#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные пакеты с открытым исходным кодом, такие как скомпрометированное расширение Solidity, все чаще становятся мишенью разработчиков, позволяя злоумышленникам взламывать системы и выводить криптовалюты. Расширения часто используют тактику обфускации и имитируют законные пакеты, что повышает необходимость надежной проверки и бдительности пользователей.
-----

Атаки с использованием вредоносных пакетов с открытым исходным кодом становятся все более распространенными, и в таких репозиториях, как PyPI и npm, сообщается о многочисленных случаях заражения пакетов. Показательный случай произошел в июне 2025 года, когда российский разработчик блокчейна потерял около 500 000 долларов в виде криптоактивов после загрузки скомпрометированного расширения для языка Solidity, которое продавалось для разработки с использованием искусственного интеллекта в среде Cursor AI IDE. Несмотря на то, что разработчик недавно установил свою операционную систему и придерживался осторожного подхода к кибербезопасности, вредоносному расширению удалось обмануть его.

Плагин, известный как extension.js, якобы предоставлял такие функции, как подсветка синтаксиса, но на самом деле функционировал исключительно для загрузки и выполнения вредоносного кода. В частности, он загружал скрипт PowerShell с указанного веб-сервера, который дополнительно проверял наличие программного обеспечения для удаленного управления ScreenConnect. Если он отсутствовал, он загружал это программное обеспечение, что позволяло злоумышленникам получить контроль над компьютером разработчика. Злоумышленники использовали иерархию скриптов, используя методы обфускации, маскирующие истинное назначение каждой полезной нагрузки. В конечном счете, система была использована для перекачки криптовалюты через черный ход, и Касперский идентифицировал вредоносное ПО как HEUR:Trojan-PSW.MSIL.PureLogs.gen.

Появление вредоносного расширения можно объяснить его ранжированием в Открытом реестре VSX, где оно превзошло законный аналог из-за различных факторов, включая недавность публикации. Это вводящее в заблуждение позиционирование привело к тому, что разработчик установил поддельное расширение, приняв отсутствие функциональности за ошибку. После удаления расширения после обнаружения злоумышленники незамедлительно выпустили другой вредоносный пакет с тем же названием, что и у оригинала, что еще больше усугубило проблему для ничего не подозревающих пользователей.

В дополнение к расширениям Solidity были выявлены другие вредоносные пакеты, нацеленные на разработчиков блокчейна, в том числе вредоносный пакет npm под названием "solsafe", ответственный за поведение загрузки, аналогичное более ранним угрозам. Эта закономерность указывает на более широкую тенденцию, когда злоумышленники используют репозитории с открытым исходным кодом, используя распространенные методы управления пакетами для проведения сложных фишинговых кампаний и краж против разработчиков в криптопространстве.

Эта постоянная ситуация с угрозами подчеркивает необходимость проявлять бдительность при загрузке и внедрении инструментов и пакетов с открытым исходным кодом. Несмотря на то, что многие проекты полагаются на эти хранилища, они представляют значительный риск, если не будут приняты надлежащие меры проверки. Разработчикам крайне важно сохранять подозрительность в отношении любых аномалий в функциональности после установки и проверять исходный код любых загруженных пакетов, а также последовательно использовать комплексные решения в области кибербезопасности для защиты от подобных атак.

#ParsedReport #CompletenessMedium
10-07-2025

macOS.ZuRu Resurfaces \| Modified Khepri C2 Hides Inside Doctored Termius App

https://www.sentinelone.com/blog/macos-zuru-resurfaces-modified-khepri-c2-hides-inside-doctored-termius-app/

Report completeness: Medium

Threats:
Zuru
Khepri
Termius_tool
Securecrt_tool

Victims:
Developers, It professionals, Users of backend tools for ssh and remote connections

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1036.005, T1055.001, T1059.004, T1071.004, T1082, T1105, T1140, T1189, have more...

IOCs:
Domain: 3
Coin: 1
File: 1
Url: 3
IP: 2
Hash: 4

Soft:
macOS

Algorithms:
xor, md5

Functions:
_writePlistAndStartDaemon, _copySelfToShare, _LockManager, _checkFileAndDownloadIfNeeded, _startBackgroundProcess, _decryptData, runInBackground

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
macOS.ZuRu - это вредоносная программа-бэкдор, предназначенная для пользователей, которые ищут популярные приложения для macOS, и предоставляемая через испорченные результаты поиска. Она использует платформу Khepri C2 для управления, использует троянские приложения и обходит систему подписи кода macOS. Последние версии загружают двоичные файлы с сервера C2 и поддерживают постоянные механизмы, демонстрируя стратегическую направленность на разработку и ИТ-сектор.
-----

macOS.ZuRu - это вредоносная программа-бэкдор, которая была впервые обнаружена в июле 2021 года и распространялась через поддельные результаты поиска на Baidu, специально предназначенная для пользователей, которые ищут популярные приложения для macOS, такие как iTerm2, SecureCRT, Navicat и Microsoft Remote Desktop для Mac. Вредоносная программа со временем эволюционировала, в том числе благодаря использованию платформы Khepri C2 с открытым исходным кодом для управления в своих операциях. Исследователи из JAMF обнаружили новые варианты, которые продолжают использовать те же методы доставки троянских приложений, причем последние образцы были опубликованы в мае 2025 года, в частности, для SSH-клиента Termius.

Вредоносная полезная нагрузка распространяется в виде образа диска с расширением .dmg, который содержит модифицированную версию Termius.app. Размер допустимой версии составляет около 225 МБ, в то время как размер троянской версии составляет около 248 МБ, поскольку в нее встроены вредоносные двоичные файлы. Чтобы обойти требования к подписи кода macOS, злоумышленники заменяют исходную подпись кода разработчика специальной подписью. Во встроенное приложение Termius Helper.app добавлены два исполняемых файла; один из них запускает загрузчик вредоносного ПО и взаимодействует с Khepri, что приводит к дальнейшей утечке данных.

Основной компонент вредоносной программы с именем .localized загружает двоичный файл с сервера управления по адресу download.termius.info и сохраняет его во временном файле. Этот компонент также использует различные функции для управления его установкой и выполнением, включая настройку механизма блокировки для предотвращения одновременного запуска нескольких экземпляров и проверку обновления полезной нагрузки. Вредоносная программа использует определенный постоянный механизм через LaunchDaemon и запрашивает повышенные привилегии через устаревшие API.

Функции управления включают в себя радиомаяк Khepri C2, настроенный под троянскую программу Termius. Этот радиомаяк работает с расширенными функциями, такими как пятисекундный интервал действия и соединения, выполняемые с помощью DNS-запросов, которые выглядят легитимными. Вариант Khepri разработан таким образом, чтобы обеспечить быструю связь с C2, обеспечивая при этом скрытную работу.

Несмотря на развитие технологий, выбор атакующими приложений-мишеней и характеристики их инфраструктуры остаются неизменными, что указывает на устойчивую стратегию, ориентированную на пользователей в сфере разработки и ИТ. Устойчивое поведение вредоносного ПО, включая обработку файлов и обновления, свидетельствует о попытках сохранить эффективность решений для обеспечения безопасности. Организациям рекомендуется отслеживать конкретные технические показатели, связанные с macOS.ZuRu, чтобы усилить свою защиту от этой постоянной угрозы.

#ParsedReport #CompletenessHigh
10-07-2025

SafePay ransomware: The fast-rising threat targeting MSPs

https://www.acronis.com/en-us/tru/posts/safepay-ransomware-the-fast-rising-threat-targeting-msps/

Report completeness: High

Actors/Campaigns:
C0015

Threats:
Safepay
Lockbit
Shadow_copies_delete_technique
Lolbin_technique
Blackbyte
Sharefinder_tool
Emotet
Conti
Uac_bypass_technique

Victims:
Ingram micro, Msps, Smbs

Geo:
Russian, Azerbaijani, Armenia, Georgian, Ukrainian, Belarusian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1021.002, T1027, T1036.005, T1041, T1055.012, T1059.001, T1069.002, T1070.001, have more...

IOCs:
File: 10
Command: 1
Path: 1
Hash: 1
Url: 1
Email: 1

Soft:
Windows Defender, firefox, onenote, outlook, steam, thebat, wordpad, msexchange, bcdedit

Algorithms:
rsa-aes, aes, xor, sha256

Functions:
Windows, SetVolumeMountPoint, FindFirstFile, FindNextFile

Win API:
LoadLibrary, GetProcAddress, SetSecurityInfo, SeDebugPrivilege, ControlService, SHEmptyRecycleBinW, ShellExecuteW, GetVolumePathNamesForVolumeNameW, GetLogicalDrives, DeviceIoControl, have more...

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Links:
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель SafePay, действующая с начала 2025 года, нацелена на поставщиков управляемых услуг и предприятия малого и среднего бизнеса, используя такие методы, как кража учетных данных, RDP-вторжения и методы "жизни за пределами земли". Поведение вредоносного ПО включает в себя двухуровневое шифрование AES/RSA, запутывание строк и ориентацию на конкретные языковые идентификаторы. SafePay работает без партнерской модели и имеет сходство с семейством программ-вымогателей LockBit 3.0, использующих стратегию двойного вымогательства для максимизации выплат выкупа.
-----

Программа-вымогатель SafePay появилась в первом квартале 2025 года и затронула более 200 жертв, включая поставщиков управляемых услуг и предприятия малого и среднего бизнеса. Группа осуществляет централизованное управление, избегая партнерской модели. Методы атаки включают кражу учетных данных, вторжения по протоколам RDP и VPN, повышение привилегий и методы "удаленного доступа", позволяющие осуществлять незамеченную навигацию по сетям жертвы. SafePay имеет сходство с семейством программ-вымогателей LockBit, особенно с версией 3.0 (LockBit Black), и использует формат библиотеки PE32 DLL с вводящей в заблуждение временной меткой компиляции. Вредоносная программа избегает обнаружения с помощью фиктивных функций и бессмысленных вызовов Windows API.

Инфраструктура командно-диспетчерского управления (C2) позволяет отключить такие меры безопасности, как защитник Windows, и упростить прямую загрузку файлов на серверы злоумышленников. SafePay использует механизм расшифровки строк с помощью операций XOR и проверяет идентификатор языка системы, чтобы ориентироваться на определенные локали, в частности на российские и украинские системы. После выполнения он изменяет списки контроля доступа и параметры реестра Windows для сохранения после перезагрузки.

Шифрование осуществляется на стационарных или съемных дисках с использованием двухуровневой стратегии с использованием AES и RSA. Для оптимизации скорости шифрования используется многопоточность, а файлы после шифрования переименовываются с расширением ".safepay". SafePay использует тактику двойного вымогательства, удаляя конфиденциальные файлы перед шифрованием данных. Основной способ доставки - через RDP-соединения, но способ получения учетных данных не указан. Для поиска общих сетевых ресурсов в доменах используются скрипты, подобные ShareFinder.ps1. После шифрования SafePay удаляет себя и связанные с ним инструменты из скомпрометированных систем, что усложняет процесс восстановления.

#ParsedReport #CompletenessMedium
10-07-2025

RENDERSHOCK: WEAPONIZING TRUST IN FILE RENDERING PIPELINES

https://www.cyfirma.com/research/rendershock-weaponizing-trust-in-file-rendering-pipelines/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Rendershock_technique
Clipboard_injection_technique
Polyglot_technique
Motw_bypass_technique
Passthehash_technique
Ntlmrelayx_tool
Dns_tunneling_technique
Aitm_technique
Process_injection_technique

Geo:
Ukraine

CVEs:
CVE-2025-24054 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)

CVE-2024-44236 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple macos (<13.7.1, <14.7.1)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2025-30386 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (<16.0.18827.20000, 2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)

CVE-2017-8541 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft forefront_security (-)
- microsoft malware_protection_engine (le1.1.13704.0)
- microsoft windows_defender (-)


TTPs:
Tactics: 10
Technics: 14

IOCs:
File: 17
Command: 3
Url: 1
Domain: 1

Soft:
Windows Explorer, macOS, Outlook, Windows Search Indexer, Dropbox, sudo, Linux, SMB server, Windows File Explorer, Windows Search, have more...

Algorithms:
base64, zip

Functions:
FPDF, Workbook_Open, Chr, split, SMB

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RenderShock - это платформа для атаки с нулевым щелчком мыши, которая использует пассивную обработку файлов в операционной системе и корпоративных средах, используя механизмы доверия, такие как предварительный просмотр файлов, для бесшумного выполнения вредоносных действий. В нем используются такие методы, как встраивание вредоносных элементов в метаданные файлов и использование функций предварительного просмотра для облегчения поиска, фильтрации данных и удаленного выполнения кода без участия пользователя. Злоумышленники могут манипулировать различными типами файлов, использовать удаленные внедрения шаблонов и использовать ошибки форматирования, чтобы избежать обнаружения и выполнять полезную нагрузку, оказывающую значительное влияние на безопасность.
-----

RenderShock - это платформа для атак с нулевым щелчком мыши, использующая пассивную обработку файлов в операционных системах. Она использует встроенные механизмы доверия для выполнения вредоносных действий без участия пользователя. Вредоносные элементы встроены в метаданные файлов, что позволяет выполнять такие действия, как разведка, эксфильтрация данных и удаленное выполнение кода.

В методологии атаки используются цепочки уязвимостей, использующие пассивные рабочие поверхности, такие как обработчики предварительного просмотра документов и агенты индексации, включая панель предварительного просмотра в проводнике Windows и macOS Quick Look. Простой процесс выбора файла может запустить вредоносные процессы, такие как удаленная загрузка содержимого или утечка хэша NTLM.

Злонамеренный.файлы lnk могут привести к загрузке значков Windows с удаленных серверов, что может привести к утечке учетных данных. Методы включают встраивание макросов в файлы DOCX/XLSM, которые выполняются во время предварительного просмотра, и использование файлов ZIP и ISO со встроенными ярлыками для обхода сканеров вложений.

RenderShock также использует многоязычные форматы файлов, чтобы запутать механизмы сканирования и избежать обнаружения. Он запускает действия, связанные с отравлением метаданных и ошибками форматирования при работе с файлами. Удаленные внедрения шаблонов позволяют выполнять код при предварительном просмотре документов, минуя традиционные методы обнаружения макросов.

Это воздействие включает в себя перечисление пользователей и хостов, снятие отпечатков пальцев операционной системы и сбор токенов NTLMv2 с помощью обратных вызовов SMB во время предварительного просмотра. Меры безопасности должны включать мониторинг аномального поведения, связанного с предварительным просмотром файлов, сопоставление сетевой активности с файловыми событиями и оповещение о неожиданных запросах из внешней сети.

#ParsedReport #CompletenessLow
10-07-2025

Dark Web Profile: Arkana Ransomware

https://socradar.io/dark-web-profile-arkana-ransomware/

Report completeness: Low

Threats:
Arkana
Qilin_ransomware
Ransomhub
Shinyhunters
Anydesk_tool
Cobalt_strike_tool

Victims:
Wideopenwest, Ticketmaster, Uk mining firm, Uk financial company

Industry:
Energy, Healthcare, Education, Government, Telco

Geo:
United kingdom

ChatGPT TTPs:
do not use without manual check
T1021.002, T1071, T1078, T1105, T1486, T1529, T1555, T1566, T1570

Soft:
PsExec

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Arkana, связанная с сетью Qilin, нацелена на интернет-провайдеров с помощью тактики вымогательства, а не традиционных программ-вымогателей. Они используют кражу учетных данных для получения доступа, оказывая психологическое давление на жертв. Рекомендации по защите сосредоточены на надежном управлении учетными данными и выявлении фишинговых действий.
-----

Программа-вымогатель Arkana появилась в марте 2025 года, проведя заметную атаку на WideOpenWest (ВАУ!), американского интернет-провайдера. Эта группа утверждала, что похитила значительные базы данных, содержащие приблизительно 403 000 записей и 2,2 миллиона записей о клиентах, и получила контроль над серверными системами, такими как AppianCloud и Symphonica. Считается, что Arkana связана с сетью Qilin Network, программой-вымогателем как услуга (RaaS) от Qilin Ransomware, одной из самых активных киберпреступных организаций 2025 года. Их деятельность характеризуется тактикой вымогательства, маскирующейся под услугу "тестирования после проникновения" и использующей украденные данные для получения финансовой выгоды.

Arkana работает через темный веб-сайт под названием "Arkana Security", где они демонстрируют образцы украденных данных и перечисляют жертв по таким категориям, как выкуп, продажа и утечка. Присутствие кириллицы в сообщениях на русском языке указывает на потенциальную принадлежность к русскоязычным компаниям, хотя их точное происхождение остается неясным. Обращает на себя внимание визуальная привлекательность бренда Qilin на сайте Arkana, что подразумевает возможность совместного использования инфраструктуры или операционной деятельности без какого-либо официального слияния или публичных заявлений. Несмотря на растущую популярность программ-вымогателей, Arkana еще не выпустила новые вредоносные программы, но продолжает проявлять активность, перечисляя крупные нарушения, включая инциденты, связанные с британской горнодобывающей фирмой и финансовым учреждением.

Принцип работы Arkana в основном заключается в краже учетных данных, что позволяет им получить доступ к внутренним системам, таким как платформы выставления счетов и администрирования. В некоторых случаях они использовали взломанные компьютеры сотрудников для сбора регистрационных данных, что облегчало перемещение по сетям с помощью таких инструментов, как PsExec, и программного обеспечения удаленного доступа, такого как Citrix и AnyDesk. Стратегия Arkana направлена на оказание психологического давления на жертв посредством потенциального публичного раскрытия скомпрометированных данных, а не прямого внедрения программ-вымогателей, что приближает их к вымогательству данных, а не к традиционной тактике программ-вымогателей.

В отличие от этого, Qilin ransomware group предоставляет своим партнерам специальные возможности для вымогательства, позволяющие использовать настраиваемые методы шифрования и получения выкупа. Они используют различные методы проникновения, включая фишинг, использование уязвимых сервисов и развертывание таких инструментов, как Cobalt Strike и PowerShell loaders. Операции Qilin структурированы и охватывают широкий спектр отраслей, в частности, здравоохранение и государственный сектор, с акцентом как на утечку данных, так и на системное шифрование, что позволяет оказывать двойное давление на жертв.

Защитные меры как против Arkana, так и против Qilin основаны на предотвращении кражи учетных данных и их перемещения в другие страны. Организациям рекомендуется внедрять строгие правила использования паролей и многофакторную аутентификацию (MFA) для критически важных систем. Осведомленность сотрудников о тактике фишинга и внедрение передовых решений для обнаружения средств, обычно используемых этими группами, также могут значительно укрепить стратегии защиты. Мониторинг утечек учетных данных на рынках "темного интернета" может дать важную информацию для раннего обнаружения угроз.

#ParsedReport #CompletenessMedium
11-07-2025

Mahacao (APT-Q-36) commits a stealing operation by counterfeiting university domain names

https://www.ctfiot.com/261089.html

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage)

Threats:
Protego
Quasar_rat
Santarat

Victims:
Universities, Scientific research institutions, Government organizations, Military organizations, Electricity companies, Industrial organizations, Diplomacy organizations, Economic organizations, Researchers in power and energy industries

Industry:
Military, Energy, Government, Education

Geo:
Asia, Asian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.005, T1041, T1053.005, T1071.001, T1105, T1112, T1204.002, have more...

IOCs:
Domain: 4
File: 1
Hash: 11
Url: 2
IP: 5

Soft:
Android, WeChat

Algorithms:
md5, zip

Win API:
CreateThread

Languages:
php, c_language, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Mahaca, занимающаяся APT с 2009 года, занимается кибершпионажем в Азии, используя вредоносные файлы LNK для загрузки поддельных PDF-файлов. Это приводит к созданию загрузчика на основе Rust, Winver.exe который развертывает троянскую программу на C# под названием Protego для сбора конфиденциальных данных, используя такие методы, как подмена университетских доменов и интеграция различных инструментов с открытым исходным кодом для расширения функциональности.
-----

Группа Mahaca, также известная как Patchwork или Dropping Elephant, - это организация APT, которая, как полагают, имеет южноазиатское происхождение и действует по меньшей мере с ноября 2009 года. Эта группа в основном занимается кибершпионажем, нацеленным на различные секторы, включая правительственные, военные, энергетические и научные круги, особенно в Азии.

Недавний анализ, проведенный Центром анализа угроз Qi'anxin, выявил кампанию с использованием вредоносных файлов LNK, которые использовались для загрузки поддельных документов, выдаваемых за учебные материалы, в частности, в энергетическом секторе. Механизм атаки начинается с загрузки вредоносного файла LNK в формате PDF с поддельного университетского домена (jlu-edu.org), предназначенного для маскировки атаки под законную. Затем этот документ запускает полезную нагрузку, которая представляет собой загрузчик на основе Rust с именем Winver.exe. Этот загрузчик работает скрытно, маскируясь под системную программу, предназначенную для сбора информации о версии, в то время как на самом деле он настраивает сохранение запланированных задач в системе.

После запуска загрузчик расшифровывает и обнаруживает троянца на C# под названием Protego, который собирает конфиденциальную информацию, такую как имя хоста, пользовательские данные и UUID устройства. Троянец устанавливает соединение с сервером управления (C2) в два этапа. Первый этап отправляет зашифрованные идентификаторы на C2, в то время как второй этап собирает экспортный IP-адрес зараженного устройства и отправляет собранные данные обратно на сервер. Соединение становится полностью работоспособным, когда сервер отвечает сообщением определенного содержания, что позволяет троянцу получать и выполнять дальнейшие инструкции.

В дополнение к основному троянцу на C#, Mahaca интегрировала различные платформы для троянцев с открытым исходным кодом, включая Quasar RAT, для расширения своих возможностей в области кражи разведывательных данных. Последовательное использование аналогичных архитектур троянцев на C# и множество функций удаленного управления во время своих кампаний по атакам свидетельствует о надежной и развивающейся стратегии. Более того, тактика группы по подделке университетских доменов указывает на постоянные попытки скрыть свои вредоносные сообщения и действия под прикрытием законности.

Эксперты по безопасности советуют пользователям проявлять осторожность в отношении фишинговых атак, особенно в отношении ссылок и вложений из неизвестных источников. Регулярное обновление и исправление систем, своевременное создание резервных копий важных файлов и использование аналитических инструментов для неизвестных приложений также рекомендуются в качестве превентивных мер против таких угроз.

#ParsedReport #CompletenessMedium
10-07-2025

GitHub Abused to Spread Malware Disguised as Free VPN

https://www.cyfirma.com/research/github-abused-to-spread-malware-disguised-as-free-vpn/

Report completeness: Medium

Threats:
Dll_sideloading_technique
Process_injection_technique
Lumma_stealer

Victims:
Organizations, Individuals, Users seeking free software

Geo:
French

TTPs:
Tactics: 8
Technics: 17

IOCs:
Domain: 9
File: 10
Hash: 2

Algorithms:
sha256, zip, exhibit, md5, base64

Functions:
GetBase64String, SinCosMath, GetLocalError, GetMarked, GetGameData, NtCreateThreadEx

Win API:
LoadLibrary, GetProcAddress, FreeLibrary, CloseHandle, WaitForSingleObject, IsDebuggerPresent, VirtualAlloc, NtWriteVirtualMemory, NtGetContextThread, CreateProcessW, have more...

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания на GitHub маскирует вредоносную нагрузку под законные инструменты, доставляя Lumma Stealer с помощью программы-перехватчика с именем Launch.exe. В ней используются такие методы, как внедрение процессов и дополнительная загрузка DLL-файлов, а также законные процессы Windows, позволяющие избежать обнаружения и обеспечить постоянство. Связь с сервером C2 через explorationmsn.store указывает на наличие ссылок на инфраструктуру Lumma Stealer, что свидетельствует о растущем злоупотреблении платформами для распространения вредоносных программ.
-----

Недавний анализ, проведенный CYFIRMA, выявил появляющуюся вредоносную кампанию, размещенную на GitHub, где хакеры маскируют вредоносные программы под законные инструменты, такие как "Бесплатный VPN для ПК" и "Средство смены скинов Minecraft". Основной полезной нагрузкой является вредоносная программа-дроппер под названием Launch.exe, которая использует различные методы, включая внедрение процессов, стороннюю загрузку библиотек DLL и скрытое выполнение, для доставки Lumma Stealer, вредоносного ПО для кражи информации. Вредоносная программа распространяется через репозитории GitHub с поддельными проектами, которые содержат подробные инструкции и защищенные паролем ZIP-файлы для обхода мер безопасности.

Вредоносная кампания использует DLL-файл с кодировкой Base64 и обфускацией, который динамически доставляется и выполняется в памяти. В рамках своей стратегии обхода вредоносное ПО использует легитимные процессы Windows, в частности MSBuild.exe и aspnet_regiis.exe, для обхода типичных средств контроля безопасности. Наличие бессмысленных метаданных сборки, которые не соотносятся ни с одним известным программным обеспечением или организацией, наводит на мысль об использовании разработчика вредоносного ПО для сокрытия его происхождения и уклонения от попыток обнаружения.

Технические индикаторы показывают, что вредоносная программа использует P/Invoke для вызова различных функций Windows API, позволяя выполнять такие вредоносные действия, как динамическая загрузка библиотек DLL и управление потоком выполнения. После выполнения Launch.exe вредоносная программа удаляет DLL-файл msvcp110.dll из каталога AppData пользователя и использует метод декодирования и маскировки его полезной нагрузки, скрывая данные Base64 за бессмысленным текстом. Вредоносный код предназначен для поддержания постоянства работы путем вызова нескольких функций Windows, которые облегчают выделение памяти и контроль над продолжением выполнения.

Примечательно, что вредоносная программа также пытается установить связь с сервером управления через домен explorationmsn.store, который демонстрирует шаблоны, соответствующие известной инфраструктуре Lumma Stealer. Эта кампания подчеркивает растущее злоупотребление такими платформами, как GitHub, для распространения вредоносных программ и подчеркивает необходимость усовершенствованных решений для мониторинга для обнаружения и предотвращения таких угроз. Было разработано соответствующее правило YARA, помогающее идентифицировать экземпляры программы Lumma Stealer, замаскированной под законное программное обеспечение, на основе определенных доменов и хэшей файлов.

Хакер, стоящий за этими кампаниями, остается неустановленным, что демонстрирует проблемы с установлением авторства и подчеркивает важность тщательного поиска угроз в средах с открытым исходным кодом для снижения рисков, связанных с такими APT.

#ParsedReport #CompletenessMedium
10-07-2025

Wing FTP Server Remote Code Execution (CVE-2025-47812) Exploited in the Wild

https://www.huntress.com/blog/wing-ftp-server-remote-code-execution-cve-2025-47812-exploited-in-wild

Report completeness: Medium

Threats:
Screenconnect_tool
Trojan:win32/ceprolad.a

Victims:
Wing ftp server users

CVEs:
CVE-2025-47812 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1055, T1059.001, T1059.003, T1059.004, T1070.004, T1071.001, T1105, T1190, T1204.002, T1219, have more...

IOCs:
File: 10
Path: 16
Url: 4
Command: 12
Domain: 1
IP: 5
Hash: 2

Soft:
Linux, macOS, Microsoft Defender, curl

Algorithms:
sha256

Functions:
hx

Languages:
powershell, lua, python

Platforms:
x86

SIGMA: Found

Links:
https://github.com/huntresslabs/threat-intel/blob/main/2025/2025-07/WingFTP\_CVE-2025-47812/sigma/windows\_susp\_command\_shell\_from\_wingftp\_process.yml