CTT Report Hub
#ParsedReport #CompletenessLow 27-01-2026 Threat Actors Using AWS WorkMail in Phishing Campaigns https://www.rapid7.com/blog/post/dr-threat-actors-aws-workmail-phishing-campaigns Report completeness: Low Actors/Campaigns: Crimson_collective Threats: Trufflehog_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют AWS WorkMail в кампаниях по фишингу, используя его функции для создания скрытых инфраструктур электронной почты. Первоначальный доступ часто начинается с компрометации ключей доступа AWS, что позволяет злоумышленникам использовать вызовы API для создания пользователей и групп в WorkMail, расширяя их возможности по отправке нацеленных на фишинг электронных писем с поддельными доменами. Эти действия используют преимущества меньшего количества ограничений WorkMail по сравнению с Amazon SES, облегчая необнаруживаемые операции фишинга и одновременно используя уязвимости в сервисах AWS для распространения вредоносных программ.
-----
Недавние расследования показали, что злоумышленники используют AWS WorkMail в различных кампаниях по фишингу, используя его компоненты для создания незаметных инфраструктур фишинга. AWS WorkMail - это управляемый почтовый сервис, который позволяет организациям поддерживать корпоративные почтовые ящики без непосредственного управления серверами, используя стандартные протоколы, такие как IMAP и SMTP. Такая простота использования облегчает создание изолированных почтовых сред, называемых организациями, которые могут быть быстро и незаметно настроены злоумышленниками, стремящимися осуществлять фишинг или рассылку спама.
Атака часто начинается с компрометации долгосрочные ключи доступа AWS. Например, одна кампания была начата, когда "СТС:GetCallerIdentity" вызов API был сделан, с помощью пользовательского агента, с указанием занятости TruffleHog, инструмент сведущи в открытии просочилась учетные данные на различных платформах. Это было связано с предыдущими кампаниями отнести к группам, таким как Crimson Collective. Как только доступ будет получен, злоумышленники создают пользователи внутри организации workmail с помощью конкретных вызовов API, позволяющий им управлять почтовыми ящиками и обеспечить свое присутствие на платформе оперативно.
В дополнение к созданию пользователей злоумышленники могут определять группы для рассылки электронной почты, расширяя свои возможности по отправке нацеленных на фишинг электронных писем. Владельцами доменов также манипулируют; злоумышленники могут проверять домены и использовать их для связи по электронной почте, придавая поддельным письмам вид законных. Дизайн AWS WorkMail представляет собой выгодный способ отправки электронных писем, особенно по сравнению с более ограниченной системой Amazon SES, где отправка ограничена изолированной средой. Злоумышленники используют это слабое место, отправляя небольшие объемы электронной почты через рабочую почту, чтобы избежать обнаружения, и одновременно создавая репутацию для своих Адресов эл. почты.
Кроме того, злоумышленники обходят ограничения SES, переходя на AWS WorkMail, что создает меньше препятствий для инициирования операций с электронной почтой. В отличие от Amazon SES, которая служит для предотвращения мошеннических действий, WorkMail позволяет злоумышленникам действовать со значительной гибкостью и, таким образом, облегчает немедленные операции по фишингу до утверждения более высоких лимитов SES. Благодаря поэтапному подходу противники могут стратегически проверить свою инфраструктуру, создать репутацию отправителя и поддерживать динамику своих кампаний.
Выявленные методы подпадают под рамки MITRE ATT&CK, выделяя такие тактики, как первоначальный доступ через действительные Облачные учетные записи, закрепление учетной записи путем создания нескольких пользователей IAM, повышение привилегий путем привязки административных политик к вновь созданным учетным записям и Несанкционированное использование ресурсов путем злоупотребления сервисами AWS для вредоносной рассылки по электронной почте. Этот ландшафт киберугроз подчеркивает уязвимости в Облачных сервисах AWS, которые могут быть использованы злоумышленниками для облегчения крупномасштабных операций фишинга, замаскированных под законное корпоративное использование.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют AWS WorkMail в кампаниях по фишингу, используя его функции для создания скрытых инфраструктур электронной почты. Первоначальный доступ часто начинается с компрометации ключей доступа AWS, что позволяет злоумышленникам использовать вызовы API для создания пользователей и групп в WorkMail, расширяя их возможности по отправке нацеленных на фишинг электронных писем с поддельными доменами. Эти действия используют преимущества меньшего количества ограничений WorkMail по сравнению с Amazon SES, облегчая необнаруживаемые операции фишинга и одновременно используя уязвимости в сервисах AWS для распространения вредоносных программ.
-----
Недавние расследования показали, что злоумышленники используют AWS WorkMail в различных кампаниях по фишингу, используя его компоненты для создания незаметных инфраструктур фишинга. AWS WorkMail - это управляемый почтовый сервис, который позволяет организациям поддерживать корпоративные почтовые ящики без непосредственного управления серверами, используя стандартные протоколы, такие как IMAP и SMTP. Такая простота использования облегчает создание изолированных почтовых сред, называемых организациями, которые могут быть быстро и незаметно настроены злоумышленниками, стремящимися осуществлять фишинг или рассылку спама.
Атака часто начинается с компрометации долгосрочные ключи доступа AWS. Например, одна кампания была начата, когда "СТС:GetCallerIdentity" вызов API был сделан, с помощью пользовательского агента, с указанием занятости TruffleHog, инструмент сведущи в открытии просочилась учетные данные на различных платформах. Это было связано с предыдущими кампаниями отнести к группам, таким как Crimson Collective. Как только доступ будет получен, злоумышленники создают пользователи внутри организации workmail с помощью конкретных вызовов API, позволяющий им управлять почтовыми ящиками и обеспечить свое присутствие на платформе оперативно.
В дополнение к созданию пользователей злоумышленники могут определять группы для рассылки электронной почты, расширяя свои возможности по отправке нацеленных на фишинг электронных писем. Владельцами доменов также манипулируют; злоумышленники могут проверять домены и использовать их для связи по электронной почте, придавая поддельным письмам вид законных. Дизайн AWS WorkMail представляет собой выгодный способ отправки электронных писем, особенно по сравнению с более ограниченной системой Amazon SES, где отправка ограничена изолированной средой. Злоумышленники используют это слабое место, отправляя небольшие объемы электронной почты через рабочую почту, чтобы избежать обнаружения, и одновременно создавая репутацию для своих Адресов эл. почты.
Кроме того, злоумышленники обходят ограничения SES, переходя на AWS WorkMail, что создает меньше препятствий для инициирования операций с электронной почтой. В отличие от Amazon SES, которая служит для предотвращения мошеннических действий, WorkMail позволяет злоумышленникам действовать со значительной гибкостью и, таким образом, облегчает немедленные операции по фишингу до утверждения более высоких лимитов SES. Благодаря поэтапному подходу противники могут стратегически проверить свою инфраструктуру, создать репутацию отправителя и поддерживать динамику своих кампаний.
Выявленные методы подпадают под рамки MITRE ATT&CK, выделяя такие тактики, как первоначальный доступ через действительные Облачные учетные записи, закрепление учетной записи путем создания нескольких пользователей IAM, повышение привилегий путем привязки административных политик к вновь созданным учетным записям и Несанкционированное использование ресурсов путем злоупотребления сервисами AWS для вредоносной рассылки по электронной почте. Этот ландшафт киберугроз подчеркивает уязвимости в Облачных сервисах AWS, которые могут быть использованы злоумышленниками для облегчения крупномасштабных операций фишинга, замаскированных под законное корпоративное использование.
#ParsedReport #CompletenessHigh
27-01-2026
HoneyMyte updates CoolClient and deploys multiple stealers in recent campaigns
https://securelist.com/honeymyte-updates-coolclient-uses-browser-stealers-and-scripts/118664/
Report completeness: High
Actors/Campaigns:
Red_delta (motivation: information_theft, cyber_espionage)
Threats:
Coolclient
Toneshell
Plugx_rat
Qreverse
Tonedisk_tool
Snakedisk_tool
Dll_sideloading_technique
Process_injection_technique
Uac_bypass_technique
Passuac_tool
Nbtscan_tool
Credential_harvesting_technique
Victims:
Government
Industry:
Government
Geo:
Russia, Malaysia, Pakistan, Thailand, Asia, Myanmar, Mongolia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1040, T1056.001, T1059.003, T1105, T1115
IOCs:
File: 20
Path: 5
Hash: 13
Coin: 1
Url: 1
Domain: 3
IP: 1
Soft:
Chrome, Microsoft Edge, curl, Firefox, Opera, pixeldrain, Google Chrome
Algorithms:
zip, base64, aes, md5, xor
Win API:
GetClipboardData, GetWindowTextW, CryptUnprotectData
Languages:
powershell
27-01-2026
HoneyMyte updates CoolClient and deploys multiple stealers in recent campaigns
https://securelist.com/honeymyte-updates-coolclient-uses-browser-stealers-and-scripts/118664/
Report completeness: High
Actors/Campaigns:
Red_delta (motivation: information_theft, cyber_espionage)
Threats:
Coolclient
Toneshell
Plugx_rat
Qreverse
Tonedisk_tool
Snakedisk_tool
Dll_sideloading_technique
Process_injection_technique
Uac_bypass_technique
Passuac_tool
Nbtscan_tool
Credential_harvesting_technique
Victims:
Government
Industry:
Government
Geo:
Russia, Malaysia, Pakistan, Thailand, Asia, Myanmar, Mongolia
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1040, T1056.001, T1059.003, T1105, T1115
IOCs:
File: 20
Path: 5
Hash: 13
Coin: 1
Url: 1
Domain: 3
IP: 1
Soft:
Chrome, Microsoft Edge, curl, Firefox, Opera, pixeldrain, Google Chrome
Algorithms:
zip, base64, aes, md5, xor
Win API:
GetClipboardData, GetWindowTextW, CryptUnprotectData
Languages:
powershell
Securelist
HoneyMyte updates CoolClient backdoor, uses new data stealing tools
Kaspersky researchers analyze updated CoolClient backdoor and new tools and scripts used in HoneyMyte (aka Mustang Panda or Bronze President) APT campaigns, including three variants of a browser data stealer.
CTT Report Hub
#ParsedReport #CompletenessHigh 27-01-2026 HoneyMyte updates CoolClient and deploys multiple stealers in recent campaigns https://securelist.com/honeymyte-updates-coolclient-uses-browser-stealers-and-scripts/118664/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
HoneyMyte, также известная как Mustang Panda, активизирует шпионскую деятельность, направленную против правительственных структур, особенно в Юго-Восточной Азии и Европе. В их работе используется обновленный бэкдор CoolClient наряду с вредоносным ПО, таким как PlugX и LuminousMoth, который позволяет осуществлять обширный сбор системных данных, управление файлами, Регистрацию нажатий клавиш и кражу учетных данных с помощью таких усовершенствований, как мониторинг буфера обмена и анализатор учетных данных HTTP-прокси. Кроме того, группа использует различные вредоносные ПО-стиллеры и скрипты для разведки и кражи документов, что предполагает повышенную закрепление и адаптивность в их стратегиях атак.
-----
HoneyMyte, также известная как Mustang Panda или Bronze President, активизировала свои шпионские кампании, преимущественно оказывая воздействие на правительственные структуры в Юго-Восточной Азии и Европе. В недавних операциях группы особое место занимает усовершенствованная версия бэкдора CoolClient, первоначально идентифицированная в 2022 году и обновленная в 2023 году, которая использовалась наряду с другими вредоносными ПО, такими как PlugX и LuminousMoth, в атаках по всей Мьянме, Монголии, Малайзии и России.
Обновленный бэкдор CoolClient может похвастаться расширенной функциональностью, включая сбор подробной системной и пользовательской информации, такой как сведения об операционной системе, сетевые конфигурации и учетные записи пользователей. Как более ранние, так и текущие варианты позволяют выполнять такие действия, как загрузка файлов на серверы command and control (C2), Удаление файлов, Регистрацию нажатий клавиш, туннелирование TCP и выполнение дополнительных модулей в памяти. Также были интегрированы новые возможности, такие как мониторинг буфера обмена с помощью стандартных API Windows для сбора Данных из буфера обмена и анализатор учетных данных HTTP-прокси, который извлекает учетные данные из перехваченного трафика по локальным IP-адресам.
Связь CoolClient's со своим сервером C2 в основном осуществляется по протоколу TCP с возможностью использования UDP. Каждый пакет команд начинается с определенного магического значения для идентификации типов команд, режимы переключения не зависят от этого значения для выполнения плагина. Фреймворк позволяет CoolClient реализовывать различные операционные команды, в частности, для кражи данных и настройки прокси-сервера. Кроме того, бэкдор можно расширять с помощью плагинов, которые предлагают такие функции, как управление файлами и возможности удаленной оболочки. В частности, FileMgrS.dll и RemoteShellS.dll плагины предоставляют комплексные команды для работы с файлами и удаленный административный доступ через скрытую командную строку, соответственно.
Помимо фреймворка CoolClient, HoneyMyte использовала в своей деятельности различные образцы вредоносного ПО-стиллера. Например, в одной из заметных кампаний был задействован стиллер учетных данных, нацеленный на сохраненные данные для входа в браузерах на базе Chromium, приписываемый Backdoor. ToneShell Варианты этого стиллера обеспечивают гибкий таргетинг в различных установках браузера. Анализ вредоносного ПО выявил сходство между инструментами HoneyMyte's и LuminousMoth, что наводит на мысль о возможных общих кодовых базах или методологиях.
В дополнение к этим инструментам HoneyMyte запустила сценарии для разведки системы и кражи документов. Использование пакетных сценариев (1.bat) и сценариев PowerShell (Ttraazcs32.ps1 и t.ps1) облегчает загрузку утилит, необходимых для передачи и сжатия данных, расширяя их возможности по эксфильтрации данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
HoneyMyte, также известная как Mustang Panda, активизирует шпионскую деятельность, направленную против правительственных структур, особенно в Юго-Восточной Азии и Европе. В их работе используется обновленный бэкдор CoolClient наряду с вредоносным ПО, таким как PlugX и LuminousMoth, который позволяет осуществлять обширный сбор системных данных, управление файлами, Регистрацию нажатий клавиш и кражу учетных данных с помощью таких усовершенствований, как мониторинг буфера обмена и анализатор учетных данных HTTP-прокси. Кроме того, группа использует различные вредоносные ПО-стиллеры и скрипты для разведки и кражи документов, что предполагает повышенную закрепление и адаптивность в их стратегиях атак.
-----
HoneyMyte, также известная как Mustang Panda или Bronze President, активизировала свои шпионские кампании, преимущественно оказывая воздействие на правительственные структуры в Юго-Восточной Азии и Европе. В недавних операциях группы особое место занимает усовершенствованная версия бэкдора CoolClient, первоначально идентифицированная в 2022 году и обновленная в 2023 году, которая использовалась наряду с другими вредоносными ПО, такими как PlugX и LuminousMoth, в атаках по всей Мьянме, Монголии, Малайзии и России.
Обновленный бэкдор CoolClient может похвастаться расширенной функциональностью, включая сбор подробной системной и пользовательской информации, такой как сведения об операционной системе, сетевые конфигурации и учетные записи пользователей. Как более ранние, так и текущие варианты позволяют выполнять такие действия, как загрузка файлов на серверы command and control (C2), Удаление файлов, Регистрацию нажатий клавиш, туннелирование TCP и выполнение дополнительных модулей в памяти. Также были интегрированы новые возможности, такие как мониторинг буфера обмена с помощью стандартных API Windows для сбора Данных из буфера обмена и анализатор учетных данных HTTP-прокси, который извлекает учетные данные из перехваченного трафика по локальным IP-адресам.
Связь CoolClient's со своим сервером C2 в основном осуществляется по протоколу TCP с возможностью использования UDP. Каждый пакет команд начинается с определенного магического значения для идентификации типов команд, режимы переключения не зависят от этого значения для выполнения плагина. Фреймворк позволяет CoolClient реализовывать различные операционные команды, в частности, для кражи данных и настройки прокси-сервера. Кроме того, бэкдор можно расширять с помощью плагинов, которые предлагают такие функции, как управление файлами и возможности удаленной оболочки. В частности, FileMgrS.dll и RemoteShellS.dll плагины предоставляют комплексные команды для работы с файлами и удаленный административный доступ через скрытую командную строку, соответственно.
Помимо фреймворка CoolClient, HoneyMyte использовала в своей деятельности различные образцы вредоносного ПО-стиллера. Например, в одной из заметных кампаний был задействован стиллер учетных данных, нацеленный на сохраненные данные для входа в браузерах на базе Chromium, приписываемый Backdoor. ToneShell Варианты этого стиллера обеспечивают гибкий таргетинг в различных установках браузера. Анализ вредоносного ПО выявил сходство между инструментами HoneyMyte's и LuminousMoth, что наводит на мысль о возможных общих кодовых базах или методологиях.
В дополнение к этим инструментам HoneyMyte запустила сценарии для разведки системы и кражи документов. Использование пакетных сценариев (1.bat) и сценариев PowerShell (Ttraazcs32.ps1 и t.ps1) облегчает загрузку утилит, необходимых для передачи и сжатия данных, расширяя их возможности по эксфильтрации данных.
#ParsedReport #CompletenessLow
27-01-2026
EMERGING THREATS
https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20CrazyHunter%20Ransomware%20Group.pdf
Report completeness: Low
Threats:
Crazyhunter_ransomware
Prince_ransomware
Byovd_technique
Zemana_tool
Sharpgpoabuse_tool
Victims:
Healthcare sector, Hospitals, Organizations in taiwan
Industry:
Healthcare, Critical_infrastructure, Logistic
Geo:
Taiwan
TTPs:
Tactics: 6
Technics: 4
IOCs:
File: 1
27-01-2026
EMERGING THREATS
https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20CrazyHunter%20Ransomware%20Group.pdf
Report completeness: Low
Threats:
Crazyhunter_ransomware
Prince_ransomware
Byovd_technique
Zemana_tool
Sharpgpoabuse_tool
Victims:
Healthcare sector, Hospitals, Organizations in taiwan
Industry:
Healthcare, Critical_infrastructure, Logistic
Geo:
Taiwan
TTPs:
Tactics: 6
Technics: 4
IOCs:
File: 1
CTT Report Hub
#ParsedReport #CompletenessLow 27-01-2026 EMERGING THREATS https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20CrazyHunter%20Ransomware%20Group.pdf Report completeness: Low Threats: Cr…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей CrazyHunter стала заметной угрозой в 2025 году, в первую очередь нацелившись на критически важные секторы Тайваня, в частности на здравоохранение. Эта группа использует передовые методы уклонения, включая тактику "Приведите своего собственного уязвимого драйвера" (BYOVD) для использования законных уязвимых драйверов, таких как zam64.sys , для повышения привилегий и компрометации системы. CrazyHunter демонстрирует переход от оппортунистических атак к более методичному подходу, повышая свою операционную эффективность в отношении корпоративных сетей.
-----
Группа программ-вымогателей CrazyHunter стала серьезной угрозой в 2025 году, в первую очередь нацеленной на организации на Тайване, с особым акцентом на такие важные сектора, как здравоохранение. Известные инциденты продемонстрировали непосредственное оперативное воздействие CrazyHunter, включая случай, когда больница столкнулась с массовыми сбоями в работе и системным шифрованием из-за компрометации. Эта группа демонстрирует переход от оппортунистических атак к более систематическому и основанному на скрытности подходу, интегрирующему передовые методы обхода средств защиты, которые повышают их шансы на успех. Примечательно, что CrazyHunter, как полагают, является вариантом, производным от Prince ransomware, что подразумевает, что его операторы используют существующую кодовую базу программы-вымогателя, настраивая ее для атак корпоративного уровня.
С точки зрения технического поведения, выполнение CrazyHunter's характеризуется хорошо структурированным подходом, ориентированным на скрытность и повышение привилегий. Злоумышленники используют тактику, направленную на то, чтобы свести к минимуму сопротивление мерам безопасности до начала шифрования. Это методичное выполнение подчеркивает заметное мастерство, в отличие от обычного выполнения, часто наблюдаемого при атаках программ-вымогателей. Ключевой аспект тактики CrazyHunter's заключается в использовании методов "Приведи своего собственного уязвимого драйвера" (BYOVD). Такой подход позволяет злоумышленникам использовать законные, но уязвимые драйверы для получения повышенных привилегий в скомпрометированных системах, эффективно подрывая защиту конечных точек. В частности, драйвер zam64.sys , связанный с антивирусным ПО Zemana, был идентифицирован как инструмент, используемый акторами для отключения или ухудшения работы защитных систем, тем самым повышая эффективность развертывания программ-вымогателей в корпоративных сетях.
Таким образом, CrazyHunter представляет собой сложную эволюцию программ-вымогателей, отличающуюся стратегическим оперативным планированием, использованием передовых тактик уклонения и использованием уязвимостей в законном программном обеспечении для организации успешных вторжений и максимального воздействия на нацеленные организации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей CrazyHunter стала заметной угрозой в 2025 году, в первую очередь нацелившись на критически важные секторы Тайваня, в частности на здравоохранение. Эта группа использует передовые методы уклонения, включая тактику "Приведите своего собственного уязвимого драйвера" (BYOVD) для использования законных уязвимых драйверов, таких как zam64.sys , для повышения привилегий и компрометации системы. CrazyHunter демонстрирует переход от оппортунистических атак к более методичному подходу, повышая свою операционную эффективность в отношении корпоративных сетей.
-----
Группа программ-вымогателей CrazyHunter стала серьезной угрозой в 2025 году, в первую очередь нацеленной на организации на Тайване, с особым акцентом на такие важные сектора, как здравоохранение. Известные инциденты продемонстрировали непосредственное оперативное воздействие CrazyHunter, включая случай, когда больница столкнулась с массовыми сбоями в работе и системным шифрованием из-за компрометации. Эта группа демонстрирует переход от оппортунистических атак к более систематическому и основанному на скрытности подходу, интегрирующему передовые методы обхода средств защиты, которые повышают их шансы на успех. Примечательно, что CrazyHunter, как полагают, является вариантом, производным от Prince ransomware, что подразумевает, что его операторы используют существующую кодовую базу программы-вымогателя, настраивая ее для атак корпоративного уровня.
С точки зрения технического поведения, выполнение CrazyHunter's характеризуется хорошо структурированным подходом, ориентированным на скрытность и повышение привилегий. Злоумышленники используют тактику, направленную на то, чтобы свести к минимуму сопротивление мерам безопасности до начала шифрования. Это методичное выполнение подчеркивает заметное мастерство, в отличие от обычного выполнения, часто наблюдаемого при атаках программ-вымогателей. Ключевой аспект тактики CrazyHunter's заключается в использовании методов "Приведи своего собственного уязвимого драйвера" (BYOVD). Такой подход позволяет злоумышленникам использовать законные, но уязвимые драйверы для получения повышенных привилегий в скомпрометированных системах, эффективно подрывая защиту конечных точек. В частности, драйвер zam64.sys , связанный с антивирусным ПО Zemana, был идентифицирован как инструмент, используемый акторами для отключения или ухудшения работы защитных систем, тем самым повышая эффективность развертывания программ-вымогателей в корпоративных сетях.
Таким образом, CrazyHunter представляет собой сложную эволюцию программ-вымогателей, отличающуюся стратегическим оперативным планированием, использованием передовых тактик уклонения и использованием уязвимостей в законном программном обеспечении для организации успешных вторжений и максимального воздействия на нацеленные организации.
#ParsedReport #CompletenessHigh
27-01-2026
APT Attacks Target Indian Government Using SHEETCREEP, FIREPOWER, and MAILCREEP \| Part 2
https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-sheetcreep-firepower-and
Report completeness: High
Actors/Campaigns:
Gopher_strike
Sheet_attack
Transparenttribe
Flightnight
Threats:
Sheetcreep
Mailcreep
Deskrat
Go-stealer
Elizarat
Curlback
Spear-phishing_technique
Dead_drop_technique
Victims:
Indian government
Industry:
Government
Geo:
Asia, India, Indian, Pakistan
TTPs:
Tactics: 8
Technics: 30
IOCs:
Command: 4
Url: 10
Path: 4
File: 14
Domain: 5
IP: 1
Hash: 19
Soft:
Graph API, OpenAI, Linux, chrome
Algorithms:
aes-256, zip, base64, 3des, cbc
Functions:
Get-FolderContents, Get-ChildItem
Languages:
powershell, golang
Platforms:
x64, x86
27-01-2026
APT Attacks Target Indian Government Using SHEETCREEP, FIREPOWER, and MAILCREEP \| Part 2
https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-sheetcreep-firepower-and
Report completeness: High
Actors/Campaigns:
Gopher_strike
Sheet_attack
Transparenttribe
Flightnight
Threats:
Sheetcreep
Mailcreep
Deskrat
Go-stealer
Elizarat
Curlback
Spear-phishing_technique
Dead_drop_technique
Victims:
Indian government
Industry:
Government
Geo:
Asia, India, Indian, Pakistan
TTPs:
Tactics: 8
Technics: 30
IOCs:
Command: 4
Url: 10
Path: 4
File: 14
Domain: 5
IP: 1
Hash: 19
Soft:
Graph API, OpenAI, Linux, chrome
Algorithms:
aes-256, zip, base64, 3des, cbc
Functions:
Get-FolderContents, Get-ChildItem
Languages:
powershell, golang
Platforms:
x64, x86
Zscaler
SHEETCREEP, FIREPOWER, and MAILCREEP Analysis | ThreatLabz
Part 2: The Sheet Attack APT campaign includes the SHEETCREEP, FIREPOWER, & MAILCREEP backdoors, designed to compromise systems & steal sensitive information.
CTT Report Hub
#ParsedReport #CompletenessHigh 27-01-2026 APT Attacks Target Indian Government Using SHEETCREEP, FIREPOWER, and MAILCREEP \| Part 2 https://www.zscaler.com/blogs/security-research/apt-attacks-target-indian-government-using-sheetcreep-firepower-and Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025, анализ выявил три АПТ бэкдоры—SHEETCREEP, огневой мощи и MAILCREEP—используется в Sheet Attack нападения индийских государственных образований. Эти бэкдоры используют Облачные сервисы для управления, используя для первоначального доступа электронные письма с фишингом и вредоносные PDF-файлы. Вредоносное ПО использует передовые методы уклонения, включая маскировку под законные файлы и использование характеристик искусственного интеллекта, в то время как злоумышленники, как подозревается, связаны с APT36 или новой пакистанской группировкой.
-----
В сентябре 2025 года команда Zscaler ThreatLabZ провела подробный анализ, выявивший три бэкдора для сложных целенаправленных угроз (APT) — SHEETCREEP, FIREPOWER и MAILCREEP, которые использовались в кампании вредоносной Sheet Attack, нацеленной на государственные учреждения Индии. Эти бэкдоры являются частью более широкой операции, известной как кампании Sheet Attack и Gopher Strike, которые в основном используют фишинг через PDF-файлы для инициирования атак.
Кампания использует облегченные бэкдоры для взаимодействия по нескольким каналам управления (C2), эффективно скрывая вредоносную активность в рамках законного трафика с использованием хорошо известных Облачных сервисов, таких как Google Sheets и Microsoft Graph API. SHEETCREEP - это бэкдор на C#, взаимодействующий через Google Sheets, FIREPOWER - бэкдор на основе PowerShell, который использует базу данных Firebase в реальном времени от Google, в то время как MAILCREEP, написанный на Golang, также использует API Microsoft для своих операций C2. Такое стратегическое использование Облачных сервисов позволяет вредоносному ПО сливаться с обычным веб-трафиком и обходить механизмы обнаружения.
Тревожным аспектом этих бэкдоров является предполагаемое использование генеративного искусственного интеллекта при их разработке, о чем свидетельствуют различные стили кодирования, очевидные в SHEETCREEP, такие как использование эмодзи в сообщениях об ошибках, что необычно для традиционной разработки вредоносного ПО. Аналитики заметили специфические характеристики, которые предполагают непрерывную работу оператора с клавиатурой, о чем свидетельствуют опечатки команд при взаимодействии с каналами C2.
Методы развертывания этих бэкдоров часто начинаются с фишингов электронного письма, содержащего PDF-файл, Маскировку под легальный контент. При открытии этот PDF-файл побуждает пользователей нажать кнопку Загрузки документа, что затем приводит к загрузке вредоносного ZIP-файла, содержащего SHEETCREEP и его зависимости. Примечательно, что бэкдор SHEETCREEP маскируется под PNG-файл и выполняет процесс загрузки через вредоносный LNK-файл, который запускает команду PowerShell для инициализации фактического файла .СЕТЧАТАЯ сборка.
По оценкам, хакерские группировки, стоящие за этими операциями, вероятно, принадлежат либо к новой подгруппе, связанной с Пакистаном, либо к новой версии группы APT36, учитывая совпадение виктимологии и тактики, связанных с предыдущими действиями APT36, которые исторически были нацелены на государственные сектора Индии. Однако кампания Sheet Attack отличается тем, что использует новые методы уклонения, обычно не связанные с APT36, такие как фильтрация гео-IP на стороне сервера.
Обладая высокой степенью технической сложности, инфраструктура C2, используемая в кампаниях, максимизирует использование законных сервисов при сохранении анонимности благодаря множеству доменов и конфигураций, размещенных на облачных платформах. К ним относятся конфигурации Firebase и протоколы обмена документами, которые тщательно разработаны, чтобы избежать обнаружения при одновременном управлении полезными нагрузками вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025, анализ выявил три АПТ бэкдоры—SHEETCREEP, огневой мощи и MAILCREEP—используется в Sheet Attack нападения индийских государственных образований. Эти бэкдоры используют Облачные сервисы для управления, используя для первоначального доступа электронные письма с фишингом и вредоносные PDF-файлы. Вредоносное ПО использует передовые методы уклонения, включая маскировку под законные файлы и использование характеристик искусственного интеллекта, в то время как злоумышленники, как подозревается, связаны с APT36 или новой пакистанской группировкой.
-----
В сентябре 2025 года команда Zscaler ThreatLabZ провела подробный анализ, выявивший три бэкдора для сложных целенаправленных угроз (APT) — SHEETCREEP, FIREPOWER и MAILCREEP, которые использовались в кампании вредоносной Sheet Attack, нацеленной на государственные учреждения Индии. Эти бэкдоры являются частью более широкой операции, известной как кампании Sheet Attack и Gopher Strike, которые в основном используют фишинг через PDF-файлы для инициирования атак.
Кампания использует облегченные бэкдоры для взаимодействия по нескольким каналам управления (C2), эффективно скрывая вредоносную активность в рамках законного трафика с использованием хорошо известных Облачных сервисов, таких как Google Sheets и Microsoft Graph API. SHEETCREEP - это бэкдор на C#, взаимодействующий через Google Sheets, FIREPOWER - бэкдор на основе PowerShell, который использует базу данных Firebase в реальном времени от Google, в то время как MAILCREEP, написанный на Golang, также использует API Microsoft для своих операций C2. Такое стратегическое использование Облачных сервисов позволяет вредоносному ПО сливаться с обычным веб-трафиком и обходить механизмы обнаружения.
Тревожным аспектом этих бэкдоров является предполагаемое использование генеративного искусственного интеллекта при их разработке, о чем свидетельствуют различные стили кодирования, очевидные в SHEETCREEP, такие как использование эмодзи в сообщениях об ошибках, что необычно для традиционной разработки вредоносного ПО. Аналитики заметили специфические характеристики, которые предполагают непрерывную работу оператора с клавиатурой, о чем свидетельствуют опечатки команд при взаимодействии с каналами C2.
Методы развертывания этих бэкдоров часто начинаются с фишингов электронного письма, содержащего PDF-файл, Маскировку под легальный контент. При открытии этот PDF-файл побуждает пользователей нажать кнопку Загрузки документа, что затем приводит к загрузке вредоносного ZIP-файла, содержащего SHEETCREEP и его зависимости. Примечательно, что бэкдор SHEETCREEP маскируется под PNG-файл и выполняет процесс загрузки через вредоносный LNK-файл, который запускает команду PowerShell для инициализации фактического файла .СЕТЧАТАЯ сборка.
По оценкам, хакерские группировки, стоящие за этими операциями, вероятно, принадлежат либо к новой подгруппе, связанной с Пакистаном, либо к новой версии группы APT36, учитывая совпадение виктимологии и тактики, связанных с предыдущими действиями APT36, которые исторически были нацелены на государственные сектора Индии. Однако кампания Sheet Attack отличается тем, что использует новые методы уклонения, обычно не связанные с APT36, такие как фильтрация гео-IP на стороне сервера.
Обладая высокой степенью технической сложности, инфраструктура C2, используемая в кампаниях, максимизирует использование законных сервисов при сохранении анонимности благодаря множеству доменов и конфигураций, размещенных на облачных платформах. К ним относятся конфигурации Firebase и протоколы обмена документами, которые тщательно разработаны, чтобы избежать обнаружения при одновременном управлении полезными нагрузками вредоносного ПО.
#ParsedReport #CompletenessMedium
27-01-2026
Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088
https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/
Report completeness: Medium
Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Sandworm
Gamaredon
Turla
Threats:
Romcom_rat
Spear-phishing_technique
Nestpacker
Snipbot
Stockstay
Poison_ivy
Xworm_rat
Asyncrat
Victims:
Military, Government, Technology, Commercial targets, Ukrainian military, Ukrainian government
Industry:
Government, Financial, Entertainment, E-commerce, Military
Geo:
Indonesia, Russian, Latam, Brazilian, Ukrainian, Russia, China, Ukraine
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
ChatGPT TTPs:
T1547.001, T1587.004, T1588.005
IOCs:
File: 2
Hash: 44
Soft:
Gmail, Dropbox, Telegram, Chrome, Microsoft Office
Algorithms:
sha256
Languages:
javascript
27-01-2026
Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088
https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/
Report completeness: Medium
Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Sandworm
Gamaredon
Turla
Threats:
Romcom_rat
Spear-phishing_technique
Nestpacker
Snipbot
Stockstay
Poison_ivy
Xworm_rat
Asyncrat
Victims:
Military, Government, Technology, Commercial targets, Ukrainian military, Ukrainian government
Industry:
Government, Financial, Entertainment, E-commerce, Military
Geo:
Indonesia, Russian, Latam, Brazilian, Ukrainian, Russia, China, Ukraine
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
ChatGPT TTPs:
do not use without manual checkT1547.001, T1587.004, T1588.005
IOCs:
File: 2
Hash: 44
Soft:
Gmail, Dropbox, Telegram, Chrome, Microsoft Office
Algorithms:
sha256
Languages:
javascript
Google Cloud Blog
Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088 | Google Cloud Blog
Espionage and financially motivated threat actors are exploiting critical WinRAR vulnerability CVE-2025-8088.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-01-2026 Diverse Threat Actors Exploiting Critical WinRAR Vulnerability CVE-2025-8088 https://cloud.google.com/blog/topics/threat-intelligence/exploiting-critical-winrar-vulnerability/ Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-8088, уязвимость с высокой степенью серьезности для обхода пути в WinRAR, активно используется различными злоумышленниками, включая спонсируемые государством группы из России и Китая, а также киберпреступниками, мотивированными финансовыми соображениями. Этот эксплойт позволяет злоумышленникам использовать альтернативные потоки данных для внедрения Вредоносных файлов в архивы RAR, облегчая произвольное размещение файлов, особенно в папке автозагрузки Windows для закрепления. Уязвимость была использована злоумышленниками для развертывания вредоносного ПО, такого как POISONIVY и различных товарных RAT, что отражает значительный сдвиг в сторону использования таких недостатков как для шпионажа, так и для получения финансовой выгоды.
-----
Уязвимость CVE-2025-8088 в WinRAR, широко используемом инструменте архивации файлов, активно используется различными злоумышленниками, включая спонсируемые государством группы и финансово мотивированных киберпреступников. Выявленный группой Google Threat Intelligence Group, этот серьезный недостаток обхода путей был обнаружен и исправлен в июле 2025 года, но продолжает оставаться объектом эксплуатации, подчеркивая значительные пробелы в безопасности среди пользователей и организаций. Эксплойт позволяет злоумышленникам использовать альтернативные потоки данных (ADS) для встраивания Вредоносных файлов в архивы RAR, которые при извлечении уязвимыми версиями WinRAR могут привести к произвольному размещению файлов в системе, особенно в папке автозагрузки Windows для закрепления.
Примечательно, что поддерживаемые правительством злоумышленники из России и Китая использовали этот эксплойт в своих операциях против военного, правительственного и технологического секторов, особенно нацеливаясь на Украину в условиях сохраняющейся геополитической напряженности. Эти злоумышленники используют специально разработанные приманки, чтобы побудить жертв к выполнению вредоносной полезной нагрузки. Кроме того, было замечено, что китайская хакерская группировка распространяет вредоносное ПО POISONIVY с помощью файла BAT, который помещается в папку автозагрузки и впоследствии загружает Dropper.
Финансово мотивированные акторы также использовали уязвимость CVE-2025-8088 для развертывания различных троянских программ удаленного доступа к товарам (RAT) и стиллеров информации против коммерческих организаций, демонстрируя ее универсальность в качестве средства первоначального доступа. Спрос на эффективные эксплойты удовлетворяется подпольной экономикой, где отдельные лица, такие как поставщик, известный как "zeroplayer", рекламируют и продают такие эксплойты непосредственно сообществу киберпреступников.
Повсеместное использование и быстрая эксплуатация CVE-2025-8088 в различных профилях злоумышленников подчеркивает настоятельную необходимость немедленного исправления приложений. Инцидент служит суровым напоминанием о том, как уязвимости n-day могут стереть границы между изощренной шпионской деятельностью и оппортунистической финансовой эксплуатацией. Успешные стратегии защиты должны не только уделять приоритетное внимание управлению исправлениями, но и улучшать возможности по обнаружению и реагированию на распространенные тактики, методы и процедуры после эксплуатации (TTP), связанные с этими угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CVE-2025-8088, уязвимость с высокой степенью серьезности для обхода пути в WinRAR, активно используется различными злоумышленниками, включая спонсируемые государством группы из России и Китая, а также киберпреступниками, мотивированными финансовыми соображениями. Этот эксплойт позволяет злоумышленникам использовать альтернативные потоки данных для внедрения Вредоносных файлов в архивы RAR, облегчая произвольное размещение файлов, особенно в папке автозагрузки Windows для закрепления. Уязвимость была использована злоумышленниками для развертывания вредоносного ПО, такого как POISONIVY и различных товарных RAT, что отражает значительный сдвиг в сторону использования таких недостатков как для шпионажа, так и для получения финансовой выгоды.
-----
Уязвимость CVE-2025-8088 в WinRAR, широко используемом инструменте архивации файлов, активно используется различными злоумышленниками, включая спонсируемые государством группы и финансово мотивированных киберпреступников. Выявленный группой Google Threat Intelligence Group, этот серьезный недостаток обхода путей был обнаружен и исправлен в июле 2025 года, но продолжает оставаться объектом эксплуатации, подчеркивая значительные пробелы в безопасности среди пользователей и организаций. Эксплойт позволяет злоумышленникам использовать альтернативные потоки данных (ADS) для встраивания Вредоносных файлов в архивы RAR, которые при извлечении уязвимыми версиями WinRAR могут привести к произвольному размещению файлов в системе, особенно в папке автозагрузки Windows для закрепления.
Примечательно, что поддерживаемые правительством злоумышленники из России и Китая использовали этот эксплойт в своих операциях против военного, правительственного и технологического секторов, особенно нацеливаясь на Украину в условиях сохраняющейся геополитической напряженности. Эти злоумышленники используют специально разработанные приманки, чтобы побудить жертв к выполнению вредоносной полезной нагрузки. Кроме того, было замечено, что китайская хакерская группировка распространяет вредоносное ПО POISONIVY с помощью файла BAT, который помещается в папку автозагрузки и впоследствии загружает Dropper.
Финансово мотивированные акторы также использовали уязвимость CVE-2025-8088 для развертывания различных троянских программ удаленного доступа к товарам (RAT) и стиллеров информации против коммерческих организаций, демонстрируя ее универсальность в качестве средства первоначального доступа. Спрос на эффективные эксплойты удовлетворяется подпольной экономикой, где отдельные лица, такие как поставщик, известный как "zeroplayer", рекламируют и продают такие эксплойты непосредственно сообществу киберпреступников.
Повсеместное использование и быстрая эксплуатация CVE-2025-8088 в различных профилях злоумышленников подчеркивает настоятельную необходимость немедленного исправления приложений. Инцидент служит суровым напоминанием о том, как уязвимости n-day могут стереть границы между изощренной шпионской деятельностью и оппортунистической финансовой эксплуатацией. Успешные стратегии защиты должны не только уделять приоритетное внимание управлению исправлениями, но и улучшать возможности по обнаружению и реагированию на распространенные тактики, методы и процедуры после эксплуатации (TTP), связанные с этими угрозами.
#ParsedReport #CompletenessHigh
27-01-2026
Fake Clawdbot VS Code Extension Installs ScreenConnect RAT
https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware
Report completeness: High
Threats:
Screenconnect_tool
Remoteadmin_tool
Anydesk_tool
Teamviewer_tool
Trojan.win64.injector
Dll_sideloading_technique
Process_camouflage_technique
Victims:
Vs code users, Developers
Geo:
Seychelles
ChatGPT TTPs:
T1036, T1053.005, T1059.006, T1059.007, T1071.001, T1102, T1105, T1108, T1195, T1204, have more...
IOCs:
File: 25
Url: 3
Hash: 4
Domain: 3
Command: 1
IP: 2
Soft:
Clawdbot, OpenAI, Ollama, Electron, Chromium, Dropbox, Zoom, Node.js
Algorithms:
sha256
Functions:
activate, initCore
Win API:
DWriteCreateFactory, GetSystemTimeAsFileTime, QueryPerformanceCounter, LoadLibraryA, GetProcAddress, OpenProcessToken
Languages:
javascript, powershell, rust
Platforms:
x86
27-01-2026
Fake Clawdbot VS Code Extension Installs ScreenConnect RAT
https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware
Report completeness: High
Threats:
Screenconnect_tool
Remoteadmin_tool
Anydesk_tool
Teamviewer_tool
Trojan.win64.injector
Dll_sideloading_technique
Process_camouflage_technique
Victims:
Vs code users, Developers
Geo:
Seychelles
ChatGPT TTPs:
do not use without manual checkT1036, T1053.005, T1059.006, T1059.007, T1071.001, T1102, T1105, T1108, T1195, T1204, have more...
IOCs:
File: 25
Url: 3
Hash: 4
Domain: 3
Command: 1
IP: 2
Soft:
Clawdbot, OpenAI, Ollama, Electron, Chromium, Dropbox, Zoom, Node.js
Algorithms:
sha256
Functions:
activate, initCore
Win API:
DWriteCreateFactory, GetSystemTimeAsFileTime, QueryPerformanceCounter, LoadLibraryA, GetProcAddress, OpenProcessToken
Languages:
javascript, powershell, rust
Platforms:
x86
www.aikido.dev
Fake Clawdbot VS Code Extension Installs ScreenConnect RAT
A malicious VS Code extension impersonating Clawdbot is installing ScreenConnect RAT on developer machines.
CTT Report Hub
#ParsedReport #CompletenessHigh 27-01-2026 Fake Clawdbot VS Code Extension Installs ScreenConnect RAT https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware Report completeness: High Threats: Screenconnect_tool Remoteadmin_tool Anydesk_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная Кампания Clawdbot использует поддельное расширение кода Visual Studio для предоставления инструмента удаленного доступа ScreenConnect (RAT), используя популярность Clawdbot. Он использует DLL-файл с именем DWrite.dll , разработанный для имитации функциональности Windows DirectWrite, облегчающий выполнение вредоносного кода. Инфраструктура кампании включает в себя устойчивые конфигурации для доставки полезной нагрузки с помощью файлов JSON и резервных методов, в то время как RAT работает с полным доступом к системе, избегая обнаружения, выдавая себя за надежное приложение.
-----
Вредоносная Кампания Clawdbot использует поддельное расширение Visual Studio Code (VS Code) для доставки инструмента удаленного доступа ScreenConnect (RAT). Это мошенническое расширение использует шумиху вокруг Clawdbot, помощника с искусственным интеллектом, что делает его мишенью для злонамеренной Имперсонации. Атака начинается с доставки полезной нагрузки, размещенной в DLL-файле с определенным именем DWrite.dll . Этот файл, написанный на Rust, предназначен для имитации законной функциональности путем экспорта той же функции DWriteCreateFactory, которую можно найти в аутентичной библиотеке Windows DirectWrite. Когда приложение ScreenConnect вызывает эту функцию, выполняется внедренный вредоносный код, который закрепляется в системе жертвы.
Операционная инфраструктура этой угрозы в значительной степени зависит от избыточности и устойчивости. Первоначальная конфигурация предоставляется с помощью файла JSON, полученного из домена, связанного с кампанией Clawdbot, в то время как механизмы резервного копирования включают жестко закодированные URL-адреса и альтернативные доменные резервные копии для доставки полезной нагрузки, если основной сервер управления (C2) становится недоступен. Домен clawdbot.getintwopc.site защищен Cloudflare, что усложняет любые попытки определения авторства. Журналы прозрачности сертификатов указывают на то, что домен существует с марта 2025 года.
Эффективное выполнение этой атаки зависит от различных тактик, направленных на то, чтобы избежать обнаружения и свести к минимуму подозрения пользователей. Выдавая себя за доверенное приложение, связанное с достижениями искусственного интеллекта, вредоносное расширение может привлекать пользователей, которые ищут инструменты, связанные с Clawdbot. Фактическая функциональность вредоносного ПО соответствует его законным заявлениям, что еще больше помогает ему избежать проверки. После установки это расширение VS Code запускается с полным доступом к файловой системе и сети, позволяя RAT работать без немедленного вмешательства пользователя. Механизмы закрепления включают потенциальные резервные стратегии, использующие такие платформы, как Dropbox, PowerShell или Node.js чтобы гарантировать, что полезная нагрузка остается работоспособной даже при сбое основных методов.
Чтобы уменьшить угрозу, возникающую в результате этой атаки, крайне важно немедленно удалить вредоносное расширение и проверить, установлен ли в системе ScreenConnect. Пользователям рекомендуется проверить наличие связанных файлов в каталогах программы и временной папке. Кроме того, мониторинг любых затянувшихся процессов, связанных с Code.exe или ScreenConnect жизненно важен. Меры безопасности также должны включать блокировку определенных IP-адресов на уровне брандмауэра, выполнение всестороннего антивирусного сканирования и замену любых конфиденциальных ключей API, которые, возможно, были введены в расширение. Пользователи также должны убедиться, что они проверяют наличие любых запланированных задач или записей запуска, которые могли бы восстановить скомпрометированные компоненты. Мониторинг исходящих подключений к определенным портам имеет решающее значение для обнаружения любой текущей вредоносной активности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная Кампания Clawdbot использует поддельное расширение кода Visual Studio для предоставления инструмента удаленного доступа ScreenConnect (RAT), используя популярность Clawdbot. Он использует DLL-файл с именем DWrite.dll , разработанный для имитации функциональности Windows DirectWrite, облегчающий выполнение вредоносного кода. Инфраструктура кампании включает в себя устойчивые конфигурации для доставки полезной нагрузки с помощью файлов JSON и резервных методов, в то время как RAT работает с полным доступом к системе, избегая обнаружения, выдавая себя за надежное приложение.
-----
Вредоносная Кампания Clawdbot использует поддельное расширение Visual Studio Code (VS Code) для доставки инструмента удаленного доступа ScreenConnect (RAT). Это мошенническое расширение использует шумиху вокруг Clawdbot, помощника с искусственным интеллектом, что делает его мишенью для злонамеренной Имперсонации. Атака начинается с доставки полезной нагрузки, размещенной в DLL-файле с определенным именем DWrite.dll . Этот файл, написанный на Rust, предназначен для имитации законной функциональности путем экспорта той же функции DWriteCreateFactory, которую можно найти в аутентичной библиотеке Windows DirectWrite. Когда приложение ScreenConnect вызывает эту функцию, выполняется внедренный вредоносный код, который закрепляется в системе жертвы.
Операционная инфраструктура этой угрозы в значительной степени зависит от избыточности и устойчивости. Первоначальная конфигурация предоставляется с помощью файла JSON, полученного из домена, связанного с кампанией Clawdbot, в то время как механизмы резервного копирования включают жестко закодированные URL-адреса и альтернативные доменные резервные копии для доставки полезной нагрузки, если основной сервер управления (C2) становится недоступен. Домен clawdbot.getintwopc.site защищен Cloudflare, что усложняет любые попытки определения авторства. Журналы прозрачности сертификатов указывают на то, что домен существует с марта 2025 года.
Эффективное выполнение этой атаки зависит от различных тактик, направленных на то, чтобы избежать обнаружения и свести к минимуму подозрения пользователей. Выдавая себя за доверенное приложение, связанное с достижениями искусственного интеллекта, вредоносное расширение может привлекать пользователей, которые ищут инструменты, связанные с Clawdbot. Фактическая функциональность вредоносного ПО соответствует его законным заявлениям, что еще больше помогает ему избежать проверки. После установки это расширение VS Code запускается с полным доступом к файловой системе и сети, позволяя RAT работать без немедленного вмешательства пользователя. Механизмы закрепления включают потенциальные резервные стратегии, использующие такие платформы, как Dropbox, PowerShell или Node.js чтобы гарантировать, что полезная нагрузка остается работоспособной даже при сбое основных методов.
Чтобы уменьшить угрозу, возникающую в результате этой атаки, крайне важно немедленно удалить вредоносное расширение и проверить, установлен ли в системе ScreenConnect. Пользователям рекомендуется проверить наличие связанных файлов в каталогах программы и временной папке. Кроме того, мониторинг любых затянувшихся процессов, связанных с Code.exe или ScreenConnect жизненно важен. Меры безопасности также должны включать блокировку определенных IP-адресов на уровне брандмауэра, выполнение всестороннего антивирусного сканирования и замену любых конфиденциальных ключей API, которые, возможно, были введены в расширение. Пользователи также должны убедиться, что они проверяют наличие любых запланированных задач или записей запуска, которые могли бы восстановить скомпрометированные компоненты. Мониторинг исходящих подключений к определенным портам имеет решающее значение для обнаружения любой текущей вредоносной активности.
#ParsedReport #CompletenessMedium
28-01-2026
PureRAT: Attacker Now Using AI to Build Toolset
https://www.security.com/threat-intelligence/ai-purerat-phishing
Report completeness: Medium
Threats:
Purerat
Hvnc_tool
Victims:
Organizations
Geo:
American, Vietnam, Vietnamese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1102.003, T1566.001, T1566.002
IOCs:
File: 32
Url: 32
Registry: 1
Hash: 69
IP: 8
Domain: 2
Soft:
Dropbox, Microsoft Excel, Foxit, Chrome
Algorithms:
base64, zip, 7zip
Languages:
python
28-01-2026
PureRAT: Attacker Now Using AI to Build Toolset
https://www.security.com/threat-intelligence/ai-purerat-phishing
Report completeness: Medium
Threats:
Purerat
Hvnc_tool
Victims:
Organizations
Geo:
American, Vietnam, Vietnamese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1102.003, T1566.001, T1566.002
IOCs:
File: 32
Url: 32
Registry: 1
Hash: 69
IP: 8
Domain: 2
Soft:
Dropbox, Microsoft Excel, Foxit, Chrome
Algorithms:
base64, zip, 7zip
Languages:
python