#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модуль Python pickle представляет собой уязвимость в моделях машинного обучения, позволяющую выполнять произвольный код во время десериализации. Злоумышленники используют это, внедряя вредоносный код в pth-файлы, что приводит к загрузке и запуску троянских программ удаленного доступа (RATs) с использованием таких инструментов, как VShell, что выявляет риски цепочки поставок программного обеспечения в надежных хранилищах искусственного интеллекта.
-----

Недавние расследования деятельности хакеров выявили значительный риск, связанный с экосистемой Python, особенно в отношении моделей машинного обучения, которые используют модуль pickle для сериализации. Этот модуль, широко используемый для сохранения и загрузки сложных объектов, обладает критической уязвимостью: он может выполнять произвольный код в процессе десериализации. Злоумышленники все чаще используют эту уязвимость, внедряя вредоносный код в сериализованные файлы моделей, в частности, в pth-файлы, используемые в PyTorch.

В одном примечательном случае исследователи выявили вредоносные файлы модели PyTorch, загруженные на авторитетные платформы, такие как Hugging Face. Эти скомпрометированные файлы были связаны с подозрительной учетной записью пользователя и после десериализации с помощью функции torch.load() выполняли встроенные команды оболочки, предназначенные для загрузки и запуска троянских программ удаленного доступа (RATs). Одна из таких полезных данных включала двоичный файл ELF на базе Go, который вызывался обратно на сервер управления (C2), скрытый через туннель Cloudflare, - тактика, которая помогает избежать обнаружения и установления авторства.

Специфика атаки заключается в командах оболочки, которые автоматически загружают исполняемые файлы с помощью curl или wget и выполняют их непосредственно в оболочке, не сохраняя на диске. Например, файлы пытались загрузить скрипт с удаленного сервера и выполнить его, что позволило получить дополнительный контроль над скомпрометированными системами. Использование платформы VShell C2, которая поддерживает различные операционные системы и предоставляет такие возможности, как удаленное выполнение команд и передача файлов, указывает на изощренный характер этих атак. Изначально предназначенный для операций red team, VShell стал излюбленным инструментом злоумышленников, позволяющим им скрытно проводить операции через зашифрованные веб-сокеты.

Кроме того, полученные данные свидетельствуют о тенденции злоупотребления надежными хранилищами искусственного интеллекта в качестве каналов распространения вредоносного ПО, связывая уязвимости цепочки поставок программного обеспечения с растущим уровнем угроз. Риск, связанный с использованием pickle для ненадежных источников, является существенным, поскольку он позволяет выполнять скрытый код, проявляющийся в виде реальных угроз, когда злоумышленники внедряют вредоносное ПО, используя такие инструменты, как Cobalt Strike и Metasploit. Эта эскалация подчеркивает необходимость того, чтобы специалисты по безопасности тщательно изучали сериализованные файлы моделей с той же тщательностью, что и при выполнении традиционного кода, поскольку взаимодействие моделей ML и кибербезопасности продолжает развиваться.

#ParsedReport #CompletenessLow
05-07-2025

Scattered Spider: Rapid7 Insights, Observations, and Recommendations

https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)

Threats:
Sim_swapping_technique
Teleport_tool
Byovd_technique
Blackcat
Mfa_bombing_technique
Teamviewer_tool
Screenconnect_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Fleetdeck_tool
Psexec_tool
Credential_dumping_technique
Lolbin_technique
Mimikatz_tool
Stonestop
Poortry
Dragonforce_ransomware

Victims:
Large enterprises, Telecommunications firms, Outsourcing firms, Cloud companies, Technology companies, Retailers, Finance companies, Airline sector, Uk retailers, Airlines, have more...

Industry:
Telco, Retail, Entertainment, Financial, Aerospace

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet_diagnostics_driver_iqvw32.sys (1.03.0.7)
- intel ethernet_diagnostics_driver_iqvw64.sys (1.03.0.7)

CVE-2021-35464 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- forgerock access_management (<6.5.4)
- forgerock openam (<14.6.3)


TTPs:

Soft:
Windows Remote Desktop, psexec

Functions:
AWS

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, нацеленная на крупные предприятия с помощью сложной социальной инженерии и многоэтапных вторжений. Они используют тактику ИТ-службы поддержки, усталость от работы с MFA и уязвимости, такие как CVE-2021-35464, для доступа, используя такие инструменты, как TeamViewer, для сохранения. Их операции сосредоточены на краже данных и вымогательстве, включая сотрудничество с программами-вымогателями и заметные нарушения, такие как MGM Resorts.
-----

Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, действующая с мая 2022 года.

Они ориентированы на крупные предприятия, особенно в сфере телекоммуникаций, облачных технологий, розничной торговли, финансов и авиаперевозок.

Группа использует сложную социальную инженерию, в частности, выдает себя за ИТ-службу поддержки, чтобы получить доступ.

Их тактика эволюционировала от фишинга и обмена SIM-картами до сложных многоэтапных вторжений в облачные и локальные среды.

Они используют методы MITRE ATT&CK, включая фишинг (T1566), информационный фишинг (T1598), выполнение действий пользователя (T1204) и усталость от работы с MFA (T1621).

Они используют законные инструменты удаленного доступа, такие как TeamViewer, ScreenConnect, Splashtop и Teleport, для обеспечения надежного долгосрочного доступа.

Они используют облачные инструменты управления для подсчета и горизонтального перемещения, используя API AWS для сбора данных об экземплярах EC2 и ролях IAM.

Для навигации по корпоративным сетям используются внутренние протоколы, такие как RDP и SMB.

Они используют такие уязвимости, как CVE-2021-35464 в ForgeRock AM для удаленного выполнения кода и CVE-2015-2291 в драйверах Intel.

Они используют тактику "принеси свой собственный уязвимый драйвер" (BYOVD), чтобы отключить программное обеспечение безопасности без обнаружения.

Вредоносные драйверы, такие как STONESTOP и YOUPRTRY, используются для отключения систем endpoint protection.

Их цели включают кражу данных и вымогательство, что иногда приводит к внедрению программ-вымогателей наряду с угрозами для данных.

Scattered Spider был связан с такими группами программ-вымогателей, как ALPHV /BlackCat, и серьезными нарушениями, включая атаку на MGM Resorts.

#ParsedReport #CompletenessMedium
05-07-2025

When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign

https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html

Report completeness: Medium

Threats:
Shellcodeloader
Dll_sideloading_technique
Hijackloader
Redline_stealer
D3fack
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Process_hollowing_technique
Plugx_rat
Credential_harvesting_technique

TTPs:

IOCs:
File: 22
Path: 5
Hash: 4
Url: 1
Command: 2

Soft:
Chrome, Internet Explorer, chromium, Opera, Vivaldi, Google Chrome, Microsoft Edge, Slack

Wallets:
metamask, tronlink

Crypto:
binance

Algorithms:
zip, xor, lznt1

Functions:
TaskContent, TaskName

Win API:
RtlDecompressBuffer

Languages:
pascal

Links:
https://github.com/splunk/security\_content
https://github.com/splunk/attack\_data/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют установщики Inno Setup для распространения вредоносного ПО, внедряя вредоносный код, который использует сценарии на языке Pascal для выполнения полезной нагрузки и уклонения от обнаружения. В рамках кампании в основном используется RedLine Stealer, предназначенный для защиты конфиденциальных данных браузера. Тактика уклонения включает в себя обфускацию, меры по предотвращению анализа и связь C2 с ограниченным доступом, что требует усовершенствованных стратегий обнаружения для предотвращения.
-----

Киберпреступники используют легальные платформы установки, в частности Inno Setup, для распространения вредоносных программ. Вредоносные программы установки Inno Setup содержат встроенное вредоносное ПО, замаскированное под безопасные приложения. Эти установщики используют сценарии на языке Pascal для извлечения и выполнения вторичной полезной нагрузки, что приводит к развертыванию шеллкода и HijackLoader, который предоставляет RedLine Stealer. Сценарий включает в себя XOR-шифрование для обфускации и использует инструментарий управления Windows (WMI) для обнаружения средств безопасности, прерывая выполнение при их обнаружении. Загрузчик выполняет контекстную проверку имени файла и подключается к серверу управления для загрузки полезной нагрузки, которая защищена специальными идентификационными заголовками. RedLine Stealer использует данные пользователя браузера для сбора учетных данных, включая информацию для входа в систему и расширения криптовалютного кошелька. Вредоносная программа использует продвинутые тактики уклонения, такие как "постоянное разворачивание" обфускации и манипулирование процессами, чтобы обеспечить скрытность. Она использует перенаправленные URL-адреса и запутанную полезную нагрузку, чтобы скрыть свои операции. Обнаружение вредоносной активности может включать распознавание ненормальных условий запуска браузера, таких как использование опции "--no-sandbox" или отсутствие расширений.

#ParsedReport #CompletenessHigh
05-07-2025

Phishing Attack : Deploying Malware on Indian Defense BOSS Linux

https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux

Industry:
Education, Government, Critical_infrastructure

Geo:
Pakistan, Indian, India

TTPs:
Tactics: 11
Technics: 15

IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2

Soft:
Linux, Systemd, LibreOffice, curl

Algorithms:
sha256, md5, zip

Functions:
setKeepAlive, setKeepAlivePeriod

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на оборонный сектор Индии, используя фишинговые электронные письма для доставки вредоносного по.файл рабочего стола, который выполняет полезную нагрузку под названием BOSS.elf в среде Linux. Эта вредоносная программа собирает системную информацию, устанавливает канал C2 и может делать снимки экрана, что указывает на изощренный подход к кибершпионажу.
-----

APT36, также известный как Transparent Tribe, был идентифицирован как опытный хакер, занимающийся кибершпионажем, в частности, нацеленный на оборонный сектор Индии. Группа использует новую тактику, ориентированную на среды на базе Linux, в частности на дистрибутив BOSS Linux, который широко используется индийскими правительственными учреждениями. Вектор атаки в основном связан с фишинговыми электронными письмами, которые доставляют вложения в формате ZIP, содержащие вредоносные файлы.

Как только жертва выполнит вредоносное ПО .файл для рабочего стола, замаскированный под ярлык Linux, использует механизм двойного действия: он загружает и открывает законный файл PowerPoint (.pptx), чтобы создать видимость подлинности, и одновременно запускает вредоносный двоичный файл ELF (исполняемый файл в связываемом формате) в фоновом режиме. Двоичный файл ELF, называемый BOSS.elf, служит в качестве основной полезной нагрузки, предназначенной для взлома системы и облегчения несанкционированного доступа.

Вся операция представляет собой многоэтапный подход, направленный на то, чтобы избежать подозрений пользователей и традиционных мер безопасности. Фишинговое электронное письмо предназначено для отображения в качестве соответствующей рекомендации, а использование значка LibreOffice Impress с ярлыком усиливает его маскировку. Атака использует скриптовый процесс с использованием команды curl для бесшумной загрузки дополнительных файлов, в то же время отвлекая жертву от работы с документом-приманкой.

После своего запуска вредоносная программа получает важную системную информацию, такую как имя хоста, данные о процессоре и оперативной памяти, чтобы адаптировать свои действия, прежде чем установить постоянство в целевой системе. Примечательно, что он использует main.junkcalc2 для ведения журнала действий, что помогает управлять операциями в режиме реального времени и избегать обнаружения антивирусом, сводя к минимуму подозрительное поведение. Кроме того, вредоносная программа сканирует диски и файлы, чтобы найти конфиденциальную информацию, потенциально пригодную для утечки.

Для обмена данными вредоносная программа устанавливает канал управления (C2) с IP-адресом 101.99.92.182 на порту 12520. Однако, по данным последнего анализа, этот IP-адрес был недоступен, что указывает на то, что хакер может в любой момент повторно активировать его для удаленного управления. Вредоносная программа также способна делать скриншоты рабочего стола жертвы для сбора дополнительной информации, оставаясь незамеченной.

Таким образом, недавние операции APT36 свидетельствуют об эволюции их тактики и подчеркивают растущие угрозы инфраструктурам на базе Linux, особенно в критически важных государственных секторах. Организациям, использующим BOSS Linux или аналогичные платформы, необходимо уделять приоритетное внимание усиленным мерам безопасности, включая сложную защиту электронной почты, повышение осведомленности пользователей и постоянный мониторинг аналитических данных об угрозах, чтобы противостоять этим продвинутым хакерам.

#ParsedReport #CompletenessLow
05-07-2025

Weekly Threat Infrastructure Investigation(Week26)

https://disconinja.hatenablog.com/entry/2025/07/05/161657

Report completeness: Low

Threats:
Cobalt_strike_tool
Supershell
Netsupportmanager_rat
Mythic_c2
Brc4_tool
Plugx_rat

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1584.004

IOCs:
IP: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Идентификация 26 серверов командования и контроля в Японии, включая те, которые связаны с Cobalt Strike, указывает на продолжающуюся изощренную хакерскую деятельность, что свидетельствует о потенциальных скоординированных операциях хакеров.
-----

В ходе расследования с использованием поисковой функции Censys в Японии за период с 23 по 29 июня 2025 года было выявлено 26 серверов управления (C2). Примечательно, что расследование подтвердило наличие нескольких C2s, в том числе связанных с широко используемым инструментом тестирования на проникновение Cobalt Strike. Идентификация этих серверов C2 указывает на продолжающуюся хакерскую активность в регионе, особенно связанную со сложными методами атак, в которых используется инфраструктура, способная управлять скомпрометированными системами или координировать вредоносную деятельность. Обнаружение нескольких серверов C2 позволяет предположить возможность скоординированной кибероперации, которая, вероятно, была проведена хакерами, использующими Cobalt Strike в целях последующей эксплуатации. Использование таких инструментов, как правило, иллюстрирует продвинутую тактику, применяемую злоумышленниками, которая может варьироваться от горизонтального перемещения внутри сетей до развертывания дополнительной полезной нагрузки. Присутствие этих серверов C2 в Японии вызывает обеспокоенность по поводу уровня безопасности организаций в регионе и подчеркивает необходимость повышения бдительности в отношении изощренных хакеров.

#ParsedReport #CompletenessMedium
05-07-2025

Who are DragonForce Ransomware Group?

https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)
0ktapus

Threats:
Dragonforce_ransomware
Credential_dumping_technique
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Systembc
Cobalt_strike_tool
Babuk
Shadow_copies_delete_technique
Mimikatz_tool
Adfind_tool

Victims:
Marks and spencer, The co-op group, Harrods

Industry:
Transport, Logistic, Retail, Healthcare

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 6
Technics: 23

IOCs:
File: 9
Registry: 1
Command: 3
Path: 3
IP: 4
Hash: 7

Soft:
Active Directory, Ivanti, PsExec

Win Services:
webclient

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, хакер 2023 года, нацелен на более чем 170 организаций с целью получения финансовой выгоды, используя фишинг для получения первоначального доступа и уязвимости, доступные общественности (например, CVE-2021-44228). Они используют PowerShell для загрузки вредоносных программ, SystemBC - для доступа через черный ход и выполнения пользовательских программ-вымогателей, удаляя при этом параметры восстановления, препятствующие исправлению. В своей работе они используют такие инструменты, как Mimikatz для сбора учетных данных и Cobalt Strike для управления.
-----

DragonForce - это недавно выявленный хакер, появившийся в 2023 году и нацеленный на более чем 170 организаций в различных секторах, включая розничную торговлю, логистику, технологии и критически важную национальную инфраструктуру, в первую очередь для получения финансовой выгоды. Они избегают нападок на медицинские учреждения из-за внутреннего морального кодекса, но совершили громкие нарушения в секторе розничной торговли Великобритании, нацелившись на такие компании, как Marks and Spencer, Co-Op Group и Harrods. DragonForce сотрудничает с другой группой, Scattered Spider, делясь методами и инструментами, в том числе полезными программами-вымогателями, подобными LockBit и Conti.

Группа использует методы фишинга для получения первоначального доступа, уделяя особое внимание ложным электронным письмам, чтобы получить учетные данные с помощью социальной инженерии. Они использовали взломанные базы данных Windows Active Directory для получения конфиденциальной информации для входа в систему и часто используют действительные учетные данные сторонних поставщиков для доступа.

Первоначальный доступ DragonForce также связан с использованием известных уязвимостей в общедоступных приложениях, таких как Apache, RDP и VPN-сервисы, в частности CVE-2021-44228 и CVE-2023-46805. При проникновении в сеть они используют PowerShell для загрузки дополнительного вредоносного ПО, обеспечения сохраняемости с помощью изменений в реестре и обеспечения доступа к бэкдору с помощью вредоносного ПО SystemBC proxy.

Боковое перемещение осуществляется с помощью внутренних протоколов, таких как RDP и SMB, с использованием таких инструментов, как Cobalt Strike и PsExec. Они запускают пользовательскую программу-вымогатель для шифрования файлов на разных устройствах, используя передовые методы повышения привилегий и обхода средств защиты, а также удаляют параметры восстановления системы после шифрования, чтобы помешать исправлению.

Сбор учетных данных предполагает прямой доступ к памяти с помощью таких инструментов, как Mimikatz, и нацеливание на базу данных Active Directory. Они используют такие инструменты, как AdFind, для обнаружения сети, а их инфраструктура командования и контроля работает через Cobalt Strike, отмеченную многочисленными уникальными IP-адресами, указывающими на структурированную операционную систему.

#ParsedReport #CompletenessMedium
06-07-2025

Golden-eyed Dog (APT-Q-27) The gang's recent stealing activities using the "Silver Fox" Trojan horse

https://www.secrss.com/articles/79443

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Todesk_tool
Winos
Ollvm_tool

Victims:
People engaged in gambling, Dog promotion related personnel, Overseas chinese groups

Geo:
Asia, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1027, T1027.004, T1053.005, T1055.001, T1056.001, T1059.001, T1059.003, T1071.001, T1072, T1082, have more...

IOCs:
File: 16
Hash: 10
IP: 10
Registry: 1
Url: 1
Domain: 1

Soft:
Kuailian VPN, windows defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, известная как Golden Eye Dog gang, нацелена на сектор азартных игр и продвижения собак в Юго-Восточной Азии, используя вредоносное ПО, замаскированное под легальное программное обеспечение, с помощью атак water hole. Их тактика включает внедрение троянца Winos 4.0 remote control в программу установки вредоносного по, выдающую себя за ToDesk, используя сложное кодирование, чтобы избежать обнаружения и сохранить работоспособность. Группа использует оптимизированные для SEO поддельные страницы с программным обеспечением для привлечения жертв, что приводит к значительным рискам для безопасности и разнообразной преступной деятельности.
-----

The Golden Eye Dog gang, также известная как APT-Q-27, - это киберпреступная группировка, целью которой являются лица, занимающиеся азартными играми и продвижением собак, в первую очередь в Юго-Восточной Азии, а также в зарубежных китайских общинах. В своей деятельности они используют сложные методы, которые включают распространение вредоносных программ, замаскированных под законное программное обеспечение, таких как Todesk и Kuailian VPN, с помощью атак на water hole. Известно, что банда размещает вредоносные установочные пакеты на веб-сайтах, оптимизированных для поисковых систем, что позволяет жертвам загружать вредоносное программное обеспечение.

Недавно выявленная процедура атаки включала в себя запуск вредоносного установочного пакета, маскирующегося под Todesk. После запуска этот пакет не только устанавливает законное программное обеспечение ToDesk, но и внедряет троянскую программу дистанционного управления Winos 4.0. Вредоносная программа отличается высокой сложностью и создана с использованием различных языков программирования, включая .NET, C++, Go и Delphi. Банда Golden Eye Dog использует троянскую программу "Silver Fox" для скрытой кражи данных, используя недавно внедренные бэкдоры с шелл-кодом и сложные средства противодействия обнаружению.

Исходный вредоносный файл с именем build.exe запускается вместе с законным установочным пакетом ToDesk. Этот файл, написанный на C++ и превышающий 30 МБ по размеру, устанавливает сетевое соединение с сервером управления (C2), идентифицированным как 120.89.71.226. Вредоносная программа использует ряд возможностей с помощью PowerShell и командной строки для выполнения дальнейших вредоносных действий, включая создание таких подпроцессов, как svchost.exe. Анализ поведения вредоносной программы выявил сетевые взаимодействия, которые осуществляются через несколько вредоносных портов.

Критически важные файлы, используемые вредоносной программой, такие как instect.exe, способны скрывать вредоносный код в рамках нормативных структур кода, загружать файлы конфигурации и реализовывать запутанные функции, препятствующие статическому анализу. Эта сложная операция позволяет вредоносному ПО сохранять постоянство в системе жертвы, создавая уникальные идентификаторы мьютекса и обходя решения безопасности, эффективно предотвращая обнаружение и удаление.

Принцип работы банды Golden Eye Dog заключается в создании поддельных страниц загрузки программного обеспечения, которые используют поисковую оптимизацию для повышения видимости, тем самым привлекая ничего не подозревающих пользователей, которые непреднамеренно загружают и устанавливают вредоносное ПО. Анализ угроз показывает, что эта банда является одной из наиболее часто наблюдаемых в Китае, с различными операционными областями, которые включают удаленное управление, добычу криптовалют, DDoS-атаки и другие действия, связанные с трафиком.

Пользователям рекомендуется проявлять постоянную бдительность в отношении фишинга и атак с использованием социальной инженерии, а также избегать загрузки файлов из ненадежных источников или перехода по неизвестным ссылкам. Пользователям рекомендуется применять такие меры безопасности, как своевременное резервное копирование и регулярные обновления своих систем, чтобы снизить риски, исходящие от этих изощренных хакеров.