#ParsedReport #CompletenessMedium
22-07-2025

Lookout Discovers Iranian APT MuddyWater Leveraging DCHSpy During Israel-Iran Conflict

https://www.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Faraja

Threats:
Dchspy
Sandstrike
Metasploit_tool
Androrat_rat
Ahmyth_rat
Bouldspy
Guardzoo_tool
Spymax

Victims:
Activists, Journalists, Government entities, Private entities, Enemy soldiers, Assad's forces, Baháʼí practitioners

Industry:
Software_development, Government, Telco, Petroleum, Financial

Geo:
Iranian, Syria, Asia, Canada, America, Iranians, Iran, Africa, Middle east, Romania, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1059.006, T1071.001, T1105, T1204.002, T1402, T1409, T1412, have more...

IOCs:
Url: 15
Hash: 7
Domain: 1

Soft:
StarLink, Android, WhatsApp, Telegram, HideVPN, EarthVPN

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lookout обнаружил новые образцы DCHSpy, инструмента слежки за Android от иранской группы MuddyWater, который собирает конфиденциальные данные и маскируется под законные приложения. Распространение вредоносного ПО в основном происходит через вредоносные URL-адреса на платформах обмена сообщениями, используя социально-политические настроения. Скомпрометированные данные шифруются и загружаются на сервер C2 с использованием протокола SFTP, что свидетельствует о передовой тактике работы.
-----

Компания Lookout обнаружила четыре новых образца DCHSpy, программного обеспечения для слежки за Android, которое использовалось иранской группой кибершпионажа MuddyWater вскоре после эскалации израильско-иранского конфликта. DCHSpy, предположительно разработанный и поддерживаемый MuddyWater, собирает различные конфиденциальные данные с зараженных устройств, включая данные WhatsApp, SMS-сообщения, журналы вызовов, контакты, файлы, данные о местоположении, а также может записывать аудио и изображения с помощью микрофона и камеры устройства. Эта вредоносная программа особенно примечательна своей способностью маскироваться под законные приложения, такие как VPN и банковские приложения, чтобы заманивать цели.

Группа MuddyWater связана с Министерством разведки и безопасности Ирана (MOIS) и нацелена на широкий круг организаций в различных секторах, включая телекоммуникации, местное управление, оборону и энергетику, в таких регионах, как Ближний Восток, Азия и Северная Америка. Возрождение DCHSpy, по-видимому, совпало с сохраняющейся геополитической напряженностью, демонстрируя способность MuddyWater разрабатывать и внедрять передовые инструменты наблюдения с новыми функциями, такими как возможность извлечения конкретных файловых данных, представляющих интерес.

Что касается распространения, то DCHSpy в основном распространяется через вредоносные URL-адреса, размещаемые на популярных платформах обмена сообщениями, таких как Telegram. Исследователи заметили, что в последних версиях DCHSpy используются запутанные темы и языки, которые привлекают несогласных в Иране, используя социально-политические настроения для увеличения числа пользователей. Вредоносное ПО было обнаружено в приложениях, которые выдают себя за VPN-сервисы, такие как EarthVPN и ComodoVPN, особенно в те моменты, когда в Иране продвигаются законные сервисы, такие как Starlink, для обхода интернет-цензуры.

Как только данные с зараженного устройства оказываются скомпрометированными, они шифруются и загружаются на сервер управления (C2) с использованием протокола безопасной передачи файлов (SFTP). Эта инфраструктура указывает на сложную операцию, аналогичную другой вредоносной программе для Android, SandStrike, которая, как сообщалось ранее, использовалась против практикующих Бахаи.

MuddyWater уже много лет использует различные семейства мобильных вредоносных программ для слежки. Lookout отслеживает около 17 различных типов мобильных вредоносных программ, связанных как минимум с 10 иранскими точками доступа (APT). Эти последние образцы DCHSpy свидетельствуют о продолжающемся совершенствовании возможностей иранского программного обеспечения для слежки, особенно в связи с ростом политических волнений в регионе. Lookout продолжает внимательно следить за деятельностью MuddyWater и информировать своих клиентов о любых значительных изменениях в этой области.

#ParsedReport #CompletenessLow
22-07-2025

CVE-202553770/TOOLSHELL: HUNTING DOWN THE ATTACKER TECHNIQUES &VICTIMS

https://theravenfile.com/2025/07/22/cve-2025-53770-toolshell-hunting-down-the-attacker-techniques-victims/

Report completeness: Low

Actors/Campaigns:
Arcanedoor

Threats:
Toolshell_vuln
Barracuda_tool

Victims:
Microsoft sharepoint users

Geo:
Ireland, Iran, Greece, Germany, Russia

CVEs:
CVE-2025-53700 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1036, T1070.004, T1071.001, T1090.002, T1105, T1210, T1497.003, T1562.001

IOCs:
Coin: 1
Hash: 5
File: 6
IP: 11

Soft:
Twitter, Microsoft SharePoint Server, Microsoft SharePoint, Sharepoint Server, Chrome, Microsoft Edge, Chromium

Algorithms:
md5, sha256, ecdsa, base64

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование уязвимости десериализации CVE-2025-53770 в Microsoft SharePoint Server широко распространено, особенно в Иране и других регионах. Злоумышленники используют измененные файлы журналов для маскировки вредоносных действий и используют процессы Microsoft Edge для тактики уклонения, используя при этом надежные службы для управления.
-----

В статье рассматривается продолжающаяся эксплуатация критической уязвимости десериализации, идентифицированной как CVE-2025-53770, для локального сервера Microsoft SharePoint Server. Эта уязвимость активно используется в реальных атаках, что заставляет корпорацию Майкрософт временно принимать меры по ее устранению, пока разрабатывается полное исправление. Анализ показывает значительное распространение уязвимых систем в Иране, за которым следуют Соединенные Штаты, Ирландия, Германия и Россия. Примечательно, что Греция стала пятым регионом, наиболее подверженным влиянию конкретной версии SharePoint (16.0.0.17928), которая была выпущена в июне 2025 года.

Ключевой аспект эксплойта заключается в том, что хакеры используют вредоносные файлы, такие как измененный файл журнала (MD5: bd3d4d19c81f11175d7f43234d3dc8d8), чтобы обойти механизмы обнаружения. Этот файл связан с протоколом клиентских обновлений Google (CUP), используемым Chrome и другими приложениями Google для проверки обновлений и синхронизации времени. Злоумышленники манипулировали этим трафиком, используя его в качестве приманки, чтобы чередовать вредоносные действия с законными сетевыми запросами, эффективно маскируясь под безобидные.

При изучении цепочки эксплойтов анализ выявил злоупотребление служебными процессами Microsoft Edge, выделив три различные роли, которые эти процессы играют в атаке. К ним относятся запуск фоновых служб с отключенной "изолированной системой" для обеспечения операций высокого уровня и обход брандмауэра и прокси-фильтров путем имитации действий браузера. В частности, это включает в себя ручной вызов аварийной телеметрии Chromium, чтобы скрыть сообщения об ошибках и манипулировать средами выполнения, особенно в защищенных или изолированных контекстах. Такое поведение соответствует общепризнанной тактике уклонения и имитации, наблюдаемой в продвинутых платформах после эксплуатации.

В ходе расследования была выявлена инфраструктура, используемая злоумышленниками, которая в основном опирается на авторитетные сервисы, такие как Microsoft, Google Cloudflare, Akamai и Fastly, для связи командования и контроля. Однако в нем также указывается, что G-Core Labs является необычным хостинг-провайдером, участвовавшим в предыдущих кампаниях по использованию уязвимостей нулевого дня против Barracuda и ArcaneDoor. Подход злоумышленников отражает использование устаревших вредоносных компонентов, что указывает на предпочтение устоявшихся методов обхода современных технологий обнаружения. Кроме того, серверы VULTR упоминаются в качестве хостинга для вредоносных эксплойтов, что подчеркивает разнообразие инфраструктуры, используемой для их работы. В целом, анализ дает критическую информацию о динамике эксплойтов и методах работы задействованных хакеров.

#ParsedReport #CompletenessLow
22-07-2025

New version of ACRStealer is in circulation with active modifications

https://asec.ahnlab.com/ko/89115/

Report completeness: Low

Threats:
Acr_stealer
Heavens_gate_technique
Amatera_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1071.004, T1095, T1105, T1119

IOCs:
IP: 6
Hash: 5

Soft:
Steam, chrome

Algorithms:
rc4, base64, md5, cbc, aes-256, aes

Win API:
NtCreateFile, NtDeviceIoControlFile

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ACRStealer - это вредоносная программа-похититель информации, действующая с начала 2023 года, использующая Google Docs и Steam для обмена данными C2 с помощью метода DeadDropResolver. В его последней версии реализованы сложные методы уклонения, включая метод "Небесных врат" и прямую связь с водителем AFD, что повышает его скрытность от наблюдения. Компания также использует зашифрованную передачу данных с использованием AES-256 и провела ребрендинг под названием AmateraStealer, постоянно совершенствуя свои возможности по краже информации.
-----

ACRStealer - это сложная вредоносная программа для кражи информации, которая активно распространяется с начала 2023 года. Она использует Google Docs и Steam для обмена данными между командами и контролем (C2) с помощью технологии DeadDropResolver (DDR). Недавние события указывают на то, что появилась модифицированная версия ACRStealer, которая предоставляет расширенные возможности для уклонения от обнаружения и противодействия усилиям по анализу, сохраняя при этом свою основную функцию - кражу информации.

Последняя версия ACRStealer использует технологию Heaven's Gate, которая позволяет выполнять код x64 в рамках процесса WoW64. Этот метод особенно эффективен для обхода обнаружения, тем более что он неприменим к процессорам x86. В отличие от стандартной практики, вредоносная программа устанавливает свои соединения C2, напрямую взаимодействуя с драйвером AFD, используя низкоуровневые функции NT, такие как NtCreateFile и NtDeviceIoControlFile, вместо того, чтобы полагаться на традиционные библиотеки, такие как WinHTTP и Winsock. Такой подход не только повышает скрытность его работы, но и позволяет вредоносному ПО избегать обнаружения обычными средствами мониторинга.

C2-коммуникация вредоносной программы претерпела изменения; она отправляет отдельные, жестко закодированные адреса домена хоста и фактические IP-адреса в заголовках HTTP. Этот метод особенно опасен, когда используются популярные домены, что приводит к неправильной идентификации сервера C2 некоторыми средствами безопасности. Для обмена данными используются протоколы HTTP и HTTPS, причем CloudFlare изначально использовался для HTTPS, что ограничивало возможность внесения изменений. В сценариях, требующих вмешательства в работу хоста, использовался самозаверяющий сертификат, а также усовершенствования для шифрования как исходящих, так и входящих данных, выходящие за рамки возможностей HTTPS. Алгоритм AES-256 (CBC) шифрует эти данные с помощью ключей, жестко закодированных в вредоносной программе.

Были внесены дополнительные изменения в процесс обмена данными C2. Предыдущие методы, использующие пути, такие как /Up/x и /enc_Up/x, были заменены случайными строками, выдаваемыми сервером при первоначальном подключении. Это добавляет дополнительный уровень к процессу обмена данными, создавая вариативность идентификаторов. Кроме того, запросы конфигурационных данных были переведены с метода GET на метод POST с полезной нагрузкой, структурированной в формате JSON, что исключает зависимость от предыдущих идентификационных строк.

ACRStealer по-прежнему способен красть информацию из различных браузеров, извлекая конфиденциальные данные, связанные с учетными записями, документами и криптовалютными кошельками. Вредоносная программа также сохраняет способность устанавливать дополнительные вредоносные компоненты в зависимости от ответов C2. Примечательно, что, как сообщалось, ACRStealer был переименован в AmateraStealer, что подчеркивает его активный и развивающийся характер как одной из наиболее динамично изменяющихся угроз для кражи информации, с которыми мы сталкиваемся в настоящее время. Постоянная бдительность и обновленные средства защиты имеют решающее значение, поскольку злоумышленники постоянно совершенствуют его функциональные возможности.

#ParsedReport #CompletenessMedium
22-07-2025

Gamers get ready: under the guise of cheats and mods, scammers distribute Trojan.Scavenger for the theft of cryptocurrency and passwords

https://news.drweb.ru/show/?i=15036&lng=ru&c=5

Report completeness: Medium

Threats:
Dllsearchorder_hijacking_technique
Scavenger
Typosquatting_technique

Victims:
Windows users, Russian enterprises

Industry:
Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1071.001, T1074, T1105, T1119, T1132, T1204.002, T1213, have more...

IOCs:
File: 23
Hash: 23
Domain: 3

Soft:
Chromium, Google Chrome, Microsoft Edge, Yandex Browser, Opera, Bitwarden, LastPass

Wallets:
metamask, exodus_wallet

Algorithms:
zip

Win API:
CreateFilew

Languages:
javascript

Links:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Trojan.Scavenger

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Dr.Web обнаружила семейство троянских программ ScaveNger, нацеленных на системы Windows с целью кражи конфиденциальной информации о криптовалюте и паролях. Используя DLL-файлы для перехвата порядка поиска, эти трояны проникают в системы через легальные приложения и могут отключать функции безопасности. Они собирают данные из таких кошельков, как Phantom и Metamask, а также из менеджеров паролей, избегая при этом виртуализированных сред и шифруя связь со своими командными серверами.
-----

Компания Dr. Web выявила семейство вредоносных троянских программ, известных как ScaveNger, которые нацелены на пользователей Windows с целью кражи конфиденциальной информации, связанной с криптовалютами и менеджерами паролей. Эти трояны используют метод перехвата DLL-файлов для заражения систем, используя легальные приложения в качестве средств развертывания. Этот метод заключается в размещении вредоносных библиотек DLL в местах, выбранных Windows в качестве приоритетных для поиска в библиотеке, гарантируя, что вредоносный код будет выполнен как часть законного приложения.

Процесс заражения трояном.Программа Scavenger является многоуровневой и начинается с загрузки троянских программ, которые могут проникать в целевые системы различными способами, включая пиратское программное обеспечение с торрент-сайтов. Например, троян.Scavenger.1 представляет собой библиотеку DLL с именем umpdc.dll и обычно распространяется вместе с играми, такими как Oblivion Remastered. После активации он извлекает дополнительные вредоносные модули, такие как Trojan.Scavenger.2, а затем и Trojan.Scavenger.3 и Trojan.Scavenger.4.

Троян.Scavenger.3 маскируется под легальную системную библиотеку в каталогах браузеров на базе Chromium. Он нейтрализует защитные функции, такие как "песочница", и модифицирует такие функции, как проверка расширений, путем исправления библиотеки. Этот троян захватывает конфиденциальные данные с криптовалютных кошельков, включая приватные ключи и мнемонические фразы, с таких платформ, как Phantom и Metamask, и собирает пароли из менеджеров паролей, таких как BitWarden и Lastpass.

Троянец.Scavenger.4, с другой стороны, специально манипулирует криптовалютным кошельком Exodus, выполняя перехват порядка поиска в DLL-библиотеке, чтобы перехватить функции в движке V8 для отслеживания ответов в формате JSON, тем самым перехватывая парольные фразы и отправляя их на свой сервер управления (C2).

Примечательным аспектом этого семейства троянских программ является их способность обнаруживать виртуализированные среды, что приводит к их завершению в случае обнаружения. Кроме того, они используют единый протокол связи со своим сервером C2, который включает механизм генерации ключей и проверки подлинности для обеспечения зашифрованной связи.

Dr.Web уведомил разработчиков об уязвимостях, используемых этими троянами, в частности, об перехвате порядка поиска в DLL-библиотеках; однако было сочтено, что эти уязвимости не требуют немедленного исправления. Важно отметить, что антивирусные решения Dr. Web уже включают средства защиты от подобных уязвимостей, снижая риски, связанные с троянцами.Вредоносное ПО Scavenger для своих пользователей.

#ParsedReport #CompletenessLow
22-07-2025

LameHug malware uses AI LLM to craft Windows data-theft commands in real-time

https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Lamehug_tool

Victims:
Executive government bodies, Ministry officials

Industry:
Government

Geo:
Ukraine, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1082, T1083, T1105, T1566.001

IOCs:
File: 3

Soft:
Hugging Face

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LameHug - это вредоносная программа, относящаяся к классу APT28, которая использует расширенную языковую модель через API Hugging Face для генерации команд в взломанных системах Windows. Она выполняет разведку системы и эксфильтрацию данных, используя скрытую связь для обеспечения сохранности.
-----

LameHug - это недавно обнаруженное семейство вредоносных программ, которое использует large language model (LLM) для генерации исполняемых команд в скомпрометированных системах Windows. Обнаруженная национальной группой реагирования на киберинциденты Украины CERT-UA вредоносная программа приписывается спонсируемой российским государством хакерской группе APT28, которая также известна под различными другими псевдонимами, такими как Sednit и Fancy Bear. Написанный на Python, LameHug использует API Hugging Face для взаимодействия с Qwen 2.5-Coder-32B-Instruct LLM для создания команд на основе заданных подсказок.

Эта вредоносная программа была обнаружена после того, как 10 июля CERT-UA получил сообщения о вредоносных электронных письмах, отправленных со взломанных учетных записей, которые выдавали себя за сотрудников правительственных министерств. Эти электронные письма были направлены на распространение LameHug в органах исполнительной власти Украины. Агентство со средней степенью уверенности полагает, что эти кампании связаны с APT28. В проанализированных случаях LameHug выполнял задачи, связанные с разведкой системы и извлечением данных. Команды, генерируемые LLM, были динамическими и позволяли вредоносному ПО собирать системную информацию, которую оно затем сохраняло в текстовом файле с именем info.txt. Кроме того, он смог выполнять рекурсивный поиск документов в ключевых каталогах Windows, включая "Документы", "Рабочий стол" и "Загрузки", с последующей фильтрацией собранных данных с помощью SFTP или HTTP POST-запросов.

Примечательно, что LameHug представляет собой первую публично задокументированную вредоносную программу, которая использует возможности LLM для достижения целей злоумышленника. Использование инфраструктуры Hugging Face может способствовать поддержанию скрытых операций командования и контроля, позволяя осуществлять необнаруживаемые коммуникации, которые продлевают срок существования вредоносной программы в целевых сетях. Динамически генерируемые команды также могут обойти традиционные меры безопасности, которые обычно основаны на идентификации жестко закодированных шаблонов команд. Поскольку CERT-UA не раскрывает, были ли команды, выполняемые LameHug, эффективными для достижения целей противников, остается неясным полный масштаб его операционного успеха.

#ParsedReport #CompletenessHigh
22-07-2025

Disrupting active exploitation of on-premises SharePoint vulnerabilities

https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/

Report completeness: High

Actors/Campaigns:
Emissary_panda
Apt31 (motivation: cyber_espionage)
Storm-2603
Fin11

Threats:
Lockbit
Ngrok_tool
Trojan:win32/hijacksharepointserver.a
Toolshell_vuln

Victims:
Organizations, Government, Defense, Strategic planning, Human rights organizations, Former government and military personnel, Ngos, Think tanks, Higher education, Digital media, have more...

Industry:
Healthcare, Education, Ngo, Military, Government

Geo:
China, Asia, Chinese

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


TTPs:
Tactics: 5
Technics: 3

IOCs:
File: 7
Url: 1
IP: 4
Hash: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, SharePoint Server, SharePoint server ASP.NET, Microsoft SharePoint Server, harePoint server -, harePoint server vu, Twitter, Office 365

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Активные атаки нацелены на локальные серверы SharePoint, использующие CVE-2025-49706 и CVE-2025-49704, связанные с китайскими государственными структурами Linen Typhoon и Violet Typhoon. Злоумышленники используют вредоносные скрипты для извлечения конфиденциальных данных, что побуждает корпорацию Майкрософт выпускать срочные обновления для системы безопасности.
-----

19 июля 2025 года Центр реагирования Microsoft Security Response Center (MSRC) предупредил пользователей об активных атаках, использующих уязвимости в локальных серверах SharePoint, в частности CVE-2025-49706, уязвимость подмены, и CVE-2025-49704, которая позволяет удаленно выполнять код (RCE). Примечательно, что эти уязвимости затрагивают только локальные серверы SharePoint, за исключением SharePoint Online в Microsoft 365. Корпорация Майкрософт незамедлительно выпустила обновления для системы безопасности для всех поддерживаемых версий SharePoint Server (выпуски по подписке 2019 и 2016 годов), настоятельно рекомендуя клиентам применять эти обновления без промедления.

В обновления включены связанная с этим уязвимость CVE-2025-53770, которая также относится к RCE-аспекту CVE-2025-49704, и CVE-2025-53771, уязвимость для обхода системы безопасности, связанная с CVE-2025-49706. Microsoft обнаружила использование этих уязвимостей в основном двумя китайскими государственными структурами, Linen Typhoon и Violet Typhoon, а также другим китайским хакером, идентифицированным как Storm-2603. Расследования в отношении других участников, использующих эти уязвимости, продолжаются, и Корпорация Майкрософт выражает глубокую уверенность в том, что эти участники будут продолжать внедрять эти эксплойты в незащищенные системы.

В реальных сценариях атаки хакеры использовали созданный POST-запрос для загрузки вредоносного скрипта с именем spinstall0.aspx, с различными вариантами имени файла, такими как spinstall.aspx, spinstall1.aspx и другими. Этот скрипт запрограммирован на извлечение данных machineKey, что позволяет злоумышленникам извлекать конфиденциальные ключевые материалы. Попытки эксплуатации связаны с прошлой деятельностью этих субъектов: Linen Typhoon нацелен на такие сектора, как правительство и оборона, для хищения интеллектуальной собственности, в то время как Violet Typhoon специализируется на шпионаже против таких организаций, как НПО и аналитические центры.

Хотя Storm-2603 и связан с этими уязвимостями, он продемонстрировал прошлые действия, связанные с внедрением программ-вымогателей, хотя его текущие цели остаются менее ясными. Корпорация Майкрософт описала несколько тактик, методов и процедур (TTP), используемых этими хакерами во время их атак на серверы SharePoint. Рекомендации по снижению рисков включают использование интерфейса проверки на наличие вредоносных программ (AMSI) в антивирусе Microsoft Defender, его настройку на полный режим, обеспечение ротации SharePoint server ASP.NET ключи компьютера и использование Microsoft Defender для решений Endpoint.

Для организаций, использующих Microsoft Defender XDR, важно своевременно отслеживать признаки использования, в частности, создание файла spinstall0.aspx, выполнение процессов, связанных с активностью веб-сервера, и команды PowerShell, указывающие на действия после использования. Используя предоставленные средства визуализации, клиенты могут повысить свою защищенность от постоянных угроз, связанных с локальными уязвимостями SharePoint.

#ParsedReport #CompletenessHigh
22-07-2025

EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities

https://www.cyfirma.com/research/edskmanager-rat-multi-stage-malware-with-hvnc-and-evasion-capabilities/

Report completeness: High

Threats:
Edskmanager
Hvnc_tool
Process_injection_technique

TTPs:
Tactics: 9
Technics: 21

IOCs:
Hash: 11
Domain: 2
Url: 1
IP: 1
File: 2
Path: 1

Soft:
Chrome

Algorithms:
sha256, md5

Functions:
send

Win API:
LoadLibraryA, GetProcAddress, CreateWindowExW, PeekMessageW

Languages:
delphi

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EdskManager RAT - это сложный троян для удаленного доступа, который использует многоэтапное заражение с помощью легального загрузчика программного обеспечения. Он использует DLL-файлы для вредоносных операций, скрытую связь C2 и HVNC для секретного контроля зараженных систем, повышая эффективность обхода и сохраняемости с помощью различных методов и нацеливаясь на браузерные расширения для получения данных.
-----

EdskManager RAT - это сложный троян для удаленного доступа (RAT), который использует многоэтапный процесс заражения для получения скрытого доступа к системам. Изначально он распространяется через загрузчик, который маскируется под легальное программное обеспечение. Загрузчик запускает ряд компонентов, таких как VideoManagerEntry.exe, который подписан действительным цифровым сертификатом. Однако вредоносные возможности встроены в DLL-файлы, включая commonbase.dll, который отвечает за выполнение операций вредоносного ПО. Вредоносная программа манипулирует памятью во время выполнения, используя такие методы, как операции "память-память" и запутывание команд, которые усложняют анализ и препятствуют обнаружению.

Вредоносная программа взаимодействует с серверами управления (C2) скрытно, используя socket API для отправки и получения сообщений, сжатых zlib. Сообщение C2 скрыто в разделе .itext файла commonbase.dll, который содержит важные данные конфигурации, в то время как файл .edskv содержит зашифрованную информацию, критически важную для работы вредоносной программы. Такая структура позволяет EdskManager RAT поддерживать динамичную инфраструктуру C2, переключаясь между доменами, чтобы усовершенствовать тактику обхода и повысить долговечность работы в уязвимых средах.

Ключевой особенностью EdskManager RAT является использование скрытых виртуальных сетевых вычислений (HVNC), позволяющих злоумышленнику управлять зараженными машинами без видимого предупреждения жертвы. Он создает скрытые окна для облегчения своей работы, используя такие функции, как CreateWindowExW и PeekMessageW, для бесшумного прослушивания команд. Эта невидимость имеет решающее значение для его дизайна, поскольку позволяет злоумышленникам сохранять долгосрочный доступ и выполнять различные вредоносные действия незамеченными.

RAT демонстрирует передовые методы обхода, позволяющие избежать обнаружения программным обеспечением безопасности, включая подключение к API и отладчик. Он обеспечивает постоянство с помощью нескольких методов, создавая запланированные задачи, изменяя реестр автозапуска и размещая ярлыки в папке автозагрузки, чтобы обеспечить запуск после перезагрузки системы. Кроме того, EdskManager RAT проводит разведывательную деятельность, в частности, нацеливаясь на браузерные расширения для хранения конфиденциальных данных, которые позиционируют вредоносное ПО для потенциального использования в будущем.