#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Sitecore Experience Platform имеет критические уязвимости, включая проблемы с RCE (CVE-2025-27218) и жестко запрограммированные учетные данные в разных экземплярах, что создает риск несанкционированного доступа. Слабые пароли по умолчанию, такие как "b", и неправильно настроенные конечные точки аутентификации еще больше усугубляют эти проблемы безопасности.
-----

Было обнаружено, что платформа Sitecore Experience Platform (XP), широко используемая система управления контентом (CMS) в корпоративных средах, имеет критические уязвимости в системе безопасности, включая проблемы с удаленным выполнением кода перед аутентификацией (RCE). Конкретная уязвимость, идентифицированная как CVE-2025-27218, была устранена в версии 10.4.1, которая стала доступна в январе 2025 года. Несмотря на то, что это исправление было внедрено до проведения описанного исследования, потенциальные риски оставались из-за привычки системы использовать жестко запрограммированные учетные данные, которые могут быть использованы. Анализ показал, что более 22 000 уязвимых экземпляров Sitecore, что подчеркивает его привлекательность в качестве мишени для кибератакующих.

Изучение механизма аутентификации Sitecore показало, что учетные данные пользователей хранятся в базе данных с известными учетными записями по умолчанию, некоторые из которых имеют слабые пароли, которые легко поддаются перебору. Примечательно, что предыдущий пароль по умолчанию для критически важных внутренних пользователей, таких как пользователь ServicesAPI, был идентифицирован как "b". В целях обеспечения необычайно высокой безопасности Sitecore рекомендует не изменять эти учетные записи по умолчанию, что может непреднамеренно нарушить инфраструктуру безопасности системы.

Исследование показало, что если бы злоумышленник смог пройти аутентификацию с использованием этих учетных данных, он не смог бы получить прямой доступ к более конфиденциальным приложениям Sitecore из-за отсутствия назначенных ролей для конкретных пользователей. Однако реализации безопасности, включая правила авторизации, потенциально могут быть обойдены путем использования неправильных настроек или использования конечных точек аутентификации, которые были неправильно раскрыты. Обнаружение того, что пароль по умолчанию был установлен на "b" для нескольких установок, начиная с версии 10.1, вызывает опасения по поводу уровня безопасности сред, использующих Sitecore, в которых присутствуют такие уязвимости.

Кроме того, наличие жестко запрограммированных учетных данных представляет значительный риск, поскольку они идентичны в разных развертываниях. Если злоумышленник успешно взломает эти учетные данные, он сможет получить доступ к многочисленным экземплярам Sitecore, учитывая общий характер паролей по умолчанию. Анализ также показал, что, хотя некоторые средства, такие как расширения Sitecore PowerShell, могут быть неотъемлемой частью функциональности, они также вносят дополнительные риски, позволяя загружать webshell при определенных условиях. Это создает серьезную проблему для безопасности пользователей Sitecore XP, несмотря на то, что она позиционируется как решение, готовое для корпоративного использования.

Сохраняющаяся угроза, связанная с жестко запрограммированными учетными данными и неэффективным управлением учетными записями пользователей по умолчанию, усиливает потребность в надежных методах обеспечения безопасности, особенно в контексте автоматизированных установок, которые могут привести к дальнейшему распространению этих уязвимостей в организациях. Дальнейшее расследование и устранение этих недостатков имеют решающее значение для повышения безопасности сайтов, использующих CMS Sitecore.

#ParsedReport #CompletenessLow
17-06-2025

Weekly Threat Infrastructure Investigation(Week24)

https://disconinja.hatenablog.com/entry/2025/06/17/225643

Report completeness: Low

Threats:
Cobalt_strike_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1583.006, T1584.002

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе расследования, проведенного в Японии, были обнаружены четыре сервера управления, к которым были подключены хакеры, в том числе Cobalt Strike. Это указывает на повышенную активность угроз и предполагает активную кампанию с использованием различных методов атаки.
-----

В ходе расследования инфраструктуры командования и контроля (C2) в Японии было выявлено несколько серверов, потенциально связанных с хакерской деятельностью. В ходе исследования, проведенного со 2 по 8 июня 2025 года, было обнаружено в общей сложности четыре сервера C2. Примечательно, что анализ подтвердил присутствие Cobalt Strike среди этих серверов C2. Cobalt Strike - это хорошо известный инструмент, используемый хакерами для последующей эксплуатации, позволяющий удаленно управлять скомпрометированными системами, облегчая различные направления атак, включая перемещение по сети и утечку данных.

Использование Cobalt Strike и других фреймворков C2 означает высокий уровень угроз, поскольку злоумышленники часто используют эти инструменты для управления скомпрометированными сетями и выполнения дополнительных полезных нагрузок или команд в уязвимых системах. Идентификация нескольких серверов C2 указывает на потенциально активную кампанию, в которой могут участвовать различные хакеры, использующие различные методы вторжения и выполнения команд.

Это расследование подчеркивает важность постоянного мониторинга цифровой инфраструктуры и необходимость принятия надежных мер кибербезопасности, особенно в таких регионах, как Япония, которые, возможно, стали центром распространения подобных угроз. Наблюдаемая инфраструктура C2 отражает продолжающуюся тенденцию, когда злоумышленники используют передовые инструменты для установления контроля над сетями, тем самым подчеркивая острую необходимость для организаций внедрять эффективные стратегии обнаружения и реагирования на действия таких хакеров.

#ParsedReport #CompletenessMedium
18-06-2025

Threat Group Targets Companies in Taiwan

https://www.fortinet.com/blog/threat-research/threat-group-targets-companies-in-taiwan

Report completeness: Medium

Threats:
Holdinghands
W64/shellcoderunner.arg!tr
W64/agent.fin!tr
W64/hhagent.bee8!tr
Winos
Gh0stbin_rat
Cringe
Gh0stcring

Victims:
Users

Industry:
Government

Geo:
Taiwan, Chinese

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.005, T1053.005, T1055, T1055.001, T1105, T1134.001, T1204.002, T1546.015, have more...

IOCs:
File: 36
Domain: 25
Path: 2
IP: 13
Hash: 32

Soft:
WinLogon, WeChat

Algorithms:
zip

Functions:
TaskServer, TaskScheduler

Win API:
ShowWindow, ExitProcess, WaitForSingleObject, VirtualAlloc, SeDebugPrivilege, ImpersonateLoggedOnUser

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, chats: 1, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года на тайваньских пользователей была совершена кибератака с использованием вредоносного ПО winos 4.0 через фишинговые электронные письма, маскирующиеся под сообщения Национального налогового бюро. В атаке участвовала компания HoldingHands RAT, которая использовала защищенные паролем ZIP-файлы и передовые методы повышения привилегий. Вредоносная программа установила управление через msgDb.dat, извлекая системную информацию и адаптируя свои методы к различным вредоносным программам для поддержания постоянного доступа.
-----

В январе 2025 года FortiGuard Labs выявила кибератаку на пользователей на Тайване, где вредоносное ПО под названием winos 4.0 распространялось с помощью фишинговых электронных писем, замаскированных под сообщения Национального налогового бюро. Фишинговые электронные письма, как правило, содержали вложения или ссылки, которые побуждали пользователей загружать вредоносный контент. Одна из связанных с этим фишинговых кампаний в марте 2025 года включала электронное письмо со ссылками, ведущими на вредоносный домен twszz.xin, и изображение, связанное с налоговыми проверками, что усиливало обман, направленный на то, чтобы побудить пользователей перейти по ссылке.

В процессе распространения вредоносного ПО использовались различные методы. В фишинговых электронных письмах часто содержался законный контент, связанный с налогами или другими неотложными вопросами, что приводило к вводящей в заблуждение странице загрузки, на которую доставлялось вредоносное ПО. Злоумышленники использовали защищенные паролем ZIP-файлы для дальнейшего сокрытия, а пароли указывались на странице загрузки, что усложняло анализ. Вредоносное ПО, поставляемое в рамках этих кампаний, включало в себя HoldingHands RAT (троян удаленного доступа), также известный как Gh0stBins. Этот набор вредоносных программ обычно включает в себя несколько файлов, упакованных в ZIP-архивы, и запускается с помощью вредоносных вложений электронной почты.

После запуска вредоносная программа продемонстрировала расширенные возможности, включая методы повышения привилегий. Например, она позволила SeDebugPrivilege обойти ограничения, наложенные WinLogon, и выдать себя за СИСТЕМНОГО пользователя, чтобы получить повышенные привилегии. Ключевые DLL-файлы, такие как Blend.были задействованы библиотеки dll, которые представляют собой законные файлы, перепрофилированные для вредоносных целей, а также код, который проверял наличие определенных файлов, чтобы определить, следует ли продолжить выполнение или завершить.

В ходе атаки были идентифицированы конкретные компоненты, такие как msgDb.dat, которые облегчали обмен данными между командами и контролерами (C2). Эта структура данных управляла такими задачами, как настройка разделов реестра, сбор данных и загрузка дополнительных модулей с сервера C2. Пакеты с сигнальными сообщениями отправлялись каждые три минуты, что поддерживало соединение и позволяло беспрепятственно получать дальнейшие инструкции. MsgDb.dat также извлекал важную системную информацию для передачи злоумышленникам, такую как IP-адреса, имена пользователей и сведения об установленном программном обеспечении.

На протяжении нескольких месяцев мониторинга стало очевидно, что хакер постоянно внедрял инновации, используя различные типы вредоносных программ наряду с winos и HoldingHands, такими как Gh0stCringe. Цепочки атак представляли собой комбинацию сложных фрагментов шеллкода и загрузчиков, создавая запутанный поток, направленный на выполнение вредоносных программ и поддержание постоянного доступа к скомпрометированным системам. Полученные данные дают существенное представление об эволюции тактики, используемой этой хакерской группой для нападения на пользователей на Тайване.

#ParsedReport #CompletenessMedium
18-06-2025

Case of an attack targeting MySQL servers that installs RAT malware

https://asec.ahnlab.com/ko/88468/

Report completeness: Medium

Threats:
Gh0st_rat
Asyncrat
Ddostf
Xworm_rat
Hploader
Zoho_assist_tool
Sqlshell_tool
Cringe
Hiddengh0st
Uacme_tool

Victims:
Mysql servers, Corporate systems, User environments, Systems in korea

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1041, T1055.001, T1056.001, T1059.003, T1078, T1090.001, T1105, T1106, T1110.001, T1190, have more...

IOCs:
Path: 1
Url: 2
Hash: 5
Domain: 2
IP: 4

Soft:
MySQL, MS-SQL, PostgreSQL, Linux

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающиеся атаки нацелены на незащищенные серверы MySQL, используя слабую защиту для развертывания вредоносных программ, таких как Gh0stRAT и XWorm. Злоумышленники обычно используют грубый взлом открытых портов (3306/TCP), используя вредоносное ПО UDF для выполнения команд и загрузки файлов. Усилия по смягчению последствий должны быть сосредоточены на ограничении доступа, совершенствовании практики использования паролей и постоянном обновлении систем.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщает о продолжающихся атаках на серверы MySQL, особенно на те, которые плохо управляются и имеют доступ к Интернету. Злоумышленники проводят эти операции, используя плохо защищенные системы, что приводит к широкому распространению заражения в Корее. Основное используемое вредоносное ПО - это варианты Gh0stRAT, наряду с другими инструментами, такими как AsyncRAT, вредоносное ПО для DDoS-ботов Ddostf, XWorm, HpLoader и эксплойты против законного инструмента удаленного управления Zoho ManageEngine. Примечательно, что, хотя базы данных MySQL часто используются в средах Linux, они также могут быть установлены в установках Windows, что делает их уязвимыми для атак, аналогичных тем, которые наблюдаются на серверах MS-SQL.

Методы атаки обычно включают сканирование открытых портов, предназначенных для операций с MySQL (порт 3306/TCP), и выполнение атак методом перебора или по словарю, чтобы получить доступ через ненадежные учетные данные учетной записи. После успешного проникновения злоумышленники часто развертывают библиотеки пользовательских функций (UDF), содержащие вредоносные команды, которые запрашивают сервер MySQL для выполнения этих команд. Вредоносная программа UDF может выполнять команды, позволяющие загружать и выполнять файлы с указанных URL-адресов, потенциально выступая в качестве промежуточного звена, которое взаимодействует с сервером управления (C&C).

Недавние находки включают вредоносное ПО UDF, которое не только выполняет команды, но и может загружать вредоносную полезную нагрузку, о чем свидетельствуют данные истории загрузок Gh0stRAT. Вариант Gh0stRAT, связанный с этими недавними атаками, оснащен инструментом повышения привилегий, разработанным на основе UACMe, и имеет возможности скрытого захвата экрана. Другая известная вредоносная программа, XWorm, с момента своего появления была переквалифицирована в RAT и поддерживает целый ряд вредоносных действий, включая кражу учетных данных, DDoS-атаки и случайное распространение через USB.

Примечательно, что злоумышленники используют коммерческие инструменты удаленного доступа, такие как Zoho ManageEngine, с признаками постоянной эксплуатации вместо традиционных методов бэкдора. В настоящее время UEMS (Единая система управления конечными точками) Установлено, что агент, развернутый на серверах MySQL, автоматически устанавливается при компрометации системы, используя методы обхода защиты. Соответствующий dropper установил соединения с определенным доменом для загрузки своих компонентов.

Для устранения этих уязвимостей администраторам сервера MySQL крайне важно ограничить внешний доступ к необходимым портам, применять более надежные методы управления паролями и учетными записями, минимизировать привилегии для базы данных и обеспечить обновление операционной системы MySQL и хоста последними исправлениями безопасности. Такой стратегический подход может значительно помочь в защите от текущих продвинутых угроз, использующих эти системы баз данных.

#ParsedReport #CompletenessLow
18-06-2025

Same Sea, New Phish Russian Government-Linked Social Engineering Targets App-Specific Passwords

https://citizenlab.ca/2025/06/russian-government-linked-social-engineering-targets-app-specific-passwords/

Report completeness: Low

Actors/Campaigns:
Unc6293
Duke

Threats:
Residential_proxy_technique

Victims:
Keir giles

Industry:
Military, Government, Education

Geo:
Russia, Ukraine, Russian, Ukrainian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078.004, T1556.003, T1566, T1586.002, T1589.002

IOCs:
IP: 1
Email: 1

Soft:
Gmail, WhatsApp

Algorithms:
sha256

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью изощренной атаки с использованием социальной инженерии был эксперт Кейр Джайлс, имя которого приписывается российскому актеру UNC6293, с целью манипулирования им с целью обмена паролями от конкретных приложений в обход MFA. Атака выявила уязвимости ASP и эволюционирующую тактику, сочетающую фишинг с альтернативными методами доступа, что подчеркивает необходимость принятия адаптивных мер безопасности.
-----

Кир Джайлс, эксперт по информационным операциям в России, стал жертвой изощренной атаки социальной инженерии, направленной на то, чтобы манипулировать им и заставить создавать пароли для своих учетных записей, привязанные к конкретным приложениям (ASP), и делиться ими, эффективно обходя многофакторную аутентификацию (MFA). Эта атака включала стратегические элементы для обеспечения достоверности, включая выбор времени отправки сообщений и включение официальных правительственных адресов электронной почты в поле CC, что злоумышленник назвал созданием "столпов правдоподобия". Цель состояла в том, чтобы убедить мистера Джайлса, что, предоставив доступ к ASP, он получит доступ к защищенным государственным ресурсам, используя вводящую в заблуждение инструкцию по вводу "ms.state.gov" на странице паролей приложений Gmail, которая просто служила уловкой, создавая вводящую в заблуждение метку для пароля.

Атака была приписана поддерживаемому российским государством актеру UNC6293, с сомнительной связью с APT29, также известному как "Уютный мишка". После атаки Джайлс обратился за помощью в Citizen Lab и сообщил, что заметил подозрительную попытку входа в систему, связанную с IP-адресом Digital Ocean. Google Threat Intelligence Group (GTIG) выявила закономерность, согласно которой UNC6293 был задействован в дополнительных кампаниях с использованием аналогичной тактики, в том числе в темах, ориентированных на Украину.

Инцидент выявил уязвимости, связанные с ASP; хотя они могут быть полезны для пользователей, их также можно использовать для взлома учетных записей в сочетании с социальной инженерией. Поскольку организации все чаще применяют такие меры безопасности, как MFA, злоумышленники совершенствуют свои стратегии. В настоящее время они используют более сложные методы социальной инженерии, сочетающие традиционный фишинг с альтернативными потоками доступа к учетной записи, включая токены доступа. Кроме того, наблюдается тенденция к кросс-платформенным атакам, когда взаимодействие начинается с одного приложения для обмена сообщениями и переходит на электронную почту, что усложняет усилия по обнаружению.

Необычный темп коммуникации и постоянное наличие адресов электронной почты .gov способствовали эффективности атаки, демонстрируя, на что способны изощренные злоумышленники, чтобы обмануть важные цели. В целом, этот инцидент сигнализирует о тревожном изменении тактики, используемой хакерами, подчеркивая необходимость постоянной адаптации подходов к обеспечению безопасности и повышения осведомленности о том, как социальная инженерия может извлечь выгоду из, казалось бы, безобидных функций, таких как ASPS.

#ParsedReport #CompletenessMedium
18-06-2025

Bert Ransomware

https://theravenfile.com/2025/06/16/bert-ransomware/

Report completeness: Medium

Threats:
Bert_ransomware
Revil

Industry:
Healthcare, Logistic

Geo:
Russian, Sweden, Taiwan, Malaysia, Russia, Columbia, Turkey

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1059.001, T1105, T1112, T1486, T1562.001, T1566, T1583.001

IOCs:
Hash: 1
File: 7
Path: 1
Command: 1
Registry: 2
IP: 1

Soft:
Linux, Ubuntu, Windows Defender, Windows Firewall

Algorithms:
rc4, chacha20, md5, zip, salsa20, aes, base64

Functions:
Write-Host, Set-ItemProperty, Get-Service, Set-NetFirewallProfile, Write-Error

Languages:
powershell

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/Bert%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель BERT, впервые обнаруженная в апреле 2025 года, нацелена на системы Windows и Linux с помощью фишинга. Она использует AES и RC4 для шифрования, использует сценарий PowerShell для отключения мер безопасности и имеет схожий код с программой-вымогателем Revil. Ключевая инфраструктура включает серверы Apache на Ubuntu и работает в основном с удаленного сервера, связанного с российской фирмой.
-----

Программа-вымогатель BERT появилась в середине марта 2025 года и была впервые обнаружена в апреле 2025 года, в основном для систем Windows, а к маю 2025 года распространилась и на Linux. Программа-вымогатель распространяется в основном с помощью фишинговых кампаний, которые служат первоначальным источником заражения. Его работа поддерживается серверами для утечки данных и хранения файлов, работающими под управлением Apache/2.4.52 в Ubuntu. Примечательно, что он не использует выделенный домен Onion для обмена данными; вместо этого он полагается на сеансы, ориентированные на конфиденциальность. Больше всего от этой программы-вымогателя пострадали Соединенные Штаты, за ними следуют Великобритания, Малайзия, Тайвань, Колумбия и Турция. Наиболее пострадавшими секторами являются сфера услуг, производство, логистика, информационные технологии и здравоохранение.

BERT содержит различные исполняемые файлы для Windows, в том числе "newcryptor.exe", а также другие файлы с именами Bert, Bert11, worker.exe, payload.exe, build.exe и build.exe.bin. Версия для Linux демонстрирует примерно 80%-ное сходство кодовой базы с программой-вымогателем Revil (Sodinokibi). Что касается методов шифрования, BERT использует AES и RC4 PRGA, и отмечается, что в версии Linux также могут использоваться алгоритмы Salsa20 и ChaCha, при этом закодированные данные хранятся в Base64. Важным компонентом атаки является скрипт PowerShell, предназначенный для отключения защитника Windows и ряда других функций безопасности. Этот скрипт изменяет записи реестра, отключая защиту в режиме реального времени, облачную защиту и настройки брандмауэра, эффективно снижая защиту для облегчения дальнейших вредоносных действий.

Сценарий PowerShell пытается завершить работу служб, связанных с безопасностью, и устанавливает для параметра "EnableLUA" значение 0, что отключает контроль учетных записей пользователей (UAC). Он также загружает исполняемый файл "payload.exe" с удаленного сервера, расположенного по IP-адресу 185.100.157.74, и запускает его с правами администратора из системного каталога temp. Такое поведение характерно для программ-вымогателей, которые обычно нарушают меры безопасности перед выполнением своей процедуры шифрования. Интересно, что и скрипт PowerShell, и загруженная полезная нагрузка размещены на одном сервере, принадлежащем компании Edinaya Set Limited, аффилированной с российской фирмой, что подчеркивает географическую связь этой программы-вымогателя.

Что касается оценки исполняемого файла Linux, то результаты показывают, что, хотя группа пыталась создать пользовательскую версию для Windows, их подход к версии для Linux в значительной степени основывался на модификациях существующего кода программы-вымогателя Revil. Этот стратегический выбор отражает продолжающуюся адаптацию хакеров к использованию ранее созданных вредоносных программных платформ для более эффективного проведения своих атак.

#ParsedReport #CompletenessMedium
18-06-2025

Threat actor Banana Squad exploits GitHub repos in new campaign

https://www.reversinglabs.com/blog/threat-actor-banana-squad-exploits-github-repos-in-new-campaign

Report completeness: Medium

Actors/Campaigns:
Banana_squad

Threats:
Supply_chain_technique
Creal_stealer
Blankgrabber

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1136.003, T1195, T1555, T1567.002

IOCs:
Domain: 4
Url: 29
Hash: 271

Algorithms:
zip, base64

Languages:
python

Links:
https://github.com/gchq/CyberChef

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Banana Squad размещает троянские файлы на Python на GitHub, маскируя их под вредоносные программы. Эти полезные программы извлекают конфиденциальные данные и используют передовые методы кодирования, чтобы избежать обнаружения. Было выявлено более 60 вредоносных репозиториев, из которых перед удалением было загружено почти 75 000 файлов.
-----

Последние тенденции в области атак на цепочки поставок программного обеспечения с открытым исходным кодом указывают на изменение тактики, при этом наблюдается заметный рост числа менее очевидных атак на такие платформы, как GitHub. Новая хакерская группа, известная как Banana Squad, привлекла к себе внимание благодаря своей кампании, которая распространяет троянские файлы на Python, замаскированные под безобидные хакерские инструменты, в репозиториях GitHub. Исследование, проведенное ReversingLabs, показало, что более 60 репозиториев содержали эти вредоносные троянские версии, которые изначально были безобидными на вид копиями законных репозиториев.

С апреля 2023 года Banana Squad запустила неустанную кампанию, в которой используются различные имена пользователей для загрузки сотен вредоносных пакетов. Средства кампании на базе Windows были разработаны для извлечения значительных объемов конфиденциальных данных из скомпрометированных систем, включая информацию из приложений, браузеров и криптовалютных кошельков. Сообщается, что вредоносные хранилища были загружены почти 75 000 раз, прежде чем была выявлена угроза и приняты последующие меры по ее удалению.

Анализ этих хранилищ выявил методы, с помощью которых злоумышленники обходили систему обнаружения. В ноябре 2024 года Центр Internet Storm Center компании SANS изучил один известный репозиторий, связанный с Banana Squad, в котором троянские файлы использовали особенность пользовательского интерфейса GitHub, которая предотвращала перенос длинных строк кода. Это позволило злоумышленникам вставлять большие пробелы, которые выводили вредоносный код за пределы экрана, делая его визуально незаметным и затрудняя обнаружение пользователями.

ReversingLabs идентифицировала вредоносные хранилища, используя индикаторы в своем наборе данных network threat intelligence. Они сосредоточились на названиях хранилищ, которые можно увидеть в строках запроса вредоносных URL-адресов, что позволило им собрать и проанализировать потенциально вредоносные имена. Как правило, в учетных записях, связанных с этими репозиториями, был указан только один репозиторий, что позволяет предположить, что они, скорее всего, были созданы исключительно для распространения вредоносного ПО. Каждый троянский файл на Python содержал несколько уровней кодировки и шифрования, включая Base64, шестнадцатеричные преобразования и шифрование Fernet с использованием стороннего пакета криптографии.

По мере развития кампании Banana Squad также начали использовать новые домены, такие как dieserbenni.ru и недавно обнаруженный 1312services.ru, которые показали сходство с ранее использовавшимися доменами. После анализа все репозитории, о которых сообщалось, были удалены с GitHub.

Структура полезной нагрузки в этой кампании демонстрирует тревожную согласованность с предыдущими операциями Banana Squad, для которых характерно такое же использование избыточных пробелов и кодирующих последовательностей. Эта закономерность подчеркивает важность передовых технологий дифференциального анализа, таких как те, которые используются ReversingLabs, для выявления скрытых изменений в версиях пакетов программного обеспечения. Такой анализ позволяет обнаруживать незаметные изменения в работе вредоносного ПО, которые в противном случае могли бы обойти традиционные меры безопасности, подчеркивая острую необходимость в бдительности в контексте разработки программного обеспечения с открытым исходным кодом.

#ParsedReport #CompletenessMedium
17-06-2025

Diving Into Quasar RAT: TTPs, IoCs and more

https://cyberint.com/blog/dark-web/quasar-rat/

Report completeness: Medium

Actors/Campaigns:
Stone_panda (motivation: cyber_criminal)
Molerats (motivation: cyber_criminal)

Threats:
Quasar_rat
Cicada_ransomware
Supply_chain_technique

Industry:
Healthcare, Energy, Financial, Government

TTPs:
Tactics: 7
Technics: 9

IOCs:
Hash: 7

Soft:
Twitter, Microsoft Office

Algorithms:
zip, sha256

Languages:
javascript