#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Удаленные ИТ-работники из Северной Кореи используют искусственный интеллект для улучшения своей работы, что позволяет красть данные и получать доход за счет мошеннических схем трудоустройства. Они создают поддельные удостоверения личности и используют VPN для проникновения в организации, получения доступа к конфиденциальным данным и вымогательства денег у работодателей. Корпорация Майкрософт рекомендует усовершенствовать процессы проверки и постоянного мониторинга для борьбы с этими внутренними угрозами.
-----

Северокорейские удаленные ИТ-работники используют искусственный интеллект для улучшения своих операций по краже данных и получению доходов. Они базируются в основном в Северной Корее, Китае и России и участвуют в мошеннических схемах трудоустройства в сфере ИТ. Эти работники скрывают свою личность, используя VPN, инструменты удаленного мониторинга и сообщников для создания поддельных личностей для выполнения функций, связанных с технологиями, по всему миру. Схема предусматривает систематическое трудоустройство на удаленные ИТ-должности с привязкой к географическому местоположению, часто с использованием украденных или сфабрикованных документов. Они используют инструменты искусственного интеллекта для манипулирования изображениями и программное обеспечение, изменяющее голос, чтобы вводить в заблуждение потенциальных работодателей во время собеседований. Их деятельность расширилась от американских технологических компаний до различных глобальных отраслей. Злоумышленники получают доступ к конфиденциальной интеллектуальной собственности и используют тактику принуждения для вымогательства денег у работодателей под угрозой раскрытия конфиденциальной информации. Сообщается, что в период с 2020 по 2022 год более 300 американских компаний, сами того не подозревая, наняли этих работников. Корпорация Майкрософт отслеживает наличие тревожных сигналов, таких как невозможность поездок, и тщательно изучает использование средств удаленного управления, чтобы нарушить эти операции. Они приостановили работу 3000 учетных записей Microsoft, связанных с подозрительными действиями. Организациям рекомендуется усовершенствовать процессы проверки сотрудников и обеспечить соблюдение протоколов безопасности, связанных со средствами удаленного управления. Постоянный мониторинг и обучение персонала необходимы для противодействия инсайдерским угрозам, исходящим от этих сложных операций.

#ParsedReport #CompletenessLow
02-07-2025

Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands

https://www.silentpush.com/blog/fake-marketplace/

Report completeness: Low

Actors/Campaigns:
Ghostvendors
Steal-it

Threats:
Hermes

Victims:
Apple, Harbor freight tools, Michael kors, Rei, Wayfair, Wrangler jeans, Mastercard, Paypal, Visa, Google pay, have more...

Industry:
Retail, Financial, E-commerce

Geo:
Chinese, Mexican, Kors, Spanish, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1566, T1584

IOCs:
Domain: 11

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании, нацеленной на потребителей во время "Горячей распродажи 2025", участвуют мошеннические веб-сайты, выдающие себя за крупных розничных продавцов, которые, вероятно, управляются хакерской группой из Китая. Эти сайты используют тактику обмана для сбора платежной информации и обеспечения безопасности онлайн-платежей, не доставляя товары после транзакции.
-----

Недавние расследования, проведенные аналитиками Silent Push Threat, выявили крупную фишинговую аферу в электронной коммерции, направленную против потребителей во время "Горячей распродажи 2025", мероприятия, аналогичного "Черной пятнице" в Соединенных Штатах. Эта кампания, первоначально организованная мексиканским журналистом Игнасио Гмесом Вильясеором, распространилась за пределы Мексики, выявив ряд мошеннических веб-сайтов, ориентированных как на англоговорящих, так и на испаноязычных клиентов по всему миру. Анализ показал, что хакерская группа, стоящая за этой операцией, скорее всего, родом из Китая, о чем свидетельствует обнаруженный в инфраструктуре кампании уникальный технический отпечаток, содержащий китайские иероглифы.

Выявленная сеть управляет тысячами вредоносных доменов, которые имитируют различные известные розничные и платежные бренды, включая такие крупные компании, как Apple, MasterCard, PayPal и Visa. Фишинговые веб-сайты имитируют настоящие розничные платформы, демонстрируя товары, которые, по-видимому, взяты с законных сайтов. Эти сайты используют обманную тактику, такую как имитация обработки платежей, которая ложно отображает таймер “зарезервированной корзины” и логотипы надежных платежных сервисов, чтобы завоевать доверие пользователей и извлечь конфиденциальную информацию, не вызывая подозрений.

Более того, хакеры используют методы обеспечения безопасности онлайн-платежей, предназначенные для защиты покупателей. Например, в своих мошеннических действиях они используют Google Pay, известный тем, что использует номера виртуальных кредитных карт. Хотя этот метод, как правило, обеспечивает высокий уровень безопасности, не раскрывая продавцам фактические данные кредитной карты, злоумышленники обходят эту защиту, просто не доставляя товары после завершения транзакции. Эта обманчивая практика позволяет им собирать платежную информацию, избегая прямой кражи данных кредитной карты.

В ходе исследования было обнаружено множество поддельных торговых площадок, пытающихся выдать себя за популярные бренды. Например, один мошеннический сайт имитировал Guitar Center, предлагая не связанные с ним детские аксессуары, в то время как другой выдавал себя за Nordstrom, используя вводящий в заблуждение URL. Несмотря на то, что некоторые веб-сайты были удалены при обнаружении, расследование показало, что тысячи этих вредоносных доменов остаются активными.

Аналитики по борьбе с угрозами Silent Push внимательно следят за этой продолжающейся фишинговой кампанией и планируют делиться обновлениями по мере появления новых разработок. Они также опубликовали пример своих индикаторов будущих атак (IOFATM), связанных с этой кампанией, чтобы поддержать усилия сообщества по защите от подобных мошенничеств.

#ParsedReport #CompletenessLow
02-07-2025

FIN8 Enhances Its Campaigns for Advanced Privilege Escalation

https://www.picussecurity.com/resource/blog/fin8-enhances-its-campaigns-for-advanced-privilege-escalation

Report completeness: Low

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Carbanak

Threats:
Sardonic
Ragnar_locker
Exocet_tool
Punchtrack
Badhatch_tool
White_rabbit_ransomware
Blackcat
Nltest_tool
Credential_harvesting_technique
Cobalt_strike_tool
Lolbin_technique
Gopurple_tool
Mimikatz_tool
Sharptoken_tool
Process_injection_technique
Process_hollowing_technique
Apc_injection_technique
Credential_dumping_technique
Anubis

Industry:
Retail, Financial, Entertainment, Chemical

TTPs:
Tactics: 7
Technics: 10

IOCs:
File: 8
Command: 7
Path: 3

Soft:
Windows security

Functions:
Remove-WmiObject, Windows

Win API:
RtlCreateUserThread

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FIN8 - это группа APT, известная своей развивающейся тактикой, использующая модульное вредоносное ПО и такие инструменты, как Sardonic и Exocet, для развертывания программ-вымогателей и повышения привилегий. Их методы включают в себя выполнение без использования файлов с помощью PowerShell, внедрение процессов и WMI для обеспечения постоянства, что делает акцент на скрытности и адаптивности, позволяющих избежать механизмов обнаружения.
-----

FIN8 - это финансово мотивированная APT-группа, которая работает с 2016 года. Изначально ее тактика была сосредоточена на взломах торговых точек (POS), но со временем она эволюционировала и включила в себя сложный арсенал модульных вредоносных программ и методов их внедрения с целью вымогательства. В последнее время внимание группы значительно сместилось в сторону использования таких инструментов, как Sardonic (также известный как Ragnar Loader) и Exocet, что расширяет их возможности по повышению привилегий, обходу средств защиты и поддержанию долгосрочного доступа. Sardonic служит в качестве бэкдора, поддерживающего функциональность плагинов, позволяя FIN8 предоставлять различную полезную нагрузку и участвовать в операциях с двойным вымогательством, таких как BlackCat /ALPHV и White Rabbit.

Подход FIN8 делает упор на скрытность и адаптивность, используя общие инструменты администрирования, которые позволяют легко адаптироваться к целевым средам. Они используют такие методы, как внедрение зашифрованного шеллкода в надежные процессы, использование инструментария управления Windows (WMI) для создания постоянных подписок на события и косвенное выполнение команд. Их атаки обычно начинаются с разведки и сбора учетных данных, а завершаются развертыванием программ-вымогателей. Ключевым моментом в их работе является использование PowerShell для выполнения без использования файлов, что позволяет им избегать прямой записи полезной нагрузки на диск, тем самым обходя традиционные механизмы обнаружения. В обычном сценарии FIN8 создает облегченные этапы, которые подключают исходящие данные, вызывая запутанный код PowerShell, выполняемый в памяти, что усложняет усилия по обнаружению.

Отличительной чертой FIN8 является их стратегическое терпение, они часто совершенствуют свои методологии с течением времени. Примечательно, что они следят за своими кампаниями, делая паузы для улучшения инфраструктуры и инструментов. Например, Sardonic был переписан на C, чтобы снизить вероятность обнаружения, демонстрируя их акцент на уклончивые модульные операции, а не на простую тактику вторжения. Группа известна тем, что использует такие методы, как подписка на события WMI для скрытого сохранения, что позволяет им автоматически выполнять полезную нагрузку при определенных системных событиях, что еще больше снижает видимость их действий.

Более того, FIN8 использует передовые технологии внедрения в процессы, в том числе очереди APC Early Bird, чтобы обойти меры безопасности, помещая вредоносный код в очередь до того, как законный процесс начнет выполняться. Они используют манипуляции с токенами, чтобы незаметно повысить свои привилегии, не прибегая к обычным эксплойтам. FIN8 часто в значительной степени полагается на обфускированные версии таких инструментов, как Mimikatz, для кражи учетных данных, и они используют зашифрованную полезную нагрузку, чтобы свести к минимуму видимость для защиты конечных точек.

Платформа проверки безопасности Picus уже упоминалась для моделирования угроз, подобных FIN8, путем эмуляции определенных тактик, методов и процедур (TTP) для проверки защиты организации от таких сложных угроз. Это включает в себя выполнение кода без использования файлов и внедрение в память, что помогает выявлять бреши в системе безопасности до того, как злоумышленники смогут ими воспользоваться. В целом, угрозы, исходящие от FIN8, представляют собой серьезную проблему для организаций, требующую бдительной и адаптивной системы безопасности для эффективного противодействия угрозам на уровне APT.

#ParsedReport #CompletenessMedium
02-07-2025

macOS NimDoor \| DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware

https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/

Report completeness: Medium

Threats:
Nimdoor
Process_injection_technique
Netchk_tool
Corekitagent

Victims:
Web3 startup, Crypto-related businesses, Web3 and crypto organizations

Geo:
Korea, North korean, Dprk

ChatGPT TTPs:
do not use without manual check
T1020, T1024, T1027, T1036.005, T1055, T1059.002, T1059.004, T1070.004, T1071.001, T1105, have more...

IOCs:
Domain: 6
Url: 1
Hash: 22

Soft:
macOS, Telegram, Zoom, curl, Firefox, Google Chrome, Microsoft Edge, Unix

Algorithms:
pbkdf2, sha1, base64, xor, rc4, cbc, aes

Functions:
setCwd, getCwd, getSysInfo, uploadData, mach_absolute_time, mach_timebase_info, CoreKitAgent

Win API:
Arc

Win Services:
bits

Languages:
applescript, objective_c, rust

Platforms:
cross-platform, arm, apple

Links:
https://github.com/nim-lang/Nim/blob/version-2-2/lib/pure/osproc.nim#L1

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакеры из КНДР используют двоичные файлы, скомпилированные с помощью Nim, и многоэтапные цепочки атак на Web3 и криптографические компании, используя специфичные для macOS методы, такие как внедрение процессов. Их вредоносное ПО обеспечивает сохраняемость с помощью уникальных обработчиков сигналов и взаимодействует через защищенные веб-сокеты, используя AppleScripts для первоначального доступа и фильтрации данных, включая извлечение учетных данных из связки ключей macOS.
-----

Хакеры из КНДР разработали сложную кампанию атак на Web3 и предприятия, связанные с криптографией, которые используют двоичные файлы, скомпилированные с помощью Nim, и различные многоэтапные цепочки атак. Их подход особенно примечателен тем, что в системах macOS используется внедрение процессов, что редко встречается в вредоносных программах, нацеленных на эту платформу. Злоумышленники используют зашифрованную удаленную связь через wss, защищенный протокол WebSocket, и внедрили уникальный механизм сохранения, который использует обработчики сигналов SIGINT/SIGTERM, что позволяет им сохранять сохранение, даже если вредоносное ПО будет удалено или система перезагрузится.

В основе их тактики лежит использование AppleScripts как для первоначального доступа, так и для последующей атаки в качестве легких маяков и бэкдоров. Злоумышленники используют скрипты Bash, предназначенные для извлечения конфиденциальных учетных данных из связки ключей macOS, данных браузера и пользовательской информации Telegram. На начальном этапе атак обычно используется стратегия социальной инженерии, при которой цели выдаются за пользователей Telegram и заманиваются для запуска вредоносного AppleScript, замаскированного под "сценарий обновления Zoom SDK". Этот скрипт сильно запутан и извлекает дополнительные скрипты с сервера управления (C2), выполняя основную функциональность вредоносного ПО.

В кампаниях используются различные языки программирования, в частности AppleScript, C++ и Nim. После первоначального запуска исполняемый файл Mach-O, скомпилированный на C++, записывает зашифрованную полезную информацию на диск, после чего загружаются сценарии Bash для фильтрации данных. Исполняемые файлы на основе Nim обеспечивают постоянство работы, удаляя дополнительные компоненты, которые обеспечивают долгосрочный доступ злоумышленников. Первый зараженный двоичный файл, в котором используется технология process injection, взаимодействует с C2 через wss, используя структурированный формат сообщений JSON, что позволяет ему отправлять и получать команды вместе с результатами выполнения.

Один из ключевых компонентов, CoreKitAgent, использует передовые стратегии обфускации, включая процедуры многоходового шифрования, что затрудняет аналитикам немедленное выявление вредоносных намерений. Способность вредоносного ПО реагировать на системные сигналы и выполнять действия асинхронно обеспечивает устойчивость к попыткам его уничтожения. Кроме того, вредоносная программа использует встроенный AppleScript, который периодически передает данные на серверы C2, что повышает ее скрытность во время операций.

#ParsedReport #CompletenessLow
02-07-2025

2025-06-29 - Supper is served

https://c-b.io/2025-06-29+-+Supper+is+served

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Supper_backdoor
Xorist
Interlock
Revshell_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1070.004, T1071.001, T1090.002, T1219, T1547.001

IOCs:
Path: 3
File: 9
IP: 3
Command: 1
Hash: 1

Algorithms:
xor

Functions:
rand

Win API:
LoadLibrary, FreeLibrary, WSAStartup, GetModuleFileNameA, WriteFile

Platforms:
x64

Links:
https://github.com/horsicq/Detect-It-Easy
https://github.com/AptAmoeba

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Supper - это сложный 64-разрядный бэкдор для Windows, функционирующий как троян удаленного доступа (RAT) и прокси-сервер SOCKS5, обнаруженный в июле 2024 года. Он поддерживает постоянный доступ через бесфайловую обратную оболочку и использует пользовательские протоколы и шифрование для обмена данными C2, обеспечивая потоковую безопасность и повторное выполнение в случае сбоя, демонстрируя повышенную сложность вредоносного ПО.
-----

Supper, также известная как "Interlock Rat", представляет собой сложную 64-разрядную утилиту для бэкдора и туннелирования Windows, которая действует как троян удаленного доступа (RAT), так и прокси-сервер SOCKS5. Первоначально обнаруженная в июле 2024 года, эта вредоносная программа предоставляет хакерам постоянный доступ к скомпрометированным системам, позволяя им направлять произвольный трафик через среду жертвы. Supper работает по пользовательскому протоколу, который характеризуется 12-байтовым заголовком, содержащим ключ шифрования, за которым следует 8-байтовая полезная нагрузка. Все команды, выполняемые Supper, обрабатываются через `cmd.exe`.

После запуска Supper интегрирует несколько ключевых компонентов для поддержания своей операционной эффективности. Сначала он ожидает, пока глобальный коммуникационный мьютекс обеспечит потокобезопасность, а затем инициирует взаимодействие со своим сервером управления (C2), используя идентификатор сеанса 0xFFFF. Вредоносная программа проверяет наличие пустой полезной нагрузки и, если ее нет, создает новый зашифрованный заголовок полезной нагрузки для отправки на C2. Этот процесс включает в себя этап проверки, чтобы убедиться, что текущий идентификатор сеанса находится в допустимых пределах, и в этом случае она отправляет полезную нагрузку и освобождает мьютекс.

Supper использует пользовательский потоковый шифр с отслеживанием состояния, который генерирует 4-байтовый ключ с помощью двух вызовов функции rand(). После подготовки этого ключа вредоносная программа пытается установить соединение с C2. Если подключение установлено успешно, он отправляет пакет подтверждения, указывающий на установленное заражение; этот пакет содержит магический заголовок 0xDF691155 и значение тайм-аута для связи, установленное на 300 секунд. После этого первоначального взаимодействия Supper переходит к поддержанию постоянства и выполнению команд.

Для обеспечения сохраняемости Supper использует бесфайловый подход для запуска обратной оболочки. Он запускает дочерний процесс, который перенаправляет операции ввода-вывода обратно на C2, не оставляя следов в файлах. В случае, если его основные процессы не будут инициализированы, Supper попытается выполнить повторное выполнение до трех раз, обрабатывая возможные сбои из-за проблем с сетью или взаимодействий с файловой системой. Если все попытки заканчиваются неудачей, Supper обращается к локальному файлу конфигурации, расположенному во временной директории пользователя, и расшифровывает его с помощью ключа, полученного из первых четырех байт файла. В этом процессе используется стратегия экспоненциального замедления, чтобы определить продолжительность ожидания между повторными попытками.

Благодаря своему сложному дизайну и возможностям Supper демонстрирует растущую сложность работы вредоносных программ. Всестороннее знание технических аспектов Supper может значительно повысить эффективность защиты от его функциональности и угроз, исходящих от связанных с ним хакеров, включая ранее известную группу Vanilla Tempest/Vice Society.

#ParsedReport #CompletenessMedium
01-07-2025

1. Overview

https://www.genians.co.kr/blog/threat_intelligence/suky-castle

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Clickfix_technique
Babyshark
Appleseed
Spear-phishing_technique
Quasar_rat

Victims:
Experts in korean diplomacy, security, and international politics, Defense research job seekers, Experts in the us security field, Military and political sector individuals

Industry:
Military, Education

Geo:
Asian, Dutch, North korea, Taiwan, German, North korean, Japan, Switzerland, Asia, Koreas, China, Germany, Russia, Iran, Korea, France, French, Vietnam, Korean

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1053.005, T1055, T1057, T1059.001, T1059.003, T1059.005, T1071.001, T1082, have more...

IOCs:
File: 11
Domain: 27
Command: 2
IP: 16
Hash: 16

Soft:
Google Chrome, curl

Algorithms:
md5

Languages:
visual_basic, autoit, php, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 9, code: 3, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Kimsuky использует тактику "ClickFix", чтобы обманом заставить пользователей выполнять вредоносные команды PowerShell с помощью поддельных запросов на обновление браузера. Кроме того, в их кампании "BabyShark" используются методы скрытого фишинга и сложные методы обфускации, использующие уязвимости и подменяющие рабочие платформы для доставки полезной информации. Рекомендации по защите включают усовершенствованные системы обнаружения конечных точек и интеграцию C2 insights в протоколы безопасности.
-----

С начала 2025 года группа компаний Kimsuky активно использует тактику атаки ClickFix, впервые выявленную Proofpoint в апреле 2024 года. Эта тактика нацелена на пользователей, посещающих взломанные веб-сайты, и выдает им вводящее в заблуждение сообщение об ошибке, имитирующее обновление браузера. Пользователей убеждают в том, что им необходимо устранить эту проблему, выполнив предоставленный код в PowerShell, что в конечном итоге активирует вредоносную полезную нагрузку. Исследователи отметили, что различные хакеры, в том числе из Северной Кореи, Ирана и России, использовали этот метод, демонстрируя психологическое манипулирование жертвами, заставляя их невольно выполнять вредоносные команды.

В сочетании с "ClickFix" группа Kimsuky также использовала кампанию "BabyShark", которая ознаменовалась внедрением новой тактики атаки с помощью скриптовых механизмов. В январе 2025 года группа провела масштабную фишинговую кампанию, направленную против экспертов в области корейской дипломатии, выдавая себя за журналиста, чтобы получить интервью, кульминацией которой стали вредоносные ссылки, замаскированные под анкеты. С тех пор эта тактика претерпела изменения; вредоносная полезная нагрузка обычно включает скрипты Visual Basic (VBS), выполняемые через PowerShell, которые инициируют обмен данными с серверами управления (C2).

Примечательно, что злоумышленники использовали методы обфускации в своих скриптах, накладывая команды на бессмысленные строки, чтобы избежать обнаружения программным обеспечением безопасности. Это стало очевидным, когда в контексте деятельности Kimsuky group был идентифицирован сервер C2, демонстрирующий, как внедряются передовые методы для обеспечения постоянства и сбора информации о пользователях с помощью запланированных задач.

Дальнейшая тактика включала случаи, когда платформы для поиска работы были подделаны для доставки вредоносной полезной информации с помощью всплывающих сообщений. Группа продемонстрировала гибкость в своих методах работы, используя различные серверы C2 и манипулируя сигналами в фишинговых сообщениях, при этом системы возвращают ложные сообщения, чтобы заманить жертв к совершению действий, которые компрометируют их системы.

Недавний пример тактики "ClickFix", обнаруженный в середине 2025 года, заключался в том, что пользователь выдавал себя за сайт корейского портала, предлагая пользователям выполнять команды PowerShell под видом настроек безопасности. Это включало в себя изощренный обман, который был разработан для того, чтобы спровоцировать загрузку дополнительных вредоносных программ и кражу пользовательской информации.

В конечном счете, очевидные уязвимости, используемые в ходе этих кампаний, выявляют сложную ситуацию с кибербезопасностью, поскольку Kimsuky работает с намерением эффективно манипулировать психологическими реакциями, обеспечивая при этом способы обхода инфраструктуры безопасности. Рекомендуемые средства защиты от этих развивающихся угроз включают внедрение усовершенствованных систем обнаружения и реагирования на конечные точки (EDR), способных распознавать атаки на основе сценариев и анализировать аномальное поведение, связанное с командами PowerShell. Более того, интеграция информации, полученной из EDR о коммуникациях C2, в брандмауэр и протоколы безопасности может помочь превентивно блокировать приток подобных хакеров.

#ParsedReport #CompletenessLow
02-07-2025

Report Title: Analysis of StealC V2 Malware

https://s2w.inc/en/resource/detail/863

Report completeness: Low

Actors/Campaigns:
Plymouth

Threats:
Stealc

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.001, T1059.003, T1071.001, T1105, T1497.003, T1555.003, T1567.002, have more...

Algorithms:
base64, rc4

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StealC V2 - это продвинутая вредоносная программа-инфокрад, которая отправляет конфиденциальные данные на сервер C2 для расшифровки на стороне сервера, используя динамическую конфигурацию и HTTP/S POST-запросы для уклонения. Его возможности включают кражу регистрационных данных, использование шифрования RC4 для обфускации и удаленное выполнение дополнительных вредоносных программ.
-----

StealC - это вредоносная программа для кражи информации на языке C, которая была впервые представлена пользователем, известным как "plymouth", на веб-форуме Deep & Dark в январе 2023 года. Вредоносная программа эволюционировала с выпуском StealC V2 в марте 2025 года, который содержал значительные улучшения, включая новую кодовую базу и инновационные возможности, такие как расшифровка файлов cookie браузера на основе Chromium на стороне сервера и механизм взлома пароля.

В отличие от своего предшественника, StealC V2 не выполняет расшифровку локально на зараженных компьютерах. Вместо этого он отправляет конфиденциальные данные, включая регистрационные данные, файлы cookie и главный ключ, на сервер управления и контроля (C2), где эта информация затем расшифровывается. Такой подход помогает избежать обнаружения антивирусным программным обеспечением в режиме реального времени, отправляя файлы с помощью нескольких HTTP-запросов, а не консолидируя данные локально, что сводит к минимуму риски потери данных. Кроме того, вредоносная программа поддерживает фрагментарную фильтрацию данных для больших файлов, что расширяет ее возможности по краже данных.

Операционная система StealC V2 включает в себя взаимодействие с сервером C2 для получения данных конфигурации, что позволяет злоумышленникам динамически определять цели для кражи информации. Вредоносная программа использует HTTP/S POST-запросы как для получения своей конфигурации, так и для передачи украденных данных, которые закодированы в формате Base64. Эта функция динамической настройки позволяет злоумышленникам изменять списки целей в режиме реального времени без необходимости изменять базовый код вредоносной программы.

StealC V2 включает в себя несколько методов обхода, направленных на предотвращение обнаружения с помощью мер безопасности. Он шифрует строки и имена WinAPI с помощью RC4, расшифровывая их во время выполнения, чтобы скрыть свои действия. Вредоносная программа также проверяет языковые настройки, чтобы обойти цели, обычно используемые правоохранительными органами, и использует временные ограничения, ограничивая выполнение определенными временными рамками. Интересно, что, хотя в предыдущих версиях были включены функции для обхода безопасных сред, в последней версии эта функция была удалена. Кроме того, предыдущие методы предотвращения повторного выполнения, по-видимому, стали неэффективными.

Наконец, вредоносная программа обладает способностью загружать и выполнять дополнительные вредоносные программы с помощью команд с сервера C2. Он может выполнять полезную нагрузку в виде PE-файлов, сценариев PowerShell и установщиков MSI, что позволяет злоумышленникам расширять свои вредоносные действия на скомпрометированных системах с помощью различных форм вредоносного ПО.