#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT, троянская программа удаленного доступа Golang, нацеленная на Windows и Linux, эволюционировала с критическими уязвимостями, позволяющими удаленно выполнять код. Она использует фишинг и модифицирует cron-задания Unix-подобных систем для обеспечения их сохраняемости. Новые недостатки, связанные с внедрением команд в админ-панель, наряду с ее разнообразными функциональными возможностями, делают ее универсальным инструментом для хакеров.
-----

Acronis TRU выявила новые варианты Chaos RAT, троянской программы удаленного доступа (RAT), которая эволюционировала с момента своего появления в 2022 году. Написанный на Golang, Chaos RAT обеспечивает кроссплатформенную поддержку Windows и Linux, представляя собой привлекательный инструмент для хакеров благодаря своему открытому исходному коду. Последние разработки, проведенные в 2025 году, выявили критическую уязвимость в веб-панели Chaos RAT, которая позволяет злоумышленникам выполнять удаленный код на серверах, создавая значительные риски для скомпрометированных систем.

Chaos RAT обычно использует тактику фишинга для заражения целей, часто используя вредоносные скрипты, которые изменяют файл /etc/crontab в Unix-подобных системах для обеспечения сохраняемости. Эта методология позволяет злоумышленникам повторно извлекать и выполнять основную полезную нагрузку, не требуя постоянного доступа к цели. Последний обнаруженный инцидент был связан с файлом tar.gz, замаскированным под утилиту для устранения неполадок в сети, которая, возможно, заманивала жертв к загрузке RAT.

Архитектура Chaos RAT включает в себя административную панель для управления полезной нагрузкой с такими функциями, как установление сеанса, создание полезной нагрузки и мониторинг системы. Несмотря на то, что уровень обнаружения остается низким, его постоянные обновления, включая усовершенствования возможностей генерации полезной нагрузки и протоколов связи, указывают на продолжающиеся разработки, свидетельствующие о его стойкости к кибератакам. Панель управления, в частности, позволяет выполнять команды в режиме реального времени и поддерживает множество команд в обеих операционных системах.

Важно отметить, что в функции BuildClient от Chaos RAT, которая позволяет аутентифицированным пользователям вводить команды, которые могут выполняться на сервере, существует серьезная уязвимость в системе безопасности. Эта уязвимость возникает из-за недостаточной проверки, позволяющей внедрять команды, особенно при использовании межсайтового скриптинга (XSS) в контексте панели администратора. Этот аспект Chaos RAT демонстрирует, как инструментом, предназначенным для управления, можно манипулировать против его операторов.

Функциональные возможности вредоносного ПО включают манипулирование файлами, обратный доступ к командной строке и проксирование сетевого трафика. Эти возможности служат двум целям: сбору разведывательных данных и утечке данных, а также созданию плацдарма для последующих атак, таких как внедрение программ-вымогателей. Открытый исходный код Chaos RAT еще больше усложняет обнаружение и установление авторства, позволяя различным участникам, включая APT groups, использовать и модифицировать его компоненты для различных кампаний.

Согласно недавним наблюдениям, Acronis Cyber Protect Cloud успешно обнаружила компоненты Chaos RAT в смешанных операционных средах. Это включает в себя обнаружение, сопоставленное с платформой MITRE ATT&CK framework, что позволяет защитникам получать полезную информацию. Расширенная поддержка EDR для сред Linux означает эволюцию возможностей обнаружения угроз, позволяющую автоматически реагировать на них, например, останавливать процессы и помещать вредоносные объекты в карантин.

#ParsedReport #CompletenessLow
04-07-2025

RondoDox Unveiled: Breaking Down a New Botnet Threat

https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat

Report completeness: Low

Threats:
Rondodox
Xmrig_miner
Netstat_tool
Netcat_tool
Mirai
Bashlite
Redtail

Industry:
Entertainment

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-12856 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1037.005, T1048, T1059.004, T1070.003, T1095, T1190, T1489, T1490, have more...

IOCs:
File: 1
Email: 1
IP: 6
Hash: 29

Soft:
Linux, crontab, curl, Roblox, Fortnite, Discord, WireGuard

Algorithms:
xor

Platforms:
intel, mips, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RondoDox - это сложная ботнет-сеть, использующая уязвимости CVE-2024-3721 и CVE-2024-12856 в TBK DVR и маршрутизаторах Four-Faith, позволяющие удаленно выполнять команды. Он использует передовые методы обхода, включая обфускацию XOR и тактику антианализа, обеспечивая при этом постоянство с помощью изменений в файлах запуска. RondoDox также проводит DDoS-атаки по нескольким протоколам, имитируя законный трафик, чтобы избежать обнаружения.
-----

RondoDox - это недавно обнаруженный ботнет, который стал серьезной угрозой в сфере кибербезопасности. Лаборатория FortiGuard сообщила о заметном увеличении активности сканирования, связанной с этим ботнетом, который использует две критические уязвимости: CVE-2024-3721 и CVE-2024-12856. Первая уязвимость затрагивает модели видеорегистраторов TBK, позволяя удаленным злоумышленникам выполнять команды, манипулируя параметрами в путях ответа системы. Вторая уязвимость затрагивает модели маршрутизаторов Four-Faith, позволяя выполнять аналогичные команды через HTTP-интерфейс. Обе уязвимости были публично раскрыты и активно используются злоумышленниками, что приводит к существенным угрозам безопасности.

В отличие от хорошо известных ботнетов, таких как Mirai, RondoDox относительно малозаметен, но сложен и использует передовые методы уклонения, чтобы избежать обнаружения. Изначально он был разработан для операционных систем на базе Linux с архитектурами ARM и MIPS, но со временем стал включать в себя широкий спектр архитектур, таких как Intel 80386 и x86-64. Вредоносная программа доставляется с помощью командного скрипта, который настраивает систему жертвы на игнорирование определенных сигналов и проверяет доступные для записи пути установки. После развертывания RondoDox создает библиотеку в каталоге "/tmp" для загрузки самой вредоносной программы и скрывает ее присутствие, удаляя историю выполнения команд.

RondoDox использует элементарную схему обфускации XOR для своих конфигурационных данных, которая включает в себя важные рабочие детали, такие как пути к файлам. Закодированная конфигурация может быть легко расшифрована с помощью указанного шестнадцатеричного ключа. После запуска вредоносная программа сохраняет работоспособность в скомпрометированных системах, изменяя права доступа к файлам и создавая символические ссылки. Она добавляет команды к различным системным файлам запуска и записям crontab, создавая множество возможностей для восстановления после перезагрузки. Вредоносная программа также использует тактику антианализа, сканируя средства безопасности или конкурирующие вредоносные программы и немедленно завершая их работу, чтобы избежать обнаружения.

В рамках своей операционной стратегии RondoDox нарушает основные функции системы, переименовывая исполняемые файлы случайными символьными строками, тем самым снижая стабильность системы. Его командно-контрольная связь (C2) маскируется путем эмуляции законного сетевого трафика, имитации популярных игровых и чат-приложений, что создает дополнительные проблемы для защитников кибербезопасности, пытающихся отслеживать или блокировать его активность. Ботнет способен проводить распределенные атаки типа "отказ в обслуживании" (DDoS) по различным протоколам, включая HTTP, UDP и TCP.

#ParsedReport #CompletenessLow
04-07-2025

Apache Under the Lens: Tomcats Partial PUT and Camels Header Hijack

https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/

Report completeness: Low

Actors/Campaigns:
Atlas_lion

Victims:
Apache tomcat users, Apache camel users

CVEs:
CVE-2025-27636 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)

CVE-2025-24813 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)

CVE-2025-29891 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1071.001, T1190, T1210, T1505.003, T1608.001

IOCs:
File: 4
IP: 30
Hash: 2

Soft:
Apache Tomcat

Algorithms:
sha256

Languages:
java

Links:
https://github.com/apache/tomcat
https://github.com/projectdiscovery/nuclei-templates/
https://github.com/apache/camel
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года критические уязвимости (CVE-2025-24813, CVE-2025-27636, CVE-2025-29891) в Apache Tomcat и Camel позволили удаленно выполнять код с помощью специально созданных HTTP-запросов, что повлияло на определенные версии. После раскрытия информации было задокументировано более 125 000 попыток сканирования, что свидетельствует об активных попытках хакеров использовать систему в своих целях, что требует оперативного внесения исправлений организациями.
-----

В марте 2025 года Apache Software Foundation раскрыла критические уязвимости, затрагивающие Apache Tomcat и Apache Camel, в частности, CVE-2025-24813, CVE-2025-27636 и CVE-2025-29891. CVE-2025-24813 позволяет злоумышленникам удаленно выполнять произвольный код из-за ошибки в функции сохранения сеанса Apache Tomcat, которая хранит сериализованные данные сеанса. Уязвимость затрагивает версии Tomcat в диапазоне от 9.0.0.M1 до 9.0.98, от 10.1.0-M1 до 10.1.34 и от 11.0.0-M1 до 11.0.2. Злоумышленники могут перезаписывать сериализованные файлы сеансов на диске с помощью созданных HTTP-запросов PUT, что позволяет им управлять идентификаторами сеансов и именами файлов для запуска десериализации вредоносного кода.

Чтобы воспользоваться этой уязвимостью, злоумышленник сначала отправляет полезную информацию, содержащую сериализованный вредоносный код, с помощью HTTP-запроса PUT. Уязвимый экземпляр Tomcat кэширует этот вредоносный код, который хранится под именем файла .session. Впоследствии злоумышленник запускает эксплойт с помощью HTTP-запроса GET, который включает специально созданный файл cookie JSESSIONID, чтобы инициировать десериализацию кэшированного файла, выполняя встроенный вредоносный код. Этот метод подчеркивает важность HTTP-заголовка Content-Range при использовании.

Уязвимости в Apache Camel позволяют выполнять аналогичный удаленный код из-за недостатков, выявленных в версиях с 3.10.0 по 3.22.3, и связаны с функциями маршрутизации сообщений в программном обеспечении. Этим можно воспользоваться, указав заголовки, которые манипулируют командами выполнения. Обе уязвимости демонстрируют всплеск активности в области сканирования и зондирования после раскрытия информации: вскоре после объявления об уязвимостях по всему миру было зарегистрировано более 125 000 попыток сканирования. Исследования подтвердили наличие активной эксплуатации, что подчеркивает необходимость оперативного применения организациями имеющихся исправлений.

Palo Alto Networks сообщила о значительном количестве заблокированных попыток эксплойта, связанных с этими уязвимостями, что указывает на широко распространенные попытки хакеров использовать эти недостатки для несанкционированного доступа. Наблюдаемые закономерности использования позволяют предположить, что злоумышленники используют такие инструменты, как Nuclears Scanner, позволяющие упростить обнаружение этих уязвимостей и остающиеся серьезной проблемой для организаций, использующих уязвимые версии программного обеспечения. Организациям рекомендуется обеспечить своевременное внедрение всех исправлений безопасности для снижения рисков, связанных с этими уязвимостями.

#ParsedReport #CompletenessMedium
04-07-2025

Janela RAT and a stealer extension delivered together

https://medium.com/walmartglobaltech/janela-rat-and-a-stealer-extension-delivered-together-e274469a7df8?source=rss-36e34fe15919------2

Report completeness: Medium

Threats:
Janela_rat
Terminator_tool
Dotnet_reactor_tool
Eziriz_tool

Geo:
Latam

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1071.001, T1105, T1119, T1136

IOCs:
Url: 7
Hash: 8
File: 25
Domain: 3
Path: 1

Soft:
Chromium, chrome

Algorithms:
base64, zip, deflate

Functions:
Remove-Item, loadConfig, collectReresh, Date

Win API:
getSystemInfo

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Janela РАТ, связанная с BX RAT, нацелена на пользователей в Латинской Америке с помощью вредоносных расширений для браузера, которые извлекают конфиденциальные данные. Он использует сложный метод развертывания, включающий исполняемый файл GoLang и сценарии PowerShell, взаимодействует со своим сервером C2 через WebSocket и использует методы обфускации для уклонения.
-----

Сообщается, что Janela RAT, идентифицированная как вариант BX RAT, ориентирована на пользователей в Латинской Америке. Исследование последних кампаний показало, что Janela поставляется вместе с вредоносным расширением для браузера, предназначенным для извлечения конфиденциальных данных. Кампания включает в себя сложные методы работы в браузерах на базе Chromium, использующие различные типы файлов, включая пакетные сценарии DOS и ZIP-архивы.

ZIP-архив содержит важные элементы: расширение для браузера и исполняемый файл Janela RAT под названием LPrKz6y2fG.exe, созданный на GoLang. Примечательно, что в исполняемом файле содержится пароль для ZIP-файла, что позволяет повысить степень запутывания и безопасности. Развертывание включает в себя сценарии, облегчающие распаковку файла и создание сценария PowerShell, который запускает выполнение двоичного файла GoLang.

Janela RAT взаимодействует со своим сервером управления (C2) через WebSocket и в значительной степени использует Chrome.runtime API для выполнения команд. Для обработки команд, отправляемых с C2, была реализована специальная функциональность, позволяющая эффективно обрабатывать их с помощью исполняемого файла, который генерирует результаты. Важной особенностью этого RAT является его обфусцированный код, использующий ресурсы, предоставляемые Eziriz .NET reactor, хотя известны методы деобфусцирования его двоичного кода.

Конфигурация, генерируемая вредоносной программой, включает в себя список хранилищ, необходимых для поддержания текущих коммуникаций C2. Высокоорганизованное и многоуровневое развертывание Janela RAT демонстрирует намерение злоумышленника скомпрометировать системы с помощью различных тактических приемов, обеспечивая устойчивость и уклонение от механизмов обнаружения.

#ParsedReport #CompletenessLow
04-07-2025

Amos hiding in GitHub

https://medium.com/walmartglobaltech/amos-hiding-in-github-199eabea6605?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Amos_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1059.002, T1082, T1105, T1140, T1497.001

IOCs:
Hash: 3
File: 7
Url: 1
Domain: 4

Soft:
QEMU, Ledger Live, LEDGER-LIVE

Algorithms:
zip, base64, xor

Functions:
getUsernameParam

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа AMOS демонстрирует сложное поведение, перемещая файл ".touchblock" для запуска, используя пользовательскую кодировку base64, чтобы избежать обнаружения. Она проверяет наличие виртуальных сред с помощью "osascript" и использует правило YARA для идентификации, связанное с поддельным приложением Ledger Live для распространения.
-----

Недавний анализ кампаний AMOS выявил образец сложной вредоносной программы, демонстрирующей заметное поведение. На начальном этапе необходимо переместить встроенный файл ".touchblock" во временную папку, где он впоследствии будет запущен. Этот файл содержит версии вредоносной программы AMOS как для x64, так и для ARM64. Механизм декодирования включает в себя разделение данных на три блока одинакового размера с последующим декодированием в base64 с помощью специально определенного пользовательского алфавита.

Сценарий развертывает проверку с использованием "osascript", взаимодействуя с командами профилирования системы, чтобы определить, является ли среда виртуальной машиной или конкретной аппаратной настройкой, связанной с устройствами Mac. Если найдены определенные ключевые слова или идентификаторы, такие как "QEMU", "VMware" или предопределенные идентификаторы оборудования, для кода завершения устанавливается значение 100, сигнализирующее о завершении; в противном случае код завершения остается равным 0, что позволяет продолжить выполнение.

Что касается методик обнаружения, то было определено правило YARA под названием "amos" с конкретными байтовыми шаблонами, направленными на идентификацию вредоносного ПО. При сканировании необработанных данных функция `yara_scan` проверяет соответствие правилам YARA и применяет к обнаруженным образцам расшифровку методом исключения. Примечательно, что анализ также показывает, что вредоносная программа использует нетрадиционный метод кодирования base64 в сочетании с пользовательским алфавитом, чтобы избежать простого обнаружения.

Серверы управления вредоносной программой (C2) оперативно подключены к развертыванию поддельного приложения Ledger Live, упакованного в архив `app.zip`, который содержит установщик для версии AMOS. Это подтверждает сложный, многоуровневый подход AMOS как к методам распространения, так и к исполнению, подчеркивая важность мониторинга этих специфических показателей в защите кибербезопасности. В целом, природа AMOS указывает на высокоадаптивную и сложную структуру угроз, которая использует как методы кодирования, так и проверки окружающей среды, чтобы максимизировать свои шансы на то, что она останется незамеченной.

#ParsedReport #CompletenessHigh
04-07-2025

Shadow Vector targets Colombian users via privilege escalation and court-themed SVG decoys

https://www.acronis.com/en-us/tru/posts/shadow-vector-targets-colombian-users-via-privilege-escalation-and-court-themed-svg-decoys/

Report completeness: High

Actors/Campaigns:
Shadow_vector (motivation: financially_motivated, cyber_criminal, information_theft)

Threats:
Asyncrat
Dll_sideloading_technique
Spear-phishing_technique
Katz_loader
Uac_bypass_technique
Process_injection_technique
Smuggling_technique
Dllsearchorder_hijacking_technique
Process_hollowing_technique
Killproxy_tool
Anydesk_tool
Remcos_rat
Zemana_tool
Icarus
Putty_tool

Victims:
Individuals, Organizations, Judicial employees, Citizens

Industry:
Financial, Transport

Geo:
Spanish, Colombia, French, Brazilian, Latin american, Japanese, Portuguese, Brazil, Spain, Latin america, Colombian

CVEs:
CVE-2022-42045 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchdog anti-virus (4.1.422)
- zemana antimalware (3.2.28)

CVE-2023-1486 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wisecleaner wise_force_deleter (1.5.3.54)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.001, T1012, T1021.001, T1027, T1027.002, T1027.003, T1036.005, T1053.005, T1055, have more...

IOCs:
Hash: 161
File: 30
Domain: 1
Coin: 1
Command: 3
Path: 1

Soft:
Dropbox, Discord, VirtualBox, Ledger_Live, Chrome

Wallets:
ergo_wallet, exodus_wallet, coinomi, bitcoincore

Crypto:
binance

Algorithms:
rc4, base64, sha256, zip, xor, aes

Functions:
BrotliEncoderCreateInstance, Windows, ProcessStartInfo, SetWindowsHookEx, HookCallback, Plugins

Win API:
NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, NtWriteVirtualMemory, NtResumeThread, CheckRemoteDebuggerPresent, Decompress, GetFileVersionInfoSizeW, GetProcAddress, Process32First, have more...

Win Services:
ekrn, mfemms, McShield, AvastSvc, MsMpEng

Languages:
powershell, javascript

YARA: Found

Links:
https://github.com/Securityinbits/AsyncRAT-Analysis/blob/main/CyberChef\_Recipe.md
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_katz\_stealer.yar

#ParsedReport #ExtractedSchema

Classified images:
dump: 5, windows: 4, schema: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Shadow Vector нацелена на колумбийских пользователей с помощью фишинговых электронных писем, содержащих вредоносные SVG-файлы, которые загружают полезную нагрузку, такую как AsyncRAT, используя для выполнения стороннюю загрузку DLL. В нем реализованы передовые методы обхода, меры по предотвращению анализа и постоянство выполнения запланированных задач и внесения изменений в реестр с упором на кейлоггинг и эксфильтрацию данных. В последних обновлениях представлены усовершенствованные загрузчики, работающие в памяти, и методы обхода контроля учетных записей, что указывает на растущую изощренность местных хакеров.
-----

Было обнаружено, что текущая вредоносная кампания под названием Shadow Vector активно нацелена на пользователей в Колумбии с помощью вредоносных файлов SVG, замаскированных под официальные уведомления. Фишинговые электронные письма, выдающие себя за доверенные учреждения, используют эту тактику, используя контрабанду SVG, чтобы скрыть вредоносный контент, но при этом выглядеть правдоподобно. Файлы SVG, известные своей способностью отображаться без срабатывания фильтров безопасности в системах электронной почты, используются для распространения полезной информации с помощью ссылок на удаленные скрипты или ZIP-файлы, защищенные паролем. Эти архивы обычно содержат набор доброкачественных и вредоносных файлов, часто включающих библиотеки DLL, связанные со средствами удаленного доступа (RATs), такими как AsyncRAT и Remc, которые предоставляются с помощью сторонней загрузки библиотек DLL и методов повышения привилегий.

Злоумышленники используют многоступенчатую цепочку заражения, начиная с файлов JavaScript, выдаваемых за юридические уведомления, которые впоследствии загружают дополнительные скрипты, извлекающие библиотеки DLL в кодировке base64 из онлайн-источников, включая общедоступные файлообменные сервисы. В процессе заражения используется сторонняя загрузка библиотеки DLL, когда исполняемый файл-приманка загружает вредоносную библиотеку DLL, которая позволяет выполнять полезную нагрузку AsyncRAT. Этот метод использует порядок поиска библиотеки DLL в Windows для загрузки вредоносной версии библиотеки DLL из каталога, контролируемого злоумышленником, в рамках, казалось бы, законного процесса, реализуя удаление процесса для выполнения вредоносного кода в надежных средах.

Вредоносная программа обладает расширенными возможностями, включая средства антианализа и проверку среды безопасности, что гарантирует ее скрытную работу. Она обеспечивает постоянство работы с помощью запланированных задач и изменений реестра, что позволяет ей запускаться с повышенными привилегиями при запуске системы. Функциональность вредоносного ПО включает в себя кейлоггинг, утечку данных и кражу учетных данных, в частности, нацеленных на конфиденциальные данные, такие как банковская информация. Кроме того, код включает избыточность для командно-контрольных коммуникаций (C2), гарантируя, что в случае сбоя одного метода подключения он попытается использовать другие, тем самым сохраняя свою работоспособность.

В последних версиях кампании был применен обновленный подход, еще более усовершенствовавший методы уклонения с помощью сложных загрузчиков, которые работают исключительно в памяти. Недавние кампании включают в себя такие элементы, как обход контроля учетных записей и динамическая загрузка полезной нагрузки, а строки на португальском языке указывают на ссылки на аналогичные разработки в соседних регионах, особенно в Бразилии. Этот меняющийся ландшафт угроз свидетельствует о растущей изощренности региональных хакеров, демонстрирующих свою оперативную гибкость и способность к крупномасштабным фишинговым атакам при одновременном использовании общедоступных платформ для противодействия усилиям по обнаружению и установлению авторства.

#ParsedReport #CompletenessLow
04-07-2025

Introduction

https://www.wiz.io/blog/exposed-jdwp-exploited-in-the-wild

Report completeness: Low

Threats:
Xmrig_miner

Victims:
Wiz research team (honeypot server owners)

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1046, T1053.003, T1059.004, T1070.004, T1105, T1190, T1496, T1543.002, T1547.001, have more...

IOCs:
File: 4
Hash: 9
IP: 7
Url: 4

Soft:
TeamCity, JetBrains, Jenkins, Selenium, Apache Tomcat, curl, systemd, sudo, Linux, crontab, have more...

Algorithms:
sha1

Functions:
exec, CreateString, add_to_startup

Languages:
java

Links:
https://github.com/IOActive/jdwp-shellifier

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Неправильно сконфигурированный интерфейс Java Debug Wire Protocol (JDWP) позволил злоумышленнику удаленно выполнять команды на сервере TeamCity, что привело к развертыванию полезной нагрузки для криптодобычи. Злоумышленник использовал класс Java Runtime для запуска сценария оболочки для установки майнера криптовалюты XMRig и создания механизмов сохранения, избегая обнаружения с помощью маскировки и модификации системных служб.
-----

Исследовательская группа Wiz выявила попытку использования удаленного выполнения кода (RCE), направленную на сервер honeypot под управлением TeamCity, чему способствовал открытый интерфейс Java Debug Wire Protocol (JDWP). JDWP, инструмент отладки Java—приложений, стал точкой входа для злоумышленника из-за его неправильной настройки - в первую очередь из-за отсутствия аутентификации и контроля доступа при выходе в Интернет. Это позволило злоумышленнику удаленно выполнять произвольные команды, что позволило развернуть полезную нагрузку для криптомайнинга вскоре после того, как уязвимый компьютер стал доступен.

Получив доступ к honeypot, злоумышленник подтвердил, что интерфейс JDWP активен, отправив запрос на подтверждение связи. Это взаимодействие не только подтвердило работоспособность интерфейса, но и предоставило подробную информацию о процессе Java и загруженных в него классах. Впоследствии злоумышленник вызвал системные команды, используя класс Java Runtime class, для выполнения сценария оболочки с именем logservice.sh. Этот сценарий был разработан для отключения конкурирующих процессов, удаления модифицированной версии XMRig (майнера криптовалюты) и установки механизмов сохранения в различных файлах конфигурации оболочки и запланированных задачах.

Внедренный скрипт logservice.sh выполнял множество функций, включая завершение задач с высокой загрузкой процессора и обеспечение автоматического запуска вредоносного майнера при запуске системы, перезагрузке и через запланированные промежутки времени. Он использовал тактику, позволяющую избежать обнаружения, используя имя, похожее на имя законной службы logrotate, что еще больше помогло избежать обнаружения. Настраиваемая полезная нагрузка XMRig была жестко запрограммирована для устранения аргументов командной строки, которые могли вызвать предупреждения системы безопасности, что повысило ее скрытность во время работы.

Что касается стойкости, злоумышленник использовал различные методы, такие как модификация загрузочных скриптов на основе дистрибутива Linux и создание поддельной службы systemd, маскирующейся под logrotate, указывающей на их вредоносный двоичный файл с целью постоянных перезапусков. Внедрение этих механизмов сохранения данных свидетельствует о растущей изощренности хакеров в поддержании контроля над скомпрометированными средами.

Датчик Wiz Runtime Sensor активно обнаруживает этот тип взлома, отслеживая конкретные события и поведение, связанные с атакой, и отслеживая каждый шаг от первоначального использования до активных операций по криптодобыче. Использование собственных правил YARA позволяет обнаруживать возникающие угрозы, фиксировать изменения, внесенные в системные службы, и выполнение вредоносного ПО. Этот инцидент подчеркивает критические последствия неправильно сконфигурированных интерфейсов JDWP и модели быстрого использования, наблюдаемые в современных условиях кибербезопасности.