CTT Report Hub
#ParsedReport #CompletenessLow 06-06-2025 Operation Endgame Disrupts AvCheck, Forces Threat Actors to Seek Alternatives https://www.esentire.com/blog/operation-endgame-disrupts-avcheck-forces-threat-actors-to-seek-alternatives Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют сервисы "шифрования" для упаковки вредоносного ПО, что делает его менее обнаруживаемым системами безопасности. Они тестируют вредоносное ПО с помощью антивирусных средств и принимают решение о его распространении, основываясь на показателях обнаружения. После сбоев, подобных операции "Эндшпиль", хакеры быстро адаптируются, переключаясь на новые сервисы, что подчеркивает динамичный характер методов борьбы с киберпреступностью.
-----
Подразделение eSentire по реагированию на угрозы (TRU) изучает тактику, используемую киберпреступниками, уделяя особое внимание использованию "криптографических" сервисов — инструментов, которые кодируют вредоносное ПО, чтобы избежать обнаружения системами безопасности. Киберпреступники применяют систематическую методологию, позволяющую добиться максимального успеха, начиная с использования шифровальщиков для упаковки оригинального вредоносного ПО, что делает его менее обнаруживаемым. После упаковки вредоносного ПО оно загружается в различные службы сканирования для проверки на соответствие антивирусным системам и системам обнаружения конечных точек. Основываясь на результатах, злоумышленники решают, распространять ли вредоносное ПО или вернуться к его переупаковке, используя другие методы, если уровень обнаружения высок.
Один из ключевых игроков в этой экосистеме, KleenScan, предлагает удобный интерфейс для этой цели, позволяющий пользователям загружать свои проекты и тестировать их эффективность с помощью целого ряда антивирусных движков. Эта служба явно придерживается политики "запрета распространения", гарантирующей конфиденциальность образцов вредоносных программ и, таким образом, снижающей вероятность их обнаружения поставщиками средств безопасности. Этот подход иллюстрирует, как сервисы сканирования позиционируют себя потенциальным пользователям-киберпреступникам, как это было видно, когда пользователь по имени "kleenscan" рекламировал эту возможность на хакерском форуме незадолго до отключения сервиса AvCheck.
Недавняя операция правоохранительных органов "Эндшпиль" (Operation Endgame) успешно нарушила работу AvCheck, выявив уязвимости в инфраструктурах киберпреступников. Это нарушение продемонстрировало способность хакеров к адаптации, которые быстро перешли на такие сервисы, как KleenScan и Scanner. Этот сдвиг подчеркивает децентрализованный характер киберпреступности и быструю реакцию злоумышленников на изменения в их операционной среде. По сути, эти сервисы сканирования вредоносных программ являются важнейшими компонентами экосистемы киберпреступности, позволяя преступникам убедиться в том, что их творения невозможно обнаружить, прежде чем они будут запущены в действие. Документированный процесс — упаковка, тестирование, распространение или повторная упаковка - иллюстрирует методический подход, лежащий в основе многих современных кибератак, и подчеркивает продолжающуюся борьбу между хакерами и средствами защиты от кибербезопасности в меняющемся ландшафте.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют сервисы "шифрования" для упаковки вредоносного ПО, что делает его менее обнаруживаемым системами безопасности. Они тестируют вредоносное ПО с помощью антивирусных средств и принимают решение о его распространении, основываясь на показателях обнаружения. После сбоев, подобных операции "Эндшпиль", хакеры быстро адаптируются, переключаясь на новые сервисы, что подчеркивает динамичный характер методов борьбы с киберпреступностью.
-----
Подразделение eSentire по реагированию на угрозы (TRU) изучает тактику, используемую киберпреступниками, уделяя особое внимание использованию "криптографических" сервисов — инструментов, которые кодируют вредоносное ПО, чтобы избежать обнаружения системами безопасности. Киберпреступники применяют систематическую методологию, позволяющую добиться максимального успеха, начиная с использования шифровальщиков для упаковки оригинального вредоносного ПО, что делает его менее обнаруживаемым. После упаковки вредоносного ПО оно загружается в различные службы сканирования для проверки на соответствие антивирусным системам и системам обнаружения конечных точек. Основываясь на результатах, злоумышленники решают, распространять ли вредоносное ПО или вернуться к его переупаковке, используя другие методы, если уровень обнаружения высок.
Один из ключевых игроков в этой экосистеме, KleenScan, предлагает удобный интерфейс для этой цели, позволяющий пользователям загружать свои проекты и тестировать их эффективность с помощью целого ряда антивирусных движков. Эта служба явно придерживается политики "запрета распространения", гарантирующей конфиденциальность образцов вредоносных программ и, таким образом, снижающей вероятность их обнаружения поставщиками средств безопасности. Этот подход иллюстрирует, как сервисы сканирования позиционируют себя потенциальным пользователям-киберпреступникам, как это было видно, когда пользователь по имени "kleenscan" рекламировал эту возможность на хакерском форуме незадолго до отключения сервиса AvCheck.
Недавняя операция правоохранительных органов "Эндшпиль" (Operation Endgame) успешно нарушила работу AvCheck, выявив уязвимости в инфраструктурах киберпреступников. Это нарушение продемонстрировало способность хакеров к адаптации, которые быстро перешли на такие сервисы, как KleenScan и Scanner. Этот сдвиг подчеркивает децентрализованный характер киберпреступности и быструю реакцию злоумышленников на изменения в их операционной среде. По сути, эти сервисы сканирования вредоносных программ являются важнейшими компонентами экосистемы киберпреступности, позволяя преступникам убедиться в том, что их творения невозможно обнаружить, прежде чем они будут запущены в действие. Документированный процесс — упаковка, тестирование, распространение или повторная упаковка - иллюстрирует методический подход, лежащий в основе многих современных кибератак, и подчеркивает продолжающуюся борьбу между хакерами и средствами защиты от кибербезопасности в меняющемся ландшафте.
#ParsedReport #CompletenessMedium
06-06-2025
Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721
https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/
Report completeness: Medium
Threats:
Mirai
Bashlite
Victims:
Dvr devices
Industry:
Iot
Geo:
Egypt, Turkey, India, Brazil, Ukraine, Russia, China
CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1059.004, T1082, T1105, T1190, T1497.001, T1498, T1587.001
IOCs:
Hash: 16
IP: 11
Url: 1
Soft:
Linux, QEMU
Algorithms:
rc4, xor, md5
Platforms:
arm
Links:
06-06-2025
Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721
https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/
Report completeness: Medium
Threats:
Mirai
Bashlite
Victims:
Dvr devices
Industry:
Iot
Geo:
Egypt, Turkey, India, Brazil, Ukraine, Russia, China
CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1059.004, T1082, T1105, T1190, T1497.001, T1498, T1587.001
IOCs:
Hash: 16
IP: 11
Url: 1
Soft:
Linux, QEMU
Algorithms:
rc4, xor, md5
Platforms:
arm
Links:
https://github.com/netsecfish/tbk\_dvr\_command\_injectionSecurelist
New Mirai botnet campaign targets DVR devices
Kaspersky GReAT experts describe the new features of a Mirai variant: the latest botnet infections target TBK DVR devices with CVE-2024-3721.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-06-2025 Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721 https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/ Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Использование CVE-2024-3721 позволяет ботам, связанным с ботнетом Mirai, выполнять несанкционированные команды на устройствах TBK DVR с помощью вредоносных POST-запросов. Этот вариант бота расширяет возможности обхода и нацелен на устройства Интернета вещей для DDoS-атак, поскольку более 50 000 устройств DVR по всему миру подвержены атакам. Немедленное обновление уязвимых систем имеет решающее значение для смягчения последствий.
-----
Использование хорошо документированных уязвимостей системы безопасности для развертывания ботов в скомпрометированных системах является постоянной проблемой в сфере кибербезопасности. Примечательно, что многие автоматизированные боты ищут в Интернете уязвимости в серверах и устройствах, особенно в тех, которые используют широко используемые сервисы. Эти боты часто используют эксплойты удаленного выполнения кода (RCE), нацеленные на HTTP-сервисы, облегчающие выполнение команд Linux с помощью запросов GET или POST. Недавнее наблюдение выявило использование CVE-2024-3721, которое позволило боту проникнуть в сервис honeypot, выявив его связь с печально известной ботнет-сетью Mirai, которая в основном нацелена на системы мониторинга видеорегистраторов, используемые для записи видеозаписей с камер наблюдения.
CVE-2024-3721 содержит критическую уязвимость, которая позволяет выполнять несанкционированные команды на устройствах TBK DVR, создавая путь для злоумышленников с помощью специального вредоносного POST-запроса. Этот запрос предоставляет краткий сценарий оболочки, который загружает и выполняет двоичный файл ARM32 на целевом компьютере. Несмотря на то, что исходный код ботнета Mirai был опубликован почти десять лет назад и с тех пор был адаптирован различными киберпреступниками для масштабных операций по DDoS-атакам и захвату ресурсов, текущая версия DVR-бота включает в себя такие усовершенствования, как шифрование строк с помощью RC4, проверки на обнаружение виртуальных машин и методы, позволяющие избежать эмуляции.
В ходе анализа вредоносная программа систематически опрашивает запущенные процессы, чтобы определить, работает ли она в виртуализированной среде, проверяя каталог /proc на наличие признаков процессов VMware или QEMU-arm. Успешное завершение этих проверок позволяет боту завершить последовательность выполнения, одновременно подготавливая скомпрометированное устройство к приему команды.
Телеметрические данные, полученные в ходе этого расследования, показывают, что большинство намеченных жертв проживают в нескольких странах, включая Китай, Индию, Египет, Украину, Россию, Турцию и Бразилию. Общее количество уязвимых и зараженных устройств по всему миру остается неопределенным, но данные свидетельствуют о том, что в настоящее время более 50 000 незащищенных видеорегистраторов доступны онлайн, что представляет собой множество целей для злоумышленников, использующих незащищенные уязвимости.
Продолжающееся использование известных уязвимостей в устройствах Интернета вещей (IoT) и незащищенных серверах, наряду с пагубным распространением вредоносного ПО, ориентированного на Linux, в значительной степени способствует распространению ботов, которые постоянно ищут новых жертв. В первую очередь, эти боты предназначены для проведения DDoS-атак. Однако многие из них перестают функционировать после перезагрузки устройства из-за ограничений встроенного ПО на изменения файловой системы. Для предотвращения таких заражений рекомендуется немедленно обновлять уязвимые устройства после выпуска исправлений безопасности. Для особо уязвимых устройств также может потребоваться сброс настроек к заводским. Средства обнаружения этих угроз классифицируются как HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt в продуктах Kaspersky.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Использование CVE-2024-3721 позволяет ботам, связанным с ботнетом Mirai, выполнять несанкционированные команды на устройствах TBK DVR с помощью вредоносных POST-запросов. Этот вариант бота расширяет возможности обхода и нацелен на устройства Интернета вещей для DDoS-атак, поскольку более 50 000 устройств DVR по всему миру подвержены атакам. Немедленное обновление уязвимых систем имеет решающее значение для смягчения последствий.
-----
Использование хорошо документированных уязвимостей системы безопасности для развертывания ботов в скомпрометированных системах является постоянной проблемой в сфере кибербезопасности. Примечательно, что многие автоматизированные боты ищут в Интернете уязвимости в серверах и устройствах, особенно в тех, которые используют широко используемые сервисы. Эти боты часто используют эксплойты удаленного выполнения кода (RCE), нацеленные на HTTP-сервисы, облегчающие выполнение команд Linux с помощью запросов GET или POST. Недавнее наблюдение выявило использование CVE-2024-3721, которое позволило боту проникнуть в сервис honeypot, выявив его связь с печально известной ботнет-сетью Mirai, которая в основном нацелена на системы мониторинга видеорегистраторов, используемые для записи видеозаписей с камер наблюдения.
CVE-2024-3721 содержит критическую уязвимость, которая позволяет выполнять несанкционированные команды на устройствах TBK DVR, создавая путь для злоумышленников с помощью специального вредоносного POST-запроса. Этот запрос предоставляет краткий сценарий оболочки, который загружает и выполняет двоичный файл ARM32 на целевом компьютере. Несмотря на то, что исходный код ботнета Mirai был опубликован почти десять лет назад и с тех пор был адаптирован различными киберпреступниками для масштабных операций по DDoS-атакам и захвату ресурсов, текущая версия DVR-бота включает в себя такие усовершенствования, как шифрование строк с помощью RC4, проверки на обнаружение виртуальных машин и методы, позволяющие избежать эмуляции.
В ходе анализа вредоносная программа систематически опрашивает запущенные процессы, чтобы определить, работает ли она в виртуализированной среде, проверяя каталог /proc на наличие признаков процессов VMware или QEMU-arm. Успешное завершение этих проверок позволяет боту завершить последовательность выполнения, одновременно подготавливая скомпрометированное устройство к приему команды.
Телеметрические данные, полученные в ходе этого расследования, показывают, что большинство намеченных жертв проживают в нескольких странах, включая Китай, Индию, Египет, Украину, Россию, Турцию и Бразилию. Общее количество уязвимых и зараженных устройств по всему миру остается неопределенным, но данные свидетельствуют о том, что в настоящее время более 50 000 незащищенных видеорегистраторов доступны онлайн, что представляет собой множество целей для злоумышленников, использующих незащищенные уязвимости.
Продолжающееся использование известных уязвимостей в устройствах Интернета вещей (IoT) и незащищенных серверах, наряду с пагубным распространением вредоносного ПО, ориентированного на Linux, в значительной степени способствует распространению ботов, которые постоянно ищут новых жертв. В первую очередь, эти боты предназначены для проведения DDoS-атак. Однако многие из них перестают функционировать после перезагрузки устройства из-за ограничений встроенного ПО на изменения файловой системы. Для предотвращения таких заражений рекомендуется немедленно обновлять уязвимые устройства после выпуска исправлений безопасности. Для особо уязвимых устройств также может потребоваться сброс настроек к заводским. Средства обнаружения этих угроз классифицируются как HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt в продуктах Kaspersky.
#ParsedReport #CompletenessLow
05-06-2025
Destructive npm Packages Disguised as Utilities Enable Remote System Wipe
https://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe
Report completeness: Low
Actors/Campaigns:
Npm_api-sync
Threats:
Supply_chain_technique
Industry:
Healthcare
TTPs:
IOCs:
Email: 2
File: 31
Soft:
Outlook, Node.js, Linux, macOS, Unix
Algorithms:
md5, sha256, base64
Platforms:
cross-platform
05-06-2025
Destructive npm Packages Disguised as Utilities Enable Remote System Wipe
https://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe
Report completeness: Low
Actors/Campaigns:
Npm_api-sync
Threats:
Supply_chain_technique
Industry:
Healthcare
TTPs:
IOCs:
Email: 2
File: 31
Soft:
Outlook, Node.js, Linux, macOS, Unix
Algorithms:
md5, sha256, base64
Platforms:
cross-platform
Socket
Destructive npm Packages Disguised as Utilities Enable Remot...
Socket uncovered two npm packages that register hidden HTTP endpoints to delete all files on command.
CTT Report Hub
#ParsedReport #CompletenessLow 05-06-2025 Destructive npm Packages Disguised as Utilities Enable Remote System Wipe https://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe Report completeness: Low Actors/Campaigns: Npm_api-sync Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Два вредоносных пакета npm, express-api-sync и system-health-sync-api, содержат бэкдоры для выполнения деструктивных действий в производственных системах. Первый запускается при первом HTTP-запросе, в то время как второй адаптирует команды на основе операционной системы, облегчая кросс-платформенные атаки и создавая скрытые каналы управления.
-----
Недавние расследования, проведенные исследовательской группой Socket по изучению угроз, выявили два вредоносных пакета npm, express-api-sync и system-health-sync-api, которые предназначены для компрометации производственных систем. Опубликованные пользователем, идентифицированным как botsailer, эти пакеты выдают себя за легальные утилиты, но содержат бэкдоры, предназначенные для деструктивных действий против целевых приложений. Пакет express-api-sync, хотя и претендует на синхронизацию данных между базами данных, не обладает какой-либо значимой функциональностью базы данных. Вместо этого он скрывает бэкдор, который ожидает определенной команды для выполнения вредоносных действий.
Когда express-api-sync интегрирован в приложение Express, он изначально кажется безобидным. Однако его код активируется при первом HTTP-запросе к любой конечной точке, запуская деструктивную последовательность действий через скрытую конечную точку. Бэкдор прослушивает POST-запросы к /api/this/that, используя жестко заданный ключ "DEFAULT_123", отправляемый либо в заголовке, либо в теле запроса. Этот метод работы позволяет злоумышленнику незаметно выдавать команды удаления, используя Unix-команду "rm -rf *", которая может удалять целые каталоги приложений.
В отличие от этого, пакет system-health-sync-api демонстрирует более сложный и многофункциональный дизайн, который описывается как "швейцарский армейский нож разрушения". Он может распознавать операционную систему и адаптировать ее разрушительные команды, используя "rd /s /q" .`в Windows можно удалить не только содержимое, но и текущий каталог. Эта кроссплатформенная возможность усиливает угрозу, позволяя вредоносному ПО функционировать в различных серверных средах, включая Windows, Linux и macOS.
Ключевые функциональные возможности system-health-sync-api также включают первоначальную проверку подключения к почтовому серверу злоумышленника, которая замаскирована под проверку работоспособности. Об успешном подключении сообщается как о "готовности SMTP-сервера", при этом устанавливается канал управления, который, как отмечают исследователи, традиционным брандмауэрам трудно обнаружить из-за его сочетания с обычным почтовым трафиком. Вредоносный код содержит конечные точки для разведки (GET /_/system/health) и уничтожения (POST /_/system/health и POST /_/sys/maintenance) с интеллектуальным протоколированием и реагированием на ошибки, что помогает при систематических атаках.
Гибкость этих пакетов позволяет злоумышленникам выполнять свои команды, сводя к минимуму риски обнаружения. Они могут проверять состояние сервера, выполнять тестовые запуски и выдавать команды на уничтожение с нескольких конечных точек с различными механизмами аутентификации. Структура и поведение этих пакетов указывают на то, что хакеры становятся все более сложными и многогранными. Возможности поведенческого анализа Socket отвечают на эти вызовы, отслеживая действия пакетов в режиме реального времени и обеспечивая меры защиты от вредоносных пакетов npm.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Два вредоносных пакета npm, express-api-sync и system-health-sync-api, содержат бэкдоры для выполнения деструктивных действий в производственных системах. Первый запускается при первом HTTP-запросе, в то время как второй адаптирует команды на основе операционной системы, облегчая кросс-платформенные атаки и создавая скрытые каналы управления.
-----
Недавние расследования, проведенные исследовательской группой Socket по изучению угроз, выявили два вредоносных пакета npm, express-api-sync и system-health-sync-api, которые предназначены для компрометации производственных систем. Опубликованные пользователем, идентифицированным как botsailer, эти пакеты выдают себя за легальные утилиты, но содержат бэкдоры, предназначенные для деструктивных действий против целевых приложений. Пакет express-api-sync, хотя и претендует на синхронизацию данных между базами данных, не обладает какой-либо значимой функциональностью базы данных. Вместо этого он скрывает бэкдор, который ожидает определенной команды для выполнения вредоносных действий.
Когда express-api-sync интегрирован в приложение Express, он изначально кажется безобидным. Однако его код активируется при первом HTTP-запросе к любой конечной точке, запуская деструктивную последовательность действий через скрытую конечную точку. Бэкдор прослушивает POST-запросы к /api/this/that, используя жестко заданный ключ "DEFAULT_123", отправляемый либо в заголовке, либо в теле запроса. Этот метод работы позволяет злоумышленнику незаметно выдавать команды удаления, используя Unix-команду "rm -rf *", которая может удалять целые каталоги приложений.
В отличие от этого, пакет system-health-sync-api демонстрирует более сложный и многофункциональный дизайн, который описывается как "швейцарский армейский нож разрушения". Он может распознавать операционную систему и адаптировать ее разрушительные команды, используя "rd /s /q" .`в Windows можно удалить не только содержимое, но и текущий каталог. Эта кроссплатформенная возможность усиливает угрозу, позволяя вредоносному ПО функционировать в различных серверных средах, включая Windows, Linux и macOS.
Ключевые функциональные возможности system-health-sync-api также включают первоначальную проверку подключения к почтовому серверу злоумышленника, которая замаскирована под проверку работоспособности. Об успешном подключении сообщается как о "готовности SMTP-сервера", при этом устанавливается канал управления, который, как отмечают исследователи, традиционным брандмауэрам трудно обнаружить из-за его сочетания с обычным почтовым трафиком. Вредоносный код содержит конечные точки для разведки (GET /_/system/health) и уничтожения (POST /_/system/health и POST /_/sys/maintenance) с интеллектуальным протоколированием и реагированием на ошибки, что помогает при систематических атаках.
Гибкость этих пакетов позволяет злоумышленникам выполнять свои команды, сводя к минимуму риски обнаружения. Они могут проверять состояние сервера, выполнять тестовые запуски и выдавать команды на уничтожение с нескольких конечных точек с различными механизмами аутентификации. Структура и поведение этих пакетов указывают на то, что хакеры становятся все более сложными и многогранными. Возможности поведенческого анализа Socket отвечают на эти вызовы, отслеживая действия пакетов в режиме реального времени и обеспечивая меры защиты от вредоносных пакетов npm.
#ParsedReport #CompletenessMedium
06-06-2025
Abusing Paste.ee to Deploy XWorm and AsyncRAT Across Global C2 Infrastructure
https://hunt.io/blog/pasteee-xworm-asyncrat-infrastructure
Report completeness: Medium
Threats:
Xworm_rat
Asyncrat
Remcos_rat
Geo:
Germany
ChatGPT TTPs:
T1001, T1021.001, T1027, T1041, T1056.001, T1059.007, T1071.001, T1078, T1078.003, T1090, have more...
IOCs:
File: 6
IP: 5
Domain: 3
Url: 1
Hash: 2
Soft:
Nginx, FiveM
Algorithms:
aes
Languages:
javascript
Links:
have more...
06-06-2025
Abusing Paste.ee to Deploy XWorm and AsyncRAT Across Global C2 Infrastructure
https://hunt.io/blog/pasteee-xworm-asyncrat-infrastructure
Report completeness: Medium
Threats:
Xworm_rat
Asyncrat
Remcos_rat
Geo:
Germany
ChatGPT TTPs:
do not use without manual checkT1001, T1021.001, T1027, T1041, T1056.001, T1059.007, T1071.001, T1078, T1078.003, T1090, have more...
IOCs:
File: 6
IP: 5
Domain: 3
Url: 1
Hash: 2
Soft:
Nginx, FiveM
Algorithms:
aes
Languages:
javascript
Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharphttps://github.com/dnSpy/dnSpyhave more...
https://github.com/projectdiscovery/httpxhunt.io
Paste.ee Abuse Uncovered: XWorm & AsyncRAT Infrastructure
See how attackers abuse paste.ee to deliver XWorm and AsyncRAT, using obfuscated scripts and globally distributed C2 infrastructure.
CTT Report Hub
#ParsedReport #CompletenessMedium 06-06-2025 Abusing Paste.ee to Deploy XWorm and AsyncRAT Across Global C2 Infrastructure https://hunt.io/blog/pasteee-xworm-asyncrat-infrastructure Report completeness: Medium Threats: Xworm_rat Asyncrat Remcos_rat Geo:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская кампания использовала paste.ee для распространения XWorm и AsyncRAT RATs с помощью скрытого загрузчика JavaScript. Вредоносное ПО захватывает конфиденциальные данные и обеспечивает постоянный доступ к ним, используя сложную инфраструктуру C2. Ключевые показатели включают необычную сетевую активность на портах 6606 и 7707, что указывает на необходимость тщательного мониторинга и усилий по обнаружению угроз.
-----
Недавние расследования хакерской кампании выявили использование paste.ee, легального онлайн-сайта paste, для распространения троянских программ удаленного доступа XWorm и AsyncRAT (RATs) с помощью скрытого загрузчика JavaScript. Первоначальная проверка вредоносных программ, которые содержали якобы безобидный JavaScript-файл с именем "ДОКУМЕНТ ДЛЯ ДОСТАВКИ" INFORMATION.js показала, что на самом деле это был замаскированный загрузчик. В этом JavaScript использовались необычные символы Unicode для маскировки его функциональности, которая включала в себя обращение к paste.ee для извлечения и выполнения вредоносной полезной нагрузки с помощью конструктора функций.
Анализ начался с выявления этого JavaScript-кода и был расширен, чтобы охватить более широкую кампанию, использующую методы обфускации и глобально распределенную инфраструктуру командования и контроля (C2), связанную с этими RAT. Тщательное изучение показало, что возможности XWorm включают регистрацию нажатий клавиш, эксфильтрацию данных и постоянный удаленный доступ. XWorm может фиксировать нажатия клавиш в различных приложениях, вести учет активных окон и отслеживать состояние клавиатуры, в конечном итоге собирая конфиденциальную информацию.
Дальнейшее изучение инфраструктуры привело к обнаружению вредоносных исполняемых файлов, связанных с вредоносной программой XWorm. Расшифровка и анализ этих файлов выявили ссылки на различные серверы C2, в частности, на домен abuwire123.ddns.net и связанный с ним IP-адрес 45.145.43.244, расположенный в Германии. Этот IP-адрес показал потенциальную активность на нескольких портах, которые нетипичны для обычных служб, в частности, на 6606 и 7707, которые связаны с AsyncRAT.
AsyncRAT, троянец с открытым исходным кодом для удаленного доступа на C#, подвергся многочисленным модификациям со стороны различных хакеров, что свидетельствует о его гибкости и сложности современного ландшафта угроз. Данные указывали на значительную вредоносную активность с IP-адреса 45.145.43.244, которая на протяжении многих лет была связана с другими подозрительными сервисами. Одновременно шаблоны в SSL-сертификатах для различных портов были привязаны к вариантам AsyncRAT, что еще раз указывает на хорошо структурированную сеть C2.
Кампания наглядно демонстрирует, что злоумышленники используют легальные сервисы для размещения вредоносных программ, что затрудняет их обнаружение. Аналитики подчеркнули важность мониторинга необычной сетевой активности, особенно на малоизвестных портах, таких как 6606 и 7707, поскольку они указывают на возможные операции командования и контроля. Постоянные усилия, включая использование методов регулярных выражений, мониторинг журналов IOCs и анализ поведения JavaScript, жизненно важны для обнаружения угроз и устранения их последствий. Пользователям настоятельно рекомендуется быть осторожными со ссылками, ведущими к сервисам вставки, и опасаться запутанного JavaScript, который часто скрывает вредоносную полезную нагрузку.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская кампания использовала paste.ee для распространения XWorm и AsyncRAT RATs с помощью скрытого загрузчика JavaScript. Вредоносное ПО захватывает конфиденциальные данные и обеспечивает постоянный доступ к ним, используя сложную инфраструктуру C2. Ключевые показатели включают необычную сетевую активность на портах 6606 и 7707, что указывает на необходимость тщательного мониторинга и усилий по обнаружению угроз.
-----
Недавние расследования хакерской кампании выявили использование paste.ee, легального онлайн-сайта paste, для распространения троянских программ удаленного доступа XWorm и AsyncRAT (RATs) с помощью скрытого загрузчика JavaScript. Первоначальная проверка вредоносных программ, которые содержали якобы безобидный JavaScript-файл с именем "ДОКУМЕНТ ДЛЯ ДОСТАВКИ" INFORMATION.js показала, что на самом деле это был замаскированный загрузчик. В этом JavaScript использовались необычные символы Unicode для маскировки его функциональности, которая включала в себя обращение к paste.ee для извлечения и выполнения вредоносной полезной нагрузки с помощью конструктора функций.
Анализ начался с выявления этого JavaScript-кода и был расширен, чтобы охватить более широкую кампанию, использующую методы обфускации и глобально распределенную инфраструктуру командования и контроля (C2), связанную с этими RAT. Тщательное изучение показало, что возможности XWorm включают регистрацию нажатий клавиш, эксфильтрацию данных и постоянный удаленный доступ. XWorm может фиксировать нажатия клавиш в различных приложениях, вести учет активных окон и отслеживать состояние клавиатуры, в конечном итоге собирая конфиденциальную информацию.
Дальнейшее изучение инфраструктуры привело к обнаружению вредоносных исполняемых файлов, связанных с вредоносной программой XWorm. Расшифровка и анализ этих файлов выявили ссылки на различные серверы C2, в частности, на домен abuwire123.ddns.net и связанный с ним IP-адрес 45.145.43.244, расположенный в Германии. Этот IP-адрес показал потенциальную активность на нескольких портах, которые нетипичны для обычных служб, в частности, на 6606 и 7707, которые связаны с AsyncRAT.
AsyncRAT, троянец с открытым исходным кодом для удаленного доступа на C#, подвергся многочисленным модификациям со стороны различных хакеров, что свидетельствует о его гибкости и сложности современного ландшафта угроз. Данные указывали на значительную вредоносную активность с IP-адреса 45.145.43.244, которая на протяжении многих лет была связана с другими подозрительными сервисами. Одновременно шаблоны в SSL-сертификатах для различных портов были привязаны к вариантам AsyncRAT, что еще раз указывает на хорошо структурированную сеть C2.
Кампания наглядно демонстрирует, что злоумышленники используют легальные сервисы для размещения вредоносных программ, что затрудняет их обнаружение. Аналитики подчеркнули важность мониторинга необычной сетевой активности, особенно на малоизвестных портах, таких как 6606 и 7707, поскольку они указывают на возможные операции командования и контроля. Постоянные усилия, включая использование методов регулярных выражений, мониторинг журналов IOCs и анализ поведения JavaScript, жизненно важны для обнаружения угроз и устранения их последствий. Пользователям настоятельно рекомендуется быть осторожными со ссылками, ведущими к сервисам вставки, и опасаться запутанного JavaScript, который часто скрывает вредоносную полезную нагрузку.
#ParsedReport #CompletenessMedium
06-06-2025
A SoraAI clickbait
https://labs.k7computing.com/index.php/a-soraai-clickbait/
Report completeness: Medium
Threats:
Clickbait_technique
Geo:
Vietnam
ChatGPT TTPs:
T1041, T1059.001, T1059.003, T1059.006, T1070.004, T1105, T1119, T1539, T1547.001, T1555.003, have more...
IOCs:
File: 5
Hash: 3
Url: 1
Soft:
OpenAI, Telegram, Chrome, Firefox, Opera, Steam, Twitter
Algorithms:
aes, zip
Functions:
get_pid, extract_facebook_cookies, create_zip_file, StealWifiInformation, GetPasswords, GetCards, SendAllData
Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW
Languages:
powershell, python
06-06-2025
A SoraAI clickbait
https://labs.k7computing.com/index.php/a-soraai-clickbait/
Report completeness: Medium
Threats:
Clickbait_technique
Geo:
Vietnam
ChatGPT TTPs:
do not use without manual checkT1041, T1059.001, T1059.003, T1059.006, T1070.004, T1105, T1119, T1539, T1547.001, T1555.003, have more...
IOCs:
File: 5
Hash: 3
Url: 1
Soft:
OpenAI, Telegram, Chrome, Firefox, Opera, Steam, Twitter
Algorithms:
aes, zip
Functions:
get_pid, extract_facebook_cookies, create_zip_file, StealWifiInformation, GetPasswords, GetCards, SendAllData
Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW
Languages:
powershell, python
K7 Labs
A SoraAI clickbait
Sora is OpenAI’s video generation model designed to take text, image, video inputs and generate a new video as an […]
CTT Report Hub
#ParsedReport #CompletenessMedium 06-06-2025 A SoraAI clickbait https://labs.k7computing.com/index.php/a-soraai-clickbait/ Report completeness: Medium Threats: Clickbait_technique Geo: Vietnam ChatGPT TTPs: do not use without manual check T1041, T1059.001…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SoraAI.lnk - это вредоносная программа-похититель информации, которая использует социальную инженерию для привлечения пользователей к загрузке вредоносных файлов, используя PowerShell для выполнения пакетных файлов и установки необходимых пакетов Python. Он нацелен на данные из веб-браузеров, в частности Chrome и Opera, извлекая конфиденциальную информацию через Telegram и сжимая ее в zip-файлы, удаляя локальные копии, чтобы стереть следы.
-----
SoraAI.lnk - это вредоносная программа-похититель информации, созданная для имитации модели генерации видео Sora от OpenAI. Она использует тактику социальной инженерии, чтобы побудить пользователей загружать вредоносные файлы, замаскированные под законное программное обеспечение, специально размещенное на Github. После своего первого обнаружения 21 мая 2025 года во Вьетнаме вредоносная программа распространилась на несколько других стран, хотя степень ее воздействия остается неопределенной. Он запускает процесс PowerShell, который загружает вредоносный контент с Github, сохраняет его как пакетный файл ("a.bat") во временной папке и впоследствии запускает его.
Вредоносная программа работает с помощью многоэтапного процесса, при котором "1.bat" подавляет вывод команд и устанавливает переменные среды для контекста ее выполнения. Он устанавливает несколько пакетов Python, необходимых для его работы, включая "запросы", "клиент веб-сокета", "pywin32", "aiohttp" и "криптография", которые облегчают HTTP-соединения и шифрование/дешифрование данных. Ключевая полезная нагрузка, представленная символом "python.py`, предположительно предназначена для решения задач кражи и эксфильтрации информации.
Вредоносная программа обладает возможностями, характерными для похитителей информации, собирая данные из веб-браузеров, таких как Chrome и Firefox, и специально нацеливаясь на Opera для извлечения паролей. Она использует шифрование, привязанное к приложениям Chrome, для расшифровки данных и последующей отправки собранной информации своим операторам через Telegram с использованием бот-API. Вредоносная программа сжимает данные в zip-файлы, используя для присвоения имен случайно сгенерированный идентификатор. Она уведомляет злоумышленников о новых переданных данных и управляет ограничениями по размеру файлов, загружая файлы большего размера на файлообменные сервисы, такие как GoFile.io при необходимости.
Далее он проходит по системе, чтобы собрать файлы с общими расширениями из пользовательских каталогов, заархивировать их и отправить злоумышленнику, удалив при этом локальные копии, чтобы стереть все следы. Отсутствие надлежащих мер безопасности может привести к серьезным последствиям в случае запуска таких вредоносных файлов, что подчеркивает необходимость проявлять бдительность и использовать надежное антивирусное программное обеспечение для снижения рисков, связанных с такими угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SoraAI.lnk - это вредоносная программа-похититель информации, которая использует социальную инженерию для привлечения пользователей к загрузке вредоносных файлов, используя PowerShell для выполнения пакетных файлов и установки необходимых пакетов Python. Он нацелен на данные из веб-браузеров, в частности Chrome и Opera, извлекая конфиденциальную информацию через Telegram и сжимая ее в zip-файлы, удаляя локальные копии, чтобы стереть следы.
-----
SoraAI.lnk - это вредоносная программа-похититель информации, созданная для имитации модели генерации видео Sora от OpenAI. Она использует тактику социальной инженерии, чтобы побудить пользователей загружать вредоносные файлы, замаскированные под законное программное обеспечение, специально размещенное на Github. После своего первого обнаружения 21 мая 2025 года во Вьетнаме вредоносная программа распространилась на несколько других стран, хотя степень ее воздействия остается неопределенной. Он запускает процесс PowerShell, который загружает вредоносный контент с Github, сохраняет его как пакетный файл ("a.bat") во временной папке и впоследствии запускает его.
Вредоносная программа работает с помощью многоэтапного процесса, при котором "1.bat" подавляет вывод команд и устанавливает переменные среды для контекста ее выполнения. Он устанавливает несколько пакетов Python, необходимых для его работы, включая "запросы", "клиент веб-сокета", "pywin32", "aiohttp" и "криптография", которые облегчают HTTP-соединения и шифрование/дешифрование данных. Ключевая полезная нагрузка, представленная символом "python.py`, предположительно предназначена для решения задач кражи и эксфильтрации информации.
Вредоносная программа обладает возможностями, характерными для похитителей информации, собирая данные из веб-браузеров, таких как Chrome и Firefox, и специально нацеливаясь на Opera для извлечения паролей. Она использует шифрование, привязанное к приложениям Chrome, для расшифровки данных и последующей отправки собранной информации своим операторам через Telegram с использованием бот-API. Вредоносная программа сжимает данные в zip-файлы, используя для присвоения имен случайно сгенерированный идентификатор. Она уведомляет злоумышленников о новых переданных данных и управляет ограничениями по размеру файлов, загружая файлы большего размера на файлообменные сервисы, такие как GoFile.io при необходимости.
Далее он проходит по системе, чтобы собрать файлы с общими расширениями из пользовательских каталогов, заархивировать их и отправить злоумышленнику, удалив при этом локальные копии, чтобы стереть все следы. Отсутствие надлежащих мер безопасности может привести к серьезным последствиям в случае запуска таких вредоносных файлов, что подчеркивает необходимость проявлять бдительность и использовать надежное антивирусное программное обеспечение для снижения рисков, связанных с такими угрозами.
#ParsedReport #CompletenessLow
06-06-2025
BADBOX 2.0 Botnet Hijacks 1 Million+ Devices in Global IoT Supply-Chain Attack
https://www.secureblink.com/cyber-security-news/badbox-2-0-botnet-hijacks-1-million-devices-in-global-io-t-supply-chain-attack
Report completeness: Low
Actors/Campaigns:
Badbox (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Residential_proxy_technique
Victims:
Consumer devices
Industry:
Iot, Financial, E-commerce, Media
Geo:
Mexico, German, Brazil, Chinese, Colombia, Argentina
ChatGPT TTPs:
T1071.001, T1195.002, T1204.003, T1542.001
IOCs:
IP: 3
Soft:
Google Play, Android
06-06-2025
BADBOX 2.0 Botnet Hijacks 1 Million+ Devices in Global IoT Supply-Chain Attack
https://www.secureblink.com/cyber-security-news/badbox-2-0-botnet-hijacks-1-million-devices-in-global-io-t-supply-chain-attack
Report completeness: Low
Actors/Campaigns:
Badbox (motivation: cyber_criminal)
Threats:
Supply_chain_technique
Residential_proxy_technique
Victims:
Consumer devices
Industry:
Iot, Financial, E-commerce, Media
Geo:
Mexico, German, Brazil, Chinese, Colombia, Argentina
ChatGPT TTPs:
do not use without manual checkT1071.001, T1195.002, T1204.003, T1542.001
IOCs:
IP: 3
Soft:
Google Play, Android
CTT Report Hub
#ParsedReport #CompletenessLow 06-06-2025 BADBOX 2.0 Botnet Hijacks 1 Million+ Devices in Global IoT Supply-Chain Attack https://www.secureblink.com/cyber-security-news/badbox-2-0-botnet-hijacks-1-million-devices-in-global-io-t-supply-chain-attack Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ботнет BADBOX 2.0, подтвержденный ФБР, скомпрометировал более 1 миллиона устройств по всему миру, в основном используя китайские смарт-устройства с помощью предустановленного вредоносного ПО и троянских обновлений прошивки. Он обходит систему безопасности через магазины вредоносных приложений и IP-адреса резидентов, повышая скрытность работы.
-----
ФБР подтвердило, что ботнет BADBOX 2.0 затронул более 1 миллиона потребительских устройств в 222 странах, что указывает на серьезную хакерскую атаку, которая в основном использует интеллектуальные устройства, произведенные в Китае. Эти устройства скомпрометированы с помощью сложных методов, включая предустановленное вредоносное ПО, внедренное в процессе производства, которое внедряет скрытые бэкдоры, которые остаются незамеченными обычным потребителем.
Важным методом, используемым в этой операции, является использование троянских обновлений встроенного ПО. Эти поддельные системные обновления внедряют в устройства стойкое вредоносное ПО, что позволяет вредоносному ПО пережить сброс настроек и закрепиться в зараженных системах. Кроме того, ботнет использует магазины вредоносных приложений, в частности неофициальные торговые площадки, которые часто предлагают бесплатные потоковые приложения, обходя такие меры безопасности, как Google Play Protect.
Функциональность ботнета BADBOX 2.0 включает использование локальных IP-адресов, что позволяет ему обходить географические блокировки и ограничения скорости, тем самым расширяя его операционные возможности. Этот метод позволил киберпреступникам создать криминальную прокси-сеть, способную скрывать свои вредоносные действия.
Эволюция этой угрозы примечательна тем, что в 2023 году в телевизионных приставках T95 была обнаружена оригинальная вредоносная программа BADBOX. В число последующих мер реагирования входит операция по дезорганизации, проведенная немецкой компанией BSI в октябре 2024 года, в ходе которой были использованы методы sinkholing для смягчения воздействия ботнета. В марте 2025 года HUMAN сообщила о заражении более 1 миллиона устройств, что привело к объединению усилий ФБР и Google в июне 2025 года, которые успешно отключили более 500 000 устройств, подключенных к BADBOX 2.0. График показывает быстрый рост и значительные масштабы ботнета, а также текущие проблемы в борьбе с такими сложными вредоносными программами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ботнет BADBOX 2.0, подтвержденный ФБР, скомпрометировал более 1 миллиона устройств по всему миру, в основном используя китайские смарт-устройства с помощью предустановленного вредоносного ПО и троянских обновлений прошивки. Он обходит систему безопасности через магазины вредоносных приложений и IP-адреса резидентов, повышая скрытность работы.
-----
ФБР подтвердило, что ботнет BADBOX 2.0 затронул более 1 миллиона потребительских устройств в 222 странах, что указывает на серьезную хакерскую атаку, которая в основном использует интеллектуальные устройства, произведенные в Китае. Эти устройства скомпрометированы с помощью сложных методов, включая предустановленное вредоносное ПО, внедренное в процессе производства, которое внедряет скрытые бэкдоры, которые остаются незамеченными обычным потребителем.
Важным методом, используемым в этой операции, является использование троянских обновлений встроенного ПО. Эти поддельные системные обновления внедряют в устройства стойкое вредоносное ПО, что позволяет вредоносному ПО пережить сброс настроек и закрепиться в зараженных системах. Кроме того, ботнет использует магазины вредоносных приложений, в частности неофициальные торговые площадки, которые часто предлагают бесплатные потоковые приложения, обходя такие меры безопасности, как Google Play Protect.
Функциональность ботнета BADBOX 2.0 включает использование локальных IP-адресов, что позволяет ему обходить географические блокировки и ограничения скорости, тем самым расширяя его операционные возможности. Этот метод позволил киберпреступникам создать криминальную прокси-сеть, способную скрывать свои вредоносные действия.
Эволюция этой угрозы примечательна тем, что в 2023 году в телевизионных приставках T95 была обнаружена оригинальная вредоносная программа BADBOX. В число последующих мер реагирования входит операция по дезорганизации, проведенная немецкой компанией BSI в октябре 2024 года, в ходе которой были использованы методы sinkholing для смягчения воздействия ботнета. В марте 2025 года HUMAN сообщила о заражении более 1 миллиона устройств, что привело к объединению усилий ФБР и Google в июне 2025 года, которые успешно отключили более 500 000 устройств, подключенных к BADBOX 2.0. График показывает быстрый рост и значительные масштабы ботнета, а также текущие проблемы в борьбе с такими сложными вредоносными программами.
#ParsedReport #CompletenessHigh
06-06-2025
PyPI Package Disguised as Instagram Growth Tool Harvests User Credentials
https://socket.dev/blog/pypi-package-disguised-as-instagram-growth-tool-harvests-user-credentials
Report completeness: High
Actors/Campaigns:
Madmadaado59
Threats:
Imad213
Ngrok_tool
Credential_harvesting_technique
Supply_chain_technique
Victims:
Instagram users, Social media users
Industry:
Telco
Geo:
Turkish
TTPs:
Tactics: 1
Technics: 4
IOCs:
Email: 1
Url: 1
File: 2
Domain: 9
Soft:
Instagram, Flask, Gmail, Twitter, Discord, TikTok, Telegram
Algorithms:
base64
Languages:
python
Links:
06-06-2025
PyPI Package Disguised as Instagram Growth Tool Harvests User Credentials
https://socket.dev/blog/pypi-package-disguised-as-instagram-growth-tool-harvests-user-credentials
Report completeness: High
Actors/Campaigns:
Madmadaado59
Threats:
Imad213
Ngrok_tool
Credential_harvesting_technique
Supply_chain_technique
Victims:
Instagram users, Social media users
Industry:
Telco
Geo:
Turkish
TTPs:
Tactics: 1
Technics: 4
IOCs:
Email: 1
Url: 1
File: 2
Domain: 9
Soft:
Instagram, Flask, Gmail, Twitter, Discord, TikTok, Telegram
Algorithms:
base64
Languages:
python
Links:
https://github.com/imadoo27/imad213Socket
PyPI Package Disguised as Instagram Growth Tool Harvests Use...
A deceptive PyPI package posing as an Instagram growth tool collects user credentials and sends them to third-party bot services.
CTT Report Hub
#ParsedReport #CompletenessHigh 06-06-2025 PyPI Package Disguised as Instagram Growth Tool Harvests User Credentials https://socket.dev/blog/pypi-package-disguised-as-instagram-growth-tool-harvests-user-credentials Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа imad213, созданная хакером im_ad__213, маскируется под инструмент для сбора учетных данных в Instagram. Она маскирует свое поведение и использует удаленное отключение, передавая украденные учетные данные нескольким бот-сервисам и вводя пользователей в заблуждение поддельными инструкциями по безопасности.
-----
Расследование, проведенное командой Socket по исследованию угроз, выявило вредоносную программу под названием imad213, разработанную хакером im_ad__213, которая маскируется под инструмент для роста Instagram. Этот сборщик учетных данных на основе Python использует такие методы, как кодирование base64, чтобы скрыть свое назначение, и использует удаленный переключатель блокировки с помощью управляющего файла, размещенного на Netlify. После запуска вредоносная программа запрашивает у пользователей учетные данные Instagram, вводя их в заблуждение, утверждая, что это увеличивает количество подписчиков, и в то же время тайно передавая эти учетные данные нескольким сторонним бот-сервисам.
Пакет imad213 имеет профессиональный внешний вид на GitHub и содержит README, который содержит вводящие в заблуждение инструкции по технике безопасности, предназначенные для того, чтобы пользователи чувствовали себя в безопасности. Предлагая использовать временную учетную запись, вредоносная программа заставляет пользователей думать, что они могут защитить свои основные учетные записи, при этом предоставляя злоумышленнику законные учетные данные. Распространение этого вредоносного инструмента, вероятно, происходит через форумы и платформы, такие как Discord, которые привлекают пользователей, ищущих "способы взлома"..
Кроме того, вредоносная программа выполняет важную проверку, подключаясь к указанному серверу, чтобы проверить, может ли она запуститься. Такая связь с контрольным файлом позволяет злоумышленнику регулировать доступ к вредоносному ПО, что позволяет ему мгновенно отключать копии, если это вызовет беспокойство правоохранительных органов. Вредоносная программа сохраняет украденные учетные данные локально в виде открытого текста, одновременно отправляя информацию в десять связанных бот-сервисов, которые выдают себя за законные платформы для роста. Эти сервисы, имеющие схожие инфраструктуры и регистрационные данные, похоже, работают в рамках скоординированных усилий по сбору и широкомасштабному использованию учетных данных.
Жертвы не знают о возможных последствиях предоставления своей информации. Связанные бот-сервисы могут осуществлять различные вредоносные действия, такие как хранение учетных данных, их продажа или использование скомпрометированных учетных записей для рассылки спама. Распространенный таргетинг на Instagram, наряду с другими платформами социальных сетей, подчеркивает высокую ценность этих платформ для хакеров, особенно учитывая частое повторное использование паролей пользователями разных аккаунтов.
Последствия для жертв могут быть серьезными: они могут не только взломать свои аккаунты в Instagram, но и подвергнуть риску раскрытие соответствующей личной информации и подключений к другим платформам социальных сетей. Учитывая обширную базу пользователей Instagram, инциденты, связанные с кражей учетных данных, могут позволить хакерам получить доступ к многочисленным аккаунтам, что повышает их шансы на успех. Кроме того, использование автоматизированных сервисов нарушает Условия использования Instagram, что потенциально может привести к приостановке действия аккаунта или постоянным блокировкам. Эта ситуация привлекает внимание к постоянной угрозе, исходящей от схем сбора учетных данных, которые используют стремление пользователей к росту в социальных сетях, рискуя при этом их личной безопасностью.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа imad213, созданная хакером im_ad__213, маскируется под инструмент для сбора учетных данных в Instagram. Она маскирует свое поведение и использует удаленное отключение, передавая украденные учетные данные нескольким бот-сервисам и вводя пользователей в заблуждение поддельными инструкциями по безопасности.
-----
Расследование, проведенное командой Socket по исследованию угроз, выявило вредоносную программу под названием imad213, разработанную хакером im_ad__213, которая маскируется под инструмент для роста Instagram. Этот сборщик учетных данных на основе Python использует такие методы, как кодирование base64, чтобы скрыть свое назначение, и использует удаленный переключатель блокировки с помощью управляющего файла, размещенного на Netlify. После запуска вредоносная программа запрашивает у пользователей учетные данные Instagram, вводя их в заблуждение, утверждая, что это увеличивает количество подписчиков, и в то же время тайно передавая эти учетные данные нескольким сторонним бот-сервисам.
Пакет imad213 имеет профессиональный внешний вид на GitHub и содержит README, который содержит вводящие в заблуждение инструкции по технике безопасности, предназначенные для того, чтобы пользователи чувствовали себя в безопасности. Предлагая использовать временную учетную запись, вредоносная программа заставляет пользователей думать, что они могут защитить свои основные учетные записи, при этом предоставляя злоумышленнику законные учетные данные. Распространение этого вредоносного инструмента, вероятно, происходит через форумы и платформы, такие как Discord, которые привлекают пользователей, ищущих "способы взлома"..
Кроме того, вредоносная программа выполняет важную проверку, подключаясь к указанному серверу, чтобы проверить, может ли она запуститься. Такая связь с контрольным файлом позволяет злоумышленнику регулировать доступ к вредоносному ПО, что позволяет ему мгновенно отключать копии, если это вызовет беспокойство правоохранительных органов. Вредоносная программа сохраняет украденные учетные данные локально в виде открытого текста, одновременно отправляя информацию в десять связанных бот-сервисов, которые выдают себя за законные платформы для роста. Эти сервисы, имеющие схожие инфраструктуры и регистрационные данные, похоже, работают в рамках скоординированных усилий по сбору и широкомасштабному использованию учетных данных.
Жертвы не знают о возможных последствиях предоставления своей информации. Связанные бот-сервисы могут осуществлять различные вредоносные действия, такие как хранение учетных данных, их продажа или использование скомпрометированных учетных записей для рассылки спама. Распространенный таргетинг на Instagram, наряду с другими платформами социальных сетей, подчеркивает высокую ценность этих платформ для хакеров, особенно учитывая частое повторное использование паролей пользователями разных аккаунтов.
Последствия для жертв могут быть серьезными: они могут не только взломать свои аккаунты в Instagram, но и подвергнуть риску раскрытие соответствующей личной информации и подключений к другим платформам социальных сетей. Учитывая обширную базу пользователей Instagram, инциденты, связанные с кражей учетных данных, могут позволить хакерам получить доступ к многочисленным аккаунтам, что повышает их шансы на успех. Кроме того, использование автоматизированных сервисов нарушает Условия использования Instagram, что потенциально может привести к приостановке действия аккаунта или постоянным блокировкам. Эта ситуация привлекает внимание к постоянной угрозе, исходящей от схем сбора учетных данных, которые используют стремление пользователей к росту в социальных сетях, рискуя при этом их личной безопасностью.
#ParsedReport #CompletenessMedium
06-06-2025
DarkEngine
https://connect.cybercx.com.au/dark-engine?filetype=.pdf
Report completeness: Medium
Actors/Campaigns:
Darkengine (motivation: financially_motivated)
Kongtuke
Landupdate808
Tag-124
Asylum_ambuscade
Threats:
Seo_poisoning_technique
Fakecaptcha_technique
Yanb
Clickfix_technique
Lumma_stealer
Netsupportmanager_rat
Danabot
Asyncrat
Darkgate
Rhysida
Interlock
Socgholish_loader
Victims:
Wp engine users, Businesses using wp engine, Australian organisations, New zealand organisations, Marketing companies, Search engine optimisation companies, Individuals, Managewp users
Geo:
New zealand, Australian, Australia, Ireland, Canada, Russian, India, Indonesia, Philippines, United kingdom, Norway, Germany, Denmark, Netherlands
ChatGPT TTPs:
T1027, T1056.004, T1070.004, T1071.001, T1078, T1090.002, T1105, T1140, T1185, T1505.003, have more...
IOCs:
File: 91
Url: 60
IP: 50
Domain: 2
Soft:
WordPress, Chromium, OpenSSL, curl
Algorithms:
base64, aes, cbc, aes-256-cbc
Functions:
TextDecoder
Languages:
powershell, javascript, php
06-06-2025
DarkEngine
https://connect.cybercx.com.au/dark-engine?filetype=.pdf
Report completeness: Medium
Actors/Campaigns:
Darkengine (motivation: financially_motivated)
Kongtuke
Landupdate808
Tag-124
Asylum_ambuscade
Threats:
Seo_poisoning_technique
Fakecaptcha_technique
Yanb
Clickfix_technique
Lumma_stealer
Netsupportmanager_rat
Danabot
Asyncrat
Darkgate
Rhysida
Interlock
Socgholish_loader
Victims:
Wp engine users, Businesses using wp engine, Australian organisations, New zealand organisations, Marketing companies, Search engine optimisation companies, Individuals, Managewp users
Geo:
New zealand, Australian, Australia, Ireland, Canada, Russian, India, Indonesia, Philippines, United kingdom, Norway, Germany, Denmark, Netherlands
ChatGPT TTPs:
do not use without manual checkT1027, T1056.004, T1070.004, T1071.001, T1078, T1090.002, T1105, T1140, T1185, T1505.003, have more...
IOCs:
File: 91
Url: 60
IP: 50
Domain: 2
Soft:
WordPress, Chromium, OpenSSL, curl
Algorithms:
base64, aes, cbc, aes-256-cbc
Functions:
TextDecoder
Languages:
powershell, javascript, php