#ParsedReport #CompletenessHigh
29-05-2025
Chasing Eddies: New Rust-based InfoStealer used in CAPTCHAcampaigns
https://www.elastic.co/security-labs/eddiestealer
Report completeness: High
Threats:
Eddiestealer
Ghostpulse
Unicorn_tool
Api_obfuscation_technique
Latrodectus
Deskshare_tool
Chromekatz_tool
Cookiekatz_tool
Cookiemonster
Credentialkatz_tool
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 15
Url: 1
Hash: 18
IP: 2
Domain: 5
Soft:
Microsoft Edge, Google Chrome, Mozilla Firefox, Bitwarden, 1Password, KeePass, FTPbox, FTPGetter, Total Commander, Telegram, have more...
Wallets:
wassabi, mainnet, coinomi, electrum, exodus_wallet, dashcore, electron_cash, guarda_wallet
Crypto:
bitcoin
Algorithms:
sha256, aes, cbc, xor, base64, exhibit
Functions:
GetModuleFileName, FindPattern
Win API:
WaitOnAddress, WakeByAddressAll, LoadLibrary, GetProcAddress, CreateFileW, SetFileInformationByHandle, DeleteFile, GetFileSizeEx, ReadFile, CloseHandle, have more...
Languages:
rust, javascript, powershell, cscript
Platforms:
x86
YARA: Found
Links:
have more...
29-05-2025
Chasing Eddies: New Rust-based InfoStealer used in CAPTCHAcampaigns
https://www.elastic.co/security-labs/eddiestealer
Report completeness: High
Threats:
Eddiestealer
Ghostpulse
Unicorn_tool
Api_obfuscation_technique
Latrodectus
Deskshare_tool
Chromekatz_tool
Cookiekatz_tool
Cookiemonster
Credentialkatz_tool
TTPs:
Tactics: 7
Technics: 0
IOCs:
File: 15
Url: 1
Hash: 18
IP: 2
Domain: 5
Soft:
Microsoft Edge, Google Chrome, Mozilla Firefox, Bitwarden, 1Password, KeePass, FTPbox, FTPGetter, Total Commander, Telegram, have more...
Wallets:
wassabi, mainnet, coinomi, electrum, exodus_wallet, dashcore, electron_cash, guarda_wallet
Crypto:
bitcoin
Algorithms:
sha256, aes, cbc, xor, base64, exhibit
Functions:
GetModuleFileName, FindPattern
Win API:
WaitOnAddress, WakeByAddressAll, LoadLibrary, GetProcAddress, CreateFileW, SetFileInformationByHandle, DeleteFile, GetFileSizeEx, ReadFile, CloseHandle, have more...
Languages:
rust, javascript, powershell, cscript
Platforms:
x86
YARA: Found
Links:
https://github.com/ben-sb/javascript-deobfuscatorhave more...
https://github.com/cocomelonc/2023-04-16-malware-av-evasion-16/blob/ba05e209e079c2e339c67797b5a563a2e4dc0106/hack.cpp#L75https://github.com/N0fix/rustbinsignwww.elastic.co
Chasing Eddies: New Rust-based InfoStealer used in CAPTCHA campaigns — Elastic Security Labs
Elastic Security Labs walks through EDDIESTEALER, a lightweight commodity infostealer used in emerging CAPTCHA-based campaigns.
CTT Report Hub
#ParsedReport #CompletenessHigh 29-05-2025 Chasing Eddies: New Rust-based InfoStealer used in CAPTCHAcampaigns https://www.elastic.co/security-labs/eddiestealer Report completeness: High Threats: Eddiestealer Ghostpulse Unicorn_tool Api_obfuscation_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EDDIESTEALER - это инфокрад на базе Rust, предназначенный для Windows, распространяемый с помощью поддельных схем проверки с помощью CAPTCHA. Он использует социальную инженерию и вредоносные скрипты PowerShell для кражи учетных данных и информации о криптовалюте, обмениваясь данными со своим сервером C2 через трафик, отличный от HTTPS. Вредоносная программа использует передовые методы уклонения, включая шифрование строк, пользовательский механизм API и метод самоудаления, что затрудняет реверс-инжиниринг.
-----
Elastic Security Labs подробно описала новый инфокрад EDDIESTEALER, который разработан с использованием Rust и распространяется с помощью поддельных кампаний по проверке капчи. Этот инфокрад нацелен на системы Windows, используя тактику социальной инженерии, чтобы побудить пользователей выполнить вредоносный сценарий PowerShell с помощью вводящих в заблуждение страниц проверки CAPTCHA. Выполнение этого скрипта приводит к развертыванию EDDIESTEALER, позволяющего ему собирать конфиденциальную информацию, такую как учетные данные и данные криптовалютного кошелька. Вредоносное ПО размещается на сайтах, контролируемых злоумышленниками, что расширяет его охват.
Процесс проникновения начинается с вредоносной полезной нагрузки JavaScript, которая имитирует законные действия с использованием CAPTCHA, предлагая жертвам выполнить команду PowerShell, которая впоследствии извлекает исполняемый файл EDDIESTEALER с сервера злоумышленника. После выполнения EDDIESTEALER связывается со своим сервером управления (C2) для получения списка задач, который определяет, на какие данные следует ориентироваться. Это взаимодействие осуществляется через HTTP с характерной схемой множественных запросов POST, которые могут быть легко идентифицированы из-за отсутствия HTTPS.
EDDIESTEALER включает в себя несколько современных стратегий обхода безопасности. Он использует пользовательский механизм для вызовов API, реализует хэш-таблицу для оптимизации разрешения функций и выполняет базовые проверки среды, чтобы избежать обнаружения изолированными средами. Вредоносная программа также использует метод самоудаления с помощью альтернативных потоков данных NTFS для обхода активных блокировок файлов, что еще больше запутывает ее присутствие.
Конструкция infostealer предусматривает шифрование строк простым XOR-шифром, что требует сложных методов обратного проектирования для анализа. В нем реализована процедура отложенной инициализации для безопасного управления общими ресурсами и используются синхронизированные методы для обеспечения потокобезопасности. Коммуникационная стратегия C2 претерпела изменения, включив встроенную логику сбора системной информации и выполнения задач, причем все это управляется в зашифрованном формате.
Что касается функциональности вредоносного ПО, EDDIESTEALER имитирует методы кражи учетных данных, которые использовались в предыдущих инструментах, особенно при взаимодействии с браузером. Он может создать безголовый экземпляр Chrome для взаимодействия с менеджером паролей браузера, позволяя получать учетные данные в виде открытого текста после их загрузки в память путем доступа к внутренним функциям браузера. Использование инфокрадом жестко закодированных ключей шифрования для обмена данными означает прогресс в обходе защитных мер и повышении операционной устойчивости.
Кроме того, аналитические материалы Elastic Security Labs включают методы анализа и отслеживания двоичных файлов Rust, которые по своей сути являются более сложными, чем традиционные вредоносные программы на C/C++. Анализ выявил проблемы, связанные с обратным проектированием EDDIESTEALER из-за его зависимости от функций защиты памяти Rust и потенциальной возможности удаления метаданных, что усложняет отслеживаемость.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
EDDIESTEALER - это инфокрад на базе Rust, предназначенный для Windows, распространяемый с помощью поддельных схем проверки с помощью CAPTCHA. Он использует социальную инженерию и вредоносные скрипты PowerShell для кражи учетных данных и информации о криптовалюте, обмениваясь данными со своим сервером C2 через трафик, отличный от HTTPS. Вредоносная программа использует передовые методы уклонения, включая шифрование строк, пользовательский механизм API и метод самоудаления, что затрудняет реверс-инжиниринг.
-----
Elastic Security Labs подробно описала новый инфокрад EDDIESTEALER, который разработан с использованием Rust и распространяется с помощью поддельных кампаний по проверке капчи. Этот инфокрад нацелен на системы Windows, используя тактику социальной инженерии, чтобы побудить пользователей выполнить вредоносный сценарий PowerShell с помощью вводящих в заблуждение страниц проверки CAPTCHA. Выполнение этого скрипта приводит к развертыванию EDDIESTEALER, позволяющего ему собирать конфиденциальную информацию, такую как учетные данные и данные криптовалютного кошелька. Вредоносное ПО размещается на сайтах, контролируемых злоумышленниками, что расширяет его охват.
Процесс проникновения начинается с вредоносной полезной нагрузки JavaScript, которая имитирует законные действия с использованием CAPTCHA, предлагая жертвам выполнить команду PowerShell, которая впоследствии извлекает исполняемый файл EDDIESTEALER с сервера злоумышленника. После выполнения EDDIESTEALER связывается со своим сервером управления (C2) для получения списка задач, который определяет, на какие данные следует ориентироваться. Это взаимодействие осуществляется через HTTP с характерной схемой множественных запросов POST, которые могут быть легко идентифицированы из-за отсутствия HTTPS.
EDDIESTEALER включает в себя несколько современных стратегий обхода безопасности. Он использует пользовательский механизм для вызовов API, реализует хэш-таблицу для оптимизации разрешения функций и выполняет базовые проверки среды, чтобы избежать обнаружения изолированными средами. Вредоносная программа также использует метод самоудаления с помощью альтернативных потоков данных NTFS для обхода активных блокировок файлов, что еще больше запутывает ее присутствие.
Конструкция infostealer предусматривает шифрование строк простым XOR-шифром, что требует сложных методов обратного проектирования для анализа. В нем реализована процедура отложенной инициализации для безопасного управления общими ресурсами и используются синхронизированные методы для обеспечения потокобезопасности. Коммуникационная стратегия C2 претерпела изменения, включив встроенную логику сбора системной информации и выполнения задач, причем все это управляется в зашифрованном формате.
Что касается функциональности вредоносного ПО, EDDIESTEALER имитирует методы кражи учетных данных, которые использовались в предыдущих инструментах, особенно при взаимодействии с браузером. Он может создать безголовый экземпляр Chrome для взаимодействия с менеджером паролей браузера, позволяя получать учетные данные в виде открытого текста после их загрузки в память путем доступа к внутренним функциям браузера. Использование инфокрадом жестко закодированных ключей шифрования для обмена данными означает прогресс в обходе защитных мер и повышении операционной устойчивости.
Кроме того, аналитические материалы Elastic Security Labs включают методы анализа и отслеживания двоичных файлов Rust, которые по своей сути являются более сложными, чем традиционные вредоносные программы на C/C++. Анализ выявил проблемы, связанные с обратным проектированием EDDIESTEALER из-за его зависимости от функций защиты памяти Rust и потенциальной возможности удаления метаданных, что усложняет отслеживаемость.
#ParsedReport #CompletenessHigh
29-05-2025
A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment
https://www.trellix.com/blogs/research/cfo-spear-phishing-netbird-attack
Report completeness: High
Threats:
Spear-phishing_technique
Netbird_tool
Uac_bypass_technique
Victims:
Cfos, Finance executives, Banks, Energy companies, Insurers, Investment firms, Executive-level employees in financial departments
Industry:
Financial, Energy, Semiconductor_industry
Geo:
South africa, Africa, Norway, Egypt, Canada, Saudi arabia, Korea, Middle east, France, Switzerland, Singapore, Brazil, Asia
TTPs:
Tactics: 6
Technics: 15
IOCs:
Url: 7
Path: 2
File: 7
Email: 1
IP: 1
Hash: 3
Command: 3
Registry: 1
Soft:
wireguard, OpenSSH, Cloudflare Turnstile, Windows Service
Algorithms:
zip, des
Functions:
Set-ItemProperty
Languages:
powershell, javascript
29-05-2025
A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment
https://www.trellix.com/blogs/research/cfo-spear-phishing-netbird-attack
Report completeness: High
Threats:
Spear-phishing_technique
Netbird_tool
Uac_bypass_technique
Victims:
Cfos, Finance executives, Banks, Energy companies, Insurers, Investment firms, Executive-level employees in financial departments
Industry:
Financial, Energy, Semiconductor_industry
Geo:
South africa, Africa, Norway, Egypt, Canada, Saudi arabia, Korea, Middle east, France, Switzerland, Singapore, Brazil, Asia
TTPs:
Tactics: 6
Technics: 15
IOCs:
Url: 7
Path: 2
File: 7
Email: 1
IP: 1
Hash: 3
Command: 3
Registry: 1
Soft:
wireguard, OpenSSH, Cloudflare Turnstile, Windows Service
Algorithms:
zip, des
Functions:
Set-ItemProperty
Languages:
powershell, javascript
Trellix
A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment
On May 15th, Trellix's email security products alerted on a highly targeted spear-phishing operation aimed at CFOs and finance executives at banks, energy companies, insurers, and investment firms across Europe, Africa, Canada, the Middle East, and South…
CTT Report Hub
#ParsedReport #CompletenessHigh 29-05-2025 A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment https://www.trellix.com/blogs/research/cfo-spear-phishing-netbird-attack Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ходе целенаправленной кампании фишинга, нацеленной на финансовых директоров, был применен многоэтапный подход к внедрению инструмента удаленного доступа NetBird с использованием специально созданных электронных писем и вводящих в заблуждение методов CAPTCHA. Злоумышленники использовали ZIP-файл, содержащий скрипты VBS, для установки бэкдоров, что подчеркивает тенденцию к постоянному нападению на финансовых руководителей.
-----
15 мая системы безопасности электронной почты Trellix обнаружили целенаправленную фишинговую кампанию, направленную конкретно на финансовых директоров и топ-менеджеров из различных отраслей, включая банковские, энергетические, страховые и инвестиционные компании в Европе, Африке, Канаде, на Ближнем Востоке и в Южной Азии. Эта многоэтапная фишинговая атака в первую очередь была направлена на развертывание на компьютерах жертв NetBird, легитимного инструмента удаленного доступа, основанного на Wireguard. Растущее использование хакерами таких приложений удаленного доступа указывает на тенденцию, когда злоумышленники проявляют настойчивость, чтобы способствовать более глубокому проникновению в целевые сети. URL-адрес первоначального фишингового электронного письма был заблокирован Trellix из-за подозрительного поведения captcha.
Цепочка атак началась с рассылки электронного письма от имени рекрутера Rothschild & Co, в котором предлагалась "стратегическая возможность". Получатели этого электронного письма открывали прикрепленную "брошюру", которая на самом деле была размещенной на Firebase страницей, защищенной с помощью капчи для математического теста. Жертвам, успешно разгадавшим капчу, было предложено загрузить ZIP-файл с именем "Rothschild_&_Co-6745763.zip". Этот файл содержал скрипт VBS, который впоследствии загрузил другой скрипт VBS для автоматической установки приложений NetBird и OpenSSH, создания скрытой учетной записи локального администратора и включения протокола удаленного рабочего стола (RDP). Это позволило злоумышленникам получить зашифрованный бэкдор для удаленного доступа.
Фишинговое электронное письмо содержало заголовок "Возможность лидерства Rothschild & Co (конфиденциально)" и ссылку, выдаваемую за подлинный PDF-файл, которая перенаправляла пользователей на поддельный URL-адрес, размещенный в приложении Firebase. Истинный URL-адрес перенаправления был запутан, и для его расшифровки требовалась функция JavaScript, прежде чем предоставлять доступ. Злоумышленники все чаще используют индивидуальные механизмы ввода капчи для обхода существующих средств защиты от фишинга, о чем свидетельствует их выбор методов ввода капчи, которые могут обмануть обычные службы безопасности, такие как Cloudflare Turnstile или Google reCAPTCHA. Перейдя по якобы безобидной ссылке для скачивания, жертвы невольно загружали вредоносный ZIP-файл, который инициировал дальнейшие действия по проникновению, описанные выше.
Дальнейшее расследование привело к выявлению более старых фишинговых страниц, использующих аналогичные методы проверки с помощью капчи, что выявило закономерность в методах злоумышленников. Одним из таких примеров была активная ссылка на ZIP-файл, содержащий ту же полезную нагрузку VBS, что и в недавней кампании, что указывает на то, что у хакеров есть целый набор ресурсов, которые они перезапускают под разными личинами. Кроме того, при обобщении полученных данных исследователи отметили параллели с доказательствами, предоставленными французским управлением финансовых рынков (AMF), что позволяет предположить более широкую взаимосвязь тактики и методов между различными случаями фишинга. Хотя приманка, использованная в отчете AMF, отличалась от выводов Trellix, лежащие в ее основе методы, продемонстрированные злоумышленниками, сохраняли последовательность.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ходе целенаправленной кампании фишинга, нацеленной на финансовых директоров, был применен многоэтапный подход к внедрению инструмента удаленного доступа NetBird с использованием специально созданных электронных писем и вводящих в заблуждение методов CAPTCHA. Злоумышленники использовали ZIP-файл, содержащий скрипты VBS, для установки бэкдоров, что подчеркивает тенденцию к постоянному нападению на финансовых руководителей.
-----
15 мая системы безопасности электронной почты Trellix обнаружили целенаправленную фишинговую кампанию, направленную конкретно на финансовых директоров и топ-менеджеров из различных отраслей, включая банковские, энергетические, страховые и инвестиционные компании в Европе, Африке, Канаде, на Ближнем Востоке и в Южной Азии. Эта многоэтапная фишинговая атака в первую очередь была направлена на развертывание на компьютерах жертв NetBird, легитимного инструмента удаленного доступа, основанного на Wireguard. Растущее использование хакерами таких приложений удаленного доступа указывает на тенденцию, когда злоумышленники проявляют настойчивость, чтобы способствовать более глубокому проникновению в целевые сети. URL-адрес первоначального фишингового электронного письма был заблокирован Trellix из-за подозрительного поведения captcha.
Цепочка атак началась с рассылки электронного письма от имени рекрутера Rothschild & Co, в котором предлагалась "стратегическая возможность". Получатели этого электронного письма открывали прикрепленную "брошюру", которая на самом деле была размещенной на Firebase страницей, защищенной с помощью капчи для математического теста. Жертвам, успешно разгадавшим капчу, было предложено загрузить ZIP-файл с именем "Rothschild_&_Co-6745763.zip". Этот файл содержал скрипт VBS, который впоследствии загрузил другой скрипт VBS для автоматической установки приложений NetBird и OpenSSH, создания скрытой учетной записи локального администратора и включения протокола удаленного рабочего стола (RDP). Это позволило злоумышленникам получить зашифрованный бэкдор для удаленного доступа.
Фишинговое электронное письмо содержало заголовок "Возможность лидерства Rothschild & Co (конфиденциально)" и ссылку, выдаваемую за подлинный PDF-файл, которая перенаправляла пользователей на поддельный URL-адрес, размещенный в приложении Firebase. Истинный URL-адрес перенаправления был запутан, и для его расшифровки требовалась функция JavaScript, прежде чем предоставлять доступ. Злоумышленники все чаще используют индивидуальные механизмы ввода капчи для обхода существующих средств защиты от фишинга, о чем свидетельствует их выбор методов ввода капчи, которые могут обмануть обычные службы безопасности, такие как Cloudflare Turnstile или Google reCAPTCHA. Перейдя по якобы безобидной ссылке для скачивания, жертвы невольно загружали вредоносный ZIP-файл, который инициировал дальнейшие действия по проникновению, описанные выше.
Дальнейшее расследование привело к выявлению более старых фишинговых страниц, использующих аналогичные методы проверки с помощью капчи, что выявило закономерность в методах злоумышленников. Одним из таких примеров была активная ссылка на ZIP-файл, содержащий ту же полезную нагрузку VBS, что и в недавней кампании, что указывает на то, что у хакеров есть целый набор ресурсов, которые они перезапускают под разными личинами. Кроме того, при обобщении полученных данных исследователи отметили параллели с доказательствами, предоставленными французским управлением финансовых рынков (AMF), что позволяет предположить более широкую взаимосвязь тактики и методов между различными случаями фишинга. Хотя приманка, использованная в отчете AMF, отличалась от выводов Trellix, лежащие в ее основе методы, продемонстрированные злоумышленниками, сохраняли последовательность.
#ParsedReport #CompletenessHigh
29-05-2025
Threat Intelligence NodeSnake Malware Campaign
https://www.quorumcyber.com/wp-content/uploads/2025/04/20250416-Higher-Education-Sector-RAT-MP.pdf
Report completeness: High
Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat
Victims:
Uk based universities, Large or high value organisations
Industry:
Education
Geo:
America
TTPs:
Tactics: 8
Technics: 7
IOCs:
Domain: 8
Hash: 7
IP: 8
File: 22
Url: 4
Soft:
Trycloudflare, Linux
Algorithms:
xor, sha256, md5, sha1
Functions:
Get-Service, Get-PSDrive
Languages:
javascript, powershell
29-05-2025
Threat Intelligence NodeSnake Malware Campaign
https://www.quorumcyber.com/wp-content/uploads/2025/04/20250416-Higher-Education-Sector-RAT-MP.pdf
Report completeness: High
Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat
Victims:
Uk based universities, Large or high value organisations
Industry:
Education
Geo:
America
TTPs:
Tactics: 8
Technics: 7
IOCs:
Domain: 8
Hash: 7
IP: 8
File: 22
Url: 4
Soft:
Trycloudflare, Linux
Algorithms:
xor, sha256, md5, sha1
Functions:
Get-Service, Get-PSDrive
Languages:
javascript, powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 29-05-2025 Threat Intelligence NodeSnake Malware Campaign https://www.quorumcyber.com/wp-content/uploads/2025/04/20250416-Higher-Education-Sector-RAT-MP.pdf Report completeness: High Threats: Nodesnake Interlock Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
NodeSnake.A и NodeSnake.B - это сложные JavaScript-приложения, нацеленные на высшие учебные заведения Великобритании, которые развиваются с улучшенными возможностями скрытности и модульности. NodeSnake.B обеспечивает выполнение команд в режиме реального времени и использует Cloudflare для обмена данными C2, что облегчает перемещение по сети и постоянный доступ. Данные указывают на принадлежность NodeSnake к группе программ-вымогателей Interlock, что указывает на тенденцию использования киберпреступниками надежных сервисов для доставки вредоносных программ.
-----
NodeSnake.A и NodeSnake.B - это трояны удаленного доступа (RATs), нацеленные на высшие учебные заведения Великобритании. Оба RAT написаны на JavaScript и выполняются с помощью NodeJS. NodeSnake претерпел изменения, улучшив скрытность, модульную функциональность и методы уклонения. NodeSnake.A - это первоначальный вариант, в то время как NodeSnake.B обеспечил гибкость в работе и постоянный доступ. Вредоносная программа использует Cloudflare для обмена данными по системе command-and-control (C2) и использует туннелирование для скрытого доступа к таким сервисам, как SSH и RDP, для перемещения в горизонтальном направлении. NodeSnake.B позволяет выполнять команды в режиме реального времени и поддерживает несколько типов полезной нагрузки, включая CMD для команд оболочки. Он скрывает свои действия, используя такие методы, как запись записей в реестре для сохранения и использование случайных имен файлов, чтобы избежать обнаружения. Предполагается, что существует связь между NodeSnake и группой программ-вымогателей Interlock, которая применяет стратегии двойного вымогательства, нацеленные на крупные организации. Interlock использует такие тактики, как утечка данных и последующее шифрование уведомлений о требовании выкупа, для систем Linux и Windows. Компания Quorum Cyber отметила рост числа кампаний с использованием туннелей Cloudflare для доставки RAT, которые часто начинаются с попыток фишинга. NodeSnake взаимодействует по протоколу HTTP/HTTPS с предопределенными серверами C2, часто проксируемыми Cloudflare, и использует динамические соединения C2 со случайными задержками, препятствующими обнаружению. Его архитектура позволяет выполнять различные полезные нагрузки независимо от родительских процессов. Эволюция NodeSnake отражает растущую сложность, модульность в управлении полезной нагрузкой и усовершенствованные технологии скрытности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
NodeSnake.A и NodeSnake.B - это сложные JavaScript-приложения, нацеленные на высшие учебные заведения Великобритании, которые развиваются с улучшенными возможностями скрытности и модульности. NodeSnake.B обеспечивает выполнение команд в режиме реального времени и использует Cloudflare для обмена данными C2, что облегчает перемещение по сети и постоянный доступ. Данные указывают на принадлежность NodeSnake к группе программ-вымогателей Interlock, что указывает на тенденцию использования киберпреступниками надежных сервисов для доставки вредоносных программ.
-----
NodeSnake.A и NodeSnake.B - это трояны удаленного доступа (RATs), нацеленные на высшие учебные заведения Великобритании. Оба RAT написаны на JavaScript и выполняются с помощью NodeJS. NodeSnake претерпел изменения, улучшив скрытность, модульную функциональность и методы уклонения. NodeSnake.A - это первоначальный вариант, в то время как NodeSnake.B обеспечил гибкость в работе и постоянный доступ. Вредоносная программа использует Cloudflare для обмена данными по системе command-and-control (C2) и использует туннелирование для скрытого доступа к таким сервисам, как SSH и RDP, для перемещения в горизонтальном направлении. NodeSnake.B позволяет выполнять команды в режиме реального времени и поддерживает несколько типов полезной нагрузки, включая CMD для команд оболочки. Он скрывает свои действия, используя такие методы, как запись записей в реестре для сохранения и использование случайных имен файлов, чтобы избежать обнаружения. Предполагается, что существует связь между NodeSnake и группой программ-вымогателей Interlock, которая применяет стратегии двойного вымогательства, нацеленные на крупные организации. Interlock использует такие тактики, как утечка данных и последующее шифрование уведомлений о требовании выкупа, для систем Linux и Windows. Компания Quorum Cyber отметила рост числа кампаний с использованием туннелей Cloudflare для доставки RAT, которые часто начинаются с попыток фишинга. NodeSnake взаимодействует по протоколу HTTP/HTTPS с предопределенными серверами C2, часто проксируемыми Cloudflare, и использует динамические соединения C2 со случайными задержками, препятствующими обнаружению. Его архитектура позволяет выполнять различные полезные нагрузки независимо от родительских процессов. Эволюция NodeSnake отражает растущую сложность, модульность в управлении полезной нагрузкой и усовершенствованные технологии скрытности.
#ParsedReport #CompletenessMedium
30-05-2025
Possible APT32/Ocean Lotus Installer abusing MST Transforms
https://dmpdump.github.io/posts/Possible-Ocean-LotusInstaller-Abusing-MST-Transforms/
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Dll_sideloading_technique
Geo:
Taiwan, Vietnam
ChatGPT TTPs:
T1027, T1071.001, T1140, T1204.002, T1218.005, T1574.002, T1620
IOCs:
Hash: 5
File: 10
Path: 1
Url: 1
Soft:
Linux, Android
Algorithms:
lzma, aes, aes-256, xor
Functions:
GetModuleHandle
Win API:
ShellExecuteExW, RtlUserThreadStart, LoadLibraryExA, ZwProtectVirtualMemory
Languages:
rust
Links:
30-05-2025
Possible APT32/Ocean Lotus Installer abusing MST Transforms
https://dmpdump.github.io/posts/Possible-Ocean-LotusInstaller-Abusing-MST-Transforms/
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
Threats:
Dll_sideloading_technique
Geo:
Taiwan, Vietnam
ChatGPT TTPs:
do not use without manual checkT1027, T1071.001, T1140, T1204.002, T1218.005, T1574.002, T1620
IOCs:
Hash: 5
File: 10
Path: 1
Url: 1
Soft:
Linux, Android
Algorithms:
lzma, aes, aes-256, xor
Functions:
GetModuleHandle
Win API:
ShellExecuteExW, RtlUserThreadStart, LoadLibraryExA, ZwProtectVirtualMemory
Languages:
rust
Links:
https://github.com/dmpdumpdmpdump
Possible APT32/Ocean Lotus Installer abusing MST Transforms
While monitoring new threats, I came across an interesting ISO image (ced7fe9c5ec508216e6dd9a59d2d5193a58bdbac5f41a38ea97dd5c7fceef7a5) uploaded to VirusTotal from Taiwan on May 20, 2025. The ISO contained 3 files: 脱密 中央国安办.pdf.lnk (Declassified Central National…
CTT Report Hub
#ParsedReport #CompletenessMedium 30-05-2025 Possible APT32/Ocean Lotus Installer abusing MST Transforms https://dmpdump.github.io/posts/Possible-Ocean-LotusInstaller-Abusing-MST-Transforms/ Report completeness: Medium Actors/Campaigns: Oceanlotus Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ISO-образ, связанный с Ocean Lotus group, содержит пользовательскую библиотеку DLL для дополнительной загрузки DLL, выполняющую вредоносную полезную нагрузку с использованием перехвата функций и исправления в памяти. Он использует шелл-код, расшифрованный с помощью уникального 32-байтового ключа, и подключается к серверу C2, демонстрируя передовые методы уклонения.
-----
ISO-образ, идентифицированный как ced7fe9c5ec508216e6dd9a59d2d5193a58bdbac5f41a38ea97dd5c7fceef7a5, загруженный на сайт VirusTotal из Тайваня, содержит вредоносные компоненты, относящиеся к группе Ocean Lotus (APT32). ISO-файл содержит пользовательскую библиотеку DLL с именем Transforms.dll, которая реализует две экспортируемые функции: LogSetupBeforeInstall и LogSetupAfterInstall. Когда WindowsPCHealthCheckSetup.msi запускается с помощью ярлыка, запускается законный исполняемый файл PcHealthCheck, а также вредоносная библиотека DLL, tbs.dll, удаленная из папки данных локального приложения пользователя.
Заражение происходит при боковой загрузке библиотеки DLL, где tbs.библиотека dll запускается с помощью PcHealthCheck.exe, инициируя серию вредоносных действий, характеризующихся перехватом функций и исправлением библиотеки DLL в памяти. Вредоносная программа сначала перехватывает функцию RtlUserThreadStart с помощью модулей ntdll.dll и kernel32.dll, а затем манипулирует контекстом потока, чтобы перенаправить выполнение на вредоносный код. Критическая функция, известная как fn_pload_load, служит в качестве трамплина, который сначала запускает вредоносную логику перед вызовом исходной функции RtlUserThreadStart.
В рамках этого процесса вызывается fn_pload_decrypt_dll_patch, который использует пользовательский алгоритм расшифровки для обработки большого двоичного объекта с шелл-кодом. Уникальный 32-байтовый ключ расшифровывает полезную нагрузку, которая, как выяснилось, содержит сигнатуру сжатия по методу Лемпеля-Зива-Маркова (LZMA). Затем шелл-код обрабатывается путем определения местоположения и исправления допустимых xpsservices.dll в памяти, что позволяет выполнять дополнительные сегменты шеллкода. Этот процесс включает изменение защиты памяти с помощью ZwProtectVirtualMemory, чтобы предоставить права на выполнение для введенной полезной нагрузки.
Следующий этап включает в себя другой сжатый с помощью LZMA шеллкод, который распаковывает и выполняет дополнительную полезную нагрузку, написанную на Rust, которая включает связанную библиотеку libcurl. Эта последняя полезная нагрузка подключается к серверу управления, расположенному по адресу http://194.87.108.94:80/users/b97fc88c-cff5-4433-a784-df2a5e094452/profile/information и маскируется под Android-устройство Huawei, используя поддельную строку User-Agent, имитирующую трафик мобильного браузера. Изощренная тактика уклонения и многоэтапный путь выполнения демонстрируют изощренные методы, используемые этим хакером, подчеркивая необходимость бдительного мониторинга подобной деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ISO-образ, связанный с Ocean Lotus group, содержит пользовательскую библиотеку DLL для дополнительной загрузки DLL, выполняющую вредоносную полезную нагрузку с использованием перехвата функций и исправления в памяти. Он использует шелл-код, расшифрованный с помощью уникального 32-байтового ключа, и подключается к серверу C2, демонстрируя передовые методы уклонения.
-----
ISO-образ, идентифицированный как ced7fe9c5ec508216e6dd9a59d2d5193a58bdbac5f41a38ea97dd5c7fceef7a5, загруженный на сайт VirusTotal из Тайваня, содержит вредоносные компоненты, относящиеся к группе Ocean Lotus (APT32). ISO-файл содержит пользовательскую библиотеку DLL с именем Transforms.dll, которая реализует две экспортируемые функции: LogSetupBeforeInstall и LogSetupAfterInstall. Когда WindowsPCHealthCheckSetup.msi запускается с помощью ярлыка, запускается законный исполняемый файл PcHealthCheck, а также вредоносная библиотека DLL, tbs.dll, удаленная из папки данных локального приложения пользователя.
Заражение происходит при боковой загрузке библиотеки DLL, где tbs.библиотека dll запускается с помощью PcHealthCheck.exe, инициируя серию вредоносных действий, характеризующихся перехватом функций и исправлением библиотеки DLL в памяти. Вредоносная программа сначала перехватывает функцию RtlUserThreadStart с помощью модулей ntdll.dll и kernel32.dll, а затем манипулирует контекстом потока, чтобы перенаправить выполнение на вредоносный код. Критическая функция, известная как fn_pload_load, служит в качестве трамплина, который сначала запускает вредоносную логику перед вызовом исходной функции RtlUserThreadStart.
В рамках этого процесса вызывается fn_pload_decrypt_dll_patch, который использует пользовательский алгоритм расшифровки для обработки большого двоичного объекта с шелл-кодом. Уникальный 32-байтовый ключ расшифровывает полезную нагрузку, которая, как выяснилось, содержит сигнатуру сжатия по методу Лемпеля-Зива-Маркова (LZMA). Затем шелл-код обрабатывается путем определения местоположения и исправления допустимых xpsservices.dll в памяти, что позволяет выполнять дополнительные сегменты шеллкода. Этот процесс включает изменение защиты памяти с помощью ZwProtectVirtualMemory, чтобы предоставить права на выполнение для введенной полезной нагрузки.
Следующий этап включает в себя другой сжатый с помощью LZMA шеллкод, который распаковывает и выполняет дополнительную полезную нагрузку, написанную на Rust, которая включает связанную библиотеку libcurl. Эта последняя полезная нагрузка подключается к серверу управления, расположенному по адресу http://194.87.108.94:80/users/b97fc88c-cff5-4433-a784-df2a5e094452/profile/information и маскируется под Android-устройство Huawei, используя поддельную строку User-Agent, имитирующую трафик мобильного браузера. Изощренная тактика уклонения и многоэтапный путь выполнения демонстрируют изощренные методы, используемые этим хакером, подчеркивая необходимость бдительного мониторинга подобной деятельности.
#ParsedReport #CompletenessMedium
30-05-2025
When Samsung's Magic Turns Tragic: A Tale of Unauthorized Mining
https://www.esentire.com/blog/when-samsungs-magic-turns-tragic-a-tale-of-unauthorized-mining
Report completeness: Medium
Threats:
Xmrig_miner
Anydesk_tool
Lolbin_technique
Disabling_antivirus_technique
CVEs:
CVE-2025-4632 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- samsung magicinfo 9 server (<21.1052.0)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1021.001, T1027, T1053.005, T1057, T1059.001, T1059.003, T1069.002, T1078, T1098, T1105, have more...
IOCs:
File: 8
Path: 1
IP: 3
Domain: 1
Url: 7
Hash: 12
Soft:
Microsoft Defender, curl
Crypto:
monero
Win Services:
WebClient
Languages:
powershell
Links:
30-05-2025
When Samsung's Magic Turns Tragic: A Tale of Unauthorized Mining
https://www.esentire.com/blog/when-samsungs-magic-turns-tragic-a-tale-of-unauthorized-mining
Report completeness: Medium
Threats:
Xmrig_miner
Anydesk_tool
Lolbin_technique
Disabling_antivirus_technique
CVEs:
CVE-2025-4632 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- samsung magicinfo 9 server (<21.1052.0)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.001, T1027, T1053.005, T1057, T1059.001, T1059.003, T1069.002, T1078, T1098, T1105, have more...
IOCs:
File: 8
Path: 1
IP: 3
Domain: 1
Url: 7
Hash: 12
Soft:
Microsoft Defender, curl
Crypto:
monero
Win Services:
WebClient
Languages:
powershell
Links:
https://github.com/eSentire/iocs/blob/main/CVE-2025-4632/CVE-2025-4632-IoCs.txteSentire
When Samsung's Magic Turns Tragic: A Tale of Unauthorized Mining
Learn more about active exploitation of a critical security flaw (CVE-2025-4632) within Samsung MagicINFO 9 Server installations, and how to protect your…
CTT Report Hub
#ParsedReport #CompletenessMedium 30-05-2025 When Samsung's Magic Turns Tragic: A Tale of Unauthorized Mining https://www.esentire.com/blog/when-samsungs-magic-turns-tragic-a-tale-of-unauthorized-mining Report completeness: Medium Threats: Xmrig_miner…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Критическая уязвимость (CVE-2025-4632) в сервере Samsung MagicInfo 9 Server позволила выполнить удаленный код без проверки подлинности, что привело к развертыванию шифровальщика (XMRig), замаскированного под "smi2.exe - и инструмент удаленного управления AnyDesk. Злоумышленники использовали PowerShell и пакетные сценарии для манипулирования мерами безопасности и повышения стойкости, сосредоточившись на несанкционированном майнинге Monero и сохраняя скрытность, чтобы избежать обнаружения.
-----
В середине мая 2025 года хакеры воспользовались критической уязвимостью (CVE-2025-4632) в сервере Samsung MagicInfo 9, которая позволила удаленно выполнять код и записывать файлы без проверки подлинности с привилегиями системного уровня. Эта уязвимость имеет оценку CVSS 9,8, что указывает на ее серьезное воздействие. После первоначальной эксплуатации злоумышленники использовали автоматизированные команды для повышения устойчивости, манипулируя мерами безопасности конечных точек и устанавливая инструмент удаленного управления AnyDesk вместе с вариантом майнера криптовалюты XMRig, замаскированным под "smi2.exe." Конечной целью был несанкционированный майнинг Monero (XMR).
Атака началась с разведывательных команд, использующих легитимный процесс tomcat9.exe подтверждено, что он активен с 7 мая. К 15 мая были отмечены первые признаки компрометации, когда попытки команд проверить наличие процесса криптомайнинга указывали на систематический подход к оценке предыдущих заражений или активного майнинга. Впоследствии была выполнена многоэтапная команда PowerShell с помощью cmd.exe был создан новый локальный пользователь с правами администратора, зарегистрированы каталоги исключений в Microsoft Defender для обхода антивирусной проверки и загружено приложение AnyDesk для обеспечения удаленного доступа. Этот инструмент был настроен для запуска в Windows, что позволило злоумышленникам сохранить контроль.
Злоумышленники использовали в своих операциях как PowerShell, так и пакетные скрипты. Пакетный скрипт win.bat организовал загрузку и выполнение XMRig с сервера управления (C2) злоумышленника, включая проверку безопасности существующих процессов интеллектуального анализа данных, чтобы избежать избыточности. Кроме того, он использовал различные утилиты, такие как certutil и curl, чтобы гарантировать успешную доставку полезной нагрузки, даже если некоторые утилиты были отключены. Сценарий PowerShell, win.ps1, служил альтернативным механизмом для загрузки и выполнения cryptominer, используя преимущества законных возможностей Windows и обеспечивая скрытность и постоянство при выполнении предопределенных условий.
Заключительный этап включал развертывание XMRig под названием smi2.exe, который был настроен на бесшумную и автономную работу, с приоритетом производительности и скрытности, чтобы избежать обнаружения. Конфигурации включали опции автосохранения и минимальную регистрацию, чтобы скрыть свое присутствие. Установка AnyDesk с расширенными функциональными возможностями позволила расширить удаленный доступ и контроль над скомпрометированными системами, облегчив текущие операции и избежав мер обнаружения, обычно применяемых предприятиями. Таким образом, эта атака является примером использования сложных методов в сочетании с законным программным обеспечением для обеспечения постоянного доступа и незаконного майнинга криптовалют в скомпрометированных системах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Критическая уязвимость (CVE-2025-4632) в сервере Samsung MagicInfo 9 Server позволила выполнить удаленный код без проверки подлинности, что привело к развертыванию шифровальщика (XMRig), замаскированного под "smi2.exe - и инструмент удаленного управления AnyDesk. Злоумышленники использовали PowerShell и пакетные сценарии для манипулирования мерами безопасности и повышения стойкости, сосредоточившись на несанкционированном майнинге Monero и сохраняя скрытность, чтобы избежать обнаружения.
-----
В середине мая 2025 года хакеры воспользовались критической уязвимостью (CVE-2025-4632) в сервере Samsung MagicInfo 9, которая позволила удаленно выполнять код и записывать файлы без проверки подлинности с привилегиями системного уровня. Эта уязвимость имеет оценку CVSS 9,8, что указывает на ее серьезное воздействие. После первоначальной эксплуатации злоумышленники использовали автоматизированные команды для повышения устойчивости, манипулируя мерами безопасности конечных точек и устанавливая инструмент удаленного управления AnyDesk вместе с вариантом майнера криптовалюты XMRig, замаскированным под "smi2.exe." Конечной целью был несанкционированный майнинг Monero (XMR).
Атака началась с разведывательных команд, использующих легитимный процесс tomcat9.exe подтверждено, что он активен с 7 мая. К 15 мая были отмечены первые признаки компрометации, когда попытки команд проверить наличие процесса криптомайнинга указывали на систематический подход к оценке предыдущих заражений или активного майнинга. Впоследствии была выполнена многоэтапная команда PowerShell с помощью cmd.exe был создан новый локальный пользователь с правами администратора, зарегистрированы каталоги исключений в Microsoft Defender для обхода антивирусной проверки и загружено приложение AnyDesk для обеспечения удаленного доступа. Этот инструмент был настроен для запуска в Windows, что позволило злоумышленникам сохранить контроль.
Злоумышленники использовали в своих операциях как PowerShell, так и пакетные скрипты. Пакетный скрипт win.bat организовал загрузку и выполнение XMRig с сервера управления (C2) злоумышленника, включая проверку безопасности существующих процессов интеллектуального анализа данных, чтобы избежать избыточности. Кроме того, он использовал различные утилиты, такие как certutil и curl, чтобы гарантировать успешную доставку полезной нагрузки, даже если некоторые утилиты были отключены. Сценарий PowerShell, win.ps1, служил альтернативным механизмом для загрузки и выполнения cryptominer, используя преимущества законных возможностей Windows и обеспечивая скрытность и постоянство при выполнении предопределенных условий.
Заключительный этап включал развертывание XMRig под названием smi2.exe, который был настроен на бесшумную и автономную работу, с приоритетом производительности и скрытности, чтобы избежать обнаружения. Конфигурации включали опции автосохранения и минимальную регистрацию, чтобы скрыть свое присутствие. Установка AnyDesk с расширенными функциональными возможностями позволила расширить удаленный доступ и контроль над скомпрометированными системами, облегчив текущие операции и избежав мер обнаружения, обычно применяемых предприятиями. Таким образом, эта атака является примером использования сложных методов в сочетании с законным программным обеспечением для обеспечения постоянного доступа и незаконного майнинга криптовалют в скомпрометированных системах.
#ParsedReport #CompletenessLow
29-05-2025
Monkey-Patched PyPI Packages Use Transitive Dependencies to Steal Solana Private Keys
https://socket.dev/blog/monkey-patched-pypi-packages-steal-solana-private-keys
Report completeness: Low
Actors/Campaigns:
Cappership
Threats:
Supply_chain_technique
Victims:
Developers, Developer environments, Ci pipelines
Industry:
Financial
TTPs:
IOCs:
File: 6
Email: 1
Crypto:
solana
Algorithms:
rsa-2048, sha256, base64
Languages:
python
29-05-2025
Monkey-Patched PyPI Packages Use Transitive Dependencies to Steal Solana Private Keys
https://socket.dev/blog/monkey-patched-pypi-packages-steal-solana-private-keys
Report completeness: Low
Actors/Campaigns:
Cappership
Threats:
Supply_chain_technique
Victims:
Developers, Developer environments, Ci pipelines
Industry:
Financial
TTPs:
IOCs:
File: 6
Email: 1
Crypto:
solana
Algorithms:
rsa-2048, sha256, base64
Languages:
python
Socket
Monkey-Patched PyPI Packages Use Transitive Dependencies to ...
Malicious PyPI package semantic-types steals Solana private keys via transitive dependency installs using monkey patching and blockchain exfiltration.
CTT Report Hub
#ParsedReport #CompletenessLow 29-05-2025 Monkey-Patched PyPI Packages Use Transitive Dependencies to Steal Solana Private Keys https://socket.dev/blog/monkey-patched-pypi-packages-steal-solana-private-keys Report completeness: Low Actors/Campaigns: Cappership…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ходе атаки на PyPI по цепочке поставок, проведенной субъектом "cappership", в пакет "semantictypes" была встроена полезная нагрузка для кражи нажатия клавиши, влияющая на множество зависимостей. Он захватывает секретные ключи, изменяя функции генерации ключей в экосистеме Solana, шифруя их с помощью RSA-2048 и отправляя на удаленный сервер. Атака использует методы социальной инженерии для завоевания доверия, позволяя незаметно выполнять вредоносный код с помощью мягких обновлений.
-----
Исследовательская группа Socket по изучению угроз выявила сложную атаку цепочки поставок на индекс пакетов Python (PyPI), выполненную субъектом, использующим псевдоним "cappership". Эта атака включала внедрение полезной нагрузки для кражи нажатий клавиш в пакет Python под названием "semantictypes", который впоследствии сформировал транзитивные зависимости с пятью другими пакетами: "solana-keypair", "solana-publickey", "solana-mev-agent-py", "solana-trading-bot" и "lock".`. В результате простая установка любого из этих пакетов запускает установку и выполнение вредоносной полезной нагрузки из "semantictypes`.
Вредоносная программа работает с помощью методов генерации ключей с автоматическим исправлением ошибок в экосистеме Solana. В частности, она изменяет функции во время выполнения без изменения исходного кода. Каждый раз, когда создается пара ключей, вредоносная программа незаметно перехватывает закрытый ключ, шифрует его с помощью открытого ключа RSA-2048 и отправляет зашифрованный ключ, инкапсулированный в транзакцию "spl.memo", в Solana Devnet, что позволяет хакеру извлекать и расшифровывать эти ключи для несанкционированного доступа к уязвимым кошелькам. Эта скрытая операция гарантирует, что вредоносное ПО останется незамеченным пользователем и стандартными мерами безопасности.
Во время различных обновлений этих пакетов присутствие вредоносного ПО изначально скрывалось, поскольку для укрепления доверия разработчиков выпускались безопасные версии. Вредоносная функциональность была внедрена в более поздних версиях, особенно в январе 2025 года, что значительно расширило возможности атаки, поскольку зависимости обеспечивали выполнение кода даже в том случае, если вредоносный пакет не был явно импортирован. Более того, злоумышленник использовал передовые методы социальной инженерии, чтобы придать достоверность своим вредоносным пакетам, создавая безупречные файлы README и связывая их с законными онлайн-ресурсами, такими как Stack Overflow и GitHub. Это не только скрывало их злонамеренные намерения, но и использовало общие проблемы разработчиков для повышения доверия к их пакетам.
Атака соответствует задокументированной тактике в рамках MITRE ATT&CK, в частности, нацелена на компрометацию цепочки поставок (T1195.002), использование асимметричной криптографии для зашифрованной связи (T1573.002) и автоматизированный сбор конфиденциальных данных (T1119). Такое сочетание вредоносных тактик подчеркивает значительную угрозу для среды разработки и конвейеров CI в блокчейн-пространстве, где доступ к закрытым ключам и учетным данным представляет собой настоящую сокровищницу для злоумышленников.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В ходе атаки на PyPI по цепочке поставок, проведенной субъектом "cappership", в пакет "semantictypes" была встроена полезная нагрузка для кражи нажатия клавиши, влияющая на множество зависимостей. Он захватывает секретные ключи, изменяя функции генерации ключей в экосистеме Solana, шифруя их с помощью RSA-2048 и отправляя на удаленный сервер. Атака использует методы социальной инженерии для завоевания доверия, позволяя незаметно выполнять вредоносный код с помощью мягких обновлений.
-----
Исследовательская группа Socket по изучению угроз выявила сложную атаку цепочки поставок на индекс пакетов Python (PyPI), выполненную субъектом, использующим псевдоним "cappership". Эта атака включала внедрение полезной нагрузки для кражи нажатий клавиш в пакет Python под названием "semantictypes", который впоследствии сформировал транзитивные зависимости с пятью другими пакетами: "solana-keypair", "solana-publickey", "solana-mev-agent-py", "solana-trading-bot" и "lock".`. В результате простая установка любого из этих пакетов запускает установку и выполнение вредоносной полезной нагрузки из "semantictypes`.
Вредоносная программа работает с помощью методов генерации ключей с автоматическим исправлением ошибок в экосистеме Solana. В частности, она изменяет функции во время выполнения без изменения исходного кода. Каждый раз, когда создается пара ключей, вредоносная программа незаметно перехватывает закрытый ключ, шифрует его с помощью открытого ключа RSA-2048 и отправляет зашифрованный ключ, инкапсулированный в транзакцию "spl.memo", в Solana Devnet, что позволяет хакеру извлекать и расшифровывать эти ключи для несанкционированного доступа к уязвимым кошелькам. Эта скрытая операция гарантирует, что вредоносное ПО останется незамеченным пользователем и стандартными мерами безопасности.
Во время различных обновлений этих пакетов присутствие вредоносного ПО изначально скрывалось, поскольку для укрепления доверия разработчиков выпускались безопасные версии. Вредоносная функциональность была внедрена в более поздних версиях, особенно в январе 2025 года, что значительно расширило возможности атаки, поскольку зависимости обеспечивали выполнение кода даже в том случае, если вредоносный пакет не был явно импортирован. Более того, злоумышленник использовал передовые методы социальной инженерии, чтобы придать достоверность своим вредоносным пакетам, создавая безупречные файлы README и связывая их с законными онлайн-ресурсами, такими как Stack Overflow и GitHub. Это не только скрывало их злонамеренные намерения, но и использовало общие проблемы разработчиков для повышения доверия к их пакетам.
Атака соответствует задокументированной тактике в рамках MITRE ATT&CK, в частности, нацелена на компрометацию цепочки поставок (T1195.002), использование асимметричной криптографии для зашифрованной связи (T1573.002) и автоматизированный сбор конфиденциальных данных (T1119). Такое сочетание вредоносных тактик подчеркивает значительную угрозу для среды разработки и конвейеров CI в блокчейн-пространстве, где доступ к закрытым ключам и учетным данным представляет собой настоящую сокровищницу для злоумышленников.