#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
20 января 2026 года атака по Цепочке поставок была нацелена на антивирус eScan компании MicroWorld Technologies с использованием вредоносного пакета обновлений, который скомпрометировал целостность программного обеспечения. Эта атака включала загрузчик для настройки системы управления и манипулировала системными файлами, чтобы нарушить автоматическое обновление и одновременно облегчить доставку дополнительной полезной нагрузки. Скомпрометированный реестр eScan и файл hosts препятствовали обновлениям, делая антивирус неэффективным, что потребовало ручного исправления и расследования для затронутых пользователей.
-----

20 января 2026 года Morphisec выявила существенную Компрометацию цепочки поставок, воздействие на антивирусный продукт eScan от MicroWorld Technologies. Атака включала распространение вредоносного пакета обновлений через инфраструктуру обновлений eScan, что поставило под угрозу целостность антивирусного решения. Немедленный ответ Morphisec включал обнаружение и блокировку вредоносной активности на конечных точках клиентов, в то время как eScan удалось изолировать затронутую инфраструктуру в течение часа и перевести свою глобальную систему обновлений в автономный режим более чем на восемь часов.

Атака, по-видимому, использует загрузчик как часть своей платформы управления (C2) с механизмами закрепления, созданными путем вмешательства в системный файл hosts и реестр eScan. Эта манипуляция эффективно блокировала удаленные обновления и подключала скомпрометированные системы к дополнительным полезным нагрузкам из инфраструктуры C2. Хотя статус доменов C2 остается неподтвержденным, организациям рекомендуется заблокировать их превентивно.

Жертвами этой атаки стали все клиенты Morphisec, использующие eScan Antivirus, и конкретные затронутые версии ожидают подтверждения от поставщика. Вредоносная полезная нагрузка была разработана таким образом, чтобы обойти стандартные средства защиты, поскольку она изменяет реестр eScan, эффективно нарушая процессы автоматического обновления программного обеспечения. Необходимо ручное вмешательство и меры по исправлению ситуации, поскольку целостность антивирусного решения была серьезно нарушена, что сделало автоматическое обновление неэффективным.

Организациям настоятельно рекомендуется выполнять поиск известных вредоносных хэшей, проверять запланированные задачи на наличие неожиданных записей и проверять реестр на наличие подозрительных ключей. Изменения в файле hosts, блокирующие домены eScan, также должны быть проверены и исправлены. Действия по исправлению положения требуют обращения в eScan для получения обновлений вручную и проведения тщательных судебных расследований в системах без защиты Morphisec, включая сброс учетных данных для любых учетных записей, к которым был получен доступ во время взлома.

#ParsedReport #CompletenessLow
29-01-2026

Supply chain attack on eScan antivirus: detecting and remediating malicious updates

https://securelist.com/escan-supply-chain-attack/118688/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Escan users, Antivirus software users

Geo:
Indian

ChatGPT TTPs:
do not use without manual check
T1053.005, T1195, T1199, T1553.002, T1565.001

IOCs:
File: 2
Path: 1
Url: 6

Soft:
eScan

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
20 января атака по Цепочке поставок была нацелена на eScan antivirus после того, как злоумышленники скомпрометировали региональный сервер обновлений, распространив Вредоносный файл с именем Reload.exe . Это вредоносное ПО инициировало многоэтапный процесс заражения, изменив файл HOSTS, чтобы заблокировать законную передачу обновлений, тем самым лишив антивирус возможности получать обновления. Файл был принят как законное обновление из-за поддельной цифровой подписи, указывающей на уязвимости в Цепочке поставок программного обеспечения, а не в самом программном обеспечении.
-----

20 января значительная атака по Цепочке поставок оказала воздействие на eScan antivirus, продукт MicroWorld Technologies. Злоумышленники скомпрометировали один из региональных серверов обновлений и распространили Вредоносный файл с именем Reload.exe для пользователей антивирусного программного обеспечения. Это вредоносное ПО инициировало многоэтапный процесс заражения и фактически лишило антивирус возможности получать последующие обновления, изменив файл HOSTS. Это действие заблокировало законные сообщения об обновлениях, что привело к ошибкам в службе обновлений.

Расследование атаки показало, что злоумышленник Reload.exe файл был вставлен не из-за уязвимости в самом программном обеспечении, а скорее из-за несанкционированного доступа к инфраструктуре обновления. Злоумышленники внедрили это вредоносное ПО под видом поддельной недействительной цифровой подписи, что облегчило его принятие ничего не подозревающими пользователями в качестве законного обновления.

Что касается исправления, пользователям рекомендуется провести несколько проверок для выявления потенциальных инфекций. Это включает в себя проверку запланированных задач на наличие признаков вредоносной активности, проверку файла HOSTS, расположенного по адресу %WinDir%\System32\драйверы\и т.д.\, на наличие любых записей, блокирующих домены eScan, и тщательный просмотр журналов обновлений eScan от 20 января на предмет любых нарушений. Инцидент подчеркивает критическую важность безопасности даже в Цепочках поставок надежного программного обеспечения и подчеркивает необходимость гибких возможностей обнаружения и исправления при борьбе с такими сложными угрозами.

#ParsedReport #CompletenessMedium
29-01-2026

PeckBirdy Exposes a New Living off the Land Threat

https://cybersecsentinel.com/peckbirdy-exposes-a-new-living-off-the-land-threat/

Report completeness: Medium

Threats:
Peckbirdy_tool
Watering_hole_technique
Holodonut
Mkdoor
Nexload
Credential_harvesting_technique
Lolbin_technique

Victims:
Government, Education, Gambling sector

Industry:
Government

Geo:
Asian, Chinese, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1105, T1189, T1203, T1204.002, T1218.005, T1559.001

IOCs:
File: 5
IP: 1

Soft:
Chrome, Google Chrome, Microsoft Defender

Algorithms:
exhibit, md5, aes

Languages:
javascript, powershell, jscript

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PeckBirdy - это платформа управления на основе JScript (C2), связанная с китайскими APT-группировками, использующая скрипты вместо традиционного вредоносного ПО, чтобы избежать обнаружения. В первую очередь он получает первоначальный доступ с помощью атак watering hole на легальные сайты азартных игр, внедряя вредоносные скрипты, которые побуждают пользователей загружать фреймворк. PeckBirdy использует надежные утилиты Windows и предназначен для скрытого выполнения, что приводит к значительным рискам, таким как кража учетных данных и перехват сеанса, особенно для государственного сектора и игорного бизнеса.
-----

PeckBirdy - это платформа командования и контроля (C2) на основе JScript, связанная с APT-группировками, связанными с Китаем, которые отслеживаются как SHADOW VOID 044 и SHADOW EARTH 045. Этот фреймворк примечателен тем, что использует надежные утилиты Windows и устаревшие технологии написания сценариев, а не обычное исполняемое вредоносное ПО. Он действует скрытно и с минимальной видимостью для криминалистов, представляя значительную киберугрозу с момента своего обнаружения в ходе оперативных кампаний примерно в 2023 году.

Фреймворк использует различные методы для первоначального доступа, преимущественно посредством атак watering hole на легальные китайские сайты азартных игр. Вредоносные скрипты внедряются на эти сайты, вводя пользователей в заблуждение и заставляя запускать мошеннические обновления браузера, которые облегчают загрузку и выполнение платформы PeckBirdy и связанных с ней полезных нагрузок. Этот метод подчеркивает зависимость фреймворка от социальной инженерии и эксплуатации доверия, а не от традиционных методов доставки вредоносного ПО.

Ядро PeckBirdy написано на JScript в соответствии со стандартами ECMAScript 3, что позволяет ему работать в широком спектре сред Windows, в том числе в более старых системах, которые могут не поддерживать новые функции программирования. Стратегии выполнения используют надежные компоненты операционной системы Windows, такие как Windows Script Host, mshta.exe , и интерфейс ScriptControl ActiveX. Такой выбор конструкции обеспечивает высокую степень скрытности и снижает вероятность обнаружения стандартными антивирусными решениями и решениями для обнаружения конечных точек и реагирования на них (EDR), поскольку позволяет избежать создания традиционных артефактов вредоносного ПО.

Контекст угроз, связанный с PeckBirdy, подчеркивает изменение методов, используемых хакерскими группировками, переходящими от бинарного вредоносного ПО к фреймворкам на основе сценариев, которые используют существующие системные компоненты. Эта эволюция согласуется как с финансово мотивированной киберпреступностью, так и с усилиями по шпионажу, спонсируемыми государством. Основные риски, связанные с PeckBirdy, включают кражу учетных данных, перехват сеанса и постоянный доступ к внутренней сети. Эта система представляет высокий риск для таких секторов, как правительственные учреждения, образовательные учреждения и организации, связанные с азартными играми, особенно в регионах, которые, вероятно, будут рассматриваться как цели операций китайской разведки.

Чтобы обнаружить активность PeckBirdy, организациям следует отслеживать исходящие подключения, инициированные mshta.exe и другие скриптовые хосты, обращая внимание на параметры командной строки для выявления признаков выполнения JScript и использования ActiveXObject. Аномальные Веб-куки с префиксом "Hm_lvt_" в контекстах, где такая аналитика обычно не используется, также должны вызывать предупреждения о потенциальных вторжениях. Поскольку эта структура подчеркивает продвинутую адаптацию тактики living-off-the-land, ее присутствие подчеркивает текущие проблемы в области защиты кибербезопасности и реагирования на инциденты.

#ParsedReport #CompletenessHigh
29-01-2026

Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic

https://blog.sekoia.io/meet-iclickfix-a-widespread-wordpress-targeting-framework-using-the-clickfix-tactic/

Report completeness: High

Actors/Campaigns:
Evalusion

Threats:
Iclickfix_tool
Clickfix_technique
Netsupportmanager_rat
Emmenhtal
Xfiles_stealer
Clearfake
Watering_hole_technique

Industry:
Healthcare, Energy, Telco, Government, Financial

Geo:
Ghana

IOCs:
Url: 10
File: 5
Domain: 82
Command: 4
Hash: 15
IP: 3

Soft:
WordPress, Cloudflare Turnstile

Algorithms:
base64, sha256

Functions:
getFaviconPath

Languages:
javascript, php, powershell

YARA: Found

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/iclickfix/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года была обнаружена кампания распространения вредоносного ПО под названием ClickFix, нацеленная на веб-сайты WordPress с помощью атак watering hole. Кампания включала в себя компрометацию законных сайтов с целью перенаправления пользователей на поддельный запрос CAPTCHA, который выполнял команды для развертывания NetSupport удаленного доступа Trojan. С февраля 2025 года этот кластер IClickFix эксплуатировал более 3800 скомпрометированных сайтов, используя вредоносную полезную нагрузку JavaScript для облегчения атаки и доставки другого вредоносного ПО, такого как Emmenhtal Loader и XFiles Stealer.
-----

В ноябре 2025 года аналитики по угрозам из Sekoia TDR обнаружили кампанию распространения вредоносного ПО, нацеленную на веб-сайты WordPress с использованием тактики социальной инженерии, известной как ClickFix, с помощью Системы распределения трафика (TDS). В этой кампании в основном использовались атаки на watering hole, при которых законные веб-сайты компрометировались, чтобы заманить жертв к выполнению вредоносных команд.

Sekoia TDR внедрила расширенную функцию обнаружения для выявления этих атак на watering hole, используя общие правила YARA для сканирования скомпрометированных веб-страниц с использованием тактики ClickFix. Эти правила основаны на конкретных ключевых словах, шаблонах ресурсов и функциях JavaScript, связанных с реализацией тактики.

При посещении взломанного сайта WordPress пользователи сначала просматривают законный веб-контент, но через несколько мгновений страница переключается на сфабрикованный запрос CAPTCHA, имитирующий систему турникетов Cloudflare. Чтобы обойти эту проблему, пользователям предлагается выполнить команду, которая скрывает вредоносный код. Эта команда приводит к развертыванию троянца удаленного доступа NetSupport (RAT).

Оператор IClickFix нацелен на сайты WordPress, внедряя вредоносную полезную нагрузку JavaScript в их HTML-код. Один из них отметил, полезная нагрузка, извлечена из определенного URL-адреса, - это JavaScript-файл обфусцирован, что служит clickfix ClickFix, заменив оригинальный контент сайте с поддельным интерфейс капчи предназначены для сбора пользовательских действий для дальнейшей эксплуатации.

Уже в декабре 2025 года было установлено, что кластер IClickFix скомпрометировал более 3800 сайтов WordPress по всему миру, идентифицированных с помощью определенных шаблонов кода в цепочках перенаправлений, используемых в кампании. Аналитики также провели демографический анализ, основанный на географической и отраслевой классификации этих скомпрометированных сайтов.

Исторически сложилось так, что самые ранние наблюдения за кластером IClickFix относятся к февралю 2025 года, во время исследования Emmenhtal Loader. Это расследование показало, что кластер уже использовал скомпрометированные сайты WordPress, распространяя различные формы вредоносного ПО, включая Emmenhtal Loader и XFiles Stealer, в дополнение к NetSupport RAT.

Таким образом, фреймворк IClickFix стал распространенным средством для первоначального доступа, использующим методологию социальной инженерии ClickFix для развертывания вредоносного ПО посредством значительных компрометаций сайтов WordPress, что свидетельствует о совместной среде угроз, включающей как оппортунистическую деятельность киберпреступников, так и потенциальные интересы национальных государств.

#ParsedReport #CompletenessLow
29-01-2026

Inside the Infrastructure: Whos Scanning for Ivanti Connect Secure?

https://www.labs.greynoise.io/grimoire/2026-01-29-inside-the-infrastructure-whos-scanning-for-ivanti-connect-secure/

Report completeness: Low

Threats:
Residential_proxy_technique

Victims:
Ivanti connect secure users

Geo:
Romania, Moldova

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)

CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583.003, T1583.006, T1584.004, T1595, T1595.001, T1595.002

Soft:
Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Значительно возросла активность по разведке, нацеленная на Ivanti Connect Secure, особенно из-за уязвимости CVE-2025-0282, из-за которой количество сканирований увеличилось в 100 раз. Задействованы две кампании: в одной используется агрессивное сканирование из Румынии и Молдовы, в то время как в другой используется метод распределенной ботнет-сети через residential proxies и мульти-Облачные сервисы, чтобы избежать обнаружения. Обе кампании нацелены на конкретную конечную точку, связанную с этой уязвимостью высокого риска, подчеркивая ее потенциальное использование.
-----

Недавние действия по разведке, направленные против Ivanti Connect Secure, значительно активизировались: GreyNoise сообщила о 100-кратном увеличении числа проверок на наличие уязвимости CVE-2025-0282 в период с 21 по 28 января. Этот всплеск атрибутирован с двумя различными кампаниями, в каждой из которых используются разные методы и инфраструктура. Первая кампания, идентифицированная как действующая из кластера AS213790, характеризовалась активными действиями по сканированию преимущественно из Румынии и Молдовы, в результате чего было проведено более 34 000 сеансов.

В отличие от этого, во второй кампании был применен более скрытный подход к распределенному ботнете с использованием скомпрометированных хостов. Этот метод включал использование сетей residential proxy для использования законных IP-адресов и стратегию развертывания в нескольких облаках, в которой использовались различные поставщики облачных услуг для минимизации риска обнаружения. Оперативные методы предполагают либо одного актора, использующего различные инструменты, либо потенциально конкурирующие группы, осведомленные об уязвимости и действующие одновременно.

Обе кампании специально нацелены на конечную точку по адресу /dana-na/auth/url_default/welcome.cgi, которая привязана к CVE-2025-0282. Показатель по системе оценки вероятности использования этой уязвимости (EPSS) составляет 93,05%, что указывает на высокую вероятность ее использования, чего нельзя сказать о соответствующем CVE-2025-0283, у которого показатель EPSS значительно ниже и составляет 0,18%. Высокая степень использования CVE-2025-0282 подчеркивает настоятельную необходимость обновления своих систем организациями, использующими Ivanti Connect Secure.

Для защитников необходимы немедленные действия. Это включает в себя обеспечение применения исправлений для защиты от потенциальной эксплуатации с уделением особого внимания просмотру журналов на предмет любых попыток несанкционированного доступа к уязвимой конечной точке. Организациям следует пересмотреть свою уязвимость к сети, особенно в отношении любых подключенных к Интернету установок Ivanti, поскольку они могут быть включены в список нацеленных атак. Постоянный мониторинг и тщательная проверка внешних запросов к идентифицированной конечной точке имеют решающее значение, поскольку использование CVE-2025-0282, по-видимому, неизбежно.

#ParsedReport #CompletenessLow
29-01-2026

Tycoon 2FA Campaign Abusing *.contractors Domains for Gmail and Microsoft 365 Credential Harvesting

https://malwr-analysis.com/2026/01/29/tycoon-2fa-campaign-abusing-contractors-domains-for-gmail-and-microsoft-365-credential-harvesting/

Report completeness: Low

Threats:
Tycoon_2fa
Credential_harvesting_technique

Victims:
Gmail users, Microsoft 365 users, Outlook users

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566, T1566.002, T1583.001

IOCs:
Url: 29

Soft:
Gmail, Outlook

Algorithms:
zip, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по сбору учетных записей нацелена на пользователей Gmail и Microsoft 365, используя недавно зарегистрированные домены *.contractors для создания фишингов -страниц, имитирующих законные интерфейсы входа в систему. Такой подход позволяет злоумышленникам избежать обнаружения, захватывая не только имена пользователей и пароли, но и информацию, связанную с двухфакторной аутентификацией. Кампания иллюстрирует эволюционирующую природу тактики фишинга, которая использует социальную инженерию и, казалось бы, заслуживающие доверия домены для повышения шансов на успех.
-----

Недавний сбор учетных записей учетных данных было выявлено, в первую очередь ориентированных на пользователей Gmail и Microsoft 365/Outlook через эксплуатацию вновь регистрируемых *.производство земляных доменов. Эта кампания использует эти домены для создания фишинг-страниц, маскирующихся под легитимные интерфейсы входа, заманивая жертв введя свои учетные данные.

Техника, используемая в этой кампании, подчеркивает растущую тенденцию среди киберпреступников регистрировать доменные имена, которые должны казаться пользователям заслуживающими доверия, тем самым повышая вероятность успешных попыток фишинга. Используя недавно зарегистрированные домены, злоумышленники могут избежать обнаружения средствами безопасности, которые, возможно, еще не классифицировали эти адреса как вредоносные. Вредоносные страницы специально разработаны для захвата не только личных учетных данных, но и информации, связанной с процессами двухфакторной аутентификации (2FA), что делает атаки более убедительными.

В этом контексте крайне важно, чтобы пользователи были бдительны и проверяли подлинность URL-адресов, прежде чем вводить свои учетные данные, особенно при запросе информации для входа в систему по нежелательным электронным письмам. Кампания подчеркивает непрерывную эволюцию стратегий фишинга и необходимость повышения осведомленности пользователей и методов обеспечения кибербезопасности для защиты от подобных угроз. Эффективное использование тактики социальной инженерии в сочетании со злоупотреблением доменами, выглядящими законными, позиционирует эту кампанию как значительный риск для организационной и индивидуальной безопасности.

#ParsedReport #CompletenessHigh
30-01-2026

When Malware Talks Back

https://www.pointwild.com/threat-intelligence/when-malware-talks-back

Report completeness: High

Actors/Campaigns:
Aesxor

Threats:
Pulsar_rat
Donut
Lolbin_technique
Process_injection_technique
Credential_harvesting_technique
Stealer37
Costura_tool
Anydesk_tool
Putty_tool
Mobaxterm_tool
Ngrok_tool
Teamviewer_tool
Radmin_tool

Victims:
Windows users, Cryptocurrency users, General enterprises

Industry:
Entertainment

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 16
Registry: 2
Command: 1
Path: 1
Hash: 6
IP: 1

Soft:
Discord, Telegram, Process Explorer, Microsoft Visual Studio, Windows security, Windows Scheduled Task, Coreftp, CyberDuck, FoxMail, FTPGetter, have more...

Algorithms:
md5, chaskey, zip, xor, base64, exhibit

Functions:
Main, CreateNoWindow, PostAsync, SendToTelegram

Win API:
CreateRemoteThread, OpenProcess, VirtualAllocEx, WriteProcessMemory

Languages:
ruby, powershell, jscript, dotnet, visual_basic, python, javascript

Links:
https://github.com/TheWover/donut
https://github.com/volexity/donut-decryptor
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания Pulsar RAT использует передовые методы уклонения, включая методы living-off-the-land и доставку полезной нагрузки в память. Заражение начинается с пакетного файла, который создает скрытый каталог и запускает встроенный загрузчик PowerShell, который использует операции XOR для запутывания полезной нагрузки и Внедрения кода в процесс в такие целевые объекты, как svchost.exe . Вредоносное ПО обладает широкими возможностями наблюдения, включая доступ к веб-камере и эксфильтрацию данных через службы обмена сообщениями, поддерживаемую модулями для подсчета пользователей и утечки информации.
-----

Расследование многоэтапной Вредоносной Кампании выявило развертывание троянца удаленного доступа (RAT) под названием Pulsar RAT, который использует сложные методы уклонения, такие как методы living-off-the-land и доставки полезной нагрузки в памяти. Цепочка заражения начинается с замаскированного пакетного файла, который настроен на сохранение с помощью раздела реестра для каждого пользователя. Этот файл запускает встроенный загрузчик PowerShell, сводя к минимуму наблюдаемые артефакты на диске.

Пакетный файл содержит логику для создания скрытого каталога и кодирования его полезной нагрузки с помощью Base64. После выполнения он извлекает и декодирует скрипт PowerShell, который содержит массив байтов, подлежащий побитовой операции XOR, а затем инициирует сложную процедуру Внедрения кода в процесс. Эта процедура включает в себя установку уровня взаимодействия Win32 для доступа к ключевым API Windows, последующее выделение памяти в целевом процессе — обычно svchost.exe — для ввода шелл-кода. Механизмы миграции процессов и мониторинга вредоносного ПО повышают его закрепление, позволяя ему переключаться на более безобидные процессы, такие как explorer.exe когда это необходимо.

Полезная нагрузка использует фреймворк Donut, облегчающий выполнение дополнительных полезных нагрузок, загружаемых из памяти, которые шифруются с использованием блочного шифра Chaskey для дополнительной скрытности. Вредоносное ПО также обладает надежными методами антианализа, с подпрограммами для обнаружения средств отладки и проверками среды, чтобы избежать запуска на виртуальных машинах или в изолированных средах.

В вредоносное ПО также встроено перечисление учетных записей пользователей и привилегий, что позволяет ему оценивать свои возможности для дальнейших вредоносных действий, включая закрепление с помощью запланированных задач и записей реестра. Кроме того, он отслеживает активность буфера обмена для адресов криптовалютных кошельков, отправляя обнаруженные данные на удаленный командный сервер.

Возможности наблюдения особенно сложны: вредоносное ПО может получать доступ к веб-камере жертвы, транслировать видео в реальном времени и захватывать аудио с помощью Windows Core Audio API. Эксфильтрация данных происходит по различным каналам, включая популярные платформы обмена сообщениями и автоматические скрипты, которые используют API для загрузки украденной информации. Оба пульсара.Модули Common и Stealer37 загружаются в память, причем последний, предположительно, выполняет утечку информации в широком спектре приложений и служб.

#ParsedReport #CompletenessHigh
30-01-2026

ShadowHS: A Fileless Linux PostExploitation Framework Built on a Weaponized hackshell

https://cyble.com/blog/shadowhs-fileless-linux-post-exploitation-framework/

Report completeness: High

Threats:
Shadowhs_tool
Hackshell_tool
Credential_harvesting_technique
Rondodox
Kinsing_miner
Xmrig_miner
Ebury
Credential_stealing_technique
Gminer
Lolminer
Gsocket_tool
Gs-netcat
Rustscan_tool
Dirty_pipe_vuln

Victims:
Enterprise environments, Cloud hosted linux environments

Industry:
Ics

CVEs:
CVE-2025-21756 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.235, <5.15.179, <6.1.131, <6.6.79, <6.12.16)


TTPs:
Tactics: 9
Technics: 1

IOCs:
Coin: 3
IP: 5
Domain: 3
File: 1
Hash: 26

Soft:
Linux, OpenSSL, Microsoft Defender, OpenSSH, AppArmor, Bitrix, WordPress, Docker, rsync

Algorithms:
gzip, sha256, base64, kawpow, aes-256-cbc, exhibit

Functions:
_once, gpu, rs, rs1

Win API:
decompress

Languages:
golang, perl