#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обновление CLICKSMOKE освещает текущие действия по доставке вредоносного ПО на dakatawebstick.com платформа с новым оператором "aero", использующим Windows MSI dropper для развертывания стиллера на базе Deno, ориентированного на более чем 20 браузеров. Операция использует многоэтапный процесс атаки, используя законные инструменты для обхода обнаружения. Свидетельства участия России и модель с двумя арендаторами ВПО как услуга(MaaS) указывают на постоянную адаптацию для обхода мер безопасности при использовании общей инфраструктуры для различных сборок вредоносного ПО.
-----

Обновление CLICKSMOKE показывает продолжающуюся активность на dakatawebstick.com платформа с заметными изменениями в способах доставки вредоносного ПО и регистрации оператора. Платформа остается работоспособной, что указывает на постоянную поддержку и потенциальное использование несколькими арендаторами, а также на наличие второго оператора под псевдонимом "aero". Этот новый оператор использует версию Windows MSI dropper, которая предоставляет полезную нагрузку, включающую стиллер на базе Deno, ориентированный на более чем 20 браузеров и выполняющий перечисление антивирусных продуктов.

Инфраструктура для проведения операции, размещенная на 94.26.90.100, связана с Dedik Services Limited. Обновление указывает, что предыдущие сборки (PS1 ClickFix) были удалены, заменены установщиком MSI, который выполняет многоэтапную атаку, начиная с установки Scoop, которая впоследствии настраивает Deno для запуска загрузчика JavaScript. Этот загрузчик подключается обратно к командно-диспетчерскому пункту (C2) для получения дальнейших инструкций, указывающих на многоуровневый подход к атаке. Полезная нагрузка использует законные инструменты неожиданными способами, чтобы избежать обнаружения, в частности, используя Deno для обхода антивирусных механизмов и механизмов обнаружения и реагирования конечных точек (EDR).

Ключевые выводы последнего анализа включают в себя восстановление русскоязычной заметки о сборке "целевой билд", которая отражает продолжающееся участие России в операции. Метаданные MSI предполагают потенциальные маркеры атрибуции, такие как "xray93" для автора и "whiskey_tool63" для субъекта, оба из которых могут помочь в будущих расследованиях. Идентификатор сборки MSI dropper, наряду с его метаданными, предоставляет уникальный отпечаток пальца, который помогает отслеживать этот конкретный вариант вредоносного ПО и его эволюцию.

Отчет подтверждает модель с двумя арендаторами ВПО как услуга (MaaS), иллюстрирующую, как операторы используют общую инфраструктуру при разработке отдельных сборок вредоносного ПО. Наблюдается непрерывная адаптация после публичного сообщения, поскольку оба предыдущих идентификатора сборки теперь возвращают сообщение "Сборка не найдена", что является четкой стратегией сокрытия их деятельности от защитников. В целом, в отчете подчеркивается сложная динамика киберугроз, связанных с платформой CLICKSMOKE, в частности, ее постоянное оперативное присутствие и угрозы, создаваемые ее многогранными системами доставки. Аналитики по киберугрозам должны сосредоточиться на отслеживании этих эволюционирующих стратегий и выявлении новых артефактов, связанных с этой операцией, для снижения рисков и усиления защитных мер.

#ParsedReport #CompletenessLow
22-04-2026

CTI Report: Krybit Ransomware — Panel Breach by 0APT

https://barricadecyber.com/threat-intelligence-report-krybit-ransomware-panel-breach-by-0apt/

Report completeness: Low

Actors/Campaigns:
Krybit
0apt_syndicate
Ransomhouse

Threats:
0apt_syndicate
Fsociety
Shadow_copies_delete_technique

Victims:
Fuel distribution, Manufacturing, Building materials, Commercial vehicles, Logistics, Education, Construction, Professional services, Pest control, Technology and engineering, have more...

Industry:
Energy, Logistic, Petroleum, Healthcare, Education, Financial

Geo:
Turkey, Botswana, Mexico, Romania, France, New zealand, Austria, Thailand, Japan, Hong kong, Brazil, Portugal, Spain, Canada

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.008, T1005, T1083, T1113, T1213, T1222.002, T1490, T1491.002

IOCs:
File: 22
Coin: 5

Soft:
nginx, MariaDB, phpMyAdmin, ESXi, Active Directory, Linux, Android, roid inte, systemd, php-fpm, have more...

Crypto:
bitcoin

Algorithms:
sha256, zip

Languages:
swift, php

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
13 апреля 2026 года группы вымогателей Krybit и 0APT вступили в киберконфликт, в результате которого были раскрыты их оперативные данные. Krybit, нацеленный на различные сектора с требованиями выкупа от 40 000 до 100 000 долларов, использовал надежную структуру RaaS и настраиваемое шифрование для нескольких платформ. В отличие от этого, установка 0APT's была элементарной, основанной на устройстве Android и страдала от уязвимостей, что ставило под сомнение сообщения об их жертвах и законность работы.
-----

13 апреля 2026 года произошел киберинцидент, который продемонстрировал уязвимости и операционные данные двух групп программ-вымогателей: Krybit и 0APT. Злоумышленник 0APT опубликовал полную базу данных программы-вымогателя Krybit, которая включала записи жертв, учетные данные в виде открытого текста и информацию о биткоин-кошельке, что ознаменовало значительную эскалацию их конфликта. В течение 48 часов Krybit нанесла ответный удар, взломав инфраструктуру 0APT, повредив их сайт утечки данных и выпустив свой собственный набор конфиденциальных файлов, включая исходный код и журналы с сервера компрометации. Это двойное нарушение предоставило беспрецедентную информацию о деятельности обеих групп и операционной экосистеме программ-вымогателей как сервиса (RaaS).

Krybit оказался оппортунистической, но функциональной операцией RaaS с доказательствами, связывающими их по меньшей мере с 13 реальными жертвами в различных секторах, включая образовательные учреждения и предприятия, с требованиями выкупа в размере от 40 000 до 100 000 долларов. В общей сложности Krybit поддерживал пять доменов скрытого сервиса Tor и использовал серверную инфраструктуру, включающую MariaDB, PHP и стандартные компоненты XAMPP. Их метод работы включал создание кастомных сборок шифрования, которые поддерживали несколько платформ — Windows, VMware и NAS—системы, что указывало на их способность ориентироваться на различные среды.

Напротив, операции 0APT's были менее сложными и, казалось, были омрачены плохим техническим исполнением. Вся их настройка осуществлялась с помощью устройства Android, использующего Linux-Parrot в качестве серверной среды, что ограничивало их возможности. Уязвимости, такие как чрезмерно разрешительный доступ к каталогам и неадекватные конфигурации безопасности, способствовали их падению во время конфликта. Кроме того, заявления 0APT's о многочисленных жертвах были в значительной степени сфабрикованы, а тщательный анализ показал, что перечисленные ими цели не соответствовали фактическим утечкам данных или поддающимся проверке инцидентам. Отсутствие у них эксплуатационного доверия было подчеркнуто их многочисленными неудачными попытками ориентироваться в интерфейсах командной строки и запускать программное обеспечение на архитектуре ARM.

Утечка материалов также выявила технические возможности, общие для обеих групп. Отфильтрованные файлы Krybit's содержали внутренние структуры каталогов различных организаций-жертв, а также конфиденциальные данные сотрудников и типы файлов, которые они выбрали приоритетными для шифрования. Инцидент вызвал рекомендации для защитников, включая упреждающую блокировку выявленных доменов .onion и тщательную проверку блокчейн-транзакций, связанных с повторно используемыми биткоин-кошельками, связанными с операциями Krybit.

Этот конфликт стал примером уникального момента в разведке программ-вымогателей, позволившего получить представление как об активных, так и о неэффективных стратегиях игроков. Организациям, идентифицированным как пострадавшие в базе данных Krybit's, было настоятельно рекомендовано незамедлительно инициировать меры реагирования на инциденты, в то же время предостерегая от принятия претензий 0APT за чистую монету из-за их продемонстрированного отсутствия легитимности. Ожидается, что последствия этой публичной конфронтации между коллективами программ-вымогателей повлияют как на оперативную тактику, так и на контрмеры в меняющемся ландшафте киберугроз.

#ParsedReport #CompletenessLow
22-04-2026

Three lessons from DarkSword: inside a government-grade iPhone exploit kit

https://www.jamf.com/blog/darksword-ios-exploit-kit-three-lessons-mobile-security/

Report completeness: Low

Threats:
Darksword_exploitkit

Victims:
Journalists, Politicians, Executives, Iphone users, Cryptocurrency users

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1203, T1587.004

IOCs:
File: 7

Soft:
Telegram

Wallets:
coinbase, trezor, metamask, exodus_wallet

Crypto:
binance

Functions:
start, mpd_kernel_base

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор эксплойтов DarkSword, который теперь доступен в открытом доступе, позволяет Удаленное Выполнение Кода одним щелчком мыши и полный выход из "песочницы" на iOS версий с 18.4 по 18.6.2, предназначенный для не обновленных устройств после сентября 2025 года. Его исходный код указывает на передовые инженерные технологии и подчеркивает потенциал менее опытных разработчиков в использовании сложного шпионского ПО, перенося его угрозу с высокопоставленных лиц на более широкую аудиторию. Кроме того, код поддерживает широкий спектр устройств и прошивок, демонстрируя обширные ресурсы, выделяемые для поддержки этого набора эксплойтов в условиях меняющихся мер безопасности.
-----

Раскрытие DarkSword, правительственного набора эксплойтов для iOS, знаменует собой значительный сдвиг в сфере мобильной безопасности, особенно в связи с тем, что его исходный код стал общедоступным. Первоначально обнаруженный Google Threat Intelligence в марте 2026 года, DarkSword способен выполнять Удаленное Выполнение Кода одним щелчком мыши с полным выходом из "песочницы" в iOS версий с 18.4 по 18.6.2, что оказывает воздействие на пользователей, которые не обновляли свои устройства после 15 сентября 2025 года. Это усовершенствование расширяет возможности атак, начиная с нацеливания в первую очередь на высокопоставленных лиц, таких как журналисты и политики, и заканчивая потенциальной компрометацией любого пользователя iPhone, тем самым создавая новые задачи для служб безопасности.

Анализ исходного кода DarkSword выявляет несколько тревожных характеристик. Во-первых, это демонстрирует, что сложные шпионские программы теперь могут быть использованы менее опытными разработчиками. Фреймворк для эксплойтов демонстрирует передовые инженерные технологии, включая возможности чтения/записи в память, достигаемые с помощью стандартных примитивов, и тщательно организованный обход механизмов безопасности Apple. Примечательно, что код остается незашифрованным и не запутанным, в комплекте с отладочными сообщениями, что делает его доступным для тех, кто обладает техническими навыками и, возможно, не обладает большим опытом разработки эксплойтов.

Во-вторых, под сомнение ставится этика, связанная с коммерческим шпионским ПО. Хотя многие поставщики шпионского ПО утверждают, что их продукты предназначены исключительно для правоохранительных целей, таргетинг DarkSword на криптовалютные приложения указывает на явный отход от этой концепции. Включение конфигурации сбора данных, предназначенной для финансовых приложений, особенно в отношении модифицированных инструментов, таких как Nicegram, укрепляет представление о том, что мотивы получения прибыли могут затмевать этические соображения при внедрении таких технологий.

Наконец, darksword DarkSword подчеркивает значительных усилий и ресурсов, необходимых для поддержания эффективного использования комплекта. Этот фреймворк поддерживает широкий диапазон устройств, включающих 28 моделей и 156 прошивка прошивка через шесть разных версиях iOS. Это требует значительных инвестиций в комплексной инфраструктуры испытания, включая наблюдения и содержание многочисленных устройств. Закомментированный функция, названная startSandworm, предполагает эволюция эксплойтов ядра, намекая на продолжение адаптации разработчиками в ответ на их снижение безопасности Apple.

#ParsedReport #CompletenessLow
22-04-2026

Harvester: APT Group Expands Toolset With New GoGra Linux Backdoor

https://www.security.com/threat-intelligence/harvester-new-linux-backdoor-gogra

Report completeness: Low

Actors/Campaigns:
Harvester (motivation: cyber_espionage)

Threats:
Gogra
Graphon

Victims:
India, Afghanistan, South asia

Industry:
Foodtech

Geo:
Indian, India, Afghanistan, Asia

ChatGPT TTPs:
do not use without manual check
T1036.005, T1036.006, T1036.008, T1059.004, T1071.001, T1102.002, T1132.001, T1204.002, T1543.002, T1547.013, have more...

IOCs:
File: 2
Hash: 5

Soft:
Linux, Graph API, Outlook, systemd, Azure AD

Algorithms:
aes-cbc, aes, exhibit, zip

Platforms:
x64, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Преступная хакерская группировка Harvester запустила Linux-версию бэкдора GoGra, расширяющую свои шпионские возможности, в первую очередь нацеленную на Индию и Афганистан. Этот вариант использует Microsoft Graph API для коммуникаций C2, облегчающий обход традиционных средств защиты, и использует социальную инженерию для получения первоначального доступа с помощью поддельных документов. Ключевые функции включают жестко запрограммированные учетные данные Azure AD для запросов токенов OAuth2 и возможность опроса определенных почтовых ящиков для целевых сообщений, что указывает на единый подход к разработке как для Linux, так и для Windows.
-----

Группа APT Harvester представила новый вариант бэкдора GoGra для Linux, разработанный для расширения возможностей шпионажа, особенно в таких регионах, как Индия и Афганистан. Эта версия использует легитимный API Microsoft Graph и почтовые ящики Outlook для связи с командно-контрольным центром (C2), что позволяет ей избегать обнаружения традиционными мерами безопасности. Новый инструмент тесно связан с ранее обнаруженным вариантом для Windows, что подтверждает стратегию Harvester по расширению кроссплатформенного вредоносного ПО.

Стратегия атаки, используемая Harvester, включает в себя социальную инженерию для получения первоначального доступа. Группа использует поддельные документы, маскируя вредоносные файлы ELF под безобидные файлы документов путем манипулирования расширениями. Эти обманчивые файлы часто содержат темы, актуальные для местной культуры, такие как ссылки на популярные сервисы, например, Zomato Pizza, или религиозные темы. Затем злоумышленники развертывают Go dropper, который внедряет исполняемый файл i386 размером около 5,9 МБ, обеспечивающий постоянное присутствие путем создания пользовательского модуля systemd и записи автозапуска, имитирующей легитимные системные процессы. Критически важной особенностью этого нового бэкдора является использование жестко закодированных учетных данных Azure AD, что позволяет ему взаимодействовать с экосистемой Microsoft для запроса токенов OAuth2. Он опрашивает указанный почтовый ящик, также называемый «Zomato Pizza», на наличие входящих сообщений с интервалом в две секунды. Когда обнаруживается целевое электронное письмо, бэкдор расшифровывает его содержимое с помощью шифрования AES-CBC и выполняет полезную нагрузку. Этот персонализированный механизм управления и контроля демонстрирует тактический акцент Harvester на использовании доверенных сервисов для скрытого осуществления своей деятельности.

Кроме того, анализ показывает, что версии вредоносного ПО GoGra для Linux и Windows имеют практически идентичную базовую кодовую базу, что указывает на то, что Harvester использует единый подход к разработке на обеих платформах. Несмотря на различия в развертывании, функциональность управления и контроля остается неизменной, а наличие повторяющихся орфографических ошибок на обеих архитектурах устройств предполагает влияние одного злоумышленника.



Внедрение этого бэкдора для Linux подчеркивает постоянное стремление Harvester к расширению своего инструментария и охвату более широкой аудитории в рамках установленных зон интересов, особенно в Южной Азии, где преследуются цели, связанные со шпионажем. В целом, это событие представляет собой эволюцию тактики Harvester, демонстрируя адаптивность группы и ее постоянные усилия по проникновению в определенные демографические группы с помощью специально разработанных, культурно-релевантных механизмов атак.

#ParsedReport #CompletenessMedium
22-04-2026

GPT-Proxy Backdoor in npm and PyPI turns Servers into Chinese LLM Relays

https://www.aikido.dev/blog/gpt-proxy-backdoor-npm-pypi-chinese-llm-relay

Report completeness: Medium

Threats:
Ngrok_tool
Chisel_tool

Victims:
Kubernetes environments, Servers

Industry:
Healthcare

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1036.005, T1070.004, T1071.001, T1090, T1105, T1129, T1140, T1195.001, have more...

IOCs:
File: 5
Url: 2
Domain: 1
Hash: 4

Soft:
Kubernetes, Node.js, HashiCorp Vault, openai, anthropic, TinyProxy, HuggingFace, ChatGPT, Claude, curl, have more...

Crypto:
ethereum

Algorithms:
xor, sha256

Functions:
require

Languages:
python, cython

Platforms:
intel

Links:
have more...
https://github.com/jpillora/chisel
https://github.com/AikidoSec/safe-chain

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два вредоносных пакета, обнаруженных в npm и PyPI, kube-health-tools и kube-node-health, нацелены на среды Kubernetes путем развертывания бэкдора, который настраивает прокси-сервер LLM на зараженных компьютерах. Вредоносное ПО выполняет собственные двоичные файлы при импорте для подключения к серверу C2, перенаправляя сетевой трафик через установленные обратные туннели. Полезная нагрузка stage 2 позволяет использовать прокси-сервер SOCKS5, обратный доступ к оболочке и манипулировать запросами API, позволяя злоумышленникам извлекать конфиденциальную информацию, подчеркивая растущие проблемы в сфере киберугроз.
-----

Недавняя разведка выявила два вредоносных пакета в npm и PyPI, названных kube-health-tools и kube-node-health соответственно, направленных на компрометацию сред Kubernetes. Хотя эти пакеты кажутся законными, они запускают бэкдор, который устанавливает прокси-службу LLM (Large Language Model) на зараженных компьютерах. Основной механизм включает в себя собственные двоичные файлы, которые либо выполняются при импорте, либо при вызовах require(). Эти дропперы предназначены для загрузки полезной нагрузки этапа 2 с GitHub при встраивании зашифрованных XOR данных конфигурации, важных для дальнейших операций.

Код дроппера подключается к определенному серверу управления (C2) по адресу sync.geeker.indevs.in , используя жестко закодированные учетные данные для аутентификации. Он использует механизм маскировки, чтобы слиться с законными процессами (проверка работоспособности узла), и устанавливает обратные туннели, которые перенаправляют порты с уязвимого хоста обратно на сервер злоумышленника. В частности, порты 4444, 4445 и 4446 перенаправляются к различным локальным службам, таким как прокси-сервер LLM и сервер SSH для компрометации, а также имеют резервный вариант ngrok для публичного доступа.

После активации дропперы стирают все следы своей деятельности, включая удаление загруженных двоичных файлов и их родительских каталогов, гарантируя, что после выполнения не останется артефактов криминалистического анализа.

Впоследствии полезная нагрузка этапа 2 — скомпилированный двоичный файл Go — связывается с сервером C2 через WebSocket. Он регистрирует определенные туннели с использованием протокола туннелирования Chisel и может выполнять несколько вредоносных действий. Двоичный файл предоставляет прокси-сервер SOCKS5 для произвольного перенаправления TCP-трафика, обратную оболочку для интерактивного доступа к терминалу (защищенную базовым паролем) и полнофункциональный прокси-сервер LLM, который взаимодействует с вышестоящими API, особенно с теми, которые официально не связаны с OpenAI, подчеркивая зависимость от китайских маршрутизаторов LLM.

Этот прокси-сервер вызывает особое беспокойство, поскольку вредоносные акторы могут использовать его для прозрачного управления запросами, потенциально вводя вредоносные команды, которые выполняются без ведома клиента, и извлекая конфиденциальную информацию, такую как ключи API и личные учетные данные, во время передачи.

Используемая здесь тактика согласуется с более широкой тенденцией в области киберугроз в Китае, где серверы компрометации перепрофилируются в прокси-узлы, демонстрируя сложный рынок несанкционированного доступа к моделям искусственного интеллекта, обусловленный повсеместной цензурой в регионе. Злоумышленники используют эту инфраструктуру для обеспечения незаконного доступа к предложениям искусственного интеллекта, часто подрывая работу законных поставщиков, что еще больше усложняет ландшафт угроз в области кибербезопасности.

Наличие этих бэкдорных инструментов свидетельствует о растущей угрозе, подчеркивая необходимость в надежных мерах безопасности, адаптированных для защиты от эволюционирующих методов хакерских группировок.

#ParsedReport #CompletenessLow
22-04-2026

Mustang Panda Strikes India and South Korea with Updated LOTUSLITE Backdoor in Espionage Campaign

https://www.secureblink.com/cyber-security-news/mustang-panda-strikes-india-and-south-korea-with-updated-lotuslite-backdoor-in-espionage-campaign

Report completeness: Low

Actors/Campaigns:
Red_delta (motivation: cyber_espionage, financially_motivated)

Threats:
Lotuslite
Dll_sideloading_technique

Victims:
Banking sector, Financial sector, Policy circles, Diplomatic circles, Government

Industry:
Financial, Government

Geo:
Venezuela, India, Korean, Asian, China, Korea

ChatGPT TTPs:
do not use without manual check
T1027.007, T1071.001, T1105, T1204.002, T1218.001, T1566.001, T1566.002, T1568.002, T1574.002, T1585.002, have more...

IOCs:
File: 5
Domain: 2

Soft:
Gmail

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанная с Китаем группировка Mustang Panda проводит шпионскую кампанию, нацеленную на банковский сектор Индии и политические круги Южной Кореи, используя обновленный бэкдор LOTUSLITE (версия 1.1). В Индии они внедрили вредоносные файлы CHM для заражения сотрудников банка HDFC, в то время как в Южной Корее они выдавали себя за американского чиновника, чтобы отправлять зараженные ссылки на Google Диск. Бэкдор LOTUSLITE включает в себя улучшения для скрытности с помощью модифицированных маркеров кода и методов DLL Sideloading, сохраняя при этом фокус на шпионской деятельности.
-----

Связанная с Китаем группировка Mustang Panda недавно инициировала шпионскую кампанию, нацеленную на банковский сектор Индии и политические круги Южной Кореи, внедрив обновленную версию своего бэкдора LOTUSLITE (версия 1.1). Эта кампания знаменует собой стратегический сдвиг для Mustang Panda, которая ранее фокусировалась на правительственных структурах США, в частности, используя геополитические приманки, связанные с Венесуэлой. Текущие цели группы подчеркивают экспансию в критически важные финансовые и дипломатические сферы в Индии и Южной Корее.

В Индии Mustang Panda использовала вредоносные CHM-файлы, которые маскировались под законные документы, чтобы заманить сотрудников HDFC Bank. Когда пользователь взаимодействовал с файлом с именем "Запрос на поддержку.chm", он инициировал загрузку вредоносной полезной нагрузки JavaScript, перенаправляя пользователей на домен, что способствовало дальнейшему заражению. С помощью обманчивых всплывающих окон, имитирующих настоящие банковские приложения, был успешно внедрен бэкдор LOTUSLITE, позволяющий получить скрытый доступ к зараженным системам.

Между тем, целью нападения на Южную Корею было выдача себя за Виктора Ча, известного бывшего директора по делам Азии в Совете национальной безопасности США. Злоумышленники создавали поддельные сообщения через поддельную учетную запись Gmail, отправляя ссылки на зараженные папки Google Drive, содержащие сфабрикованные письма-приглашения, направленные на оказание влияния на политиков. Эта стратегия подчеркивает адаптацию тактики шпионажа группы, переходящей от целей правительства США к стратегически важным секторам в Азии.

Переработанный бэкдор LOTUSLITE содержит усовершенствования, направленные на то, чтобы избежать обнаружения при сохранении своих функций шпионажа. Ключевые изменения включают изменения во внутренних маркерах кода, замену флагов команд для улучшения скрытности и использование разрешения runtime API с помощью ntdll.dll цепочки, усложняющие статический анализ. Несмотря на эти нововведения, остаточные идентификаторы кода из предыдущих итераций указывают на продолжающуюся разработку одним и тем же злоумышленником.

Используемый метод атаки включает DLL Sideloading, когда злоумышленники используют законные исполняемые файлы, подписанные Microsoft, для развертывания своих вредоносных библиотек DLL, не вызывая тревоги. Такой подход позволяет вредоносному ПО работать под прикрытием доверия. Бэкдор LOTUSLITE обладает возможностями удаленного выполнения команд, манипулирования файлами и управления сеансами, что свидетельствует о его основной направленности на шпионаж, а не на финансовую выгоду.

Исторически сложилось так, что Mustang Panda использовала инфраструктуру, которая помогает связать текущую деятельность с прошлыми атаками. Их коммуникации по управлению направляются через установленные сервисы, такие как Gleeze, что еще раз подтверждает принадлежность этих кампаний группе. Исследователи оценили эту атрибуцию с умеренной уверенностью, основываясь на общих шаблонах кода, согласованном рабочем поведении и многократном использовании инфраструктуры.

#ParsedReport #CompletenessMedium
22-04-2026

Cloned, Loaded, and Stolen: How 109 Fake GitHub Repositories Delivered SmartLoader and StealC

https://hexastrike.com/resources/blog/threat-intelligence/cloned-loaded-and-stolen-how-109-fake-github-repositories-delivered-smartloader-and-stealc/

Report completeness: Medium

Threats:
Smartloader
Stealc
Dead_drop_technique

Victims:
Github users, Software developers, Open source software projects

Industry:
Financial

Geo:
United kingdom

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 5
Coin: 1
Command: 2
IP: 3
Hash: 74

Soft:
Task Scheduler

Crypto:
ethereum

Algorithms:
zip, sha256

Functions:
GetConsoleWindow

Win API:
Polygon

Languages:
lua

Platforms:
x64

Links:
https://github.com/grimlockx/GitHubSmartLoader/blob/main/README.md#cloned-loaded-and-stolen-how-109-fake-github-repositories-delivered-smartloader-and-stealc
have more...
https://github.com/grimlockx/GitHubSmartLoader/blob/main/README.md#executive-summary

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания использовала поддельные репозитории GitHub для распространения вредоносного ПО, используя SmartLoader, загрузчик на основе LuaJIT и полезную нагрузку для кражи данных StealC. SmartLoader использует обфускацию Prometheus, вызывает Windows API через FFI, выполняет такие задачи, как захват скриншотов, и взаимодействует с инфраструктурой C2 через смарт-контракт блокчейна для динамической ротации адресов. Заражение инициируется при выполнении ZIP-файла, что приводит к закреплению с помощью запланированных задач, в то время как обе полезные нагрузки работают в памяти, что позволяет избежать обнаружения.
-----

Недавнее расследование выявило вредоносную кампанию, использующую поддельные репозитории GitHub для распространения вредоносного ПО, в частности загрузчика на базе LuaJIT, известного как SmartLoader, наряду с полезной нагрузкой для кражи данных под названием StealC. В этой кампании было задействовано 109 вредоносных репозиториев в 103 учетных записях, которые выдают себя за популярные проекты с открытым исходным кодом. Пользователи перенаправляются на ZIP-файлы, содержащие SmartLoader, который выполняется с помощью интерпретатора LuaJIT.

SmartLoader функционирует как загрузчик для последующих вредоносных полезных нагрузок, используя обфускацию Prometheus для маскировки своего поведения. Вредоносное ПО использует интерфейс внешних функций Windows (FFI) для прямого вызова собственных API-интерфейсов Windows, что позволяет ему выполнять такие задачи, как захват скриншотов, снятие отпечатков пальцев системы и выполнение последующих полезных нагрузок в памяти. Вредоносное ПО устанавливает связь со своей инфраструктурой командования и контроля (C2) посредством смарт-контракта Polygon, позволяя злоумышленнику легко менять свою инфраструктуру без необходимости изменять само вредоносное ПО.

Процесс заражения инициируется, когда жертва загружает ZIP-файл из одного из вредоносных репозиториев и запускает пакетный файл, который запускает SmartLoader. После выполнения он извлекает зашифрованные последующие полезные файлы из того же хранилища. Вредоносное ПО устанавливает закрепление, создавая две запланированные задачи, которые либо запускают кэшированную версию полезной нагрузки, либо загружают свежую копию с GitHub.

Полезная нагрузка второго этапа, StealC, также хранится в том же репозитории и встроена в виде зашифрованного файла. После расшифровки StealC функционирует аналогично SmartLoader, эффективно используя тот же загрузчик для выполнения своих операций без записи на диск. Использование SmartLoader не только обеспечивает выполнение в памяти, но и предоставляет ему возможность извлекать и эксфильтрировать конфиденциальную информацию обратно на простой IP-адрес с помощью составных POST-запросов.

Чтобы незаметно поддерживать свои операции, вредоносное ПО обменивается данными через RPC блокчейна и использует вызовы JSON-RPC для получения своего адреса C2 из смарт-контракта. Этот метод скрывает свои коммуникации, делая стандартные методы обнаружения менее эффективными.

Индикаторы компрометации, связанные с этой кампанией, включают исходящие подключения к URL-адресам необработанного контента GitHub, конкретные шаблоны HTTP-сообщений, иллюстрирующие эксфильтрацию данных, и запланированные задачи, выполняемые из каталогов, доступных для записи пользователем. Превентивные меры включают принудительную проверку источника для загрузок с GitHub, внедрение средств управления приложениями для блокировки неподписанных двоичных файлов и ограничение доступа к ресурсам, используемым вредоносным ПО, таким как конечные точки RPC блокчейна.

Эта сложная и адаптивная вредоносная кампания иллюстрирует эволюционирующую природу киберугроз, подчеркивая необходимость постоянного обновления стратегий обнаружения и предотвращения.

Иногда очень интересно наблюдать как части одних и тех же индикаторов мелькают в отчетах разных компаний.