#ParsedReport #CompletenessLow
27-11-2024

Credit Card Skimmer Malware Targeting Magento Checkout Pages

https://blog.sucuri.net/2024/11/credit-card-skimmer-malware-targeting-magento-checkout-pages.html

Report completeness: Low

Victims:
Magento websites

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1036, T1078.003

IOCs:
Domain: 3
File: 1

Algorithms:
base64, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 5, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа нацелена на веб-сайты Magento с помощью вредоносного JavaScript-кода, предназначенного для кражи ценных данных клиентов во время оформления заказа. Вредоносная программа создает поддельные формы кредитных карт или извлекает поля для оплаты, отправляя зашифрованные данные на удаленный сервер. В тексте также рассказывается об обнаружении вредоносного ПО на зараженных веб-сайтах, о том, как оно работает, и даются рекомендации по защите платформ электронной коммерции. Кроме того, в нем рассказывается о Пудже Шриваставе (Puja Srivastava), аналитике по безопасности, специализирующемся на исследовании вредоносных программ и устранении их последствий, который занимается борьбой с новыми вредоносными угрозами.
-----

Веб-сайты Magento являются главной мишенью для киберпреступников из-за их распространенности в сфере электронной коммерции и ценной информации о клиентах, которую они обрабатывают.

Была обнаружена вредоносная программа JavaScript, нацеленная на сайты Magento с целью кражи зашифрованных данных клиентов во время оформления заказа.

Вредоносная программа работает путем создания поддельных бланков кредитных карт или извлечения полей для оплаты непосредственно на страницах оформления заказа.

Вредоносная программа была впервые обнаружена Уэстоном Генри (Weston Henry) и предназначена для объединения вредоносных программ для файловой системы и баз данных с передовыми методами обфускации.

На момент написания статьи 8 веб-сайтов были заражены этой вредоносной программой, исходящей из занесенного в черный список домена dynamicopenfonts.app.

Информация о кредитной карте и пользовательские данные, собранные с помощью API-интерфейсов Magento, шифруются и отправляются на удаленный сервер по адресу staticfonts.com stealthly.

Рекомендации по защите платформ электронной коммерции включают постоянное обновление программного обеспечения, безопасное управление учетными записями администраторов, внедрение мониторинга целостности файлов и развертывание брандмауэра веб-приложений (WAF).

Пуджа Шривастава, аналитик по безопасности, специализирующийся на исследовании, обнаружении и устранении вредоносных программ, активно борется с новыми вредоносными угрозами в этой области.

#ParsedReport #CompletenessLow
28-11-2024

Malicious PyPI crypto pay package aiocpa implants infostealer code

https://www.reversinglabs.com/blog/malicious-pypi-crypto-pay-package-aiocpa-implants-infostealer-code

Report completeness: Low

Threats:
Aiocpa_stealer
Typosquatting_technique
Supply_chain_technique

ChatGPT TTPs:
do not use without manual check
T1204, T1071

IOCs:
Hash: 4

Algorithms:
base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносного кода, скрытого в, казалось бы, легальном пакете Python под названием aiocpa, который был нацелен на криптовалютные кошельки. ReversingLabs, система поиска угроз, основанная на машинном обучении, обнаружила вредоносный пакет и отправила сообщение об этом в Python Package Index (PyPI) для удаления, подчеркнув уникальный подход злоумышленников. Используя для дифференциального анализа такие инструменты, как Spectra Assure, исследователи смогли выявить модели вредоносного поведения в различных версиях пакета и подчеркнуть важность передовых средств обеспечения безопасности цепочки поставок программного обеспечения для обнаружения и устранения таких угроз. Этот инцидент подчеркивает растущую сложность угроз безопасности программного обеспечения с открытым исходным кодом и необходимость для организаций внедрять специальные инструменты для глубокого изучения поведения программного обеспечения для эффективной борьбы с этими угрозами.
-----

ReversingLabs выявила вредоносный код в пакете aiocpa, направленный на компрометацию криптовалютных кошельков.

Атака была уникальной, поскольку участники не выдавали себя за легальные пакеты, а разработали свой собственный крипто-клиентский инструмент для привлечения пользователей.

Вредоносный код был внедрен в сам пакет PyPI, что позволило избежать традиционных проверок безопасности.

RL Spectra Assure был использован для дифференциального анализа двух версий пакета, чтобы выявить методы злоумышленников.

Вредоносный код был идентифицирован в версиях 0.1.13 и 0.1.14 путем обнаружения моделей поведения, связанных с вредоносным ПО.

Spectra Assure использует извлечение индикаторов поведения во время статического анализа для оценки и снижения рисков безопасности программного обеспечения сторонних производителей.

Политики поиска угроз (Threat Hunting, TH) в рамках Spectra помогают автоматизировать обнаружение угроз и смягчать угрозы в цепочке поставок программного обеспечения.

Этот инцидент подчеркивает необходимость в таких передовых инструментах, как Spectra Assure, для борьбы с появляющимися угрозами безопасности программного обеспечения с открытым исходным кодом.

#cyberthreattech
Что-то уже начало работать.
Но, скорее всего, в декабре в паблик выкатить не успеем, только закрытый бета-тест проведем.

#ParsedReport #CompletenessHigh
29-11-2024

Matrix Unleashes A New Widespread DDoS Campaign

https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign

Report completeness: High

Actors/Campaigns:
Matrix (motivation: script_kiddie, financially_motivated)

Threats:
Mirai
Pybot
Discordgo
Gorillabot
911s5
Zephyrus
Supply_chain_technique
Kryptik
Sshscan_tool
Siggen
Casdet
Bashlite

Industry:
Iot, Telco, Software_development, Critical_infrastructure

Geo:
Ukraine, Ukrainian, Russian, Japan, China, Apac, Usa, Russia

CVEs:
CVE-2017-17106 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zivif pr115-204-p-rs firmware (2.3.4.2103)

CVE-2017-18368 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- billion 5200w-t firmware (7.3.8.0)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l firmware (le2.05b01)

CVE-2024-27348 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache hugegraph (<1.3.0)

CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2022-30075 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax50 firmware (le210730)

CVE-2022-30525 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel usg flex 100w firmware (<5.30)

CVE-2021-20090 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- buffalo wsr-2533dhpl2-bk firmware (le1.02)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-10562 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-9995 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tbkvision tbk-dvr4216 firmware (-)


TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 11
File: 2
IP: 6

Soft:
Telegram, Hadoop, Linux, OpenSSH, OpenWRT, Discord, Windows Defender, SQLlite, ubuntu, Zyxel, have more...

Algorithms:
md5

Win API:
pie

Languages:
perl, golang, python, javascript, java

Platforms:
x86

Links:
https://github.com/milesrack/pynet
https://github.com/bwmarrin/discordgo
have more...
https://github.com/wodxgod/PYbot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи Aqua Nautilus раскрыли широкомасштабную кампанию DDoS, организованную хакером по имени Matrix, использующим доступные инструменты и методы для выявления уязвимостей в IoT и корпоративных системах с целью получения финансовой выгоды, а также для майнинга криптовалют. Кампания предполагает использование уязвимостей, неправильных настроек и слабых учетных данных на различных устройствах, что приводит к созданию глобальной ботнета под управлением Matrix. Для борьбы с такими угрозами Aqua Nautilus предлагает решения для обеспечения безопасности, такие как CNAPP и DTA, которые помогают организациям укрепить свои позиции в области защиты от возникающих киберугроз.
-----

Исследователи Aqua Nautilus раскрыли широкомасштабную кампанию по борьбе с отказом в обслуживании (DDoS), организованную хакером по имени Matrix. Расследование раскрывает методы, цели и инструментарий Matrix, демонстрируя, как доступные инструменты и минимальные технические знания могут способствовать проведению крупномасштабных кибератак. Кампания нацелена на уязвимости и неправильные настройки в IoT и корпоративных системах, используя общедоступные скрипты, атаки методом перебора и использование слабых учетных данных для создания глобальной ботнет-сети для сбоев.

Кампания Matrix знаменует собой смещение акцента в сторону серверов разработки и производства, что указывает на заинтересованность в использовании корпоративных уязвимостей для DDoS-атак. Хакер использует ряд инструментов и методов для использования слабых мест в различных устройствах и программных системах, демонстрируя ориентацию на финансовую выгоду, а не на политические мотивы. Используя широкий спектр общедоступных скриптов и инструментов, злоумышленники могут получить доступ к целому ряду подключенных к Интернету устройств, включая устройства Интернета вещей, маршрутизаторы, телекоммуникационное оборудование и корпоративные серверы. Примечательно, что значительное количество взломанных устройств по-прежнему использует учетные данные по умолчанию или ненадежные учетные данные, что делает их уязвимыми для использования.

Хакерская кампания включает использование уязвимостей в маршрутизаторах, видеорегистраторах, камерах, телекоммуникационном оборудовании, устройствах Интернета вещей и корпоративных программных системах. Аккаунт Matrix на GitHub демонстрирует использование Python, Shell, Golang и других языков для разработки и модификации вредоносных инструментов. Наблюдаемая схема активности предполагает структурированный подход к созданию и совершенствованию инструментов ботнета при изучении различных областей атак, демонстрируя значительное внимание сканированию, использованию и развертыванию вредоносных программ, в первую очередь для DDoS-атак на устройства и серверы Интернета вещей.

Исследователь обнаружил множество распространенных уязвимостей (CVE), на которые нацелился хакер, в основном на устройствах Интернета вещей, маршрутизаторах и корпоративных серверах. Кампания использует неправильные настройки и слабые учетные данные в качестве начальных средств доступа для компрометации большого количества устройств по всему миру, что потенциально может привести к созданию крупной ботнета под контролем хакера.

Кампания Matrix также включает в себя создание Telegram-бота для продажи услуг DDoS-атак, нацеленных как на атаки уровня 4, так и на атаки уровня 7 с целью перегрузки серверов. Хотя в кампании преобладают финансовые мотивы, хакер также занимается добычей криптовалюты, хотя и с ограниченной финансовой выгодой.

Для борьбы с такими угрозами Aqua Nautilus предлагает платформу облачных приложений (CNAPP) для обеспечения безопасности во время выполнения в облачных средах и динамический анализ угроз (DTA) для анализа вредоносных программ в контейнерных средах. Выявляя и устраняя уязвимости, организации могут укрепить свою систему безопасности против развивающихся киберугроз, подобных той, которую реализует Matrix.

#ParsedReport #CompletenessHigh
30-11-2024

RomCom exploits Firefox and Windows zero days in the wild

https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Unc2596 (motivation: cyber_espionage)

Threats:
Romcom_rat
Redir
Dll_injection_technique

Industry:
Energy, Healthcare

Geo:
Russia, Ukraine, Germany, America

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20107)
- microsoft windows 10 1607 (<10.0.14393.6167)
- microsoft windows 10 1809 (<10.0.17763.4737)
- microsoft windows 10 21h2 (<10.0.19044.3324)
- microsoft windows 10 22h2 (<10.0.19044.3324)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20826)
- microsoft windows 10 1607 (<10.0.14393.7515)
- microsoft windows 10 1809 (<10.0.17763.6532)
- microsoft windows 10 21h2 (<10.0.19044.5131)
- microsoft windows 10 22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 13
Technics: 31

IOCs:
File: 12
Domain: 9
Url: 1
IP: 10
Hash: 6

Soft:
Firefox, Windows Task Scheduler, Component Object Model, wordpad, Microsoft Word, Tor Browser, task scheduler, Windows security

Algorithms:
sha1, zip

Functions:
getInfo

Win API:
NdrClientCall2

Languages:
javascript, powershell

Links:
https://github.com/monoxgas/sRDI/blob/master/ShellcodeRDI/ShellcodeRDI.c
https://github.com/silverf0x/RpcView
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении критической уязвимости нулевого дня CVE-2024-9680 в продуктах Mozilla, эксплуатируемой хакерской группой RomCom, а также в использовании другой уязвимости нулевого дня в Windows для внедрения бэкдора в системы жертв. Атака включает в себя перенаправление пользователей на поддельный веб-сайт, на котором размещен эксплойт, что позволяет выполнять вредоносный код без участия пользователя. Кроме того, в тексте обсуждается сложность атак RomCom, их сотрудничество с Mozilla для раскрытия информации и важность надежных мер кибербезопасности против APT, использующих уязвимости нулевого дня.
-----

Исследователи ESET обнаружили критическую уязвимость нулевого дня CVE-2024-9680 в продуктах Mozilla, которую использовала связанная с Россией хакерская группа RomCom.

RomCom использовал CVE-2024-9680 для запуска кода в контексте таких браузеров, как Firefox, Thunderbird и Tor Browser.

RomCom также использовал уязвимость Windows нулевого дня CVE-2024-49039, которая в сочетании с уязвимостью Mozilla позволяла выполнять произвольный код в пользовательском контексте.

Жертвы, посещающие скомпрометированные веб-сайты, могут невольно выполнить вредоносный код, который приведет к установке бэкдора RomCom в их системах.

RomCom, также известный как Storm-0978, специализируется на кибершпионаже и оппортунистических кампаниях, нацеленных на конкретные сектора бизнеса.

Эксплуатация включала перенаправление пользователей на поддельный веб-сайт для развертывания бэкдора RomCom с использованием шеллкода.

Mozilla и Microsoft оперативно исправили уязвимости после их обнаружения.

Жертвами нападений были люди в Европе и Северной Америке, причем число жертв в разных странах было разным.

Метод атаки заключался в создании запланированной задачи для повышения привилегий и выхода из изолированной среды браузера.

Совместное использование RomCom двух уязвимостей нулевого дня продемонстрировало высокую степень изощренности, что потребовало принятия надежных мер кибербезопасности для защиты.

#ParsedReport #CompletenessLow
30-11-2024

T-Mobile Thwarts Chinese Hackers: Salt Typhoon Telecom Breach Stopped

https://www.secureblink.com/cyber-security-news/t-mobile-thwarts-chinese-hackers-salt-typhoon-telecom-breach-stopped

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Volt_typhoon

Victims:
T-mobile, At&t, Verizon, Lumen technologies

Industry:
Government, Critical_infrastructure, Telco

Geo:
Canada, India, China, Chinese, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1049

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что T-Mobile успешно предотвратила кибератаку, проведенную спонсируемой китайским государством хакерской группой "Salt Typhoon", что подчеркивает более широкую тенденцию кибератак, нацеленных на критически важную инфраструктуру в различных регионах. Атака была нацелена на сеть T-Mobile из-за уязвимостей в маршрутизаторах, но упреждающий мониторинг и защитные механизмы помогли обнаружить и предотвратить значительную компрометацию клиентских данных. Этот инцидент проливает свет на более масштабные телекоммуникационные атаки группы и подчеркивает глобальный охват подобных кампаний, подчеркивая важность раннего обнаружения и надежной защиты от кибербезопасности для борьбы со сложными киберугрозами.
-----

Недавно T-Mobile предотвратила кибератаку, организованную спонсируемой китайским государством хакерской группой, известной как "Солт Тайфун", также известной под псевдонимами Earth Estries, FamousSparrow, Ghost Emperor и UNC2286. Эта атака была частью более широкой тенденции кибератак, нацеленных на критически важную инфраструктуру в регионах, включая Юго-Восточную Азию, Соединенные Штаты и Канаду. Хакеры проникли в сеть T-Mobile через уязвимости в маршрутизаторах компании, потенциально намереваясь переместиться в другое место для поиска других уязвимостей. Однако проактивный мониторинг T-Mobile и надежные защитные механизмы помогли обнаружить нарушение на ранней стадии, предотвратив существенную компрометацию клиентских данных.

Брешь в T-Mobile была обнаружена, когда инженеры заметили необычные команды на маршрутизаторах, которые соответствовали тактике и показателям компрометации, связанным с Salt Typhoon. Этот инцидент пролил свет на более масштабные телекоммуникационные атаки, приписываемые этой группе, которые были направлены против крупных провайдеров, таких как AT&T, Verizon и Lumen Technologies, а также правительственных органов и политических учреждений. Как Агентство кибербезопасности и защиты инфраструктуры США (CISA), так и ФБР подтвердили, что злоумышленники взломали конфиденциальные коммуникации с участием правительственных чиновников, подчеркнув серьезность угрозы.

Более того, обнародование Канадой результатов сканирования сети, связанных с китайскими хакерами, еще раз подчеркнуло глобальный охват таких кампаний, что согласуется со всеобъемлющей стратегией Китая в области кибершпионажа. Хотя китайская группа Volt Typhoon напрямую не связана с Salt Typhoon, она недавно провела атаки на интернет-провайдеров и поставщиков управляемых услуг (MSP) в США и Индии. В этих атаках использовались украденные учетные данные и эксплойты нулевого дня, демонстрирующие высокий уровень изощренности и настойчивости, сродни кампании Salt Typhoon.

Быстрая реакция T-Mobile на взлом служит подтверждением ценности раннего обнаружения и надежной защиты от кибербезопасности для предотвращения крупных инцидентов безопасности. Однако этот инцидент подчеркивает сохраняющуюся уязвимость телекоммуникационного сектора, подчеркивая необходимость укрепления международного сотрудничества и усиления мер кибербезопасности для защиты от сложных угроз, подобных тем, которые исходят от Salt Typhoon и связанных с ними группировок.

#ParsedReport #CompletenessHigh
30-11-2024

The RAT race: What happens when RATs go undetected

https://fieldeffect.com/blog/what-happens-when-rats-go-undetected

Report completeness: High

Threats:
Motw_bypass_technique
Batchshield_tool
Donut
Lazzzy
Dcrat
Asyncrat
Xworm_rat
Purelogs

Industry:
Financial

CVEs:
CVE-2024-38213 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1553.005, T1204.005, T1566.001, T1027, T1059.005, T1027.002, T1140, T1505.001, T1071.001

IOCs:
File: 33
Hash: 49
IP: 11
Domain: 8
Email: 1
Url: 1

Soft:
Windows Defender SmartScreen, Windows Explorer, Selenium, Chrome, Microsoft Edge, TryCloudflare

Algorithms:
zip, sha256, rc4

Languages:
python, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте описывается инцидент с киберугрозой, в ходе которого было проанализировано вредоносное вложение электронной почты, что привело к обнаружению сложной цепочки атак, включающей использование уязвимости Windows для выполнения множества вредоносных сценариев и полезной нагрузки. Анализ выявил наличие средств удаленного доступа (RATs) и полезной нагрузки для кражи данных, продемонстрировав сложные методы уклонения и использование доменов управления, размещенных на поддоменах Duck DNS. Этот инцидент подчеркивает важность быстрого обнаружения угроз и их сдерживания в условиях растущих киберугроз с акцентом на упреждающие меры кибербезопасности и эффективную аналитику угроз для снижения рисков.
-----

Клиент Field Effect MDR (Managed Detection and Response) получил электронное письмо, содержащее вредоносное вложение, сохраненное во временном каталоге Windows. Несмотря на то, что оно было обнаружено как вредоносное, был рассмотрен гипотетический сценарий, при котором эксплойт обходил функции безопасности. Эксплойт HTML-файла был нацелен на CVE-2024-38213, чтобы обойти защиту Windows MoTW и запустить серию вредоносных скриптов. Файл LNK, замаскированный под PDF, привел к созданию сценария Visual Basic, который запускал цепочку событий для выполнения различных полезных задач.

В ходе анализа были обнаружены запутанные файлы на Python, в которых использовались инструменты удаленного доступа (RATs), такие как DcRAT, AsyncRAT и XWorm, а также a.NET полезная нагрузка, использующая программу PureLog Stealer для кражи данных. В полезной нагрузке использовались различные методы обхода, шифрования и выполнения в памяти, чтобы избежать обнаружения. Запуск RATs был основан на обнаружении антивирусного программного обеспечения в целевой системе, что обеспечивало избыточность при выполнении полезной нагрузки.

Кроме того, домены command и control для RATs и PureLog Stealer указывали на поддомены DNS Duck, направляющие трафик на IP-адреса, размещенные AT&T в США. Поддомены часто включали имена RAT для целей отслеживания. Интересно, что вредоносные файлы были размещены в каталогах WebDAV, а URL-адреса были быстро настроены и удалены с помощью сервиса TryCloudflare от Cloudflare для обеспечения анонимности.

Гипотетический сценарий продемонстрировал потенциальное воздействие, если хакер получит удаленный доступ, подчеркнув необходимость быстрого обнаружения и сдерживания угроз. Несмотря на сложную цепочку атак, Field Effect MDR успешно перехватила и нейтрализовала угрозу на ранней стадии, предотвратив потенциальное внедрение программ-вымогателей или утечку данных.

В ходе анализа были идентифицированы конкретные файлы, связанные с каждым RAT и полезной нагрузкой, что демонстрирует разнообразные возможности развернутого вредоносного ПО. Использование злоумышленниками различных методов уклонения и сохранения информации подчеркивает сложность и адаптивность современных киберугроз. На протяжении всего анализа подчеркивается важность упреждающих мер кибербезопасности и эффективного анализа угроз для их устранения.