#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа Atomic macOS Stealer (AMOS) была усовершенствована и включает в себя встроенный бэкдор, позволяющий злоумышленникам сохранять постоянный доступ, выполнять команды и красть данные из зараженных систем macOS. Он распространяется через сайты с пиратским программным обеспечением и с помощью фишинга, используя троянские файлы DMG и социальную инженерию для обхода системы безопасности. Его постоянное присутствие обеспечивается за счет создания файлов PLIST и выполнения команд через сервер управления, что указывает на тревожную тенденцию к усложнению вредоносных программ, нацеленных на пользователей macOS.
-----

Программа Atomic macOS Stealer (AMOS) была обновлена и включает в себя встроенный бэкдор, повышающий уровень угрозы за счет обеспечения постоянного доступа к зараженным системам. Теперь эта вредоносная программа позволяет злоумышленникам удаленно выполнять произвольные команды и получать расширенный контроль над взломанными компьютерами Mac. Первоначально AMOS сосредоточился на извлечении данных из инструментов, связанных с криптовалютой, и расширений браузера, но перешел к активному таргетингу на владельцев криптовалют. Он распространяется с помощью троянских файлов DMG с веб-сайтов с пиратским программным обеспечением и фишинговых кампаний. Вредоносная программа использует скрипты AppleScript и bash для сохранения работоспособности, создавая файл PLIST, который сохраняется после перезагрузки системы. После установки AMOS взаимодействует с сервером командно-диспетчерского управления (C2) для выполнения команд командной строки и облегчения фильтрации данных с помощью HTTP POST-запросов. Включение уникальных идентификационных переменных улучшает взаимодействие с C2, что указывает на переход к более сложным операциям. Двойственная природа AMOS, сочетающая кражу данных с постоянным доступом, значительно повышает риск для пользователей macOS.

#ParsedReport #CompletenessLow
09-07-2025

Chinese Threat: NFC-Enabled Fraud in the Philippines Financial Sector

https://www.resecurity.com/blog/article/chinese-threat-nfc-enabled-fraud-in-the-philippines-financial-sector

Report completeness: Low

Actors/Campaigns:
Smishing_triad (motivation: cyber_criminal)

Threats:
Smishing_technique
Panda_shop_tool
Z-nfc_tool
X-nfc_tool
Supercard
Track2nfc_tool

Victims:
Gcash, Maya philippines, Gotyme, Bdo mobile pay, Local digital banks, Neobanks, E-wallets, Regional banks, Financial service providers, Restaurant chains, have more...

Industry:
Government, Retail, Financial

Geo:
Asia, Thailand, Indonesia, Malaysia, Taiwan, Korea, Hong kong, Philippines, Chinese, Canada, Mexico, Indo-pacific, Singapore, New zealand, Philippine, Australia, China

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1071.001, T1078, T1110, T1192, T1566.001, T1583.003

Soft:
Telegram, WeChat

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники на Филиппинах используют технологию NFC, и рост цифрового мошенничества на 148% связан с тем, что китайские субъекты используют автоматизированных ботов и такие инструменты, как Z-NFC, для клонирования транзакций. Местная организованная преступность способствует этим мошенничествам, что усложняет их обнаружение, особенно в условиях распространения цифровых кошельков. Мошеннические POS-терминалы могут имитировать транзакции, что позволяет осуществлять значительную незаконную финансовую деятельность.
-----

Киберпреступники на Филиппинах все активнее используют технологию ближней связи (NFC), на которую в значительной степени влияет деятельность китайских киберпреступников. В стране зафиксирован ошеломляющий рост числа подозреваемых в цифровом мошенничестве на 148%, при этом мошенничество с электронной почтой, телефонными звонками или текстовыми сообщениями затрагивает более 74% населения, а средний финансовый ущерб составляет 44 700 филиппинских песо на жертву. Активность китайских хакеров в Даркнете, нацеленных на Филиппины, за год возросла почти на 230%, выявив сеть из тысяч независимых участников, осуществляющих мошеннические схемы. Они используют сложные инструменты, предназначенные для имитации законных бесконтактных транзакций с украденными данными карт, что свидетельствует о большом интересе к рынку Филиппин, который включает в себя такие системы, как GCash, Maya Philippines, GoTyme и BDO Mobile Pay.

Китайские киберпреступники, используя автоматизированных ботов Telegram, расширяют возможности продажи и проверки украденной информации о кредитных картах, усложняя механизмы обнаружения. Такие сервисы, как "Panda Shop", известный тем, что использует множество каналов Telegram, расширяют спектр угроз, особенно с помощью тактики СМС-фишинга. Интересно, что характер общения позволяет предположить, что китайские преступники сотрудничают с местной организованной преступностью для содействия этим мошенническим действиям, используя местных жителей в качестве перевозчиков денег для оказания помощи в операциях по отмыванию денег. Это партнерство увеличивает число попыток мошенничества, поскольку местные преступные сети помогают создавать более сложные цепочки отмывания денег.

На подпольных форумах доступны различные инструменты, в том числе Z-NFC и Track2NFC, позволяющие злоумышленникам клонировать данные карты и выполнять несанкционированные транзакции NFC. Такие атаки, особенно на рынках с растущим внедрением бесконтактных платежей и часто обходом проверки PIN-кода для транзакций с низкой стоимостью, трудно отследить. Юго-Восточная Азия с ее растущими цифровыми кошельками и инфраструктурами бесконтактных платежей стала испытательным полигоном, что вызвало тревогу у финансовых учреждений региона.

Мошеннические действия могут быть связаны с размещением вредоносного программного обеспечения на POS-терминалах, которые предварительно настроены для самостоятельной имитации законных транзакций. Эти терминалы потенциально могут способствовать незаконным транзакциям на сумму от 25 000 до 80 000 долларов в день, особенно при использовании в заведениях, не вызывающих подозрений, таких как рестораны. Сочетание этих мошеннических методов с законными финансовыми операциями значительно усложняет работу по их выявлению. Случаи использования местных ресторанов и торговых точек для мошенничества с использованием технологии NFC свидетельствуют о сложном характере существующих угроз.

По мере того как злоумышленники совершенствуют свои инструменты и тактику, финансовый сектор Филиппин сталкивается с растущими проблемами, что требует более продуманного подхода к обеспечению безопасности платежей. Заинтересованные стороны должны усилить свою координацию и возможности по выявлению угроз, чтобы усилить защиту от этого меняющегося ландшафта мошенничества, сохраняя целостность и доверие к цифровым платежным системам в стране.

#ParsedReport #CompletenessLow
09-07-2025

New BUBBAS GATE Malware Advertised on Telegram Boasts SmartScreen and AV/EDR Bypass

https://gbhackers.com/new-bubbas-gate-malware-advertised-on-telegram/

Report completeness: Low

Threats:
Bubbas_gate
Phemedrone
Darkgate

ChatGPT TTPs:
do not use without manual check
T1027, T1055.006, T1057, T1553.005, T1562.001

IOCs:
File: 1

Soft:
Telegram, Twitter, WhatsApp, Windows Defender

Algorithms:
aes

Languages:
rust

Platforms:
x64, intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"BUBBAS GATE" - это новый загрузчик вредоносных программ, использующий передовые методы обхода таких мер безопасности, как Microsoft SmartScreen и AV-решения. Он поддерживает архитектуры x64 / x86 и двоичные файлы .NET / Rust, используя непрямые системные вызовы и обходной путь PEB, чтобы избежать обнаружения, что отражает растущую тенденцию в разработке вредоносных программ, ориентированных на методы защиты от обнаружения.
-----

На подпольных форумах и Telegram-каналах появился новый вредоносный загрузчик, известный как "BUBBAS GATE", привлекший внимание благодаря своим предполагаемым передовым методам обхода, предназначенным для обхода таких мер безопасности, как Microsoft SmartScreen и современные решения AV / EDR. Загрузчик использует множество сложных методов, включая непрямые системные вызовы с помощью модифицированного векторного обработчика исключений (VEH), и отказывается от стандартных API Windows. Кроме того, он использует блокировку среды обработки (PEB), а также пользовательскую логику стека, направленную на устранение типичных механизмов обнаружения безопасности.

Заявление, касающееся SmartScreen evasion, особенно важно, поскольку оно отражает тенденцию, наблюдавшуюся в недавних кампаниях по распространению вредоносных программ, таких как DarkGate и Phemedrone Stealer, которые использовали уязвимости в SmartScreen. Хотя конкретные механизмы, с помощью которых, как утверждает BUBBAS GATE, удается обойти SmartScreen, остаются непроверенными, рекламные материалы предполагают, что это соответствует растущему спросу на черном рынке на инструменты, которые могут обойти обнаружение.

BUBBAS GATE поддерживает архитектуры x64 и x86, а также исполняемые файлы, скомпилированные в .NET (версии 2.0-4.0) и Rust, что указывает на широкий диапазон совместимости. Кроме того, он поддерживает двоичные файлы с поддержкой TLS и CRT. В рекламе Telegram указан надежный набор функций для загрузчика по цене 200 долларов за сборку, а также "15-дневная гарантия на защитник Windows" - тактика, обычно используемая продавцами вредоносных программ для привлечения клиентов, обещая незаметную работу.

Появление BUBBAS GATE иллюстрирует продолжающийся конфликт между создателями вредоносных программ и поставщиками средств кибербезопасности, в котором особое внимание уделяется тактике обхода и функциям антианализа. Организациям рекомендуется сохранять бдительность и обеспечивать надежное управление исправлениями известных уязвимостей в системах SmartScreen и EDR, а также следить за появляющимися загрузчиками, связанными с этой новой угрозой, поскольку она набирает обороты в среде вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
09-07-2025

Digging Gold with a Spoon Resurgence of Monero-mining Malware

https://www.gdatasoftware.com/blog/2025/07/38228-monero-malware-xmrig-resurgence

Report completeness: Medium

Threats:
Xmrig_miner
Coinminer
Lolbas_technique
Dosvc

Geo:
Greece, Azerbaijan, Uzbekistan, China, Russia, Belgium

TTPs:

IOCs:
File: 13
Domain: 1
Path: 1
Registry: 1
Hash: 3

Soft:
Windows Defender, Windows Update Service, Windows Update Medic Service

Crypto:
bitcoin, monero, ethereum

Win Services:
Wuauserv, BITS, UsoSvc, WaaSMedicSvc

Languages:
powershell

Links:
https://github.com/xmrig/xmrig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С появлением XMRig cryptominer используются передовые технологии, включая LOLBAS и PowerShell, позволяющие избежать обнаружения. Он выполняет многоэтапные операции с помощью пакетных файлов для поддержания постоянства, изменения настроек реестра и загрузки майнера, демонстрируя низкую частоту обнаружения из-за минимальной запутанности.
-----

Возрождение криптоминера XMRig в середине апреля 2023 года знаменует собой значительный сдвиг в деятельности киберпреступников, в первую очередь из-за заметного роста стоимости Monero наряду с громкими кражами криптовалют. Предположительно, в США была проведена масштабная атака, в ходе которой украденный биткоин был конвертирован в Monero, что побудило киберпреступников снова использовать XMRig, который является инструментом майнинга с открытым исходным кодом. В этом конкретном варианте используются передовые технологии, в том числе автономные двоичные файлы и скрипты (LOLBA), а также законные инструменты Windows, такие как PowerShell, для облегчения работы и предотвращения обнаружения.

Угроза XMRig использует многоэтапный подход, который начинается с выполнения пакетного файла с именем 1.cmd, который запускается процессом с именем svchost.exe. Этот пакетный файл проверяет наличие маркерного файла для предотвращения множественных заражений и изменяет параметры реестра, чтобы исключить проверку системы защитником Windows. После этого он загружает другой пакетный файл, S2.bat, через PowerShell, запускает его с повышенными привилегиями и устанавливает запланированную задачу для сохранения. S2.bat аналогичным образом проверяет наличие предыдущих заражений и манипулирует службами Windows, в частности, отключает службу обновления Windows для сохранения контроля.

По ходу рабочего процесса S2.bat подключается к домену, маскирующемуся под законный сайт майнинга, чтобы загрузить вредоносный майнер XMRig, который после запуска устанавливает свою копию для обеспечения сохраняемости с помощью записи в реестре. Кроме того, он удаляет драйвер WinRing0, легальный компонент, который облегчает повышение привилегий и внесение изменений в реестр, иногда помеченный случайными именами файлов для обфускации. Майнер XMRig обладает такими характеристиками, как использование заметных путей к файлам и минимальное запутывание, что приводит к низкому уровню обнаружения среди антивирусных решений.

Этот вариант вредоносного ПО нацелен на более широкий круг стран по сравнению с предыдущими версиями и демонстрирует хорошо скоординированные усилия по вовлечению в криптодобычу. Это подчеркивает эффективность простых, но продуманных методов написания сценариев, которые, несмотря на отсутствие сложности, позволяют обойти многие защитные механизмы. Решения для постоянного мониторинга и обнаружения угроз, такие как те, которые могут идентифицировать необычное поведение, связанное с методами LOLBAS, имеют решающее значение для смягчения последствий таких заражений криптомайнингом. Заинтересованным сторонам в области кибербезопасности рекомендуется сохранять бдительность и быть в курсе возможных признаков, указывающих на такие заражения, используя эвристические и поведенческие стратегии обнаружения, чтобы усилить свою защиту от этих развивающихся угроз.

#ParsedReport #CompletenessLow
09-07-2025

Millions of people spied on by malicious browser extensions in Chrome and Edge

https://www.malwarebytes.com/blog/news/2025/07/millions-of-people-spied-on-by-malicious-browser-extensions-in-chrome-and-edge

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1086, T1176, T1505.003, T1566.002

IOCs:
Coin: 4
File: 2
Domain: 10

Soft:
Chrome, Zoom, Discord, TikTok, Flash Player

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рамках кампании использовались 18 вредоносных расширений для браузера из официальных интернет-магазинов для отслеживания поведения пользователей и внедрения вредоносного кода, что затронуло более 2,3 миллионов пользователей. Одно из расширений представлялось как инструмент поиска ChatGPT, который перехватывал URL-адреса и перенаправлял пользователей на фишинговые сайты. Несмотря на удаление, пользователям рекомендуется очистить данные о просмотре, отслеживать учетные записи, менять пароли и сбрасывать настройки браузера, чтобы снизить риски.
-----

Исследователи выявили крупного хакера, участвовавшего в кампании, которая использовала 18 расширений для браузера, доступных в официальных интернет-магазинах Chrome и Edge, для отслеживания поведения пользователей в Интернете. Эти расширения, которые в совокупности были установлены более двух миллионов раз, позже были использованы киберпреступниками для внедрения вредоносного кода с помощью обновлений, что привело к тому, что некоторые эксперты назвали эти чистые расширения "скрытыми агентами". Эти скрытые агенты служат основой для потенциальных будущих вредоносных действий.

Одним из примечательных примеров является расширение, маскирующееся под инструмент поиска для ChatGPT. Это конкретное расширение выполняло вредоносные действия, такие как захват URL-адресов страниц, которые посещали пользователи, и отправка этой информации на удаленный сервер. Кроме того, это может перенаправлять пользователей на URL-адреса, указанные сервером управления и контроля (C&C). В примере сценария показано, как пользователь, отвечающий на законное приглашение на собрание Zoom, может быть перенаправлен на поддельную страницу с запросом на "критическое обновление Zoom". Следуя этому перенаправлению, пользователи невольно загружают вредоносное ПО, которое может привести к полной компрометации их систем.

Хотя многие из этих вредоносных расширений были удалены из интернет-магазинов, примерно 1,7 миллиона пользователей установили их из Chrome web Store, что в общей сложности затронуло около 2,3 миллионов пользователей. Расширения в этих магазинах обычно проходят процедуру проверки, которая включает в себя как автоматические, так и ручные проверки, направленные на оценку соответствия политикам безопасности для защиты пользователей от потенциальных мошенников и вредоносных программ.

Для пользователей, которые, возможно, установили эти вредоносные расширения, рекомендуется предпринять несколько шагов по устранению последствий. Они должны очистить все данные о просмотре, чтобы исключить идентификаторы отслеживания или токены сеанса, которые могли быть скомпрометированы. Поскольку этот процесс потребует повторного входа на различные сайты, пользователи должны быть готовы к этим неудобствам. Крайне важно отслеживать учетные записи на предмет подозрительных действий, особенно если во время работы вредоносных расширений были посещены конфиденциальные сайты, и в качестве дополнительной меры предосторожности пользователям следует сменить свои пароли. Кроме того, сброс настроек браузера до значений по умолчанию может помочь отменить любые изменения, внесенные расширениями. Пользователям следует проявлять бдительность в отношении признаков взлома, таких как неожиданные перенаправления или изменения настроек поисковой системы, и следить за тем, чтобы их браузеры и все остальные расширения были обновлены. Комплексное сканирование на наличие вредоносных программ может дополнительно выявить и устранить все сохраняющиеся угрозы, связанные с вредоносными расширениями.

#ParsedReport #CompletenessLow
09-07-2025

Mapping Attacks by TEAM FEARLESS

https://cyberint.com/blog/threat-intelligence/team-fearless/

Report completeness: Low

Actors/Campaigns:
Team_fearles (motivation: information_theft, hacktivism)
Noname057 (motivation: hacktivism)
Cybervolk (motivation: hacktivism)
Hacknet

Threats:
Credential_dumping_technique

Victims:
Ukrainian city council, Israeli government websites, Miami international airport, San francisco international airport, Major telecommunications company in vietnam, Ukrainian metallurgical company, Local government in vietnam, Educational institutions in vietnam, Governmental organizations in united states

Industry:
Critical_infrastructure, Telco, Transport, Government, Aerospace

Geo:
Ukranian, Israel, Ukrainian, Ukraine, San francisco, Palestine, Israeli, Vietnam

TTPs:
Tactics: 3
Technics: 6

Soft:
Twitter, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TEAM FEARLESS - это группа хактивистов, проводящая DDoS-атаки против организаций, связанных с Израилем, с использованием ботнетов и методов усиления. Они также осуществляют сброс учетных данных и атаки на веб-приложения, используя уязвимости, такие как SQL-инъекции и XSS, для получения несанкционированного доступа и содействия утечке данных. Их координация с другими группами хактивистов повышает их оперативные возможности.
-----

TEAM FEARLESS - это хактивистская группа, специализирующаяся на проведении киберопераций, мотивированных политическими убеждениями, в частности, в поддержку Палестины. Их основная тактика - распределенные атаки типа "Отказ в обслуживании" (DDoS), нацеленные на ряд организаций, особенно связанных с Израилем. Они продемонстрировали оперативную активность в ходе многочисленных атак на различные секторы, включая государственные учреждения, транспортные узлы (в частности, аэропорты США), телекоммуникации, горнодобывающую промышленность и образовательные учреждения во Вьетнаме.

В основе их методологии лежат DDoS-атаки, использующие такие методы, как перегрузка серверов огромными объемами нелегального трафика, часто с помощью ботнетов или методов усиления. Эти операции могут вызвать временные перебои в работе, что может нанести ущерб репутации и финансовым потерям объектов. КОМАНДА FEARLESS продемонстрировала способность успешно работать с надежной инфраструктурой, обеспечивая доступ к значительным ресурсам.

В дополнение к DDoS-атакам, группа занимается сбросом учетных данных, что позволяет им получать конфиденциальные аутентификационные данные. Эта возможность расширяет возможности их операций, не ограничиваясь сбоями в работе и потенциально несанкционированным доступом к системам, способствуя утечке данных или продаже украденных учетных данных другим злоумышленникам. Сброс учетных данных часто использует уязвимости или использует ранее предоставленные данные, что служит их целям путем распространения информации об уязвимостях организаций, на которые они нацелены.

Группа также участвовала в атаках на веб-приложения, что свидетельствует о более высоком техническом уровне, позволяющем им использовать уязвимости в веб-сервисах. Распространенные методы, которые они могут использовать, включают внедрение SQL-кода, межсайтовый скриптинг (XSS) и использование небезопасных ссылок, что приводит к таким последствиям, как повреждение веб-сайта, кража данных и несанкционированный контроль над административными функциями.

КОМАНДА FEARLESS заключила союзы с другими группами хактивистов, такими как CyberVolk и YOGJASEC-XTEAM, что расширило их оперативный охват и возможности совместного использования ресурсов. Их общение в основном происходит через Telegram, где они координируют атаки, делятся обновлениями и продвигают свою идеологическую позицию. Группа также поддерживает свое присутствие в других социальных сетях и на форумах, обеспечивая широкое распространение своей деятельности и убеждений.

#ParsedReport #CompletenessLow
09-07-2025

Detailed Analysis of AiLock Ransomware

https://medium.com/s2wblog/detailed-analysis-of-ailock-ransomware-1d3263beff15

Report completeness: Low

Threats:
Ailock

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 2
Command: 1
IP: 1

Algorithms:
xor, chacha20, sha256, ntruencrypt

Functions:
SystemParameterInfoW

Win API:
LoadLibrary, GetProcAddress, IsProcessorFeaturePresent, GetSystemTime, SystemTimeToFileTime, GetSystemInfo, CryptGenRandom, SHEmptyRecycleBinA, ControlService, TerminateProcess, have more...

Languages:
c_language

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250704\_Detailed%20Analysis%20of%20AiLock%20Ransomware/IoC.md
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250704\_Detailed%20Analysis%20of%20AiLock%20Ransomware/AiLock.yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель AiLock, известная как RaaS, использует C/C++ для шифрования файлов с расширением .AiLock и угрожает утечкой данных. Он использует шифрование ChaCha20 с использованием NTRUEncrypt для метаданных и использует аргументы командной строки для выполнения своих функций, динамически разрешая вызовы API для скрытности. Программа-вымогатель выполняет тщательное сканирование в поисках целей, манипулирует настройками системной среды и регулярно адаптирует свою инфраструктуру.
-----

Программа-вымогатель AiLock, обнаруженная в марте 2025 года, действует как группа по борьбе с вымогательством как услуга (RaaS), которая ведет переговоры с жертвами через специальный сайт, угрожая раскрыть украденные данные на сайте утечки. Вредоносная программа, разработанная на C/C++, присваивает файлу расширение .К зашифрованным файлам добавляется блокировка и в соответствующие каталоги помещается записка с требованием выкупа под названием Readme.txt.

Программа—вымогатель использует сложный процесс шифрования файлов с использованием двух потоков — потока обхода пути и потока шифрования, что облегчает идентификацию и шифрование файлов. Поток обхода пути отвечает за поиск файлов для шифрования, в то время как поток шифрования выполняет шифрование на основе заданной структуры. Алгоритм шифрования ChaCha20 дополнен NTRUEncrypt для защиты метаданных. В зависимости от размера файлов используются различные стратегии шифрования: файлы размером менее 100 МБ шифруются полностью, в то время как файлы размером от 100 МБ до 1 ГБ подвергаются частичному шифрованию.

Для выполнения AiLock требуются определенные аргументы командной строки, такие как -full или -path, которые запускают его вредоносные функции. Кроме того, программа-вымогатель запутывает свои командные строки с помощью операции XOR с повторяющимся случайным 8-байтовым ключом, а все вызовы API динамически разрешаются для повышения скрытности. Вредоносная программа также может провести полное сканирование подключенных дисков на предмет целей шифрования с помощью API GetLogicalDrives(), и если используется аргумент -shares, она получает доступ к сетевым ресурсам, связанным с системой.

Чтобы усилить свое влияние, AiLock манипулирует системной средой, очищая корзину с помощью API SHEmptyRecycleBinA(), а когда файлы зашифрованы, он изменяет их значки через реестр, помещая временный файл значков в каталог %TEMP%. Программа-вымогатель продемонстрировала способность к адаптации, постоянно меняя свою инфраструктуру и разрабатывая новые места утечки, что свидетельствует о ее постоянном рабочем состоянии. Следовательно, для эффективного противодействия этой угрозе рекомендуется постоянный мониторинг и применение специальных правил обнаружения.

#ParsedReport #CompletenessHigh
09-07-2025

Coinminer attack exploiting GeoServer vulnerability

https://asec.ahnlab.com/ko/88874/

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Coinminer
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Netcat_tool
Xmrig_miner

Victims:
Geoserver users, Taiwanese government agencies

Industry:
Government

Geo:
Korea, Taiwanese

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1105, T1190, T1219, T1496, T1562.001

IOCs:
File: 1
Url: 5
Coin: 1
Hash: 5
IP: 1

Soft:
GeoServer, GeoServers, Linux

Crypto:
monero

Algorithms:
md5

Win Services:
WebClient

Languages:
powershell, java