#ParsedReport #CompletenessLow
24-03-2026

Brbbot: Full Malware Analysis & Reverse Engineering

https://7amthereaper.github.io/posts/brbbot-full-analysis/

Report completeness: Low

Threats:
Brbbot
Procmon_tool
Process_hacker_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.007, T1041, T1071.001, T1547.001

IOCs:
Hash: 1
File: 6
Path: 1

Functions:
FindRecource

Win API:
ReadFile, CryptEncrypt, RegOpenKeyExA, RegSetValueExA, GetModuleHandleA, ZwQuerySystemInformation, GetProcAddress

Languages:
php

Links:
https://github.com/7amthereaper

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Brbbot - это универсальное вредоносное ПО, функционирующее как троян и бот, способное создавать бэкдор и поддерживать закрепление в зараженных системах путем создания ключей реестра. Он взаимодействует с сервером управления (C2), извлекая зашифрованные данные, используя при этом Динамическое разрешение API и Windows API для различных команд, включая выполнение файлов и настройку. Конструкция вредоносного ПО позволяет удаленно выполнять команды, демонстрируя расширенные функциональные возможности для закрепления и контроля в средах компрометации.
-----

Brbbot - это универсальное вредоносное ПО, которое работает как троян или бот и может функционировать как бэкдор. Его образец хэша - f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa. Первоначальный анализ выявил множество связанных с сетью строк, указывающих на ее рабочее поведение, включая команды, связанные с кодированием, выполнением файла, конфигурацией и закреплением. Наличие функции шифрования предполагает безопасную связь или Манипуляции с данными.

Что касается закрепления, Brbbot демонстрирует поведение, соответствующее обеспечению долговечности зараженных систем, такое как создание разделов реестра. Примечательно, что он генерирует временный файл с именем brbbotconfig.tmp. Анализ трафика, проведенный после запуска образца, показал, что он подключается к серверу управления (C2), расположенному по адресу brb.3dtuts.by , направляя запросы в ads.php файл и извлечение зашифрованных данных.

Дальнейшая проверка структуры кода показала, что Brbbot считывает параметры конфигурации из ранее упомянутого файла tmp, указывая на использование ReadFile API с определенным дескриптором. Анализ также выявил потенциальные команды, которые мог бы выполнять бот, такие как запуск файлов, настройка самого себя или выход по команде. Эти возможности связаны с конкретными ссылками URI, которые относятся к Панели управления C2.

Динамическое разрешение API было примечательным методом, используемым в Brbbot, позволяющим ему управлять такими функциями, как открытие разделов реестра динамически, а не посредством прямых вызовов. Вредоносное ПО использует распространенные Windows API, такие как RegOpenKeyExA и RegSetValueExA, что указывает на его методы поддержания закрепления с помощью раздела реестра Windows CurrentVersion Run.

Чтобы установить контроль над Brbbot и перенаправить его функциональность, была создана виртуализированная среда с использованием сервера Apache для размещения модифицированного ads.php . Это позволяло выполнять команды, указанные в PHP-файле, когда вредоносное ПО добиралось до него. Путем маршрутизации трафика через назначенный DNS вредоносное ПО было успешно перенаправлено на локальный компьютер, выполнив предоставленную команду, которая в данном случае запустила Notepad как дочерний процесс. В целом, Brbbot демонстрирует сложные функциональные возможности, которые позволяют осуществлять постоянное наблюдение и контроль в рамках систем компрометации.

#ParsedReport #CompletenessLow
24-03-2026

Atomic macOS stealer is mimicking an AI agent tool for Mac

https://moonlock.com/chip-ransomware-cal-lock-files-mac

Report completeness: Low

Threats:
Amos_stealer
Junk_code_technique
Supply_chain_technique

Victims:
Mac users, Openclaw users, Artificial intelligence platforms

TTPs:
Tactics: 1
Technics: 4

IOCs:
Domain: 1
File: 1

Soft:
macOS, OpenClaw, Gatekeeper

Algorithms:
xor

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AMOS stealer нацелена на пользователей macOS, маскируя вредоносное ПО под OpenClaw AI assistant, используя социальную инженерию, чтобы обманом заставить пользователей установить его. Вредоносное ПО, представленное в виде файла .dmg с именем Cleal_AI.dmg, использует множество методов MITRE ATT&CK, таких как Выполнение с участием пользователя, запутывание и Маскировка, чтобы обойти функции безопасности macOS. Он подрывает контроль доверия, снимая флажки карантина, что позволяет ему красть конфиденциальную информацию, включая файлы данных и пароли, оставаясь незамеченным антивирусными программами.
-----

Кампания AMOS stealer, продвинутая форма вредоносного программного обеспечения, в настоящее время нацелена на пользователей macOS, Маскировка под помощника OpenClaw с искусственным интеллектом. Эта кампания использует тактику социальной инженерии, чтобы обманом заставить пользователей устанавливать вредоносное ПО, замаскированное под легальное программное обеспечение, в частности, имитируя знакомую структуру пакетов приложений macOS. Вредоносный файл представлен в виде файла .dmg с именем Cleal_AI.dmg, внутри которого находится пакет приложений с именем Clearly AI.app, предназначенный для того, чтобы вызвать доверие и уменьшить подозрения пользователей в процессе установки.

Технический анализ показывает, что AMOS использует множество методов MITRE ATT&CK для обхода функций безопасности macOS, таких как Gatekeeper. Одним из важных методов является Выполнение с участием пользователя (T1204.002), когда злоумышленники используют поведение пользователя, предлагая ему открыть файл, который считается безопасным. Код вредоносного ПО часто запутывается (T1027), чтобы избежать обнаружения программным обеспечением безопасности, используя зашифрованные двоичные файлы или junk code для маскировки своих истинных намерений. Кроме того, он использует методы Маскировки (T1036.001), чтобы представить себя как доверенное приложение, иногда даже подделывая законные подписи кода, таким образом вводя пользователей в заблуждение, заставляя их поверить, что это вредоносное программное обеспечение.

Важнейшим аспектом этой кампании является ее способность Нарушению работы средств контроля доверия (T1553.002) в macOS. Известно, что злоумышленники используют скрипты, которые снимают флаг карантина с вредоносного ПО после того, как пользователи запускают его, обманом заставляя macOS классифицировать файл как доверенное приложение. Эта стратегия позволяет AMOS свободно действовать внутри системы, похищая конфиденциальную информацию, включая файлы данных, пароли браузера и информацию о криптовалютном кошельке.

Сайт, на котором размещена эта вредоносная активность, clearl.co остается необнаруженным основными антивирусными программами, что подчеркивает необходимость повышения бдительности пользователей. Киберпреступники все чаще используют технологию искусственного интеллекта на стыке с социальным доверием, о чем свидетельствует растущее число вредоносных ресурсов, связанных с OpenClaw. Пользователям рекомендуется соблюдать осторожность при загрузке файлов из неофициальных источников и тщательно проверять законность программного обеспечения перед установкой, поскольку эти атаки основаны на быстром принятии решений и отсутствии должной осмотрительности.

#ParsedReport #CompletenessMedium
24-03-2026

TeamPCP Hijacks LiteLLM's PyPI Package - Credential Stealer Hits 40k-Star Project

https://opensourcemalware.com/blog/teampcp-litellm-pypi-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Teampcp
Pcpcat
Canisterworm

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Litellm, Berriai, Aqua security, Trivy, Ai and llm developer ecosystem, Ci cd runners, Kubernetes clusters, Iranian infrastructure

Geo:
Iranian, Luxembourg

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 11
IP: 1

Soft:
LiteLLM, Trivy, Kubernetes, Docker, travis, MySQL, PostgreSQL, Redis, systemd, Linux, have more...

Wallets:
zcash

Crypto:
bitcoin, ethereum, solana, cardano, monero, litecoin, dogecoin, ripple

Algorithms:
aes-256-cbc, sha256, rsa-4096, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP выполнила атаку supply chain, нацеленную на пакет LiteLLM PyPI, путем захвата учетной записи сопровождающего для публикации вредоносных обновлений, которые включали полезную нагрузку credential-stealing. Вредоносное ПО, использующее Python .pth-файл, автоматически запускается при запуске и может извлекать конфиденциальные учетные данные из таких сервисов, как AWS и Azure, через вредоносный домен. Кроме того, злоумышленники внедрили тактику закрепления в средах Kubernetes, позволяющую сохранять контроль и уклоняться от него при перезагрузках системы.
-----

TeamPCP осуществил сложную атаку supply chain на пакет LiteLLM PyPI, в частности, версии 1.82.7 и 1.82.8, которые являются частью широко используемого SDK для Python и прокси-сервера AI gateway, имеющего более 40 000 звездочек GitHub. Злоумышленник взломал учетную запись PyPI разработчика, позволив ему публиковать версии вредоносных пакетов, которые развертывают полезную нагрузку credential-stealing. Эта атака связана с более ранними компрометациями, связанными с действиями Trivy на GitHub и дефейсом организации Aquasec-com.

Вредоносные версии включали файл с именем `litellm_init.pth`, который использует механизм работы с файлами .pth в Python. Этот файл выполняется автоматически при запуске Python, влияя на каждый процесс Python без необходимости явного импорта пакета LiteLLM. Этот метод значительно расширяет охват атаки, позволяя осуществлять эксфильтрацию конфиденциальных учетных данных из различных сервисов, включая AWS, GCP и Azure, среди прочих. Целевые учетные данные варьировались от файлов конфигурации AWS до секретов Kubernetes.

Эксфильтрация произошла через домен, зарегистрированный как `models.litellm.cloud`, который использовался в качестве конечной точки для сбора украденных данных. Присутствие TeamPCP было отмечено не только в самом коде, поскольку они испортили организацию BerriAI на GitHub, быстро изменив описания репозиториев, чтобы псевдонимно утверждать контроль.

Временная шкала атаки указывает на то, что атака проводилась в несколько этапов. Первоначально TeamPCP зарегистрировал вредоносный домен, а затем напрямую компрометации учетной записи PyPI, впоследствии опубликовав вредоносные обновления. За этим последовала быстрая дефейс репозиториев GitHub. Во время атаки также было задействовано несколько учетных записей ботов для рассылки спама о проблемах безопасности хранилища, создавая шум, который скрывал законные сообщения об атаке.

Для закрепления злоумышленник использовал различные механизмы, особенно в средах Kubernetes. Они использовали создание привилегированного модуля для выхода в файловую систему хоста, гарантируя, что их сценарий бэкдора может сохраняться при перезапуске. Это включало установку Службы systemd, якобы предназначенной для телеметрии, но предназначенной для поддержания контроля над инфраструктурой.

Далеко идущие последствия этой атаки распространяются на основные облачные инфраструктуры и конвейеры CI/CD, что делает крайне важным для любой организации, которая использовала версии LiteLLM с компрометацией, срочно изменить свои учетные данные и провести аудит на предмет несанкционированного доступа. Затронутые пользователи должны отслеживать PyPI на предмет снятия карантина проекта и должны возвращаться только к проверенным версиям пакета.

#ParsedReport #CompletenessLow
24-03-2026

Inside Pay2Key: Technical Analysis of a Linux Ransomware Variant

https://www.morphisec.com/blog/inside-pay2key-technical-analysis-of-a-linux-ransomware-variant/

Report completeness: Low

Threats:
Pay2key

Victims:
Linux servers, Infrastructure

ChatGPT TTPs:
do not use without manual check
T1053.003, T1083, T1486, T1489, T1562.001

Soft:
Linux, SELinux, AppArmor

Algorithms:
chacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Pay2Key, связанная с Ираном группа программ-вымогателей, разработала вариант Linux, нацеленный на критическую инфраструктуру, что отражает растущую тенденцию к атакам программ-вымогателей на системы Linux. Этот штамм требует доступа root и использует файл конфигурации JSON для определения своих действий, включая отключение служб безопасности и настройку заданий cron для закрепления. Его механизм шифрования использует алгоритм ChaCha20, обеспечивающий полное или частичное шифрование файлов, и, хотя он позволяет вести переговоры о выкупе через портал Clearnet и I2P, ему не хватает функций сетевого командования и контроля.
-----

Pay2Key - это приписываемая Ирану группа программ-вымогателей, которая разработала вариант Linux, отражающий растущую тенденцию программ-вымогателей, нацеленных на системы Linux. Этот конкретный штамм иллюстрирует методы, которые сегодня часто встречаются в различных семействах программ-вымогателей. В отличие от угроз Windows, программы-вымогатели Linux остаются менее документированными, однако риск возрос из-за их воздействия на критически важные серверы и инфраструктуру.

Linux-версия Pay2Key сильно зависит от настроек конфигурации, и для выполнения ее вредоносных действий требуется root-доступ. Первоначально он проверяет, есть ли у него необходимые привилегии root, прежде чем считывать конфигурационный файл JSON, который определяет его цели и рабочее поведение. Чтобы повысить свою эффективность, программа—вымогатель отключает службы безопасности, такие как SELinux и AppArmor, завершает запущенные процессы и настраивает задания cron на закрепление, что позволяет ей быстро выполнять свою полезную нагрузку даже после перезагрузки системы.

Во время своего выполнения Pay2Key проверяет файловую систему, перечисляя подключенные файловые системы, описанные в /proc/mounts. Он различает различные типы монтирования, пропуская файловые системы, доступные только для чтения, и намеренно избегая шифрования двоичных файлов ELF/MZ, а также файлов нулевой длины, чтобы свести к минимуму риск сбоя хост-системы. Механизм шифрования основан на алгоритме ChaCha20, который может работать либо в режиме полного шифрования файла, либо в режиме образца/частичного шифрования, что позволяет операторам балансировать между скоростью шифрования и воздействием на данные в зависимости от конфигурации.

В то время как программа-вымогатель содержит ссылки как на портал Clearnet, так и на резервный вариант I2P для переговоров о выкупе, в ней нет признаков сетевых командно-контрольных циклов (C2) или эксфильтрации данных. Примечательно, что он поддерживает сбор статистики на основе локальных файлов и FIFO.

#ParsedReport #CompletenessMedium
24-03-2026

TheGentlemen Ransomware Exposed on Russian Proton66 Server: Complete Toolkit, Victim Credentials, and Ngrok Tokens

https://hunt.io/blog/thegentlemen-ransomware-toolkit-russian-proton66-server

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Ngrok_tool
Defendercontrol_tool
Mimikatz_tool
Shadow_copies_delete_technique
Uac_bypass_technique
Superblack
Weaxor
Xworm_rat
Credential_harvesting_technique
Credential_dumping_technique
Passrecpk_tool
Pchunter_tool
Powertool_tool
Rustdesk_tool
Aveyo_tool
Firebird_rat
Teamviewer_tool
Netscan_tool
Pchunter64_tool
Vssadmin_tool
Wevtutil_tool

Victims:
Organizations across the americas, Organizations across europe, Organizations across the middle east, Software development, Enterprise software, Backup infrastructure, Virtualization

Geo:
Middle east, Russia, Russian, Americas, Spanish

TTPs:
Tactics: 9
Technics: 21

IOCs:
File: 56
IP: 2
Url: 1
Registry: 15
Command: 14

Soft:
SoftPerfect Network Scanner, active directory, Windows Defender, Microsoft Edge, PostgreSQL, Hyper-V, Windows Registry, credssp, Linux, ESXi, have more...

Win Services:
WinDefend, WdFilter, WdNisSvc, MsMpEng, ntrtscan, MSSQLSERVER, MSExchangeIS, wsbexchange, mfefire, mfemms, have more...

Languages:
powershell

Platforms:
cross-platform, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
12 марта 2026 года исследователи обнаружили на российском сервере набор программ-вымогателей, связанный с группой TheGentlemen, содержащий 126 файлов, которые облегчают различные этапы атак программ-вымогателей и соответствуют 21 методу MITRE ATT&CK. Центральный компонент, пакетный скрипт объемом 35 КБ (z1.bat), отключает продукты безопасности, удаляет shadow copies и устанавливает бэкдоры, а также включает Mimikatz для кражи учетных данных. Инструментарий демонстрирует оперативную скрытность благодаря обширной очистке журнала событий и манипуляциям с настройками безопасности, полагаясь на законные инструменты для усложнения обнаружения.
-----

12 марта 2026 года на незащищенном сервере, размещенном Proton66, был обнаружен набор программ-вымогателей, связанный с группой TheGentlemen. Набор инструментов состоит из 126 файлов и ассоциирован с 21 техникой MITRE ATT&CK, включая кражу учетных данных, методы уклонения и тактику перемещения внутри компании. Центральное место в наборе инструментов занимает пакетный скрипт объемом 35 КБАЙТ (z1.bat), который отключает продукты безопасности более чем от 12 поставщиков, удаляет shadow copies, создает общие сетевые ресурсы и устанавливает бэкдоры. Он содержит два токена аутентификации ngrok, потенциально ставящих под угрозу дальнейшую инфраструктуру. Mimikatz был идентифицирован для сбора учетных записей, активного сбора хэшей NTLM и имен пользователей, в то время как PowerRun используется для повышения привилегий. Дополнительные инструменты включают в себя netscan.exe для отображения сети и утилит разведки для управления настройками защитника Windows и очистки журналов событий. Набор инструментов использует взаимосвязанные инструменты и сценарии с оперативной избыточностью, полагаясь на законные инструменты, позволяющие избежать обнаружения. Лингвистический анализ сценариев указывает на то, что оператор может не владеть английским языком как родным, что потенциально ориентировано на испаноязычные регионы. Рекомендации по защите включают мониторинг показательного поведения, внедрение строгого контроля доступа и проведение регулярных проверок объектов групповой политики.

#ParsedReport #CompletenessHigh
24-03-2026

The AI Malware Surge: Behavior, Attribution, and Defensive Readiness

https://arcticwolf.com/resources/blog/the-ai-malware-surge-behavior-attribution-and-defensive-readiness/

Report completeness: High

Threats:
Deepseek_rootkit
Telegramrat
Alastor
Bunnykit
Nyxstealer
Supply_chain_technique
Mimikatz_tool
Process_injection_technique
Byovd_technique
Polymorphism_technique
Troystealer
Blueskyinject
Sihost32
D0minag0n
Phantom_realm
Wannacry
Amsi_bypass_technique

Industry:
Entertainment

Geo:
Brazilian, Portuguese, Turkish, Russian, French, Indonesian, Chinese, Spanish

TTPs:
Tactics: 4
Technics: 0

IOCs:
Path: 3
File: 4
Command: 1
Hash: 7

Soft:
Telegram, Discord, DeepSeek R1, DeepSeek, Redis, elegram RA, Android, Flask, Node.js, cOS, an, have more...

Crypto:
monero

Algorithms:
sha256, exhibit, xor, aes

Languages:
powershell, python, javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Проведенный Arctic Wolf Labs анализ более 22 000 образцов вредоносного ПО с помощью искусственного интеллекта показывает сдвиг в динамике угроз: искусственный интеллект позволяет менее квалифицированным злоумышленникам более эффективно создавать разнообразное вредоносное ПО, такое как стиллеры и RATs. Около 39% образцов не поддавались традиционному антивирусному обнаружению, и заметное внедрение инструмента DeepSeek R1 способствовало этой тенденции. Червь deepseek_rootkit, работающий на Python, является примером этих разработок, демонстрируя возможности самораспространения и майнинга криптовалют, но лишенный определенных функциональных возможностей из-за ошибок в кодировании.
-----

Проведенный Arctic Wolf Labs анализ более 22 000 образцов вредоносного ПО с использованием искусственного интеллекта выявил значительную эволюцию в ландшафте угроз, где искусственный интеллект превратился из экспериментального инструмента в распространенный элемент при создании вредоносного ПО. Этот переход, который в основном наблюдался в период с февраля 2025 по февраль 2026 года, подчеркивает, как искусственный интеллект снизил барьеры для менее квалифицированных злоумышленников, позволив им быстрее и шире создавать функциональные стиллеры, инструменты удаленного доступа (RATs) и программы-вымогатели. Примерно 39% проанализированных образцов не были обнаружены традиционными антивирусными решениями на основе сигнатур, что указывает на то, что большая часть нового вредоносного ПО является структурно инновационной. Тем не менее, только 1,4% этих образцов с помощью искусственного интеллекта могут быть связаны с известными APT-группировка "продвинутых постоянных угроз" или финансово мотивированными акторами, причем большинство из них были созданы лицами с низкой квалификацией.

Выдающимся инструментом, выявленным в ходе этого всплеска, стал DeepSeek R1, запущенный в январе 2025 года, признанный за его доступность и возможность поддерживать запросы на китайском языке, что быстро привлекло начинающих создателей вредоносного ПО. Среди различных вредоносных ПО, созданных искусственным интеллектом, образец deepseek_rootkit иллюстрирует эту тенденцию — это червь на основе Python, способный как к самораспространению, так и к майнингу криптовалют, но лишенный функциональных возможностей руткита из-за ошибок в кодировании. Появление специфичных для DeepSeek артефактов, таких как встроенные маркеры цитирования и уникальные соглашения об именах файлов, послужило маркерами использования искусственного интеллекта в этих образцах.

Интеграция искусственного интеллекта в процессы разработки вредоносного ПО включает как архитектурные каркасы, так и динамическое поведение во время выполнения, причем 8% проанализированных образцов демонстрируют включение вызовов API искусственного интеллекта. Эти динамические возможности указывают на переход к более адаптивному и изощренному вредоносному ПО. Кроме того, было очевидно итеративное обучение среди злоумышленников, поскольку многие образцы демонстрировали признаки неудачных попыток и адаптации методов кодирования.

В то время как разработка вредоносного ПО с помощью искусственного интеллекта создает новые проблемы, исследование подчеркивает, что традиционные стратегии киберзащиты остаются эффективными. Вредоносное поведение, связанное с вредоносным ПО, генерируемым искусственным интеллектом, продолжает проявляться в обнаруживаемых шаблонах, присущих процессам выполнения, закрепления и коммуникации вредоносного ПО. Многоуровневый подход к обнаружению, включающий обнаружение на основе сигнатур, поведенческий анализ и методы машинного обучения, необходим для выявления и противодействия этому меняющемуся ландшафту угроз.

#ParsedReport #CompletenessMedium
24-03-2026

TheGentlemen Ransomware Exposed on Russian Proton66 Server: Complete Toolkit, Victim Credentials, and Ngrok Tokens

https://hunt.io/blog/thegentlemen-ransomware-toolkit-russian-proton66-server

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Ngrok_tool
Defendercontrol_tool
Mimikatz_tool
Shadow_copies_delete_technique
Uac_bypass_technique
Superblack
Weaxor
Xworm_rat
Credential_harvesting_technique
Credential_dumping_technique
Passrecpk_tool
Pchunter_tool
Powertool_tool
Rustdesk_tool
Aveyo_tool
Teamviewer_tool
Netscan_tool
Pchunter64_tool
Vssadmin_tool
Wevtutil_tool

Victims:
Organizations, Enterprise environments, Spanish speaking regions, Americas, Europe, Middle east

Geo:
Russian, Spanish, Americas, Russia, Middle east

TTPs:
Tactics: 9
Technics: 21

IOCs:
File: 56
IP: 2
Url: 1
Registry: 15
Command: 14

Soft:
SoftPerfect Network Scanner, active directory, Windows Defender, Microsoft Edge, PostgreSQL, Hyper-V, Windows Registry, credssp, Linux, ESXi, have more...

Win Services:
WinDefend, WdFilter, WdNisSvc, MsMpEng, ntrtscan, MSSQLSERVER, MSExchangeIS, wsbexchange, mfefire, mfemms, have more...

Languages:
powershell

Platforms:
x64, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
12 марта 2026 года, Hunt.io исследователи выявили на российском сервере комплексный набор программ-вымогателей, связанный с группой TheGentlemen. Набор инструментов, который реализует 21 метод MITRE ATT&CK, включает пакетный сценарий для действий перед шифрованием, который отключает продукты безопасности от нескольких поставщиков, облегчает перемещение внутри компании и контролирует сбор учетных записей с помощью Mimikatz. Наличие инструментов для управления защитником Windows подчеркивает нацеленность операторов на уклонение от обнаружения и поддержание постоянного доступа, что указывает на структурированный подход к кибератакам.
-----

Был обнаружен открытый каталог на российском сервере, связанный с группой вымогателей TheGentlemen, содержащий полный набор инструментов для вымогательства. Этот каталог содержал 126 файлов общим объемом 140 МБ и включал журналы Mimikatz с собранными хэшами NTLM и именами пользователей жертв. Инструментарий включал в себя 21 метод MITRE ATT&CK на протяжении всего жизненного цикла вторжения, от разведки до предварительного шифрования. Пакетный скрипт z1.bat выполняет вредоносные действия перед развертыванием программы-вымогателя, включая отключение продуктов безопасности от 12 поставщиков. Действия этого скрипта включают очистку реестра, теневое удаление VSS, создание общего сетевого ресурса, установку бэкдора и обход контроля учетных записей пользователей (UAC). Два токена ngrok были обнаружены в открытом виде, что потенциально может помочь в отслеживании инфраструктуры операторов. Набор инструментов содержит подкаталоги для сопоставления сети, сбора учетных записей и повышения привилегий с помощью таких инструментов, как PowerRun и PC Hunter. Он манипулирует процессами, отменяет меры безопасности и использует Mimikatz для сбора учетных записей. Наличие различных командных сценариев указывает на то, что особое внимание уделяется уклонению от обнаружения и обеспечению постоянного доступа. Были включены методы управления настройками защитника Windows, а также утилиты, позволяющие отключать или изменять защитные функции. Сценарии для очистки журналов событий и управления доступом по протоколу RDP еще больше подчеркивают нацеленность операторов на стирание следов своей деятельности. Операция основана на хорошо известных инструментах, а не на новом вредоносном ПО, что предполагает, что обнаружение должно быть сосредоточено на поведенческом анализе. Для снижения этих рисков рекомендуется регулярный мониторинг изменений настроек безопасности и сбор учетных записей, а также упреждающий поиск угроз.