#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость (CVE-2025-4632) в сервере Samsung MagicInfo 9 Server позволила выполнить удаленный код без проверки подлинности, что привело к развертыванию шифровальщика (XMRig), замаскированного под "smi2.exe - и инструмент удаленного управления AnyDesk. Злоумышленники использовали PowerShell и пакетные сценарии для манипулирования мерами безопасности и повышения стойкости, сосредоточившись на несанкционированном майнинге Monero и сохраняя скрытность, чтобы избежать обнаружения.
-----

В середине мая 2025 года хакеры воспользовались критической уязвимостью (CVE-2025-4632) в сервере Samsung MagicInfo 9, которая позволила удаленно выполнять код и записывать файлы без проверки подлинности с привилегиями системного уровня. Эта уязвимость имеет оценку CVSS 9,8, что указывает на ее серьезное воздействие. После первоначальной эксплуатации злоумышленники использовали автоматизированные команды для повышения устойчивости, манипулируя мерами безопасности конечных точек и устанавливая инструмент удаленного управления AnyDesk вместе с вариантом майнера криптовалюты XMRig, замаскированным под "smi2.exe." Конечной целью был несанкционированный майнинг Monero (XMR).

Атака началась с разведывательных команд, использующих легитимный процесс tomcat9.exe подтверждено, что он активен с 7 мая. К 15 мая были отмечены первые признаки компрометации, когда попытки команд проверить наличие процесса криптомайнинга указывали на систематический подход к оценке предыдущих заражений или активного майнинга. Впоследствии была выполнена многоэтапная команда PowerShell с помощью cmd.exe был создан новый локальный пользователь с правами администратора, зарегистрированы каталоги исключений в Microsoft Defender для обхода антивирусной проверки и загружено приложение AnyDesk для обеспечения удаленного доступа. Этот инструмент был настроен для запуска в Windows, что позволило злоумышленникам сохранить контроль.

Злоумышленники использовали в своих операциях как PowerShell, так и пакетные скрипты. Пакетный скрипт win.bat организовал загрузку и выполнение XMRig с сервера управления (C2) злоумышленника, включая проверку безопасности существующих процессов интеллектуального анализа данных, чтобы избежать избыточности. Кроме того, он использовал различные утилиты, такие как certutil и curl, чтобы гарантировать успешную доставку полезной нагрузки, даже если некоторые утилиты были отключены. Сценарий PowerShell, win.ps1, служил альтернативным механизмом для загрузки и выполнения cryptominer, используя преимущества законных возможностей Windows и обеспечивая скрытность и постоянство при выполнении предопределенных условий.

Заключительный этап включал развертывание XMRig под названием smi2.exe, который был настроен на бесшумную и автономную работу, с приоритетом производительности и скрытности, чтобы избежать обнаружения. Конфигурации включали опции автосохранения и минимальную регистрацию, чтобы скрыть свое присутствие. Установка AnyDesk с расширенными функциональными возможностями позволила расширить удаленный доступ и контроль над скомпрометированными системами, облегчив текущие операции и избежав мер обнаружения, обычно применяемых предприятиями. Таким образом, эта атака является примером использования сложных методов в сочетании с законным программным обеспечением для обеспечения постоянного доступа и незаконного майнинга криптовалют в скомпрометированных системах.

#ParsedReport #CompletenessLow
29-05-2025

Monkey-Patched PyPI Packages Use Transitive Dependencies to Steal Solana Private Keys

https://socket.dev/blog/monkey-patched-pypi-packages-steal-solana-private-keys

Report completeness: Low

Actors/Campaigns:
Cappership

Threats:
Supply_chain_technique

Victims:
Developers, Developer environments, Ci pipelines

Industry:
Financial

TTPs:

IOCs:
File: 6
Email: 1

Crypto:
solana

Algorithms:
rsa-2048, sha256, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе атаки на PyPI по цепочке поставок, проведенной субъектом "cappership", в пакет "semantictypes" была встроена полезная нагрузка для кражи нажатия клавиши, влияющая на множество зависимостей. Он захватывает секретные ключи, изменяя функции генерации ключей в экосистеме Solana, шифруя их с помощью RSA-2048 и отправляя на удаленный сервер. Атака использует методы социальной инженерии для завоевания доверия, позволяя незаметно выполнять вредоносный код с помощью мягких обновлений.
-----

Исследовательская группа Socket по изучению угроз выявила сложную атаку цепочки поставок на индекс пакетов Python (PyPI), выполненную субъектом, использующим псевдоним "cappership". Эта атака включала внедрение полезной нагрузки для кражи нажатий клавиш в пакет Python под названием "semantictypes", который впоследствии сформировал транзитивные зависимости с пятью другими пакетами: "solana-keypair", "solana-publickey", "solana-mev-agent-py", "solana-trading-bot" и "lock".`. В результате простая установка любого из этих пакетов запускает установку и выполнение вредоносной полезной нагрузки из "semantictypes`.

Вредоносная программа работает с помощью методов генерации ключей с автоматическим исправлением ошибок в экосистеме Solana. В частности, она изменяет функции во время выполнения без изменения исходного кода. Каждый раз, когда создается пара ключей, вредоносная программа незаметно перехватывает закрытый ключ, шифрует его с помощью открытого ключа RSA-2048 и отправляет зашифрованный ключ, инкапсулированный в транзакцию "spl.memo", в Solana Devnet, что позволяет хакеру извлекать и расшифровывать эти ключи для несанкционированного доступа к уязвимым кошелькам. Эта скрытая операция гарантирует, что вредоносное ПО останется незамеченным пользователем и стандартными мерами безопасности.

Во время различных обновлений этих пакетов присутствие вредоносного ПО изначально скрывалось, поскольку для укрепления доверия разработчиков выпускались безопасные версии. Вредоносная функциональность была внедрена в более поздних версиях, особенно в январе 2025 года, что значительно расширило возможности атаки, поскольку зависимости обеспечивали выполнение кода даже в том случае, если вредоносный пакет не был явно импортирован. Более того, злоумышленник использовал передовые методы социальной инженерии, чтобы придать достоверность своим вредоносным пакетам, создавая безупречные файлы README и связывая их с законными онлайн-ресурсами, такими как Stack Overflow и GitHub. Это не только скрывало их злонамеренные намерения, но и использовало общие проблемы разработчиков для повышения доверия к их пакетам.

Атака соответствует задокументированной тактике в рамках MITRE ATT&CK, в частности, нацелена на компрометацию цепочки поставок (T1195.002), использование асимметричной криптографии для зашифрованной связи (T1573.002) и автоматизированный сбор конфиденциальных данных (T1119). Такое сочетание вредоносных тактик подчеркивает значительную угрозу для среды разработки и конвейеров CI в блокчейн-пространстве, где доступ к закрытым ключам и учетным данным представляет собой настоящую сокровищницу для злоумышленников.

#ParsedReport #CompletenessHigh
30-05-2025

Download suck for tail: tactics and instrument groups BO Team

https://securelist.ru/bo-team/112753/

Report completeness: High

Actors/Campaigns:
Bo_team

Threats:
Darkgate
Brockendoor
Remcos_rat
Sdelete_tool
Babuk
Lockbit
Lolbin_technique
Reversessh_tool
Procdump_tool
Minidump_tool
Handlekatz_tool
Nanodump_tool
Ntdsutil_tool
Wevtutil_tool
Anydesk_tool
Shadow_copies_delete_technique

Victims:
State companies, Technology organizations, Telecommunications organizations, Production organizations

Industry:
Telco, Energy

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 11
File: 14
Path: 1
Url: 1
Hash: 61
IP: 8

Soft:
Telegram, Windows Defender, active directory, Active Directory domain services, Linux, gmail

Algorithms:
base64

Functions:
Get-Localuser

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Bo Team, которая появится в 2024 году, нацелена на российские компании с помощью изощренных фишинговых кампаний и внедрения вредоносных программ, в том числе программ-вымогателей Broeckendoor и Babuk. Они используют методы "жизни за пределами суши", чтобы избежать обнаружения, используют законные инструменты для перемещения в разные стороны и используют пользовательские исполняемые программы для удаления данных, демонстрируя передовые и уникальные оперативные тактики в текущем конфликте с Россией.
-----

Группа Bo Team появилась в начале 2024 года, заявив о поддержке Украины в продолжающемся конфликте с Россией, о чем свидетельствуют их атаки, направленные исключительно против российских организаций. Их методология атак в основном включает фишинговые электронные письма с вредоносными вложениями для получения первоначального доступа. Как только пользователь взаимодействует с вложениями, злоумышленники внедряют вредоносные программы, такие как Broeckendoor, Remcos и DarkGate. После проникновения в систему команда Bo выполняет деструктивные действия, включая удаление резервных копий и критически важных файлов с помощью утилиты SDELETE, а также использует программу-вымогатель Babuk для вымогательства выкупа у жертв.

Эта группа демонстрирует заметное отклонение от типичной тактики других хактивистских организаций в проукраинской сфере. Они сочетают знакомые инструменты хакеров с уникальным набором вредоносных программ, включая специализированные версии бэкдоров и программу-вымогателя Babuk, вместо более часто используемых опций, таких как Lockbit. Их фишинговые кампании являются изощренными и имитируют законные компании, участвующие в технологических процессах, чтобы привлечь потенциальных клиентов в таких чувствительных секторах, как технологии и энергетика. Такая тщательная разработка повышает вероятность того, что пользователи запустят вредоносные файлы.

Как только первоначальный доступ получен, команда Bo использует методы LotL для минимизации обнаружения и обхода мер безопасности. Они широко используют легальные инструменты Windows, такие как PowerShell, для сбора системной информации при подготовке своих атак. Например, они проверяют наличие антивирусных решений для разработки стратегии своих дальнейших действий, часто используя скомпрометированные учетные записи сотрудников организации для перемещения по сети.

Подробные методологии команды Bo включают использование командных утилит, таких как ntdsutil, для извлечения баз данных Active Directory и разработки методов манипулирования для скрытого доступа к данным аутентификации Telegram. Их схема работы также демонстрирует передовые методы маскировки их действий, такие как использование стандартных системных процессов для установки вредоносных фреймворков, что позволяет избежать использования систем обнаружения поведения.

Было замечено, что они используют специально созданные исполняемые файлы, такие как AV_Scan.exe, для автоматизации удаления конфиденциальных данных и одновременного сохранения конфиденциальности. Их выбор действовать автономно, без открытого сотрудничества с другими известными группами хактивистов, указывает на совершенно уникальную операционную идентичность в среде хактивистов.

Операции группы Бо представляют собой сложную угрозу для российских организаций, характеризующуюся длительным проникновением и расчетливыми ударами, а не нанесением немедленного ущерба. Их автономные, высокоадаптивные стратегии в сочетании с обширным арсеналом вредоносных программ и инструментов делают их выдающимися хакерами, что отражает их идеологические мотивы в отношении российских организаций во время продолжающегося конфликта.

#ParsedReport #CompletenessLow
30-05-2025

Stealth in 100 Lines: Analyzing PAM Backdoors in Linux

https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/

Report completeness: Low

Threats:
Credential_stealing_technique
Thor

ChatGPT TTPs:
do not use without manual check
T1003, T1071.001, T1078, T1547.009, T1556.003

IOCs:
Hash: 5

Soft:
Linux

Algorithms:
sha256

Functions:
pam_sm_authenticate

Links:
https://github.com/linux-pam/linux-pam

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль PAM в Linux, содержащий менее 100 строк кода, позволяет красть учетные данные, обходить аутентификацию и скрытно сохранять данные. Он использует жестко заданный пароль для доступа, сбора конфиденциальных данных и связи с сервером C2, что повышает риск использования простых, но эффективных уязвимостей в критически важных системах аутентификации. Обнаружение затруднено из-за интеграции модуля в платформу PAM, что требует строгих мер мониторинга и проверки подлинности.
-----

Платформа Pluggable Authentication Modules (PAM) в Linux является критически важным компонентом для управления аутентификацией, который также может быть использован хакерами. Анализ выявил бэкдор, реализованный в виде модуля PAM, состоящий менее чем из 100 строк кода, способный осуществлять кражу учетных данных, обход аутентификации и поддерживать скрытую сохранность в скомпрометированных системах.

Вредоносные модули PAM могут быть внедрены в процесс аутентификации, поскольку они являются объектами, совместно используемыми во время выполнения, и предоставляют прямой доступ к конфиденциальным учетным данным пользователя. Злоумышленники могут незаметно вставлять вредоносные модули на диск и настраивать конфигурацию PAM для загрузки этих модулей без необходимости изменения двоичных файлов запуска, что затрудняет обнаружение. Несмотря на то, что выявленные варианты были найдены на диске, более продвинутые методы, такие как внесение исправлений в память или внедрение модуля, остаются выполнимыми и потенциально более трудными для обнаружения.

Проверенный бэкдор взаимодействует с функцией pam_sm_authenticate(), которая имеет решающее значение на этапе аутентификации пользователя. Одной из ключевых особенностей вредоносного модуля PAM является его способность полностью обходить аутентификацию с помощью жестко заданного пароля, что позволяет любому пользователю получить доступ и выдать себя за законные учетные записи. Кроме того, когда происходит этот обход, на сервер управления (C2) отправляется предупреждение. Бэкдор также захватывает конфиденциальную информацию, такую как имена пользователей, пароли и порты прослушивания SSH, передавая эти данные обратно злоумышленникам, что позволяет установить обратное соединение с уязвимым хостом.

В ответ на такие угрозы специалистам по безопасности рекомендуется принять специальные технические меры. К ним относятся проверка всех общих объектов, расположенных в /lib/security, на соответствие заведомо достоверным хэшам, тщательный мониторинг изменений в /etc/pam.d/* и использование систем аудита для отслеживания загрузки модулей. Кроме того, следует тщательно проверять журналы аутентификации на предмет любых неожиданных успешных попыток входа в систему, особенно тех, которые обходят многофакторную аутентификацию. Такие инструменты, как THOR, могут использоваться для поиска поведенческих аномалий в разных системах, в то время как рекомендуется регулярно обновлять покрытие сигнатур и проводить периодические проверки с помощью thor-util upgrade.

Этот инцидент подчеркивает значительный риск, связанный с простыми, но эффективными внедрениями в жизненно важные области операционной системы. Злоумышленники могут достичь своих целей без сложного вредоносного ПО, полагаясь на тонкое понимание границ доверия и использование минимальных уязвимостей в коде.

#ParsedReport #CompletenessHigh
30-05-2025

Dark Web Profile: NightSpire Ransomware

https://socradar.io/dark-web-profile-nightspire-ransomware/

Report completeness: High

Threats:
Nightspire
Lolbin_technique
Mimikatz_tool
Rclone_tool
Credential_dumping_technique

Victims:
Taiwanese government, Hospital, Small to medium-sized enterprises

Industry:
Healthcare, Education, Government, Retail

Geo:
Spain, Poland, Japan, Egypt, France, Taiwan, India, Taiwanese, Hong kong

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 2
Technics: 11

IOCs:
Domain: 1
Hash: 1

Soft:
PsExec, Active Directory, ProtonMail, Telegram

Algorithms:
aes-256

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это финансово мотивированная группа программ-вымогателей, использующая тактику двойного вымогательства для малых и средних предприятий по всему миру, используя уязвимости, такие как CVE-2024-55591. Они используют методы "жизни за пределами страны" и утечку данных для оказания давления на жертв. Упреждающие меры кибербезопасности, включая внесение исправлений и сегментацию сети, необходимы для защиты.
-----

NightSpire, появившаяся в начале 2025 года как финансово мотивированная группа вымогателей, использует стратегию двойного вымогательства, шифруя данные жертв и угрожая опубликовать их на своем сайте утечки данных в темной сети (DLS), если выкуп не будет выплачен. Деятельность группы характеризуется ориентацией на малые и средние предприятия (МСП) в различных секторах с заметным географическим охватом, который в основном включает Соединенные Штаты, Тайвань, Гонконг и некоторые части Европы. Они не преследуют конкретных геополитических целей, вместо этого выбирают жертв, основываясь на выявленных уязвимостях и общем отсутствии соблюдения правил кибербезопасности.

NightSpire в основном нацелен на такие отрасли, как технологии, ИТ-услуги, финансовые услуги, производство и образование, что отражает более широкую тенденцию к атакам программ-вымогателей, нацеленных на малозащищенные предприятия малого и среднего бизнеса. Жертвы часто сталкиваются с ограниченными ресурсами кибербезопасности и устаревшей инфраструктурой, что делает их более восприимчивыми к угрозам. Группа сочетает традиционную тактику вымогателей с современными подходами, включая использование незащищенных веб-серверов и известных уязвимостей, в частности CVE-2024-55591, для получения первоначального доступа. Оказавшись внутри, NightSpire использует методы "жизни за пределами земли", используя законные инструменты, такие как PowerShell и PsExec, для навигации по сети и повышения привилегий.

Ключевые аспекты операционной системы NightSpire включают в себя сбор данных перед развертыванием программ-вымогателей, упаковку конфиденциальных файлов для передачи в инфраструктуру, контролируемую злоумышленниками. Эти данные служат рычагом при переговорах о выкупе, а для взаимодействия с жертвами используются безопасные платформы. Группа осуществляет психологическое давление с помощью тактики запугивания, что создает напряженность в переговорах о выкупе.

Для защиты от таких атак организациям рекомендуется принимать упреждающие меры кибербезопасности. К ним относятся оперативное исправление общедоступных систем, особенно уязвимых к выявленным CVE, применение строгих методов аутентификации, ограничение перемещения по сети и внедрение строгих мер защиты учетных данных. Сегментация сети, автономное резервное копирование без изменений и регулярно проверяемые планы реагирования на инциденты также рекомендуются для снижения потенциального ущерба от операций программ-вымогателей, подобных тем, которые выполняет NightSpire. Постоянный мониторинг показателей компрометации, связанных с группой, повышает устойчивость организации к подобным угрозам.

#ParsedReport #CompletenessLow
30-05-2025

ScreenConnect Cloud HACKED by Nation-State Actor!

https://www.secureblink.com/cyber-security-news/screen-connect-cloud-hacked-by-nation-state-actor

Report completeness: Low

Threats:
Screenconnect_tool
Connectwise_tool
Supply_chain_technique

Victims:
Connectwise, Managed service providers, It departments, Screenconnect cloud customers

Geo:
North korean

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2025-3935 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003, T1021, T1190

Soft:
ASP.NET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания ConnectWise сообщила об инциденте с кибербезопасностью, в результате которого один из государственных субъектов использовал CVE-2025-3935 в своем программном обеспечении ScreenConnect, что повлияло на некоторых облачных клиентов. Уязвимость связана с внедрением кода ViewState, что может привести к удаленному выполнению кода путем кражи секретных машинных ключей. Вероятно, взлом начался в августе 2024 года, и организациям рекомендуется усилить меры безопасности и провести аудит системы.
-----

Компания ConnectWise раскрыла инцидент с кибербезопасностью, связанный с предполагаемым государственным субъектом, который воспользовался критической уязвимостью в программном обеспечении удаленного доступа ScreenConnect, идентифицированной как CVE-2025-3935. Этот инцидент затронул ограниченное число клиентов, размещенных в облаке, что вызвало тревогу в сообществе поставщиков управляемых услуг (MSP). Конкретная уязвимость - это ошибка при внедрении кода ViewState, вызванная небезопасной десериализацией в рамках платформы ASP.NET, особенно влияющая на ScreenConnect версий 25.2.3 и более ранних. Он получил рейтинг "Высокого" приоритета из-за потенциальной возможности активного использования, позволяя хакерам с привилегированным доступом на системном уровне красть секретные машинные ключи, которые затем могут быть использованы для удаленного выполнения кода на уязвимых серверах.

Хронология инцидента указывает на то, что первоначальное нарушение могло произойти уже в августе 2024 года, а ConnectWise обнаружила подозрительную активность примерно в мае 2025 года. После этого открытия компания привлекла фирму по кибербезопасности Mandiant для проведения всестороннего расследования и работает в координации с правоохранительными органами. Однако ConnectWise не раскрывает, сколько клиентов было затронуто, точное время взлома и были ли подтверждены какие-либо вредоносные действия при фактической установке ScreenConnect.

Хотя в рекомендациях ConnectWise не указывался вектор атаки, обсуждения среди пострадавших клиентов предполагают, что атака, скорее всего, началась с компрометации внутренней сети ConnectWise. Злоумышленники, по-видимому, украли секретные машинные ключи, что позволило им получить несанкционированный доступ к серверам и потенциально подключиться к средам клиентов, которые полагались на эти облачные сервисы. В ConnectWise заявили, что больше не наблюдали подозрительной активности после принятия мер по сдерживанию и усовершенствованию своих протоколов безопасности.

Этот инцидент примечателен тем, что он следует за другой существенной уязвимостью (CVE-2024-1709) в ScreenConnect, которая ранее использовалась группами программ-вымогателей и лицами, спонсируемыми государством. В свете этого нарушения пострадавшим организациям рекомендуется принять меры по реагированию на инциденты, включая замену учетных данных и тщательный аудит системы на наличие признаков несанкционированного доступа. ConnectWise продолжает расследование и обещает обновлять его по мере поступления дополнительной информации, подчеркивая острую необходимость быстрого реагирования и строгих мер безопасности в условиях постоянных атак хакеров на платформы управления ИТ.

#ParsedReport #CompletenessLow
30-05-2025

Deep Dive into a Dumped Malware without a PE Header

https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1024, T1027, T1036.004, T1055.001, T1059.001, T1071, T1071.001, T1071.004, have more...

IOCs:
File: 18
Domain: 1
Url: 1

Soft:
Windows Service

Algorithms:
sha256, xor

Functions:
SealMessage, GdipCreateBitmapFromHBITMAP, GdipSaveImageToStream, GdipDisposeImage

Win API:
VirtualAlloc, GetObjectW, LoadLibraryA, LoadLibraryW, CreateThread, getaddrinfo, DecryptMessage, CreateStreamOnHGlobal, GdiplusStartup, GetSystemMetrics, have more...

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО, идентифицированное как RAT, было внедрено в рамках процесса dllhost.exe, использующего сценарии PowerShell и передовые методы обхода, такие как поврежденные заголовки. Оно взаимодействовало со своим сервером C2 "rushpapers.com" по протоколу TLS, позволяя захватывать данные и манипулировать системой с помощью многопоточных сокетов и API Service Control Manager.
-----

Анализ был сосредоточен на конкретной вредоносной программе, работающей в среде взломанного компьютера, в частности, в рамках процесса dllhost.exe. Вредоносная программа была запущена с помощью комбинации скриптов и PowerShell и работала в течение нескольких недель до обнаружения. Был получен и проанализирован дамп памяти вредоносного ПО, который показал, что оно было внедрено в память между адресами 0x1c3eefb0000 и 0x1c3ef029fff. Удаленный файл, идентифицированный как 64-разрядный PE-файл, содержал поврежденные заголовки DOS и PE, что затрудняло восстановление. Такое повреждение часто используется вредоносными программами для уклонения от обнаружения и анализа.

Для динамического анализа вредоносного ПО исследователям пришлось воссоздать скомпрометированную среду, запустив процесс dllhost.exe в отладчике. Эта настройка потребовала выполнения сложных шагов для определения точки входа вредоносного ПО, которая отличалась от обычной, поскольку в заголовке PE не была указана точка входа. Вместо этого исследователи использовали IDA Pro для определения начальной точки функции, подтвердив, что она находится по адресу 0x1C3EEFEE0A8. Затем последовали задачи по управлению памятью, в ходе которых были использованы методы динамического выделения памяти, такие как VirtualAlloc(), а также перемещение 257 адресов Windows API по 16 модулям, необходимым для запуска вредоносной программы.

Вредоносная программа была подтверждена как троян удаленного доступа (RAT) из-за ее возможностей значительно контролировать зараженную машину. После запуска она расшифровала информацию о своем сервере управления (C2), продемонстрировав связь по протоколу TLS с доменом "rushpapers.com" на порту 443. Коммуникация вредоносного ПО включала использование API getaddrinfo() для разрешения DNS, создания зашифрованных каналов для передачи данных, что требовало взлома процедур шифрования и дешифрования для анализа открытого текстового содержимого.

Дальнейшее изучение ее функциональности показало, что она позволяла злоумышленнику получать изображения экрана и собирать данные об активности пользователей в взломанной системе. Использование многопоточной архитектуры сокетов позволяло вредоносному ПО прослушивать входящие соединения, облегчая сложные взаимодействия и дальнейшую эксплуатацию взломанной системы хакером. Кроме того, вредоносная программа может взаимодействовать с системными службами через API Service Control Manager, позволяя перечислять системные службы и манипулировать ими.