#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Educated Manticore, связанная с КСИР Ирана, активизировала фишинг-атаки на израильских журналистов и аналитиков, используя сложные тактики, такие как контент, созданный искусственным интеллектом, и клавиатурные шпионы в режиме реального времени для сбора учетных данных и кодов 2FA, поддерживая динамичную и развивающуюся фишинговую инфраструктуру.
-----

Иранская хакерская группировка Educated Manticore, связанная с Корпусом стражей исламской революции (КСИР), активизировала фишинговые кампании, направленные против израильских журналистов, экспертов по кибербезопасности и ученых, на фоне обострения напряженности в отношениях между Ираном и Израилем. Группа известна своей нестандартной тактикой фишинга, когда злоумышленники выдают себя за вымышленных руководителей технологических компаний или исследователей, чтобы связаться со своими целями по электронной почте и WhatsApp. Жертв часто перенаправляют на поддельные страницы входа в Gmail или приглашения на Google Meet, где собирают их учетные данные и коды двухфакторной аутентификации (2FA), предоставляя злоумышленникам несанкционированный доступ к конфиденциальным учетным записям.

Компания Educated Manticore, также известная в сообществе кибербезопасности как APT42, Charming Kitten или Mint Sandstorm, в течение многих лет использовала скрытый фишинг в качестве основной стратегии, нацеленной на отдельных лиц в различных секторах, включая правительство и средства массовой информации. Группа использует изощренные фишинговые кампании, чтобы завоевать доверие высокопоставленных лиц, используя индивидуальные материалы, часто представляя себя как заслуживающих доверия людей из известных фирм по кибербезопасности. Заметная тактика, наблюдавшаяся в ходе недавних атак, заключается в использовании контента, созданного с помощью искусственного интеллекта, для повышения правдоподобности сообщений, несмотря на некоторые вводящие в заблуждение элементы, которые предупреждают наблюдательные цели о потенциальных мошенниках.

Инфраструктура фишинга эволюционировала, включая схемы регистрации доменов и использование современных веб-технологий, таких как одностраничные приложения на основе React (SPA), которые обеспечивают динамичный пользовательский опыт. Одной из важнейших особенностей этих фишинговых наборов является использование кейлоггера в режиме реального времени, который фиксирует нажатия клавиш и передает их в режиме реального времени злоумышленникам, расширяя их возможности по сбору конфиденциальной информации. Фишинговые страницы созданы таким образом, чтобы точно копировать законные процессы входа в систему для таких сервисов, как Google, Outlook и Yahoo, тем самым повышая шансы на вовлечение жертвы.

Используя одностраничные приложения и взаимодействие в режиме реального времени, хакеры упрощают несколько этапов сбора учетных данных, внедряя функции, поддерживающие ретрансляционные атаки 2FA, которые потенциально могут позволить им обойти дополнительные меры безопасности. Было показано, что домены, используемые в этих кампаниях, быстро развиваются, что свидетельствует о гибком подходе к поддержанию работоспособности в условиях тщательного контроля.

Постоянные и эффективные кампании "Образованной Мантикоры" по борьбе с фишингом свидетельствуют о сохраняющейся угрозе для граждан Израиля, особенно в условиях продолжающегося конфликта. Способность группы адаптировать и использовать передовые методы фишинга наряду с обширной инфраструктурой, способной быстро развертывать и удалять домены, является примером проблем, с которыми приходится сталкиваться при противодействии их операциям. Усилия по выявлению и пресечению этих атак пока не привели к существенному замедлению темпов, что позволяет предположить, что группа будет продолжать атаковать учетные данные и идентификационные данные, связанные с их стратегическими интересами.

#ParsedReport #CompletenessLow
24-06-2025

Malicious Python Package Typosquats Popular passlib Library, Shuts Down Windows Systems

https://socket.dev/blog/malicious-python-package-typosquats-popular-passlib-library

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Python developers

TTPs:

ChatGPT TTPs:
do not use without manual check
T1059.006, T1204.002, T1566.002

IOCs:
File: 3
Email: 2

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет Python psslib, созданный хакером umaraq, использует опечатки в легитимной библиотеке passlib и завершает работу систем Windows при неправильном вводе пароля, создавая значительные риски для разработчиков и библиотек безопасности. Его поведение может привести к потере данных и сбоям в работе системы, что негативно скажется на приложениях, использующих механизмы аутентификации.
-----

Команда Socket по исследованию угроз обнаружила вредоносный пакет Python под названием psslib, опубликованный хакером, известным как umaraq. Этот пакет маскируется под решение для защиты паролем, но предназначен для немедленного завершения работы систем Windows при вводе неправильных паролей. Пакет psslib содержит опечатки в библиотеке legitimate passlib, которая представляет собой надежный инструментарий для хэширования паролей, часто используемый разработчиками для безопасного управления паролями. Ежемесячно его загружают более 8,9 миллионов раз. Вредоносный пакет в настоящее время все еще находится в реестре, что требует официальных усилий по его удалению из-за его вредоносного поведения, помеченного сканером искусственного интеллекта Socket как вредоносный.

Риск, связанный с атаками на библиотеки безопасности с использованием опечаток, особенно велик, поскольку они могут использовать повышенные привилегии, которыми обычно обладают разработчики. Когда эти люди устанавливают такие вредоносные пакеты, это может привести к немедленным последствиям на системном уровне, обходя средства контроля безопасности и подвергая риску целостность как сред разработки, так и производственных систем. Возможности такого пакета, как psslib, выходят за рамки локальных рабочих станций разработчиков, поскольку библиотеки безопасности часто интегрируются в пользовательские приложения и критически важные конвейеры CI/CD. Таким образом, компрометация одного пакета может иметь каскадные последствия, которые затрагивают конечных пользователей и бизнес-процессы, зависящие от механизмов аутентификации.

Пакет psslib использует присущее разработчикам доверие к пакетам, которые заявляют о предоставлении функций безопасности. Он ложно позиционирует себя как средство защиты приложений на Python, в то время как содержит деструктивный код, который приводит к потере данных и сбоям в работе системы. Кроме того, в README и документации, связанной с пакетом, ошибочно утверждается, что они содержат защитные функции для программ на Python. Этот вредоносный код демонстрирует поведение, специфичное для сред Windows, что указывает на то, что хакер адаптировал свою атаку к платформам, обычно используемым разработчиками для автоматизации, написания сценариев и разработки приложений, связанных с Python.

#ParsedReport #CompletenessHigh
25-06-2025

Another Wave: North Korean Contagious Interview Campaign Drops 35 New Malicious npm Packages

https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Supply_chain_technique
Typosquatting_technique
Beavertail
Invisibleferret

Victims:
Software engineers, Developers, Job seekers, Blockchain developers

Industry:
Financial

Geo:
North korean, Dprk, Korea

TTPs:

IOCs:
File: 7
Url: 6
Hash: 3
IP: 2
Email: 18

Soft:
macOS, Linux, Chrome, Opera, curl, Node.js, Docker

Wallets:
exodus_wallet

Crypto:
solana

Algorithms:
sha256

Functions:
eval, getMacAddress

Languages:
javascript

Platforms:
cross-platform

Links:
https://gist.github.com/saurabhnemade/cf377389d34e8800b48afd505c7834fe

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры проводят атаку на цепочку поставок с использованием пакетов npm с опечатками, которые доставляют загрузчик HexEval, который извлекает вредоносное ПО BeaverTail для кражи данных. HexEval скрывает свои коммуникации на уровне C2 и использует социальную инженерию LinkedIn для заражения разработчиков, в то время как BeaverTail нацелен на конфиденциальные данные. Развивающаяся кампания требует повышения осведомленности сообщества разработчиков программного обеспечения.
-----

Исследовательская группа Socket Threat обнаружила продолжающуюся атаку северокорейских хакеров на цепочку поставок, связанную с операцией Contagious Interview. В этой атаке используются пакеты npm с опечатками, при этом 35 вредоносных пакетов были опубликованы в 24 различных учетных записях npm, шесть из которых остаются активными. В совокупности эти пакеты были загружены более чем 4000 раз. Вредоносные пакеты содержат загрузчик с шестнадцатеричным кодом под названием HexEval, который после установки собирает метаданные с хоста и извлекает последующие вредоносные скрипты. Основным вредоносным ПО второго этапа, связанным с этой операцией, является BeaverTail, вариант для кражи информации, который ссылается на бэкдор третьего этапа, известный как InvisibleFerret. Этот многоуровневый подход помогает избежать обнаружения с помощью статических сканеров и проверок безопасности.

HexEval работает в соответствии со сложной стратегией обфускации, кодируя имена модулей и URL-адреса командно-диспетчерского пункта (C2) в шестнадцатеричном формате. При выполнении он отправляет запрос HTTPS POST на одну из трех жестко запрограммированных конечных точек C2, которая выборочно предоставляет дополнительные полезные данные в зависимости от условий выполнения, что усложняет усилия по обнаружению. Способность загрузчика HexEval динамически оценивать поступающие данные создает значительные трудности для анализа, поскольку он может выдавать безопасные ответы, позволяющие избежать обнаружения, и при этом резервировать извлечение для определенных запросов.

Хакеры используют методы социальной инженерии, преимущественно в LinkedIn, где они выдают себя за рекрутеров и заманивают разработчиков привлекательными предложениями о работе и заданиями по написанию кода. Для выполнения этих задач часто требуется клонировать хранилища, содержащие вредоносные пакеты, заставляя их выполнять код локально и за пределами контейнерных сред. Жертвы постоянно сообщали о последующих просьбах участвовать в видеозвонках в режиме реального времени, во время которых им рекомендуется отключать меры безопасности, такие как Docker, для обеспечения полного заражения.

Вредоносная программа BeaverTail после запуска сканирует конфиденциальные данные в локальных файловых системах, нацеливаясь на браузеры и онлайн-кошельки, и корректирует свое поведение в зависимости от операционной системы. Бэкдор третьего этапа, InvisibleFerret, извлекается и запускается как часть этой цепочки заражения, облегчая постоянный доступ и дальнейшую доставку полезной информации. Злоумышленники зарегистрировали как минимум 19 адресов электронной почты под вымышленными именами для своих учетных записей npm, дополняя свои усилия по укреплению доверия с помощью детальной социальной инженерии. Поскольку эта кампания продолжает развиваться и ожидается появление новых вредоносных пакетов, необходимость повышения осведомленности и бдительности в сообществе разработчиков программного обеспечения остается крайне важной.

#ParsedReport #CompletenessHigh
26-06-2025

ClickFix makes itsway intoRussia

https://bi.zone/eng/expertise/blog/proydite-proverku-i-poluchite-vpo-clickfix-dobralas-do-rossii/

Report completeness: High

Threats:
Clickfix_technique
Fakecaptcha_technique
Octowave_loader
Dll_sideloading_technique
Steganography_technique

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Command: 4
Path: 10
File: 12
Registry: 2
Url: 1
Hash: 11
Domain: 2
IP: 1

Soft:
Windows Task Scheduler, Task Scheduler

Algorithms:
chacha20, zip

Functions:
GetVolumeInformation

Win API:
LockFile, CoCreateGuid

Languages:
powershell, javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года в целевых фишинговых кампаниях ClickFix в России использовалась вредоносная программа Octowave Loader, замаскированная под программу установки Squirrel, использующая команды PowerShell, стороннюю загрузку библиотек DLL и скрытую связь C2 для утечки данных. Стратегии обнаружения направлены на мониторинг необычного использования процессов и нарушений в реестре.
-----

В июне 2025 года появились целенаправленные кампании по исправлению кликов, использующие сложные методы социальной инженерии, в первую очередь в российском регионе. Эти кампании часто проводятся в форме фишинговых электронных писем, которые выдают себя за авторитетные организации для повышения их эффективности. Пользователям предлагается перейти по ссылкам, содержащимся в PDF-файлах, что приводит их на вредоносный веб-сайт, созданный в целях социальной инженерии. При взаимодействии пользователи неосознанно выполняют команду PowerShell, которая облегчает развертывание вредоносного ПО.

Основным вредоносным ПО, используемым в этих кампаниях, является Octowave Loader, который замаскирован под программу установки Squirrel. Этот загрузчик состоит из нескольких компонентов: законного установщика программного обеспечения, вредоносной библиотеки, WAV-файла, содержащего стеганографически скрытый шеллкод, и исполняемого файла, который извлекается из шеллкода. Одним из наиболее распространенных методов является сторонняя загрузка библиотек DLL, при которой вредоносная программа загружает вредоносные библиотеки через легальные библиотеки, что затрудняет обнаружение вредоносной активности системами безопасности. Механизмы сохранения устанавливаются путем изменения раздела реестра Run и создания задачи в планировщике задач Windows.

Octowave Loader предназначен для сбора информации о зараженной системе, включая название компьютера, имя пользователя и версию операционной системы. Эти данные шифруются с использованием алгоритма ChaCha20 и затем отправляются на сервер управления (C2) через HTTP POST-запрос, который имитирует законный заголовок User-Agent. Кроме того, вредоносная программа выполняет вредоносные команды PowerShell в соответствии с определенной структурой команд, и результаты выполнения этих команд возвращаются на сервер C2.

Для противодействия угрозам, исходящим от Octowave Loader, были предложены стратегии обнаружения. К ним относятся мониторинг необычного использования rundll32.exe и regsrv32.exe процессов, тщательная проверка ульев реестра на наличие нерегулярных записей в файлах и бдительность в отношении неожиданных действий в планировщике задач. Такие меры имеют решающее значение для выявления и смягчения последствий действий этих изощренных хакеров.

#ParsedReport #CompletenessLow
26-06-2025

Ongoing Campaign Abuses Microsoft 365s Direct Send to Deliver Phishing Emails

https://www.varonis.com/blog/direct-send-exploit

Report completeness: Low

Threats:
Qshing_technique

Victims:
More than 70 organizations, Us-based organizations

Geo:
Ukrainian

ChatGPT TTPs:
do not use without manual check
T1114, T1566.001, T1566.002, T1584.004

IOCs:
IP: 1
Url: 2

Soft:
Twitter, outlook

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на функцию прямой отправки в Microsoft 365, затрагивает более 70 организаций в США, позволяя хакерам обманывать внутренних пользователей без проверки подлинности. Злоумышленники используют сценарии PowerShell для отправки электронных писем, используя этот метод из-за его простоты. Стратегии смягчения последствий включают отказ от прямой отправки, применение политик DMARC и информирование пользователей о рисках, связанных с QR-кодами.
-----

Команда криминалистов Varonis по обнаружению и реагированию на управляемые данные (MDDR) выявила фишинговую кампанию, использующую функцию прямой отправки Microsoft 365, которая затрагивает более 70 организаций, в основном в США. Эта функция позволяет внутренним устройствам, таким как принтеры, отправлять электронные письма без проверки подлинности, что было использовано хакерами для обмана внутренних пользователей и предотвращения несанкционированного доступа. распространяйте фишинговые электронные письма без необходимости прямого взлома каких-либо учетных записей.

Функция прямой отправки облегчает передачу электронной почты в среде Microsoft 365 за счет использования интеллектуального хостинга, связанного с клиентом, который обычно имеет формат tenantname.mail.protection.outlook.com. Злоумышленникам нужен только домен и действительный внутренний получатель для отправки поддельных электронных писем, которые, по-видимому, исходят из организации. В наблюдаемой кампании участники использовали сценарии PowerShell для отправки этих электронных писем, в примерах которых указывалось отсутствие необходимых учетных данных для входа. Внешние источники, не прошедшие проверку подлинности, могут отправлять электронные письма получателям, находящимся внутри клиента, что делает этот метод особенно простым и привлекательным для фишинга.

Признаки этих атак включали необычную активность по электронной почте, например, отправку пользователями электронных писем самим себе и использование пользовательских агентов командной строки, таких как PowerShell. Примечательно, что оповещения были вызваны подключениями с подозрительных IP-адресов, в том числе с украинского IP-адреса, что указывало на потенциальное злоупотребление, что отличалось от типичной схемы, когда такие оповещения сопровождают попытки аутентификации. В одном случае фишинговые электронные письма были замаскированы под уведомления голосовой почты с вложениями в формате PDF, содержащими QR-код. Этот QR-код перенаправлял пользователей на фишинговый веб-сайт, предназначенный для получения учетных данных Microsoft 365.

Чтобы смягчить эту угрозу, Варонис рекомендует принять ряд упреждающих мер. Организациям следует включить параметр "Отклонять прямую отправку" в Центре администрирования Exchange, внедрить строгие политики DMARC (например, p=отклонить) и помечать внутренние электронные письма, не прошедшие проверку подлинности, для проверки или карантина. Дополнительные меры защиты включают в себя защиту от сбоев SPF в рамках Exchange Online Protection (EOP) и использование политик защиты от спуфинга. Информирование пользователей об опасностях, связанных с прикреплением QR-кодов, также имеет решающее значение для предотвращения атак с "отменой". Кроме того, рекомендуется применять многофакторную аутентификацию (MFA) и политики условного доступа для защиты учетных записей в случае кражи учетных данных, а также устанавливать статический IP-адрес в записи SPF для предотвращения злоупотреблений при отправке.

#ParsedReport #CompletenessMedium
25-06-2025

Cybercriminals Abuse Open-Source Tools To Target Africas Financial Sector

https://unit42.paloaltonetworks.com/cybercriminals-attack-financial-sector-across-africa/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1014 (motivation: cyber_criminal)

Threats:
Poshc2_tool
Chisel_tool
Meshagent_tool

Victims:
Financial institutions

Industry:
Financial

Geo:
Africa

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1078, T1090.001, T1547.001, T1562, T1566.002

IOCs:
File: 5
Hash: 22
Domain: 12

Soft:
Component Object Model, PsExec, macOS, Linux, Android, Active Directory

Algorithms:
zip, sha256

Languages:
powershell, python

Links:
https://github.com/Ylianst/MeshAgent
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер CL-CRI-1014 атакует африканские финансовые учреждения, используя такие инструменты, как Classroom Spy и PoshC2, для маскировки вредоносных программ, выполнения команд и кражи учетных данных, избегая обнаружения. Их тактика включает подделку законного программного обеспечения, использование прокси-инструментов, таких как Chisel, и поддержание постоянства с помощью замаскированных файлов.
-----

Хакер, связанный с кластером CL-CRI-1014, атакует финансовые учреждения по всей Африке, используя сложную схему действий, в которой используются как инструменты с открытым исходным кодом, так и свободно доступные инструменты. Их оперативная тактика заключается в подделке сигнатур файлов из законного программного обеспечения, чтобы замаскировать свои инструменты и избежать обнаружения. Этот акт подмены не отражает каких-либо уязвимостей в самих законных продуктах, но служит интересам злоумышленника в сокрытии своих вредоносных действий.

В ходе недавних кампаний группа перешла от использования MeshAgent — инструмента с открытым исходным кодом для удаленного управления устройствами - к использованию Classroom Spy, который позиционируется как образовательное программное обеспечение для мониторинга активности учащихся. Этот переход демонстрирует адаптивную стратегию в методах проведения атак. Такие инструменты, как PoshC2 и Chisel, занимают видное место в арсенале этого хакера. PoshC2 - это платформа для атак с открытым исходным кодом, которая позволяет создавать импланты на различных языках, таких как PowerShell и C#.NET, облегчая выполнение команд в целевых средах. В этом случае имплантаты PoshC2 часто упаковывались с использованием специализированного упаковщика на основе Nim, который запускал имплантат только в том случае, если хост-компьютер был частью домена Active Directory, что, вероятно, служило механизмом предотвращения анализа.

Злоумышленники продемонстрировали возможности кражи учетных данных, перехватывая учетные данные пользователей из зараженных сред для установки прокси-серверов. PoshC2 использует эти прокси-серверы для связи с серверами управления (C2), адаптируя определенные имплантаты для работы в конкретных зараженных средах. Методы сохранения были использованы творчески; например, вредоносное ПО было замаскировано под законные файлы, такие как CortexUpdater.exe, а связанные с ним запланированные задачи имитировали подлинные службы, чтобы остаться незамеченными.

Chisel, еще один инструмент, используемый злоумышленниками, облегчает проксирование сетевого трафика в обход таких мер безопасности, как брандмауэры. После запуска на компьютере жертвы Chisel позволяет компьютеру подключаться к серверу, контролируемому злоумышленником, эффективно обеспечивая удаленный доступ и контроль над сетью.

Описанные действия указывают на то, что CL-CRI-1014 функционирует как посредник первоначального доступа, используя скомпрометированные сети и потенциально продавая доступ другим злоумышленникам. Этот способ действия означает более широкую стратегию, в рамках которой хакер стремится внедриться в сети финансового сектора, избегая при этом обнаружения с помощью законной маскировки и умелого использования различных инструментов и методов.

#ParsedReport #CompletenessLow
26-06-2025

DeepSeek Deception: Sainbox RAT & Hidden Rootkit Delivery

https://www.netskope.com/blog/deepseek-deception-sainbox-rat-hidden-rootkit-delivery

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Sainbox_rat
Gh0st_rat

Geo:
Chinese, China

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1027, T1036.005, T1055.001, T1055.002, T1068, T1105, T1204.002, T1219, have more...

IOCs:
File: 4
Hash: 19
IP: 3

Soft:
DeepSeek, Sogou, Chromium, Windows registry

Win API:
NtLoadDriver

Links:
https://github.com/monoxgas/sRDI
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Sainbox
https://github.com/JKornev/hidden

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании, нацеленной на пользователей, говорящих на китайском языке, используются программы установки поддельного программного обеспечения для распространения Sainbox RAT и скрытого руткита с помощью фишинговой тактики. Злоумышленники используют файлы MSI для дополнительной загрузки вредоносной библиотеки DLL, которая помогает в удаленном доступе, краже данных и скрытых операциях, которые не поддаются обнаружению. Группа Silver Fox из Китая предварительно отнесена к этой деятельности на основании их ТТП.
-----

Netskope Threat Labs выявила кампанию по распространению Sainbox RAT и скрытого руткита, в которой использовались программы для установки поддельного программного обеспечения, специально ориентированную на китайскоязычных пользователей. В этой атаке используется тактика фишинга, при которой злоумышленники создают мошеннические веб-сайты, имитирующие законное программное обеспечение, такое как WPS Office, Sogou и DeepSeek. Вредоносная полезная нагрузка доставляется через установочные файлы MSI и PE, причем файлы MSI демонстрируют аналогичное поведение. Как только жертва загружает поддельный установщик, запускается процесс, имитирующий подлинную установку и выполняющий вредоносные действия.

Механизм заражения заключается в доступе к фишинговому сайту для загрузки поддельного установщика. Поддельные установщики, в основном MSI-файлы, запускают законный исполняемый файл с именем "Shine.exe", который используется для дополнительной загрузки вредоносной библиотеки DLL "libcef.dll." Эта DLL-библиотека маскируется под подлинную часть платформы Chromium Embedded Framework и отвечает за критическую аналитику при атаке. Она поддерживает постоянство, добавляя путь к Shine.exe в реестр Windows и считывая файл с именем "1.txt", который содержит шеллкод и дополнительные вредоносные программы.

Извлеченный шеллкод размером примерно 0xc04 байта использует методы из инструмента sRDI с открытым исходным кодом для загрузки Sainbox RAT в память, обеспечивая удаленный доступ и управление. RAT характеризуется как вариант Gh0stRAT, который облегчает различные вредоносные действия, включая кражу данных и выполнение других полезных задач. Кроме того, он интегрируется с руткит-драйвером на основе Hidden project, предназначенным для сокрытия своего присутствия и действий, обеспечивая возможности скрытности от обнаружения программным обеспечением безопасности.

Операционные характеристики, продемонстрированные в ходе этой кампании, указывают на систематическое использование фишинговых веб-сайтов для распространения вредоносных программ, одновременно повышая доверие пользователей к популярному программному обеспечению. Группа противников Silver Fox из Китая была предварительно отнесена к этим действиям со средней степенью уверенности, основываясь на их тактике, методах и процедурах (TTP). Злоумышленники используют хорошо известные варианты RAT наряду с технологией руткитов с открытым исходным кодом, что позволяет осуществлять эффективный контроль и отказываться от необходимости масштабной разработки на заказ, тем самым повышая эффективность своей работы.

Netskope Threat Labs продолжает отслеживать прогресс в разработке Sainbox RAT и любых новых методологий, связанных с Silver Fox group, что еще раз подчеркивает трудности точного отнесения хакеров к конкретным группам противников, отмечая при этом изменчивый характер ландшафта угроз.