#ParsedReport #CompletenessMedium
19-06-2025

APT-C-60 (Pseudo Hunter) Attack Evolution: Dynamic Payload Distribution and Command Relay Based on GitHub

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506307&idx=1&sn=917d291b3f14b349263a9b0a2f115323&chksm=f9c1ea8aceb6639ce7e8fa02c8630b203f508d3d971d21174c6a55f1bf4d4102ddc2af602d73&scene=178&cur_album_id=1955835290309230595&search_click_id&poc_token=HF9FVGijkTpFSMB-M7CWfzibM6JAyWn_ZJDaBEvu

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter

Threats:
Spear-phishing_technique
Com_hijacking_technique
Goldbar
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Korean, Chinese

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1056.001, T1071.003, T1082, T1105, T1113, T1567.002

IOCs:
File: 2
Url: 5
Path: 1
Hash: 4
Command: 1
IP: 1

Algorithms:
xor, base64, md5, rc4

Win API:
LoadLibraryW

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 15, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-60, северокорейская APT-группа, использует GitHub и Bitbucket для скрытых командных каналов, повышая скрытность атаки. Их вредоносное ПО содержит зашифрованную полезную информацию объемом 120 КБАЙТ с возможностью бэкдора для кейлоггинга и использует особые условия доставки полезной информации.
-----

APT-C-60, также известная как Псевдо-охотник, является северокорейской APT-группой, которая действует по меньшей мере с 2014 года, в основном нацеливаясь на организации, связанные с корейским правительством, экономикой, торговлей и культурой, включая консалтинговые компании по трудовым вопросам. Недавние исследования, проведенные Институтом перспективных исследований угроз 360, выявили сложную технику атаки, при которой APT-C-60 использует надежные облачные платформы, такие как GitHub, для создания скрытых каналов управления. Этот метод повышает скрытность атаки, используя структуру, в которой GitHub используется для ретрансляции команд и фронтального хранилища полезной нагрузки, в то время как Bitbucket используется для бэкдорного хранения полезной нагрузки, что облегчает динамическое распределение полезной нагрузки.

Вредоносная программа, связанная с APT-C-60, содержит зашифрованную полезную нагрузку размером около 120 КБАЙТ, зашифрованную с использованием метода исключения с помощью специального ключа. Ее архитектура включает механизмы, обеспечивающие доставку полезной нагрузки только на ограниченное число устройств, тем самым ограничивая общую уязвимость. Инструкции по эксплуатации вредоносного ПО указывают на двухэтапный процесс для вновь взломанных компьютеров, при котором загрузка полезной информации происходит только после выполнения определенных условий. Варианты вредоносного ПО генерируются в пакетном режиме с идентичными основными функциями, отличающимися в основном параметрами.

Дальнейший анализ выполнения полезной нагрузки выявил наличие программы установки черного хода (MD5: df58cd2b90db1960c8ac30f57839e513), которая инициализирует параметры конфигурации и проверяет наличие определенных локальных файлов перед загрузкой дополнительных компонентов черного хода. Декодированная полезная нагрузка бэкдора (Backdoor Config.dat, MD5: b3b0366a5696ab4a733cbfb0dddcc563) включает в себя такие функциональные возможности, как ведение кейлогга, и использует протокол связи, соответствующий более ранним образцам APT-C-60, используя комбинацию нестандартных кодировок RC4 и Base64 для своих операций.

Коммуникационные характеристики APT-C-60, схема работы и сроки его активности на GitHub соответствуют историческому поведению группы, что указывает на усовершенствованную стратегию обеспечения операционной безопасности. Чтобы снизить риски, связанные с APT-C-60, организациям рекомендуется применять надежные меры безопасности, такие как повышение квалификации сотрудников по обнаружению фишинга и вредоносных файлов, использование передовых систем фильтрации электронной почты, поддержка обновленного антивирусного программного обеспечения для автоматического сканирования и применение строгих мер контроля доступа для ограничения доступа к потенциально опасным файлам. типы.

#ParsedReport #CompletenessLow
19-06-2025

Introducing: GitHub Device Code Phishing

https://www.praetorian.com/blog/introducing-github-device-code-phishing/

Report completeness: Low

Threats:
Device_code_phishing_technique
Gitphish_tool
Supply_chain_technique

Victims:
Developers, Large organizations, Fortune 500 organizations, Fortune 50 company

Industry:
Iot, Media

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1059, T1078.004, T1098, T1110.003, T1210, T1212, T1550.001, T1556.003, T1557.003, T1566.001, have more...

IOCs:
File: 1

Soft:
Azure Active Directory, curl, Visual Studio Code, ServiceNow, Flask, VSCode

Functions:
Zoom

Languages:
javascript

Links:
https://docs.github.com/en/apps/oauth-apps/building-oauth-apps/scopes-for-oauth-apps
https://github.com/praetorian-inc/gato
https://github.com/praetorian-inc/GitPhish
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг с использованием кода устройства использует OAuth 2.0 для авторизации устройств и нацелен на такие системы, как GitHub и Azure AD, для несанкционированного доступа. Злоумышленники используют такие методы, как социальная инженерия и инструменты, такие как GitPhish, для автоматизации фишинга. Организациям следует повысить безопасность с помощью списка разрешенных IP-адресов и постоянного мониторинга журналов аудита, чтобы смягчить эти возникающие угрозы.
-----

Фишинг с использованием кода устройства стал серьезной угрозой для злоумышленников, в частности, использующих протокол OAuth 2.0 Device Authorization Grant (RFC 8628), предназначенный для аутентификации на устройствах с ограниченными возможностями ввода. Этот метод позволяет злоумышленникам манипулировать этим потоком данных для получения несанкционированного доступа к таким системам, как GitHub и Azure Active Directory, где широко распространена аутентификация по коду устройства. В отличие от традиционного фишинга, фишинг по коду устройства использует легитимные функциональные возможности, которые могут обеспечить долгосрочный доступ.

Недавние исследования показывают, что GitHub становится центром подобных атак, что отражает естественную эволюцию методов, ранее применявшихся в среде Microsoft. Фишинг с использованием кода устройства на GitHub был успешно применен против крупных организаций, продемонстрировав свою эффективность в контексте атак на цепочки поставок программного обеспечения. Злоумышленники используют знакомые идентификаторы клиентов приложений, такие как Visual Studio Code, чтобы снизить внимание пользователей и повысить вероятность успешной аутентификации потенциальных жертв.

В ходе успешных атак использовались ключевые стратегии, в том числе звонки разработчикам и выдача себя за сотрудников службы технической поддержки, чтобы облегчить процесс аутентификации по коду устройства. Эта тактика социальной инженерии использует присущее организационным ролям доверие, что приводит к высоким показателям успеха. Попытки фишинга могут распространяться на сетевые настройки, в которых скомпрометированные конечные точки передают поток кода устройства GitHub, что позволяет осуществлять горизонтальное перемещение по сети организации.

В контексте фишинговых кампаний злоумышленники разработали такие инструменты, как GitPhish, которые автоматизируют генерацию действительных кодов устройств и размещение фишинговых страниц на страницах GitHub, которые кажутся законными. GitPhish включает в себя серверную часть, которая динамически генерирует коды устройств в режиме реального времени, чтобы решить проблему с истекшим сроком действия кодов, гарантируя, что каждая жертва получит действительный код при доступе к фишинговой странице.

Чтобы защититься от таких сложных угроз, компании могут внедрить такие меры, как внесение в список разрешенных IP-адресов своих организаций на GitHub и ограничение доступа к конечной точке входа устройства на GitHub на сетевом уровне. Эти меры защиты должны быть сбалансированы с необходимостью поддержания стандартных операционных функций и потенциальным воздействием на действия GitHub, которые могут нарушиться в случае применения чрезмерно ограничительных мер.

Организациям необходимо подготовиться к неизбежному фишингу кода устройства на GitHub и разработать планы реагирования на возможные инциденты. Это включает в себя мониторинг журналов аудита на предмет необычных схем доступа и проверку разрешений, предоставленных токенам, особенно тем, которые имеют области повышенного риска, такие как доступ администратора или репозитория. Поскольку эта тактика становится все более распространенной, для эффективного снижения рисков потребуется постоянная бдительность и адаптация протоколов безопасности.

#ParsedReport #CompletenessMedium
19-06-2025

Dark Partners: The crypto heist adventure of Poseidon Stealer and Payday Loader

https://g0njxa.medium.com/dark-partners-the-crypto-heist-adventure-of-poseidon-stealer-and-payday-loader-c91382fac5c8

Report completeness: Medium

Actors/Campaigns:
Dark_partners
Sandman

Threats:
Payday_loader
Poseidon
Ultraviewer_tool
Lumma_stealer
Process_hacker_tool
Procmon_tool
Dead_drop_technique
Uac_bypass_technique
Lolbin_technique

Industry:
Energy, Logistic

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 221
File: 17
Coin: 21
Registry: 1
Hash: 22
IP: 2

Soft:
MacOS, TradingView, TikTok, DeepSeek, telegram, firefox, chromium, curl, Chrome, electron, have more...

Wallets:
exodus_wallet, metamask, coinbase, kardiachain, terra_station, wombat, harmony_wallet, braavos_wallet, xdefi, yoroi, have more...

Crypto:
binance

Algorithms:
zip

Functions:
writeText, GetUUID, filegrabber

Languages:
applescript, powershell, javascript

Platforms:
apple

Links:
https://github.com/g0njxa/PayDayLoader

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, windows: 3, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания "Темные партнеры" нацелена на пользователей Windows и macOS с помощью PayDay Loader, распространяющего инфокрадов, таких как Poseidon Stealer. Он использует методы защиты от "песочницы", сохранение данных с помощью PowerShell и использует подписание на основе сертификатов для распространения, в первую очередь для сбора криптовалюты и конфиденциальных данных.
-----

Было замечено, что недавняя вредоносная кампания, приписываемая неустановленным хакерам, получившим название "Темные партнеры", распространяла вредоносные программы, нацеленные на пользователей Windows и macOS. В кампании используется загрузчик, известный как "PayDay Loader", который в первую очередь облегчает распространение инфокрадов, включая печально известный Poseidon Stealer для macOS. Происхождение этого вредоносного ПО можно проследить по веб-сайтам, имитирующим хорошо известные сервисы искусственного интеллекта и VPN, с заметным акцентом на укрепление доверия пользователей с помощью знакомых брендов.

PayDay Loader, распространяемый через хостинг по адресу download.dianecarson.workers.dev, характеризуется как электронное приложение, способное незаметно загружать дополнительные вредоносные программы на зараженные компьютеры. Он оснащен механизмами защиты от "песочницы", которые позволяют ему обнаруживать и прекращать выполнение в виртуальных средах, тем самым избегая обнаружения. При запуске вредоносная программа использует ссылки на календарь Google для кодирования информации о своем сервере управления (C2). Если он идентифицирует изолированную среду, он прекратит работу и завершит сам себя.

Операционный процесс PayDay Loader включает в себя расшифровку дополнительных полезных данных JavaScript с идентифицированного сервера C2, что напрямую приводит к установке различных типов вредоносных программ, включая Lumma Stealer. Этот тип инфокрадов позволяет собирать конфиденциальную информацию, в частности данные криптовалютных кошельков. Примечательно, что загрузчик создает устойчивость на зараженных компьютерах, выполняя сценарии PowerShell с помощью запланированной задачи, которая запускается при каждом входе пользователя в систему.

Кроме того, Poseidon Stealer, который теперь находится под контролем Dark Partners, нацелен на системы macOS с помощью пользовательских средств запуска DMG. Он использует AppleScript для фильтрации данных, позволяющий получать доступ к важным пользовательским данным, таким как файлы cookie браузера, заметки и файлы кошельков для различных криптовалют. Затем скрытая информация отправляется с помощью HTTP POST-запросов на удаленные серверы злоумышленников.

Оба вредоносных приложения используют подписание на основе сертификатов для облегчения своего распространения. Сообщается, что участники Dark Partners приобретают EV-сертификаты для этой цели, хотя эти сертификаты часто отзываются вскоре после обнаружения, что приводит к временным сбоям в работе кампании. Эти аннулирования помечают сборки как ненадежные, что вынуждает участников либо отключать свои веб-сайты, либо развертывать ранее помеченные сборки, в которых отсутствуют действительные сертификаты.

Главной целью кампании Dark Partners является монетизация украденных данных, в частности, с упором на ликвидацию остатков криптовалюты на кошельках жертв и получение учетных данных с помощью средств infostealer. Этот продолжающийся метод эксплуатации подчеркивает важность повышенной бдительности в области кибербезопасности в отношении обманных онлайн-тактик и потенциальных утечек данных.

#ParsedReport #CompletenessMedium
19-06-2025

Botnets Never Die: Analysis of the RapperBot Botnet

https://blog.xlab.qianxin.com/rapperbot-en/

Report completeness: Medium

Threats:
Rapperbot
Xorddos
Mirai
Ghostnet

Industry:
Iot

Geo:
Canada, Italy, Chinese, Hongkong, China, Ontario, France, Germany

CVEs:
CVE-2023-4473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel nas326 firmware (le5.21\(aazf.14\)c0)

CVE-2021-46229 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink di-7200gv2 firmware (le21.04.09e1)

CVE-2020-9054 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel nas326 firmware (<5.21\(aazf.7\)c0)

CVE-2020-24581 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dsl2888a firmware (<au_2.31_v1.1.47ae55)

CNVD-2021-79445 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1132, T1190, T1498

IOCs:
File: 7
Coin: 1
Email: 1
Hash: 7
IP: 9

Soft:
Deepseek, ZyXEL, twitter

Algorithms:
xor, base64

Functions:
bytearray

Languages:
javascript

Links:
https://github.com/lctseng/2014-Meichu-Hackathon-Team-Soloq/blob/master/General.rb?ref=blog.xlab.qianxin.com
have more...
https://github.com/thirtythreeforty/neolink?ref=blog.xlab.qianxin.com
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.comhttps://pastebin.com/dfHYSqVz?ref=blog.xlab.qianxin.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RapperBot - ботнет, действующий с 2021 года, известный своими DDoS-атаками и тактикой вымогательства, использующий 32 домена управления. Он использует уязвимости Интернета вещей, в основном полагаясь на слабые пароли и доступ по Telnet. Вредоносная программа использует уникальные методы шифрования с пользовательской расшифровкой для разрешения команд с помощью записей DNS-TXT, что повышает ее оперативную скрытность.
-----

RapperBot - это семейство активных ботнетов, выявленное в июле 2022 года, хотя его деятельность началась в 2021 году. Этот ботнет продемонстрировал значительный оперативный потенциал, что особенно заметно во время атаки на Deepseek в феврале 2025 года, когда с марта того же года было задействовано более 50 000 ботов и около 100 ежедневных целей. Примечательно, что RapperBot начал использовать тактику вымогательства, требуя от жертв "плату за защиту" для предотвращения DDoS-атак.

Инфраструктура ботнета включает в себя использование 32 доменов управления (C2), некоторые из которых остаются незарегистрированными. Для мониторинга его работы и масштабирования были приняты упреждающие меры по регистрации этих неиспользуемых доменов. Анализ хостов ботов, подключенных к этим доменам, позволяет получить представление о распространении и активности сети RapperBot. Ее область применения охватывает множество секторов, в первую очередь, государственное управление, организации социального обеспечения, интернет-платформы, производство и финансовые услуги, при этом значительная часть целей сосредоточена в Китае.

RapperBot использует уязвимости, связанные с устройствами Интернета вещей, которые часто содержат слабые пароли по умолчанию или дефекты встроенного ПО, в том числе сетевые камеры и различные маршрутизаторы. Вредоносное ПО в основном проникает в системы через точки входа в Telnet и известные уязвимости. Его варианты имеют сходство, в основном, с изменениями в структуре данных и методах анализа. Функционально он используется в основном для DDoS-атак, а с октября 2024 года получит дополнительные возможности прокси-сервера.

Отличительной особенностью RapperBot является его метод разрешения домена C2, основанный на записях DNS-TXT, а не на стандартных методах. Вредоносная программа использовала различные форматы записей TXT и, в более новых образцах, произвольный выбор порта из пула из 35 кандидатов вместо использования фиксированных портов. Для шифрования в более ранних версиях RapperBot использовались алгоритмы, похожие на Mirai, которые позже эволюционировали до пользовательских методов дешифрования, повышающих меры безопасности за счет использования нескольких вариантов с чередованием ключей дешифрования.

С марта 2025 года для записей TXT и доменов C2 используется специальный алгоритм дешифрования, в результате чего из уникальной таблицы строк с помощью механизма разделения генерируются 32 потенциальных домена C2. Сетевой протокол RapperBot относительно прост, лишен сложных протоколов шифрования или обмена ключами; он просто использует операцию XOR с одним байтом, используя переменный ключ. Варианты поддерживают незначительные изменения в структуре пакетов для входа в систему, обеспечивая при этом согласованное включение таких важных полей, как имя хоста, источник и IP-адреса, что помогает формировать общую сетевую базу RapperBot.

#ParsedReport #CompletenessMedium
18-06-2025

Italian robbery: they first tried to attack the clients of Russian banks with a malicious Supercard application

https://www.f6.ru/blog/supercard/

Report completeness: Medium

Threats:
Supercard
Nfcgate_tool
Jiagu

Victims:
Bank customers, Android users

Industry:
Financial

Geo:
Russian, Italian, Russia, Italy, American, Australia, Chinese

ChatGPT TTPs:
do not use without manual check
T1040, T1041, T1071.001, T1140, T1204.002, T1406, T1518.001

IOCs:
File: 3
Hash: 6

Soft:
android, Telegram

Algorithms:
md5, sha1, sha256, aes

Languages:
java

Links:
https://github.com/devnied/EMV-NFC-Paycard-Enrollment

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные версии NFCGATE, в частности Supercard, нацелены на пользователей Android в России, используя технологию NFC для перехвата данных банковских карт в целях финансового мошенничества. Supercard использует сложные тактические приемы, такие как социальная инженерия, шифрование AES и меры защиты от отладки, что усложняет их обнаружение и анализ. Злоумышленники используют два метода перехвата данных с помощью NFC-транзакций и EMV-чипов, что указывает на постоянные угрозы по мере того, как злоумышленники совершенствуют свои методы.
-----

Вредоносные версии приложения NFCGATE нацелены на пользователей Android в России, что приводит к различным модификациям вредоносного ПО. В мае 2025 года одна из версий, Supercard, была признана серьезной угрозой финансового мошенничества. Supercard использует технологию NFC для перехвата информации о банковских картах и осуществления несанкционированных транзакций. Он собирает конфиденциальные данные, передаваемые с помощью NFC-трафика, и использует тактику социальной инженерии, чтобы обманом заставить пользователей установить его как законное приложение. В отличие от предыдущих версий NFCGATE, продаваемых в Даркнете, Supercard продвигает себя через такие платформы, как Telegram.

Supercard создан на основе исходного кода NFCGATE, но включает в себя значительные изменения. В нем используется JiaGU packager для обфускации и AES-шифрование для своих операций. Реализованы меры по предотвращению отладки, препятствующие динамическому анализу. Вредоносное ПО может имитировать платежные карты и перехватывать данные с помощью высокоуровневых коммуникационных протоколов. После установки оно предлагает пользователям пройти аутентификацию с помощью QR-кода, содержащего учетные данные сервера. Затем оно идентифицирует платежную систему (например, MasterCard, Visa), чтобы подготовиться к перехвату транзакций NFC.

Злоумышленники используют два основных метода: один для перехвата данных NFC, а другой, взаимодействующий с библиотеками поддержки, собирает информацию о картах с EMV-чипов. В настоящее время вредоносная программа не поддерживает российские платежные системы, но это может быстро измениться. Варианты NFCGATE в основном используют два направления атак: считывание/передачу данных NFC-счетчиков и эмуляцию устройств/сервисов для сбора данных. Возможность простой настройки этих приложений подчеркивает постоянную угрозу, исходящую от адаптации вредоносных программ.

#ParsedReport #CompletenessLow
18-06-2025

Protestware in JavaScript UI Toolkits on npm Target Russian Language Sites

https://socket.dev/blog/protestware-on-npm-targets-russian-language-sites

Report completeness: Low

Geo:
Russian, Ukraine, Asia, Russia, Belarusian, Ukrainian, Kazakhstan

TTPs:

IOCs:
File: 7

Functions:
setTimeout

Languages:
javascript

Links:
https://github.com/link-loom/loom-sdk
https://github.com/link-loom/link-loom-react-sdk/tree/main/src
have more...
https://github.com/link-loom/loom-sdk/tree/main/src

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два пакета npm, @link-loom/ui-sdk и @link-loom-react-sdk, содержат функции, которые отключают взаимодействие с русскоязычными посетителями определенных доменов и воспроизводят национальный гимн Украины, нарушая их работу. Этот наглядный пример протестного программного обеспечения подчеркивает риски, связанные со сторонними библиотеками в конфиденциальных приложениях.
-----

Недавние результаты, полученные группой Socket по исследованию угроз, показали, что два пакета npm, @link-loom/ui-sdk и @link-loom-react-sdk, содержат скрытые функции, предназначенные для русскоязычных пользователей при доступе к российским или белорусским доменам. Уязвимые версии варьируются от 1.0.6 до 1.0.99 для первого пакета и от 1.0.100 до 1.0.151 для второго. Эти пакеты включают SweetAlert2, широко используемую библиотеку JavaScript для создания модальных всплывающих окон в веб-приложениях. Разработчики, использующие эти версии, не знают, что пакеты отключают все взаимодействия с русскоязычными посетителями в доменах .ru, .su, .by и кириллических доменах .РФ.

Вредоносная функция активируется, когда пользователь, для которого установлен русский язык браузера, получает доступ к этим доменам по истечении как минимум трех дней с момента их последнего посещения. Скрипт инициирует проверку текущей даты, и если пользователь посещал сайт ранее, он устанавливает задержку в 500 мс, после чего отключает все действия с мышью с помощью `document.body.style.PointerEvents = 'none';`, в результате чего страница перестает отвечать на команды пользователя. В сочетании с этим, национальный гимн Украины воспроизводится непрерывно из-за жестко запрограммированного удаленного MP3-файла, что создает непроизвольные помехи для целевых пользователей, которые не могут остановить воспроизведение звука из-за их ограниченной возможности взаимодействовать со страницей.

Эта функциональность демонстрирует характеристики протестного ПО, предназначенного для воздействия на пользователей, идентифицируемых по их языковым настройкам, эффективно нацеливаясь на постоянных посетителей и щадя тех, кто может случайно перейти на уязвимый домен. Несмотря на кажущуюся безобидность на первый взгляд, эти пакеты несут в себе значительные риски как для разработчиков, так и для пользователей, особенно для русскоязычных пользователей, посещающих государственные веб-сайты или архивный контент. В последний раз пакеты публиковались девять месяцев назад, и хотя заметные изменения в связанном с ними репозитории GitHub произошли совсем недавно, в июне 2025 года, расхождения в структуре папок и управлении версиями вызывают дополнительные опасения. Очевидное отсутствие ссылок на целевые функциональные возможности в коде GitHub предполагает попытку скрыть вредоносное поведение, присущее пакетам npm. Ситуация подчеркивает важность тщательного изучения сторонних библиотек, особенно тех, которые используются в конфиденциальных приложениях.

#ParsedReport #CompletenessHigh
19-06-2025

Analyzing APT Mustang Panda's Latest DLL Sideloading Tactics & Malware Campaign

https://blog.killswitchx7.com/apt-mustang-panda-malware-campaign

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Toneshell
Splatcloak
Lightpipe
Antidebugging_technique
Dllsearchorder_hijacking_technique

Industry:
Military, Ngo, Education, Government

Geo:
China, America, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1055.003, T1056.001, T1059.001, T1070.004, T1083, T1090.002, T1105, T1222.001, T1489, have more...

IOCs:
File: 14
Path: 9
IP: 1
Command: 1
Registry: 1
Url: 2
Hash: 7
Domain: 1

Soft:
chrome, task scheduler, Windows Explorer

Functions:
Get-ChildItem, GetInstallDetailsPayload, WinAPI

Win API:
MessageBox, EnumFontsW, GetTickCount, HeapAlloc

Languages:
powershell

Links:
https://github.com/ajm4n/DLLHound
https://github.com/KillSwitchX7/Live-Malware
have more...
https://github.com/mandiant/capa