#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В результатах поиска Google появились подозрительные рекламные объявления, ориентированные на пользователей Mac, которые приводят к Вредоносным ссылкам, в том числе к одной, направляющей пользователей на скрипты приложений Google, что указывает на использование злоумышленниками надежных платформ. Расследования этих объявлений выявили вводящие в заблуждение комментарии на Medium, которые подтверждали легитимность контента, при этом некоторые пользователи сообщали о загрузке вредоносного ПО после выполнения определенных команд. Это отражает распространенный метод киберугрозы, заключающийся во внедрении вредоносных ссылок в заслуживающие доверия источники с целью поставить под угрозу безопасность пользователей.
-----

Недавнее исследование выявило появление подозрительной рекламы в результатах поиска Google, специально предназначенной для пользователей Mac с потенциально вредоносным контентом. AV-TEST, независимая лаборатория, известная своей оценкой антивирусных приложений на предмет наличия реальных образцов вредоносного ПО, отметила эту рекламу как проблему кибербезопасности.

Рекламные объявления ведут к Вредоносным ссылкам, одна из которых перенаправляет пользователей на скрипты приложений Google. Это подчеркивает тактику, при которой злоумышленники используют надежные платформы Google для расширения своего охвата. Нацеленный контент может содержать инструкции или скрипты, которые могут поставить под угрозу безопасность устройств пользователей.

Кроме того, дальнейшее расследование конкретной рекламы выявило публикацию на Medium, где многочисленные комментарии, по-видимому, вводили в заблуждение относительно легитимности контента. Среди этих комментариев некоторые пользователи отметили, что выполнение определенной команды приводило к загрузке вредоносного ПО на устройство. Этот метод встраивания вредоносных ссылок в кажущиеся заслуживающими доверия источники является распространенным методом, используемым хакерскими группировками для использования доверия пользователей и облегчения распространения вредоносного ПО.

Крайне важно, чтобы пользователи сохраняли бдительность при просмотре результатов поиска и были осторожны при выполнении команд или загрузке файлов из непроверенных источников. Распространение вредоносного контента через надежные платформы подчеркивает продолжающуюся эволюцию киберугроз и важность повышения осведомленности пользователей и мер защиты.

#ParsedReport #CompletenessLow
27-01-2026

How Predator spyware defeats iOS recording indicators

https://www.jamf.com/blog/predator-spyware-ios-recording-indicator-bypass-analysis/

Report completeness: Low

Actors/Campaigns:
Intellexa
Cytrox

Threats:
Predator_spyware
Process_injection_technique

Victims:
Mobile users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1518.001, T1601, T1620, T1622

IOCs:
Coin: 1
File: 1

Functions:
TestHooker, VoIP, ExtAudioFileWrite, memmem

Languages:
objective_c

Platforms:
apple, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Predator spyware, разработанное Intellexa/Cytrox, использует сложные методы обхода индикаторов записи iOS для скрытого наблюдения. Он подключается к методу _handleNewDomainData: для управления обновлениями состояния датчика и подавления предупреждений, а также использует технологию CameraEnabler для доступа к камере через обход PAC, используя сопоставление шаблонов команд ARM64, чтобы избежать обнаружения службой безопасности Apple. Кроме того, он использует нулевые сообщения Objective-C, чтобы обманом заставить систему не замечать активность камеры и микрофона, что отражает переход к перехвату источников данных для более скрытого наблюдения.
-----

Predator spyware, созданная Intellexa/Cytrox, использует сложные методы для обхода индикаторов записи iOS, которые предупреждают пользователей об использовании камеры или микрофона. С момента появления этих индикаторов в iOS 14 Apple стремилась повысить конфиденциальность пользователей, показывая зеленую точку для камеры и оранжевую точку для активности микрофона. Однако Predator разработал метод подавления этих предупреждений, позволяющий вести скрытое наблюдение без ведома пользователя.

Одним из основных методов, используемых Predator, является модификация метода, называемого _handleNewDomainData:. Этот метод в iOS запускается при любой активности датчика, например, при включении камеры или микрофона. Используя этот метод, Predator может перехватывать и манипулировать всеми обновлениями состояния датчиков до того, как они вызовут какие-либо визуальные индикаторы, эффективно скрывая любые признаки наблюдения.

Кроме того, Predator использует вторую технологию, известную как CameraEnabler, которая позволяет ему получить доступ к камере через обход PAC (Pointer Authentication Code). Вместо того чтобы полагаться на известные символы, которые могут быть обнаружены и заблокированы механизмами безопасности Apple, CameraEnabler использует сопоставление инструкций ARM64 с шаблоном для поиска необходимых функций во внутренних рамках iOS. Это позволяет Predator выполнять свои функциональные возможности без предупреждения операционной системы.

Более того, контроль Predator над индикаторами усиливается за счет использования Objective-C nil messaging exploitation, который позволяет ему устанавливать указатель self равным NULL. Этот метод успешно обманывает систему, заставляя ее игнорировать активное состояние камеры или микрофона. Однако стоит отметить, что шпионское ПО работает с модульной архитектурой; модуль записи VoIP автоматически не подавляет индикаторы, требуя вмешательства пользователя для активации функции HiddenDot вручную.

Наконец, анализ намекает на историю разработки в Predator, которая отражает переход от прямого манипулирования элементами пользовательского интерфейса к более утонченному подходу, фокусирующемуся на перехвате источников данных. Предыдущий код, связанный с SBRecordingIndicatorManager, был отменен, что указывает на эволюцию стратегии в направлении более чистого метода обеспечения наблюдения без обнаружения. В целом, Predator демонстрирует расширенные возможности по обходу мер конфиденциальности, встроенных в iOS, что создает значительные риски для безопасности и приватности пользователей.

#ParsedReport #CompletenessHigh
30-01-2026

PhantomVAI: custom loader built on an old RunPE utility used in worldwide campaigns

https://www.intrinsec.com/wp-content/uploads/2026/01/TLP-CLEAR-20260130-PhantomVAI_Loader.pdf

Report completeness: High

Actors/Campaigns:
Turk_hack_team

Threats:
Phantomvai_loader
Runpe_tool
Mandark_tool
Darkcloud
Process_hollowing_technique
Remcos_rat
Xworm_rat
Asyncrat
Smokeloader
Loki_bot
Rhadamanthys
Matanbuchus_maas
Lumma_stealer
Katz_stealer
Dcrat
Vmdetector
Steganography_technique
Caminho
Vmdetectloader
Antidebugging_technique
Polymorphism_technique
Vailoader

Victims:
Phishing recipients worldwide

Geo:
Brazilian, America, Africa, Azerbaijan, Latin america, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1055.012, T1105, T1204.002

IOCs:
File: 51
Hash: 61
Path: 1

Soft:
Windows Task Scheduler, Whatsapp

Algorithms:
xor, base64, sha256

Functions:
GetThreadContextlong, TaskScheduler

Win API:
CreateProcess, VirtualAllocEx, ZwUnmapViewOfSection, WriteProcessMemory, SetThreadContext, GetThreadContext, ResumeThread, CloseHandle

Win Services:
webClient

Languages:
javascript

Platforms:
x64, x86

YARA: Found

Links:
have more...
https://github.com/nantmamamb/pePolymorpher/blob/master/pePolymorpher/Mandark.cs
https://github.com/decay88/Mandark/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик Mandark играет ключевую роль в киберкампаниях, используя Внедрение в пустой процесс для внедрения вредоносного ПО в законные процессы Windows, особенно связанные с стиллером DarkCloud и различными троянами удаленного доступа (RAT). Он работает, имитируя законные функции и встраиваясь в приложения, чтобы избежать обнаружения. Модульность загрузчика предполагает модель обслуживания, которую могут использовать различные злоумышленники, подчеркивая динамичный и развивающийся ландшафт угроз.
-----

Анализ пользовательского загрузчика, известного как "Mandark", показывает его значительную роль в глобальных киберкампаниях. Этот загрузчик использует метод Внедрения в пустой процесс для внедрения вредоносного ПО в законные процессы Windows, в частности, идентифицированный в связи с Stealer. DarkCloud В ходе различных анализов было отмечено, что несколько исследователей безопасности называют этот загрузчик разными именами, что потенциально может привести к путанице в отношении его функциональности и распространенности.

Утилита Mandark, первоначально разработанная пользователем с открытым исходным кодом на HackForums, занимает центральное место в работе этого загрузчика. Эта утилита специально разработана для запуска полезных нагрузок путем Внедрения в пустой процесс, при котором создается новый процесс, а исполняемый файл заменяется новым. Во время работы Mandark использует три ключевых параметра: array3, text2 и args. Его поток выполнения указывает на то, что он эффективно запускает вредоносные процессы после имитации законных системных функций, в частности, Маскировки под "Планировщик задач Microsoft Windows"..

Стратегия маскировки загрузчика включает в себя встраивание в другие приложения, включая HTA-файлы, что помогает ему работать, не вызывая подозрений. Обнаружение возможно с помощью различных средств, включая использование правил YARA, предназначенных для точного определения вредоносных версий загрузчика. Многочисленные экземпляры загрузчика были связаны с различными вариантами вредоносного ПО, наиболее заметными из которых являются трояны удаленного доступа (RAT), такие как Remcos, XWorm, AsyncRAT и вышеупомянутый DarkCloud. Использование разнообразных приманок для фишинга дополняет эти атаки, повышая эффективность загрузчика при распространении стиллеров и другого вредоносного ПО.

Анализ также намекает на модульный подход к его развертывания, предполагая, грузчик-как услуга модель, в которой различные субъекты опасности, которую может использовать Mandark для своих кампаний. Модульность-подразумевает растущей угрозы, а новые образцы могут постоянно появляться, указывая, что разные группы адаптируют его использовать, чтобы расширить свою вредоносную деятельность. В целом, постоянное использование этого загрузчика подчеркивает необходимость проявлять бдительность опасная охота механизмы для отслеживания и смягчить его воздействие на кибербезопасность.

#ParsedReport #CompletenessMedium
31-01-2026

GlassWorm Loader Hits Open VSX via Developer Account Compromise

https://socket.dev/blog/glassworm-loader-hits-open-vsx-via-suspected-developer-account-compromise

Report completeness: Medium

Actors/Campaigns:
Oorzc_compromise

Threats:
Glassworm
Dead_drop_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Software developers, Open vsx users

Industry:
E-commerce, Financial

Geo:
Moscow, Russian

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 12
IP: 1

Soft:
macOS, Outlook, vscode, Mozilla Firefox, Ledger Live, Visual Studio, Visual Studio Code, Node.js, Chromium, curl, have more...

Wallets:
metamask, electrum, exodus_wallet, trezor, tonkeeper

Crypto:
solana, binance

Algorithms:
zip, aes, aes-256-cbc

Functions:
eval

Languages:
javascript

Platforms:
apple

Links:
https://github.com/oorzc/vscode\_sync\_tool/issues/25

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm Loader нацелена на более чем 22 000 пользователей, используя скомпрометированные учетные записи разработчиков для распространения вредоносных расширений через открытый реестр VSX. Атака начинается с профилирования среды, чтобы избежать выполнения в российских локалях, с последующим развертыванием Node.js полезная нагрузка, которая крадет конфиденциальную информацию, включая учетные данные и финансовые данные из браузеров и криптовалютных кошельков. Эксфильтрация данных происходит с помощью "curl" на жестко закодированные IP-адреса, в то время как закрепление достигается за счет создания LaunchAgent для обеспечения запуска вредоносного ПО при входе в систему.
-----

Кампания загрузчика GlassWorm использует скомпрометированные учетные записи разработчиков для распространения вредоносных расширений в открытом реестре VSX, затрагивая более 22 000 пользователей. Действующий как минимум с октября 2025 года злоумышленник использует методы сокрытия своей деятельности и уклонения от обнаружения, в частности, путем проверки настроек русского языка, чтобы избежать выполнения в системах, расположенных в этих регионах.

Атака разворачивается в два основных этапа. Начальный этап фокусируется на профилировании среды хоста, выполнении серии проверок для определения языкового стандарта системы и связанных с ним часовых поясов. Если эти проверки указывают на российскую среду, полезная нагрузка отключается для поддержания оперативной безопасности. Эта мера предосторожности согласуется с традиционной практикой в российской экосистеме киберпреступников, подчеркивая стремление избежать пристального внимания правоохранительных органов.

После успешного завершения начального этапа второй этап активирует Node.js Полезная нагрузка JavaScript, адаптированная для систем macOS. Этот компонент функционирует как механизм кражи данных, так и имплантат для закрепления. Он собирает широкий спектр конфиденциальной информации, в частности, учетные данные и ценные финансовые данные. Вредоносное ПО собирает файлы cookie браузера, историю входа в систему и информацию базы данных как из браузеров на базе Firefox, так и из Chromium, а также данные с настольных криптовалютных кошельков, таких как Electrum и Exodus. Он дополнительно получает доступ к Связке ключей macOS, Apple Notes, файлам cookie Safari и конфигурациям VPN из FortiClient, систематически фильтруя и сжимая собранные файлы перед их удалением.

Эксфильтрация данных выполняется с помощью команды `curl` на жестко закодированные IP-адреса. В проанализированных примерах конечные точки, на которые нацелены, включают пути, которые предполагают постоянную связь с инфраструктурой злоумышленника, обеспечивая непрерывный поиск украденных данных. Для закрепления вредоносное ПО внедряется в систему macOS, создавая LaunchAgent, записывая файл списка свойств в библиотеку пользователя, чтобы гарантировать запуск полезной нагрузки при входе в систему. Этот метод закрепления позволяет вредоносному ПО сохранять свое присутствие в уязвимых системах до тех пор, пока защитники не удалят его полностью, включая удаление связанных артефактов и зависимостей во время выполнения.

#ParsedReport #CompletenessHigh
01-02-2026

DynoWiper update: Technical analysis and attribution

https://www.welivesecurity.com/en/eset-research/dynowiper-update-technical-analysis-attribution/

Report completeness: High

Actors/Campaigns:
Sandworm (motivation: cyber_espionage)
Uac0099

Threats:
Dynowiper
Eternal_petya
Supply_chain_technique
Olympic_destroyer
Industoyer2
Prestige_ransomware
Sting
Hermeticwiper
Partyticket
Killdisk
Doublezero
Arguepatch_loader
Orcshred
Soloshred
Awfulshred
Ransomboggs
Sdelete_tool
Bidswipe
Roarbat
Swiftslicer
Nikowiper
Sharpnikowiper
Zerolot
Greyenergy
Rubeus_tool
Powergap
Killfiles
Rsocx_tool
Credential_dumping_technique

Victims:
Energy sector, Ukrainian energy companies, 2018 winter olympics organizers, Government agencies, Logistics companies, Transportation firms, Media organizations, Grain sector companies, Telecommunications companies

Industry:
Government, Logistic, Telco, Transport, Energy, Military

Geo:
Russia, Russian, Polish, Poland, Ukrainian, Ukraine

TTPs:
Tactics: 6
Technics: 12

IOCs:
File: 4
Path: 5
Domain: 1
Hash: 7
IP: 1

Soft:
rsocx, Active Directory

Crypto:
bitcoin

Algorithms:
sha1

Win API:
DeleteFileW

Languages:
powershell

Platforms:
x86

Links:
https://github.com/GhostPack/Rubeus
have more...
https://github.com/b23r0/rsocx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET сообщают об инциденте с Уничтожением данных, связанном с новым вредоносным ПО wiper под названием DynoWiper, атрибутируемым с российской группой Sandworm, известной своей атакой на критическую инфраструктуру. Развернутый 29 декабря 2025 года DynoWiper использовал общие имена исполняемых файлов, а сходство с ZOV wiper предполагает общую логику кода. Sandworm использовал групповую политику Active Directory для распространения вредоносного ПО по сети, используя методы из платформы MITRE ATT&CK, включая выполнение команд PowerShell и Credential Dumping из LSASS.
-----

Исследователи ESET выявили недавний инцидент с Уничтожением данных, связанный с новым вредоносным ПО wiper под названием DynoWiper, атрибутируемым с российской группой угроз Sandworm. Sandworm печально известен своими разрушительными кибероперациями, направленными против различных секторов, включая энергетику, транспорт и правительство, о чем свидетельствуют прошлые атаки, такие как NotPetya и Olympic Destroyer.

DynoWiper был развернут 29 декабря 2025 года в общем каталоге C:\inetpub\pub \, используя имена исполняемых файлов, такие как schtask.exe и schtask2.exe . Примечательно, что ссылки на путь к проекту Visual Studio предполагают, что вредоносное ПО, возможно, было разработано в среде, использующей инструмент Vagrant для управления виртуальными машинами. Это указывает на то, что Sandworm, возможно, протестировал DynoWiper на виртуальных машинах, прежде чем запустить его в сети целевой организации.

В дополнение к DynoWiper, другие инструменты были обнаружены в сети до запуска wiper. Вредоносное ПО имеет несколько общих характеристик исполнения и логику кода с ранее идентифицированным wiper под названием ZOV, также связанным с Sandworm. Оба типа вредоносных ПО демонстрируют схожие стратегии исключения файлов и способность отличать файлы меньшего размера от файлов большего размера в процессе очистки.

Sandworm известна тем, что использует групповую политику Active Directory для распространения своего вредоносного ПО wiper по скомпрометированным сетям, что подчеркивает способность группы получать доступ с высокими привилегиями к средам Active Directory. Этот метод обычно позволяет вредоносному ПО заражать множество компьютеров в организации после запуска с контроллера домена.

Отнесение DynoWiper к Sandworm основано на нескольких аналитических факторах, и, хотя ESET оценивает эту оценку со средней степенью достоверности, операционные схемы и характеристики, в частности, связывают ее с исторической деятельностью группы. В рамках платформы атак Sandworm внедрил различные методы из платформы MITRE ATT&CK, включая выполнение команд через PowerShell и Командную оболочку Windows, запланированные задачи для выполнения вредоносного ПО, а также методы обнаружения и удаления данных в скомпрометированных системах.

Процесс развертывания включал попытки сбросить учетные данные из процесса LSASS и использовать прокси-инструменты для целей командования и контроля. В конечном счете, кульминацией этих действий стало полное Уничтожение диска и перезагрузка системы, что еще больше подтвердило деструктивный замысел операции. Этот инцидент высвечивает тревожную тенденцию в агрессивных кибероперациях, нацеленных на критически важную инфраструктуру, особенно в энергетическом секторе Польши.

#ParsedReport #CompletenessLow
29-01-2026

Match Group breach exposes data from Hinge, Tinder, OkCupid, and Match

https://www.bleepingcomputer.com/news/security/match-group-breach-exposes-data-from-hinge-tinder-okcupid-and-match/

Report completeness: Low

Actors/Campaigns:
Match_breach
Shinyhunters

Victims:
Match group, Tinder, Match.com, Meetic, Okcupid, Hinge, Online dating users

Industry:
Financial

IOCs:
Domain: 1

Soft:
Tinder, Dropbox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Match Group сообщила об инциденте с кибербезопасностью, затронувшем несколько платформ знакомств, что привело к раскрытию пользовательских данных, хотя конкретные детали остаются нераскрытыми. Вектор атаки неясен, но она может включать в себя такие распространенные тактики, как фишинг или Подстановка украденных учетных данных, которые используют уязвимости приложений. Нарушение подчеркивает риски, связанные с обработкой пользовательских данных, потенциально способствующие краже личных данных и атакам социальной инженерии, подчеркивая текущие угрозы кибербезопасности онлайн-сервисам.
-----

Match Group сообщила об инциденте с кибербезопасностью, затронувшем несколько ее платформ онлайн-знакомств, включая Tinder, Hinge, OkCupid и Match.com . Нарушение привело к раскрытию пользовательских данных, хотя конкретные детали, касающиеся характера скомпрометированной информации, не были раскрыты. Инцидент вызывает обеспокоенность по поводу тактики злоумышленников, нацеленных на большие базы пользователей, связанные с популярными цифровыми сервисами.

Хотя точный вектор атаки еще предстоит выявить, инциденты такого рода часто связаны со схемами фишинга, Подстановкой украденных учетных данных или использованием уязвимостей в приложениях или их серверной инфраструктуре. Воздействие таких нарушений может быть далеко идущим, предоставляя злоумышленникам доступ к конфиденциальной пользовательской информации, что потенциально может привести к краже личных данных или мошенническим действиям.

Утечка пользовательских данных также может способствовать дальнейшим атакам, таким как социальная инженерия, когда скомпрометированные учетные записи могут использоваться для манипулирования пользователями на платформе или сбора дополнительной личной информации. Инцидент в Match Group высветил риски, связанные с хранением пользовательских данных и управлением ими с помощью онлайн-сервисов, подчеркнув необходимость применения надежных методов обеспечения безопасности и постоянного мониторинга потенциальных уязвимостей.

По мере продвижения расследования нарушения для Match Group будет крайне важно проинформировать затронутых пользователей и смягчить любую потенциальную угрозу, исходящую от раскрытых данных. Будущие обновления могли бы внести ясность в конкретный характер нарушения, используемые стратегии реагирования и улучшения их системы безопасности в будущем. Этот инцидент служит напоминанием о постоянных угрозах, с которыми сталкиваются онлайн-платформы, и важности поддержания строгих мер по кибербезопасности для защиты пользовательских данных.

#ParsedReport #CompletenessLow
02-02-2026

North Koreas Prospect Call Trap: Lazarus Turns Teams Meetings into macOS Credential Theft

https://daylight.ai/blog/prospect-call-microsoft-teams-meetings

Report completeness: Low

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Bluenoroff (motivation: financially_motivated)
Ghostcall

Victims:
Macos users, Financial sector

Geo:
North koreas, North korean, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.002, T1059.004, T1105, T1204, T1555.001, T1566, T1583.001

IOCs:
Domain: 4
IP: 2
Hash: 6

Soft:
macOS, Telegram, curl

Algorithms:
sha256, zip

Functions:
Teams

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложное вторжение, нацеленное на пользователей macOS, атрибутируемое с подгруппой BlueNoroff северокорейской группы Lazarus, включало социальную инженерию через Telegram, что привело к мошенническому вызову Microsoft Teams. Злоумышленники использовали обманчивый домен для завоевания доверия и манипулировали жертвами, заставляя их выполнять команды терминала, извлекать вредоносный двоичный файл, повышать разрешения и получать доступ к базе данных Связки ключей для кражи учетных данных. Атака подчеркивает тенденцию полагаться на участие пользователей и встроенные системные инструменты для скрытой эксплуатации, а не на традиционное вредоносное ПО.
-----

В статье обсуждается изощренное вторжение, нацеленное на пользователей macOS, атрибутируемое с подгруппой BlueNoroff северокорейской группы Lazarus. Этот инцидент демонстрирует структурированную атаку социальной инженерии, которая была инициирована как взаимодействие с "потенциальными клиентами" через Telegram, что привело к мошенническому вызову Microsoft Teams. Злоумышленники использовали обманчивый домен-двойник, чтобы укрепить доверие, прежде чем связаться с жертвой.

Обнаружение началось с предупреждений о поведении конечных точек, которые указывали на потенциальный получение учетных данных и скрытые действия с файлами на устройстве macOS. Первоначально эти предупреждения могли быть неверно истолкованы как безобидное поведение, связанное с разработкой или пользовательскими сценариями. Однако дальнейшее расследование соотнесло временные метки этих предупреждений с взаимодействиями пользователя, выявив выполнение команд в реальном времени во время разговора со злоумышленником.

Компромисс осуществлялся методичным образом: после установления контакта через Telegram злоумышленник перешел к командному звонку, где они использовали тактику социальной инженерии, чтобы заставить жертву выполнять команды терминала под видом устранения неполадок со звуком. Кульминацией этого стало извлечение вредоносного двоичного файла с использованием curl, изменений разрешений и специальной Подписью исполняемого кода для повышения простоты выполнения. Злоумышленник выполнял команды в фоновом режиме для закрепления, получая прямой доступ к базе данных Связки ключей пользователя, чтобы украсть учетные данные. Эксфильтрация была выполнена с помощью поэтапной обработки данных с использованием AppleScript.

Этот инцидент подчеркивает заметную тенденцию в современных кибератаках, которые основаны на участии пользователей, а не исключительно на технических эксплойтах или внедрении вредоносного ПО. Стратегия злоумышленника основывалась на встроенных инструментах macOS, используя подход "Living Off theLand", который подчеркивает скрытность и использование законных системных функций для достижения своих вредоносных целей.

#ParsedReport #CompletenessHigh
28-01-2026

Exposed Open Directory Leaks a Full BYOB Deployment Across Windows, Linux, and macOS

https://hunt.io/blog/exposed-byob-c2-infrastructure-multi-stage-malware-deployment

Report completeness: High

Threats:
Byob_tool
Uac_bypass_technique
Xmrig_miner
Coinminer

Victims:
Multiple regions, Cryptocurrency mining targets

Geo:
Panama, Singapore, Los angeles

TTPs:
Tactics: 9
Technics: 17

IOCs:
IP: 3
Url: 2
File: 14
Registry: 3
Hash: 6

Soft:
Linux, macOS, Outlook, VirtualBox, Unix, Hyper-V, Windows Subsystem for Linux, Windows Explorer, Windows Registry, Task Scheduler, have more...

Algorithms:
aes-256-cbc, md5, base64, deflate

Functions:
urlopen, exec, mac_address, architecture, device, username, administrator, geolocation, chr, HookKeyboard, have more...

Win API:
decompress, gethostname, CoInitialize, inet_ntoa, ShellExecuteEx

Languages:
python, java

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4