#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cato CTRL выявило новый метод атаки, который использует команды vishing и Microsoft для развертывания многоэтапного вредоносного ПО под названием PhantomBackdoor, ранее связанного с spear phishing в Украине. Атака включает в себя злоумышленника, выдающего себя за сотрудника службы поддержки, чтобы получить доступ через приглашение в команду и общий доступ к экрану, с последующим выполнением сценария PowerShell, который устанавливает управление на основе WebSocket. Вредоносное ПО проводит разведку и эксфильтрацию данных, используя тактику скрытности, чтобы избежать обнаружения, загружая полезные данные в память.
-----

Исследование Cato CTRL выявило новую технику атаки, включающую вишинг и использование Microsoft Teams для доставки многоэтапного вредоносного ПО, известного как PhantomBackdoor. Это вредоносное ПО, ранее связанное с операциями spear phishing, нацеленными на Украину, действует с помощью сложных методов доставки, которые используют доверие пользователей. В рассматриваемом инциденте злоумышленник выдавал себя за сотрудника службы поддержки, отправлял приглашение Microsoft Teams и использовал общий доступ к экрану, чтобы заставить жертву выполнить бэкдор.

Последовательность атаки начиналась с того, что жертва получала приглашение на встречу команд, что способствовало сеансу в режиме реального времени, в ходе которого злоумышленник получал доступ к устройству жертвы. Во время или сразу после этого сеанса был выполнен сценарий PowerShell, инициирующий поэтапную серию полезных данных, которая в конечном итоге установила управление на основе WebSocket (C2). Этот прогресс иллюстрирует отход от традиционных методов фишинга, демонстрируя, как в настоящее время нацелены инструменты совместной работы.

Как только произошло внедрение вредоносного ПО, ранние этапы включали в себя разведку и сбор данных, при этом извлеченная информация шифровалась с помощью XOR и кодировалась с помощью Base64 перед передачей в C2. Последующие этапы загружали следующую полезную нагрузку непосредственно в память, повышая скрытность от механизмов обнаружения на основе файлов и одновременно инициируя интерактивную связь C2. На заключительном этапе был установлен сеанс WebSocket с конечной точкой, контролируемой злоумышленником, что позволило обеспечить эффективный контроль и извлечение данных.

В ответ на этот меняющийся ландшафт угроз организациям крайне важно относиться к инструментам совместной работы как к потенциальным векторам атак. Рекомендации включают ограничение доступа внешних команд и функций совместного использования экрана, а также внедрение строгих политик использования PowerShell. Мониторинг активности PowerShell и применение контроля с наименьшими привилегиями могут значительно снизить риск подобных фишинговых атак. Такой детализированный подход не только помогает защититься от текущей тактики, но и подготавливает организации к будущим сложным киберугрозам, используя доверительные взаимодействия.

#ParsedReport #CompletenessMedium
18-03-2026

GlassWorm Sleeper Extensions Activate on Open VSX, Shift to GitHub-Hosted VSIX Malware

https://socket.dev/blog/glassworm-sleeper-extensions-activated-on-open-vsx

Report completeness: Medium

Threats:
Glassworm
Typosquatting_technique
Dead_drop_technique
Supply_chain_technique

Victims:
Software development, Developer environments, Integrated development environments

Industry:
Financial

Geo:
Russia, Moscow, Asia, Russian

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 2
File: 21

Soft:
Open VSX, OpenVSX, Claude, macOS, Node.js

Crypto:
solana

Algorithms:
rc4, base64

Functions:
activate, deactivate, getSignaturesForAddress, setTimeout, c, GetBlock, x, setImmediate, setInterval

Languages:
python, javascript, typescript

Links:
https://github.com/posit-dev/positron

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GlassWorm использует передовые методы распространения через открытый VSX marketplace и размещенные на GitHub расширения Visual Studio, включающие более 20 вредоносных и спящих расширений, которые изначально должны казаться безобидными. Недавняя активация расширения lauracode.wrap-selected-code позволяет ему загружать троянскую полезную нагрузку VSIX с GitHub, используя постоянные механизмы и децентрализованную архитектуру C2 через блокчейн Solana. Эта кампания выявляет значительные уязвимости supply chain и использует социальную инженерию для имитации законных расширений, усложняя усилия по обнаружению и смягчению последствий.
-----

Было обнаружено, что вредоносная кампания GlassWorm использует сложный метод распространения вредоносных расширений через открытый VSX marketplace, а в последнее время - через размещенные на GitHub расширения Visual Studio (VSIX). Последний вектор кампании включал в себя более 20 недавно внедренных вредоносных расширений, а также еще 20 бездействующих "спящих" расширений, предназначенных для того, чтобы казаться безвредными при запуске. Изначально эти расширения часто имели безобидные функции, но позже были обновлены для доставки вредоносной полезной нагрузки.

Значительное обновление произошло в период с 17 по 18 марта 2026 года, когда были активированы ранее неактивные спящие расширения, в частности, расширение под названием lauracode.wrap-selected-code, которое было изменено для загрузки и установки вредоносного файла VSIX напрямую с GitHub. Это изменение усиливает тактику уклонения, применяемую злоумышленниками, поскольку они перенесли механизм доставки с Open VSX на инфраструктуру GitHub, что усложняет работу служб безопасности по удалению.

Вредоносный механизм загрузки встроен в JavaScript-код расширения lauracode.wrap-selected-code. После активации он запускает загрузчик, который перечисляет установленные интегрированные среды разработки (IDE) в системе жертвы, извлекает вредоносный VSIX по заранее определенной ссылке на выпуск GitHub и использует функции установки из командной строки для отправки полезной нагрузки в обнаруженные среды разработки. Рассматриваемая полезная нагрузка, помеченная как autoimport-smart-tool-2.5.8.vsix, была создана как троянская версия законного расширения Auto Import с запутанным вредоносным ПО, внедренным в скомпилированный вывод JavaScript, что делает традиционные проверки исходного кода неэффективными.

Ключевые операционные особенности вредоносного ПО включают функцию гео-ограждения, которая предотвращает выполнение в России, механизмы закрепления, которые предотвращают повторное выполнение в течение определенного периода восстановления, и использование блокчейна Solana в качестве сервера командования и контроля (C2) для доставки инструкций и обновлений вредоносному ПО. Такой децентрализованный подход делает его устойчивым к попыткам демонтажа, поскольку исключаются домены или IP-адреса, связанные с традиционными инфраструктурами C2.

В этой кампании преобладают тактики социальной инженерии, поскольку вредоносные расширения точно копируют законные аналоги, используя вводящий в заблуждение брендинг и методы поисковой оптимизации для повышения узнаваемости и доверия среди потенциальных жертв. Злоумышленники, стоящие за кампанией GlassWorm, продемонстрировали глубокое понимание как инструментов разработки, так и методов обхода вредоносного ПО, извлекая выгоду из уязвимостей supply chain и тенденций Выполнения с участием пользователей для эффективного распространения своего вредоносного ПО.

Кампания соответствует множеству методов, описанных в фреймворке MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователя и сложную тактику обфускации, иллюстрирующую широкие последствия для практики разработки программного обеспечения и безопасности экосистемы.

#ParsedReport #CompletenessMedium
18-03-2026

AI Wrote This Malware: Dissecting the Insides of a Vibe-Coded Malware Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ai-written-malware-vibe-coded-campaign/

Report completeness: Medium

Threats:
Salatstealer
Zephyrus
Panther-stealer
Zerotrace-stealer
Xmrig_miner
Coinminer
Trojan:win/phishing.ap
Trojan:win/dropper.at
Ethminer
Meshagent_tool
Lolminer

Victims:
Gaming, Finance, Technology, United states of america, United kingdom, India, Brazil, France, Canada, Australia, have more...

Industry:
Financial, Software_development, Entertainment

Geo:
America, United kingdom, Australia, France, Canada, India, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059.001, T1071.001, T1105, T1112, T1140, T1204.002, T1496, have more...

IOCs:
Domain: 1
File: 36
Url: 44
Coin: 8
Path: 2
Hash: 63

Soft:
OpenAI, Discord, Roblox, DeepSeek, UNIX, Windows Defender, Curl, Opera

Crypto:
ravencoin, monero, bitcoin

Algorithms:
zip, sha256

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года McAfee Labs выявила вредоносную кампанию с использованием кода, сгенерированного искусственным интеллектом, получившую название "Вайб-кодинг", которая включала распространение 443 вредоносных zip-файлов, замаскированных под законные приложения. Примечательно, что эти файлы содержали вредоносный WinUpdateHelper.dll который выполняет скрипты PowerShell с сервера управления, позволяя вредоносному ПО добывать криптовалюты и загружать дополнительные угрозы, такие как SalatStealer. В атаке использовалась структурированная, многоуровневая модель распространения через популярные CDN и файлообменные сайты, что указывает на низкие барьеры для киберпреступников.
-----

В январе 2026 года McAfee Labs обнаружила широко распространенную вредоносную кампанию, использующую код, сгенерированный искусственным интеллектом, явление, известное как "Вайб-кодинг". Эта кампания включала распространение 443 вредоносных zip-файлов, Маскировку под различные легальные программные приложения, включая инструменты, связанные с обработкой изображений с помощью искусственного интеллекта, биржевой торговлей, модификациями игр и бэкдорами вредоносного ПО. Значительное подмножество этих файлов содержало варианты вредоносного ПО WinUpdateHelper.dll , который присутствует в ландшафте угроз с декабря 2024 года, но теперь интегрировал методы вайб-кодинга для повышения эффективности.

Эти вредоносные zip-файлы распространялись через популярные сети доставки контента (CDN) и веб-сайты файлообменников, при этом было идентифицировано более 100 активных URL-адресов. Примерно 61 из них был размещен на Discord, а 17 - на SourceForge. При запуске доброкачественный исполняемый файл внутри zip-файла загружает вредоносную библиотеку DLL, которая затем вводит пользователей в заблуждение, заставляя устанавливать несвязанное программное обеспечение, одновременно тайно выполняя скрипт PowerShell с сервера управления (C2). Этот скрипт подвергает компрометации систему пользователя, используя ее ресурсы для операций майнинга или загрузки дополнительных полезных нагрузок, таких как SalatStealer или Mesh Agent.

Атака использует многоуровневую модель распространения, при этом первоначальные сценарии, созданные с помощью моделей искусственного интеллекта, указывают на низкие барьеры для создания вредоносного ПО, что повышает масштабируемость и доступность для киберпреступников. Было обнаружено, что вредоносные архитектуры генерируют жестко закодированные учетные данные биткойн-кошелька для отслеживания добытых валют, причем операции специально нацелены на криптовалюты, ориентированные на конфиденциальность, что может скрыть общее финансовое воздействие за пределами первоначальных следов.

Операционная структура вредоносного ПО использует двухэтапный процесс загрузки. Первоначально пользователь перенаправляется на вводящий в заблуждение веб-адрес после выполнения доброкачественного файла, во время которого вредоносная библиотека DLL подключается к серверу C2 для получения сценариев для дальнейшей эксплуатации. Затем эти скрипты PowerShell выполняют дополнительные команды для защиты вредоносного ПО от обнаружения, такие как манипулирование параметрами реестра Windows для исключения определенных папок из антивирусной проверки и удаление потенциально конкурирующих установок.

#ParsedReport #CompletenessHigh
18-03-2026

Technical Analysis of SnappyClient

https://www.zscaler.com/blogs/security-research/technical-analysis-snappyclient

Report completeness: High

Threats:
Snappyclient
Hijackloader
Amsi_bypass_technique
Heavens_gate_technique
Ghostpulse
Clickfix_technique
Sandbox_evasion_technique
Uac_bypass_technique
Hvnc_tool
Hvncbrowser_tool
Process_injection_technique

Victims:
Cryptocurrency, German speaking users

Industry:
Telco

TTPs:
Tactics: 9
Technics: 19

IOCs:
File: 11
Hash: 5
IP: 4

Soft:
Twitter, Chromium, 360Browser, Opera, Chrome, CocCoc, Firefox, Slimjet, Vivaldi, Waterfox

Wallets:
exodus_wallet, atomicwallet, coinbase, metamask, tronlink, bitcoincore, coinomi, electrum, ledgerlive, wassabi, have more...

Crypto:
ethereum, binance

Algorithms:
aes-256, fnv-1a, base64, sha1, crc-32, chacha20-poly1305, sha256, xor, chacha20, base58, ripemd-160

Functions:
exit

Win API:
LoadLibraryExW, AmsiScanBuffer, AmsiScanString, ShellExecuteW, MessageBox

Languages:
python

Platforms:
x64

Links:
have more...
https://github.com/ThreatLabz/tools/blob/main/snappyclient/Decrypted%20EventsDB.txt
https://github.com/ThreatLabz/tools/blob/main/snappyclient/decrypt\_db.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года ThreatLabZ от Zscaler обнаружил имплантат SnappyClient C2, поставляемый через HijackLoader, который представляет собой вредоносное ПО на языке C++, способное к краже данных, Регистрации нажатий клавиш и удаленному доступу. Он использует методы уклонения, такие как AMSI bypass и пользовательская зашифрованная связь с использованием ChaCha20-Poly1305. Вредоносное ПО извлекает конфигурации со своего сервера C2, обеспечивая такие функции, как кража паролей, управление процессами и эксфильтрация данных, в частности, нацеливаясь на информацию, связанную с криптовалютой.
-----

В декабре 2025 года ThreatLabZ от Zscaler обнаружил новый имплантат управления (C2), называемый SnappyClient, поставляемый через HijackLoader. SnappyClient - это вредоносное ПО на базе C++ с широкими возможностями, включая кражу данных, Регистрацию нажатий клавиш, захват скриншотов и обеспечение удаленного доступа к терминалу. Он использует несколько методов уклонения, разработанных для обхода системы безопасности конечных точек, таких как обход интерфейса сканирования вредоносных программ (AMSI), Heaven's Gate для прямых системных вызовов и транзакционное опустошение. SnappyClient извлекает два файла конфигурации со своего сервера C2, в которых подробно описываются действия и целевые приложения для кражи данных. Примечательно, что связь между SnappyClient и сервером C2 осуществляется по пользовательскому зашифрованному сетевому протоколу, использующему ChaCha20-Poly1305 для шифрования.

Жизненный цикл атаки начинается с вредоносной веб-страницы, которая выдает себя за известную телекоммуникационную компанию, соблазняя пользователей загрузить исполняемый файл HijackLoader. После выполнения он инициализирует SnappyClient, расшифровывая и загружая его в систему жертвы. Кроме того, были отмечены различные сообщения C2, включая сообщение от пользователя, раскрывающее отдельный метод вторжения, использующий ту же полезную нагрузку.

Что касается функциональности, конфигурация вредоносного ПО инкапсулирована в объект открытого текста JSON и включает ключи, которые управляют его работой, такие как директивы для хранения данных, таргетинг браузера и механизмы обнаружения запрещенных устройств. Команды SnappyClient позволяют ему фиксировать вводимые пользователем данные, делать снимки экрана и управлять процессами в системах компрометации.

Более того, вредоносное ПО облегчает эксфильтрацию с помощью различных средств, включая передачу данных по протоколу HTTP и сеансы передачи данных для передачи файлов. Заслуживающие внимания команды позволяют красть пароли браузера и файлы cookie, а также клонировать профили браузера. Командная структура поддерживает множество операционных возможностей, от выполнения файлов до установки обратных прокси-серверов для удаленного доступа через FTP и VNC.

SnappyClient также использует передовые методы закрепления устройств, используя записи реестра Windows и запланированные задачи. Конфигурация сети и обмен данными надежно зашифрованы, что обеспечивает безопасный канал для взаимодействий C2. Дизайн вредоносного ПО указывает на намерение совершать финансовые преступления, в частности, нацеленные на криптовалютные активы, о чем свидетельствуют зарегистрированные события, которые активируют сбор данных на основе ключевых слов, связанных с криптовалютными платформами.

Анализ выявляет потенциальные связи между SnappyClient и HijackLoader, отмечая их схожие структуры кодирования и шаблоны использования, что позволяет предположить общее происхождение или сотрудничество в их разработке. Полученные результаты подчеркивают продолжающуюся эволюцию фреймворков C2 и их применение в операциях по борьбе с киберпреступностью, при этом SnappyClient выделяется как сложный инструмент для киберэксплуатации.

#ParsedReport #CompletenessHigh
19-03-2026

Amazon threat intelligence teams identify Interlock ransomware campaign targeting enterprise firewalls

https://aws.amazon.com/ru/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/

Report completeness: High

Threats:
Interlock
Screenconnect_tool
Volatility_tool

Victims:
Education, Engineering, Architecture, Construction, Manufacturing, Industrial organizations, Healthcare providers, Government and public sector, Organizations running cisco secure firewall management center

Industry:
Education, Healthcare, Government

CVEs:
CVE-2026-20131 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1007, T1016, T1027, T1033, T1047, T1049, T1053.003, T1059, T1059.001, have more...

IOCs:
IP: 9
Url: 1
Domain: 13
Hash: 2

Soft:
Linux, Hyper-V, Chrome, Firefox, Internet Explorer, GlassFish, HAProxy, systemd, Active Directory

Algorithms:
zip, rc4, md5, aes-128

Languages:
powershell, javascript, java

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Служба анализа угроз Amazon выявила продолжающуюся кампанию Interlock ransomware, использующую CVE-2026-20131, критическую уязвимость в программном обеспечении Cisco Secure Firewall Management Center, позволяющую неавторизованное Удаленное Выполнение Кода. Группа использует пользовательские Троянские программы удаленного доступа (RATs), сложные скрипты PowerShell для сетевой разведки и использует веб-оболочки, которые не поддаются обнаружению. Их инструментарий включает в себя уведомления о выкупе, требующие соблюдения конфиденциальности, и коммерческие инструменты двойного назначения для оперативной скрытности, наряду с расширенными возможностями для сбора учетных записей и повышения привилегий.
-----

Продолжающаяся кампания Interlock ransomware использует критическую уязвимость CVE-2026-20131 в программном обеспечении Cisco Secure Firewall Management Center. Эта уязвимость позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный Java-код с правами root. Interlock начал использовать эту уязвимость zero-day за 36 дней до ее публичного раскрытия 4 марта 2026 года. Неправильно сконфигурированный злоумышленниками сервер инфраструктуры позволил службам безопасности Amazon получить доступ к операционному инструментарию Interlock's, который включал в себя многоэтапные цепочки атак и пользовательские Троянские программы удаленного доступа (RATs). Атака начинается с HTTP-запросов, нацеленных на определенные пути в уязвимом программном обеспечении, с попыткой выполнить Java-код. Аналитики Amazon обманом заставили злоумышленников развернуть вредоносный двоичный файл ELF, раскрыв инструментарий Interlock's toolkit. Семейство Interlock ransomware было подтверждено с помощью множества операционных показателей. Кампания нацелена на такие секторы, как образование, строительство, здравоохранение и государственное управление. Сложный скрипт PowerShell используется для разведки, извлекая обширную сетевую информацию. Пользовательские RAT обеспечивают устойчивый контроль над зараженными системами, а запутанные бэкдоры облегчают обмен данными между управлениями. Злоумышленники развертывают скрипты Bash для создания одноразовых обратных HTTP-прокси для повышения анонимности. Веб-оболочки, находящиеся в постоянной памяти, избегают обнаружения, не записывая данные на диск. Interlock использует законные инструменты, такие как ConnectWise ScreenConnect, для смешивания вредоносных программ с авторизованным трафиком, сохраняя доступ, если один из путей нейтрализован. Интеграция Volatility предполагает расширенные операции с угрозами с возможностью сбора учетных записей. Certify используется для использования неправильных настроек в службах сертификации Active Directory для повышения привилегий и постоянного доступа.

#ParsedReport #CompletenessHigh
18-03-2026

From Invitation to Infection: How SILENTCONNECT DeliversScreenConnect

https://www.elastic.co/security-labs/silentconnect-delivers-screenconnect

Report completeness: High

Threats:
Silentconnect
Screenconnect_tool
Lolbin_technique
Uac_bypass_technique
Syncro_tool

Victims:
Organizations, Enterprise networks, Windows users

Industry:
Aerospace

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 13
Url: 4
Path: 3
Coin: 1
Domain: 2
Hash: 6
IP: 1

Soft:
Cloudflare Turnstile, Windows Defender, curl, Microsoft Defender, Windows service, Microsoft Teams, Windows Powershell

Algorithms:
xor, sha256

Functions:
NT, Replace, Chr

Win API:
NtAllocateVirtualMemory, NtWriteVirtualMemory, CoGetObject

Languages:
php, csharp, powershell

Platforms:
x64, x86

YARA: Found

Links:
https://gist.github.com/api0cradle/d4aaef39db0d845627d819b2b6b30512
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/execution\_suspicious\_windows\_script\_downloaded\_from\_the\_internet.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 6, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SILENTCONNECT - это многоступенчатый загрузчик, который незаметно устанавливает инструмент удаленного мониторинга и управления ScreenConnect в системах компрометации, используя передовые технологии, такие как VBScript, выполнение в PowerShell в памяти и Маскировку PEB. Атака начинается с того, что пользователи загружают файл VBScript, который извлекает полезную нагрузку C# и использует обфускацию, чтобы избежать обнаружения. Это вредоносное ПО использует законные сервисы для подключения к серверу управления, что подчеркивает растущую тенденцию интеграции инструментов RMM в операции киберпреступников.
-----

SILENTCONNECT - это сложный многоступенчатый загрузчик, который облегчает бесшумное развертывание инструмента удаленного мониторинга и управления ScreenConnect (RMM) в системах компрометации. Это вредоносное ПО использует ряд передовых методов, включая VBScript, выполнение PowerShell в памяти и Маскировку блока среды процесса (PEB), что делает его особенно скрытным и эффективным.

Процесс заражения начинается, когда пользователей обманом заставляют взаимодействовать со страницей Cloudflare Turnstile CAPTCHA, что приводит их к загрузке файла VBScript с надписью "E-INVITE.vbs". После выполнения этот скрипт использует PowerShell для извлечения полезной нагрузки C# с Google диска. Использование постоянной разворачивающейся обфускации скрывает массив байтов полезной нагрузки, который затем компилируется и выполняется в памяти. Этот метод выполнения позволяет избежать распространенных точек мониторинга безопасности, используя двоичные файлы living-off-the-land и вызовы NT API, а не традиционные API, которые чаще отслеживаются.

Центральным элементом функциональности SILENTCONNECT's является его способность устанавливать ScreenConnect без ведома пользователя. После загрузки вредоносной полезной нагрузки вредоносное ПО выделяет исполняемую память и использует шелл-код для управления PEB, предоставляя ему возможность перемещаться и изменять список загруженных модулей, чтобы скрыть свое присутствие. Кроме того, вредоносное ПО реализует эффективный обход контроля учетных записей пользователей (UAC) с помощью хитроумной запутанной команды, которая позволяет ему получить повышенные привилегии во время установки.

После установки ScreenConnect, который сохраняется как Служба Windows, вредоносное ПО снова подключается к серверу управления. Выбор в пользу использования авторитетных хостинговых сервисов, таких как Cloudflare и Google Drive, помогает обойти традиционные меры безопасности, что делает обнаружение еще более сложным для решений по обеспечению безопасности.

Исследование выявило заметную тенденцию, когда злоумышленники все чаще интегрируют в свои арсеналы законные инструменты RMM, используя их под видом доверенных приложений, тем самым используя слабые места в организационной защите. Считается, что кампании, распространяющие SILENTCONNECT, в первую очередь инициируются с помощью фишинга электронных писем, при этом определенные URI часто используются повторно на различных платформах, что указывает на потенциальный недостаток операционной безопасности со стороны злоумышленника.

Последствия такого вредоносного ПО значительны, что побуждает организации активно отслеживать несанкционированное использование RMM и пересматривать свои меры безопасности для защиты от этих все более изощренных угроз. По мере распространения законных инструментов RMM растет и риск их использования киберпреступниками в качестве оружия. Понимание методов, используемых SILENTCONNECT, может улучшить стратегии обнаружения и реагирования на аналогичные угрозы в будущем.

#ParsedReport #CompletenessLow
19-03-2026

APT28: Geofencing as Targeting Signal (CVE-2026-21509 Attack Activity)

https://www.ctfiot.com/302421.html

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Geo:
Poland, Ukraine, Pol, Romania, Slovenia, Czech, Moldova, Russian, Romanian

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


ChatGPT TTPs:
do not use without manual check
T1203, T1480

IOCs:
File: 4
Hash: 1

Soft:
Internet Explorer, WeChat

Functions:
Navigate

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4