап PowerShell извлекает проверку и обработку данных полезной нагрузки, он переходит к выполнению сборки .NET, которая была защищена с помощью .NET Reactor, который использует расшифровку строки XOR для скрытия конфиденциальных параметров. Этот аспект загрузчика сводит к минимуму его видимость для инструментов статического анализа и вводит различные уровни запутывания, такие как удаление запутывания путей к файлам и выполнение антианалитических проверок в известных виртуализированных средах.
Атака обеспечивает дальнейшее уклонение, используя законные инструменты Microsoft, такие как MSBuild.exe на поздней стадии выполнения. Этот метод классифицируется как использование двоичного кода Living-off-the-Land (LOLBin), который позволяет конечной полезной нагрузке, идентифицированной как троян удаленного доступа Remcos (RAT), работать под видом доверенного приложения. Remcos RAT после развертывания обеспечивает всесторонний контроль над скомпрометированной системой, позволяя злоумышленникам выполнять различные вредоносные действия.
Постоянные механизмы включают повторяющиеся самозапускающиеся скрипты из временных папок в сочетании с удобными соглашениями об именовании исполняемых файлов, которые органично вписываются в обычные системные операции. Вся архитектура кампании SHADOW#REACTOR демонстрирует изощренное использование легального программного обеспечения и четкое понимание методов обхода защиты, что делает обнаружение довольно сложным.