#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Guloader распространяется с помощью фишинг-писем, замаскированных под отчеты о работе сотрудников, используя срочность, чтобы обманом заставить получателей открыть вредоносные вложения. После запуска Guloader может загружать и запускать другие вредоносные ПО, включая программы-вымогатели или стиллеры данных, расширяя воздействие атаки. Эта тактика подчеркивает риски социальной инженерии, подчеркивая, что человеческий фактор остается критической уязвимостью в области кибербезопасности.
-----

Вредоносное ПО Guloader в настоящее время распространяется с помощью фишингов электронных писем, которые маскируются под отчеты о работе сотрудников. Недавний отчет аналитического центра безопасности AhnLab (ASEC) подчеркивает эту тенденцию, в котором утверждается, что электронное письмо содержит отчет об эффективности работы сотрудников за октябрь 2025 года. Эта тактика используется для создания чувства срочности и беспокойства у получателей, особенно поскольку она намекает на потенциальное увольнение с работы, тем самым повышая вероятность того, что люди откроют вредоносное вложение.

Guloader особенно примечателен своей способностью облегчать загрузку и выполнение дополнительного вредоносного ПО, как только оно заражает систему. Эта возможность позволяет злоумышленникам развертывать различные полезные программы, включая программы-вымогатели или стиллеры информации, эффективно расширяя масштабы своей атаки. Электронные письма с фишингом тщательно разрабатываются, чтобы побудить пользователей нарушить систему безопасности, открыв вложение под предлогом просмотра важной информации о сотрудниках.

Использование методов социальной инженерии в этом методе распространения вредоносного ПО подчеркивает постоянный риск, связанный с человеческим фактором в области кибербезопасности. Организациям настоятельно рекомендуется усилить мониторинг и обучение в связи с угрозами фишинга, особенно в связи с тем, что злоумышленники используют все более изощренные тактики для использования психологических факторов, связанных с трудоустройством и гарантией занятости. Регулярные обновления протоколов безопасности и информационные кампании могли бы значительно снизить риски, связанные с попытками проникновения такого вредоносного ПО.

#ParsedReport #CompletenessMedium
02-01-2026

VVS Discord Stealer Using Pyarmor for Obfuscation and Detection Evasion

https://unit42.paloaltonetworks.com/vvs-stealer/

Report completeness: Medium

Threats:
Vvs_stealer
Pyarmor_tool

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1106, T1140, T1539, T1555.003

IOCs:
Hash: 3
File: 7
Path: 2
Url: 2

Soft:
Discord, Telegram, PyInstaller, Electron, Chrome, 7Star, Amigo, CentBrowser, Epic Privacy Browser, Kometa, have more...

Algorithms:
xor, sha256, zip, aes, aes-128-ctr

Functions:
deopt_code

Win API:
MessageBoxW

Languages:
cpython, python, javascript

Platforms:
x64

Links:
have more...
https://github.com/python/cpython/blob/3.11/Python/marshal.c
https://github.com/dashingsoft/pyarmor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер VVS нацелен на пользователей Discord, извлекая конфиденциальную информацию и данные браузера, используя передовые методы обфускации с использованием Pyarmor и шифрования AES-128-CTR, которые усложняют обнаружение и анализ. Он переупаковывается как пакет PyInstaller и использует инструмент Pycdc для устранения запутывания. Обладая возможностями кражи учетных данных, перехвата сеанса и вредоносного внедрения JavaScript, VVS добивается закрепления, копируя себя в каталог автозагрузки Windows, и использует социальную инженерию для введения пользователей в заблуждение.
-----

Стиллер VVS, также известный как VVS $tealer, представляет собой сложное вредоносное ПО, нацеленное на пользователей Discord путем фильтрации конфиденциальной информации и данных браузера. Это вредоносное ПО использует Pyarmor для обфускации и уклонения от обнаружения, тем самым делая его более устойчивым к обычным мерам безопасности.

Распространяемый как пакет PyInstaller, VVS сначала переупаковывается таким образом, что для его выполнения не требуются дополнительные установки. В работе вредоносного ПО используется инструмент Pycdc, декомпилятор байт-кода на Python, который помогает устранить запутывание, введенное Pyarmor. Этот анализ раскрывает важные подробности о механизмах работы вредоносного ПО, включая использование им режима BCC (преобразование байт-кода в компиляцию), который преобразует функции Python в функции C, повышая сложность структуры вредоносного ПО.

Методологии обфускации Pyarmor's еще больше усложняют статический анализ. Формат байт-кода вредоносного ПО значительно изменен, чтобы указать на запутывание, идентифицируя его с помощью специального бита, установленного в поле co_flags. Более того, базовый байт-код зашифрован с использованием AES-128-CTR, причем ключ привязан к уникальной лицензии Pyarmor, гарантируя, что полезную нагрузку трудно расшифровать без соответствующей среды выполнения.

Операционные возможности стиллера VVS сосредоточены на краже учетных данных и перехвате сеанса. Он сканирует зашифрованные токены Discord, соответствующие определенному формату, и способен выполнять поиск по расширениям файлов, обычно ассоциируемым с данными Discord. Кроме того, вредоносное ПО активно пытается внедрить вредоносный JavaScript в запущенные экземпляры Discord, заменяя основные компоненты своей собственной полезной нагрузкой, что еще больше облегчает эксфильтрацию данных.

Данные веб-браузера также входят в сферу возможностей VVS, ориентируясь на несколько браузерных приложений для максимального охвата. Чтобы обеспечить закрепление, вредоносное ПО копирует себя в каталог автозагрузки Windows, что позволяет ему активироваться при перезагрузке системы, сохраняя таким образом долгосрочный доступ к зараженному компьютеру.

Наконец, VVS стиллер использует методы социальной инженерии, отображая поддельные сообщения об ошибках с использованием Win32 API, чтобы ввести пользователей в заблуждение, заставив их поверить, что произошла критическая системная проблема. Эта тактика помогает маскировать его действия, сохраняя при этом взаимодействие с пользователем, позволяя ему действовать скрытно.

#ParsedReport #CompletenessLow
06-01-2026

LockBit 5.0 deep dive report: How it works and what to do about it

https://asec.ahnlab.com/ko/91834/

Report completeness: Low

Threats:
Lockbit

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1110, T1190, T1486, T1489, T1566

IOCs:
Path: 5
Coin: 1
File: 3
Hash: 5

Soft:
Microsoft Office

Algorithms:
curve25519, poly1305, chacha20, chacha20-poly1305, md5

Win Services:
BackupExecVSSProvider, WSearch, AcrSch2Svc, VeeamTransportSvc, BackupExecAgentAccelerator, AcronisAgent, BackupExecJobEngine, GxFWD, VeeamNFSSvc, BackupExecRPCService, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit 5.0, известная с сентября 2019 года группа программ-вымогателей "Программа как услуга", использует различные методы первоначального доступа, включая использование уязвимостей и фишинг. Он выполняет атаки посредством перемещения внутри компании для повышения привилегий, в конечном счете внедряя программы-вымогатели, используя Stealbit для эксфильтрации данных. Программа-вымогатель использует расширенное шифрование с помощью алгоритма ChaCha20-Poly1305, использует криптографию с эллиптической кривой для генерации ключей и прерывает усилия по восстановлению, завершая процессы службы Shadow Copy тома.
-----

LockBit 5.0 - это очень активная и печально известная группа программ-вымогателей как услуг (RaaS), которая является значительным игроком на рынке угроз от программ-вымогателей с момента своего появления в сентябре 2019 года. Он известен своими сложными методологиями шифрования и автоматизированными возможностями распространения по сетям. Первоначальное внедрение LockBit 5.0 в целевые среды обычно достигается с помощью целого ряда методов, включая использование известных уязвимостей, атаки брутфорсом, кампании фишинга или использование скомпрометированных учетных данных. После получения первоначального доступа атака проходит три основных этапа: перемещение внутри компании с целью получения и расширения привилегий, что в конечном итоге приводит к распространению полезной нагрузки программ-вымогателей. Кроме того, группа использует инструмент под названием Stealbit для эксфильтрации данных, чтобы облегчить тактику двойного вымогательства.

На LockBit приходится значительная доля инцидентов с программами-вымогателями, на долю которых приходится примерно 30,25% зарегистрированных атак с августа 2021 по август 2022 года и около 21% в 2023 году. Эта деятельность привела к значительным финансовым потерям на общую сумму в миллиарды долларов из-за требований выкупа и операций по восстановлению. Несмотря на усиление правоприменительных мер в отношении таких групп, LockBit остается постоянной угрозой для организаций по всему миру.

С технической точки зрения, LockBit 5.0 демонстрирует усовершенствованные меры, препятствующие обнаружению и восстановлению данных. Он завершает процессы службы Shadow Copy томов (VSS), чтобы жертвы не могли восстановить свои файлы стандартными средствами. Более того, программа-вымогатель использует методы упаковки и обфускации, чтобы усложнить статический анализ исследователями безопасности. Программа-вымогатель использует алгоритм ChaCha20-Poly1305 для шифрования файлов, в то время как обмен ключами осуществляется через X25519 и BLAKE2b. Во время шифрования LockBit генерирует два случайных 32-байтовых числа на основе системного времени и характеристик памяти. Программа-вымогатель извлекает закрытый ключ из определенных позиций сгенерированных случайных чисел, тем самым создавая уникальный открытый ключ для каждой жертвы, используя шифрование по эллиптической кривой. Окончательные ключи шифрования вычисляются на основе комбинации закрытого ключа жертвы и открытого ключа злоумышленника, гарантируя, что расшифрованные данные не могут быть восстановлены только с помощью информации локальной системы.

Таким образом, LockBit 5.0 демонстрирует передовые стратегии шифрования и методологии постоянного таргетинга, которые укрепляют его позиции как грозного противника в экосистеме программ-вымогателей, что требует принятия надежных защитных мер в различных секторах для снижения рисков, которые он представляет.

#ParsedReport #CompletenessHigh
06-01-2026

JavaScript, MSBuild, and the Blockchain: Anatomy of the NeoShadow npm Supply-Chain Attack

https://www.aikido.dev/blog/neoshadow-npm-supply-chain-attack-javascript-msbuild-blockchain

Report completeness: High

Actors/Campaigns:
Neoshadow

Threats:
Typosquatting_technique
Apc_injection_technique
Reflectiveloader

Victims:
Software supply chain, Npm ecosystem

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.004, T1059, T1059.007, T1071.001, T1105, T1106, T1108, T1127.001, have more...

IOCs:
File: 57
Path: 1
Coin: 1
Url: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Claude, Event Tracing for Windows

Crypto:
ethereum

Algorithms:
curve25519, ecdh, xor, rc4, base64, chacha20

Functions:
Execute, TaskName, TaskFactory

Win API:
QueueUserAPC, ResumeThread, NtTraceEvent, VirtualProtect

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака NeoShadow npm supply-chain использует многоступенчатый загрузчик в JavaScript, найденный в scripts/setup.js , нацеленный на системы Windows для извлечения и запуска троянца удаленного доступа (RAT). Он извлекает URL-адрес сервера управления (C2) из смарт-контракта Ethereum и маскирует вредоносную полезную нагрузку под законный код, используя такие методы, как кодирование Base64 и внедрение расширенного постоянного соединения (APC), чтобы избежать обнаружения. RAT поддерживает защищенную связь C2 с использованием шифрования ChaCha20 и использует исправления ETW для сокрытия своей деятельности, создавая основу для дальнейших вредоносных программ, таких как кейлоггеры или Ransomware.
-----

Атака NeoShadow npm на supply-chain характеризуется многоступенчатым загрузчиком, разработанным в виде вредоносного файла JavaScript, находящегося в scripts/setup.js файл в различных пакетах. Этот загрузчик работает исключительно в системах Windows. Его основная функция заключается в облегчении поиска и запуска сложного троянца удаленного доступа (RAT) путем выполнения определенных этапов.

Атака изначально использует технологию блокчейн для динамической настройки. Он запрашивает смарт-контракт Ethereum через Etherscan API для извлечения URL-адреса сервера управления (C2), возвращаясь к жестко закодированному домену в случае сбоя запроса блокчейна. На последующем этапе загрузчик ищет удаленный файл JavaScript, замаскированный под код аналитики, который содержит полезную нагрузку в кодировке Base64, скрытую в комментарии, служащую исключительно хранилищем для фактического исполняемого кода.

Анализ полезной нагрузки показывает ее преобразование в исполняемый шелл-код. Вредоносный процесс начинается с приостановки RuntimeBroker.exe , где он вводит шелл-код с использованием метода APC injection через QueueUserAPC с последующим ResumeThread. Такая конструкция позволяет вредоносному ПО обходить стандартные механизмы обнаружения.

После ввода в эксплуатацию конечная полезная нагрузка действует как универсальный бэкдор, подключаясь к контуру маяка для связи с сервером C2, передавая системную информацию и запрашивая дальнейшие указания. Этот RAT эффективен и предназначен для долгосрочного доступа; он устанавливает защищенный канал связи с использованием шифрования ChaCha20 с ключами, сгенерированными с помощью Curve25519 ECDH.

Набор команд вредоносного ПО позволяет извлекать полезную нагрузку с различных URL-адресов, имея возможности обрабатывать как библиотеки DLL, так и шелл-код, используя сложные методы внедрения, чтобы избежать обнаружения. Минималистичный характер RAT помогает оставаться незаметным, одновременно зарекомендовав себя как базовый уровень для потенциального вторичного, более вредоносного вредоносного ПО, такого как кейлоггеры или Ransomware.

Чтобы скрыть свою деятельность, вредоносное ПО использует такие методы, как исправление ETW (Event Tracing for Windows), что затрудняет видимость продуктов безопасности, которые полагаются на ETW для обнаружения. Кроме того, сервер C2, идентифицированный как metrics-flow.com , демонстрирует поведение, направленное на маскировку своих злонамеренных намерений, предоставляя рандомизированный контент, чтобы ввести в заблуждение автоматизированные системы обнаружения и аналитиков.

Первоначальные наблюдения были сосредоточены на версии вредоносных пакетов, развернутых 30 декабря 2025 года, а последующая версия, выпущенная 2 января 2026 года, включала исполняемый файл Windows с именем analytics.node, который остался незамеченным антивирусными решениями.

Таким образом, атака NeoShadow является примером хорошо скоординированного компрометирования supply-chain, использующего инновационные методы доставки и методы оперативной безопасности для поддержания скрытности и постоянства, что делает ее заметной проблемой для аналитиков и профессионалов в области кибербезопасности.

#ParsedReport #CompletenessLow
05-01-2026

Gamaredon: Same Goal, Fewer Fingerprints

https://blog.synapticsystems.de/gamaredon-same-goal-fewer-fingerprints/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Gamawiper
Litterdrifter

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1480

IOCs:
Hash: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon сместился свою главную вредоносное ПО от Pterodo в GamaWiper, знаменуя переход к активной киберугроз уже 22 декабря 2025 года. Группа также представила управления потоком шума в виде помутнения рассудка, повышения их анти-анализ возможностей за счет усложнения четкость исполнения своих вредоносное ПО. Эта тактическая эволюция подчеркивает свое намерение сорвать усилия обнаружения во время эксплуатации существующих уязвимостей системы.
-----

Gamaredon, злоумышленник, известный своими кибероперациями, продемонстрировал стратегический сдвиг в своей тактике борьбы с вредоносным ПО, особенно в недавнем использовании GamaWiper, заменив ранее наблюдавшийся Pterodo в качестве основной полезной нагрузки в аналитических средах. Этот переход знаменует собой поворотный момент для Gamaredon, поскольку начиная с 22 декабря 2025 года он переходит от фазы пассивного наблюдения к более активному реагированию на киберугрозы.

Примечательное изменение в их тактике включает введение шума потока управления, который является формой запутывания, выходящей за рамки традиционных методов сокрытия строк. Вместо этого он фокусируется на маскировке четкости выполнения в рамках работы вредоносного ПО, что усложняет аналитикам анализ поведения вредоносного ПО в ходе расследования. Это изменение является частью развивающейся стратегии Gamaredon's по борьбе с анализом, которая адаптирует поведение при доставке на основе характеристик контекста выполнения, с которым она сталкивается.

Изменения, внедренные Gamaredon, не являются чрезмерно сложными; скорее, они демонстрируют продуманный подход, позволяющий создать ровно столько операционных проблем, чтобы помешать усилиям по анализу вредоносного ПО. Это подчеркивает намерение актора поддерживать эффективность, одновременно усложняя обнаружение и понимание их тактики. Такая эволюция в поведении вредоносного ПО способствует усилению сохраняющихся уязвимостей в системах, нацеленных на такие сложные целенаправленные угрозы.

#ParsedReport #CompletenessLow
05-01-2026

Large-Scale Parasite SEO Campaign Using Amazon Style Pages on Cloudflare Pages

https://malwr-analysis.com/2026/01/05/large-scale-parasite-seo-campaign-using-amazon-style-pages-on-cloudflare-pages/

Report completeness: Low

Actors/Campaigns:
Slot_gacor

Threats:
Credential_harvesting_technique
Seo_poisoning_technique

Industry:
Government, Ngo

Geo:
Thailand

ChatGPT TTPs:
do not use without manual check
T1036, T1583.006, T1585.001, T1650

IOCs:
Domain: 7

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В киберкампании используются методы SEO-паразитов, которые создают поддельные страницы товаров, похожие на Amazon, заполненные SEO-спамом, связанным с азартными играми, для манипулирования рейтингами в поисковых системах. Злоумышленники используют теги canonical, чтобы ложно представить эти страницы как легитимные, используя метаданные Open Graph и структурированные данные для повышения видимости и нанесения ущерба репутации подлинных сайтов. Использование таких платформ, как Cloudflare Pages, позволяет этим вредоносным страницам поддерживать постоянное присутствие в Сети, подчеркивая изощренность тактики в этих обширных усилиях по SEO-манипулированию.
-----

Была выявлена крупномасштабная киберкампания, использующая методологию паразитного SEO, которая использует поддельные страницы товаров, имитирующие дизайн Amazon. Злоумышленники внедряют шаблон, который включает HTML-элементы, стилизованные под законные списки товаров Amazon, которые затем заполняются SEO-спамом, относящимся к азартным играм. Эта стратегия направлена на манипулирование результатами поисковой системы с целью ложного повышения видимости вредоносного контента.

В ходе атаки используются различные технические механизмы, в частности, используются теги canonical, метаданные Open Graph и поля структурированных данных. Теги Canonical используются для представления поддельных страниц как законных альтернатив подлинным продуктам, что снижает рейтинг репутации не связанных с ними законных веб-сайтов. Эта манипуляция может привести к снижению видимости поиска для жертв, в то время как злоумышленники повышают рейтинг своего спам-контента в результатах поиска.

Кроме того, использование страниц Cloudflare для размещения этих вводящих в заблуждение страниц облегчает постоянное присутствие в Сети и позволяет избежать обнаружения в течение длительного периода. Этот метод не только подрывает достоверность результатов поисковой системы, но и угрожает целостности брендов, которые ненадлежащим образом ассоциируются со спамом, связанным с азартными играми. Злоупотребление устоявшимися веб-технологиями и платформами подчеркивает изощренную тактику, используемую злоумышленниками для проведения этой масштабной кампании по манипулированию SEO.

#ParsedReport #CompletenessLow
06-01-2026

QuasarRAT (xRAT) malware being distributed via webhards (adult gaming)

https://asec.ahnlab.com/ko/91835/

Report completeness: Low

Threats:
Quasar_rat
Xrat_rat
Njrat
Xworm_rat

Victims:
Webhard users, Adult gaming users

Industry:
Entertainment

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1036

IOCs:
File: 8
Hash: 4
Domain: 1

Soft:
Event Tracing for Windows

Algorithms:
zip, md5, aes

Functions:
EtwEventWrite

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
xRAT, или QuasarRAT - троянец удаленного доступа, распространенный в Южной Корее, в основном распространяемый через платформы webhard, выдающий себя за игровой контент для взрослых. Это предоставляет злоумышленникам широкий контроль над зараженными системами, позволяя им выполнять команды, перехватывать нажатия клавиш и извлекать данные. То, что вредоносное ПО нацелено на определенную демографическую группу, свидетельствует о преднамеренной эксплуатации со стороны злоумышленников, выявляющих уязвимости в программной экосистеме этих платформ.
-----

xRAT, также известный как QuasarRAT, превратился в серьезную угрозу в корейском киберпространстве, особенно известный своим распространением через платформы webhard, Маскировкой под игровой контент для взрослых. Эти веб-карты являются популярными файлообменными сервисами, используемыми в Южной Корее, которые позволяют пользователям загружать различные типы носителей. Рост распространения вредоносного ПО через такие платформы подчеркивает распространенную угрозу тактики социальной инженерии, используемой для заманивания ничего не подозревающих пользователей к загрузке Вредоносных файлов.

QuasarRAT - это троян удаленного доступа (RAT), который предоставляет злоумышленникам широкий контроль над зараженными системами. После развертывания он позволяет киберпреступникам удаленно выполнять команды, фиксировать нажатия клавиш, отслеживать активность на экране и потенциально извлекать конфиденциальные данные. Нацеливание на игровые платформы для взрослых предполагает продуманный подход злоумышленников к использованию демографических данных конкретных пользователей, что делает вредоносное ПО более привлекательным и увеличивает вероятность успешного заражения.

Продолжающееся распространение xRAT указывает на критическую уязвимость в программной экосистеме сайтов webhard, подчеркивая необходимость повышенной бдительности пользователей в отношении типов файлов, которые они выбирают для загрузки. Меры по кибербезопасности должны быть направлены на информирование пользователей о потенциальных рисках, связанных с загрузкой контента из непроверенных источников, особенно в области программного обеспечения для взрослых, где склонность к внедрению вредоносного ПО может быть значительно выше. В целом, рост xRAT представляет собой эволюционирующий ландшафт угроз, в котором пользователи должны проявлять осторожность, чтобы защитить свои системы от многогранных киберугроз.