CRATU

📤 FTP-эксфильтрация — когда зловред уходит по-старинке 👣 Почему это работает: 1️⃣ Стиллеру не нужен ни Telegram, ни Discord — только IP и логин/пароль 2️⃣ FTP легко поднимается злоумышленником, почти не отслеживается 3️⃣ Часто эксфильтруются: куки, пароли, скриншоты, текстовые дампы 4️⃣ Используется стиллерами: RedLine, StormKitty, Stealerium, Vidar, XWorm 📁 Где искать: 🔗 Поведение: 1️⃣ После заражения → появляется .zip, .txt, .db, .jpg 2️⃣ Далее: подключение к внешнему FTP-серверу 3️⃣ Логин...

🛡️ CRATU фиксирует активное использование CastleLoader: MaaS-загрузчик GrayBravo (ранее TAG-150) атакует госсектор и критическую инфраструктуру 🛰️ Подразделение CRATU зарегистрировало новые образцы CastleLoader — современного MaaS-загрузчика, активно распространяемого в 2025–2026 годах. Согласно отчёту Recorded Future Insikt Group (декабрь 2025), угроза GrayBravo (ранее TAG-150) использует четыре отдельных кластера активности. CastleLoader распространяется через ClickFix, фейковые сайты с прим...

💥 consumerWiper: разрушительный вайпер обнаружен CRATU в реальных инцидентах 🛰️ Подразделение CRATU зафиксировало consumerWiper — вайпер, распространяемый в виде MSI-пакета и состоящий из нескольких функциональных компонентов. Во время расследования инцидента команда обнаружила этот разрушительный malware, цель которого — уничтожение данных на заражённых системах. Распространяется как установочный пакет MSI. Публичный разбор одного из R&D центра показывает, что пакет содержит несколько компоне...

🛡 CRATU сравнивает: Rare Werewolf vs. Cavalry/Sapphire Werewolf — эволюция "волчьих" APT! 🐺 Кто такие "Werewolf"-группы и их сходства? В этом выпуске мы опираемся на конкретный IOC-пакет по Rare Werewolf (AnyDesk + домены/URL/IP/хэши). Для остальных “Werewolf”-групп здесь приводим лишь общий контекст по схожести подходов (фишинг → исполнение → удалённый доступ), без привязки к этому IOC-файлу. 🔤 Rare Werewolf (Librarian Ghouls, Rezet) фокусируется на фишинге с AnyDesk для CIS. 🔤 Cavalry Were...

🕰 Timestomping — подделка дат создания и изменения файлов 👣 Почему это работает: 1️⃣ Большинство IR-специалистов сортирует файлы по дате 2️⃣ AV и EDR чаще фокусируются на новых или внезапно изменённых 3️⃣ Если EXE выглядит как созданный "год назад" — подозрение снижается 4️⃣ Особенно эффективно в сочетании с системными именами: dllhost.exe, taskhost.exe 📁 Где искать: 📂 Основные метки: Тип метки: Created Time. Где хранится: NTFS, MFT Тип метки: Modified Time. Где хранится: NTFS, MFT Тип метки...

🛡 CRATU разбирает IOC Rare Werewolf: домены и хэши — ключ к блокировке фишинга! 🐺 Что скрывается за IOC Rare Werewolf? Rare Werewolf использует фишинг для целевых атак на Россию и CIS, как следует из текущего IOC-пакета CRATU. Домены aviator-concern.site и npo-avia.online маскируют вредоносные RAR, ведущие к AnyDesk, с IP 198.54.115.63 и SHA256-хэшами (a22879f… и ещё 6 значений из пакета IOC). Эти IOC позволяют оперативно блокировать угрозу. Группировка активно применяет техники из MITRE ATT&C...

📤 Telegram как канал эксфильтрации: sendDocument, sendMessage, sendPhoto 👣 Почему это работает: 1️⃣ Telegram-бот создаётся за минуту 2️⃣ Передача файлов по HTTPS 3️⃣ Не требует авторизации от получателя 4️⃣ API стабилен и почти не отслеживается корпоративными DLP 5️⃣ Используется десятками стиллеров: RedLine, XWorm, Stealerium, Lumma, Aurora, StormKitty, AsyncRAT 📁 Где искать: 🔎 API-артефакты: 1️⃣ Команды: 🔤 https://api.telegram.org/bot<token>/sendDocument 🔤 sendMessage, sendPhoto, getUpda...

🛡 CRATU раскрывает: AnyDesk как оружие Rare Werewolf — легитимный инструмент в руках фишеров! 🐺 Кто такие Rare Werewolf и как они используют AnyDesk? Rare Werewolf (также известны как Librarian Ghouls, Rezet) — APT-группа, которую CRATU связывает с текущим набором IOC и цепочкой фишинга/исполнения/удалённого доступа. В текущем пакете IOC, после фишинговой доставки вредоносного RAR, злоумышленники используют AnyDesk для удалённого контроля: ▶️URL артефакта: hxxps://aviator-concern.site/newincom...

🌷 Дорогие наши девочки, девушки, женщины! Поздравляем вас с праздником, который символизирует всё прекрасное, что есть вокруг нас! Мы всегда помним, что без вас, родные, этот мир был бы сер, груб, глуп, жесток да в общем-то и не нужен. 🙌 Благодарны вам за вашу любовь, красоту, терпение, ласку, мудрость, доброту, поддержку и многое другое, без чего ни один мужчина не может чувствовать себя в порядке! Желаем вам простого женского счастья! А уж мы мужчины, сделаем всё, чтобы это пожелание исполни...