#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило иранский ботнет с 15-узловой ретрансляционной сетью, нацеленной на DDoS-атаки и уклонение от цензуры, использующий серверы в Финляндии и Иране. Бот использует сценарий массового развертывания на основе SSH, "ohhhh.py ," для доступа к машинам-жертвам и компиляции своих инструментов с использованием компилятора GCC, что позволяет избежать обнаружения. Кроме того, ботнет использует туннелирование KCP для маршрутизации трафика и может предлагаться в качестве услуги, что указывает на коммерческий мотив вместо государственного спонсорства.
-----

Недавнее исследование Кибербезопасности выявило сложный иранский ботнет, характеризующийся 15-узловой ретрансляционной сетью, предназначенной для DDoS-атак и уклонения от цензуры. Эта инфраструктура была обнаружена через открытый каталог, раскрывающий ряд операционных деталей.

Ботнет состоит из серверов, размещенных по всей Финляндии и Ирану, зарегистрированных у иранского интернет-провайдера и европейского облачного провайдера. Общий отпечаток сертификата TLS позволил исследователям точно определить в общей сложности 15 серверов, семь на Hetzner в Финляндии и семь на иранских интернет-провайдерах. Ботнет использует продвинутую технологию развертывания, при которой он компилирует инструменты DDoS непосредственно на компьютерах-жертвах с помощью компилятора GCC, переименовывая бот-клиент в "hex". Этот метод помогает избежать обнаружения двоичных файлов, что затрудняет программному обеспечению безопасности выявление вредоносных действий.

Методология атаки включает сценарий массового развертывания на основе SSH, идентифицированный как ohhhh.py , который автоматизирует открытие до 500 одновременных SSH-сеансов. Этот скрипт запрашивает учетные данные в формате host:порт\|имя пользователя\|пароль, чтобы получить доступ к компьютерам-жертвам, где он впоследствии компилирует и запускает бот-клиент. Подробные журналы Истории команды BASH фиксировали этапы работы этого ботнет: первоначальную настройку туннелей для обхода цензуры, переход к инструментам для DDoS-атак на живые цели и переход к постоянной разработке ботнет. Примечательно, что одна и та же инфраструктура служит двойным целям — запускает как трафик в обход цензуры, так и инструменты для атак.

Туннельный компонент атаки использует KCP (протокол туннелирования KCP) для облегчения маршрутизации трафика, с файлом конфигурации, указывающим настройки, предназначенные для обхода национальных систем фильтрации. Наличие веб-инструмента управления прокси-серверами сигнализирует о коммерческом аспекте ботнет, предполагая, что он может быть продан в качестве услуги другим лицам в Иране.

Этап разработки ботнет включал переход от ручных DDoS-атак к созданию более надежной постоянной возможности. Для доработки процесса развертывания были использованы различные скрипты на Python, включая функциональность для постоянного подключения и управления ботами. Клиент-бот, на который указывают восстановленные исходные конструкции с различными командами, позволяет регистрировать вновь зараженные хосты и включает функции автоматического переподключения, повышающие его устойчивость к перебоям в работе сервера.

Такие показатели, как использование услуг иранского интернет-провайдера и локализованные комментарии на фарси, указывают на то, что оператор, скорее всего, базируется в Иране или хорошо знаком с местными условиями, и что эта деятельность осуществляется не под руководством государства, а скорее по коммерческим мотивам.

Стратегии смягчения последствий для защитников должны пересмотреть механизмы обнаружения, которые ботнет стремится обойти, особенно в таких областях, как обнаружение на основе хэша, присвоение IP-адреса источника и двоичное сканирование. Этот случай иллюстрирует растущую изощренность киберугроз, которые угрожают как личной, так и организационной безопасности.

#ParsedReport #CompletenessHigh
18-03-2026

Cato CTRL Threat Research: Vishing and Microsoft Teams Used to Deliver PhantomBackdoor

https://www.catonetworks.com/blog/cato-ctrl-vishing-and-microsoft-teams-used-deliver-phantombackdoor/

Report completeness: High

Actors/Campaigns:
Phantomcaptcha

Threats:
Phantombackdoor
Spear-phishing_technique
Clickfix_technique

Victims:
Consumer services, Non governmental organizations, Government

Industry:
Ngo, Government

Geo:
Ukraine, Italy

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.010, T1059.001, T1071.001, T1105, T1566, T1598

IOCs:
Domain: 2
Url: 1
IP: 2
Hash: 2

Soft:
Microsoft Teams

Algorithms:
sha256, xor, base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cato CTRL выявило новый метод атаки, который использует команды vishing и Microsoft для развертывания многоэтапного вредоносного ПО под названием PhantomBackdoor, ранее связанного с spear phishing в Украине. Атака включает в себя злоумышленника, выдающего себя за сотрудника службы поддержки, чтобы получить доступ через приглашение в команду и общий доступ к экрану, с последующим выполнением сценария PowerShell, который устанавливает управление на основе WebSocket. Вредоносное ПО проводит разведку и эксфильтрацию данных, используя тактику скрытности, чтобы избежать обнаружения, загружая полезные данные в память.
-----

Исследование Cato CTRL выявило новую технику атаки, включающую вишинг и использование Microsoft Teams для доставки многоэтапного вредоносного ПО, известного как PhantomBackdoor. Это вредоносное ПО, ранее связанное с операциями spear phishing, нацеленными на Украину, действует с помощью сложных методов доставки, которые используют доверие пользователей. В рассматриваемом инциденте злоумышленник выдавал себя за сотрудника службы поддержки, отправлял приглашение Microsoft Teams и использовал общий доступ к экрану, чтобы заставить жертву выполнить бэкдор.

Последовательность атаки начиналась с того, что жертва получала приглашение на встречу команд, что способствовало сеансу в режиме реального времени, в ходе которого злоумышленник получал доступ к устройству жертвы. Во время или сразу после этого сеанса был выполнен сценарий PowerShell, инициирующий поэтапную серию полезных данных, которая в конечном итоге установила управление на основе WebSocket (C2). Этот прогресс иллюстрирует отход от традиционных методов фишинга, демонстрируя, как в настоящее время нацелены инструменты совместной работы.

Как только произошло внедрение вредоносного ПО, ранние этапы включали в себя разведку и сбор данных, при этом извлеченная информация шифровалась с помощью XOR и кодировалась с помощью Base64 перед передачей в C2. Последующие этапы загружали следующую полезную нагрузку непосредственно в память, повышая скрытность от механизмов обнаружения на основе файлов и одновременно инициируя интерактивную связь C2. На заключительном этапе был установлен сеанс WebSocket с конечной точкой, контролируемой злоумышленником, что позволило обеспечить эффективный контроль и извлечение данных.

В ответ на этот меняющийся ландшафт угроз организациям крайне важно относиться к инструментам совместной работы как к потенциальным векторам атак. Рекомендации включают ограничение доступа внешних команд и функций совместного использования экрана, а также внедрение строгих политик использования PowerShell. Мониторинг активности PowerShell и применение контроля с наименьшими привилегиями могут значительно снизить риск подобных фишинговых атак. Такой детализированный подход не только помогает защититься от текущей тактики, но и подготавливает организации к будущим сложным киберугрозам, используя доверительные взаимодействия.

#ParsedReport #CompletenessMedium
18-03-2026

GlassWorm Sleeper Extensions Activate on Open VSX, Shift to GitHub-Hosted VSIX Malware

https://socket.dev/blog/glassworm-sleeper-extensions-activated-on-open-vsx

Report completeness: Medium

Threats:
Glassworm
Typosquatting_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Software development, Developer environments, Integrated development environments

Industry:
Financial

Geo:
Russia, Moscow, Asia, Russian

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 2
File: 21

Soft:
Open VSX, OpenVSX, Claude, macOS, Node.js

Crypto:
solana

Algorithms:
rc4, base64

Functions:
activate, deactivate, getSignaturesForAddress, setTimeout, c, GetBlock, x, setImmediate, setInterval

Languages:
python, javascript, typescript

Links:
https://github.com/posit-dev/positron

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GlassWorm использует передовые методы распространения через открытый VSX marketplace и размещенные на GitHub расширения Visual Studio, включающие более 20 вредоносных и спящих расширений, которые изначально должны казаться безобидными. Недавняя активация расширения lauracode.wrap-selected-code позволяет ему загружать троянскую полезную нагрузку VSIX с GitHub, используя постоянные механизмы и децентрализованную архитектуру C2 через блокчейн Solana. Эта кампания выявляет значительные уязвимости supply chain и использует социальную инженерию для имитации законных расширений, усложняя усилия по обнаружению и смягчению последствий.
-----

Было обнаружено, что вредоносная кампания GlassWorm использует сложный метод распространения вредоносных расширений через открытый VSX marketplace, а в последнее время - через размещенные на GitHub расширения Visual Studio (VSIX). Последний вектор кампании включал в себя более 20 недавно внедренных вредоносных расширений, а также еще 20 бездействующих "спящих" расширений, предназначенных для того, чтобы казаться безвредными при запуске. Изначально эти расширения часто имели безобидные функции, но позже были обновлены для доставки вредоносной полезной нагрузки.

Значительное обновление произошло в период с 17 по 18 марта 2026 года, когда были активированы ранее неактивные спящие расширения, в частности, расширение под названием lauracode.wrap-selected-code, которое было изменено для загрузки и установки вредоносного файла VSIX напрямую с GitHub. Это изменение усиливает тактику уклонения, применяемую злоумышленниками, поскольку они перенесли механизм доставки с Open VSX на инфраструктуру GitHub, что усложняет работу служб безопасности по удалению.

Вредоносный механизм загрузки встроен в JavaScript-код расширения lauracode.wrap-selected-code. После активации он запускает загрузчик, который перечисляет установленные интегрированные среды разработки (IDE) в системе жертвы, извлекает вредоносный VSIX по заранее определенной ссылке на выпуск GitHub и использует функции установки из командной строки для отправки полезной нагрузки в обнаруженные среды разработки. Рассматриваемая полезная нагрузка, помеченная как autoimport-smart-tool-2.5.8.vsix, была создана как троянская версия законного расширения Auto Import с запутанным вредоносным ПО, внедренным в скомпилированный вывод JavaScript, что делает традиционные проверки исходного кода неэффективными.

Ключевые операционные особенности вредоносного ПО включают функцию гео-ограждения, которая предотвращает выполнение в России, механизмы закрепления, которые предотвращают повторное выполнение в течение определенного периода восстановления, и использование блокчейна Solana в качестве сервера командования и контроля (C2) для доставки инструкций и обновлений вредоносному ПО. Такой децентрализованный подход делает его устойчивым к попыткам демонтажа, поскольку исключаются домены или IP-адреса, связанные с традиционными инфраструктурами C2.

В этой кампании преобладают тактики социальной инженерии, поскольку вредоносные расширения точно копируют законные аналоги, используя вводящий в заблуждение брендинг и методы поисковой оптимизации для повышения узнаваемости и доверия среди потенциальных жертв. Злоумышленники, стоящие за кампанией GlassWorm, продемонстрировали глубокое понимание как инструментов разработки, так и методов обхода вредоносного ПО, извлекая выгоду из уязвимостей supply chain и тенденций Выполнения с участием пользователей для эффективного распространения своего вредоносного ПО.

Кампания соответствует множеству методов, описанных в фреймворке MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователя и сложную тактику обфускации, иллюстрирующую широкие последствия для практики разработки программного обеспечения и безопасности экосистемы.

#ParsedReport #CompletenessMedium
18-03-2026

AI Wrote This Malware: Dissecting the Insides of a Vibe-Coded Malware Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ai-written-malware-vibe-coded-campaign/

Report completeness: Medium

Threats:
Salatstealer
Zephyrus
Panther-stealer
Zerotrace-stealer
Xmrig_miner
Coinminer
Trojan:win/phishing.ap
Trojan:win/dropper.at
Ethminer
Meshagent_tool
Lolminer

Victims:
Gaming, Finance, Technology, United states of america, United kingdom, India, Brazil, France, Canada, Australia, have more...

Industry:
Financial, Software_development, Entertainment

Geo:
America, United kingdom, Australia, France, Canada, India, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059.001, T1071.001, T1105, T1112, T1140, T1204.002, T1496, have more...

IOCs:
Domain: 1
File: 36
Url: 44
Coin: 8
Path: 2
Hash: 63

Soft:
OpenAI, Discord, Roblox, DeepSeek, UNIX, Windows Defender, Curl, Opera

Crypto:
ravencoin, monero, bitcoin

Algorithms:
zip, sha256

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года McAfee Labs выявила вредоносную кампанию с использованием кода, сгенерированного искусственным интеллектом, получившую название "Вайб-кодинг", которая включала распространение 443 вредоносных zip-файлов, замаскированных под законные приложения. Примечательно, что эти файлы содержали вредоносный WinUpdateHelper.dll который выполняет скрипты PowerShell с сервера управления, позволяя вредоносному ПО добывать криптовалюты и загружать дополнительные угрозы, такие как SalatStealer. В атаке использовалась структурированная, многоуровневая модель распространения через популярные CDN и файлообменные сайты, что указывает на низкие барьеры для киберпреступников.
-----

В январе 2026 года McAfee Labs обнаружила широко распространенную вредоносную кампанию, использующую код, сгенерированный искусственным интеллектом, явление, известное как "Вайб-кодинг". Эта кампания включала распространение 443 вредоносных zip-файлов, Маскировку под различные легальные программные приложения, включая инструменты, связанные с обработкой изображений с помощью искусственного интеллекта, биржевой торговлей, модификациями игр и бэкдорами вредоносного ПО. Значительное подмножество этих файлов содержало варианты вредоносного ПО WinUpdateHelper.dll , который присутствует в ландшафте угроз с декабря 2024 года, но теперь интегрировал методы вайб-кодинга для повышения эффективности.

Эти вредоносные zip-файлы распространялись через популярные сети доставки контента (CDN) и веб-сайты файлообменников, при этом было идентифицировано более 100 активных URL-адресов. Примерно 61 из них был размещен на Discord, а 17 - на SourceForge. При запуске доброкачественный исполняемый файл внутри zip-файла загружает вредоносную библиотеку DLL, которая затем вводит пользователей в заблуждение, заставляя устанавливать несвязанное программное обеспечение, одновременно тайно выполняя скрипт PowerShell с сервера управления (C2). Этот скрипт подвергает компрометации систему пользователя, используя ее ресурсы для операций майнинга или загрузки дополнительных полезных нагрузок, таких как SalatStealer или Mesh Agent.

Атака использует многоуровневую модель распространения, при этом первоначальные сценарии, созданные с помощью моделей искусственного интеллекта, указывают на низкие барьеры для создания вредоносного ПО, что повышает масштабируемость и доступность для киберпреступников. Было обнаружено, что вредоносные архитектуры генерируют жестко закодированные учетные данные биткойн-кошелька для отслеживания добытых валют, причем операции специально нацелены на криптовалюты, ориентированные на конфиденциальность, что может скрыть общее финансовое воздействие за пределами первоначальных следов.

Операционная структура вредоносного ПО использует двухэтапный процесс загрузки. Первоначально пользователь перенаправляется на вводящий в заблуждение веб-адрес после выполнения доброкачественного файла, во время которого вредоносная библиотека DLL подключается к серверу C2 для получения сценариев для дальнейшей эксплуатации. Затем эти скрипты PowerShell выполняют дополнительные команды для защиты вредоносного ПО от обнаружения, такие как манипулирование параметрами реестра Windows для исключения определенных папок из антивирусной проверки и удаление потенциально конкурирующих установок.

#ParsedReport #CompletenessHigh
18-03-2026

Technical Analysis of SnappyClient

https://www.zscaler.com/blogs/security-research/technical-analysis-snappyclient

Report completeness: High

Threats:
Snappyclient
Hijackloader
Amsi_bypass_technique
Heavens_gate_technique
Ghostpulse
Clickfix_technique
Sandbox_evasion_technique
Uac_bypass_technique
Hvnc_tool
Hvncbrowser_tool
Process_injection_technique

Victims:
Cryptocurrency, German speaking users

Industry:
Telco

TTPs:
Tactics: 9
Technics: 19

IOCs:
File: 11
Hash: 5
IP: 4

Soft:
Twitter, Chromium, 360Browser, Opera, Chrome, CocCoc, Firefox, Slimjet, Vivaldi, Waterfox

Wallets:
exodus_wallet, atomicwallet, coinbase, metamask, tronlink, bitcoincore, coinomi, electrum, ledgerlive, wassabi, have more...

Crypto:
ethereum, binance

Algorithms:
aes-256, fnv-1a, base64, sha1, crc-32, chacha20-poly1305, sha256, xor, chacha20, base58, ripemd-160

Functions:
exit

Win API:
LoadLibraryExW, AmsiScanBuffer, AmsiScanString, ShellExecuteW, MessageBox

Languages:
python

Platforms:
x64

Links:
have more...
https://github.com/ThreatLabz/tools/blob/main/snappyclient/Decrypted%20EventsDB.txt
https://github.com/ThreatLabz/tools/blob/main/snappyclient/decrypt\_db.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года ThreatLabZ от Zscaler обнаружил имплантат SnappyClient C2, поставляемый через HijackLoader, который представляет собой вредоносное ПО на языке C++, способное к краже данных, Регистрации нажатий клавиш и удаленному доступу. Он использует методы уклонения, такие как AMSI bypass и пользовательская зашифрованная связь с использованием ChaCha20-Poly1305. Вредоносное ПО извлекает конфигурации со своего сервера C2, обеспечивая такие функции, как кража паролей, управление процессами и эксфильтрация данных, в частности, нацеливаясь на информацию, связанную с криптовалютой.
-----

В декабре 2025 года ThreatLabZ от Zscaler обнаружил новый имплантат управления (C2), называемый SnappyClient, поставляемый через HijackLoader. SnappyClient - это вредоносное ПО на базе C++ с широкими возможностями, включая кражу данных, Регистрацию нажатий клавиш, захват скриншотов и обеспечение удаленного доступа к терминалу. Он использует несколько методов уклонения, разработанных для обхода системы безопасности конечных точек, таких как обход интерфейса сканирования вредоносных программ (AMSI), Heaven's Gate для прямых системных вызовов и транзакционное опустошение. SnappyClient извлекает два файла конфигурации со своего сервера C2, в которых подробно описываются действия и целевые приложения для кражи данных. Примечательно, что связь между SnappyClient и сервером C2 осуществляется по пользовательскому зашифрованному сетевому протоколу, использующему ChaCha20-Poly1305 для шифрования.

Жизненный цикл атаки начинается с вредоносной веб-страницы, которая выдает себя за известную телекоммуникационную компанию, соблазняя пользователей загрузить исполняемый файл HijackLoader. После выполнения он инициализирует SnappyClient, расшифровывая и загружая его в систему жертвы. Кроме того, были отмечены различные сообщения C2, включая сообщение от пользователя, раскрывающее отдельный метод вторжения, использующий ту же полезную нагрузку.

Что касается функциональности, конфигурация вредоносного ПО инкапсулирована в объект открытого текста JSON и включает ключи, которые управляют его работой, такие как директивы для хранения данных, таргетинг браузера и механизмы обнаружения запрещенных устройств. Команды SnappyClient позволяют ему фиксировать вводимые пользователем данные, делать снимки экрана и управлять процессами в системах компрометации.

Более того, вредоносное ПО облегчает эксфильтрацию с помощью различных средств, включая передачу данных по протоколу HTTP и сеансы передачи данных для передачи файлов. Заслуживающие внимания команды позволяют красть пароли браузера и файлы cookie, а также клонировать профили браузера. Командная структура поддерживает множество операционных возможностей, от выполнения файлов до установки обратных прокси-серверов для удаленного доступа через FTP и VNC.

SnappyClient также использует передовые методы закрепления устройств, используя записи реестра Windows и запланированные задачи. Конфигурация сети и обмен данными надежно зашифрованы, что обеспечивает безопасный канал для взаимодействий C2. Дизайн вредоносного ПО указывает на намерение совершать финансовые преступления, в частности, нацеленные на криптовалютные активы, о чем свидетельствуют зарегистрированные события, которые активируют сбор данных на основе ключевых слов, связанных с криптовалютными платформами.

Анализ выявляет потенциальные связи между SnappyClient и HijackLoader, отмечая их схожие структуры кодирования и шаблоны использования, что позволяет предположить общее происхождение или сотрудничество в их разработке. Полученные результаты подчеркивают продолжающуюся эволюцию фреймворков C2 и их применение в операциях по борьбе с киберпреступностью, при этом SnappyClient выделяется как сложный инструмент для киберэксплуатации.

#ParsedReport #CompletenessHigh
19-03-2026

Amazon threat intelligence teams identify Interlock ransomware campaign targeting enterprise firewalls

https://aws.amazon.com/ru/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/

Report completeness: High

Threats:
Interlock
Screenconnect_tool
Volatility_tool

Victims:
Education, Engineering, Architecture, Construction, Manufacturing, Industrial organizations, Healthcare providers, Government and public sector, Organizations running cisco secure firewall management center

Industry:
Education, Healthcare, Government

CVEs:
CVE-2026-20131 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1007, T1016, T1027, T1033, T1047, T1049, T1053.003, T1059, T1059.001, have more...

IOCs:
IP: 9
Url: 1
Domain: 13
Hash: 2

Soft:
Linux, Hyper-V, Chrome, Firefox, Internet Explorer, GlassFish, HAProxy, systemd, Active Directory

Algorithms:
zip, rc4, md5, aes-128

Languages:
powershell, javascript, java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Служба анализа угроз Amazon выявила продолжающуюся кампанию Interlock ransomware, использующую CVE-2026-20131, критическую уязвимость в программном обеспечении Cisco Secure Firewall Management Center, позволяющую неавторизованное Удаленное Выполнение Кода. Группа использует пользовательские Троянские программы удаленного доступа (RATs), сложные скрипты PowerShell для сетевой разведки и использует веб-оболочки, которые не поддаются обнаружению. Их инструментарий включает в себя уведомления о выкупе, требующие соблюдения конфиденциальности, и коммерческие инструменты двойного назначения для оперативной скрытности, наряду с расширенными возможностями для сбора учетных записей и повышения привилегий.
-----

Продолжающаяся кампания Interlock ransomware использует критическую уязвимость CVE-2026-20131 в программном обеспечении Cisco Secure Firewall Management Center. Эта уязвимость позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный Java-код с правами root. Interlock начал использовать эту уязвимость zero-day за 36 дней до ее публичного раскрытия 4 марта 2026 года. Неправильно сконфигурированный злоумышленниками сервер инфраструктуры позволил службам безопасности Amazon получить доступ к операционному инструментарию Interlock's, который включал в себя многоэтапные цепочки атак и пользовательские Троянские программы удаленного доступа (RATs). Атака начинается с HTTP-запросов, нацеленных на определенные пути в уязвимом программном обеспечении, с попыткой выполнить Java-код. Аналитики Amazon обманом заставили злоумышленников развернуть вредоносный двоичный файл ELF, раскрыв инструментарий Interlock's toolkit. Семейство Interlock ransomware было подтверждено с помощью множества операционных показателей. Кампания нацелена на такие секторы, как образование, строительство, здравоохранение и государственное управление. Сложный скрипт PowerShell используется для разведки, извлекая обширную сетевую информацию. Пользовательские RAT обеспечивают устойчивый контроль над зараженными системами, а запутанные бэкдоры облегчают обмен данными между управлениями. Злоумышленники развертывают скрипты Bash для создания одноразовых обратных HTTP-прокси для повышения анонимности. Веб-оболочки, находящиеся в постоянной памяти, избегают обнаружения, не записывая данные на диск. Interlock использует законные инструменты, такие как ConnectWise ScreenConnect, для смешивания вредоносных программ с авторизованным трафиком, сохраняя доступ, если один из путей нейтрализован. Интеграция Volatility предполагает расширенные операции с угрозами с возможностью сбора учетных записей. Certify используется для использования неправильных настроек в службах сертификации Active Directory для повышения привилегий и постоянного доступа.

#ParsedReport #CompletenessHigh
18-03-2026

From Invitation to Infection: How SILENTCONNECT DeliversScreenConnect

https://www.elastic.co/security-labs/silentconnect-delivers-screenconnect

Report completeness: High

Threats:
Silentconnect
Screenconnect_tool
Lolbin_technique
Uac_bypass_technique
Syncro_tool

Victims:
Organizations, Enterprise networks, Windows users

Industry:
Aerospace

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 13
Url: 4
Path: 3
Coin: 1
Domain: 2
Hash: 6
IP: 1

Soft:
Cloudflare Turnstile, Windows Defender, curl, Microsoft Defender, Windows service, Microsoft Teams, Windows Powershell

Algorithms:
xor, sha256

Functions:
NT, Replace, Chr

Win API:
NtAllocateVirtualMemory, NtWriteVirtualMemory, CoGetObject

Languages:
php, csharp, powershell

Platforms:
x64, x86

YARA: Found

Links:
https://gist.github.com/api0cradle/d4aaef39db0d845627d819b2b6b30512
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/execution\_suspicious\_windows\_script\_downloaded\_from\_the\_internet.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, code: 8