#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания "Темные партнеры" нацелена на пользователей Windows и macOS с помощью PayDay Loader, распространяющего инфокрадов, таких как Poseidon Stealer. Он использует методы защиты от "песочницы", сохранение данных с помощью PowerShell и использует подписание на основе сертификатов для распространения, в первую очередь для сбора криптовалюты и конфиденциальных данных.
-----

Было замечено, что недавняя вредоносная кампания, приписываемая неустановленным хакерам, получившим название "Темные партнеры", распространяла вредоносные программы, нацеленные на пользователей Windows и macOS. В кампании используется загрузчик, известный как "PayDay Loader", который в первую очередь облегчает распространение инфокрадов, включая печально известный Poseidon Stealer для macOS. Происхождение этого вредоносного ПО можно проследить по веб-сайтам, имитирующим хорошо известные сервисы искусственного интеллекта и VPN, с заметным акцентом на укрепление доверия пользователей с помощью знакомых брендов.

PayDay Loader, распространяемый через хостинг по адресу download.dianecarson.workers.dev, характеризуется как электронное приложение, способное незаметно загружать дополнительные вредоносные программы на зараженные компьютеры. Он оснащен механизмами защиты от "песочницы", которые позволяют ему обнаруживать и прекращать выполнение в виртуальных средах, тем самым избегая обнаружения. При запуске вредоносная программа использует ссылки на календарь Google для кодирования информации о своем сервере управления (C2). Если он идентифицирует изолированную среду, он прекратит работу и завершит сам себя.

Операционный процесс PayDay Loader включает в себя расшифровку дополнительных полезных данных JavaScript с идентифицированного сервера C2, что напрямую приводит к установке различных типов вредоносных программ, включая Lumma Stealer. Этот тип инфокрадов позволяет собирать конфиденциальную информацию, в частности данные криптовалютных кошельков. Примечательно, что загрузчик создает устойчивость на зараженных компьютерах, выполняя сценарии PowerShell с помощью запланированной задачи, которая запускается при каждом входе пользователя в систему.

Кроме того, Poseidon Stealer, который теперь находится под контролем Dark Partners, нацелен на системы macOS с помощью пользовательских средств запуска DMG. Он использует AppleScript для фильтрации данных, позволяющий получать доступ к важным пользовательским данным, таким как файлы cookie браузера, заметки и файлы кошельков для различных криптовалют. Затем скрытая информация отправляется с помощью HTTP POST-запросов на удаленные серверы злоумышленников.

Оба вредоносных приложения используют подписание на основе сертификатов для облегчения своего распространения. Сообщается, что участники Dark Partners приобретают EV-сертификаты для этой цели, хотя эти сертификаты часто отзываются вскоре после обнаружения, что приводит к временным сбоям в работе кампании. Эти аннулирования помечают сборки как ненадежные, что вынуждает участников либо отключать свои веб-сайты, либо развертывать ранее помеченные сборки, в которых отсутствуют действительные сертификаты.

Главной целью кампании Dark Partners является монетизация украденных данных, в частности, с упором на ликвидацию остатков криптовалюты на кошельках жертв и получение учетных данных с помощью средств infostealer. Этот продолжающийся метод эксплуатации подчеркивает важность повышенной бдительности в области кибербезопасности в отношении обманных онлайн-тактик и потенциальных утечек данных.

#ParsedReport #CompletenessMedium
19-06-2025

Botnets Never Die: Analysis of the RapperBot Botnet

https://blog.xlab.qianxin.com/rapperbot-en/

Report completeness: Medium

Threats:
Rapperbot
Xorddos
Mirai
Ghostnet

Industry:
Iot

Geo:
Canada, Italy, Chinese, Hongkong, China, Ontario, France, Germany

CVEs:
CVE-2023-4473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel nas326 firmware (le5.21\(aazf.14\)c0)

CVE-2021-46229 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink di-7200gv2 firmware (le21.04.09e1)

CVE-2020-9054 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel nas326 firmware (<5.21\(aazf.7\)c0)

CVE-2020-24581 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dsl2888a firmware (<au_2.31_v1.1.47ae55)

CNVD-2021-79445 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1132, T1190, T1498

IOCs:
File: 7
Coin: 1
Email: 1
Hash: 7
IP: 9

Soft:
Deepseek, ZyXEL, twitter

Algorithms:
xor, base64

Functions:
bytearray

Languages:
javascript

Links:
https://github.com/lctseng/2014-Meichu-Hackathon-Team-Soloq/blob/master/General.rb?ref=blog.xlab.qianxin.com
have more...
https://github.com/thirtythreeforty/neolink?ref=blog.xlab.qianxin.com
https://github.com/mcw0/PoC/blob/master/TVT-PoC.py?ref=blog.xlab.qianxin.comhttps://pastebin.com/dfHYSqVz?ref=blog.xlab.qianxin.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RapperBot - ботнет, действующий с 2021 года, известный своими DDoS-атаками и тактикой вымогательства, использующий 32 домена управления. Он использует уязвимости Интернета вещей, в основном полагаясь на слабые пароли и доступ по Telnet. Вредоносная программа использует уникальные методы шифрования с пользовательской расшифровкой для разрешения команд с помощью записей DNS-TXT, что повышает ее оперативную скрытность.
-----

RapperBot - это семейство активных ботнетов, выявленное в июле 2022 года, хотя его деятельность началась в 2021 году. Этот ботнет продемонстрировал значительный оперативный потенциал, что особенно заметно во время атаки на Deepseek в феврале 2025 года, когда с марта того же года было задействовано более 50 000 ботов и около 100 ежедневных целей. Примечательно, что RapperBot начал использовать тактику вымогательства, требуя от жертв "плату за защиту" для предотвращения DDoS-атак.

Инфраструктура ботнета включает в себя использование 32 доменов управления (C2), некоторые из которых остаются незарегистрированными. Для мониторинга его работы и масштабирования были приняты упреждающие меры по регистрации этих неиспользуемых доменов. Анализ хостов ботов, подключенных к этим доменам, позволяет получить представление о распространении и активности сети RapperBot. Ее область применения охватывает множество секторов, в первую очередь, государственное управление, организации социального обеспечения, интернет-платформы, производство и финансовые услуги, при этом значительная часть целей сосредоточена в Китае.

RapperBot использует уязвимости, связанные с устройствами Интернета вещей, которые часто содержат слабые пароли по умолчанию или дефекты встроенного ПО, в том числе сетевые камеры и различные маршрутизаторы. Вредоносное ПО в основном проникает в системы через точки входа в Telnet и известные уязвимости. Его варианты имеют сходство, в основном, с изменениями в структуре данных и методах анализа. Функционально он используется в основном для DDoS-атак, а с октября 2024 года получит дополнительные возможности прокси-сервера.

Отличительной особенностью RapperBot является его метод разрешения домена C2, основанный на записях DNS-TXT, а не на стандартных методах. Вредоносная программа использовала различные форматы записей TXT и, в более новых образцах, произвольный выбор порта из пула из 35 кандидатов вместо использования фиксированных портов. Для шифрования в более ранних версиях RapperBot использовались алгоритмы, похожие на Mirai, которые позже эволюционировали до пользовательских методов дешифрования, повышающих меры безопасности за счет использования нескольких вариантов с чередованием ключей дешифрования.

С марта 2025 года для записей TXT и доменов C2 используется специальный алгоритм дешифрования, в результате чего из уникальной таблицы строк с помощью механизма разделения генерируются 32 потенциальных домена C2. Сетевой протокол RapperBot относительно прост, лишен сложных протоколов шифрования или обмена ключами; он просто использует операцию XOR с одним байтом, используя переменный ключ. Варианты поддерживают незначительные изменения в структуре пакетов для входа в систему, обеспечивая при этом согласованное включение таких важных полей, как имя хоста, источник и IP-адреса, что помогает формировать общую сетевую базу RapperBot.

#ParsedReport #CompletenessMedium
18-06-2025

Italian robbery: they first tried to attack the clients of Russian banks with a malicious Supercard application

https://www.f6.ru/blog/supercard/

Report completeness: Medium

Threats:
Supercard
Nfcgate_tool
Jiagu

Victims:
Bank customers, Android users

Industry:
Financial

Geo:
Russian, Italian, Russia, Italy, American, Australia, Chinese

ChatGPT TTPs:
do not use without manual check
T1040, T1041, T1071.001, T1140, T1204.002, T1406, T1518.001

IOCs:
File: 3
Hash: 6

Soft:
android, Telegram

Algorithms:
md5, sha1, sha256, aes

Languages:
java

Links:
https://github.com/devnied/EMV-NFC-Paycard-Enrollment

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные версии NFCGATE, в частности Supercard, нацелены на пользователей Android в России, используя технологию NFC для перехвата данных банковских карт в целях финансового мошенничества. Supercard использует сложные тактические приемы, такие как социальная инженерия, шифрование AES и меры защиты от отладки, что усложняет их обнаружение и анализ. Злоумышленники используют два метода перехвата данных с помощью NFC-транзакций и EMV-чипов, что указывает на постоянные угрозы по мере того, как злоумышленники совершенствуют свои методы.
-----

Вредоносные версии приложения NFCGATE нацелены на пользователей Android в России, что приводит к различным модификациям вредоносного ПО. В мае 2025 года одна из версий, Supercard, была признана серьезной угрозой финансового мошенничества. Supercard использует технологию NFC для перехвата информации о банковских картах и осуществления несанкционированных транзакций. Он собирает конфиденциальные данные, передаваемые с помощью NFC-трафика, и использует тактику социальной инженерии, чтобы обманом заставить пользователей установить его как законное приложение. В отличие от предыдущих версий NFCGATE, продаваемых в Даркнете, Supercard продвигает себя через такие платформы, как Telegram.

Supercard создан на основе исходного кода NFCGATE, но включает в себя значительные изменения. В нем используется JiaGU packager для обфускации и AES-шифрование для своих операций. Реализованы меры по предотвращению отладки, препятствующие динамическому анализу. Вредоносное ПО может имитировать платежные карты и перехватывать данные с помощью высокоуровневых коммуникационных протоколов. После установки оно предлагает пользователям пройти аутентификацию с помощью QR-кода, содержащего учетные данные сервера. Затем оно идентифицирует платежную систему (например, MasterCard, Visa), чтобы подготовиться к перехвату транзакций NFC.

Злоумышленники используют два основных метода: один для перехвата данных NFC, а другой, взаимодействующий с библиотеками поддержки, собирает информацию о картах с EMV-чипов. В настоящее время вредоносная программа не поддерживает российские платежные системы, но это может быстро измениться. Варианты NFCGATE в основном используют два направления атак: считывание/передачу данных NFC-счетчиков и эмуляцию устройств/сервисов для сбора данных. Возможность простой настройки этих приложений подчеркивает постоянную угрозу, исходящую от адаптации вредоносных программ.

#ParsedReport #CompletenessLow
18-06-2025

Protestware in JavaScript UI Toolkits on npm Target Russian Language Sites

https://socket.dev/blog/protestware-on-npm-targets-russian-language-sites

Report completeness: Low

Geo:
Russian, Ukraine, Asia, Russia, Belarusian, Ukrainian, Kazakhstan

TTPs:

IOCs:
File: 7

Functions:
setTimeout

Languages:
javascript

Links:
https://github.com/link-loom/loom-sdk
https://github.com/link-loom/link-loom-react-sdk/tree/main/src
have more...
https://github.com/link-loom/loom-sdk/tree/main/src

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два пакета npm, @link-loom/ui-sdk и @link-loom-react-sdk, содержат функции, которые отключают взаимодействие с русскоязычными посетителями определенных доменов и воспроизводят национальный гимн Украины, нарушая их работу. Этот наглядный пример протестного программного обеспечения подчеркивает риски, связанные со сторонними библиотеками в конфиденциальных приложениях.
-----

Недавние результаты, полученные группой Socket по исследованию угроз, показали, что два пакета npm, @link-loom/ui-sdk и @link-loom-react-sdk, содержат скрытые функции, предназначенные для русскоязычных пользователей при доступе к российским или белорусским доменам. Уязвимые версии варьируются от 1.0.6 до 1.0.99 для первого пакета и от 1.0.100 до 1.0.151 для второго. Эти пакеты включают SweetAlert2, широко используемую библиотеку JavaScript для создания модальных всплывающих окон в веб-приложениях. Разработчики, использующие эти версии, не знают, что пакеты отключают все взаимодействия с русскоязычными посетителями в доменах .ru, .su, .by и кириллических доменах .РФ.

Вредоносная функция активируется, когда пользователь, для которого установлен русский язык браузера, получает доступ к этим доменам по истечении как минимум трех дней с момента их последнего посещения. Скрипт инициирует проверку текущей даты, и если пользователь посещал сайт ранее, он устанавливает задержку в 500 мс, после чего отключает все действия с мышью с помощью `document.body.style.PointerEvents = 'none';`, в результате чего страница перестает отвечать на команды пользователя. В сочетании с этим, национальный гимн Украины воспроизводится непрерывно из-за жестко запрограммированного удаленного MP3-файла, что создает непроизвольные помехи для целевых пользователей, которые не могут остановить воспроизведение звука из-за их ограниченной возможности взаимодействовать со страницей.

Эта функциональность демонстрирует характеристики протестного ПО, предназначенного для воздействия на пользователей, идентифицируемых по их языковым настройкам, эффективно нацеливаясь на постоянных посетителей и щадя тех, кто может случайно перейти на уязвимый домен. Несмотря на кажущуюся безобидность на первый взгляд, эти пакеты несут в себе значительные риски как для разработчиков, так и для пользователей, особенно для русскоязычных пользователей, посещающих государственные веб-сайты или архивный контент. В последний раз пакеты публиковались девять месяцев назад, и хотя заметные изменения в связанном с ними репозитории GitHub произошли совсем недавно, в июне 2025 года, расхождения в структуре папок и управлении версиями вызывают дополнительные опасения. Очевидное отсутствие ссылок на целевые функциональные возможности в коде GitHub предполагает попытку скрыть вредоносное поведение, присущее пакетам npm. Ситуация подчеркивает важность тщательного изучения сторонних библиотек, особенно тех, которые используются в конфиденциальных приложениях.

#ParsedReport #CompletenessHigh
19-06-2025

Analyzing APT Mustang Panda's Latest DLL Sideloading Tactics & Malware Campaign

https://blog.killswitchx7.com/apt-mustang-panda-malware-campaign

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Toneshell
Splatcloak
Lightpipe
Antidebugging_technique
Dllsearchorder_hijacking_technique

Industry:
Military, Ngo, Education, Government

Geo:
China, America, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1055.003, T1056.001, T1059.001, T1070.004, T1083, T1090.002, T1105, T1222.001, T1489, have more...

IOCs:
File: 14
Path: 9
IP: 1
Command: 1
Registry: 1
Url: 2
Hash: 7
Domain: 1

Soft:
chrome, task scheduler, Windows Explorer

Functions:
Get-ChildItem, GetInstallDetailsPayload, WinAPI

Win API:
MessageBox, EnumFontsW, GetTickCount, HeapAlloc

Languages:
powershell

Links:
https://github.com/ajm4n/DLLHound
https://github.com/KillSwitchX7/Live-Malware
have more...
https://github.com/mandiant/capa

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, code: 9, table: 1, dump: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская группа кибершпионажа Mustang Panda нацелена на организации в Европе и Восточной Азии, используя стороннюю загрузку библиотек DLL с помощью фишинга. Их вредоносная программа Lightpipe внедряется с помощью легитимного двоичного файла, обеспечивая постоянство и используя обходные методы, такие как драйвер SplatCloak, для отключения решений EDR.
-----

Связанная с Китаем группа кибершпионажа "Мустанг Панда" продолжает представлять серьезную угрозу в 2025 году, поскольку нацелена на правительственные, военные и неправительственные организации, главным образом в Европе и Восточной Азии, с акцентом на Мьянму. Их фирменный метод атаки заключается в дополнительной загрузке библиотек DLL, где они используют методы фишинга с использованием, казалось бы, официальных документов, которые инициируют многоэтапный процесс заражения. Недавние усовершенствования в их наборе инструментов демонстрируют их намерение избежать обнаружения, включая обновления бэкдора TONESHELL и внедрение новых инструментов для бокового перемещения и кейлоггинга. Примечательной разработкой является драйвер SplatCloak, который предназначен для отключения решений обнаружения конечных точек и реагирования на них (EDR).

В последней кампании группы используется вредоносная программа Lightpipe, использующая законный подписанный двоичный файл, chrome_elf.dll который загружается из, казалось бы, безобидного исполняемого файла. После запуска вредоносная библиотека DLL переименовывается и копируется в каталог ProgramData, обеспечивая сохранение с помощью планировщика задач. Этому способствует следующий процесс schtasks.exe, гарантирующий, что вредоносная программа сохранит свое присутствие даже после перезагрузки системы. Операция включает в себя внесение изменений в реестр для обеспечения сохраняемости ключа, что еще больше повышает шансы вредоносной программы на выживание в системе.

Анализ chrome_elf.dll выявляет несколько возможностей вредоносного ПО, в том числе возможность выключать компьютер жертвы сразу после запуска, эффективно уничтожая все запущенные программы. Вредоносное ПО использует методы защиты от отладки наряду с традиционными функциями выделения памяти, что указывает на его адаптацию к современной тактике уклонения. Полный жизненный цикл заражения начинается с фишинговых электронных писем, которые приводят к извлечению и запуску двоичного файла, что в конечном итоге приводит к дополнительной загрузке вредоносной библиотеки DLL.

Дальнейшие исследования инфраструктуры Mustang Panda выявили активные вредоносные IP-адреса и связанные с ними образцы вредоносных программ со схожими атрибутами, но различными методами выполнения, в том числе в некоторых случаях зависящими исключительно от постоянства работы реестра. Злоумышленник продолжает полагаться на классическую тактику дополнительной загрузки библиотек DLL, применяя при этом современные стратегии уклонения, о чем свидетельствует скрытный характер его операций и использование облачных платформ хранения данных, таких как Google Drive, для размещения вредоносных файлов.

Этот изощренный противник подчеркивает важность сохранения бдительности в отношении попыток скрытого фишинга и использования надежных стратегий защиты конечных точек для снижения рисков дополнительной загрузки библиотек DLL и связанных с этим хакерских атак. Такие инструменты, как DLLHound, могут помочь в выявлении отсутствующих библиотек DLL, которые могут указывать на потенциальные уязвимости в запущенных процессах, что еще больше помогает в обнаружении таких сложных угроз. Подробное описание поведения вредоносного ПО в сочетании с его передовыми методами защиты от атак иллюстрирует непрерывную эволюцию киберопераций Mustang Panda и подчеркивает постоянный риск, который они представляют для критически важных организаций.

#ParsedReport #CompletenessHigh
19-06-2025

Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication

https://www.proofpoint.com/us/blog/threat-insight/amatera-stealer-rebranded-acr-stealer-improved-evasion-sophistication

Report completeness: High

Threats:
Amatera_stealer
Acr_stealer
Lumma_stealer
Clearfake
Etherhiding_technique
Rhadamanthys
Clickfix_technique
Fakecaptcha_technique
Null-amsi_tool
Dead_drop_technique

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.012, T1059.001, T1071.001, T1090.001, T1105, T1140, T1218.005, T1562.001, have more...

IOCs:
File: 2
Domain: 4
Hash: 6
Url: 3
Coin: 1
IP: 2

Soft:
Telegram, Event Tracing for Windows, Steam

Crypto:
binance

Algorithms:
xor, base64

Functions:
by, Write-Host, CreateTcpSocket, CreateEvent

Win API:
AcquireCredentialsHandleA, InitializeSecurityContextA, EncryptMessage, DecryptMessage, ShellExecuteA, NtCreateFile, NtQueryDirectoryFile

Languages:
javascript, powershell

Platforms:
x64, x86

Links:
https://github.com/BlackShell256/Null-AMSI
https://github.com/CBLabresearch/Clematis

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amatera Stealer, ребрендированный вариант ACR Stealer, работает как вредоносное ПО как услуга с использованием передовых методов обхода, включая обмен данными через NTSockets и жестко закодированные CDN-IP-адреса. Он использует сложные веб-технологии и тактику социальной инженерии для распространения, нацеливаясь на конфиденциальные данные из браузеров и кошельков в обход таких мер безопасности, как AMSI.
-----

Proofpoint недавно обнаружила новый вариант вредоносной программы-похитителя, известный как Amatera Stealer, который является ребрендинговой версией ACR Stealer. Amatera Stealer позиционируется как вредоносное ПО как услуга (MaaS) и был разработан с расширенными функциональными возможностями, включая улучшенные возможности антианализа. Вредоносная программа распространяется с помощью сложных веб-внедрений и необычных цепочек атак, значительно совпадая по коду со своим предшественником, ACR Stealer. Примечательно, что в последних версиях были отменены функции Steam и Telegram для управления (C2).

Amatera Stealer представляет несколько технических новшеств, в том числе использование NTSockets для связи со своим сервером C2 вместо обычных сетевых API Windows, что повышает его скрытность. Вредоносная программа устанавливает контакт со своим C2 по протоколу HTTP вскоре после запуска, запрашивая конфигурацию в формате JSON, которая направляет ее последующие действия. Чтобы еще больше усложнить обнаружение, Amatera избегает разрешения DNS, подключаясь напрямую к жестко закодированному общедоступному IP-адресу CDN, связанному с Cloudflare, и использует сложные HTTP-запросы, в которых используется неразрешаемый домен в заголовке хоста.

Метод распространения Amatera Stealer упрощается с помощью ClearFake, операции, которая внедряет вредоносные скрипты на законные сайты. Это включает в себя блокчейн-смарт-контракты с использованием технологии EtherHiding, которая выполняет вторичный скрипт, генерирующий поддельные наложения капчи, чтобы ввести пользователей в заблуждение и заставить их непреднамеренно предоставлять конфиденциальную информацию. Другой метод, называемый ClickFix, сочетает в себе тактику социальной инженерии с командами PowerShell, чтобы гарантировать соответствие пользователя требованиям к выполнению вредоносных программ. Этот метод открывает "окно проверки", в котором фактически выполняется сценарий PowerShell, который восстанавливает и запускает закодированную полезную нагрузку, отключая ведение журнала и обходя многочисленные меры безопасности, включая AMSI и ETW.

Amatera Stealer предназначен для извлечения конфиденциальных данных из веб-браузеров, криптовалютных кошельков и приложений для обмена сообщениями. Он использует передовые механизмы внедрения шелл-кода для получения доступа к целевым файлам, что позволяет избежать обнаружения конечными устройствами. Обработанная информация агрегируется и впоследствии передается обратно на сервер C2 посредством закодированных HTTP POST-запросов.

Разработка Amatera Stealer подчеркивает растущую угрозу, исходящую от похитителей информации, особенно в свете усиления конкуренции из-за сбоев в работе других популярных решений MAAS, таких как Lumma Stealer. Поскольку вредоносное ПО продолжает активно развиваться, оно использует изощренные тактики обхода, которые требуют принятия надежных мер кибербезопасности. Организациям крайне важно усилить свою защиту от подобных угроз, повышая уровень информированности пользователей о методах социальной инженерии и ограничивая выполнение несанкционированных сценариев.

#ParsedReport #CompletenessLow
19-06-2025

Threat Insight: Cybercriminals Abusing Vercel to Deliver Remote Access Malware

https://cyberarmor.tech/threat-insight-cybercriminals-abusing-vercel-to-deliver-remote-access-malware/

Report completeness: Low

Threats:
Logmein_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1219, T1566, T1566.002, T1584.006

IOCs:
File: 1
Hash: 3

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует платформу Vercel для распространения вредоносной версии LogMeIn, обеспечивающей удаленный доступ к зараженным системам. В ней используется поддельный Adobe PDF Viewer, чтобы обманом заставить пользователей загружать вредоносное ПО, повысить легитимность и избежать обнаружения.
-----

Компания CyberArmor выявила недавнюю фишинговую кампанию, которая использует Vercel, легальную платформу для размещения веб-сайтов, для распространения вредоносной версии LogMeIn. Киберпреступники злоупотребляют этим законным инструментом удаленного доступа для получения полного контроля над системами жертв. Фишинговые электронные письма, распространяемые этими хакерами, содержат ссылки, которые направляют получателей на вредоносную веб-страницу, размещенную на Vercel. Эта страница имитирует программу просмотра Adobe PDF и предлагает посетителям загрузить то, что выглядит как подлинный документ.

После выполнения файла он устанавливается в целевую систему и инициирует подключение к серверу LogMeIn. Это подключение предоставляет злоумышленникам удаленный доступ к взломанному компьютеру, облегчая дальнейшую эксплуатацию. Одной из характерных особенностей этой атаки является злоупотребление авторитетной платформой — использование доменов под *.vercel.app повышает видимость легитимности фишингового сайта, тем самым повышая вероятность успешного заражения. Кроме того, поскольку LogMeIn является легальным приложением, его использование сводит к минимуму риски обнаружения традиционным программным обеспечением безопасности, облегчая хакерам обход средств защиты.

Кампания в значительной степени опирается на тактику социальной инженерии, эффективно вводя жертв в заблуждение, заставляя их поверить в то, что поддержка, связанная с инструментом, является подлинной. Эта манипуляция приводит к тому, что люди невольно устанавливают инструмент, что еще больше помогает злоумышленникам в их попытках взломать системы. В целом, сочетание законного использования платформы, хорошо известного программного приложения и убедительной социальной инженерии создает мощный вектор угрозы, требующий повышенной осведомленности и осторожности потенциальных целей.

#ParsedReport #CompletenessMedium
19-06-2025

Uncovering a Tor-Enabled Docker Exploit

https://www.trendmicro.com/ru_ru/research/25/f/tor-enabled-docker-exploit.html

Report completeness: Medium

Threats:
Xmrig_miner
Masscan_tool
Libpcap_tool
Coinminer
Malxmr_miner

Industry:
Healthcare, Critical_infrastructure

TTPs:
Tactics: 6
Technics: 10

IOCs:
IP: 1
Hash: 4
Url: 3

Soft:
Docker, alpine, curl, Unix, Linux

Algorithms:
base64