#ParsedReport #CompletenessHigh
04-07-2025

Hpingbot: A New Botnet Family Based on Pastebin Payload Delivery Chain and Hping3 DDoS Module

https://nsfocusglobal.com/hpingbot-a-new-botnet-family-based-on-pastebin-payload-delivery-chain-and-hping3-ddos-module/

Report completeness: High

Threats:
Hpingbot
Hping3_tool
Mirai
Bashlite
Sysvinit_tool
Ackflood_technique
Tcpflood_technique
Synflood_technique
Udpflood_technique

Victims:
Netdata, Servers, Containers, Applications, Network devices

Industry:
Iot

Geo:
Germany, Turkey, German

TTPs:
Tactics: 6
Technics: 14

IOCs:
IP: 2
Url: 3
Hash: 1

Soft:
Unix, Systemd, curl

Platforms:
amd64, mips, cross-platform, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hpingbot - это ботнет на базе Go, обнаруженный в июне 2025 года, работающий на Windows и Linux /IoT и использующий несколько архитектур. Он проводит целенаправленные DDoS-атаки, используя слабые пароли SSH для распространения и используя Pastebin для распределения полезной нагрузки. Новый модуль DDoS предлагает расширенные возможности, фокусируясь на выполнении полезной нагрузки по сравнению с традиционными методами DDoS.
-----

Hpingbot представляет собой новое семейство ботнетов, разработанное в основном на Go, обнаруженное исследовательской лабораторией NSFOCUS в июне 2025 года. Этот кроссплатформенный ботнет работает в системах Windows и Linux/IoT, используя множество процессорных архитектур, включая amd64, mips, arm и 80386. Это было задумано в ответ на последние тенденции, когда доступность исходного кода ботнета и инструментов искусственного интеллекта сделала разработку ботнета более доступной. В то время как многие новые ботнеты являются адаптацией традиционных семейств, таких как Mirai и Gafgyt, hpingbot выделяется своей уникальной архитектурой и методологиями работы, в частности, использованием Pastebin для распределения полезной нагрузки и инструмента hping3 для проведения DDoS-атак.

Оперативное поведение hpingbot показывает, что он часто остается бездействующим, выдавая ограниченное количество DDoS-команд, в основном против целей в Германии, Соединенных Штатах и Турции. Интересным наблюдением является то, что ботнет изначально нацелился на IP-адрес, связанный с инструментом мониторинга NetData с открытым исходным кодом, что указывает на возможность того, что тестирование возможностей DDoS-атак интегрировано в рабочий процесс его разработки. Примечательно, что, хотя Windows-версия hpingbot напрямую не использует hping3 для DDoS-атак, ее частая оперативная активность позволяет предположить, что злоумышленники могут уделять больше внимания загрузке и выполнению произвольной полезной нагрузки, а не исключительно проведению DDoS-атак.

С середины июня 2025 года наблюдается повышенная активность в отношении функциональности hpingbot. Злоумышленники начали распространять новый компонент для DDoS-атак, также разработанный на Go, в котором отсутствует интеграция с Pastebin или hping3. Этот новый модуль, который, судя по наличию отладочной информации, находится на стадии тестирования, реализует функции защиты от наводнений через UDP и TCP, служа либо потенциальной заменой оригинальному hpingbot, либо вспомогательным инструментом для распределения полезной нагрузки. Двойная функциональность подчеркивает роль ботнета как посредника в проведении более масштабных атак, включая доставку APT-компонентов или программ-вымогателей.

Методы распространения, используемые hpingbot, в основном связаны с использованием слабых паролей SSH. Примечательно, что модуль распространения SSH работает независимо от самой ботнета, что позволяет предотвратить раскрытие ключевой информации и усилить контроль над операционными масштабами. Технические стратегии, используемые hpingbot, согласуются с несколькими этапами платформы MITRE ATT&CK, используя Pastebin для размещения полезной нагрузки, используя системные службы для сохранения и выполняя задачи с помощью сценариев оболочки.

Модуль DDoS оперативно управляет hping3, используя упрощенный текстовый формат, что позволяет злоумышленникам инициировать различные типы DDoS-атак с помощью легко настраиваемых параметров. Несмотря на свои основные возможности для DDoS-атак, архитектура hpingbot подчеркивает важность возможностей выполнения полезной нагрузки, особенно когда версия Windows не может выполнить hping3.

#ParsedReport #CompletenessHigh
04-07-2025

Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gamaredon-in-2024.pdf

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage, propaganda)
Invisimole

Threats:
Spear-phishing_technique
Pterographin
Pteropsdoor
Pterodoc
Pterotemplate
Smuggling_technique
Pterosand
Pteropsload
Pterolnk
Pterotickle
Pterocdrop
Pterogram
Pterorisk
Pteropshell
Pterovdoor
Pterovload
Pteroscout
Pterox
Pteroscreen
Pterosig
Pterosocks
Pterosteal
Pterodespair
Pteroquark
Pterostew
Pterodash
Pterobox
Ngrok_tool
Fastflux_technique
Litterdrifter
Pteropsddoor
Junk_code_technique
Dead_drop_technique

Victims:
Governmental institutions

Geo:
Russian federation, Ukraine, Ukrainian, Russian, Crimea

TTPs:
Tactics: 11
Technics: 67

IOCs:
File: 43
Command: 2
Path: 9
Url: 5
IP: 29
Registry: 12
Hash: 27
Domain: 21

Soft:
Windows registry, trycloudflare, curl, Telegram, PyInstaller, Microsoft Excel, Unix, Dropbox, Microsoft Word, Windows Explorer, have more...

Algorithms:
3des, base64, zip, md5, des, exhibit, xor

Functions:
getHttp, Get-WmiObject, createICIs, createAccount, createPage, getPage, Dropbox, attendtkq, xlonglet, CreateObject, have more...

Win API:
deletefile, getobject, copyfile, DriveType, CreateProcess

Win Services:
webclient

Languages:
php, javascript, python, jscript, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2024 году хакер Gamaredon переориентировался на украинские правительственные учреждения, используя шпионский фишинг и пользовательское вредоносное ПО, включая новый загрузчик PteroSand. Их тактика заключается в использовании USB-накопителей и сетевых накопителей для перемещения в горизонтальном направлении, а также в использовании продвинутой системы обфускации и инфраструктуры C&C, скрытой за туннелями Cloudflare. Использование различных инструментов, таких как PteroLNK и PteroBox, демонстрирует их адаптивную стратегию в области кибершпионажа при сохранении непрерывности операций и фильтрации данных.
-----

В 2024 году Gamaredon сосредоточил свое внимание на правительственных учреждениях Украины, переключившись с целей НАТО. Их методы атаки включают в себя кампании подводного фишинга и заказное вредоносное ПО, которое использует USB-накопители и сетевые диски для перемещения по сети. Тактика подводной охоты включает в себя электронные письма с вредоносными архивами или XHTML-файлами, использующими методы контрабанды HTML. Эти архивы содержат HTA или LNK-файлы, которые активируют mshta.exe для загрузки других вредоносных программ, в том числе нового загрузчика под названием PteroSand. Gamaredon представила шесть новых инструментов, в основном написанных на PowerShell или VBScript, для усиления усилий в области кибершпионажа, уделяя особое внимание усовершенствованию существующих инструментов для скрытности и обфускации. Их инфраструктура командования и контроля скрыта туннелями Cloudflare, что указывает на усовершенствованную тактику уклонения. Два последовательных метода доступа - это подводная охота и инструменты weaponizer, нацеленные на USB-устройства и создающие вредоносные файлы LNK, которые устанавливают вредоносное ПО Gamaredon. Обновленный VBScript-оружейник PteroLNK теперь превращает в оружие как USB, так и подключенные сетевые диски, создавая вредоносные файлы LNK, связанные с существующими именами документов. Новые инструменты, такие как PteroTickle и PteroGraphin, позволяют сканировать и использовать Tcl-скрипты, а также отправлять зашифрованную полезную информацию с помощью Telegraph. PteroSand поддерживает постоянство выполнения запланированных задач, в то время как PteroBox отправляет файлы в Dropbox. PteroVDoor и PteroPSDoor размещают файлы с определенными расширениями в пользовательских каталогах, гарантируя, что дублирующиеся данные не будут удалены. Gamaredon продемонстрировал ограниченные операционные возможности, но при этом по-прежнему демонстрирует инновации в области обфускации и безопасности инфраструктуры. Их тактика все чаще включает сторонние DNS и методы обфускации, используя поддомены Cloudflare для повышения операционной безопасности от украинских правительственных целей.

#ParsedReport #CompletenessMedium
04-07-2025

From open source to open threat: Tracking Chaos RATs evolution

https://www.acronis.com/en-us/tru/posts/from-open-source-to-open-threat-tracking-chaos-rats-evolution/

Report completeness: Medium

Actors/Campaigns:
Winnti
Transparenttribe
Stone_panda
Blindeagle
Oilrig
Charming_kitten

Threats:
Chaos_rat
Cobalt_strike_tool
Sliver_c2_tool
Chaos_ransomware
Njrat
Quasar_rat
Asyncrat
Pupy_rat

Geo:
Portuguese, Brazil, French, Italian, India, Spanish, Japanese, Spain

CVEs:
CVE-2024-30850 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tiagorlampert chaos (5.0.1)

CVE-2024-31839 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tiagorlampert chaos (5.0.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.002, T1041, T1059, T1059.003, T1059.004, T1071.001, T1105, T1140, have more...

IOCs:
File: 5
IP: 2
Hash: 20

Soft:
Linux, task scheduler, macOS, Ubuntu

Algorithms:
base64, sha256

Functions:
ReadDir

Win API:
LockWorkStation

Languages:
javascript, golang

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT, троянская программа удаленного доступа Golang, нацеленная на Windows и Linux, эволюционировала с критическими уязвимостями, позволяющими удаленно выполнять код. Она использует фишинг и модифицирует cron-задания Unix-подобных систем для обеспечения их сохраняемости. Новые недостатки, связанные с внедрением команд в админ-панель, наряду с ее разнообразными функциональными возможностями, делают ее универсальным инструментом для хакеров.
-----

Acronis TRU выявила новые варианты Chaos RAT, троянской программы удаленного доступа (RAT), которая эволюционировала с момента своего появления в 2022 году. Написанный на Golang, Chaos RAT обеспечивает кроссплатформенную поддержку Windows и Linux, представляя собой привлекательный инструмент для хакеров благодаря своему открытому исходному коду. Последние разработки, проведенные в 2025 году, выявили критическую уязвимость в веб-панели Chaos RAT, которая позволяет злоумышленникам выполнять удаленный код на серверах, создавая значительные риски для скомпрометированных систем.

Chaos RAT обычно использует тактику фишинга для заражения целей, часто используя вредоносные скрипты, которые изменяют файл /etc/crontab в Unix-подобных системах для обеспечения сохраняемости. Эта методология позволяет злоумышленникам повторно извлекать и выполнять основную полезную нагрузку, не требуя постоянного доступа к цели. Последний обнаруженный инцидент был связан с файлом tar.gz, замаскированным под утилиту для устранения неполадок в сети, которая, возможно, заманивала жертв к загрузке RAT.

Архитектура Chaos RAT включает в себя административную панель для управления полезной нагрузкой с такими функциями, как установление сеанса, создание полезной нагрузки и мониторинг системы. Несмотря на то, что уровень обнаружения остается низким, его постоянные обновления, включая усовершенствования возможностей генерации полезной нагрузки и протоколов связи, указывают на продолжающиеся разработки, свидетельствующие о его стойкости к кибератакам. Панель управления, в частности, позволяет выполнять команды в режиме реального времени и поддерживает множество команд в обеих операционных системах.

Важно отметить, что в функции BuildClient от Chaos RAT, которая позволяет аутентифицированным пользователям вводить команды, которые могут выполняться на сервере, существует серьезная уязвимость в системе безопасности. Эта уязвимость возникает из-за недостаточной проверки, позволяющей внедрять команды, особенно при использовании межсайтового скриптинга (XSS) в контексте панели администратора. Этот аспект Chaos RAT демонстрирует, как инструментом, предназначенным для управления, можно манипулировать против его операторов.

Функциональные возможности вредоносного ПО включают манипулирование файлами, обратный доступ к командной строке и проксирование сетевого трафика. Эти возможности служат двум целям: сбору разведывательных данных и утечке данных, а также созданию плацдарма для последующих атак, таких как внедрение программ-вымогателей. Открытый исходный код Chaos RAT еще больше усложняет обнаружение и установление авторства, позволяя различным участникам, включая APT groups, использовать и модифицировать его компоненты для различных кампаний.

Согласно недавним наблюдениям, Acronis Cyber Protect Cloud успешно обнаружила компоненты Chaos RAT в смешанных операционных средах. Это включает в себя обнаружение, сопоставленное с платформой MITRE ATT&CK framework, что позволяет защитникам получать полезную информацию. Расширенная поддержка EDR для сред Linux означает эволюцию возможностей обнаружения угроз, позволяющую автоматически реагировать на них, например, останавливать процессы и помещать вредоносные объекты в карантин.

#ParsedReport #CompletenessLow
04-07-2025

RondoDox Unveiled: Breaking Down a New Botnet Threat

https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat

Report completeness: Low

Threats:
Rondodox
Xmrig_miner
Netstat_tool
Netcat_tool
Mirai
Bashlite
Redtail

Industry:
Entertainment

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-12856 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1037.005, T1048, T1059.004, T1070.003, T1095, T1190, T1489, T1490, have more...

IOCs:
File: 1
Email: 1
IP: 6
Hash: 29

Soft:
Linux, crontab, curl, Roblox, Fortnite, Discord, WireGuard

Algorithms:
xor

Platforms:
intel, mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RondoDox - это сложная ботнет-сеть, использующая уязвимости CVE-2024-3721 и CVE-2024-12856 в TBK DVR и маршрутизаторах Four-Faith, позволяющие удаленно выполнять команды. Он использует передовые методы обхода, включая обфускацию XOR и тактику антианализа, обеспечивая при этом постоянство с помощью изменений в файлах запуска. RondoDox также проводит DDoS-атаки по нескольким протоколам, имитируя законный трафик, чтобы избежать обнаружения.
-----

RondoDox - это недавно обнаруженный ботнет, который стал серьезной угрозой в сфере кибербезопасности. Лаборатория FortiGuard сообщила о заметном увеличении активности сканирования, связанной с этим ботнетом, который использует две критические уязвимости: CVE-2024-3721 и CVE-2024-12856. Первая уязвимость затрагивает модели видеорегистраторов TBK, позволяя удаленным злоумышленникам выполнять команды, манипулируя параметрами в путях ответа системы. Вторая уязвимость затрагивает модели маршрутизаторов Four-Faith, позволяя выполнять аналогичные команды через HTTP-интерфейс. Обе уязвимости были публично раскрыты и активно используются злоумышленниками, что приводит к существенным угрозам безопасности.

В отличие от хорошо известных ботнетов, таких как Mirai, RondoDox относительно малозаметен, но сложен и использует передовые методы уклонения, чтобы избежать обнаружения. Изначально он был разработан для операционных систем на базе Linux с архитектурами ARM и MIPS, но со временем стал включать в себя широкий спектр архитектур, таких как Intel 80386 и x86-64. Вредоносная программа доставляется с помощью командного скрипта, который настраивает систему жертвы на игнорирование определенных сигналов и проверяет доступные для записи пути установки. После развертывания RondoDox создает библиотеку в каталоге "/tmp" для загрузки самой вредоносной программы и скрывает ее присутствие, удаляя историю выполнения команд.

RondoDox использует элементарную схему обфускации XOR для своих конфигурационных данных, которая включает в себя важные рабочие детали, такие как пути к файлам. Закодированная конфигурация может быть легко расшифрована с помощью указанного шестнадцатеричного ключа. После запуска вредоносная программа сохраняет работоспособность в скомпрометированных системах, изменяя права доступа к файлам и создавая символические ссылки. Она добавляет команды к различным системным файлам запуска и записям crontab, создавая множество возможностей для восстановления после перезагрузки. Вредоносная программа также использует тактику антианализа, сканируя средства безопасности или конкурирующие вредоносные программы и немедленно завершая их работу, чтобы избежать обнаружения.

В рамках своей операционной стратегии RondoDox нарушает основные функции системы, переименовывая исполняемые файлы случайными символьными строками, тем самым снижая стабильность системы. Его командно-контрольная связь (C2) маскируется путем эмуляции законного сетевого трафика, имитации популярных игровых и чат-приложений, что создает дополнительные проблемы для защитников кибербезопасности, пытающихся отслеживать или блокировать его активность. Ботнет способен проводить распределенные атаки типа "отказ в обслуживании" (DDoS) по различным протоколам, включая HTTP, UDP и TCP.

#ParsedReport #CompletenessLow
04-07-2025

Apache Under the Lens: Tomcats Partial PUT and Camels Header Hijack

https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/

Report completeness: Low

Actors/Campaigns:
Atlas_lion

Victims:
Apache tomcat users, Apache camel users

CVEs:
CVE-2025-27636 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)

CVE-2025-24813 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)

CVE-2025-29891 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1071.001, T1190, T1210, T1505.003, T1608.001

IOCs:
File: 4
IP: 30
Hash: 2

Soft:
Apache Tomcat

Algorithms:
sha256

Languages:
java

Links:
https://github.com/apache/tomcat
https://github.com/projectdiscovery/nuclei-templates/
https://github.com/apache/camel
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года критические уязвимости (CVE-2025-24813, CVE-2025-27636, CVE-2025-29891) в Apache Tomcat и Camel позволили удаленно выполнять код с помощью специально созданных HTTP-запросов, что повлияло на определенные версии. После раскрытия информации было задокументировано более 125 000 попыток сканирования, что свидетельствует об активных попытках хакеров использовать систему в своих целях, что требует оперативного внесения исправлений организациями.
-----

В марте 2025 года Apache Software Foundation раскрыла критические уязвимости, затрагивающие Apache Tomcat и Apache Camel, в частности, CVE-2025-24813, CVE-2025-27636 и CVE-2025-29891. CVE-2025-24813 позволяет злоумышленникам удаленно выполнять произвольный код из-за ошибки в функции сохранения сеанса Apache Tomcat, которая хранит сериализованные данные сеанса. Уязвимость затрагивает версии Tomcat в диапазоне от 9.0.0.M1 до 9.0.98, от 10.1.0-M1 до 10.1.34 и от 11.0.0-M1 до 11.0.2. Злоумышленники могут перезаписывать сериализованные файлы сеансов на диске с помощью созданных HTTP-запросов PUT, что позволяет им управлять идентификаторами сеансов и именами файлов для запуска десериализации вредоносного кода.

Чтобы воспользоваться этой уязвимостью, злоумышленник сначала отправляет полезную информацию, содержащую сериализованный вредоносный код, с помощью HTTP-запроса PUT. Уязвимый экземпляр Tomcat кэширует этот вредоносный код, который хранится под именем файла .session. Впоследствии злоумышленник запускает эксплойт с помощью HTTP-запроса GET, который включает специально созданный файл cookie JSESSIONID, чтобы инициировать десериализацию кэшированного файла, выполняя встроенный вредоносный код. Этот метод подчеркивает важность HTTP-заголовка Content-Range при использовании.

Уязвимости в Apache Camel позволяют выполнять аналогичный удаленный код из-за недостатков, выявленных в версиях с 3.10.0 по 3.22.3, и связаны с функциями маршрутизации сообщений в программном обеспечении. Этим можно воспользоваться, указав заголовки, которые манипулируют командами выполнения. Обе уязвимости демонстрируют всплеск активности в области сканирования и зондирования после раскрытия информации: вскоре после объявления об уязвимостях по всему миру было зарегистрировано более 125 000 попыток сканирования. Исследования подтвердили наличие активной эксплуатации, что подчеркивает необходимость оперативного применения организациями имеющихся исправлений.

Palo Alto Networks сообщила о значительном количестве заблокированных попыток эксплойта, связанных с этими уязвимостями, что указывает на широко распространенные попытки хакеров использовать эти недостатки для несанкционированного доступа. Наблюдаемые закономерности использования позволяют предположить, что злоумышленники используют такие инструменты, как Nuclears Scanner, позволяющие упростить обнаружение этих уязвимостей и остающиеся серьезной проблемой для организаций, использующих уязвимые версии программного обеспечения. Организациям рекомендуется обеспечить своевременное внедрение всех исправлений безопасности для снижения рисков, связанных с этими уязвимостями.

#ParsedReport #CompletenessMedium
04-07-2025

Janela RAT and a stealer extension delivered together

https://medium.com/walmartglobaltech/janela-rat-and-a-stealer-extension-delivered-together-e274469a7df8?source=rss-36e34fe15919------2

Report completeness: Medium

Threats:
Janela_rat
Terminator_tool
Dotnet_reactor_tool
Eziriz_tool

Geo:
Latam

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1071.001, T1105, T1119, T1136

IOCs:
Url: 7
Hash: 8
File: 25
Domain: 3
Path: 1

Soft:
Chromium, chrome

Algorithms:
base64, zip, deflate

Functions:
Remove-Item, loadConfig, collectReresh, Date

Win API:
getSystemInfo

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Janela РАТ, связанная с BX RAT, нацелена на пользователей в Латинской Америке с помощью вредоносных расширений для браузера, которые извлекают конфиденциальные данные. Он использует сложный метод развертывания, включающий исполняемый файл GoLang и сценарии PowerShell, взаимодействует со своим сервером C2 через WebSocket и использует методы обфускации для уклонения.
-----

Сообщается, что Janela RAT, идентифицированная как вариант BX RAT, ориентирована на пользователей в Латинской Америке. Исследование последних кампаний показало, что Janela поставляется вместе с вредоносным расширением для браузера, предназначенным для извлечения конфиденциальных данных. Кампания включает в себя сложные методы работы в браузерах на базе Chromium, использующие различные типы файлов, включая пакетные сценарии DOS и ZIP-архивы.

ZIP-архив содержит важные элементы: расширение для браузера и исполняемый файл Janela RAT под названием LPrKz6y2fG.exe, созданный на GoLang. Примечательно, что в исполняемом файле содержится пароль для ZIP-файла, что позволяет повысить степень запутывания и безопасности. Развертывание включает в себя сценарии, облегчающие распаковку файла и создание сценария PowerShell, который запускает выполнение двоичного файла GoLang.

Janela RAT взаимодействует со своим сервером управления (C2) через WebSocket и в значительной степени использует Chrome.runtime API для выполнения команд. Для обработки команд, отправляемых с C2, была реализована специальная функциональность, позволяющая эффективно обрабатывать их с помощью исполняемого файла, который генерирует результаты. Важной особенностью этого RAT является его обфусцированный код, использующий ресурсы, предоставляемые Eziriz .NET reactor, хотя известны методы деобфусцирования его двоичного кода.

Конфигурация, генерируемая вредоносной программой, включает в себя список хранилищ, необходимых для поддержания текущих коммуникаций C2. Высокоорганизованное и многоуровневое развертывание Janela RAT демонстрирует намерение злоумышленника скомпрометировать системы с помощью различных тактических приемов, обеспечивая устойчивость и уклонение от механизмов обнаружения.

#ParsedReport #CompletenessLow
04-07-2025

Amos hiding in GitHub

https://medium.com/walmartglobaltech/amos-hiding-in-github-199eabea6605?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Amos_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1059.002, T1082, T1105, T1140, T1497.001

IOCs:
Hash: 3
File: 7
Url: 1
Domain: 4

Soft:
QEMU, Ledger Live, LEDGER-LIVE

Algorithms:
zip, base64, xor

Functions:
getUsernameParam

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4