#ParsedReport #ExtractedSchema

Classified images:
code: 33, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 июня 2025 года криптовалютный фонд стал жертвой атаки социальной инженерии, которая привела к загрузке вредоносного расширения Zoom. Используемый AppleScript "zoom_sdk_support.scpt" перенаправлялся на вредоносную полезную нагрузку, что позволяло использовать постоянный бэкдор "Telegram 2", который собирал данные хоста и выполнял команды. Атака, приписываемая северокорейской APT-подгруппе TA444, иллюстрирует растущий риск для систем macOS, особенно в таких дорогостоящих секторах, как криптовалюты.
-----

11 июня 2025 года Huntress сообщила об инциденте с безопасностью, связанном с вредоносным расширением Zoom, загруженным сотрудником криптовалютного фонда. Вторжение началось с атаки социальной инженерии через Telegram, когда злоумышленник манипулировал жертвой, заставляя ее присоединиться к поддельному собранию Zoom с участием фальшивых руководителей компании. Во время встречи жертву заставили загрузить AppleScript, помеченный как расширение Zoom, что в конечном итоге послужило первоначальным средством компрометации.

AppleScript, названный "zoom_sdk_support.scpt", якобы перенаправлял пользователя на законную страницу Zoom SDK, но был разработан для загрузки полезной нагрузки с вредоносного сайта. Эта полезная нагрузка была структурирована таким образом, чтобы отключить ведение журнала истории bash и проверить наличие Rosetta 2 в системе пользователя, чтобы облегчить выполнение двоичных файлов x86_64 на Apple Silicon. Последующие компоненты вредоносного ПО включали в себя основной бэкдор, называемый "Root Troy V4", и множество связанных с ним двоичных файлов, используемых для различных вредоносных действий, таких как кейлоггинг, скрытый сбор данных и кража криптовалюты.

Основное выявленное вредоносное ПО, "Telegram 2", действует как постоянный бэкдор, который устанавливает связь со своим сервером управления (C2). Он собирает информацию о зараженном хосте и периодически отправляет собранные данные обратно на сервер C2, что, как сообщается, является тактикой, применявшейся в предыдущих кампаниях BlueNoroff. Вредоносное ПО облегчает выполнение команд несколькими способами, включая удаленное выполнение AppleScripts и команд оболочки.

Кроме того, кейлоггер, написанный на Objective-C, используется для отслеживания нажатий клавиш и активности в буфере обмена, в то время как специализированный инфокрад, получивший название "КриптоБот", сосредоточен на сборе информации, связанной с криптовалютой, из браузеров, установленных на устройстве жертвы. Этот похититель проверяет наличие расширений криптовалютного кошелька и систематически извлекает конфиденциальные данные.

Атака иллюстрирует изощренный подход северокорейской APT—подгруппы TA444 (также известной как BlueNoroff), которая все чаще нацеливается на системы macOS, которые исторически считались менее уязвимыми, чем Windows. Уникальные методы, применяемые для борьбы с macOS, включают широкое использование AppleScript, развертывание сложной полезной нагрузки с помощью внедрения процессов и вредоносных скриптов, адаптированных для обработки и выполнения файлов macOS. Инцидент подчеркивает растущую угрозу для сред macOS, особенно для тех, кто работает в таких дорогостоящих секторах, как криптовалюта. Обучение сотрудников распознаванию тактик социальной инженерии имеет решающее значение для предотвращения подобных целенаправленных атак.

#ParsedReport #CompletenessHigh
22-06-2025

Androxgh0st Continues Exploitation: Operators Compromise a US University For Hosting C2 Logger

https://www.cloudsek.com/blog/androxgh0st-continues-exploitation-operators-compromise-a-us-university-for-hosting-c2-logger

Report completeness: High

Threats:
Androxgh0st
Spring4shell
Hex2bin
Sqlmap_tool

Victims:
University of california, san diego, Jamaican events aggregator platform, Usa basketball men's u19 national team, Academic institutions, Public domains

Industry:
Critical_infrastructure, Education, Iot

Geo:
California, Usa

CVEs:
CVE-2021-21881 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lantronix premierwave 2050 firmware (8.9.0.0)

CVE-2022-22965 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware spring framework (<5.2.20, <5.3.18)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup maker (<1.8.13)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2017-5638 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (<2.3.32, <2.5.10.1)

CVE-2020-10650 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fasterxml jackson-databind (le2.9.10.4)

CVE-2020-9548 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fasterxml jackson-databind (<2.7.9.7, <2.8.11.6, <2.9.10.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1105, T1190, T1505.003

IOCs:
Domain: 42
IP: 1
File: 3
Hash: 4

Soft:
Apache Shiro, WordPress, Unix, Apache Struts, curl, Apache Struts2

Algorithms:
md5

Functions:
e, __destruct

Languages:
php, java

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Androxgh0st использует уязвимости для удаленного выполнения кода и криптомайнинга, ориентируясь на такие платформы, как WordPress и Apache. Он использует веб-оболочку PHP с запутанным кодом для RCE и демонстрирует передовые технологии, используя внедрение команд и различные векторы атак для компрометации систем. Активный мониторинг запутанной полезной нагрузки и подозрительных действий имеет важное значение для служб безопасности.
-----

Ботнет Androxgh0st продемонстрировал значительную эволюцию с момента своего создания в 2023 году, используя широкий спектр уязвимостей для облегчения удаленного выполнения кода (RCE) и криптомайнинга. Недавние данные указывают на то, что ботнет скомпрометировал поддомен Калифорнийского университета в Сан-Диего, используя его для размещения панелей управления регистраторами (C2). Ботнет нацелен на различные платформы, включая Apache Shiro, Spring framework, WordPress и устройства Интернета вещей, используя неправильно настроенные серверы и известные уязвимости.

Ботнет работает через веб-оболочку PHP, которая подавляет ошибки и выполняет запутанный код, используя определенную структуру полезной нагрузки, что позволяет ему выполнять RCE с помощью POST-запросов. Поведение полезной нагрузки показывает, что она определяет класс с методами, которые позволяют выполнять произвольный PHP-код, отправляемый с помощью параметров POST, эффективно функционируя как классическая веб-оболочка. Дизайн этой веб-оболочки на PHP включает методы обфускации, такие как ROT13, чтобы избежать обнаружения.

Первоначальный доступ осуществляется с помощью различных методов, включая внедрение команд и известные уязвимости в таких компонентах, как плагин "Popup Maker" для WordPress и функция WLANScanSSID в устройствах Lantronix. Ботнет использует широкий спектр направлений атак, включая сложные программы, нацеленные на платформу Apache Struts2, уязвимости в интерфейсе именования и каталогов Java (JNDI) в Apache Shiro и критическую уязвимость Spring4Shell. Эти попытки отражают высокий уровень сложности и адаптивности операций ботнета.

Усилия CloudSEK по мониторингу выявили тревожный рост числа уязвимостей, используемых в качестве оружия: с августа 2024 года было обнаружено более двадцати таких уязвимостей, что означает увеличение их арсенала примерно на 50%. Журналы C2 содержат доказательства, указывающие на постоянную эксплуатацию и внедрение вредоносных команд, предназначенных для утечки конфиденциальных данных или управления системами в неблаговидных целях, таких как криптомайнинг.

Специалистам по безопасности настоятельно рекомендуется принять упреждающие меры для обнаружения действий Androxgh0st, такие как выявление веб-оболочек PHP, использующих методы обфускации, такие как eval(hex2bin(...)), мониторинг подозрительных параметров POST и тщательный анализ журналов сервера на предмет признаков попыток использования JNDI/RMI. Наличие скрытой полезной нагрузки и общих строк ввода команд также должно вызывать тревогу. Этот растущий уровень хакерских атак подчеркивает необходимость того, чтобы организации сохраняли бдительность и реагировали на возникающие уязвимости и тактику, применяемую хакерами, подобными Androxgh0st.

#ParsedReport #CompletenessLow
22-06-2025

PowerShell loads SectopRAT & HijackLoader

https://apophis133.medium.com/powershell-loads-sectoprat-hijack-loader-c6f723de080b

Report completeness: Low

Threats:
Sectop_rat
Hijackloader

ChatGPT TTPs:
do not use without manual check
T1041, T1053.005, T1059.001, T1070.004, T1105, T1119, T1562.001

IOCs:
Url: 4
Hash: 1
File: 8
Command: 1
Domain: 1

Soft:
windows defender, Task Scheduler

Algorithms:
sha256, zip

Functions:
Set-Content

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрипт-дроппер на базе PowerShell, обнаруженный в ходе анализа вредоносных программ, отключает средства контроля безопасности, загружает SectopRAT и HiJack Loader, собирает информацию, такую как внешний IP-адрес жертвы, и удаляет следы своей деятельности, чтобы избежать обнаружения. Он повышает скрытность за счет создания исключений в защитнике Windows и работает с помощью загрузки сжатых файлов, сохраняя постоянство за счет проверки запланированных задач.
-----

В ходе рутинного анализа вредоносных программ был идентифицирован скрипт-дроппер на базе PowerShell, который поставляется из вредоносного домена управления (C2). Этот скрипт предназначен для манипулирования настройками безопасности путем отключения различных элементов управления безопасностью в системе. Он работает путем загрузки двух полезных программ: SectopRAT и HiJack Loader, которые используются для дальнейших вредоносных действий, включая вывоз данных. После выполнения своих основных функций скрипт гарантирует, что он удалит все следы своей деятельности, чтобы избежать обнаружения.

Чтобы еще больше повысить скрытность, скрипт dropper создает исключения в защитнике Windows для всего диска C и двух конкретных процессов, которые часто становятся объектами атак вредоносных программ. Эта тактика является частью более широкой стратегии, направленной на то, чтобы избежать обнаружения программным обеспечением безопасности. Вредоносная программа выполняет рекогносцировку, собирая важную информацию, такую как внешний IP-адрес и имя пользователя жертвы, а также проверяя наличие существующей запланированной задачи под названием "MSSecurity". Результаты этой рекогносцировки документируются в файле result.txt.

Операцию можно разбить на несколько этапов. На начальном этапе программа управляет обходом защиты, добавляя исключения в Защитник Windows. Доставка вредоносного ПО осуществляется путем загрузки сжатых файлов с пометками NC.zip и RD.zip. Для выполнения запускается скрипт S-D.exe, извлеченный из этих архивов. На этапах разведки и эксфильтрации программа-обработчик собирает внешний IP-адрес и имя пользователя жертвы и передает эту информацию обратно на сервер C2. Чтобы сохранить постоянство, она запрашивает у планировщика задач задачу с именем MSSecurity. Наконец, для очистки скрипт удаляет загруженные полезные файлы, результаты своей разведки и, в конечном счете, самого себя.

Этот сценарий PowerShell, по-видимому, функционирует как загрузчик 1-го этапа или средство обеспечения полезной нагрузки, закладывая основу для последующих атак путем развертывания извлеченных полезных данных. Сочетание тактики уклонения, сбора информации и последующей очистки подчеркивает сложность работы этого вредоносного ПО и текущие проблемы, связанные с противодействием таким хакерам.

#ParsedReport #CompletenessLow
22-06-2025

Analysis of a Malicious WordPress Plugin: The Covert Redirector

https://blog.sucuri.net/2025/06/analysis-of-a-malicious-wordpress-plugin-the-covert-redirector.html

Report completeness: Low

Victims:
Website owners

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1102, T1189, T1190, T1204.002, T1573.001

IOCs:
File: 1
Url: 2

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный плагин "wordpress-player.php" скомпрометировал 26 веб-сайтов, используя wp_footer для внедрения скрытых элементов видео, что позволило избежать обнаружения администраторами сайта. Он устанавливает WebSocket-соединение с сервером C2 для контроля в режиме реального времени и перенаправляет пользователей на вредоносные сайты, подвергая риску безопасность пользователей и доверие к сайту.
-----

Недавнее расследование неожиданных перенаправлений, с которыми сталкивались посетители веб-сайта, выявило вредоносный плагин, ответственный за проблему. Было обнаружено, что этот плагин под названием "wordpress-player.php" скомпрометировал по меньшей мере 26 различных веб-сайтов, вероятно, распространяясь через пиратские или иным образом скомпрометированные установки. Выдавая себя за законные компоненты WordPress с ложной атрибуцией “WordPress Core”, злоумышленник стремился избежать обнаружения администраторами сайта.

Взломанный плагин использует функцию wp_footer, внедряя свои элементы JavaScript и HTML в нижний колонтитул каждой страницы на зараженных сайтах. Важно отметить, что вредоносное ПО разработано таким образом, чтобы оно не запускалось для зарегистрированных пользователей, таких как администраторы сайта или редакторы. Он скрывает свой видеоплеер, используя специальные атрибуты стиля, чтобы он оставался невидимым и находился за пределами экрана, а также использует настройки автозапуска и отключения звука для бесшумного показа видео в фоновом режиме. Видео, полученное с подозрительного домена, служит в основном для создания мошеннических показов, а не для предоставления какого-либо значимого контента.

Ключевым элементом функциональности вредоносного ПО является компонент JavaScript, который устанавливает постоянное соединение WebSocket с удаленным сервером управления (C2). Это соединение позволяет злоумышленникам отправлять новые URL-адреса для перенаправления и управлять воспроизведением скрытого видео. Наличие этого канала C2 позволяет манипулировать поведением веб-сайта в режиме реального времени, что приводит к значительным рискам как для владельцев сайта, так и для его посетителей.

Основная проблема, связанная с этим вредоносным ПО, заключается в несанкционированном перенаправлении трафика, которое приводит посетителей на внешние, потенциально опасные веб-сайты. Это подрывает доверие пользователей и подрывает авторитет зараженного сайта. Кроме того, частые переадресации могут ухудшить рейтинг в поисковых системах, что может привести к занесению веб-сайта в черный список. Репутация сайта страдает, поскольку пользователи могут воспринимать его как скомпрометированный, что приводит к снижению вовлеченности и доверия к нему. Кроме того, перенаправленные пользователи могут стать объектами попыток фишинга, вредоносной рекламы, использования наборов эксплойтов или скачивания с компьютера, что представляет серьезную угрозу безопасности. В целом, вредоносное ПО не только нарушает техническую целостность веб-сайтов, но и представляет ощутимую угрозу безопасности пользователей.

#ParsedReport #CompletenessLow
22-06-2025

Lumma meets LolzTeam

https://intelinsights.substack.com/p/lumma-meets-lolzteam

Report completeness: Low

Threats:
Lumma_stealer
Traffer_technique

Industry:
E-commerce, Entertainment, Financial

Geo:
France, Germany, Italy, Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1078, T1555.003, T1566, T1583.001

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Несмотря на скоординированные действия ФБР и Microsoft, инфокрад Lumma продолжает свою деятельность, включая продажу скомпрометированных данных на различных платформах. Его инфраструктура организована и доступна, включая специальную страницу продаж и каналы поддержки, что указывает на устойчивую угрозу в экосистеме киберпреступности.
-----

21 мая скоординированная операция с участием ФБР, подразделения Microsoft по борьбе с цифровыми преступлениями и различных международных партнеров была нацелена на инфраструктуру инфокрадов Lumma, в результате чего был успешно выведен из строя один из самых активных инфокрадов в экосистеме киберпреступности. После операции, в результате которой были захвачены тысячи доменов, ожидалось, что Lumma исчезнет. Однако, вопреки этому мнению, данные свидетельствуют о продолжающейся деятельности и жизнеспособности Lumma.

Несмотря на удаление, разработчики Lumma заявили о решимости продолжать свою работу. Вредоносное ПО остается функциональным, о чем свидетельствует продолжающаяся активность бота Lumma Logs Market, который продолжает регистрировать время заражения после завершения операции. Судя по журналам, Lumma - это не просто устаревший штамм, а активно разрабатываемый инфокрад. Это подтверждается самими журналами вредоносных программ, в которых указывается конкретная версия инфокрада, используемая при заражении.

Инфраструктура Lumma infostealer организована и доступна, включая специальную страницу для продажи и получения информации, включая спецификации вредоносного ПО, такие как тип сборки, язык программирования и размер. Эта информация легко доступна на странице, не требующей регистрации пользователя, что указывает на низкий барьер для входа потенциальных покупателей. Журналы с подробным описанием скомпрометированных данных — от паролей до файлов cookie — активно продаются, и покупатели могут фильтровать журналы по различным критериям, включая типы учетных данных и географическую направленность.

Существуют каналы поддержки, помогающие пользователям совершать покупки и пополнять счета, что еще раз демонстрирует хорошо зарекомендовавшую себя систему продаж. Кроме того, появился резервный канал под названием “Lumma”, который демонстрирует адаптивность в ответ на давление регулирующих органов на их основные операции.

Важно отметить, что анализ журналов вредоносных программ выявляет ссылки на внешних участников и торговые площадки, включая Lolzteam Marketplace (LZT), известный русскоязычный форум киберпреступников. Этот форум способствует различным видам киберпреступной деятельности, включая распространение вредоносных программ через взломанные аккаунты в социальных сетях и торговлю украденными данными. Деятельность на LZT напрямую связана с оперативными потребностями инфокрадов, расширяя их возможности по монетизации скомпрометированных учетных данных.

Другой известный Telegram-канал, получивший название Russia 34, служит торговой площадкой для регистрации, ориентированной на верифицированные аккаунты, полученные в результате глобальных операций infostealer. Этот канал свидетельствует об обширном и взаимосвязанном характере современных операций по борьбе с киберпреступностью, иллюстрируя, как созданные вредоносные сети поддерживают оперативную устойчивость и избыточность, зачастую более эффективно, чем традиционные бизнес-структуры. В целом, текущая деятельность, связанная с Lumma, свидетельствует о серьезной и адаптируемой угрозе, подчеркивая постоянные проблемы, создаваемые инфокрадами.

#ParsedReport #CompletenessMedium
23-06-2025

SparkKitty, SparkCats little brother: A new Trojan spy found in the App Store and Google Play

https://securelist.com/sparkkitty-ios-android-malware/116793/

Report completeness: Medium

Threats:
Sparkkitty
Sparkcat

Victims:
Individual users

Industry:
Entertainment

Geo:
Chinese, China, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1056.001, T1071.001, T1119, T1204.002, T1222.001, T1406, T1407, T1409, have more...

IOCs:
File: 6
Url: 20
IP: 5
Domain: 2
Hash: 54
Coin: 1

Soft:
Google Play, Android, TikTok, OpenSSL

Algorithms:
deflate, aes-256, gzip, md5, base64

Functions:
readByteArray

Languages:
kotlin, objective_c, java

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская кампания SparkCat нацелена на криптовалютные кошельки, внедряя вредоносное ПО в приложения на iOS и Android. Она использует распознавание текста для извлечения изображений, содержащих конфиденциальные данные, особенно начальные фразы, и использует модифицированные библиотеки для обхода мер безопасности. В кампании используются официальные магазины приложений, что создает серьезные риски для пользовательских данных.
-----

В январе 2025 года была выявлена шпионская кампания SparkCat, нацеленная на криптовалютные кошельки путем внедрения вредоносного ПО в приложения из официальных каналов, таких как Google Play и App Store. Программа-шпион активируется при взаимодействии пользователя с экранами чата службы поддержки, запрашивая доступ к галерее устройства и используя оптическое распознавание символов (OCR) для фильтрации изображений, особенно тех, которые содержат начальные фразы криптокошелька. Вредоносное ПО поражает как iOS, так и Android.

В магазины приложений проникли новые версии, маскирующие вредоносные программы под популярные платформы для iOS и включающие версии Java и Kotlin для Android. С февраля 2024 года эти версии также используют распознавание текста для кражи целевых изображений. Были обнаружены модифицированные приложения TikTok для обеих платформ, использующие корпоративные профили настройки для обхода ограничений App Store и вызывающие ненормальные запросы на доступ к фотогалерее.

Архитектура шпионского ПО включает в себя двухэтапный процесс: проверку файла конфигурации для взаимодействия с сервером C2, а затем поиск и загрузку изображений. Вредоносное ПО использует связанные запросы GET и PUT для извлечения данных. Кроме того, в ходе кампании были обнаружены мошеннические страницы, предлагающие вредоносные приложения в формате PWA, повторяющие предыдущую тактику и нацеленные на контент, связанный с криптовалютой.

APK-приложения для Android используют распознавание текста с помощью набора ML Kit от Google для идентификации изображений и эксфильтрации. Кампания нацелена преимущественно на конфиденциальные данные в Юго-Восточной Азии и Китае, выявляя уязвимости в экосистеме распространения приложений, где официальные магазины могут распространять вредоносное ПО.

#ParsedReport #CompletenessMedium
24-06-2025

Hot bait in Taiwan Strait! Wangsai Group combines 0day and ClickOnce technology to conduct espionage activities

https://www.ctfiot.com/258275.html

Report completeness: Medium

Actors/Campaigns:
Wangsai (motivation: cyber_espionage)
Apt-q-14 (motivation: cyber_espionage)
Camouflaged_hunter (motivation: cyber_espionage)
Apt-q-15 (motivation: cyber_espionage)
Darkhotel (motivation: cyber_espionage)

Threats:
Process_injection_technique
Zipperdown_vuln

Victims:
Northeast asian intelligence agencies

Geo:
Asian, China, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1190, T1204.002, T1218.011, T1566.002, T1574.001, T1574.002

IOCs:
File: 10
Hash: 3
Domain: 1
Url: 1

Soft:
process explorer, Android, WeChat

Functions:
CreateObject

Win API:
ResumeThread, CreateRemoteThread, LoadLibraryW

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-14, связанный с организацией DarkHotel, нацелен на пользователей в Китае с помощью фишинга с использованием технологии CilckOnce и уязвимости нулевого дня XSS в платформе электронной почты. Это приводит к запуску троянской программы csrss32.exe и последующим манипуляциям с процессами для повышения привилегий. Кроме того, группа использует уязвимости Android, такие как "ZipperDown", что облегчает перезапись важных файлов.
-----

Организация Wantshu, известная как APT-Q-14, является хакерской организацией, имеющей связи в Северо-Восточной Азии и с другими группами, такими как APT-Q-12 и APT-Q-15, которые входят в более широкую структуру организации DarkHotel. Исторически сложилось так, что эта группа использовала технологию CilckOnce для фишинговой деятельности, нацеленной конкретно на пользователей в Китае. Несмотря на ее использование, вероятность успеха попыток фишинга остается относительно низкой из-за требований к взаимодействию с пользователем.

Чтобы решить эту проблему, организация Wantshu использовала уязвимость нулевого дня XSS (межсайтовый скриптинг) в широко используемой платформе электронной почты, которая с тех пор была исправлена. Эта уязвимость XSS позволяет автоматически запускать скрипт CilckOnce, когда жертва получает фишинговое электронное письмо. После открытия электронное письмо выдается за уведомление об обновлении от Yahoo Current Affairs News, что повышает вероятность того, что жертва обратится к нему. Это фишинговое электронное письмо приводит к запуску вредоносного троянского файла с именем csrss32.exe.

Последующие операции включают в себя создание процесса под названием svchost.exe, в который вводится шеллкод. После выполнения второй этап шеллкода расшифровывается в памяти и действует как динамическая библиотека (DLL). Эта библиотека DLL при загрузке инициирует различные вредоносные действия, включая поиск процесса explorer.exe для повышения привилегий и последующего внедрения в процесс. Однако анализу препятствует отсутствие данных с серверов управления (C2) после начальной фазы выполнения.

В дополнение к тому, что APT-Q-14 ориентирован на пользователей на различных платформах Windows, он отражает большой интерес к разведывательным службам Северо-Восточной Азии. Организация также продемонстрировала глубокие знания нераскрытых внутренних интерфейсов отечественного программного обеспечения. Кроме того, они воспользовались уязвимостями в нескольких почтовых приложениях Android, многие из которых связаны с известной проблемой, называемой "ZipperDown". Эта уязвимость может привести к уязвимостям обхода путей, позволяющим злоумышленникам перезаписывать важные целевые файлы или файлы dex. В будущем организация планирует раскрыть сообществу разработчиков с открытым исходным кодом дополнительные технические подробности, касающиеся этих уязвимостей.