#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С появлением XMRig cryptominer используются передовые технологии, включая LOLBAS и PowerShell, позволяющие избежать обнаружения. Он выполняет многоэтапные операции с помощью пакетных файлов для поддержания постоянства, изменения настроек реестра и загрузки майнера, демонстрируя низкую частоту обнаружения из-за минимальной запутанности.
-----

Возрождение криптоминера XMRig в середине апреля 2023 года знаменует собой значительный сдвиг в деятельности киберпреступников, в первую очередь из-за заметного роста стоимости Monero наряду с громкими кражами криптовалют. Предположительно, в США была проведена масштабная атака, в ходе которой украденный биткоин был конвертирован в Monero, что побудило киберпреступников снова использовать XMRig, который является инструментом майнинга с открытым исходным кодом. В этом конкретном варианте используются передовые технологии, в том числе автономные двоичные файлы и скрипты (LOLBA), а также законные инструменты Windows, такие как PowerShell, для облегчения работы и предотвращения обнаружения.

Угроза XMRig использует многоэтапный подход, который начинается с выполнения пакетного файла с именем 1.cmd, который запускается процессом с именем svchost.exe. Этот пакетный файл проверяет наличие маркерного файла для предотвращения множественных заражений и изменяет параметры реестра, чтобы исключить проверку системы защитником Windows. После этого он загружает другой пакетный файл, S2.bat, через PowerShell, запускает его с повышенными привилегиями и устанавливает запланированную задачу для сохранения. S2.bat аналогичным образом проверяет наличие предыдущих заражений и манипулирует службами Windows, в частности, отключает службу обновления Windows для сохранения контроля.

По ходу рабочего процесса S2.bat подключается к домену, маскирующемуся под законный сайт майнинга, чтобы загрузить вредоносный майнер XMRig, который после запуска устанавливает свою копию для обеспечения сохраняемости с помощью записи в реестре. Кроме того, он удаляет драйвер WinRing0, легальный компонент, который облегчает повышение привилегий и внесение изменений в реестр, иногда помеченный случайными именами файлов для обфускации. Майнер XMRig обладает такими характеристиками, как использование заметных путей к файлам и минимальное запутывание, что приводит к низкому уровню обнаружения среди антивирусных решений.

Этот вариант вредоносного ПО нацелен на более широкий круг стран по сравнению с предыдущими версиями и демонстрирует хорошо скоординированные усилия по вовлечению в криптодобычу. Это подчеркивает эффективность простых, но продуманных методов написания сценариев, которые, несмотря на отсутствие сложности, позволяют обойти многие защитные механизмы. Решения для постоянного мониторинга и обнаружения угроз, такие как те, которые могут идентифицировать необычное поведение, связанное с методами LOLBAS, имеют решающее значение для смягчения последствий таких заражений криптомайнингом. Заинтересованным сторонам в области кибербезопасности рекомендуется сохранять бдительность и быть в курсе возможных признаков, указывающих на такие заражения, используя эвристические и поведенческие стратегии обнаружения, чтобы усилить свою защиту от этих развивающихся угроз.

#ParsedReport #CompletenessLow
09-07-2025

Millions of people spied on by malicious browser extensions in Chrome and Edge

https://www.malwarebytes.com/blog/news/2025/07/millions-of-people-spied-on-by-malicious-browser-extensions-in-chrome-and-edge

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1086, T1176, T1505.003, T1566.002

IOCs:
Coin: 4
File: 2
Domain: 10

Soft:
Chrome, Zoom, Discord, TikTok, Flash Player

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В рамках кампании использовались 18 вредоносных расширений для браузера из официальных интернет-магазинов для отслеживания поведения пользователей и внедрения вредоносного кода, что затронуло более 2,3 миллионов пользователей. Одно из расширений представлялось как инструмент поиска ChatGPT, который перехватывал URL-адреса и перенаправлял пользователей на фишинговые сайты. Несмотря на удаление, пользователям рекомендуется очистить данные о просмотре, отслеживать учетные записи, менять пароли и сбрасывать настройки браузера, чтобы снизить риски.
-----

Исследователи выявили крупного хакера, участвовавшего в кампании, которая использовала 18 расширений для браузера, доступных в официальных интернет-магазинах Chrome и Edge, для отслеживания поведения пользователей в Интернете. Эти расширения, которые в совокупности были установлены более двух миллионов раз, позже были использованы киберпреступниками для внедрения вредоносного кода с помощью обновлений, что привело к тому, что некоторые эксперты назвали эти чистые расширения "скрытыми агентами". Эти скрытые агенты служат основой для потенциальных будущих вредоносных действий.

Одним из примечательных примеров является расширение, маскирующееся под инструмент поиска для ChatGPT. Это конкретное расширение выполняло вредоносные действия, такие как захват URL-адресов страниц, которые посещали пользователи, и отправка этой информации на удаленный сервер. Кроме того, это может перенаправлять пользователей на URL-адреса, указанные сервером управления и контроля (C&C). В примере сценария показано, как пользователь, отвечающий на законное приглашение на собрание Zoom, может быть перенаправлен на поддельную страницу с запросом на "критическое обновление Zoom". Следуя этому перенаправлению, пользователи невольно загружают вредоносное ПО, которое может привести к полной компрометации их систем.

Хотя многие из этих вредоносных расширений были удалены из интернет-магазинов, примерно 1,7 миллиона пользователей установили их из Chrome web Store, что в общей сложности затронуло около 2,3 миллионов пользователей. Расширения в этих магазинах обычно проходят процедуру проверки, которая включает в себя как автоматические, так и ручные проверки, направленные на оценку соответствия политикам безопасности для защиты пользователей от потенциальных мошенников и вредоносных программ.

Для пользователей, которые, возможно, установили эти вредоносные расширения, рекомендуется предпринять несколько шагов по устранению последствий. Они должны очистить все данные о просмотре, чтобы исключить идентификаторы отслеживания или токены сеанса, которые могли быть скомпрометированы. Поскольку этот процесс потребует повторного входа на различные сайты, пользователи должны быть готовы к этим неудобствам. Крайне важно отслеживать учетные записи на предмет подозрительных действий, особенно если во время работы вредоносных расширений были посещены конфиденциальные сайты, и в качестве дополнительной меры предосторожности пользователям следует сменить свои пароли. Кроме того, сброс настроек браузера до значений по умолчанию может помочь отменить любые изменения, внесенные расширениями. Пользователям следует проявлять бдительность в отношении признаков взлома, таких как неожиданные перенаправления или изменения настроек поисковой системы, и следить за тем, чтобы их браузеры и все остальные расширения были обновлены. Комплексное сканирование на наличие вредоносных программ может дополнительно выявить и устранить все сохраняющиеся угрозы, связанные с вредоносными расширениями.

#ParsedReport #CompletenessLow
09-07-2025

Mapping Attacks by TEAM FEARLESS

https://cyberint.com/blog/threat-intelligence/team-fearless/

Report completeness: Low

Actors/Campaigns:
Team_fearles (motivation: information_theft, hacktivism)
Noname057 (motivation: hacktivism)
Cybervolk (motivation: hacktivism)
Hacknet

Threats:
Credential_dumping_technique

Victims:
Ukrainian city council, Israeli government websites, Miami international airport, San francisco international airport, Major telecommunications company in vietnam, Ukrainian metallurgical company, Local government in vietnam, Educational institutions in vietnam, Governmental organizations in united states

Industry:
Critical_infrastructure, Telco, Transport, Government, Aerospace

Geo:
Ukranian, Israel, Ukrainian, Ukraine, San francisco, Palestine, Israeli, Vietnam

TTPs:
Tactics: 3
Technics: 6

Soft:
Twitter, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TEAM FEARLESS - это группа хактивистов, проводящая DDoS-атаки против организаций, связанных с Израилем, с использованием ботнетов и методов усиления. Они также осуществляют сброс учетных данных и атаки на веб-приложения, используя уязвимости, такие как SQL-инъекции и XSS, для получения несанкционированного доступа и содействия утечке данных. Их координация с другими группами хактивистов повышает их оперативные возможности.
-----

TEAM FEARLESS - это хактивистская группа, специализирующаяся на проведении киберопераций, мотивированных политическими убеждениями, в частности, в поддержку Палестины. Их основная тактика - распределенные атаки типа "Отказ в обслуживании" (DDoS), нацеленные на ряд организаций, особенно связанных с Израилем. Они продемонстрировали оперативную активность в ходе многочисленных атак на различные секторы, включая государственные учреждения, транспортные узлы (в частности, аэропорты США), телекоммуникации, горнодобывающую промышленность и образовательные учреждения во Вьетнаме.

В основе их методологии лежат DDoS-атаки, использующие такие методы, как перегрузка серверов огромными объемами нелегального трафика, часто с помощью ботнетов или методов усиления. Эти операции могут вызвать временные перебои в работе, что может нанести ущерб репутации и финансовым потерям объектов. КОМАНДА FEARLESS продемонстрировала способность успешно работать с надежной инфраструктурой, обеспечивая доступ к значительным ресурсам.

В дополнение к DDoS-атакам, группа занимается сбросом учетных данных, что позволяет им получать конфиденциальные аутентификационные данные. Эта возможность расширяет возможности их операций, не ограничиваясь сбоями в работе и потенциально несанкционированным доступом к системам, способствуя утечке данных или продаже украденных учетных данных другим злоумышленникам. Сброс учетных данных часто использует уязвимости или использует ранее предоставленные данные, что служит их целям путем распространения информации об уязвимостях организаций, на которые они нацелены.

Группа также участвовала в атаках на веб-приложения, что свидетельствует о более высоком техническом уровне, позволяющем им использовать уязвимости в веб-сервисах. Распространенные методы, которые они могут использовать, включают внедрение SQL-кода, межсайтовый скриптинг (XSS) и использование небезопасных ссылок, что приводит к таким последствиям, как повреждение веб-сайта, кража данных и несанкционированный контроль над административными функциями.

КОМАНДА FEARLESS заключила союзы с другими группами хактивистов, такими как CyberVolk и YOGJASEC-XTEAM, что расширило их оперативный охват и возможности совместного использования ресурсов. Их общение в основном происходит через Telegram, где они координируют атаки, делятся обновлениями и продвигают свою идеологическую позицию. Группа также поддерживает свое присутствие в других социальных сетях и на форумах, обеспечивая широкое распространение своей деятельности и убеждений.

#ParsedReport #CompletenessLow
09-07-2025

Detailed Analysis of AiLock Ransomware

https://medium.com/s2wblog/detailed-analysis-of-ailock-ransomware-1d3263beff15

Report completeness: Low

Threats:
Ailock

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 2
Command: 1
IP: 1

Algorithms:
xor, chacha20, sha256, ntruencrypt

Functions:
SystemParameterInfoW

Win API:
LoadLibrary, GetProcAddress, IsProcessorFeaturePresent, GetSystemTime, SystemTimeToFileTime, GetSystemInfo, CryptGenRandom, SHEmptyRecycleBinA, ControlService, TerminateProcess, have more...

Languages:
c_language

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250704\_Detailed%20Analysis%20of%20AiLock%20Ransomware/IoC.md
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250704\_Detailed%20Analysis%20of%20AiLock%20Ransomware/AiLock.yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель AiLock, известная как RaaS, использует C/C++ для шифрования файлов с расширением .AiLock и угрожает утечкой данных. Он использует шифрование ChaCha20 с использованием NTRUEncrypt для метаданных и использует аргументы командной строки для выполнения своих функций, динамически разрешая вызовы API для скрытности. Программа-вымогатель выполняет тщательное сканирование в поисках целей, манипулирует настройками системной среды и регулярно адаптирует свою инфраструктуру.
-----

Программа-вымогатель AiLock, обнаруженная в марте 2025 года, действует как группа по борьбе с вымогательством как услуга (RaaS), которая ведет переговоры с жертвами через специальный сайт, угрожая раскрыть украденные данные на сайте утечки. Вредоносная программа, разработанная на C/C++, присваивает файлу расширение .К зашифрованным файлам добавляется блокировка и в соответствующие каталоги помещается записка с требованием выкупа под названием Readme.txt.

Программа—вымогатель использует сложный процесс шифрования файлов с использованием двух потоков — потока обхода пути и потока шифрования, что облегчает идентификацию и шифрование файлов. Поток обхода пути отвечает за поиск файлов для шифрования, в то время как поток шифрования выполняет шифрование на основе заданной структуры. Алгоритм шифрования ChaCha20 дополнен NTRUEncrypt для защиты метаданных. В зависимости от размера файлов используются различные стратегии шифрования: файлы размером менее 100 МБ шифруются полностью, в то время как файлы размером от 100 МБ до 1 ГБ подвергаются частичному шифрованию.

Для выполнения AiLock требуются определенные аргументы командной строки, такие как -full или -path, которые запускают его вредоносные функции. Кроме того, программа-вымогатель запутывает свои командные строки с помощью операции XOR с повторяющимся случайным 8-байтовым ключом, а все вызовы API динамически разрешаются для повышения скрытности. Вредоносная программа также может провести полное сканирование подключенных дисков на предмет целей шифрования с помощью API GetLogicalDrives(), и если используется аргумент -shares, она получает доступ к сетевым ресурсам, связанным с системой.

Чтобы усилить свое влияние, AiLock манипулирует системной средой, очищая корзину с помощью API SHEmptyRecycleBinA(), а когда файлы зашифрованы, он изменяет их значки через реестр, помещая временный файл значков в каталог %TEMP%. Программа-вымогатель продемонстрировала способность к адаптации, постоянно меняя свою инфраструктуру и разрабатывая новые места утечки, что свидетельствует о ее постоянном рабочем состоянии. Следовательно, для эффективного противодействия этой угрозе рекомендуется постоянный мониторинг и применение специальных правил обнаружения.

#ParsedReport #CompletenessHigh
09-07-2025

Coinminer attack exploiting GeoServer vulnerability

https://asec.ahnlab.com/ko/88874/

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Coinminer
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Netcat_tool
Xmrig_miner

Victims:
Geoserver users, Taiwanese government agencies

Industry:
Government

Geo:
Korea, Taiwanese

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1105, T1190, T1219, T1496, T1562.001

IOCs:
File: 1
Url: 5
Coin: 1
Hash: 5
IP: 1

Soft:
GeoServer, GeoServers, Linux

Crypto:
monero

Algorithms:
md5

Win Services:
WebClient

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют CVE-2024-36401 на незащищенных геосерверах для удаленного выполнения кода, внедряя вредоносные программы, такие как GOREVERSE и XMRig, для майнинга монет. Хакерская группа Earth Baxia нацелена на тайваньские агентства, использующие фишинг-атаки и скрипты PowerShell/Bash для управления скомпрометированными системами и добычи монет Monero.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил, что незащищенные геосерверы становятся активной мишенью злоумышленников, которые устанавливают майнеры монет после использования уязвимостей. Основное внимание уделяется CVE-2024-36401, опубликованному в 2024 году, который позволяет выполнять удаленный код без проверки подлинности. Злоумышленники используют эту уязвимость для распространения различного вредоносного программного обеспечения, включая такие вредоносные программы, как GOREVERSE, SideWalk, Mirai, Condi и CoinMiner.

Недавние атаки включали тактику хакеров, идентифицированных как Earth Baxia, которые нацеливались на правительственные учреждения Тайваня с помощью скрытого фишинга в сочетании с использованием CVE-2024-36401. В ходе внутренних инцидентов злоумышленники атаковали среды Windows, используя установки GeoServer, которые еще не были исправлены для устранения этой критической уязвимости. В процессе установки вредоносного ПО была выполнена команда PowerShell, которая инициировала загрузку скрипта с именем "adminc.ps1", а затем установила утилиту NetCat. Этот инструмент служит в качестве утилиты для передачи сетевых данных, часто используемой в качестве удаленной оболочки, позволяя злоумышленникам управлять скомпрометированной системой с командно-контрольного сервера (C&C).

Метод распространения вредоносного ПО продемонстрировал универсальность в различных операционных системах, используя как PowerShell для Windows, так и скрипт Bash для Linux для установки XMRig, программного обеспечения для майнинга монет. Скрипты предназначены для завершения процессов, связанных с конкурирующим программным обеспечением для майнинга, перед выполнением соответствующих команд для запуска XMRig. В случаях, связанных с отклонениями в работе Windows, загруженный скрипт PowerShell эффективно устанавливает XMRig, в то время как его аналог в Linux выполняет аналогичные задачи с помощью Bash. После установки эти майнеры используют ресурсы зараженной системы для добычи монет Monero для злоумышленников.

#ParsedReport #CompletenessLow
09-07-2025

Anatsa Banking Trojan Expands to North America via Google Play Dropper Apps

https://www.secureblink.com/cyber-security-news/anatsa-banking-trojan-expands-to-north-america-via-google-play-dropper-apps

Report completeness: Low

Threats:
Anatsa

Industry:
Retail, Transport, Financial

Geo:
American, Canadian, Canada, America

ChatGPT TTPs:
do not use without manual check
T1407, T1418, T1420, T1444, T1476, T1546

Soft:
Google Play, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троян Anatsa (TeaBot) для Android нацелен на пользователей в США и Канаде с помощью вредоносных обновлений в, казалось бы, законных приложениях, кражи учетных данных с помощью оверлеев и перехвата SMS-сообщений 2FA. Он использует передовые методы уклонения от уплаты налогов и мошенничества с захватом устройств, расширяя охват различных финансовых учреждений Северной Америки.
-----

Банковский троян Anatsa для Android, также известный как TeaBot, нацелен на пользователей в США и Канаде с помощью вредоносных приложений. Он распространялся с помощью, казалось бы, законного приложения под названием "Программа просмотра документов - чтения файлов", которое было установлено около 90 000 раз до его удаления. Хакеры совершенствуют свою тактику проникновения в финансовые приложения Северной Америки с целью кражи учетных данных пользователей и автоматизации мошеннических транзакций.

Кампания перенесла акцент с Европы на финансовые учреждения США, используя усовершенствованные методы защиты от вредоносного ПО и периодические паузы в распространении, чтобы усовершенствовать свои вредоносные программы. Они создают профили надежных разработчиков, выпуская законные приложения, прежде чем отправлять вредоносные обновления.

Программа-дроппер с именем пакета com.stellarastra.maintainer.astracontrol_managerreadercleaner маскируется под средство просмотра файлов и запрашивает разрешения на доступ к сервису после обновления от 24 июня для автоматизации взаимодействия с пользователем. Он загружает DEX-файл второго этапа с сервера управления, загружая полную полезную нагрузку Anatsa в память.

Anatsa использует оверлейные экраны для имитации законных страниц входа в банк и может перехватывать коды двухфакторной аутентификации на основе SMS. Это позволяет осуществлять мошенничество с использованием устройств (DTO), облегчая прямые денежные переводы с устройства пользователя, избегая при этом поведенческой аналитики.

хакеры расширили свои цели, включив в них различные учреждения США, включая розничные банки и кредитные союзы. Исследования показывают, что 40% дропперов замаскированы под утилиты "Tools", которые запрашивают расширенные разрешения без предупреждения. Операторы Anatsa избегают проверки, сначала запуская чистые приложения, а затем внедряя обновления. Эффективность защиты App Store ставится под сомнение из-за такой адаптивной тактики вредоносных программ.

#ParsedReport #CompletenessMedium
10-07-2025

Code highlighting with Cursor AI for $500,000

https://securelist.com/open-source-package-for-cursor-ai-turned-into-a-crypto-heist/116908/

Report completeness: Medium

Threats:
Screenconnect_tool
Vmdetector
Quasar_rat
Purelogs

Victims:
Blockchain developer

Industry:
Financial

Geo:
Russia, Latin america

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1053.005, T1056.001, T1059.001, T1059.005, T1071.001, T1105, T1136.001, T1195.002, have more...

IOCs:
File: 6
Path: 1
Domain: 2
Url: 6
IP: 1
Hash: 6

Soft:
Visual Studio Code

Languages:
powershell, solidity

Links:
https://github.com/eclipse/openvsx/blob/master/server/src/main/java/org/eclipse/openvsx/search/RelevanceService.java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные пакеты с открытым исходным кодом, такие как скомпрометированное расширение Solidity, все чаще становятся мишенью разработчиков, позволяя злоумышленникам взламывать системы и выводить криптовалюты. Расширения часто используют тактику обфускации и имитируют законные пакеты, что повышает необходимость надежной проверки и бдительности пользователей.
-----

Атаки с использованием вредоносных пакетов с открытым исходным кодом становятся все более распространенными, и в таких репозиториях, как PyPI и npm, сообщается о многочисленных случаях заражения пакетов. Показательный случай произошел в июне 2025 года, когда российский разработчик блокчейна потерял около 500 000 долларов в виде криптоактивов после загрузки скомпрометированного расширения для языка Solidity, которое продавалось для разработки с использованием искусственного интеллекта в среде Cursor AI IDE. Несмотря на то, что разработчик недавно установил свою операционную систему и придерживался осторожного подхода к кибербезопасности, вредоносному расширению удалось обмануть его.

Плагин, известный как extension.js, якобы предоставлял такие функции, как подсветка синтаксиса, но на самом деле функционировал исключительно для загрузки и выполнения вредоносного кода. В частности, он загружал скрипт PowerShell с указанного веб-сервера, который дополнительно проверял наличие программного обеспечения для удаленного управления ScreenConnect. Если он отсутствовал, он загружал это программное обеспечение, что позволяло злоумышленникам получить контроль над компьютером разработчика. Злоумышленники использовали иерархию скриптов, используя методы обфускации, маскирующие истинное назначение каждой полезной нагрузки. В конечном счете, система была использована для перекачки криптовалюты через черный ход, и Касперский идентифицировал вредоносное ПО как HEUR:Trojan-PSW.MSIL.PureLogs.gen.

Появление вредоносного расширения можно объяснить его ранжированием в Открытом реестре VSX, где оно превзошло законный аналог из-за различных факторов, включая недавность публикации. Это вводящее в заблуждение позиционирование привело к тому, что разработчик установил поддельное расширение, приняв отсутствие функциональности за ошибку. После удаления расширения после обнаружения злоумышленники незамедлительно выпустили другой вредоносный пакет с тем же названием, что и у оригинала, что еще больше усугубило проблему для ничего не подозревающих пользователей.

В дополнение к расширениям Solidity были выявлены другие вредоносные пакеты, нацеленные на разработчиков блокчейна, в том числе вредоносный пакет npm под названием "solsafe", ответственный за поведение загрузки, аналогичное более ранним угрозам. Эта закономерность указывает на более широкую тенденцию, когда злоумышленники используют репозитории с открытым исходным кодом, используя распространенные методы управления пакетами для проведения сложных фишинговых кампаний и краж против разработчиков в криптопространстве.

Эта постоянная ситуация с угрозами подчеркивает необходимость проявлять бдительность при загрузке и внедрении инструментов и пакетов с открытым исходным кодом. Несмотря на то, что многие проекты полагаются на эти хранилища, они представляют значительный риск, если не будут приняты надлежащие меры проверки. Разработчикам крайне важно сохранять подозрительность в отношении любых аномалий в функциональности после установки и проверять исходный код любых загруженных пакетов, а также последовательно использовать комплексные решения в области кибербезопасности для защиты от подобных атак.

#ParsedReport #CompletenessMedium
10-07-2025

macOS.ZuRu Resurfaces \| Modified Khepri C2 Hides Inside Doctored Termius App

https://www.sentinelone.com/blog/macos-zuru-resurfaces-modified-khepri-c2-hides-inside-doctored-termius-app/

Report completeness: Medium

Threats:
Zuru
Khepri
Termius_tool
Securecrt_tool

Victims:
Developers, It professionals, Users of backend tools for ssh and remote connections

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1036.005, T1055.001, T1059.004, T1071.004, T1082, T1105, T1140, T1189, have more...

IOCs:
Domain: 3
Coin: 1
File: 1
Url: 3
IP: 2
Hash: 4

Soft:
macOS

Algorithms:
xor, md5

Functions:
_writePlistAndStartDaemon, _copySelfToShare, _LockManager, _checkFileAndDownloadIfNeeded, _startBackgroundProcess, _decryptData, runInBackground

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4