#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два вредоносных пакета npm, express-api-sync и system-health-sync-api, содержат бэкдоры для выполнения деструктивных действий в производственных системах. Первый запускается при первом HTTP-запросе, в то время как второй адаптирует команды на основе операционной системы, облегчая кросс-платформенные атаки и создавая скрытые каналы управления.
-----

Недавние расследования, проведенные исследовательской группой Socket по изучению угроз, выявили два вредоносных пакета npm, express-api-sync и system-health-sync-api, которые предназначены для компрометации производственных систем. Опубликованные пользователем, идентифицированным как botsailer, эти пакеты выдают себя за легальные утилиты, но содержат бэкдоры, предназначенные для деструктивных действий против целевых приложений. Пакет express-api-sync, хотя и претендует на синхронизацию данных между базами данных, не обладает какой-либо значимой функциональностью базы данных. Вместо этого он скрывает бэкдор, который ожидает определенной команды для выполнения вредоносных действий.

Когда express-api-sync интегрирован в приложение Express, он изначально кажется безобидным. Однако его код активируется при первом HTTP-запросе к любой конечной точке, запуская деструктивную последовательность действий через скрытую конечную точку. Бэкдор прослушивает POST-запросы к /api/this/that, используя жестко заданный ключ "DEFAULT_123", отправляемый либо в заголовке, либо в теле запроса. Этот метод работы позволяет злоумышленнику незаметно выдавать команды удаления, используя Unix-команду "rm -rf *", которая может удалять целые каталоги приложений.

В отличие от этого, пакет system-health-sync-api демонстрирует более сложный и многофункциональный дизайн, который описывается как "швейцарский армейский нож разрушения". Он может распознавать операционную систему и адаптировать ее разрушительные команды, используя "rd /s /q" .`в Windows можно удалить не только содержимое, но и текущий каталог. Эта кроссплатформенная возможность усиливает угрозу, позволяя вредоносному ПО функционировать в различных серверных средах, включая Windows, Linux и macOS.

Ключевые функциональные возможности system-health-sync-api также включают первоначальную проверку подключения к почтовому серверу злоумышленника, которая замаскирована под проверку работоспособности. Об успешном подключении сообщается как о "готовности SMTP-сервера", при этом устанавливается канал управления, который, как отмечают исследователи, традиционным брандмауэрам трудно обнаружить из-за его сочетания с обычным почтовым трафиком. Вредоносный код содержит конечные точки для разведки (GET /_/system/health) и уничтожения (POST /_/system/health и POST /_/sys/maintenance) с интеллектуальным протоколированием и реагированием на ошибки, что помогает при систематических атаках.

Гибкость этих пакетов позволяет злоумышленникам выполнять свои команды, сводя к минимуму риски обнаружения. Они могут проверять состояние сервера, выполнять тестовые запуски и выдавать команды на уничтожение с нескольких конечных точек с различными механизмами аутентификации. Структура и поведение этих пакетов указывают на то, что хакеры становятся все более сложными и многогранными. Возможности поведенческого анализа Socket отвечают на эти вызовы, отслеживая действия пакетов в режиме реального времени и обеспечивая меры защиты от вредоносных пакетов npm.

#ParsedReport #CompletenessMedium
06-06-2025

Abusing Paste.ee to Deploy XWorm and AsyncRAT Across Global C2 Infrastructure

https://hunt.io/blog/pasteee-xworm-asyncrat-infrastructure

Report completeness: Medium

Threats:
Xworm_rat
Asyncrat
Remcos_rat

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1001, T1021.001, T1027, T1041, T1056.001, T1059.007, T1071.001, T1078, T1078.003, T1090, have more...

IOCs:
File: 6
IP: 5
Domain: 3
Url: 1
Hash: 2

Soft:
Nginx, FiveM

Algorithms:
aes

Languages:
javascript

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp
https://github.com/dnSpy/dnSpy
have more...
https://github.com/projectdiscovery/httpx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кампания использовала paste.ee для распространения XWorm и AsyncRAT RATs с помощью скрытого загрузчика JavaScript. Вредоносное ПО захватывает конфиденциальные данные и обеспечивает постоянный доступ к ним, используя сложную инфраструктуру C2. Ключевые показатели включают необычную сетевую активность на портах 6606 и 7707, что указывает на необходимость тщательного мониторинга и усилий по обнаружению угроз.
-----

Недавние расследования хакерской кампании выявили использование paste.ee, легального онлайн-сайта paste, для распространения троянских программ удаленного доступа XWorm и AsyncRAT (RATs) с помощью скрытого загрузчика JavaScript. Первоначальная проверка вредоносных программ, которые содержали якобы безобидный JavaScript-файл с именем "ДОКУМЕНТ ДЛЯ ДОСТАВКИ" INFORMATION.js показала, что на самом деле это был замаскированный загрузчик. В этом JavaScript использовались необычные символы Unicode для маскировки его функциональности, которая включала в себя обращение к paste.ee для извлечения и выполнения вредоносной полезной нагрузки с помощью конструктора функций.

Анализ начался с выявления этого JavaScript-кода и был расширен, чтобы охватить более широкую кампанию, использующую методы обфускации и глобально распределенную инфраструктуру командования и контроля (C2), связанную с этими RAT. Тщательное изучение показало, что возможности XWorm включают регистрацию нажатий клавиш, эксфильтрацию данных и постоянный удаленный доступ. XWorm может фиксировать нажатия клавиш в различных приложениях, вести учет активных окон и отслеживать состояние клавиатуры, в конечном итоге собирая конфиденциальную информацию.

Дальнейшее изучение инфраструктуры привело к обнаружению вредоносных исполняемых файлов, связанных с вредоносной программой XWorm. Расшифровка и анализ этих файлов выявили ссылки на различные серверы C2, в частности, на домен abuwire123.ddns.net и связанный с ним IP-адрес 45.145.43.244, расположенный в Германии. Этот IP-адрес показал потенциальную активность на нескольких портах, которые нетипичны для обычных служб, в частности, на 6606 и 7707, которые связаны с AsyncRAT.

AsyncRAT, троянец с открытым исходным кодом для удаленного доступа на C#, подвергся многочисленным модификациям со стороны различных хакеров, что свидетельствует о его гибкости и сложности современного ландшафта угроз. Данные указывали на значительную вредоносную активность с IP-адреса 45.145.43.244, которая на протяжении многих лет была связана с другими подозрительными сервисами. Одновременно шаблоны в SSL-сертификатах для различных портов были привязаны к вариантам AsyncRAT, что еще раз указывает на хорошо структурированную сеть C2.

Кампания наглядно демонстрирует, что злоумышленники используют легальные сервисы для размещения вредоносных программ, что затрудняет их обнаружение. Аналитики подчеркнули важность мониторинга необычной сетевой активности, особенно на малоизвестных портах, таких как 6606 и 7707, поскольку они указывают на возможные операции командования и контроля. Постоянные усилия, включая использование методов регулярных выражений, мониторинг журналов IOCs и анализ поведения JavaScript, жизненно важны для обнаружения угроз и устранения их последствий. Пользователям настоятельно рекомендуется быть осторожными со ссылками, ведущими к сервисам вставки, и опасаться запутанного JavaScript, который часто скрывает вредоносную полезную нагрузку.

#ParsedReport #CompletenessMedium
06-06-2025

A SoraAI clickbait

https://labs.k7computing.com/index.php/a-soraai-clickbait/

Report completeness: Medium

Threats:
Clickbait_technique

Geo:
Vietnam

ChatGPT TTPs:
do not use without manual check
T1041, T1059.001, T1059.003, T1059.006, T1070.004, T1105, T1119, T1539, T1547.001, T1555.003, have more...

IOCs:
File: 5
Hash: 3
Url: 1

Soft:
OpenAI, Telegram, Chrome, Firefox, Opera, Steam, Twitter

Algorithms:
aes, zip

Functions:
get_pid, extract_facebook_cookies, create_zip_file, StealWifiInformation, GetPasswords, GetCards, SendAllData

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SoraAI.lnk - это вредоносная программа-похититель информации, которая использует социальную инженерию для привлечения пользователей к загрузке вредоносных файлов, используя PowerShell для выполнения пакетных файлов и установки необходимых пакетов Python. Он нацелен на данные из веб-браузеров, в частности Chrome и Opera, извлекая конфиденциальную информацию через Telegram и сжимая ее в zip-файлы, удаляя локальные копии, чтобы стереть следы.
-----

SoraAI.lnk - это вредоносная программа-похититель информации, созданная для имитации модели генерации видео Sora от OpenAI. Она использует тактику социальной инженерии, чтобы побудить пользователей загружать вредоносные файлы, замаскированные под законное программное обеспечение, специально размещенное на Github. После своего первого обнаружения 21 мая 2025 года во Вьетнаме вредоносная программа распространилась на несколько других стран, хотя степень ее воздействия остается неопределенной. Он запускает процесс PowerShell, который загружает вредоносный контент с Github, сохраняет его как пакетный файл ("a.bat") во временной папке и впоследствии запускает его.

Вредоносная программа работает с помощью многоэтапного процесса, при котором "1.bat" подавляет вывод команд и устанавливает переменные среды для контекста ее выполнения. Он устанавливает несколько пакетов Python, необходимых для его работы, включая "запросы", "клиент веб-сокета", "pywin32", "aiohttp" и "криптография", которые облегчают HTTP-соединения и шифрование/дешифрование данных. Ключевая полезная нагрузка, представленная символом "python.py`, предположительно предназначена для решения задач кражи и эксфильтрации информации.

Вредоносная программа обладает возможностями, характерными для похитителей информации, собирая данные из веб-браузеров, таких как Chrome и Firefox, и специально нацеливаясь на Opera для извлечения паролей. Она использует шифрование, привязанное к приложениям Chrome, для расшифровки данных и последующей отправки собранной информации своим операторам через Telegram с использованием бот-API. Вредоносная программа сжимает данные в zip-файлы, используя для присвоения имен случайно сгенерированный идентификатор. Она уведомляет злоумышленников о новых переданных данных и управляет ограничениями по размеру файлов, загружая файлы большего размера на файлообменные сервисы, такие как GoFile.io при необходимости.

Далее он проходит по системе, чтобы собрать файлы с общими расширениями из пользовательских каталогов, заархивировать их и отправить злоумышленнику, удалив при этом локальные копии, чтобы стереть все следы. Отсутствие надлежащих мер безопасности может привести к серьезным последствиям в случае запуска таких вредоносных файлов, что подчеркивает необходимость проявлять бдительность и использовать надежное антивирусное программное обеспечение для снижения рисков, связанных с такими угрозами.

#ParsedReport #CompletenessLow
06-06-2025

BADBOX 2.0 Botnet Hijacks 1 Million+ Devices in Global IoT Supply-Chain Attack

https://www.secureblink.com/cyber-security-news/badbox-2-0-botnet-hijacks-1-million-devices-in-global-io-t-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
Badbox (motivation: cyber_criminal)

Threats:
Supply_chain_technique
Residential_proxy_technique

Victims:
Consumer devices

Industry:
Iot, Financial, E-commerce, Media

Geo:
Mexico, German, Brazil, Chinese, Colombia, Argentina

ChatGPT TTPs:
do not use without manual check
T1071.001, T1195.002, T1204.003, T1542.001

IOCs:
IP: 3

Soft:
Google Play, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет BADBOX 2.0, подтвержденный ФБР, скомпрометировал более 1 миллиона устройств по всему миру, в основном используя китайские смарт-устройства с помощью предустановленного вредоносного ПО и троянских обновлений прошивки. Он обходит систему безопасности через магазины вредоносных приложений и IP-адреса резидентов, повышая скрытность работы.
-----

ФБР подтвердило, что ботнет BADBOX 2.0 затронул более 1 миллиона потребительских устройств в 222 странах, что указывает на серьезную хакерскую атаку, которая в основном использует интеллектуальные устройства, произведенные в Китае. Эти устройства скомпрометированы с помощью сложных методов, включая предустановленное вредоносное ПО, внедренное в процессе производства, которое внедряет скрытые бэкдоры, которые остаются незамеченными обычным потребителем.

Важным методом, используемым в этой операции, является использование троянских обновлений встроенного ПО. Эти поддельные системные обновления внедряют в устройства стойкое вредоносное ПО, что позволяет вредоносному ПО пережить сброс настроек и закрепиться в зараженных системах. Кроме того, ботнет использует магазины вредоносных приложений, в частности неофициальные торговые площадки, которые часто предлагают бесплатные потоковые приложения, обходя такие меры безопасности, как Google Play Protect.

Функциональность ботнета BADBOX 2.0 включает использование локальных IP-адресов, что позволяет ему обходить географические блокировки и ограничения скорости, тем самым расширяя его операционные возможности. Этот метод позволил киберпреступникам создать криминальную прокси-сеть, способную скрывать свои вредоносные действия.

Эволюция этой угрозы примечательна тем, что в 2023 году в телевизионных приставках T95 была обнаружена оригинальная вредоносная программа BADBOX. В число последующих мер реагирования входит операция по дезорганизации, проведенная немецкой компанией BSI в октябре 2024 года, в ходе которой были использованы методы sinkholing для смягчения воздействия ботнета. В марте 2025 года HUMAN сообщила о заражении более 1 миллиона устройств, что привело к объединению усилий ФБР и Google в июне 2025 года, которые успешно отключили более 500 000 устройств, подключенных к BADBOX 2.0. График показывает быстрый рост и значительные масштабы ботнета, а также текущие проблемы в борьбе с такими сложными вредоносными программами.

#ParsedReport #CompletenessHigh
06-06-2025

PyPI Package Disguised as Instagram Growth Tool Harvests User Credentials

https://socket.dev/blog/pypi-package-disguised-as-instagram-growth-tool-harvests-user-credentials

Report completeness: High

Actors/Campaigns:
Madmadaado59

Threats:
Imad213
Ngrok_tool
Credential_harvesting_technique
Supply_chain_technique

Victims:
Instagram users, Social media users

Industry:
Telco

Geo:
Turkish

TTPs:
Tactics: 1
Technics: 4

IOCs:
Email: 1
Url: 1
File: 2
Domain: 9

Soft:
Instagram, Flask, Gmail, Twitter, Discord, TikTok, Telegram

Algorithms:
base64

Languages:
python

Links:
https://github.com/imadoo27/imad213

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа imad213, созданная хакером im_ad__213, маскируется под инструмент для сбора учетных данных в Instagram. Она маскирует свое поведение и использует удаленное отключение, передавая украденные учетные данные нескольким бот-сервисам и вводя пользователей в заблуждение поддельными инструкциями по безопасности.
-----

Расследование, проведенное командой Socket по исследованию угроз, выявило вредоносную программу под названием imad213, разработанную хакером im_ad__213, которая маскируется под инструмент для роста Instagram. Этот сборщик учетных данных на основе Python использует такие методы, как кодирование base64, чтобы скрыть свое назначение, и использует удаленный переключатель блокировки с помощью управляющего файла, размещенного на Netlify. После запуска вредоносная программа запрашивает у пользователей учетные данные Instagram, вводя их в заблуждение, утверждая, что это увеличивает количество подписчиков, и в то же время тайно передавая эти учетные данные нескольким сторонним бот-сервисам.

Пакет imad213 имеет профессиональный внешний вид на GitHub и содержит README, который содержит вводящие в заблуждение инструкции по технике безопасности, предназначенные для того, чтобы пользователи чувствовали себя в безопасности. Предлагая использовать временную учетную запись, вредоносная программа заставляет пользователей думать, что они могут защитить свои основные учетные записи, при этом предоставляя злоумышленнику законные учетные данные. Распространение этого вредоносного инструмента, вероятно, происходит через форумы и платформы, такие как Discord, которые привлекают пользователей, ищущих "способы взлома"..

Кроме того, вредоносная программа выполняет важную проверку, подключаясь к указанному серверу, чтобы проверить, может ли она запуститься. Такая связь с контрольным файлом позволяет злоумышленнику регулировать доступ к вредоносному ПО, что позволяет ему мгновенно отключать копии, если это вызовет беспокойство правоохранительных органов. Вредоносная программа сохраняет украденные учетные данные локально в виде открытого текста, одновременно отправляя информацию в десять связанных бот-сервисов, которые выдают себя за законные платформы для роста. Эти сервисы, имеющие схожие инфраструктуры и регистрационные данные, похоже, работают в рамках скоординированных усилий по сбору и широкомасштабному использованию учетных данных.

Жертвы не знают о возможных последствиях предоставления своей информации. Связанные бот-сервисы могут осуществлять различные вредоносные действия, такие как хранение учетных данных, их продажа или использование скомпрометированных учетных записей для рассылки спама. Распространенный таргетинг на Instagram, наряду с другими платформами социальных сетей, подчеркивает высокую ценность этих платформ для хакеров, особенно учитывая частое повторное использование паролей пользователями разных аккаунтов.

Последствия для жертв могут быть серьезными: они могут не только взломать свои аккаунты в Instagram, но и подвергнуть риску раскрытие соответствующей личной информации и подключений к другим платформам социальных сетей. Учитывая обширную базу пользователей Instagram, инциденты, связанные с кражей учетных данных, могут позволить хакерам получить доступ к многочисленным аккаунтам, что повышает их шансы на успех. Кроме того, использование автоматизированных сервисов нарушает Условия использования Instagram, что потенциально может привести к приостановке действия аккаунта или постоянным блокировкам. Эта ситуация привлекает внимание к постоянной угрозе, исходящей от схем сбора учетных данных, которые используют стремление пользователей к росту в социальных сетях, рискуя при этом их личной безопасностью.

#ParsedReport #CompletenessMedium
06-06-2025

DarkEngine

https://connect.cybercx.com.au/dark-engine?filetype=.pdf

Report completeness: Medium

Actors/Campaigns:
Darkengine (motivation: financially_motivated)
Kongtuke
Landupdate808
Tag-124
Asylum_ambuscade

Threats:
Seo_poisoning_technique
Fakecaptcha_technique
Yanb
Clickfix_technique
Lumma_stealer
Netsupportmanager_rat
Danabot
Asyncrat
Darkgate
Rhysida
Interlock
Socgholish_loader

Victims:
Wp engine users, Businesses using wp engine, Australian organisations, New zealand organisations, Marketing companies, Search engine optimisation companies, Individuals, Managewp users

Geo:
New zealand, Australian, Australia, Ireland, Canada, Russian, India, Indonesia, Philippines, United kingdom, Norway, Germany, Denmark, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1056.004, T1070.004, T1071.001, T1078, T1090.002, T1105, T1140, T1185, T1505.003, have more...

IOCs:
File: 91
Url: 60
IP: 50
Domain: 2

Soft:
WordPress, Chromium, OpenSSL, curl

Algorithms:
base64, aes, cbc, aes-256-cbc

Functions:
TextDecoder

Languages:
powershell, javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная фишинговая кампания под названием DarkEngine нацелена на пользователей движка WP, используя SEO-отравление, чтобы перенаправить жертв на поддельные сайты для входа в систему. Злоумышленники крадут учетные данные для взлома сайтов WordPress, внедряя бэкдоры и используя вредоносные программы, такие как Lumma Stealer и AsyncRAT. Кампания использует методы социальной инженерии, включая поддельные капчи, и требует от организаций проводить аудит активности в аккаунтах и удалять вредоносные плагины.
-----

CyberCX выявила сложную фишинговую кампанию, нацеленную на пользователей WP Engine, управляемой хостинговой платформы WordPress, получившей название DarkEngine. Кампания, действующая как минимум с июня 2024 года, использует методы поисковой оптимизации (SEO) для привлечения потенциальных жертв на фишинговые сайты, которые полностью имитируют интерфейс входа в систему WP Engine, эффективно заставляя пользователей раскрывать свои учетные данные. Этот метод позволяет хакерам получить несанкционированный доступ к учетным записям WP Engine, а затем и к сайтам WordPress, управляемым через эти учетные записи.

Как только злоумышленники получают учетные данные WP Engine, они используют их для взлома нескольких нижестоящих сайтов WordPress под одним управлением, внедряя бэкдоры с помощью вредоносного плагина и выполняя произвольный JavaScript на сайтах. Такая многоэтапная стратегия атаки свидетельствует о наличии у хакера финансовых мотивов, позволяющих осуществлять масштабное заражение скомпрометированных веб-сайтов. CyberCX выявила более 2353 уникальных сайтов, потенциально затронутых этой операцией, включая те, которые принадлежат организациям в Австралии и Новой Зеландии.

В дополнение к прямой краже учетных данных, кампания использует метод ClickFix, при котором поддельные подсказки с вводом капчи внедряются на взломанные сайты, чтобы манипулировать посетителями, заставляя их выполнять вредоносные команды. Эта тактика социальной инженерии облегчает внедрение различных типов вредоносных программ, включая похитителей информации и троянов удаленного доступа, таких как Lumma Stealer, DanaBot, AsyncRAT, NetSupport RAT и DarkGate. Злоумышленники используют инструмент автоматизации браузера Puppeteer для оптимизации процесса аутентификации и использования, поддерживая постоянство за счет использования различных бэкдоров и внедренных скриптов.

Операционная инфраструктура хакера включает в себя общедоступную панель для управления взломанными веб-сайтами. Эта панель позволяет злоумышленникам отслеживать своих жертв, отправлять учетные данные для дополнительной компрометации и внедрять скрипты на взломанные сайты. Одним из важных методов компрометации является изменение "wp-cron.php" для выполнения внедренного кода, что обеспечивает развертывание вредоносного плагина, идентифицируемого как "WP-antymalwary-bot.php.".

Кампания демонстрирует высокий уровень сложности в организации, включая клонирование законных сайтов на платформе WP Engine для сбора конфиденциальной информации для входа в систему и поддержание постоянного доступа через созданные учетные записи SFTP. Показателями компрометации для организаций являются неожиданные создания или удаления пользователями SFTP, а также нераспознанные плагины или модификации в установках WordPress.

Организациям, использующим WP Engine, рекомендуется проводить тщательный аудит активности своих учетных записей, отслеживать несанкционированные входы в систему и обучать персонал борьбе с попытками фишинга, связанными с использованием поддельных капч, и связанными с ними рисками выполнения команд вне среды браузера. Кроме того, активные усилия должны быть направлены на выявление и удаление любых вредоносных плагинов или внедренного контента, связанного с этой кампанией, чтобы снизить риски, связанные с деятельностью DarkEngine.

#ParsedReport #CompletenessHigh
06-06-2025

Operation DRAGONCLONE: Chinese Telecommunication industry targeted via VELETRIX & VShell malware

https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/

Report completeness: High

Actors/Campaigns:
Dragonclone
Unc5174
Earth_lamia

Threats:
Veletrix
Vshell
Dll_sideloading_technique
Screenconnect_tool
Cobalt_strike_tool
Supershell
Spear-phishing_technique
Process_injection_technique

Victims:
China mobile tietong co., ltd.

Industry:
Telco

Geo:
China, Indian, Chinese, Hong kong

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:
Tactics: 6
Technics: 18

IOCs:
File: 4
Hash: 7
IP: 3

Soft:
SAP NetWeaver

Algorithms:
exhibit, zip, xor

Win API:
Beep, NtDelayExecution, LoadLibraryA, GetProcAddress, VirtualAllocExNuma, VirtualProtect, HeapAlloc, HeapFree, RtlIpV4StringToAddressA, EnumCalendarInfoA, have more...

Languages:
golang

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, code: 6, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кампания, нацеленная на China Mobile Tietong Co., Ltd., использует вредоносные программы, в том числе VELETRIX и VShell, используя методы сторонней загрузки DLL-файлов и использование законных сертификатов подписи кода. Имплантат VELETRIX использует IP-маскировку для маскировки своей полезной нагрузки, в то время как VShell имеет связи с китайскими хакерскими группами и был замечен с общими ключами для нескольких имплантатов, что позволяет предположить скоординированные атаки. Серверы управления указывают на текущие операции, проводимые спонсируемыми государством субъектами.
-----

APT-команда Seqrite Labs выявила и проанализировала хакерскую кампанию, направленную против китайской телекоммуникационной отрасли, в частности, China Mobile Tietong Co., Ltd. В этой кампании используется сложная экосистема вредоносных программ, в основном состоящая из VELETRIX и VShell - инструментов, которые обычно используются хакерами, особенно связанными с Китаем.

Цепочка заражения начинается с вредоносного ZIP-файла, который был обнаружен 13 мая и содержит множество исполняемых файлов и библиотек динамической компоновки (DLL). Примечательно, что ZIP-файл также был идентифицирован на VirusTotal. Среди извлеченных файлов был и исполняемый файл под названием “2025 China Mobile Tietong Co., Ltd. Внутренняя программа обучения”, который служил приманкой и загружал вредоносные библиотеки DLL, в том числе одну с именем drstat.dll, которая связана с программным обеспечением WonderShare RepairIT. Хакеры использовали методы сторонней загрузки библиотек DLL, используя законные сертификаты подписи кода как от WonderShare, так и от Shenzhen Thunder Networking Technologies Ltd., последние часто связаны с вредоносными действиями.

Анализ продолжается с помощью имплантата VELETRIX, 64-разрядного двоичного кода, который использует несколько методов эксплойта. В нем используется метод, называемый IPFuscation, для преобразования шелл-кода в распознаваемый список IPv4-адресов, с механизмом обратного вызова для выполнения кода. В частности, он использует функцию Windows API RtlIpV4StringToAddressA для декодирования и выполнения полезной нагрузки вредоносного ПО посредством простого обратного вызова, представляя себя как законную активность в системе.

После анализа VELETRIX был исследован имплантат VShell. Было обнаружено, что этот хорошо известный кроссплатформенный инструмент с открытым исходным кодом, которым в настоящее время злоупотребляют несколько китайских хакерских групп, выполняет вредоносные действия, работая как имплантат Windows, известный как tcp_windows_amd64.dll. Детальный анализ выявил использование одного и того же ключа salt — qwe123qwe — в 44 идентифицированных имплантатах, что указывает на потенциальную связь с группой Earth Lamia, а также на совпадения с группой UNC5174, которая ранее нацеливалась на различные объекты.

В ходе дальнейшего расследования была обнаружена сеть серверов управления, на которых размещались известные инструменты для взлома, такие как Cobalt Strike и SuperShell, что указывает на активные циклы развертывания, связанные с китайскими хакерами, спонсируемыми государством. Эти серверы использовали различные конфигурации портов и демонстрировали модели поведения, схожие с теми, которые наблюдались в предыдущих кампаниях APT.