#ParsedReport #CompletenessLow
30-05-2025

Deep Dive into a Dumped Malware without a PE Header

https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1024, T1027, T1036.004, T1055.001, T1059.001, T1071, T1071.001, T1071.004, have more...

IOCs:
File: 18
Domain: 1
Url: 1

Soft:
Windows Service

Algorithms:
sha256, xor

Functions:
SealMessage, GdipCreateBitmapFromHBITMAP, GdipSaveImageToStream, GdipDisposeImage

Win API:
VirtualAlloc, GetObjectW, LoadLibraryA, LoadLibraryW, CreateThread, getaddrinfo, DecryptMessage, CreateStreamOnHGlobal, GdiplusStartup, GetSystemMetrics, have more...

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО, идентифицированное как RAT, было внедрено в рамках процесса dllhost.exe, использующего сценарии PowerShell и передовые методы обхода, такие как поврежденные заголовки. Оно взаимодействовало со своим сервером C2 "rushpapers.com" по протоколу TLS, позволяя захватывать данные и манипулировать системой с помощью многопоточных сокетов и API Service Control Manager.
-----

Анализ был сосредоточен на конкретной вредоносной программе, работающей в среде взломанного компьютера, в частности, в рамках процесса dllhost.exe. Вредоносная программа была запущена с помощью комбинации скриптов и PowerShell и работала в течение нескольких недель до обнаружения. Был получен и проанализирован дамп памяти вредоносного ПО, который показал, что оно было внедрено в память между адресами 0x1c3eefb0000 и 0x1c3ef029fff. Удаленный файл, идентифицированный как 64-разрядный PE-файл, содержал поврежденные заголовки DOS и PE, что затрудняло восстановление. Такое повреждение часто используется вредоносными программами для уклонения от обнаружения и анализа.

Для динамического анализа вредоносного ПО исследователям пришлось воссоздать скомпрометированную среду, запустив процесс dllhost.exe в отладчике. Эта настройка потребовала выполнения сложных шагов для определения точки входа вредоносного ПО, которая отличалась от обычной, поскольку в заголовке PE не была указана точка входа. Вместо этого исследователи использовали IDA Pro для определения начальной точки функции, подтвердив, что она находится по адресу 0x1C3EEFEE0A8. Затем последовали задачи по управлению памятью, в ходе которых были использованы методы динамического выделения памяти, такие как VirtualAlloc(), а также перемещение 257 адресов Windows API по 16 модулям, необходимым для запуска вредоносной программы.

Вредоносная программа была подтверждена как троян удаленного доступа (RAT) из-за ее возможностей значительно контролировать зараженную машину. После запуска она расшифровала информацию о своем сервере управления (C2), продемонстрировав связь по протоколу TLS с доменом "rushpapers.com" на порту 443. Коммуникация вредоносного ПО включала использование API getaddrinfo() для разрешения DNS, создания зашифрованных каналов для передачи данных, что требовало взлома процедур шифрования и дешифрования для анализа открытого текстового содержимого.

Дальнейшее изучение ее функциональности показало, что она позволяла злоумышленнику получать изображения экрана и собирать данные об активности пользователей в взломанной системе. Использование многопоточной архитектуры сокетов позволяло вредоносному ПО прослушивать входящие соединения, облегчая сложные взаимодействия и дальнейшую эксплуатацию взломанной системы хакером. Кроме того, вредоносная программа может взаимодействовать с системными службами через API Service Control Manager, позволяя перечислять системные службы и манипулировать ими.

#ParsedReport #CompletenessLow
30-05-2025

Commvault Metallic 0-Day Breach: What Happened and What It Means

https://www.varonis.com/blog/commvault-metallic-vulnerability

Report completeness: Low

Actors/Campaigns:
Ghostemperor
Hafnium

Threats:
Supply_chain_technique

Victims:
Commvault, Microsoft 365 customers

Industry:
Critical_infrastructure

Geo:
Chinese

CVEs:
CVE-2025-3928 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- commvault (<11.20.217, <11.28.141, <11.32.89, <11.36.46)


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1505.003, T1552

IOCs:
File: 2
IP: 1
Domain: 2

Soft:
Twitter

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость нулевого дня (CVE-2025-3928) в платформе Commvault Metallic SaaS позволила злоумышленникам развернуть веб-оболочку и получить доступ к данным Microsoft 365, которую приписывают китайскому хакеру Salt Typhoon. Организациям рекомендуется чередовать учетные данные, журналы аудита, применять меры контроля доступа и вносить исправления в системы для снижения рисков.
-----

22 мая 2025 года в платформе Commvault Metallic SaaS, которая используется для резервного копирования данных Microsoft 365, была использована уязвимость, обозначенная как CVE-2025-3928. Эта уязвимость нулевого дня была обнаружена в веб-сервере, что позволяет злоумышленникам, прошедшим проверку подлинности, развертывать веб-оболочки и получать несанкционированный доступ к секретным данным клиентов. В результате злоумышленники могут проникать в клиентские среды Microsoft 365, демонстрируя значительные риски, связанные с уязвимостями сторонних производителей и цепочки поставок.

В ответ на это нарушение организациям, использующим сервисы Commvault, рекомендуется внедрить несколько стратегий по устранению последствий. Для предотвращения дальнейшего несанкционированного доступа необходимо немедленно изменить учетные данные для секретных приложений, управляемых Commvault. Кроме того, командам следует провести тщательный аудит журналов входа в систему Microsoft для выявления любых несанкционированных входов в систему или изменений. Рекомендуется также применять политики контроля доступа, в частности, те, которые ограничивают аутентификацию IP-адресами, внесенными в белый список. Кроме того, для обеспечения соблюдения принципа наименьших привилегий необходима повторная оценка разрешений, назначенных участникам обслуживания. Наконец, все автономные экземпляры веб-сервера Metallic web server должны быть исправлены последними обновлениями от Commvault, чтобы устранить выявленную уязвимость.

Этот инцидент иллюстрирует критический характер безопасности цепочки поставок, подчеркивая, что слабые места в платформе поставщика могут напрямую влиять на безопасность клиентов. Атака была совершена китайским хакером Salt Typhoon, спонсируемым государством, известным своими атаками на критически важную инфраструктуру США и поставщиков облачного программного обеспечения. Эта кампания свидетельствует о растущей тенденции к атакам на цепочки поставок программного обеспечения, когда уязвимости используются благодаря доверительным отношениям между предприятиями и их поставщиками SaaS, что вызывает опасения по поводу надежности мер безопасности в взаимосвязанных системах.

#ParsedReport #CompletenessLow
30-05-2025

Malicious npm Package Wipes Codebases with Remote Trigger

https://socket.dev/blog/npm-package-wipes-codebases-with-remote-trigger

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers

Geo:
French

TTPs:
Tactics: 1
Technics: 6

IOCs:
Email: 1
File: 8
Url: 1
Domain: 1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок npm включала в себя опечатанный пакет xlsx-to-json-lh, который содержит полезную нагрузку для подключения к серверу C2 и может рекурсивно удалять каталоги проекта. Действующий с 2019 года, он использует ошибки пользователей, нацеленные на разработчиков, и использует тактику троянского коня для сокрытия своей вредоносной деятельности.
-----

Исследовательская группа Socket Threat обнаружила серьезную атаку на цепочку поставок npm, для которой характерны опечатки и удаленное выполнение кода. Указанный вредоносный пакет с именем xlsx-to-json-lh полностью имитирует законный пакет xlsx-to-json-lc, отличаясь от него одной буквой. Опубликованный в феврале 2019 года, xlsx-to-json-lh содержит скрытую полезную нагрузку, которая при активации устанавливает постоянное соединение с сервером управления (C2). Этот пакет, который оставался необнаруженным в течение шести лет, может выполнять команды, которые рекурсивно удаляют целые каталоги проекта без каких-либо предупреждений или вариантов восстановления. Несмотря на его вредоносные намерения, пакет все еще можно найти в реестре npm, и был направлен официальный запрос на его удаление.

Атака использует популярность своего законного аналога, xlsx-to-json-lc, который был загружен примерно 500 000 раз с момента его выпуска в 2016 году. Используя распространенные опечатки, злоумышленник стратегически выбрал название из xlsx-в-json-lh, нацелившись на разработчиков, которые могли по ошибке ввести неверное имя пакета. Примечательно, что, хотя вредоносный пакет был получен от, казалось бы, заслуживающего доверия разработчика leonhard, наше исследование показывает, что другие пакеты, приписываемые этому разработчику, выглядят законными и не вредоносными. Это говорит о том, что атака xlsx-to-json-lh была целенаправленным маневром, а не частью более масштабной вредоносной кампании.

Механизм работы xlsx-to-json-lh демонстрирует сложный подход. В отличие от типичных вредоносных программ, которые немедленно нарушают функциональность, этот пакет использует тактику троянского коня. Он содержит функциональный код для преобразования Excel в JSON, позволяющий ему пройти первоначальные тесты функциональности, скрывая при этом его истинную вредоносную цель. После импорта в проект пакет поддерживает постоянное соединение с WebSocket, готовое к выполнению команд без необходимости дальнейшего взаимодействия с пользователем. Получив специальную команду "remise zro" (что по-французски означает "сброс"), вредоносная программа вычисляет корневой каталог проекта и начинает рекурсивное удаление файлов, создавая серьезную угрозу для рабочей среды разработчиков.

#ParsedReport #CompletenessLow
30-05-2025

Coordinated Cloud-Based Scanning Operation Targets 75 Known Exposure Points in One Day

https://www.greynoise.io/blog/coordinated-cloud-based-scanning-operation-targets-75-known-exposure-points

Report completeness: Low

Threats:
Shellshock_vuln

Industry:
Iot, Financial, Petroleum

Geo:
Japan

CVEs:
CVE-2017-5638 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.32, <2.5.10.1)

CVE-2022-26134 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence data center (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)
- atlassian confluence server (<7.4.17, <7.13.7, <7.14.3, <7.15.2, <7.16.4)

CVE-2017-10271 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle weblogic server (10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0)

CVE-2018-11776 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.35, <2.5.17)

CVE-2015-1427 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- elastic elasticsearch (<1.3.8, <1.4.3)

CVE-2014-6271 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gnu bash (le4.3)

CVE-2018-15961 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (11.0, 2016, 2018)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2018-16763 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- thedaylightstudio fuel cms (le1.4.2)

CVE-2019-2725 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle agile plm (9.3.3, 9.3.4, 9.3.5)
- oracle communications converged application server (5.1, 7.0, 7.1)
- oracle peoplesoft enterprise peopletools (8.56, 8.57, 8.58)
- oracle storagetek tape analytics sw tool (2.3)
- oracle tape library acsls (8.5)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1583.003, T1592, T1595

IOCs:
File: 2
IP: 251

Soft:
Apache Struts, PHPUnit, ColdFusion, WebLogic, Ivanti EPMM, Adobe ColdFusion, Confluence, Drupal, WordPress, JBoss, have more...

Languages:
groovy

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 мая в ходе разведывательной операции в Японии был использован 251 вредоносный IP-адрес, что позволило выявить множество уязвимостей, включая CVE-2018-15961 и CVE-2017-5638. Скоординированное сканирование было нацелено на такие технологии, как ColdFusion и Apache Struts, что указывало на возможные последующие попытки их использования.
-----

8 мая была зафиксирована скоординированная разведывательная операция с использованием 251 вредоносного IP-адреса, все они были геолокированы в Японии и размещены на Amazon AWS. В течение одного дня эти адреса выполняли 75 различных операций сканирования, которые включали попытки использования известных уязвимостей (CVE) и поиск неправильных настроек веб-инфраструктуры. Эта операция подчеркивает тревожную тенденцию к возрождению давно бездействующих векторов атак, о чем сообщает GreyNoise, которая классифицировала все задействованные IP-адреса как вредоносные.

Сканирование проводилось с использованием целого ряда технологий, включая ColdFusion, Apache Struts, Elasticsearch, WebLogic и Tomcat. Активно изучались конкретные уязвимости, такие как ColdFusion (CVE-2018-15961), Apache Struts (CVE-2017-5638) и Elasticsearch Groovy (CVE-2015-1427), для каждой из которых было зарегистрировано большое количество проверок. Кроме того, были использованы методы разведки, такие как проверка авторства WordPress и сканирование CGI-скриптов, в сочетании с проверками неправильной конфигурации, которые включали в себя обход конфигурации Git и выявление переменных среды.

Анализ, проведенный GreyNoise, показал, что наблюдаемые IP-адреса до и после скоординированного сканирования работали без сбоев, что позволяет предположить использование арендованной инфраструктуры для этой операции. Тесная координация между IP-адресами свидетельствует о намеренной, а не случайной активности, при этом совпадения в поведении при сканировании подтверждаются многочисленными уязвимостями.

Рекомендуются защитные меры, в том числе немедленная блокировка 251 выявленного вредоносного IP-адреса и внедрение стратегий динамической блокировки IP-адресов для предотвращения возможных последующих попыток использования. Схема этого скоординированного сканирования указывает на возможные действия, предшествующие попыткам использования, которые ранее наблюдались в случае с другими уязвимостями нулевого дня. Следовательно, для организаций крайне важно отслеживать журналы и проявлять бдительность в отношении подобных действий, чтобы повысить уровень своей безопасности.

#ParsedReport #CompletenessHigh
30-05-2025

APT41 Targets Governments with New TOUGHPROGRESS Malware Using Google Calendar for C2

https://socradar.io/apt41-toughprogress-malware-google-calendar/

Report completeness: High

Actors/Campaigns:
Winnti (motivation: financially_motivated, cyber_espionage)

Threats:
Toughprogress
Voldemort
Dusttrap
Process_hollowing_technique
Spear-phishing_technique
Plusdrop
Plusinject
Process_injection_technique

Victims:
Government organizations

Industry:
Transport, Government, Logistic

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1204.002, T1566.001

IOCs:
File: 4
Domain: 6
Url: 16
Hash: 7

Soft:
TryCloudflare, InfinityFree

Algorithms:
md5, zip, xor

Win API:
VirtualAlloc

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская хакерская группа APT41, спонсируемая государством, запустила кампанию с использованием вредоносного ПО TOUGHPROGRESS, которое тайно использует Google Calendar в качестве канала C2 для выполнения команд и утечки данных. Кампания начинается с точечного фишинга, который приводит к получению ZIP-файла, содержащего вредоносный LNK-файл, и использует передовые методы обхода, работая исключительно в памяти, чтобы избежать обнаружения. Рекомендации включают обучение пользователей фишингу и расширенный мониторинг использования облачных технологий.
-----

APT41 - это китайская хакерская группа, спонсируемая государством, нацеленная на правительственные организации. Недавно созданная ими вредоносная программа TOUGHPROGRESS использует Google Calendar в качестве канала управления (C2), встраивая зашифрованные команды в события календаря, чтобы избежать обнаружения. TOUGHPROGRESS выполняет команды, извлекает данные, скрытые в описаниях календаря, и работает исключительно в памяти, чтобы обойти традиционные методы обнаружения. Предыдущее вредоносное ПО, использовавшееся APT41, включало в себя VOLDEMORT и DUSTTRAP, которые также использовали облачную инфраструктуру для C2. Цепочка атак обычно начинается с отправки фишинговых электронных писем, ведущих к ZIP-архиву на взломанном сайте, содержащему файл Windows LNK, замаскированный под PDF, и вредоносные изображения в формате JPEG. Компонент PLUSDROP расшифровывает и выполняет дальнейшие этапы, в то время как PLUSINJECT использует процесс "опустошения" для внедрения кода в svchost.exe и развертывания TOUGHPROGRESS. Вредоносная программа взаимодействует с событиями Google Calendar, контролируемыми злоумышленниками, используя события нулевой минуты для маскировки контента. APT41 использует средства сокращения URL-адресов, такие как TinyURL, для маскировки вредоносных ссылок. Рекомендации по безопасности включают обучение по обнаружению фишинга, мониторинг аномалий в использовании облачных сервисов, использование endpoint protection для полезной нагрузки, предназначенной только для памяти, и поддержание актуальной информации об угрозах. Для облегчения идентификации в сетях были опубликованы правила обнаружения YARA для TOUGHPROGRESS.

#ParsedReport #CompletenessLow
30-05-2025

BtHoster: Identifying noisy networks emitting malicious traffic through masscan servers

https://www.intrinsec.com/wp-content/uploads/2025/05/TLP-CLEAR-BtHoster-Identifying-noisy-networks-emitting-malicious-traffic-through-masscan-servers-1.pdf

Report completeness: Low

Actors/Campaigns:
Shadowsyndicate
Gamaredon
Doppelgnger
Noname057
Uac-0050
Uac-0006

Threats:
Masscan_tool
Cobalt_strike_tool
Mirai
Riseprostealer
Remcos_rat
Moobot
Hookbot
Formbook
Mitm_technique
Ddosia_botnet

Industry:
Energy, Telco

Geo:
Asia, Usa, Vietnam, Russian, Dutch, Netherlands, Iranian, Bulgaria, Serbian, Seychelles, Cyprus, Russia, Spanish, Bulgarian, Uzbekistan, Serbia, New york, United kingdom, Iran, Lithuania

ChatGPT TTPs:
do not use without manual check
T1016, T1041, T1046, T1071.001, T1071.004, T1090, T1110, T1190, T1210, T1557.003, have more...

IOCs:
IP: 33

Soft:
telegram, instagram

Win API:
Pie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Две сети, Skynet Network Ltd и Inside Network LTD, связанные с высокочастотными атаками, как полагают, управляются BtHoster, пуленепробиваемым хостинг-провайдером. Они способствуют значительным вредоносным действиям, включая атаки методом перебора и сканирование, с подключением к различным серверам malware C2, что свидетельствует о совместных усилиях мошеннических хостинг-провайдеров, в том числе связанных с кибероперациями, спонсируемыми российским государством. Постоянный мониторинг этих сетей необходим для предотвращения будущих атак.
-----

Недавний анализ сетей, связанных с высокочастотными атаками, выявил две ключевые автономные системы: Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476). Считается, что обе сети управляются BtHoster, пуленепробиваемым хостинг-провайдером, который предлагает предварительно настроенные серверы massscan, способные обрабатывать до 1 300 000 пакетов в секунду. Эти сети, базирующиеся в Великобритании, направляют трафик через вышестоящего провайдера UAB Host Baltic (AS209605), расположенного в Литве, где также размещено значительное количество вариантов ботнета Mirai и множество серверов управления вредоносными программами (C2), включая Cobalt Strike и Moobot.

Расследования показали, что многие IP-адреса, используемые в атаках, исходят от небольших автономных систем, при этом особое внимание уделяется Skynet Network Ltd, которая за последний месяц зафиксировала более миллиона атак на системы honeypot. Наблюдаемое вредоносное поведение включает попытки входа в систему методом "брутфорс", активные действия по сканированию и развертывание различных разновидностей вредоносных программ. Кроме того, было отмечено, что общие префиксы из предыдущих иранских сетей были перераспределены в эти сети, возможно, для маскировки источника атак.

В сложной сети UAB Host Baltic и связанные с ней организации выявили вызывающие беспокойство соединения, свидетельствующие о перехвате BGP и изменениях в ASN. Операции также включают ссылки на другие защищенные хостинговые компании, такие как SS-Net и 4Vendeta, что указывает на скоординированные усилия мошеннических хостинг-провайдеров по уклонению от обнаружения и поддержанию инфраструктуры для вредоносных действий. Несколько других вовлеченных сетей предлагают “пуленепробиваемые” функции, которые позволяют совершать различные незаконные действия, что еще больше усложняет работу хакеров.

Более того, кипрская компания IT HOSTLINE LTD была идентифицирована как ключевой участник этой сети злоупотреблений, предоставляющий префиксы IPv4 нескольким вредоносным сетям, связанным с деятельностью, спонсируемой российским государством. Сюда входят компании, часто связанные с кибероперациями, такими как Gamaredon и программы-вымогатели. Взаимосвязанность этих организаций, включая совместное использование инфраструктуры и пиринговые соглашения, демонстрирует коллективный характер хакеров, использующих пуленепробиваемый хостинг для проведения атак, включая фишинг и вторжения методом "грубой силы" в корпоративные сети.

Текущие сложности этих сетей и методов их работы требуют постоянного мониторинга и принятия упреждающих мер аналитиками в области кибербезопасности. Поддержание бдительности в отношении перемещений и адаптации этих инфраструктур может предотвратить потенциальные атаки в будущем. Блокирование доступа из пуленепробиваемых хостинговых сетей имеет решающее значение для устранения угроз, возникающих при первоначальных попытках доступа и последующих вредоносных действиях, связанных с операторами программ-вымогателей и посредниками доступа к вторжениям.

#ParsedReport #CompletenessHigh
31-05-2025

StealC v2 Malware Enhances Stealth and Expands Data Theft Features

https://www.picussecurity.com/resource/blog/stealc-v2-malware-enhances-stealth-and-expands-data-theft-features

Report completeness: High

Actors/Campaigns:
Plymouth (motivation: cyber_criminal)

Threats:
Stealc
Themida_tool
Timebomb_technique

Industry:
E-commerce, Entertainment

Geo:
Ukrainian, Russian, Asia, Belarus, Belarusian, Ukraine, Russia, America, Uzbekistan, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1059.001, T1070.004, T1071.001, T1074.001, T1082, T1105, T1113, have more...

IOCs:
File: 12
Hash: 4
Command: 2
Path: 4

Soft:
Windows Installer, Chrome, Firefox, Opera, Chrome, Firefox, Microsoft Outlook, Windows Defender Application Control, Telegram, Discord

Algorithms:
zip, sha256, rc4, base64

Functions:
qword_7FF72B904E10, It

Win API:
GetWindowsDirectoryA, GetVolumeInformationA, ShellExecuteEx, LoadLibraryA

Languages:
powershell, php

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StealC, инфокрад и загрузчик вредоносных программ, приобрел популярность в 2023 году как вредоносное ПО как услуга. Его последняя версия, v2.2.4, улучшает скрытность и эксфильтрацию данных благодаря новому протоколу C2 на основе JSON и улучшенной доставке полезной нагрузки. Он нацелен на различные приложения для кражи учетных данных, избегая при этом систем с языками, связанными с СНГ, что указывает на его восточноевропейское происхождение.
-----

StealC - это программа для кражи информации и загрузки вредоносных программ, появившаяся в начале 2023 года и популярная среди киберпреступников благодаря низкой стоимости и эффективности. Она работает как программа "Вредоносное ПО как услуга" и продается на подпольных форумах. В начале 2025 года была выпущена версия 2.2.4, улучшающая возможности скрытности и утечки данных. В новой версии используется протокол управления на основе JSON (C2) и улучшенные методы доставки полезной нагрузки. StealC в основном поставляется в виде исполняемого файла Windows, замаскированного под вредоносные приложения. Он использует методы упаковки файлов и обфускации, чтобы избежать обнаружения, и работает в фоновом режиме без цифровых подписей. Вредоносная программа нацелена на отдельных пользователей в различных секторах, извлекая учетные данные из веб-браузеров, VPN и игровых аккаунтов. Это позволяет избежать заражения систем с языками, относящимися к Содружеству Независимых Государств (СНГ). После запуска StealC v2 выполняет процедуры инициализации, проверяет допустимые операционные среды и гарантирует, что запускается только один экземпляр, используя событие mutex. Он генерирует аппаратный идентификатор для уникальной идентификации в C2 communications и устанавливает первоначальные соединения C2 с помощью сообщений JSON в кодировке Base64. Основная функциональность вредоносного ПО включает модуль захвата, предназначенный для различных типов данных, включая веб-браузеры и криптовалютные кошельки, с различными методами расшифровки для разных браузеров. Он оснащен встроенным загрузчиком, позволяющим загружать и выполнять дополнительные вредоносные программы. Организациям рекомендуется повысить безопасность конечных точек, внедрить надежные фильтры электронной почты и отслеживать аномальное поведение и необычную сетевую активность, связанную с StealC. Постоянный мониторинг нерегулярного исходящего трафика может помочь в обнаружении заражений.