#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, известная как Golden Eye Dog gang, нацелена на сектор азартных игр и продвижения собак в Юго-Восточной Азии, используя вредоносное ПО, замаскированное под легальное программное обеспечение, с помощью атак water hole. Их тактика включает внедрение троянца Winos 4.0 remote control в программу установки вредоносного по, выдающую себя за ToDesk, используя сложное кодирование, чтобы избежать обнаружения и сохранить работоспособность. Группа использует оптимизированные для SEO поддельные страницы с программным обеспечением для привлечения жертв, что приводит к значительным рискам для безопасности и разнообразной преступной деятельности.
-----

The Golden Eye Dog gang, также известная как APT-Q-27, - это киберпреступная группировка, целью которой являются лица, занимающиеся азартными играми и продвижением собак, в первую очередь в Юго-Восточной Азии, а также в зарубежных китайских общинах. В своей деятельности они используют сложные методы, которые включают распространение вредоносных программ, замаскированных под законное программное обеспечение, таких как Todesk и Kuailian VPN, с помощью атак на water hole. Известно, что банда размещает вредоносные установочные пакеты на веб-сайтах, оптимизированных для поисковых систем, что позволяет жертвам загружать вредоносное программное обеспечение.

Недавно выявленная процедура атаки включала в себя запуск вредоносного установочного пакета, маскирующегося под Todesk. После запуска этот пакет не только устанавливает законное программное обеспечение ToDesk, но и внедряет троянскую программу дистанционного управления Winos 4.0. Вредоносная программа отличается высокой сложностью и создана с использованием различных языков программирования, включая .NET, C++, Go и Delphi. Банда Golden Eye Dog использует троянскую программу "Silver Fox" для скрытой кражи данных, используя недавно внедренные бэкдоры с шелл-кодом и сложные средства противодействия обнаружению.

Исходный вредоносный файл с именем build.exe запускается вместе с законным установочным пакетом ToDesk. Этот файл, написанный на C++ и превышающий 30 МБ по размеру, устанавливает сетевое соединение с сервером управления (C2), идентифицированным как 120.89.71.226. Вредоносная программа использует ряд возможностей с помощью PowerShell и командной строки для выполнения дальнейших вредоносных действий, включая создание таких подпроцессов, как svchost.exe. Анализ поведения вредоносной программы выявил сетевые взаимодействия, которые осуществляются через несколько вредоносных портов.

Критически важные файлы, используемые вредоносной программой, такие как instect.exe, способны скрывать вредоносный код в рамках нормативных структур кода, загружать файлы конфигурации и реализовывать запутанные функции, препятствующие статическому анализу. Эта сложная операция позволяет вредоносному ПО сохранять постоянство в системе жертвы, создавая уникальные идентификаторы мьютекса и обходя решения безопасности, эффективно предотвращая обнаружение и удаление.

Принцип работы банды Golden Eye Dog заключается в создании поддельных страниц загрузки программного обеспечения, которые используют поисковую оптимизацию для повышения видимости, тем самым привлекая ничего не подозревающих пользователей, которые непреднамеренно загружают и устанавливают вредоносное ПО. Анализ угроз показывает, что эта банда является одной из наиболее часто наблюдаемых в Китае, с различными операционными областями, которые включают удаленное управление, добычу криптовалют, DDoS-атаки и другие действия, связанные с трафиком.

Пользователям рекомендуется проявлять постоянную бдительность в отношении фишинга и атак с использованием социальной инженерии, а также избегать загрузки файлов из ненадежных источников или перехода по неизвестным ссылкам. Пользователям рекомендуется применять такие меры безопасности, как своевременное резервное копирование и регулярные обновления своих систем, чтобы снизить риски, исходящие от этих изощренных хакеров.

#ParsedReport #CompletenessHigh
07-07-2025

HOUKEN. SEEKING A PATH BY LIVING ON THE EDGE WITH ZERO-DAYS

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-009.pdf

Report completeness: High

Actors/Campaigns:
Houken (motivation: hacktivism)
Unc5174 (motivation: hacktivism)
Hafnium
Dawn_calvary (motivation: hacktivism)

Threats:
Goreverse
Netcat_tool
Residential_proxy_technique
Behinder
Neo-regeorg_tool
Chinachopper
Proxylogon_exploit
Interactsh_tool
Landesk_tool
Screenconnect_tool
Vshell
Fscan_tool
Nmap_tool
Netspy
Ettercap_tool
Iox_tool
Earthworm_tool
Gohtran_tool
Reversesocks5_tool
Reversessh_tool
Spark_rat

Victims:
French entities, Ngos, Research and education institutions, Charities

Industry:
Financial, Telco, Education, Ngo

Geo:
Indonesia, French, Hong kong, Vietnam, France, Thailand, Chinese, America, Asia, China

CVEs:
CVE-2024-9380 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_cloud_services_appliance (<5.0.2)

CVE-2024-8190 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti cloud_services_appliance (4.6)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-8963 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_cloud_services_appliance (4.6)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1020, T1021.002, T1046, T1053, T1059.006, T1070.006, T1071.001, T1071.004, T1078, have more...

IOCs:
IP: 10
File: 13
Url: 1
Hash: 5

Soft:
ivanti, PostgreSQL, BIG-IP, sudo, curl, Microsoft Exchange Server, ASP.NET, Linux, Android

Algorithms:
base64

Languages:
php, python

YARA: Found

Links:
have more...
https://github.com/NHAS/reverse\_ssh
https://github.com/L-codes/Neo-reGeorg
https://github.com/rebeyond/Behinder

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года группой Houken были использованы уязвимости нулевого дня (CVE-2024-8190, CVE-2024-8963, CVE-2024-9380) в устройствах Ivanti CSA для удаленного выполнения кода, сбора учетных данных и постоянного доступа через веб-оболочки и руткиты. Злоумышленники использовали различные инструменты и методы, в том числе расшифровку учетных данных администратора из баз данных Postgres и перемещение по сетям целевых французских организаций, что позволяет предположить оперативные связи с Китаем.
-----

В сентябре 2024 года устройства Ivanti Cloud Service Appliance (CSA) были подвергнуты кибератаке с использованием уязвимостей нулевого дня CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380. Злоумышленники получили удаленный доступ и выполнили произвольный код для сбора учетных данных и установления постоянного доступа, развернув веб-оболочку PHP и установив руткит. Злоумышленник "Houken" продемонстрировал методичный подход, изначально использовав скрипт на Python в кодировке base64 для расшифровки учетных данных администратора из баз данных PostgreSQL. Постоянство включало создание веб-оболочек из инструментов с открытым исходным кодом и модификацию допустимых PHP-скриптов. Операторы Houken использовали тактику обходных маневров против французских компаний в таких секторах, как правительство, телекоммуникации, СМИ, финансы и транспорт. Активность злоумышленников в течение 8 часов по UTC+ указывает на возможные связи с Китаем. ANSSI обнаружила бреши, с помощью которых злоумышленники использовали устройства Ivanti CSA и проникали во внутренние системы для сбора учетных данных. Операторами Houken использовались коммерческие VPN-сервисы для обеспечения анонимности и различные инфраструктуры, что предполагает наличие значительных ресурсов. Индикаторы включают развертывание модуля ядра и исполняемого файла в пользовательском пространстве в качестве руткита для перехвата входящего TCP-трафика и обеспечения выполнения команд с правами суперпользователя. Кампания использовала модификацию файлов скриптов и инструментов, таких как GOREVERSE и PHP webshells, в соответствии с тактикой известной группы UNC5174. Эти действия свидетельствуют о целенаправленных усилиях по использованию уязвимостей, созданию плацдарма и поддержанию устойчивости для кражи учетных данных и эксплуатации системы.

#ParsedReport #CompletenessMedium
07-07-2025

Datacarry Ransomware

https://www.ccitic.org/assets/reports/CCITIC_Report_TLP-White_DATACARRY.pdf

Report completeness: Medium

Actors/Campaigns:
Datacarry

Threats:
Datacarry
Chisel_tool
Conti

Victims:
Balcia insurance, Mammut sports group, Alx forex, Frontierco, Alles lgehus, Tude bordet, Executive jet support, La maison lige, Alliance healthcare it, V development, have more...

Industry:
Healthcare, Aerospace

Geo:
Turkey, United kingdom, Morocco, Belgium, Denmark, Lithuania, South africa, Italy, Greece, Switzerland, Spain

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient_enterprise_management_server (<7.0.11, <7.2.3)


TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 2
Hash: 6
Registry: 1
Command: 1

Soft:
Windows firewall, Windows registry

Algorithms:
sha256, md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Datacarry атаковала 11 организаций, используя уязвимость SQL-инъекции CVE-2023-48788 для удаленного выполнения кода. В их атаках использовался вариант программы-вымогателя Conti, использующий WebSocket для обеспечения сохраняемости и такие инструменты, как Chisel, для туннелирования. Рекомендуемые меры безопасности включают исправление уязвимостей, мониторинг подключений к WebSocket и улучшение сегментации сети.
-----

Группа программ-вымогателей Datacarry участвовала в серии целенаправленных атак на 11 европейских и международных организаций в период с июня 2024 по июнь 2025 года, причем первый инцидент произошел в страховой компании Balcia Insurance в Литве. Методы и оперативная тактика этой группы были задокументированы на основе общедоступных записей и анализа инцидентов.

Группа использовала общедоступные сервисы OSINT для разведки и выявления уязвимостей, таких как CVE-2023-48788, уязвимость SQL-инъекции в Fortinet EMS, которая позволяет удаленно выполнять код с помощью функции xp_cmdshell. Использование этой уязвимости позволило злоумышленникам установить контроль над системами жертв. Их инфраструктура включала в себя использование сменяющихся прокси-серверов и малоизвестных методов связи через WebSocket, что повышало их устойчивость в целевых средах. Особенно примечательным аспектом их настройки является использование Chisel, инструмента туннелирования TCP/UDP, работающего через HTTP/WebSocket, который был идентифицирован на их серверах управления (C2).

Были тщательно изучены варианты вредоносных программ, использовавшихся при атаках, в частности, версия программы-вымогателя Conti. Основной модуль, написанный на Go, продемонстрировал не только возможность обеспечения сохраняемости с помощью WebSocket, но и встроенные функции туннелирования и прокси-сервера. Были подтверждены конкретные показатели компрометации (IOCs), такие как хэши MD5 для вредоносного ПО и шаблоны, связанные с сетевыми коммуникациями группы, что указывает на наличие уникальных следов, которые должны отслеживать специалисты по безопасности.

График активности показал умеренный уровень атак с одной жертвой примерно в месяц с июня 2024 года по март 2025 года, за которым последовала эскалация, когда в течение трех месяцев с приближением весны 2025 года атакам подверглись пять организаций. Однако к концу июня 2025 года инфраструктура была значительно выведена из эксплуатации после того, как была подключена к сети Tor.

Для устранения рисков, связанных с этой группой, немедленные рекомендации по обеспечению безопасности включают исправление выявленного CVE, отключение ненужных функций на SQL-серверах и мониторинг необычно длинных подключений к WebSocket. Следует обратить особое внимание на дополнительные меры, такие как блокирование взаимодействия с определенными портами и улучшение ведения журнала для отслеживания изменений RDP и реестра. Более строгая сегментация сети и пересмотр политики управления исправлениями также имеют решающее значение для снижения потенциального воздействия таких сложных угроз.

#technique

BOFAMET stealer

https://github.com/ZolManStaff/BOFAMET_STEALER

#ParsedReport #CompletenessHigh
08-07-2025

Taking SHELLTER: a commercial evasion framework abused in-the-wild

http://www.elastic.co/security-labs/taking-shellter

Report completeness: High

Threats:
Shellter_tool
Seth_locker
Junk_code_technique
Polymorphism_technique
Rhadamanthys
Lumma_stealer
Procmon_tool
Sectop_rat
Sandbox_evasion_technique
Amsi_bypass_technique
Ghostpulse

Victims:
Content creators, Individuals with youtube channels, Shellter project

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Domain: 2
IP: 2
Hash: 6

Soft:
Component Object Model, Active Template Library

Algorithms:
aes, aes-128, cbc, xor, lznt1, sha256

Functions:
GetCurrentDirectoryA

Win API:
VirtualAlloc, Getmodulehandlea, GetProcAddress, CreateFileMappingW, MapViewOfFile, NtCreateSection, NtMapViewOfSection, NtOpenSection, LoadLibraryExW, LdrLoadDll, have more...

Win Services:
BITS

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_shellcode\_from\_unusual\_microsoft\_signed\_module.toml
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_unbacked\_shellcode\_from\_unsigned\_module.toml
have more...
https://github.com/elastic/labs-releases/tree/main/tools/shellter

#ParsedReport #ExtractedSchema

Classified images:
dump: 6, code: 17, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют платформу SHELTER framework, в частности версию 11.0, для атак infostealer, используя ее передовые методы уклонения для обхода систем безопасности. Вредоносная программа использует полиморфную обфускацию, шифрование AES-128 и нацелена на создателей контента с помощью фишинговых электронных писем, связанных с вредоносными загрузками. Elastic Security Labs разработала динамический распаковщик для анализа двоичных файлов, защищенных SHELTER, хотя проблемы остаются из-за обширных возможностей этого инструмента.
-----

Платформа SHELTER framework используется хакерами для атак на infostealer с середины апреля 2025 года. Используется версия SHELTER Elite 11.0, выпущенная 16 апреля 2025 года. Она позволяет вредоносному ПО обходить антивирусные системы и системы защиты от несанкционированного доступа. Фреймворк использует самомодифицирующийся шелл-код с полиморфной обфускацией для предотвращения статического обнаружения. Он использует уникальный метод выделения памяти, отображающий свежую копию библиотеки ntdll.dll в память процесса, чтобы избежать перехвата API. Полезная информация шифруется с помощью AES-128 в режиме CBC с использованием ключей, которые могут быть встроены или получены с серверов, контролируемых злоумышленниками. Кампании нацелены на создателей контента с помощью фишинговых электронных писем, которые выдаются за спонсорские, и содержат ссылки на защищенные SHELTER исполняемые файлы в комплекте с рекламным контентом. Инфокрады, такие как LUMMA и RHADAMANTHYS, извлекают конфиденциальную информацию из взломанных систем. Первоначальные случаи заражения были связаны с видеороликами о взломе игр на YouTube, что привело к загрузке на такие сайты, как MediaFire. Elastic Security Labs разработала динамический распаковщик для двоичных файлов, защищенных SHELTER, но его эффективность зависит от сложности SHELTER. Неправильное использование программного обеспечения двойного назначения создает постоянные проблемы для кибербезопасности.

#ParsedReport #CompletenessLow
08-07-2025

Exclusive disclosure of the attack activities of the APT group NightEagle

https://raw.githubusercontent.com/RedDrip7/NightEagle_Disclose/36d0366a5d8d4cb2ee95b0276d0f5690e13e3f6e/Exclusive%20disclosure%20of%20the%20attack%20activities%20of%20the%20APT%20group%20NightEagle.pdf

Report completeness: Low

Actors/Campaigns:
Nighteagle (motivation: information_theft)

Threats:
Chisel_tool
Regeorg_tool

Victims:
Top companies, Institutions

Industry:
Military, Semiconductor_industry

Geo:
Malaysia, Netherlands, America, China

ChatGPT TTPs:
do not use without manual check
T1008, T1021.002, T1030, T1033, T1036, T1041, T1053.005, T1055.012, T1056.003, T1070.001, have more...

IOCs:
File: 21
Path: 3

Soft:
Slack, ASP.NET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightEagle, группа APT, использует неизвестную уязвимость в Microsoft Exchange, используя пользовательский троян для постоянного доступа. Их атаки нацелены на уязвимые сектора в Китае, используя передовые технологии, такие как смена доменных имен и уязвимость сроком действия 0 дней, для кражи данных.
-----

С 2023 года группа APT, известная как NightEagle (APT-Q-95), находится под постоянным наблюдением Цянь Паньгу. Эта группа известна тем, что использовала неизвестную уязвимость в Microsoft Exchange, используя передовые тактические приемы, включая быструю смену доменных имен и мощную финансовую поддержку для приобретения сетевых ресурсов, таких как VPS-серверы и доменные имена. NightEagle нацелен на важнейшие секторы экономики Китая, включая высокотехнологичные отрасли промышленности, военный сектор и области, связанные с искусственным интеллектом и квантовыми технологиями, в первую очередь с целью кражи конфиденциальных разведданных.

Методы атаки, используемые NightEagle, являются изощренными; они включают в себя использование пользовательского трояна, производного от вредоносного ПО семейства Chisel, которое было обнаружено на персональном компьютере в организации-клиенте. В ходе анализа было установлено, что троянец взаимодействовал с доменом, замаскированным под законного поставщика услуг, отправляя подпольные запросы DNS якобы для маскировки фактического IP-адреса своего сервера. Вредоносная программа выполняла запланированное задание каждые четыре часа, что свидетельствует о стратегии группы по сохранению постоянства и минимизации обнаружения.

Расследование показало, что вредоносная полезная нагрузка была встроена в ASP.NET DLL-файл, связанный со службой IIS сервера Exchange. Вредоносная программа использовала технологию, известную как memory horse, которая существует только в памяти, чтобы избежать обнаружения традиционными антивирусными средствами. Было установлено, что злоумышленники использовали ранее неизвестную уязвимость "0 дней", позволяющую им получать конфиденциальные ключи доступа, которые облегчали несанкционированные действия на сервере Exchange. Эта возможность позволяла им выполнять операции десериализации и внедрять дополнительные вредоносные программы в любые совместимые системы Exchange, обеспечивая при этом ретрансляцию украденных данных.

Время играло важную роль в операциях NightEagle; атаки неизменно происходили между 9 часами вечера и 6 часами утра по пекинскому времени, что указывает на географическую стратегию, ориентированную на Северную Америку. Широкое использование группой выделенных доменных имен для отдельных целей в сочетании с их адаптацией к геополитическим изменениям подчеркивает их динамичный подход к хакерам. Идентификаторы, прикрепленные к их вредоносным URL-адресам, свидетельствуют о методичных усилиях по адаптации атак с учетом региональных и контекстуальных факторов, включая последние достижения китайской индустрии искусственного интеллекта.

#ParsedReport #CompletenessLow
08-07-2025

Technical Analysis of Ducex: Packer of Triada Android Malware

https://any.run/cybersecurity-blog/ducex-packer-analysis/

Report completeness: Low

Threats:
Ducex_tool
Triada_trojan
Unicorn_tool

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1140, T1204.002, T1406, T1407, T1518.001, T1622

IOCs:
File: 7
Hash: 1

Soft:
Android, Telegram, Apktool

Algorithms:
zip, aes, sha256, md5, xor, sha1, rc4

Functions:
attachBaseContext, onCreate, bytearray, init, dl

Languages:
java

Links:
https://github.com/iBotPeaches/Apktool
https://github.com/skylot/jadx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ducex - это усовершенствованный пакет для Android, представленный в Triada malware, предназначенный для маскировки полезной нагрузки и уклонения от обнаружения с использованием таких методов, как строковое шифрование XOR и самоотладка. Он реализует проверку подписи APK для затруднения анализа и сохраняет вредоносную полезную нагрузку в пользовательском файле classes.dex. В процессе расшифровки используются модифицированные алгоритмы RC4 и SM4, шифрующие только начальные 2048 байт каждого модуля, что позволяет вредоносной программе запускаться, защищая при этом заголовки ее модулей.
-----

Ducex - это усовершенствованный упаковщик для Android, обнаруженный в образцах вредоносного ПО Triada, предназначенный в первую очередь для маскировки полезной нагрузки и уклонения от обнаружения. В нем используется ряд методов, усложняющих анализ, например, простой алгоритм исключения (XOR) для шифрования всех строк с помощью изменяющегося 16-байтового ключа. Этот обходной механизм препятствует попыткам эффективного понимания или распаковки вредоносного ПО.

Одной из серьезных проблем, с которыми сталкивается Ducex, является реализация проверки подписи APK, которая завершится неудачей, если вредоносное ПО будет повторно подписано, что затруднит традиционные методы отладки. Кроме того, Ducex использует само-отладку с помощью вызовов fork и ptrace, что еще больше усложняет внешний анализ. Вредоносная полезная нагрузка, которая относится к хорошо известному семейству вредоносных программ Triada, хранится в уникальном пользовательском файле classes.dex. Эта полезная нагрузка находится в отдельном разделе после основного кода приложения, чтобы избежать обнаружения как внешних файлов, что подчеркивает сложный дизайн Ducex.

Расследование поддельного приложения Telegram, встроенного в Ducex, позволило исследователям идентифицировать характерные домены, связанные с Triada, во время анализа "песочницы". Программа-упаковщик использует библиотеку, называемую "libducex", и ее операционная структура была изучена с помощью декомпиляторов Android, которые выявили ключевые методы и структуры классов, иллюстрирующие поведение вредоносного ПО при запуске. Например, класс com.m.a.DuceApplication инициализируется сразу после запуска приложения, активируя методы, привязанные к функциональности Triada, и добавляя дополнительную пользовательскую логику через CoreUtils.

Анализ процесса расшифровки показывает, что Ducex шифрует не все разделы своей полезной нагрузки; шифруются только первые 2048 байт каждого модуля, в то время как последующие сегменты остаются доступными. Такая схема поддерживает целостность заголовков модуля DEX, которые должны оставаться неизменными для выполнения. Для расшифровки используются два алгоритма: модифицированная версия RC4 и SM4, последний из которых является менее известным китайским стандартом шифрования. Первичная расшифровка выполняется с помощью встроенных методов, где выполняется основная логика расшифровки, что в конечном итоге приводит к активации Triada.

#ParsedReport #CompletenessMedium
07-07-2025

Batavia spyware steals data from Russian organizations

https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/

Report completeness: Medium

Threats:
Batavia
Uac_bypass_technique
Spear-phishing_technique

Victims:
Russian industrial enterprises

Geo:
Russia, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.003, T1059.005, T1074.001, T1105, T1112, T1113, T1518.001, have more...

IOCs:
File: 12
Url: 4
Domain: 2
Hash: 3
Path: 5

Algorithms:
zip, xor, base64, md5

Functions:
Navigate, Run

Languages:
delphi, powershell