Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нападите со Termite ransomware се поврзани со ClickFix и CastleRAT напади.

Објавено: 09.03.2026

Ransomware актери следени како Velvet Tempest ја користат техниката ClickFix и легитимни Windows алатки за да го постават malware-от DonutLoader и задната врата CastleRAT.

Истражувачите од компанијата за сајбер-разузнавање MalBeacon ги набљудувале активностите на хакерите во емулрана организациска средина во период од 12 дена.

Velvet Tempest, позната и како DEV-0504, е група закана која најмалку пет години е вклучена во ransomware напади како партнер.

Актерот е поврзан со поставување на некои од најразорните ransomware варијанти: Ryuk (2018-2020), REvil (2019-2022), Conti (2019-2022), BlackMatter, BlackCat/ALPHV (2021-2024), LockBit и RansomHub.

Временска линија на поставување на ransomware од Velvet Tempest

Нападот бил забележан од MalBeacon помеѓу 3 и 16 февруари во реплика средина на непрофитна организација во САД со повеќе од 3.000 endpoint уреди и над 2.500 корисници.

Откако добиле пристап, операторите на Velvet Tempest извршиле активности директно од тастатура (hands-on keyboard), вклучувајќи извидување на Active Directory, откривање на хостови и профилирање на околината, како и користење на PowerShell скрипта за собирање на креденцијали зачувани во Google Chrome.

Скриптата била хостирана на IP адреса која истражувачите ја поврзале со поставување алатки за упади поврзани со Termite ransomware.

Според истражувачите, Velvet Tempest добила почетен пристап преку malvertising кампања која водела до комбинација од ClickFix и CAPTCHA, која им давала инструкции на жртвите да залепат обфусцирана команда во Windows Run дијалогот.

ClickFix мамката користена од Velvet Tempest

Командата што била залепена активирала вгнездени cmd.exe синџири и ја користела finger.exe за преземање на првите malware loader-и. Еден од payload-ите бил архивски фајл маскиран како PDF документ.

Во следните фази, Velvet Tempest користела PowerShell за преземање и извршување команди кои преземале дополнителни payload-и, компајлирале .NET компоненти преку csc.exe во привремени директориуми и поставиле Python компоненти за перзистентност во C:\ProgramData.

Операцијата на крај го поставила DonutLoader и ја презела задната врата CastleRAT, тројанец за далечински пристап поврзан со loader-от CastleLoader, познат по дистрибуција на повеќе семејства на RAT и крадци на информации, како LummaStealer.

Termite ransomware претходно има наведено познати жртви како SaaS провајдерот Blue Yonder и австралискиот IVF гигант Genea.

Иако Velvet Tempest обично се поврзува со double-extortion напади – каде системите на жртвата се криптираат откако претходно ќе се украдат податоците – извештајот на MalBeacon наведува дека во набљудуваниот упад напаѓачот не го поставил Termite ransomware.

Повеќе ransomware актери ја усвоиле ClickFix техниката во нападите. Sekoia во април 2025 година објави дека ransomware групата Interlock го користела овој метод на социјален инженеринг за пробивање на корпоративни мрежи.

Извори:

  • Bleeping Computer – Termite ransomware breaches linked to ClickFix CastleRAT attacks Bleeping Computer