#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская государственная группа APT37 провела операцию "Операция: история ToyBox", используя фишинг с использованием файлов LNK для развертывания вредоносного ПО RoKRAT по ссылкам Dropbox. Эта вредоносная программа использует методы скрытой работы без использования файлов, выполняет команды PowerShell и позволяет выполнять удаленные команды, что усложняет обнаружение. APT37 нацелена на уязвимости в Internet Explorer и распространила тактику на другие платформы, подчеркивая необходимость расширенного обнаружения угроз.
-----

В марте 2025 года северокорейская хакерская группа APT37, спонсируемая государством, провела масштабную фишинговую кампанию под названием "Операция: история ToyBox", направленную против активистов, ориентированных на Северную Корею. В ходе атаки была использована тактика социальной инженерии, которая была осуществлена под видом приглашения на научный форум, якобы организованный южнокорейским аналитическим центром по национальной безопасности. Злоумышленники использовали Dropbox в качестве канала передачи вредоносных файлов LNK, упакованных в ZIP-архивы, маскируя их под законный контент, связанный с размещением северокорейских войск в России.

Фишинговые электронные письма spear содержали ссылки на Dropbox, которые вели к сжатым файлам с вредоносными файлами LNK, способными выполнять скрытые команды PowerShell при извлечении и запуске. Вредоносное поведение началось, когда пользователи запустили файл LNK, который активировал документ-приманку, одновременно инициируя загрузку дополнительных вариантов вредоносного ПО. В частности, проанализированное вредоносное ПО было идентифицировано как RoKRAT, семейство, известное своей скрытой реализацией методов атаки без использования файлов, позволяющих обойти традиционное антивирусное обнаружение.

RoKRAT заражает системы, сначала собирая важную системную информацию, сохраняя ее в памяти и генерируя инструкции для взаимодействия со своими облачными серверами управления (C2). Примечательно, что вредоносная программа использует особый механизм для извлечения данных с помощью аутентификации Dropbox, реализуя несколько этапов шифрования, чтобы скрыть передаваемую информацию. Вредоносная программа также продемонстрировала такие возможности, как создание скриншотов в режиме реального времени и выполнение удаленных команд, что усложняет работу по обнаружению и анализу.

Использование файлов LNK было особенно примечательно, поскольку они могли выполнять команды PowerShell, встроенные в их конфигурации, тем самым облегчая динамическую загрузку шелл-кода в память. Этот метод позволяет APT37 внедрять вредоносное ПО, не оставляя значительных следов в файловой системе. В предыдущих инцидентах было замечено, что группа использовала аналогичные методы с различной полезной нагрузкой, но сохраняла согласованную структуру кода, что приводило к поведенческой сигнатуре, которая может быть сопоставлена с известными методами в рамках платформы MITRE ATT&CK.

APT37 ранее использовала уязвимости нулевого дня, в частности, в Internet Explorer (например, CVE-2022-41128), и их деятельность распространилась на платформы Android и macOS. Постоянное развитие их тактики, в частности использование законных облачных сервисов для инфраструктуры C2, подчеркивает важность передовых мер безопасности, таких как системы обнаружения конечных точек и реагирования (EDR), способные выявлять вредоносную активность, особенно в средах, в значительной степени зависящих от облачных сервисов. Проведенный анализ указывает на последовательную стратегию хакеров по использованию существующих общедоступных ресурсов в злонамеренных целях, подчеркивая постоянную потребность в бдительности и сложных стратегиях обнаружения угроз в области кибербезопасности.

#ParsedReport #CompletenessLow
14-05-2025

Excel(ent) Obfuscation: Regex Gone Rogue

https://www.deepinstinct.com/blog/excellent-obfuscation-regex-gone-rogue

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1221, T1204.001, T1027, T1059.005, T1059.001, T1059.003, T1203, T1140, have more...

IOCs:
File: 3
Hash: 3

Functions:
Macro1

Languages:
perl, powershell, javascript, python

Links:
https://github.com/sevagas/macro\_pack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют документы Microsoft Office с помощью встроенных макросов и ссылок для распространения вредоносных программ, таких как программы-вымогатели и похитители информации, часто используя методы обфускации, чтобы избежать обнаружения. Внедрение Python в Excel повышает уязвимость, требуя усовершенствованных механизмов защиты для борьбы с появляющимися угрозами.
-----

Документы Microsoft Office все чаще используются киберпреступниками в связи с их широким распространением и возможностью скрывать в них вредоносный код. Злоумышленники используют такие форматы, как Word и Excel, для предоставления полезной информации, часто используя встроенные макросы и внешние ссылки, которые запускаются при взаимодействии с пользователем. Такие методы, как удаленное внедрение шаблонов и обфускация макросов, позволяют этим вредоносным файлам обходить антивирусные решения, создавая такие угрозы, как программы-вымогатели и вредоносные программы для кражи информации. Привычный характер документов Office делает их эффективными инструментами фишинга и социальной инженерии, маскируя вредоносный контент под законную переписку.

В ходе практической демонстрации был создан документ Excel с поддержкой макросов, в котором использовался незавершенный код VBA для выполнения команд PowerShell и загрузки пакетного файла из Pastebin. Это было протестировано с помощью VirusTotal, и выяснилось, что 22 отдельных поставщика средств защиты отметили документ как вредоносный. хакеры часто используют передовые методы обфускации для эффективной маскировки своего кода; одним из продемонстрированных подходов была обфускация макропакетов, которая усложняет интерпретацию вредоносных компонентов с помощью сопоставления с шаблоном регулярных выражений (regex). Этот метод позволяет динамически реконструировать вредоносный код, что делает обнаружение с помощью статического анализа все более сложным.

При анализе с помощью специализированных инструментов, таких как OLEVBA, в исходном образце были обнаружены явные признаки вредоносного поведения, в то время как в версии с обфускацией регулярных выражений удалось полностью избежать обнаружения. Создавая критически важные компоненты, такие как команды PowerShell, во время выполнения, хакеры могут значительно снизить вероятность обнаружения с помощью автоматизированных мер безопасности. На данный момент не поступало сообщений о случаях применения этого метода обфускации в активных кампаниях, хотя его потенциал очевиден.

Кроме того, внедрение Microsoft функциональности Python в Excel повышает уровень риска. Несмотря на то, что вычисления выполняются в облачной среде, внедрение мощного языка сценариев в пакет Office расширяет возможности для атак со стороны целеустремленных хакеров. Постоянный мониторинг и адаптация защитных механизмов имеют решающее значение, особенно в связи с тем, что авторы вредоносных программ постоянно совершенствуют свою тактику, чтобы скрыть вредоносные действия и избежать обнаружения.

#ParsedReport #CompletenessLow
14-05-2025

The HIVE0117 group conducted a large -scale phishing campaign using VPO Darkwatchman

https://habr.com/ru/companies/F6/news/905930/

Report completeness: Low

Actors/Campaigns:
Hive0117

Threats:
Darkwatchman

Victims:
Russian companies, Organizations

Industry:
Retail, Energy, Financial, Telco, Biotechnology

Geo:
Estonia, Belarus, Russia, Kazakhstan, Russian, Lithuania

ChatGPT TTPs:
do not use without manual check
T1566.001, T1584.001, T1055, T1105

IOCs:
Email: 1
File: 8
Domain: 103
Hash: 16
IP: 17

Algorithms:
sha256, md5, zip, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа HIVE0117, действующая с февраля 2022 года, использует вредоносное ПО VPO Darkwatchman для крупномасштабных фишинговых атак в различных секторах России. Они выдают себя за законные организации и используют сложные тактические приемы, позволяющие избежать обнаружения, демонстрируя широкий географический охват своей деятельности.
-----

29 апреля Межведомственное управление по борьбе с угрозами F6 сообщило о группе HIVE0117, хакере с финансовой мотивацией, ответственном за проведение крупномасштабных фишинговых атак, нацеленных на различные сектора в России, включая СМИ, туризм, финансы, страхование, производство, розничную торговлю, энергетику, телекоммуникации, транспорт и биотехнологии. Группа действует с февраля 2022 года и использует для своих операций вредоносную программу, известную как VPO Darkwatchman.

HIVE 0117 использует сложную тактику, например, выдает себя за легальные организации для регистрации доменов и создания инфраструктуры для своих фишинговых кампаний. Этот метод позволяет им рассылать огромное количество фишинговых электронных писем, цель которых - заставить жертв открывать вредоносные вложения. Как только архивный файл открывается, он запускает вредоносную цепочку, которая приводит к заражению целевой системы модифицированной версией VPO Darkwatchman. Этот вариант разработан таким образом, чтобы действовать скрытно и избегать обнаружения обычными мерами безопасности, что повышает его эффективность.

Инфраструктура группы демонстрирует тенденцию повторного использования регистрационной информации и доменов управления (C2), что свидетельствует о стремлении использовать устоявшиеся инструменты и методы для своей деятельности. Их деятельность была выявлена во многих странах, включая Россию, Белоруссию, Литву, Эстонию и Казахстан, что указывает на широкий географический охват их фишинговых кампаний. В целом, деятельность HIVE0117 подчеркивает сохраняющуюся угрозу киберпреступности, направленную против важных секторов экономики, и подчеркивает необходимость усиления бдительности и мер защиты от фишинга и связанных с ним атак.

#ParsedReport #CompletenessLow
14-05-2025

Critical Vulnerabilities in Fortinet and Ivanti Products: Multiple Zero-Day Threats Addressed

https://socradar.io/fortinet-and-ivanti-products-zero-day-threat-addressed/

Report completeness: Low

Victims:
Fortinet customers, Ivanti customers

Geo:
Germany

CVEs:
CVE-2025-4427 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32756 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22462 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-4428 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1003, T1070.004, T1053.003, T1046, T1210, T1136

IOCs:
IP: 6

Soft:
Ivanti, Ivanti Sentry

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критические уязвимости в FortiVoice от Fortinet (CVE-2025-32756) и в Ivanti Neurons for ITSM (CVE-2025-22462) активно используются при атаках нулевого дня, позволяя удаленно выполнять код и получать административный доступ. Fortinet обращает внимание на риски, связанные с внедрением вредоносных программ, и предлагает меры по их устранению, в то время как Ivanti призывает к оперативному обновлению уязвимых систем.
-----

Fortinet и Ivanti опубликовали срочные рекомендации относительно множества критических уязвимостей, которые активно использовались при атаках нулевого дня. Эти уязвимости влияют на ряд корпоративных систем, включая VoIP, почтовые платформы, решения для управления ИТ-сервисами и конечными точками.

Компания Fortinet обнаружила серьезную уязвимость удаленного выполнения кода (RCE), обозначенную как CVE-2025-32756, которая затрагивает корпоративные телефонные системы FortiVoice. Эта уязвимость возникает в результате переполнения буфера на основе стека, что позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять произвольные команды, используя специально созданные HTTP-запросы. Уязвимость была обнаружена, когда команда безопасности продуктов Fortinet обнаружила ненормальное поведение злоумышленников, включая сканирование сети, удаление журналов сбоев системы и использование функции отладки fcgi для извлечения системных данных и учетных данных SSH. В ходе продолжающихся попыток эксплуатации было замечено, что злоумышленники внедряют вредоносное ПО, создают задания cron для кражи учетных данных и выполняют сценарии для сканирования внутренних сетей. Компания Fortinet сообщила клиентам, что они не могут немедленно установить исправление для отключения интерфейса администратора HTTP/HTTPS в качестве временного решения проблемы, особенно после того, как более 16 000 ее устройств были скомпрометированы из-за бэкдора с символической ссылкой, о котором сообщалось ранее.

С другой стороны, компания Ivanti устранила уязвимость обхода аутентификации CVE-2025-22462 в своем локальном решении для управления ИТ-сервисами Neurons for ITSM. Этот недостаток может позволить злоумышленникам, не прошедшим проверку подлинности, получить административный доступ с минимальными усилиями. Несмотря на то, что Ivanti не обнаружила никаких признаков несанкционированного использования, она подчеркнула, что клиенты, которые ранее применяли меры по усилению безопасности, включая ограничения доступа через настройки IIS и внедрение конфигураций DMZ, снизили свою подверженность этой уязвимости. Кроме того, Ivanti сообщила о других уязвимостях, таких как CVE-2025-4427, которая позволяет обходить аутентификацию в EPMM API, и CVE-2025-4428, которая позволяет удаленно выполнять код с помощью специально созданных запросов API. Несмотря на то, что полный объем эксплуатации все еще находится в стадии оценки, Ivanti настоятельно призывает всех локальных заказчиков EPMM срочно обновить свои системы.

Эти события подчеркивают устойчивую тенденцию, при которой злоумышленники используют уязвимости в корпоративном программном обеспечении для получения существенного доступа к критически важным системам. Хотя использование уязвимостей Ivanti пока представляется ограниченным, уязвимость RCE в Fortinet активно используется в качестве оружия. Организациям, использующим уязвимые продукты, следует уделять первоочередное внимание своевременному исправлению ошибок и рассмотреть возможность принятия мер по смягчению последствий, если немедленное обновление невозможно. Постоянный мониторинг и строгий контроль доступа необходимы для противодействия растущему числу хакеров.

#ParsedReport #CompletenessLow
14-05-2025

Fast Flux technique for hidden and detection of command control (C & C)

https://asec.ahnlab.com/ko/87941/

Report completeness: Low

Actors/Campaigns:
Gamaredon

Threats:
Fastflux_technique
Zeus

Victims:
Nato countries, General users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1568.002, T1583.003, T1584.004, T1583.001

IOCs:
File: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сеть Fast-Flux скрывает инфраструктуру управления за счет постоянной смены записей DNS A и NS, что усложняет обнаружение для компаний, занимающихся кибербезопасностью. Gamaredon и Gameover Zeus использовали эти методы для уклонения от обнаружения и компрометации финансовых данных, продемонстрировав их эффективность как в борьбе с киберпреступностью, так и в операциях, финансируемых государством. Для снижения рисков требуются расширенные возможности обнаружения, изменения политики DNS и долгосрочный мониторинг инфраструктуры.
-----

Сеть Fast-Flux, которая в апреле 2025 года была признана серьезной хакерской атакой, использует сложные методы маскировки инфраструктуры командования и контроля (C2), что затрудняет обнаружение. Этот метод, впервые примененный в ботнете STORM в 2007 году, использует доменную инфраструктуру для постоянной смены IP-адресов, связанных с доменом, эффективно обходя меры безопасности. Сети Fast-Flux могут скрывать серверы C2, быстро изменяя записи DNS A, а усовершенствованные варианты, такие как Double-Flux, делают это еще более эффективным, также изменяя записи серверов имен (NS), усложняя методы обнаружения для компаний, занимающихся кибербезопасностью.

Одним из ключевых аспектов Fast-Flux является низкое время жизни (TTL) записей DNS, которое может быть сокращено до нескольких секунд, что позволяет злоумышленникам быстро менять IP-адреса. БОТНЕТ STORM продемонстрировал этот подход, распространяя вредоносные ссылки по электронной почте и переключаясь между сотнями IP-адресов, чтобы избежать обнаружения. Основываясь на этой методологии, вредоносная программа Gameover Zeus использовала методы Fast-Flux и Double-Flux для компрометации финансовых данных, сохраняя при этом значительные трудности в отслеживании своей деятельности. Обширный охват Gameover Zeus, который, как сообщается, заразил миллионы систем, продемонстрировал эффективность сочетания алгоритмов генерации доменов с тактикой быстрого изменения.

Более того, российская разведывательная группа Gamaredon использовала сеть Fast-Flux для ведения разведки против стран НАТО в период с 2022 по 2024 год. Они использовали различные IP-адреса и номера автономных систем (ASN), чтобы продлить срок их службы и избежать обнаружения, демонстрируя, что тактика быстрого реагирования применяется не только киберпреступными организациями, но и в операциях, спонсируемых государством.

Злоумышленники обычно используют сервисы пуленепробиваемого хостинга (BPH) для дальнейшего расширения своих возможностей, что позволяет им игнорировать запросы правоохранительных органов. Эти сервисы играют ключевую роль в поддержании вредоносных действий, таких как управление инфраструктурами фишинга и рассылки спама. Таким образом, технология Fast-Flux преобразует традиционное сопоставление домена и IP-адреса в более сложную структуру, предназначенную для обхода протоколов безопасности.

Для снижения рисков, связанных с Fast-Flux, требуется надежная стратегия безопасности, которая включает в себя расширение возможностей обнаружения и блокировки. Такие методы, как анализ TTL, обнаружение аномалий в записях A/NS и анализ распределения IP-адресов, могут помочь выявить подозрительные действия. Кроме того, организациям следует внести изменения во внутренние политики DNS, ввести ограничения на разрешение внешних DNS и интегрировать аналитику угроз. Эффективные стратегии реагирования включают долгосрочное отслеживание изменений в инфраструктуре, поддержание возможностей обнаружения атак на основе DNS и повышение прозрачности проводимых расследований в доменном пространстве, которое может быстро меняться.

Fast-Flux остается сложным средством атаки, манипулируя системами DNS для создания устойчивой и адаптируемой инфраструктуры, которая маскирует вредоносные действия и защищает от обычных попыток обнаружения. Понимание методов его работы имеет важное значение для разработки эффективных контрмер в области кибербезопасности.

#ParsedReport #CompletenessHigh
14-05-2025

DarkCloud Stealer: Comprehensive Analysis of a New Attack Chain That Employs AutoIt

https://unit42.paloaltonetworks.com/darkcloud-stealer-and-obfuscated-autoit-scripting/

Report completeness: High

Threats:
Darkcloud
Credential_stealing_technique
Junk_code_technique

Victims:
Government organizations

Industry:
Government, Telco

Geo:
Poland, Polish

TTPs:
Tactics: 6
Technics: 12

IOCs:
Url: 1
File: 3
Registry: 1
Hash: 3

Soft:
Flash Player, Process Explorer

Algorithms:
xor, sha256

Functions:
Call, StringMid, Execute, FileInstall, StringLower, extractShellCode, CallWindowProc

Win API:
VirtualProtect

Languages:
autoit

Links:
https://github.com/horsicq/Detect-It-Easy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа DarkCloud Stealer использует запутанные сценарии автоматического запуска и многоэтапную загрузку, чтобы избежать обнаружения, и обычно распространяется с помощью фишинга, который приводит к появлению вредоносных RAR-файлов. Он нацелен на конфиденциальные пользовательские данные, используя передовые методы антианализа, чтобы препятствовать обнаружению, и в то же время ориентирован на правительственные организации. Постоянный мониторинг и динамическое отслеживание имеют решающее значение для эффективной защиты от таких развивающихся угроз.
-----

В январе 2025 года исследователи из подразделения 42 выявили серию атак, связанных с вредоносной программой DarkCloud Stealer, которая распространялась с использованием сложных методов, позволяющих избежать обнаружения. Вредоносная программа использует запутанные сценарии AutoIt и работает с помощью многоступенчатой системы обработки полезной нагрузки, что усложняет ее идентификацию традиционными методами обнаружения на основе сигнатур. Способность DarkCloud Stealer извлекать конфиденциальные пользовательские данные, включая информацию о кредитной карте и учетные данные для входа в систему, подчеркивает острую необходимость в эффективных мерах безопасности.

Цепочка атак обычно начинается с фишингового электронного письма, которое может содержать архив RAR или поддельный PDF-файл. Если обнаруживается PDF-файл, это побуждает жертву загрузить вредоносный RAR-файл, замаскированный под обновление программного обеспечения, размещенный на файлообменном сервисе. Архив RAR содержит автоматически скомпилированный исполняемый файл вместе с двумя зашифрованными файлами данных — один содержит шелл-код, а другой содержит полезную информацию, зашифрованную методом XOR. Скрипт AutoIt, содержащийся в исполняемом файле, необходим для создания и выполнения окончательной полезной информации.

Недавние кампании показали, что эта вредоносная программа расширила список своих целей, сосредоточившись в основном на правительственных организациях, и проявила активность в таких странах, как Польша. Исследователи наблюдали за непрерывной эволюцией DarkCloud Stealer, особенно в новых вариантах, выявленных с момента ее появления в 2022 году.

Структура скомпилированного AutoIt PE-файла усложняет декомпиляцию, поскольку он содержит автономный интерпретатор AutoIt и встроенный байт-код скрипта. Передовые методы обфускации, используемые в процессах извлечения и выполнения, усложняют статический анализ, в то время как использование дополнительных файлов в качестве ресурсов позволяет еще больше скрыть вредоносное поведение.

После выполнения окончательной загрузки DarkCloud Stealer использует различные методы антианализа, чтобы помешать обнаружению, такие как проверка переменных среды, которые указывают на среду анализа, и запрос общедоступного IP-адреса жертвы для определения геолокации. Он систематически сканирует каталоги браузера для извлечения сохраненных учетных данных, тем самым облегчая фильтрацию данных.

Поскольку среда распространения вредоносных программ становится все более сложной, постоянный мониторинг и использование методов динамического отслеживания имеют важное значение для защиты от таких развивающихся угроз. DarkCloud Stealer демонстрирует текущие проблемы в области кибербезопасности, напоминая организациям о важности надежных стратегий обнаружения, которые сочетают активный мониторинг с поведенческим анализом для эффективного выявления возникающих угроз.

#ParsedReport #CompletenessLow
14-05-2025

Etherhide technique that uses blockchain as a C & C infrastructure

https://asec.ahnlab.com/ko/87931/

Report completeness: Low

Threats:
Etherhiding_technique
Fastflux_technique
Payroad
Clearfake
Smargaft
Bashlite

Industry:
Petroleum, Financial

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.006, T1584.005, T1568.002, T1583.003, T1071.001, T1105, T1132.002, T1566.001, T1059.001, have more...

Soft:
Telegram, Twitter, Chrome

Crypto:
ethereum, binance

Algorithms:
base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют блокчейн, в частности, с использованием технологии Etherhide, в качестве инфраструктуры контроля и управления, встраивая полезную нагрузку в смарт-контракты в таких сетях, как Ethereum. Этот метод обеспечивает анонимность, экономичность и долговечность, усложняя усилия по обнаружению и облегчая распространение вредоносного ПО, как это видно из таких кампаний, как Clearfake.
-----

Недавние разработки хакеров выявили инновационное использование технологии блокчейн в качестве инфраструктуры командования и контроля (C&C) злоумышленниками, что особенно наглядно продемонстрировано на примере технологии Etherhide. Etherhide использует смарт-контракты на блокчейне Ethereum для доставки вредоносных программ, не зависящих от традиционных веб-серверов или доменов, что делает обнаружение и блокировку особенно сложными.

Метод Etherhide предполагает вставку полезной информации в смарт-контракт на основе блокчейна, из которого она впоследствии может быть извлечена. Злоумышленники используют различные блокчейн-сети, такие как Binance Smart Chain или SEPOLIA testnet, для обеспечения высокого уровня анонимности. Примечательно, что данные, вставленные в блокчейн, остаются неизменными и постоянными, поскольку их невозможно легко удалить или заблокировать, предоставляя злоумышленникам стабильные и надежные средства работы.

Одним из наиболее существенных преимуществ метода Etherhide является его экономическая эффективность. При взаимодействии с блокчейном стандартные транзакции обычно требуют дополнительной оплаты, но Etherhide вместо этого использует метод ETH_CALL Ethereum API. Этот метод позволяет злоумышленникам выполнять функции смарт-контракта, доступные только для чтения, без дополнительных затрат на газ, что еще больше повышает возможность использования блокчейна для вредоносных действий.

В практических приложениях этот метод облегчает распространение вредоносного кода не только в веб-браузерах, но и в исполняемых файлах и скриптах. Используя Etherhide, злоумышленники могут компрометировать веб-сайты, создавать домены и загружать полезную информацию, не раскрывая сервер C&C. Например, кампания Clearfake внедрила технологию Etherhide, позволяющую загружать вредоносные программы, замаскированные под обновления браузера Chrome, используя тактику социальной инженерии, чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell.

Кроме того, ботнет SmargAft является примером другого подхода, при котором злоумышленник отправляет запросы на RPC-сервер Binance Smart Chain, чтобы получить IP-адрес сервера C&C. Этот метод позволяет быстро корректировать инфраструктуру C&C по мере развития потребностей злоумышленника.

Общая тенденция склоняется к использованию киберпреступниками блокчейна в качестве пуленепробиваемого хостингового решения нового поколения, что имеет отношение к защите кибербезопасности. Высокий уровень анонимности, сохраняемость полезной нагрузки и отсутствие значительных эксплуатационных затрат делают этот метод привлекательным для злоумышленников. Хотя обнаружение и блокирование Etherhide может создавать серьезные проблемы, основной защитой остается бдительность пользователей, предотвращающая выполнение подозрительных файлов или команд, что может снизить потенциальный ущерб.