#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года связанная с Северной Кореей хакерская группа Famous Chollima запустила "PylangGhost", RAT на базе Python, нацеленный на системы Windows, в частности на экспертов по криптовалютам в Индии. Он использует обманные методы для доставки вредоносного ПО с помощью вредоносных скриптов и взаимодействует со своим C2 с использованием шифрования RC4 по протоколу HTTP, фокусируясь на краже данных из браузеров.
-----

В мае 2025 года Cisco Talos задокументировала новый троян удаленного доступа на базе Python (RAT) под названием "PylangGhost", который используется исключительно северокорейской хакерской группой, известной как Famous Chollima. PylangGhost обладает функциональностью, аналогичной ранее известной GolangGhost RAT, сохраняя многие из своих возможностей. Хакер активно атакует системы Windows, продолжая развертывать вариант Golang для пользователей macOS, в то время как системы Linux исключены из этих специфических операций. Текущие кампании в основном нацелены на людей, обладающих опытом в области криптовалют и блокчейн-технологий, при этом заметная концентрация атак происходит в Индии, хотя нет никаких свидетельств их воздействия на пользователей Cisco.

Знаменитая компания Chollima, также известная как Wagemole, с середины 2024 года подвергалась различным атакам, используя такие тактики, как создание поддельных объявлений о приеме на работу и привлечение пользователей через страницы тестирования навыков. Пользователям, посещающим эти сайты, вводящие в заблуждение, предлагается скопировать и выполнить вредоносные командные строки, в которых утверждается, что они устанавливают необходимые драйверы, что является частью уловки для распространения RAT. Техническое выполнение предполагает, что пользователи вводят команды с помощью PowerShell или curl, которые загружают ZIP-файл, содержащий компоненты PylangGhost, вместе со сценарием Visual Basic. После выполнения эти сценарии распаковывают библиотеки Python и запускают троянскую программу с помощью переименованного файла интерпретатора Python с именем "nvidia.py.".

PylangGhost состоит из шести отдельных модулей на Python, при первоначальном выполнении которых основное внимание уделяется таким задачам, как создание записи в реестре для обеспечения сохраняемости при перезагрузках и установление соединения с сервером управления (C2). Он использует конфигурационный файл, который импортирует последовательности команд, идентичные указанным в варианте Golang, обеспечивая удаленный доступ и кражу конфиденциальных данных, включая файлы cookie из более чем 80 расширений браузера, таких как Metamask и 1Password.

При обмене данными с C2 используется шифрование RC4, чтобы скрыть данные, передаваемые по незашифрованному протоколу HTTP. Каждый пакет содержит контрольную сумму для проверки целостности, а также ключ шифрования RC4, встроенный в пакет, что обеспечивает безопасную передачу команд и управление. Различия между версиями Python и Golang, включая индикаторы версий в их конфигурационных файлах, указывают на возможность различных путей развития, хотя причина использования разных языков остается неясной. Такая быстрая эволюция и диверсификация вредоносного ПО подчеркивает адаптивный ландшафт угроз, согласованный с продолжающимися усилиями по финансовой эксплуатации, направленными на профессионалов в области криптовалют.

#ParsedReport #CompletenessHigh
18-06-2025

SadFuture: Mapping XDSpy latest evolution

https://harfanglab.io/insidethelab/sadfuture-xdspy-latest-evolution/

Report completeness: High

Actors/Campaigns:
Xdspy (motivation: cyber_espionage)
Silent_werewolf

Threats:
Etdownloader
Xdigo
Lolbas_technique
Spear-phishing_technique
Minidump_tool
Meterpreter_tool

Victims:
Government entities, Ministries of foreign affairs, Militaries, Private companies, Financial institutions, Energy sector organizations, Research sector organizations, Mining sector organizations, Large russian retail groups, Large insurance companies, have more...

Industry:
Retail, Government, Military, Entertainment, Energy

Geo:
Belarussian, Russia, American, Chinese, Kazahstan, Kazakhstan, Minsk, Moscow, Russian federation, Russian, Moldova, Serbia, Ukraine, Belarus

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1020, T1027, T1036.003, T1036.005, T1059.007, T1071.001, T1074.001, T1083, have more...

IOCs:
File: 43
Hash: 71
Path: 12
Domain: 62
Command: 1
Url: 1

Soft:
Mozilla Thunderbird, Microsoft Outlook, Microsoft Edge, Windows explorer, Windows shell, Windows COM, HuggingFace, LiteSpeed, NSIS installer, QEMU, have more...

Wallets:
harmony_wallet

Algorithms:
exhibit, zip, aes-256-gcm, aes, base64, sha256

Win Services:
bits

Languages:
javascript, dotnet, golang

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR250601
https://github.com/billgraziano/dpapi/tree/v0.4.0
https://github.com/mattn/go-sqlite3/tree/v1.14.17
have more...

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 4, table: 1, code: 3, schema: 3, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа использует файлы LNK для использования уязвимости Microsoft Windows ZDI-CAN-25373 для проникновения. Она использует ETDownloader для сбора конфиденциальных данных, будучи связанной с хакерской группой XDSpy, нацеленной на правительства стран Восточной Европы.
-----

Хакерский ландшафт раскрывает сложную вредоносную кампанию, использующую файлы LNK в качестве исходного вектора для проникновения, используя уязвимость, идентифицированную как "ZDI-CAN-25373" в Microsoft Windows. Этот недостаток позволяет скрывать вредоносные команды в свойствах созданных файлов быстрого доступа, позволяя злоумышленникам выполнять команды без ведома пользователя. Вредоносная программа использует специально названный LNK-файл вместе с ZIP-архивом, замаскированным под INI-файл, который содержит легальный исполняемый файл Microsoft и вредоносную DLL-библиотеку, предназначенную для дополнительной загрузки. Выполнение начинается, когда пользователь распаковывает ZIP-файл и открывает файл LNK, запуская установку загрузчика, идентифицированного как ETDownloader.

После установки ETDownloader выполняет сканирование различных типов документов, извлекает содержимое буфера обмена, делает снимки экрана и выводит список каталогов на зараженном компьютере. Взаимодействие с сервером управления (C2), обозначенным как quan-miami.com, включает отправку запросов GET для получения команд и запросов POST для эксфильтрации собранных данных. Взаимодействия C2 используют зашифрованные команды и структурированы таким образом, чтобы включать динамические элементы, такие как серийный номер жесткого диска, что повышает скрытность работы вредоносного ПО.

Эта кампания связана с настойчивым хакером, известным как XDSpy, который атакует правительственные учреждения в Восточной Европе как минимум с 2011 года. Первоначальное внедрение ETDownloader привело к обнаружению дополнительного имплантата, известного как XDigo, который был связан с предыдущими отчетами органов безопасности, указывающими на продолжающуюся шпионскую деятельность. Показано, что XDigo работает с командно-диспетчерской инфраструктурой, которая со временем адаптируется, отражая эволюцию ее методов и технологий.

Имеющиеся данные свидетельствуют о том, что эта продолжающаяся шпионская деятельность постоянно фокусируется на конкретных правительственных и экономических объектах в Беларуси и прилегающих регионах, используя уникальные тактики, методы и процедуры (TTP), чтобы избежать обнаружения. Инфраструктура, используемая XDSpy, включает в себя хорошо замаскированные точки распространения вредоносного ПО, в то время как серверная архитектура поддерживает разделение между загрузчиками и C2-коммуникациями.

Более того, вредоносная программа использует механизмы защиты от анализа, включая использование различных методов шифрования и уровней запутывания, что указывает на повышенную сложность ее разработки. Поддерживая операционную безопасность с помощью разнообразной инфраструктуры и постоянно обновляя свою тактику, XDSpy продолжает представлять серьезную угрозу на арене кибершпионажа, используя уязвимости и поведение пользователей для эффективного проведения своих кампаний.

#ParsedReport #CompletenessMedium
18-06-2025

Modified XWORM Distribution by Chinese-Speaking Threat Actor

https://dmpdump.github.io/posts/Modified_Xworm_Distribution/

Report completeness: Medium

Threats:
Xworm_rat
Gh0st_rat
Winos
Valleyrat
Donut
Dll_sideloading_technique

Geo:
Chinese, Asia

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1027.009, T1053.005, T1059.001, T1071.001, T1083, T1204.002, T1574.002, T1620, have more...

IOCs:
File: 8
Hash: 21
IP: 2

Soft:
WhatsApp, Telegram, Chrome

Algorithms:
aes

Functions:
AccurateRemote, verify_system_compatibility, Info, Spread, SearchForAnyTelegram

Languages:
powershell

Platforms:
x86

Links:
https://github.com/dmpdump
https://github.com/TheWover/donut

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 1, code: 10, dump: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование показало, что модифицированная версия XWORM RAT, замаскированная под установщик WhatsApp, использует установщики MSI для заражения систем. Она выполняет синтетическую полезную нагрузку с помощью библиотеки DLL, которая обеспечивает постоянство и подключается к определенным серверам C2, ориентируясь на пользователей Telegram. Такое поведение указывает на потенциальную связь с китайскоязычными хакерами и ориентацию на пользователей в Восточной и Юго-Восточной Азии.
-----

Недавнее исследование установщиков MSI, связанных с Gh0stRAT и подобными RATs, такими как WinOS/ValleyRAT, выявило цепочку заражения, ведущую к появлению модифицированной версии XWORM RAT, помеченной как "whats-install.msi". Этот конкретный установщик MSI, замаскированный под законный установщик WhatsApp, был создан с использованием Advanced Installer и в основном содержит комментарии и поля на китайском языке, что позволяет предположить участие китайскоязычного хакера.

При запуске MSI инициирует два разных пути: один запускает легитимный файл xmplay.exe, что приводит к заражению XWORM, а другой - через файлы в installer.exe_1, что облегчает развертывание настольного приложения на базе Chromium, которое предположительно служит в качестве настроенного клиента WhatsApp. Процесс начинается, когда выполняется xmplay.exe, который впоследствии загружает вредоносную библиотеку DLL, известную как xmpcd.dll. Эта библиотека DLL выполняет функцию, называемую AccurateRemote(), для запуска встроенного сценария PowerShell, устанавливающего запланированную задачу со случайно сгенерированным именем для сохранения, гарантируя, что xmplay.exe запускается при входе пользователя в систему из определенного каталога.

Программа installer.exe действует как загрузчик шеллкода, тщательно считывая данные после разделителя IEND из ресурса изображений PNG и расшифровывая скрытый внутри шеллкод. Полезная нагрузка выполняется после изменения защиты памяти, что приводит к заметной задержке, позволяющей избежать процессов обнаружения. Этот шеллкод, измененный таким образом, чтобы он напоминал узнаваемый клиент XWORM RAT, сконфигурирован с двумя IP-адресами для управления (C2): 27.124.2.138:6000, который является открытым текстом, и неиспользуемым альтернативным C2, 45.125.216.54:7000.

Модифицированный XWORM демонстрирует уникальное поведение, например, функция Spread() проверяет, установлен ли Telegram на хост-системе, а не проверяет имя файла на наличие уязвимостей на USB-накопителе, как это наблюдалось в предыдущих версиях. Такое поведение потенциально указывает на целенаправленный подход к пользователям Telegram для дальнейших вредоносных целей. В сочетании с очевидным акцентом на Telegram, этот вариант имеет мьютекс с именем sKGCo7sB9Ni6uaEY и использует пользовательский механизм идентификации и отчетности Telegram.

Наблюдаемые признаки согласуются с предыдущими действиями, связанными с китайскоязычными хакерами, в частности с использованием троянских программ установки и шелл-кодов, зашифрованных с помощью Donut, для доставки полезной нагрузки. Модель распространения и цели предполагают постоянный интерес к компрометации пользователей в Восточной и Юго-Восточной Азии, при этом различные варианты адаптации можно увидеть в различных образцах XWORM, найденных в таких хранилищах, как VirusTotal.

#ParsedReport #CompletenessLow
18-06-2025

Nobitex Breach: Infostealers Expose Critical Employee Credentials in Latest Crypto Exchange Hack

https://www.infostealers.com/article/nobitex-breach-infostealers-expose-critical-employee-credentials-in-latest-crypto-exchange-hack/

Report completeness: Low

Threats:
Stealc
Redline_stealer
Amos_stealer
Allakore_rat
Lumma_stealer
Meduza
Meta_stealer
Raccoon_stealer
Vidar_stealer

Victims:
Nobitex

Industry:
Energy

Geo:
Israel, Iran, Iranian

ChatGPT TTPs:
do not use without manual check
T1005, T1056, T1078, T1539, T1543, T1557.003, T1566

Soft:
Twitter, macOS

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака, приписываемая группе "Gonjeshke Darande", привела к потере Nobitex exchange 81,7 миллиона долларов из-за того, что сотрудники были скомпрометированы вредоносным ПО Infostealer, которое облегчило доступ к конфиденциальным системам и перехвату сеансов. Этот инцидент подчеркивает угрозу использования уязвимостей конечных устройств инфокрадами, что требует более строгих мер безопасности и обучения сотрудников борьбе с фишингом.
-----

Недавняя кибератака на криптовалютную биржу Nobitex привела к значительным потерям в размере примерно 81,7 миллиона долларов, которые приписываются группе "Гоньешке Даранде", которая утверждает о связях с Израилем. Взлом в первую очередь затронул горячие кошельки Nobitex, вынудив биржу приостановить операции и гарантировать компенсацию пользователям, сохраняя при этом безопасность своих активов холодного хранения. Однако основные проблемы связаны с компрометацией двух сотрудников Nobitex, которые стали жертвами вредоносного ПО Infostealer, предоставившего злоумышленникам критически важный доступ к внутренним системам организации.

Исследование, проведенное компанией Hudson Rock, показало, что эти сотрудники, обладавшие значительным доступом к серверу, стали жертвами информационных кампаний, направленных на извлечение конфиденциальной информации, такой как учетные данные, история посещенных страниц и файлы cookie. Анализ, проведенный на основе журналов более чем 30 миллионов зараженных компьютеров по всему миру, показывает, что вредоносное ПО Infostealer может служить предвестником более разрушительных атак. В случае с Nobitex данные, полученные с помощью этих заражений, включали файлы cookie, используемые для перехвата сеанса, и учетные данные Jira, которые, возможно, способствовали взлому.

Этот инцидент подчеркивает актуальность угрозы, исходящей от инфокрадов, которые позволяют злоумышленникам совершать серьезные нарушения, используя уязвимости в конечных устройствах сотрудников. Такие платформы, как веб-почта и VPN, могут быть подвержены значительным уязвимостям, что позволяет киберпреступникам получать несанкционированный доступ к конфиденциальным данным и системам. Дополнительные выводы Hudson Rock указывают на то, что подобная тактика инфокрадов привела к нарушениям в других известных компаниях, таких как Jaguar Land Rover и Schneider Electric.

Взлом Nobitex служит важным напоминанием для криптовалютных бирж и организаций в целом о необходимости принятия надежных мер безопасности конечных точек, регулярного аудита учетных данных и всестороннего обучения сотрудников распознаванию попыток фишинга — вероятной начальной точки проникновения инфокрадов. Продолжающееся развитие инфокрадов представляет собой постоянный риск, подчеркивающий необходимость в бдительности и упреждающих стратегиях безопасности для защиты от таких угроз, которые могут привести к катастрофическим финансовым последствиям.

#ParsedReport #CompletenessHigh
17-06-2025

A Wretch Client: From ClickFix deception to information stealerdeployment

https://www.elastic.co/security-labs/a-wretch-client

Report completeness: High

Threats:
Clickfix_technique
Ghostpulse
Lumma_stealer
Sectop_rat
Fakecaptcha_technique
Eddiestealer
Hijackloader
Dll_sideloading_technique
Spear-phishing_technique

TTPs:
Tactics: 6
Technics: 0

IOCs:
IP: 29
Url: 5
Domain: 4
File: 7
Hash: 5

Soft:
Kibana, Telegram, Discord, Steam, Linux, Nginx, Ubuntu

Algorithms:
sha256, xor, base64, zip

Win API:
MessageBoxA, LoadLibraryExW, AmsiScanBuffer

Languages:
dotnet, javascript, powershell

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/tools/ghostpulse
have more...
https://gist.github.com/xpn/e95a62c6afcf06ede52568fcd8187cc2
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/sectoprat.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Elastic Security Labs сообщает о росте числа кампаний по исправлению ошибок, использующих социальную инженерию для развертывания вредоносных программ, таких как GHOSTPULSE и ARECHCLIENT2. GHOSTPULSE использует многоступенчатую загрузку, запутывание и дополнительную загрузку библиотек DLL для скрытого выполнения, в то время как ARECHCLIENT2 фокусируется на краже учетных данных и использует расширенную сохраняемость с динамической инфраструктурой C2.
-----

Elastic Security Labs выявила значительное увеличение числа кампаний по исправлению кликов, в которых используются методы социальной инженерии для развертывания сложных вредоносных программ, включая трояны удаленного доступа (RAT) и вредоносные программы для кражи данных, такие как GHOSTPULSE, LUMMA и недавно появившийся ARECHCLIENT2. ClickFix, впервые обнаруженный в марте 2024 года, заставляет пользователей выполнять вредоносные команды PowerShell, маскируя их под безобидные исправления или обновления. Этот метод играет на психологических особенностях пользователей, что значительно повышает его эффективность в качестве исходного средства доступа для злоумышленников.

Метод ClickFix начинается с фишинговых страниц, имитирующих законные сервисы, такие как проверка капчи Cloudflare, где взаимодействие с пользователем инициирует запуск вредоносного ПО. Загрузчик GHOSTPULSE, в частности, представляет собой многоступенчатую полезную нагрузку, которая была усовершенствована и включает в себя модули для уклонения и обфускации. Он работает путем копирования вредоносной команды PowerShell в буфер обмена пользователя, которая при выполнении загружает и распаковывает ZIP-файл, содержащий компоненты GHOSTPULSE. Компоненты включают в себя как доброкачественные исполняемые файлы, так и вредоносные библиотеки динамической компоновки (DLL), использующие дополнительную загрузку DLL для облегчения первоначального запуска вредоносного ПО.

С момента своего появления в 2023 году GHOSTPULSE претерпел множество обновлений. Последние усовершенствования позволяют ему хранить зашифрованную полезную информацию в файлах изображений, что повышает его скрытность. Возможности вредоносного ПО включают проверку запущенных процессов, чтобы избежать обнаружения, и расшифровку информации, необходимой для работы, хранящейся в дополнительных зашифрованных файлах. В этой версии GHOSTPULSE реализована сложная методология извлечения полезной нагрузки и несколько уровней выполнения с помощью .NET-загрузчика, который подготавливает окончательную доставку полезной нагрузки.

В 2025 году число пользователей ARECHCLIENT2, также известного как SectopRAT, значительно возросло. Эта сильно запутанная вредоносная программа .NET специализируется на краже конфиденциальной информации, включая учетные данные для различных приложений. В нем используются передовые технологии обеспечения сохраняемости и создана инфраструктура управления (C2), которая позволяет удаленно управлять зараженными системами. Было установлено, что серверы C2, используемые в последних развертываниях, активно переключаются между IP-адресами в различных автономных системах для поддержания операционной безопасности.

Многоэтапная последовательность атак, подтвержденная в этих кампаниях ClickFix, подчеркивает стратегическое сочетание социальной инженерии и технического обхода. Вредоносное ПО пытается собрать обширную информацию о системах и данных, что отражает растущую изощренность злоумышленников, которые используют созданную инфраструктуру для масштабных вредоносных операций. Сосредоточенность Elastic Security на мониторинге этой активности выявляет тревожную тенденцию к росту числа таких хакеров, что вызывает повышенную необходимость проявлять бдительность в отношении этих все более сложных направлений атак.

#ParsedReport #CompletenessMedium
18-06-2025

Pickai: The Backdoor Hiding in Your AI Stack

https://blog.xlab.qianxin.com/pickai-the_backdoor_hiding_in_your_ai_stack/

Report completeness: Medium

Threats:
Pickai
Supply_chain_technique

Victims:
Rubick.ai, Amazon, The luxury closet, Hudson bay, Myntra

Industry:
E-commerce, Retail, Education

Geo:
Rwanda, America, Switzerland, Hong kong, Singapore, Egypt, Germany, Egyptian, China, India, Tanzania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.004, T1071.001, T1095, T1105, T1140, T1190, T1195.002, have more...

IOCs:
File: 6
IP: 3
Hash: 7

Soft:
systemd, Docker

Algorithms:
md5, xor

Languages:
javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
27 мая 2025 года хакеры воспользовались уязвимостями в ComfyUI для развертывания бэкдора Pickai, который выполняет команды, открывает обратные оболочки и использует скрытую тактику, такую как подмена имени процесса. Pickai использует жестко запрограммированные серверы C2, имеет плохое шифрование и распространяется через уязвимости в цепочке поставок, что делает его важным хакером.
-----

27 мая 2025 года Национальный центр уведомлений по кибербезопасности Китая опубликовал предупреждение о многочисленных уязвимостях высокого риска в ComfyUI, которые используются хакерскими группами для проведения сетевых вторжений и утечек данных. Анализ показал, что одним из источников этих эксплойтов был IP-адрес, использующий ComfyUI для распространения исполняемых файлов ELF, замаскированных под файлы конфигурации. Эти файлы были идентифицированы как варианты бэкдора под названием Pickai, предназначенного в первую очередь для кражи конфиденциальных данных, связанных с искусственным интеллектом.

Pickai - это легкий бэкдор, разработанный на C++, способный выполнять удаленные команды и осуществлять обратный доступ к командной строке. Несмотря на свою компактность, он использует тактику скрытности на стороне хоста, такую как защита от отладки, подмена имени процесса и различные механизмы сохранения. Примечательно, что, хотя в Pickai отсутствует шифрование, он использует сетевую стратегию, включающую несколько жестко запрограммированных серверов управления (C2), обеспечивая непрерывное подключение за счет проверки доступности сервера и автоматического переключения при необходимости.

В ходе обратного проектирования было обнаружено, что один из первоначальных доменов Pickai C2, h67t48ehfth8e.com, был незарегистрирован, что привело к его приобретению исследователями, что позволило им отслеживать телеметрию из зараженных систем. Эти усилия показали, что по меньшей мере 695 серверов по всему миру были взломаны, преимущественно в США, Германии и Китае. Впоследствии злоумышленники обновили Pickai, чтобы использовать только что зарегистрированный домен, historyandresearch.com что свидетельствует о намеренном противодействии удалению домена и демонстрирует упорство злоумышленников.

Расследование показало, что образцы Pickai были размещены на платформе Rubick.ai, используемой несколькими известными брендами розничной онлайн-торговли, что указывает на потенциальную угрозу для цепочки поставок, которая может способствовать дальнейшему распространению вредоносного ПО. Члены исследовательской группы отметили, что текущие меры безопасности в первую очередь указывают на то, что образцы Pickai представляют собой общие угрозы.

Более глубокие технические характеристики Pickai показывают, что он использует уникальный процесс для сохранения и обхода стратегий, включая разнообразие названий процессов и их копирование в различные места операционной системы. Вредоносная программа может сохранять постоянство, используя как init.d, так и systemd, что позволяет ей поддерживать множество рабочих точек на скомпрометированных системах.

Связь с инфраструктурой C2 осуществляется по многоуровневой схеме синхронизации, что обеспечивает регулярное предоставление информации об устройстве и циклический характер запросов команд каждые две минуты. Протоколы включают механизмы выполнения команд и создания обратных оболочек, хотя специфика команд после инициализации остается неясной.

Таким образом, проведенный анализ Pickai показал его устойчивость, сочетающую в себе передовые методы обхода, надежные стратегии сетевого взаимодействия и значительный потенциал распространения с помощью уязвимостей в цепочках поставок. Адаптивность злоумышленников и многогранная стойкость вредоносного ПО создают серьезные проблемы для усилий по смягчению последствий в области кибербезопасности. Исследователям и сетевым администраторам рекомендуется проводить тщательные проверки и устранять все случаи Пикаи, чтобы предотвратить повторное заражение.