#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник воспользовался инструментом SimpleHelp RMM компании MSP для развертывания программы-вымогателя DragonForce, используя стратегию двойного вымогательства при утечке конфиденциальных данных. Несмотря на то, что некоторые клиенты пострадали от серьезных последствий, надлежащая защита конечных точек заблокировала атаку по крайней мере для одной жертвы.
-----

В недавнем инциденте, о котором сообщила Sophos, злоумышленник использовал инструмент удаленного мониторинга и управления (RMM) SimpleHelp от поставщика управляемых услуг (MSP) для проведения атаки на несколько организаций. Это нарушение позволило хакеру внедрить программу-вымогатель DragonForce и получить доступ к конфиденциальным данным, используя стратегию двойного вымогательства, чтобы заставить жертв заплатить выкуп. DragonForce, которая является относительно новой в мире угроз, классифицируется как сложная программа-вымогатель как услуга (RaaS), появившаяся в середине 2023 года. Компания провела ребрендинг, чтобы зарекомендовать себя как "картель", внедрила распределенную партнерскую модель для привлечения более широкого круга партнеров и участвовала в значительных атаках, в частности, на крупные розничные сети в Великобритании и США.

Атака была инициирована, когда Sophos MDR был предупрежден о наличии подозрительного установочного файла SimpleHelp. Этот установщик был развернут с помощью законного экземпляра SimpleHelp, который MSP использовал для своих клиентов. Используя свой доступ с помощью инструмента RMM, злоумышленник смог собрать обширную информацию из различных клиентских сетей, управляемых MSP, включая конфигурации устройств и сведения о пользователях. Примечательно, что у одного из пострадавших клиентов была установлена система Sophos XDR endpoint protection, которая объединяла возможности поведенческого анализа и обнаружения вредоносных программ, что позволяло блокировать программы-вымогатели и предотвращать попытки двойного вымогательства. Действия Sophos MDR привели к закрытию доступа злоумышленника, что обеспечило критическую защиту от программ-вымогателей в сети этого клиента.

Однако MSP и другие клиенты, которые не пользовались услугами Sophos MDR, пострадали от серьезных последствий атаки программ-вымогателей и утечки данных. После инцидента MSP обратилась за помощью в компанию Sophos Rapid Response для цифровой криминалистики и реагирования на инциденты, чтобы справиться с последствиями атаки. Этот инцидент выявил уязвимости, связанные со взломом инструментов RMM, а также эффективность надежных решений для защиты конечных точек в смягчении последствий изощренных атак программ-вымогателей.

#cyberthreattech

Коллеги, кто пользуется CTT Downloader, перенесите, пожалуйста, запуск выгрузки нового фида на временной интервал, начиная с 05:00 МСК.
У нас сдвинулось время формирования 24 часового дампа :(

#ParsedReport #CompletenessMedium
29-05-2025

Cybercriminals camouflaging threats as AI tool installers

https://blog.talosintelligence.com/fake-ai-tool-installers/

Report completeness: Medium

Threats:
Lucky_ghost
Cyberlock
Numero
Chaos_ransomware
Yashma
Seo_poisoning_technique
Powershell_ransomware
Lolbin_technique
Shadow_copies_delete_technique
Scylla

Geo:
Africa, Asia, Russian, Palestine, Ukraine

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1053.005, T1059.001, T1082, T1112, T1204.002, T1486, T1490, T1491, have more...

IOCs:
Domain: 1
File: 8
Email: 1

Soft:
Telegram, chatgpt, Microsoft Office, Android, Visual Studio, Windows shell

Crypto:
monero

Algorithms:
zipx, zip, aes, rsa-2048, aes-256

Functions:
GetConsoleWindow, ReadMeNow

Win API:
ShowWindow, GetDesktopWindow, EnumChildWindows, SendMessageW

Languages:
java, cscript, postscript, csharp, powershell, lua

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/05/

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, code: 7, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos сообщает о появлении программ-вымогателей, таких как CyberLock и Lucky_Gh0$t, которые маскируются под инструменты искусственного интеллекта. CyberLock шифрует файлы с помощью AES, требует оплаты в Monero и использует психологические манипуляции и методы уклонения, в то время как Lucky_Gh0$t использует AES и RSA, нацеливаясь на файлы размером менее 1,2 ГБ и скрывая более крупные. Кроме того, вредоносная программа Numero выдает себя за видео-инструмент с искусственным интеллектом, постоянно устанавливается и портит графический интерфейс Windows, используя продвинутую тактику уклонения.
-----

Cisco Talos выявила несколько новых хакеров, особое внимание которых уделяется различным вариантам программ-вымогателей и недавно разработанным вредоносным программам, которые маскируются под законные установки инструментов искусственного интеллекта. Программа-вымогатель CyberLock работает с использованием PowerShell и в первую очередь нацелена на шифрование определенных файлов в системах жертв. Он передает свое требование о выкупе с помощью обманного подхода, утверждая, что доходы от выплаты выкупа пойдут на финансирование гуманитарных усилий в нескольких регионах, включая Палестину и Украину. CyberLock шифрует целевые файлы с помощью AES, добавляя файлу расширение .cyberlock, а также применяя тактику психологических манипуляций, чтобы внушить страх жертвам и потребовать выплаты в размере 50 000 долларов США в Monero (XMR).

Программа-вымогатель, которая действует с февраля 2025 года, использует методы, позволяющие скрыть свои действия в операционной системе. Ему удается повысить свои привилегии, перечислить файлы на нескольких логических разделах и создать сообщение о требовании выкупа на рабочем столе пользователя, а также изменить обои для отображения изображения из блога по кибербезопасности, предположительно, в рамках своей стратегии запугивания. Примечательно, что это включает в себя методику "жизни вне земли", предполагающую использование двоичного файла для стирания следов своей деятельности на жестком диске жертвы.

Аналогичным образом, программа-вымогатель Lucky_Gh0$t распространяется в виде самораспаковывающегося ZIP-файла, маскирующегося под законный установщик искусственного интеллекта. Этот вариант, который является частью семейства программ-вымогателей Yashma, использует различные методы обхода, чтобы избежать обнаружения, и фокусирует свои процессы шифрования на файлах размером менее 1,2 ГБ, используя комбинацию шифрования AES и RSA. Для файлов, размер которых превышает этот порог, Lucky_Gh0$t демонстрирует деструктивное поведение, создавая новый файл, который скрывает исходный.

Также была обнаружена новая вредоносная программа под названием "Numero", которая имитирует программы установки видео с искусственным интеллектом. Эта вредоносная программа работает путем удаления различных вредоносных компонентов, когда пользователь пытается установить то, что, по его мнению, является законным приложением. Это проявляется в виде непрерывного цикла, при котором для постоянного запуска вредоносной программы используются пакетные файлы, при этом элементы графического интерфейса Windows на рабочем столе жертвы повреждаются, что делает ее непригодной для использования. Numero использует передовые методы обхода для обнаружения средств отладки и анализа, расширяя свои возможности скрытности.

Ситуация с угрозами подчеркивает растущую изощренность и устойчивость хакеров, наживающихся на растущем интересе к решениям на основе искусственного интеллекта. Организации в таких секторах, как маркетинг и технологии, подвергаются особой атаке, что требует принятия строгих мер по проверке источников программного обеспечения для снижения рисков, связанных с этими злоумышленниками.

#ParsedReport #CompletenessHigh
29-05-2025

Pakistan Telecommunication Company (PTCL) Targeted by Bitter APT During Heightened Regional Conflict

https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage, sabotage)
Sindoor

Threats:
Spear-phishing_technique
Wmrat
Stealc
Lolbin_technique
Supply_chain_technique

Victims:
Pakistan telecommunication company limited, Counter terrorism department, Turkish defence-sector organization

Industry:
Telco, Military, Government

Geo:
Turkish, Pakistani, Pakistan, Asian, India

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.004, T1059.001, T1059.003, T1071.001, T1078, T1105, T1113, T1140, have more...

IOCs:
File: 8
Url: 1
Registry: 1
Domain: 3
IP: 2
Hash: 3

Soft:
Microsoft Office, curl, Windows Registry, Internet Explorer

Algorithms:
base64, xor

Languages:
powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 3, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
7 мая 2025 года Bitter APT атаковал сотрудников пакистанской телекоммуникационной компании с помощью фишинговой кампании, используя вредоносное ПО, доставляемое через файлы IQY и макросы Excel, используя украденные учетные данные электронной почты. Вариант WmRAT обеспечивал постоянный доступ и эксфильтрацию данных, что совпало с военной напряженностью в целях сбора разведданных о телекоммуникационном секторе Пакистана.
-----

7 мая 2025 года, во время обострения военной напряженности между Пакистаном и Индией, аналитики EclecticIQ сообщили, что хакер Bitter APT (также известный как TA397) инициировал фишинговую кампанию, направленную против сотрудников Пакистанской телекоммуникационной компании Limited (PTCL). Кампания, вероятно, направленная на шпионаж, включала в себя рассылку вредоносного ПО через скомпрометированные учетные данные электронной почты, полученные от Управления по борьбе с терроризмом Пакистана (CTD). Bitter APT, по оценкам, является спонсируемым государством субъектом из Южной Азии, участвующим в кибероперациях по краже государственных секретов.

Фишинговые электронные письма были нацелены на ответственные должности в PTCL, включая инженеров инфраструктуры 5G и руководителей проектов. Вложением к вредоносному электронному письму был файл Интернет-запроса (IQY), в котором использовался макрос Excel для выполнения команды Windows, которая загружала и запускала вариант WmRAT. Подключение к серверу управления, связанному с Bitter APT, способствовало последующей вредоносной деятельности. Время проведения этой целенаправленной кампании совпало с обострением военной ситуации, что свидетельствует о намерении проникнуть в телекоммуникационный сектор Пакистана в условиях региональной нестабильности.

Предполагалось, что первоначальный доступ к учетной записи электронной почты CTD был получен с помощью украденных учетных данных с компьютера, зараженного StealC infostealer, который был взломан после того, как пользователь загрузил пиратское программное обеспечение. Взлом обеспечил постоянный доступ к критически важной системе электронной почты правоохранительных органов, что позволило злоумышленникам отслеживать переписку и создавать убедительные фишинговые электронные письма.

Вредоносный файл IQY использовал законные функциональные возможности Microsoft Office, обходя механизмы обнаружения и запуская системные процессы с помощью сценариев командной строки. Он использовал двоичный файл Windows curl.exe для загрузки вредоносного скрипта BAT, который преобразовал полезную нагрузку в исполняемый файл, замаскированный под файл PNG. После запуска вариант WmRAT установил постоянный доступ посредством внесения изменений в реестр, что позволило вредоносному ПО автоматически запускаться при запуске системы.

Версия WmRAT продемонстрировала различные возможности, включая фильтрацию файлов, выполнение команд с помощью CMD или PowerShell, а также сбор пользовательской информации и системных данных. В конечном итоге вредоносная программа связалась со своим сервером управления по протоколу HTTPS, используя обманчивые пути URI, чтобы скрыть свои истинные намерения. Такое поведение указывает на изощренный подход к предотвращению обнаружения при получении конфиденциальных данных и поддержании скрытого оперативного присутствия.

В свете этого вторжения, вероятные мотивы Bitter APT связаны со сбором стратегической разведывательной информации, которая может включать в себя перехват сообщений и картирование уязвимостей инфраструктуры телекоммуникаций Пакистана. Детальное понимание цепочек поставок и инфраструктуры связи, полученное в результате этой операции, позволяет хакерам рассчитывать на дальнейшую эскалацию военных действий. Осведомленность о конкретных типах файлов, связанных с этой угрозой, таких как файлы IQY, и мониторинг сетевой активности по этим показателям имеют решающее значение для защиты кибербезопасности от потенциальных будущих атак со стороны аналогичных субъектов, спонсируемых государством.

#ParsedReport #CompletenessHigh
29-05-2025

Chasing Eddies: New Rust-based InfoStealer used in CAPTCHAcampaigns

https://www.elastic.co/security-labs/eddiestealer

Report completeness: High

Threats:
Eddiestealer
Ghostpulse
Unicorn_tool
Api_obfuscation_technique
Latrodectus
Deskshare_tool
Chromekatz_tool
Cookiekatz_tool
Cookiemonster
Credentialkatz_tool

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 15
Url: 1
Hash: 18
IP: 2
Domain: 5

Soft:
Microsoft Edge, Google Chrome, Mozilla Firefox, Bitwarden, 1Password, KeePass, FTPbox, FTPGetter, Total Commander, Telegram, have more...

Wallets:
wassabi, mainnet, coinomi, electrum, exodus_wallet, dashcore, electron_cash, guarda_wallet

Crypto:
bitcoin

Algorithms:
sha256, aes, cbc, xor, base64, exhibit

Functions:
GetModuleFileName, FindPattern

Win API:
WaitOnAddress, WakeByAddressAll, LoadLibrary, GetProcAddress, CreateFileW, SetFileInformationByHandle, DeleteFile, GetFileSizeEx, ReadFile, CloseHandle, have more...

Languages:
rust, javascript, powershell, cscript

Platforms:
x86

YARA: Found

Links:
https://github.com/ben-sb/javascript-deobfuscator
have more...
https://github.com/cocomelonc/2023-04-16-malware-av-evasion-16/blob/ba05e209e079c2e339c67797b5a563a2e4dc0106/hack.cpp#L75
https://github.com/N0fix/rustbinsign

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 29

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EDDIESTEALER - это инфокрад на базе Rust, предназначенный для Windows, распространяемый с помощью поддельных схем проверки с помощью CAPTCHA. Он использует социальную инженерию и вредоносные скрипты PowerShell для кражи учетных данных и информации о криптовалюте, обмениваясь данными со своим сервером C2 через трафик, отличный от HTTPS. Вредоносная программа использует передовые методы уклонения, включая шифрование строк, пользовательский механизм API и метод самоудаления, что затрудняет реверс-инжиниринг.
-----

Elastic Security Labs подробно описала новый инфокрад EDDIESTEALER, который разработан с использованием Rust и распространяется с помощью поддельных кампаний по проверке капчи. Этот инфокрад нацелен на системы Windows, используя тактику социальной инженерии, чтобы побудить пользователей выполнить вредоносный сценарий PowerShell с помощью вводящих в заблуждение страниц проверки CAPTCHA. Выполнение этого скрипта приводит к развертыванию EDDIESTEALER, позволяющего ему собирать конфиденциальную информацию, такую как учетные данные и данные криптовалютного кошелька. Вредоносное ПО размещается на сайтах, контролируемых злоумышленниками, что расширяет его охват.

Процесс проникновения начинается с вредоносной полезной нагрузки JavaScript, которая имитирует законные действия с использованием CAPTCHA, предлагая жертвам выполнить команду PowerShell, которая впоследствии извлекает исполняемый файл EDDIESTEALER с сервера злоумышленника. После выполнения EDDIESTEALER связывается со своим сервером управления (C2) для получения списка задач, который определяет, на какие данные следует ориентироваться. Это взаимодействие осуществляется через HTTP с характерной схемой множественных запросов POST, которые могут быть легко идентифицированы из-за отсутствия HTTPS.

EDDIESTEALER включает в себя несколько современных стратегий обхода безопасности. Он использует пользовательский механизм для вызовов API, реализует хэш-таблицу для оптимизации разрешения функций и выполняет базовые проверки среды, чтобы избежать обнаружения изолированными средами. Вредоносная программа также использует метод самоудаления с помощью альтернативных потоков данных NTFS для обхода активных блокировок файлов, что еще больше запутывает ее присутствие.

Конструкция infostealer предусматривает шифрование строк простым XOR-шифром, что требует сложных методов обратного проектирования для анализа. В нем реализована процедура отложенной инициализации для безопасного управления общими ресурсами и используются синхронизированные методы для обеспечения потокобезопасности. Коммуникационная стратегия C2 претерпела изменения, включив встроенную логику сбора системной информации и выполнения задач, причем все это управляется в зашифрованном формате.

Что касается функциональности вредоносного ПО, EDDIESTEALER имитирует методы кражи учетных данных, которые использовались в предыдущих инструментах, особенно при взаимодействии с браузером. Он может создать безголовый экземпляр Chrome для взаимодействия с менеджером паролей браузера, позволяя получать учетные данные в виде открытого текста после их загрузки в память путем доступа к внутренним функциям браузера. Использование инфокрадом жестко закодированных ключей шифрования для обмена данными означает прогресс в обходе защитных мер и повышении операционной устойчивости.

Кроме того, аналитические материалы Elastic Security Labs включают методы анализа и отслеживания двоичных файлов Rust, которые по своей сути являются более сложными, чем традиционные вредоносные программы на C/C++. Анализ выявил проблемы, связанные с обратным проектированием EDDIESTEALER из-за его зависимости от функций защиты памяти Rust и потенциальной возможности удаления метаданных, что усложняет отслеживаемость.

#ParsedReport #CompletenessHigh
29-05-2025

A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment

https://www.trellix.com/blogs/research/cfo-spear-phishing-netbird-attack

Report completeness: High

Threats:
Spear-phishing_technique
Netbird_tool
Uac_bypass_technique

Victims:
Cfos, Finance executives, Banks, Energy companies, Insurers, Investment firms, Executive-level employees in financial departments

Industry:
Financial, Energy, Semiconductor_industry

Geo:
South africa, Africa, Norway, Egypt, Canada, Saudi arabia, Korea, Middle east, France, Switzerland, Singapore, Brazil, Asia

TTPs:
Tactics: 6
Technics: 15

IOCs:
Url: 7
Path: 2
File: 7
Email: 1
IP: 1
Hash: 3
Command: 3
Registry: 1

Soft:
wireguard, OpenSSH, Cloudflare Turnstile, Windows Service

Algorithms:
zip, des

Functions:
Set-ItemProperty

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе целенаправленной кампании фишинга, нацеленной на финансовых директоров, был применен многоэтапный подход к внедрению инструмента удаленного доступа NetBird с использованием специально созданных электронных писем и вводящих в заблуждение методов CAPTCHA. Злоумышленники использовали ZIP-файл, содержащий скрипты VBS, для установки бэкдоров, что подчеркивает тенденцию к постоянному нападению на финансовых руководителей.
-----

15 мая системы безопасности электронной почты Trellix обнаружили целенаправленную фишинговую кампанию, направленную конкретно на финансовых директоров и топ-менеджеров из различных отраслей, включая банковские, энергетические, страховые и инвестиционные компании в Европе, Африке, Канаде, на Ближнем Востоке и в Южной Азии. Эта многоэтапная фишинговая атака в первую очередь была направлена на развертывание на компьютерах жертв NetBird, легитимного инструмента удаленного доступа, основанного на Wireguard. Растущее использование хакерами таких приложений удаленного доступа указывает на тенденцию, когда злоумышленники проявляют настойчивость, чтобы способствовать более глубокому проникновению в целевые сети. URL-адрес первоначального фишингового электронного письма был заблокирован Trellix из-за подозрительного поведения captcha.

Цепочка атак началась с рассылки электронного письма от имени рекрутера Rothschild & Co, в котором предлагалась "стратегическая возможность". Получатели этого электронного письма открывали прикрепленную "брошюру", которая на самом деле была размещенной на Firebase страницей, защищенной с помощью капчи для математического теста. Жертвам, успешно разгадавшим капчу, было предложено загрузить ZIP-файл с именем "Rothschild_&_Co-6745763.zip". Этот файл содержал скрипт VBS, который впоследствии загрузил другой скрипт VBS для автоматической установки приложений NetBird и OpenSSH, создания скрытой учетной записи локального администратора и включения протокола удаленного рабочего стола (RDP). Это позволило злоумышленникам получить зашифрованный бэкдор для удаленного доступа.

Фишинговое электронное письмо содержало заголовок "Возможность лидерства Rothschild & Co (конфиденциально)" и ссылку, выдаваемую за подлинный PDF-файл, которая перенаправляла пользователей на поддельный URL-адрес, размещенный в приложении Firebase. Истинный URL-адрес перенаправления был запутан, и для его расшифровки требовалась функция JavaScript, прежде чем предоставлять доступ. Злоумышленники все чаще используют индивидуальные механизмы ввода капчи для обхода существующих средств защиты от фишинга, о чем свидетельствует их выбор методов ввода капчи, которые могут обмануть обычные службы безопасности, такие как Cloudflare Turnstile или Google reCAPTCHA. Перейдя по якобы безобидной ссылке для скачивания, жертвы невольно загружали вредоносный ZIP-файл, который инициировал дальнейшие действия по проникновению, описанные выше.

Дальнейшее расследование привело к выявлению более старых фишинговых страниц, использующих аналогичные методы проверки с помощью капчи, что выявило закономерность в методах злоумышленников. Одним из таких примеров была активная ссылка на ZIP-файл, содержащий ту же полезную нагрузку VBS, что и в недавней кампании, что указывает на то, что у хакеров есть целый набор ресурсов, которые они перезапускают под разными личинами. Кроме того, при обобщении полученных данных исследователи отметили параллели с доказательствами, предоставленными французским управлением финансовых рынков (AMF), что позволяет предположить более широкую взаимосвязь тактики и методов между различными случаями фишинга. Хотя приманка, использованная в отчете AMF, отличалась от выводов Trellix, лежащие в ее основе методы, продемонстрированные злоумышленниками, сохраняли последовательность.

#ParsedReport #CompletenessHigh
29-05-2025

Threat Intelligence NodeSnake Malware Campaign

https://www.quorumcyber.com/wp-content/uploads/2025/04/20250416-Higher-Education-Sector-RAT-MP.pdf

Report completeness: High

Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat

Victims:
Uk based universities, Large or high value organisations

Industry:
Education

Geo:
America

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 8
Hash: 7
IP: 8
File: 22
Url: 4

Soft:
Trycloudflare, Linux

Algorithms:
xor, sha256, md5, sha1

Functions:
Get-Service, Get-PSDrive

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NodeSnake.A и NodeSnake.B - это сложные JavaScript-приложения, нацеленные на высшие учебные заведения Великобритании, которые развиваются с улучшенными возможностями скрытности и модульности. NodeSnake.B обеспечивает выполнение команд в режиме реального времени и использует Cloudflare для обмена данными C2, что облегчает перемещение по сети и постоянный доступ. Данные указывают на принадлежность NodeSnake к группе программ-вымогателей Interlock, что указывает на тенденцию использования киберпреступниками надежных сервисов для доставки вредоносных программ.
-----

NodeSnake.A и NodeSnake.B - это трояны удаленного доступа (RATs), нацеленные на высшие учебные заведения Великобритании. Оба RAT написаны на JavaScript и выполняются с помощью NodeJS. NodeSnake претерпел изменения, улучшив скрытность, модульную функциональность и методы уклонения. NodeSnake.A - это первоначальный вариант, в то время как NodeSnake.B обеспечил гибкость в работе и постоянный доступ. Вредоносная программа использует Cloudflare для обмена данными по системе command-and-control (C2) и использует туннелирование для скрытого доступа к таким сервисам, как SSH и RDP, для перемещения в горизонтальном направлении. NodeSnake.B позволяет выполнять команды в режиме реального времени и поддерживает несколько типов полезной нагрузки, включая CMD для команд оболочки. Он скрывает свои действия, используя такие методы, как запись записей в реестре для сохранения и использование случайных имен файлов, чтобы избежать обнаружения. Предполагается, что существует связь между NodeSnake и группой программ-вымогателей Interlock, которая применяет стратегии двойного вымогательства, нацеленные на крупные организации. Interlock использует такие тактики, как утечка данных и последующее шифрование уведомлений о требовании выкупа, для систем Linux и Windows. Компания Quorum Cyber отметила рост числа кампаний с использованием туннелей Cloudflare для доставки RAT, которые часто начинаются с попыток фишинга. NodeSnake взаимодействует по протоколу HTTP/HTTPS с предопределенными серверами C2, часто проксируемыми Cloudflare, и использует динамические соединения C2 со случайными задержками, препятствующими обнаружению. Его архитектура позволяет выполнять различные полезные нагрузки независимо от родительских процессов. Эволюция NodeSnake отражает растущую сложность, модульность в управлении полезной нагрузкой и усовершенствованные технологии скрытности.