#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается сложная многоэтапная атака группы вымогателей TeamPCP в контейнерных средах, демонстрирующая их методы - от выполнения вредоносных команд в контейнерах до установления закрепления и проведения разведки в кластерах Kubernetes. Первоначально группа получает интерактивное выполнение без записи файлов, а позже использует тактику перемещения внутри компании наряду с повышением привилегий, что указывает на их целенаправленный подход. Телеметрия с помощью инструмента Elastic D4C фиксирует закономерности этой последовательности атак, выделяя различные сомнительные поведения и действия, указывающие на "цепочку атак с криптоджекингом контейнеров"..
-----

В статье приводится подробный анализ многоэтапной атаки, выполненной группой программ-вымогателей TeamPCP в контейнерной среде, особое внимание уделяется тому, как инструмент Elastic D4C фиксирует и представляет телеметрию на различных этапах атаки. Операция иллюстрирует, как группа проходит весь жизненный цикл атаки, от первоначального выполнения до закрепления и, в конечном счете, достижения своих целей, которые могут включать криптоджекинг или внедрение программ-вымогателей.

Изначально злоумышленники добиваются интерактивного выполнения кода внутри контейнера без записи каких-либо файлов на диск, тем самым сводя к минимуму обнаруживаемые артефакты. Они используют такие команды, как curl, для загрузки скриптов и запуска интерпретатора оболочки, быстро выполняя вредоносные команды и пытаясь устранить конкурирующие процессы. Такое поведение, в частности целенаправленное отключение определенных процессов интеллектуального анализа данных, указывает на целенаправленную стратегию атаки и вызывает тревогу в системе телеметрии во время выполнения, которая фиксирует подозрительный характер вызова команд.

По мере продвижения атаки группа TeamPCP использует методы перемещения внутри компании, используя сценарий с именем kube.py , используя токены учетной записи службы для разведки в кластере Kubernetes. Этот этап отражает значительное повышение привилегий и доступа, поскольку злоумышленники методично собирают информацию об окружающей среде. Кроме того, попытка группы установить закрепление с помощью Служб systemd внутри контейнера представляет собой аномалию, поскольку такие действия обычно подразумевают намерения повлиять на хост-систему и находиться за пределами обычных жизненных циклов контейнера.

Последующие этапы включают развертывание средств туннелирования для поддержания постоянного подключения и выполнение закодированных полезных нагрузок для сокрытия злонамеренных намерений. Злоумышленники также проводят разведку, перечисляя ресурсы Kubernetes и используя уязвимые веб—серверы для получения доступа к оболочке - каждое из этих действий свидетельствует об их оперативном масштабе и изощренности.

Правила телеметрии D4C на протяжении всего процесса атаки эффективно обнаруживают целый ряд поведений, таких как необычное выполнение команд, исходящих с веб-серверов, установка необходимых инструментов и последовательные манипуляции с правами доступа к файлам. Такой всесторонний охват позволяет аналитикам безопасности распознавать закономерности, связанные с различными этапами операций TeamPCP's.

В заключении, связывающем воедино различные потоки телеметрии, анализ подчеркивает, что использование как журналов времени выполнения контейнера, так и журналов аудита Kubernetes имеет решающее значение для построения всеобъемлющего описания атаки. Обобщение предупреждений выявляет четкую последовательность событий, ведущих к "цепочке атак с криптоджекингом контейнеров", предоставляя защитникам последовательный обзор и полезную информацию о внутриконтейнерных угрозах и поведении, указывающих на действия по эксплуатации с высоким риском.

#ParsedReport #CompletenessLow
19-03-2026

MacSync Stealer: SEO Poisoning and ClickFix-Based macOS Malware Delivery Chain

https://www.cloudsek.com/blog/macsync-stealer-seo-poisoning-and-clickfix-based-macos-malware-delivery-chain

Report completeness: Low

Threats:
Macc_stealer
Seo_poisoning_technique
Clickfix_technique

Victims:
Macos users, Cryptocurrency wallet users, Ledger live users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.002, T1059.004, T1071.001, T1083, T1105, T1204.004, T1518, T1552.004, have more...

IOCs:
File: 6
Coin: 4

Soft:
macOS, Ledger Live, curl, Mac OS, openssl, Chrome, Opera, Firefox, IndexedDB, Chromium, have more...

Wallets:
electrum, coinomi, wassabi, bitcoincore

Algorithms:
zip, gzip, base64

Win API:
Arc

Languages:
applescript

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи обнаружили сложную цепочку доставки вредоносного ПО для macOS под названием MacSync Stealer, которая использует SEO poisoning и социальную инженерию в стиле ClickFix style для распространения полезной нагрузки, предназначенной для кражи информации. Этот многоэтапный загрузчик вредоносного ПО активируется с помощью вредоносной команды терминала и в конечном итоге развертывает средство кражи информации на основе AppleScript, которое собирает конфиденциальные данные, включая учетные данные браузера, данные криптовалютного кошелька и различные пользовательские документы для эксфильтрации на сервер управления. Вредоносное ПО также нацелено на криптовалютные приложения, в частности Ledger Live, и использует фрагментированные HTTP-запросы PUT для надежной кражи данных.
-----

Исследователи выявили сложную цепочку доставки вредоносного ПО для macOS под названием MacSync Stealer, которая использует SEO poisoning и социальную инженерию в стиле ClickFix style для распространения полезной нагрузки, предназначенной для кражи информации. Операция специально нацелена на пользователей, которые хотят загрузить PDF-версии популярных книг, перенаправляя их на мошенническую страницу подтверждения, которая запрашивает выполнение вредоносной команды терминала. Эта команда активирует многоступенчатый загрузчик вредоносного ПО, предназначенный для получения дополнительных вредоносных полезных данных с серверов, контролируемых злоумышленниками.

На заключительном этапе вредоносное ПО внедряет средство кражи информации на основе AppleScript, которое способно собирать конфиденциальные данные, такие как учетные данные браузера, криптовалютные кошельки, SSH-ключи, файлы конфигурации облака и другие конфиденциальные пользовательские документы. Вредоносное ПО сжимает эту информацию и отправляет ее на сервер управления, тем самым способствуя краже данных.

Процесс заражения начинается с использования тактики SEO, чтобы ввести пользователей в заблуждение и заставить их переходить по вредоносным результатам поиска. Это согласуется с тактикой социальной инженерии ClickFix, когда злоумышленники создают видимость решения законных проблем, чтобы обманом заставить жертв выполнять вредоносные команды. Основные действия вредоносного ПО включают получение команд с удаленного сервера, их выполнение с помощью AppleScript и скрытую фильтрацию данных.

Вредоносное ПО сканирует различные профили браузеров как на базе Chromium, так и на базе Gecko, специально нацеливаясь на файлы данных, связанные с расширениями криптовалютных кошельков. Он идентифицирует конкретные идентификаторы расширений, которые соответствуют криптокошелькам, и собирает их локальное хранилище расширений, а также данные IndexedDB. Кроме того, вредоносное ПО извлекает конфиденциальные файлы с рабочего стола пользователя, каталогов документов и загрузок, уделяя особое внимание файлам с определенными расширениями, включая .pdf, .docx и .бумажник.

Эксфильтрация данных осуществляется с помощью фрагментированных запросов HTTP PUT для обеспечения надежной передачи больших объемов информации. Вредоносное ПО также проверяет наличие Ledger Live, популярного криптовалютного приложения, и в случае обнаружения загружает файлы из мест, контролируемых злоумышленниками, тем самым, возможно, манипулируя транзакциями и получая постоянный доступ к финансовым ресурсам.

Эффективность этой кампании подчеркивает риски, связанные с простой тактикой социальной инженерии в сочетании с систематической доставкой вредоносного ПО, что потенциально может привести к полной компрометации системы в macOS. Примечательно, что вся выявленная вредоносная инфраструктура остается активной, что указывает на сохраняющуюся угрозу, к которой следует подходить с осторожностью и не запускать в неконтролируемых средах.

#ParsedReport #CompletenessMedium
20-03-2026

Attack case against MS-SQL server installing ICE Cloud scanner (Larva-26002)

https://asec.ahnlab.com/ko/92987/

Report completeness: Medium

Actors/Campaigns:
Larva-26002

Threats:
Ice_cloud_tool
Mimic_ransomware
Trigona
Anydesk_tool
Teramind_tool
Bitsadmin_tool

Victims:
Ms sql servers

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1046, T1059.001, T1090, T1105, T1110.001, T1197, T1219

IOCs:
File: 4
Path: 1
Url: 1
IP: 1
Domain: 1

Soft:
MS-SQL, Curl, mssql

Algorithms:
md5

Win Services:
sqlservr

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник Larva-26002 нацелен на неуправляемые серверы MS-SQL, используя уязвимости в программе массового копирования (BCP) для развертывания различных программ-вымогателей, включая Trigona и Mimic. Их атаки обычно начинаются с попыток брутфорса доступа к этим серверам, за которыми следуют манипуляции с утилитой BCP для распространения вредоносного ПО. Недавно они использовали вредоносное ПО на языке Go под названием ICE Cloud Client, которое действует как загрузчик для получения дополнительных инструментов и сканирования уязвимых серверов MS-SQL, используя жестко закодированные учетные данные.
-----

Злоумышленник Larva-26002 активно атаковал неуправляемые серверы MS-SQL, используя уязвимости, связанные с утилитой программы массового копирования (BCP). Эта группа известна тем, что внедряет различные разновидности программ-вымогателей, включая Trigona и Mimic, и со временем развила свою тактику и инструменты. В 2026 году они, в частности, внедрили написанное на языке Go вредоносное ПО под названием ICE Cloud Client, сканер, предназначенный для облегчения дальнейшей вредоносной деятельности.

Атаки обычно начинаются с брутфорса или попыток использования словаря на общедоступных серверах MS-SQL. Как только доступ получен, злоумышленник использует утилиту BCP— bcp.exe — для манипулирования и распространения вредоносных полезных данных. Этот метод включает хранение вредоносного ПО в определенных таблицах базы данных, из которых оно позже экспортируется для создания локально исполняемых файлов. Структуры команд с 2024 года обеспечивают согласованность, используя определенные ключевые слова в процессе генерации полезной нагрузки.

Функциональность ICE Cloud критически важна для фреймворка атак, функционирующего как загрузчик, который извлекает вредоносное ПО из сканера после взаимодействия с сервером командования и контроля (C&C). Загруженный клиент ICE Cloud использует случайное имя для имитации законных приложений при подготовке к сканированию целевых серверов MS-SQL на наличие уязвимостей. Интересно, что в двоичном файле представлены строки на турецком языке и смайлики, потенциально связанные с генеративным искусственным интеллектом, что указывает на сложный уровень развития. Операции сканирования в основном направлены на попытку аутентификации на серверах MS-SQL с использованием жестко закодированных учетных данных, результаты которых отправляются обратно на сервер C&C.

Стратегии смягчения последствий имеют первостепенное значение для организаций, управляющих базами данных MS-SQL. Предотвращение несанкционированного доступа может быть достигнуто за счет внедрения сложных паролей, регулярной смены паролей и поддержания обновленных решений безопасности. Более того, использование брандмауэров и других мер безопасности имеет решающее значение для баз данных, подключенных к внешним сетям, поскольку пренебрежение этими протоколами может привести к постоянным уязвимостям и продолжающейся эксплуатации злоумышленниками, такими как Larva-26002.

#ParsedReport #CompletenessLow
20-03-2026

CVE-2025-32975: Arctic Wolf Observes Exploitation of Quest KACE Systems Management Appliance

https://arcticwolf.com/resources/blog-uk/cve-2025-32975-arctic-wolf-observes-exploitation-of-quest-kace-systems-management-appliance/

Report completeness: Low

Threats:
Quest_kace_tool
Credential_harvesting_technique
Mimikatz_tool

Victims:
Quest kace systems management appliance users, Customer environments

CVEs:
CVE-2025-32976 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32978 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32977 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32975 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 1
File: 4
Command: 1

Soft:
curl

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Количество вредоносных действий возросло из-за использования CVE-2025-32975, критической уязвимости для обхода аутентификации в непатентованных экземплярах устройства управления системами Quest KACE. Злоумышленники могут выдавать себя за пользователей для административного захвата, используя такие методы, как удаленное выполнение команд через KPluginRunProcess, полезные нагрузки в кодировке Base64 для обмена данными управления и кражи учетных данных с помощью таких инструментов, как Mimikatz. Закрепление поддерживается путем создания учетной записи администратора, выполнения скрипта PowerShell и внесения изменений в реестр.
-----

Arctic Wolf сообщила о всплеске вредоносных действий, связанных с использованием CVE-2025-32975, критической уязвимости для обхода аутентификации, затрагивающей непатентованные экземпляры устройства управления системами Quest KACE (SMA), которые были общедоступны в Интернете. Эта уязвимость позволяет злоумышленникам выдавать себя за законных пользователей, облегчая полный административный захват. Ошибка была исправлена в мае 2025 года, но многие системы остаются не обновленными.

Первоначальный доступ к этим угрозам, вероятно, был получен путем использования функциональности KPluginRunProcess, позволяющей злоумышленникам выполнять удаленные команды после получения административного доступа. Анализ журналов показал использование полезных данных в кодировке Base64 и файлов, загруженных с определенного IP-адреса (216.126.225.156), устанавливающих канал связи для управления.

Оказавшись внутри системы, злоумышленники продемонстрировали закрепление, создав дополнительные учетные записи администратора с помощью процесса Quest KACE. Затем эти учетные записи были добавлены в административные группы, что усилило их контроль над устройством. Злоумышленники также выполняли скрипты PowerShell с обходом политики выполнения, запуская их в скрытом контексте для манипулирования системными конфигурациями для постоянного доступа. Кроме того, были замечены изменения в реестре, вероятно, направленные на сохранение доступа, даже если первоначальные точки опоры были нарушены.

Credential Harvesting был еще одной тактикой, применяемой злоумышленниками, использующими такие инструменты, как Mimikatz, для получения конфиденциальной информации. Это включало в себя вариант, замаскированный под asd.exe чтобы избежать обнаружения.

Чтобы снизить эти риски, организациям, использующим Quest KACE SMA, крайне важно обновиться до указанных исправленных версий, поскольку все версии, указанные ниже указанных исправлений, уязвимы. Более того, Arctic Wolf подчеркивает важность того, чтобы экземпляры KACE SMA не были доступны в общедоступном Интернете, рекомендуя обеспечить любой необходимый удаленный доступ с помощью VPN или брандмауэра.

#ParsedReport #CompletenessMedium
19-03-2026

VoidStealer: Debugging Chrome to Steal Its Secrets

https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass

Report completeness: Medium

Threats:
Voidstealer
Chromelevator_tool
Process_injection_technique
Elevationkatz_tool
Cookiekatz_tool
Credentialkatz_tool

IOCs:
File: 5
Path: 1
Hash: 1

Soft:
Chrome, Google Chrome, Chromium

Algorithms:
aes-gcm

Win API:
ReadProcessMemory, CryptUnprotectData, CryptProtectData, CryptProtectMemory, CryptUnprotectMemory, CreateProcessW, DebugActiveProcess, WaitForDebugEvent, NtGetNextThread, SetThreadContext, have more...

Languages:
python

Links:
have more...
https://github.com/chromium/chromium/blob/main/chrome/elevation\_service/elevator.cc#L229-L239
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidStealer - это продвинутый стиллер для обработки информации, использующий новую технологию обхода шифрования с привязкой к приложению на основе отладки (ABE), которая использует точки останова Аппаратного обеспечения для извлечения ключа v20_master_key из памяти браузеров Chrome и Edge без необходимости повышения привилегий или внедрения кода, что повышает его скрытность. В нем используется двусторонний подход, преимущественно с использованием функции WinAPI ReadProcessMemory с приложением отладчика для скрытого доступа, что сводит к минимуму обнаружение по сравнению с традиционными методами. Работа вредоносного ПО включает в себя запуск браузера в приостановленном состоянии и прослушивание событий отладки для целевых адресов памяти, связанных с криптографическими операциями, для эффективного извлечения конфиденциальных ключей.
-----

VoidStealer знаменует собой значительную эволюцию в области стиллеров информации, будучи первым, кто, как было замечено в дикой природе, использует новую технологию обхода шифрования с привязкой к приложению на основе отладчика (ABE). Этот метод использует точки останова Аппаратного обеспечения для прямого извлечения ключа v20_master_key из памяти веб-браузеров, специально предназначенных для Chrome и Edge. Реализация этого метода не требует повышения привилегий или внедрения кода, что повышает его скрытность и позволяет злоумышленникам уклоняться от обнаружения более эффективно, чем традиционные методы.

Появление этого метода последовало за внедрением Google ABE в Chrome 127 в июле 2024 года, направленным на защиту конфиденциальных данных браузера. В то время как ABE поднял планку защиты данных, это также стимулировало разработку методов обхода среди злоумышленников. Авторы VoidStealer's широко использовали информацию из проекта ElevationKatz, что указывает на то, что существующие решения могут быть дополнительно адаптированы для вредоносных целей.

VoidStealer использует два метода обхода ABE. Традиционный метод включает в себя ввод кода в процесс браузера и использование функции IElevator::DecryptData через COM-интерфейс. Однако этот устоявшийся метод, скорее всего, будет генерировать предупреждения от средств безопасности из-за его шумовой природы. Напротив, более новый метод, который преимущественно использует вредоносное ПО, предполагает использование функции WinAPI ReadProcessMemory вместе с приложением отладчика для скрытого доступа к ключу v20_master_key без необходимости прямого внедрения, тем самым сводя к минимуму риски обнаружения.

Процесс обхода начинается с того, что VoidStealer запускает браузер в приостановленном состоянии с помощью CreateProcessW перед подключением в качестве отладчика, тактика, рассматриваемая как дополнительное подозрительное поведение. После успешного подключения отладчика вредоносное ПО прослушивает важные события отладки. Он нацелен на определенные адреса памяти в библиотеках DLL браузера, которые относятся к криптографическим операциям, в частности, ищет строку OSCrypt.AppBoundProvider.Decrypt.resultCode, который тесно связан с точкой доступа v20_master_key в памяти. Установив точки останова Аппаратного обеспечения на этом этапе, что можно сделать без изменения кода браузера, злоумышленник может относительно легко извлечь ключ.

С точки зрения стратегий обнаружения, для защитников крайне важно отслеживать наличие аномалий, таких как подключение отладчика к процессу браузера или открытие браузера в скрытом состоянии. Методы, используемые VoidStealer, также предполагают, что будущие версии вредоносного ПО могут реализовать аналогичную тактику обхода с дальнейшими усовершенствованиями. По мере развития системы обходов ABE требуется повышенная бдительность для защиты от этих более скрытных угроз, которые используют постоянно появляющиеся слабые места в протоколах безопасности браузеров.

#ParsedReport #CompletenessHigh
19-03-2026

Hasta la vista, Hastalamuerte: An Overview of The Gentlemen's TTPs

https://www.group-ib.com/blog/hastalamuerte-gentlemen-raas-ttps/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated, information_theft)
Hastalamuerte (motivation: cyber_criminal, financially_motivated, information_theft)
Dragonforce
Warlock

Threats:
Procmon_tool
Mstsc_tool
Chisel_tool
Proxychains_tool
Winrm_tool
Petitpotam_vuln
Donpapi_tool
Byovd_technique
Antsword
Meshcentral_tool
Anydesk_tool
Rclone_tool
Medusa_ransomware
Qilin_ransomware
Clop
Akira_ransomware
Gentlemen_ransomware
Babuk
Lockbit
Devman
Aitm_technique
Nightspire
Badsuccessor_technique
Burntcigar
Credential_dumping_technique
Impacket_tool
Netexec_tool
Wevtutil_tool
Shadow_copies_delete_technique
Edr-freeze_tool
Conti
Adaptixc2_tool
Spear-phishing_technique

Victims:
Healthcare, Critical infrastructure, Worldwide

Industry:
Critical_infrastructure, Healthcare

Geo:
Russian

CVEs:
CVE-2025-32463 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.9.17)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)
- vmware esxi (7.0, 8.0)


TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 48
Command: 12
Path: 4
Registry: 4
IP: 1
Hash: 7

Soft:
Windows PowerShell, Windows Firewall, Windows Defender, Task Scheduler, MySQL, MSSQL, postgresql, MariaDB, MSExchange, docker, have more...

Algorithms:
sha256, md5

Functions:
Write-Warning, Write-Host, Write-Error, Get-ADComputer

Win API:
EnableTrace

Win Services:
AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, have more...

Languages:
python, powershell, rust

Links:
https://github.com/emdnaia/CVE-2025-32463
https://gist.github.com/snovvcrash/a1ae180ab3b49acb43da8fd34e7e93df
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Gentlemen - это группа программ-вымогателей как услуга (RaaS), использующая критическую уязвимость в продуктах Fortinet (CVE-2024-55591) для компрометации примерно 1000 виртуальных сетей Fortinet. Используя скрипты PowerShell и Python для извлечения учетных данных, они реализуют различные тактики закрепления, перемещения внутри компании и эксфильтрации данных, включая методы двойного вымогательства. Их операции демонстрируют передовые методы, такие как отключение безопасности конечных точек на уровне ядра и использование Искусственного интеллекта для повышения изощренности их атак.
-----

The Gentlemen - это операция "Программа-вымогатель как услуга" (RaaS), характеризующаяся особой тактикой, методами и процедурами (TTP), особенно заметными при их ранних вторжениях, атрибутированных с критической уязвимостью в продуктах Fortinet (CVE-2024-55591). Эта группа в первую очередь использует общедоступные брандмауэры FortiGate для инициирования атак, поддерживая значительный запас устройств компрометации. Их бэкдорные эксплойты предоставляют методы кражи учетных данных, позволяющие проводить атаки методом перебора, которые, как сообщается, привели к компрометации около 1000 виртуальных сетей Fortinet.

Выполнение их программ-вымогателей включает в себя использование скриптов PowerShell и Python для облегчения извлечения учетных данных и развертывания вредоносного ПО. Они используют такие методы, как создание запланированных задач для закрепления, использование методологии "Принеси свой собственный уязвимый драйвер" (BYOVD) для отключения решений безопасности конечных точек на уровне ядра и очистка журналов событий Windows для удаления следов их активности.

The Gentlemen также демонстрируют значительное внимание к перемещению внутри компании. Они используют SMB и административные общие ресурсы для развертывания вредоносного ПО в нескольких системах, часто отключая средства безопасности, включая Защитника Windows, с помощью административных команд и Изменений групповой политики. Примечательный аспект их деятельности включает методы эксфильтрации данных через RClone, которые они настраивают для использования SFTP, а также использование пользовательских инструментов для различных целей извлечения учетных данных.

Соответствующая оперативная информация включает в себя их подход к двойному вымогательству, при котором они не только шифруют данные, но и угрожают обнародовать украденную информацию, если выкуп не будет выплачен. Этот метод усиливает давление на жертв, представляя собой двоякую угрозу, которая усложняет усилия по восстановлению.

Тактика обхода защиты включает имитацию законных процессов и редактирование конфигураций реестра, чтобы гарантировать, что их вредоносная деятельность останется незамеченной. Кроме того, зависимость группы от Искусственного интеллекта и инструментов программирования отражает более широкую тенденцию среди киберпреступников, стремящихся повысить изощренность своих атак при одновременном снижении обнаруживаемости.

Текущие разработки The Gentlemen's включают в себя реверс-инжиниринг существующих образцов программ-вымогателей для улучшения их собственных возможностей, демонстрируя адаптивный ландшафт угроз, в котором среди преступных организаций распространен обмен знаниями. Чтобы снизить риски, связанные с такими угрозами, организациям рекомендуется уделять приоритетное внимание исправлению уязвимостей, внедрять надежные механизмы аутентификации и сегментировать сети, чтобы ограничить возможности перемещения внутри компании для злоумышленников. В целом, The Gentlemen являются примером постоянной эволюции тактики программ-вымогателей, обусловленной как технологическими возможностями, так и стратегическим использованием слабых мест в протоколах корпоративной безопасности.

#ParsedReport #CompletenessMedium
20-03-2026

GhostClaw expands beyond npm: GitHub repositories and AI workflows deliver macOS infostealer

https://www.jamf.com/blog/ghostclaw-ghostloader-malware-github-repositories-ai-workflows/

Report completeness: Medium

Actors/Campaigns:
Ghostclaw
Polinrider

Threats:
Credential_stealing_technique
Ghostloader
Glassworm

Victims:
Software development, Ai development workflows, Macos users, Cryptocurrency users

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.002, T1059.004, T1059.007, T1070.004, T1071.001, T1082, T1105, T1195.001, have more...

IOCs:
Domain: 1
File: 6
Hash: 16

Soft:
macOS, curl, OpenClaw, Node.js

Algorithms:
sha256

Languages:
applescript, rust, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GhostClaw нацелена на системы macOS, используя репозитории GitHub для распространения вредоносного ПО, credential-stealing, часто Маскировки под законный код. Вредоносное ПО специально использует файлы README и сценарии оболочки, которые побуждают пользователей выполнять команды в обход менеджеров пакетов. После установки он может имитировать запросы аутентификации macOS для сбора конфиденциальных учетных данных и получения полного доступа к диску, впоследствии подключаясь к серверу управления для дальнейшей доставки полезной нагрузки, что отражает сложный подход к распространению и выполнению вредоносного ПО.
-----

Вредоносная кампания GhostClaw использует репозитории GitHub и рабочие процессы разработки с помощью искусственного интеллекта для распространения вредоносного ПО credential-stealing в системах macOS. Кампания включает в себя промежуточный этап, когда изначально безобидный на вид код используется для укрепления доверия пользователей, прежде чем внедрять вредоносные компоненты. Вредоносные репозитории GitHub обычно содержат файл README, инструктирующий пользователей устанавливать вредоносное ПО с помощью команд curl, запускающих удаленные скрипты. Вариант нацелен на автоматизированные среды кодирования, интегрирующие вредоносный контент в доброкачественный SKILL.md файлы.

Сценарий установки, install.sh , выполняет законные задачи настройки при подготовке к выполнению запутанных полезных нагрузок JavaScript. Основная функциональность заключается в setup.js , предназначенный для имитации запросов на аутентификацию в macOS и получения конфиденциальных учетных данных пользователя. Вредоносное ПО может генерировать собственные диалоговые окна с помощью AppleScript, вводя пользователей в заблуждение и заставляя их предоставлять информацию.

В дополнение к захвату учетных данных вредоносное ПО стремится получить полный доступ к диску с помощью AppleScript, чтобы изменить настройки безопасности, обеспечивая более широкий доступ к данным. После сбора учетных данных он подключается к серверу управления для извлечения дополнительного вредоносного ПО, обеспечивая закрепление за счет Маскировки под доброкачественные пакеты npm. Инфраструктура кампании демонстрирует согласованную схему и уникальные идентификаторы для связи C2, подчеркивая тенденцию использования уязвимостей supply chain с помощью надежных платформ для распространения вредоносного ПО.

#ParsedReport #CompletenessLow
19-03-2026

Dark Web Profile: DieNet

https://socradar.io/blog/dark-web-profile-dienet/

Report completeness: Low

Actors/Campaigns:
Dienet (motivation: propaganda, hacktivism)
Keymous (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Sylhetgang
Team_azrael
Denbots_proof
Overflame
Cyb3r_drag0nz
Rippersec
Serverkillers
Z-pentest_alliance
Ruskinet

Threats:
Chrysaor
Dns_amplification_technique
Synflood_technique
Locknet

Victims:
Government, Critical infrastructure, Finance, Telecommunications, Transportation, Energy, Healthcare, Digital platforms, Industrial control systems

Industry:
Entertainment, Healthcare, Education, Government, Critical_infrastructure, Ics, Military, Energy, Telco, Aerospace, Iot, Transport, Financial, Ngo

Geo:
United kingdom, India, Azerbaijan, Saudi arabia, Egyptian, Israel, Columbia, United arab emirates, Oman, Bahrain, Asia, American, Arab emirates, Kuwait, Qatar, Iran, Turkey, Poland, Cyprus, Abu dhabi, Israeli, Indian, Middle east, Asian, Iranian, Jordan, African, Los angeles, Riyadh

TTPs:
Tactics: 5
Technics: 13

Soft:
Telegram, TikTok