#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года вредоносная программа LUMMA infostealer, инструмент русскоязычных хакеров, использовала методы T1189 и T1204 с помощью социальной инженерии для доступа к учетным данным пользователей Microsoft Edge и Google Chrome. Заражение включало команду PowerShell для загрузки вредоносных файлов и установления соединения C2 с "blameaowi.run", используя тактику обхода, такую как запутывание команд и mshta.exe.
-----

В мае 2025 года команда NCC Group по цифровой криминалистике и реагированию на инциденты (DFIR) расследовала киберинцидент, связанный с вредоносным ПО LUMMA infostealer. LUMMA, разновидность вредоносного ПО для кражи информации, была впервые обнаружена в декабре 2022 года и распространяется преимущественно русскоязычными хакерами по модели "Вредоносное ПО как услуга". LUMMA нацелена на конфиденциальные данные, включая учетные данные и данные браузера, и в ходе этого взаимодействия особое внимание было уделено хранилищам данных Microsoft Edge и Google Chrome, в частности "Регистрационным данным" и "Веб-данным"..

Атака началась с первоначального доступа, полученного с помощью компрометации, описанной в методике T1189. Пользователь был перенаправлен с законного веб-сайта на вредоносную страницу проверки с помощью капчи, которая использовала тактику социальной инженерии, чтобы обманом заставить пользователя запустить вредоносное ПО. После визита пользователя в течение нескольких минут произошла последовательность событий: PowerShell был задействован для выполнения команд и загрузки дополнительных файлов, что указывает на быстрый способ заражения.

В ходе атаки было использовано несколько методов, начиная с T1204 для выполнения пользователем, когда поддельный сайт с капчей предлагал пользователю запустить команду PowerShell, которая была тайно разработана для загрузки вредоносной полезной нагрузки. Конкретная выполненная команда была сильно запутана и включала вызов диалогового окна запуска Windows для выполнения дальнейшего вредоносного кода. Эта команда PowerShell была создана для загрузки zip-файла с именем “afc.zip” с подозрительного URL-адреса, наглядный пример T1059.001: Интерпретатор команд и сценариев: PowerShell.

Впоследствии были доставлены два файла: afc.zip и сценарий автоматической загрузки с именем "deci.com", созданный одновременно. Исполняемому файлу AutoIt было поручено получить доступ к данным браузера Microsoft Edge и Google Chrome, что позволило использовать методику T1555.003 для извлечения учетных данных из хранилища паролей. Этот процесс включал доступ к определенным файлам, в которых хранятся данные браузера.

Кроме того, вредоносный исполняемый файл инициировал исходящее соединение со своим сервером управления (C2), идентифицированным как "blameaowi.run", используя защищенные HTTPS-соединения, соответствующие стандарту T1071.001: Протокол прикладного уровня: Веб-протоколы. В ходе этого столкновения использовались различные методы уклонения, включая сильно запутанные команды (T1027) и использование mshta.exe для выполнения дальнейших команд без обнаружения (T1218.005).

#ParsedReport #CompletenessHigh
23-07-2025

Operation CargoTalon : UNG0901 Targets Russian Aerospace & Defense Sector using EAGLET implant.

https://www.seqrite.com/blog/operation-cargotalon-ung0901-targets-russian-aerospace-defense-sector-using-eaglet-implant/

Report completeness: High

Actors/Campaigns:
Cargotalon (motivation: information_theft, cyber_espionage)
Head_mare (motivation: information_theft, cyber_espionage)
Ta505

Threats:
Eaglet
Spear-phishing_technique
Lolbin_technique
Phantomdl

Victims:
Voronezh aircraft production association, Obltransterminal llc, Russian military recruitment entities, Russian governmental entities, Russian non-governmental entities

Industry:
Aerospace, Military, Ngo, Logistic

Geo:
Russia, Russian, Romania, Russian-federation

TTPs:
Tactics: 8
Technics: 10

IOCs:
File: 6
IP: 2
Path: 1
Hash: 14

Algorithms:
zip

Win API:
CreateThread, WinHttpOpen

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберкампания, нацеленная на российскую аэрокосмическую промышленность, использует фишинг с использованием вредоносных файлов LNK для установки имплантата EAGLET DLL, обеспечивающего доступ к командной оболочке и эксфильтрацию файлов. Эта операция связана с хакером TA505 и предполагает значительное совпадение с такими группами, как Неизвестная группа 901, использующими схожую тактику и документы-приманки.
-----

Недавнее расследование, проведенное APT-командой SEQRITE Labs, выявило киберкампанию, направленную против российской аэрокосмической промышленности, в частности, в отношении операций, связанных с Воронежским авиационным производственным объединением (ВАСО). В этой кампании используется тактика скрытого фишинга, использующая вредоносные файлы электронной почты, содержащие ссылки на опасный модуль EAGLET DLL. Угрозы в основном исходят от вредоносного файла LNK, который маскируется под ZIP-файл, инициируя многогранную цепочку заражения.

Первоначальная точка взлома была обнаружена с помощью вредоносного электронного письма с пометкой backup-message-10.2.2.20_9045-800282.eml, созданного для обмана сотрудника ВАСО под видом накладной из Транспортно-логистического центра. Электронное письмо побудило получателя подготовиться к скорой отправке, в то время как вложение представляло значительный риск, поскольку в конечном итоге оказалось ложным DLL-файлом. Кампания использует вредоносный файл LNK для внедрения этой DLL-библиотеки, которая была внедрена в систему получателя с помощью аналогичных методов фишинга.

Анализ файла LNK указывает на его роль в выполнении имплантата EAGLET. В нем используется PowerShell для поиска имплантата DLL, маскирующегося под ZIP-файл. Если он найден, он запускает этот файл с помощью процесса rundll32.exe и одновременно создает ложный файл Excel, извлекая из него встроенные данные, имитирующие официальную российскую документацию по логистике. Примечательно, что эта приманка связана с компанией Obltransterminal LLC, включенной в санкционный список Министерства финансов США, что указывает на то, что угроза сосредоточена на логистике, связанной с военными операциями.

Глубокое изучение имплантата EAGLET выявляет его вредоносные функции. Он собирает системную информацию, такую как имя компьютера и домен DNS, устанавливает соединение с сервером управления (C2), расположенным по IP-адресу 185.225.17.104 в Румынии, используя стандартные API Windows для облегчения повторных попыток подключения. При успешном подключении к C2 имплантат обеспечивает доступ к командной оболочке, эксфильтрацию файлов и загрузку вредоносной полезной нагрузки под видом обычных приложений.

Дальнейшие следственные действия связали эту кампанию с прошлыми кибероперациями, связанными с хакером TA505, продемонстрировав параллели в использовании инфраструктуры и поведении, характеризующиеся использованием переработанных доменов и аналогичных методов работы. Кроме того, была отмечена дополнительная кампания, нацеленная на российский военный сектор, в которой использовались аналогичные имплантаты EAGLET.

Анализ атрибуции указывает на значительное дублирование операций неизвестной группы 901 (UNG0901) и хакерской группы Mare, идентифицированной исследователями Касперского. Обе они нацелены на ключевые российские правительственные и неправительственные организации, используя схожие соглашения об именовании файлов и методы работы. Их вредоносное ПО обладает сопоставимыми возможностями, включая доступ к командной строке и управление файлами, которые демонстрируются с помощью различных, но визуально похожих документов-приманок, предназначенных для введения в заблуждение целей.

#ParsedReport #CompletenessMedium
23-07-2025

New MacOS.ZuRu Variant Discovered

https://blog.polyswarm.io/new-macos.zuru-variant-discovered

Report completeness: Medium

Threats:
Zuru
Termius_tool
Khepri
Securecrt_tool

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1105, T1140, T1195.001, T1204.002, T1547.015, T1553.003, T1554

IOCs:
Domain: 1
Hash: 2

Soft:
MacOS, macOS Gatekeeper

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая версия macOS.Вредоносная программа ZuRu использует для развертывания троянское приложение Termius, предназначенное для разработчиков. В ней используется модифицированный маяк Khepri C2 для скрытого удаленного доступа и уклонения. Вредоносная программа изменяет двоичный файл помощника Termius, использует проверки MD5 на целостность полезной нагрузки и взаимодействует через порт 53, маскируя свои операции доменом-приманкой.
-----

Была обнаружена новая версия macOS.Вредоносная программа ZuRu использует троянскую версию приложения Termius для облегчения своего развертывания. Этот вариант, обнаруженный в конце мая 2025 года, продолжает тенденцию, установившуюся с момента его первоначального обнаружения в 2021 году, и ориентирован на разработчиков и ИТ-специалистов. Хакеры усовершенствовали свой подход, внедрив модифицированный радиомаяк Khepri command-and-control (C2), который позволяет осуществлять скрытый удаленный доступ, используя при этом сложную тактику уклонения от механизмов обнаружения.

Способ доставки для macOS.Вариант ZuRu предполагает вмешательство в SSH-клиент Termius. Размер обычного приложения, обычно составляющего 225 МБ, изменен на 248 МБ для размещения дополнительных исполняемых файлов в пакете Termius Helper.app. В частности, исходный двоичный файл Termius Helper переименовывается, а его заменяет новый вредоносный двоичный файл Mach-O с именем Termius Helper. Этот двоичный файл-самозванец запускает как переименованную легитимную версию, так и загрузчик с именем .localized, который извлекает маяк Khepri C2 и сохраняет его в каталоге /tmp/.fseventsd.

Маяк Khepri в этом варианте работает иначе, чем в предыдущих версиях; вместо внедрения вредоносных программ.библиотеки dylib используют троянское вспомогательное приложение, чтобы обойти механизмы обнаружения, которые фокусируются на динамическом поведении библиотеки. Маяк может работать в режиме пропуска или в фоновом режиме и обмениваться данными с сервером C2 каждые пять секунд. Это ускоренное сердцебиение повышает его скрытность. Связь осуществляется через порт 53, и маяк использует домен-приманку, www.baidu.com для маскировки своих истинных операций. Вредоносная программа обходит macOS Gatekeeper, заменяя подпись кода разработчика специальной подписью, используя доверие, присущее подписанным приложениям.

Кроме того, локализованный загрузчик обеспечивает целостность полезной нагрузки с помощью проверки хэша MD5 и обновляет себя по мере необходимости, что повышает его устойчивость и постоянство. Возможности, предоставляемые платформой Khepri, включают передачу файлов, разведку, выполнение процессов и команд с перехватом выходных данных, что создает серьезный риск для скомпрометированных систем. Стратегия ZuRu нацелена на пользователей серверных инструментов, таких как Termius, SecureCRT и Navicat, что указывает на намерение внедриться в ИТ-среду и среды разработки. Зависимость вредоносного ПО от загрузки скомпрометированных приложений подчеркивает важность тщательной проверки программного обеспечения для устранения таких угроз. Эволюционирующий характер macOS.ZuRu отражает текущие проблемы в среде хакеров.

#ParsedReport #CompletenessLow
23-07-2025

Back to Business: Lumma Stealer Returns with Stealthier Methods

https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html

Report completeness: Low

Actors/Campaigns:
Water_kurita

Threats:
Lumma_stealer
Fakecaptcha_technique
Clickfix_technique

Victims:
Organizations, Individuals, Employees, Users

Industry:
E-commerce

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1078, T1204.002, T1583.006

IOCs:
Hash: 3
File: 2
Url: 55

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer вновь появилась с обновленной тактикой кражи конфиденциальной информации с помощью мошеннических каналов, таких как поддельное программное обеспечение. После удаления, она адаптировалась, используя GitHub для доставки и использования законных сервисов, сигнализируя о сохраняющихся рисках для организаций.
-----

Недавно Lumma Stealer вновь появилась на свет, продемонстрировав изменение тактики после своего уничтожения в мае 2025 года. Вредоносная программа, которая отлично справляется с кражей конфиденциальной информации, такой как учетные данные и файлы, теперь распространяется по более скрытным каналам и использует более хитрые методы уклонения. Пользователей заманивают к загрузке Lumma Stealer с помощью таких средств, как поддельное взломанное программное обеспечение, вводящие в заблуждение веб-сайты и реклама в социальных сетях. Эта угроза позиционируется как вредоносное ПО как услуга (MaaS), что позволяет даже неопытным киберпреступникам легко внедрять ее, что увеличивает риск для организаций, сотрудники которых недостаточно осведомлены о кибербезопасности.

После масштабной операции правоохранительных органов, в результате которой было захвачено более 2300 доменов, являющихся неотъемлемой частью инфраструктуры командования и контроля Lumma Stealer, непосредственные последствия показали снижение ее оперативных возможностей. Эти захваты затронули важные домены, используемые в качестве панелей входа в систему, что фактически нарушило фильтрацию данных и основные механизмы распространения вредоносного ПО. Однако недавний мониторинг выявил тихое возрождение новых кампаний, использующих новую тактику, включая использование GitHub в качестве платформы доставки и использование поддельных сайтов с капчей для распространения вредоносного ПО.

Команда разработчиков Lumma Stealer продемонстрировала значительную адаптивность. После завершения разработки разработчик публично признал сбой и заявил, что восстановил доступ к серверу, адаптировав свою конфигурацию, что говорит о вероятности дальнейших попыток восстановления. Изначально полагаясь на Cloudflare для защиты своей вредоносной инфраструктуры, операторы изменили тактику своей работы, привлекая законных поставщиков облачных услуг и услуг передачи данных, особенно из России.

Эти события подчеркивают сохраняющуюся угрозу Lumma Stealer, подчеркивая необходимость того, чтобы организации проводили тщательное обучение сотрудников кибербезопасности, чтобы помочь им распознавать мошеннические действия. Постоянная бдительность и активный обмен информацией об угрозах между сообществом специалистов по кибербезопасности и правоохранительными органами имеют жизненно важное значение для эффективной борьбы с этим меняющимся ландшафтом угроз. Организации должны усилить свою защиту с помощью передовых средств кибербезопасности, чтобы снизить риски, связанные с постоянными инновациями киберпреступников, поскольку даже значительные меры правоохранительных органов могут лишь временно избавить от таких угроз.

#ParsedReport #CompletenessLow
22-07-2025

npm is Package Hijacked in Expanding Supply Chain Attack

https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Scavenger

Victims:
Developers, Ci systems, Npm package maintainers

Geo:
Jordan

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.012, T1071.001, T1112, T1195.002, T1204.002, T1219, T1552, T1555.003, have more...

IOCs:
File: 10

Soft:
Chrome, macOS, Linux, Electron

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания скомпрометировала популярные библиотеки npm, в частности пакет "is", развернув загрузчик вредоносных программ на JavaScript (Scavenger), который извлекает сведения о системе и устанавливает удаленную оболочку через WebSocket. Атака использует кражу учетных данных для публикации вредоносных версий пакетов, затрагивая несколько пакетов и выявляя уязвимости в системах управления зависимостями.
-----

Фишинговая кампания, нацеленная на npm, активизировалась, поскольку злоумышленники проникают в популярные библиотеки для внедрения вредоносных программ. Наиболее уязвимым является пакет "is", который еженедельно загружается примерно на 2,8 миллиона устройств и предоставляет служебные функции для проверки типов и валидации. Злоумышленники внедрили в этот пакет вредоносный загрузчик JavaScript, используя пользовательский декодер, который работает с 94-символьным алфавитом. Загрузчик восстанавливает свою полезную нагрузку непосредственно в памяти и выполняет ее с помощью "новой функции" JavaScript, что означает, что он не оставляет на диске никаких отслеживаемых артефактов. После активации вредоносная программа извлекает сведения о системе с помощью модуля операционной системы Node, собирает все переменные среды из файла process.env и динамически импортирует библиотеку ws для передачи этих данных по WebSocket-соединению. Это позволяет злоумышленнику получать исполняемые сообщения JavaScript в режиме реального времени, фактически предоставляя им удаленную оболочку на компьютере жертвы.

Кроме того, было скомпрометировано несколько версий различных пакетов, включая "eslint-config-prettier", "eslint-plugin-prettier" и "got-fetch`. В некоторые из этих пакетов также была включена библиотека DLL, специфичная для Windows, с именем "node-gyp.dll", что предполагает стратегию двойной загрузки, направленную на максимальное расширение сферы охвата атаки. Внедренная вредоносная программа, известная как Scavenger, использует сложные тактические приемы, такие как методы антианализа и зашифрованные командно-контрольные сообщения. В первую очередь она нацелена на сбор конфиденциальных данных браузера и другой информации о контексте разработки, такой как файлы `.npmrc`. После развертывания он может скрыть свое присутствие, перезаписав свой собственный "index.js", что усложняет удаление и требует сброса файлов блокировки в дополнение к простому удалению `node_modules`.

Атака, по-видимому, была осуществлена после кражи учетных данных с помощью фишинга, что позволило злоумышленникам публиковать вредоносные версии скомпрометированных пакетов. Ситуация усугубилась, когда были похищены токены npm сопровождающих, что позволило автоматически распространять вредоносные обновления по всей экосистеме разработчиков. В отчетах указывается, что пользователи, зараженные вредоносной программой Scavenger, сталкивались с серьезными проблемами в работе, включая отключение функций безопасности в Chrome и потенциальную компрометацию SSH-ключей, что в конечном итоге потребовало принятия комплексных мер по восстановлению, таких как замена SSD-накопителя и полная переустановка системы. Эта кампания иллюстрирует критические уязвимости, присущие системам управления зависимостями, и подчеркивает необходимость проявлять бдительность в отношении угроз цепочке поставок.

#ParsedReport #CompletenessLow
23-07-2025

Coyote in the Wild: First-Ever Malware That Abuses UI Automation

https://www.akamai.com/blog/security-research/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild

Report completeness: Low

Threats:
Coyote

Victims:
Brazilian users, Brazilian companies

Industry:
Financial

Geo:
Brazilian, Latin america, Brasil

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.004, T1071.001, T1204.002, T1566.002

IOCs:
File: 3

Wallets:
electrum

Crypto:
binance, bitcoin

Win API:
GetForegroundWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Akamai сообщают о новом варианте банковского трояна Coyote, использующего платформу автоматизации пользовательского интерфейса Microsoft для извлечения учетных данных из 75 финансовых учреждений Бразилии. Coyote использует кейлоггинг, фишинговые оверлеи и UIA для усиления своих атак, манипулируя пользовательскими интерфейсами для введения жертв в заблуждение и сбора конфиденциальных данных даже в автономном режиме.
-----

Исследователи Akamai выявили новый вариант банковского трояна Coyote, что стало первым подтвержденным случаем злонамеренного использования платформы автоматизации пользовательского интерфейса Microsoft (UIA) в дикой природе. Этот конкретный вариант предназначен для пользователей в Бразилии и использует UIA для получения учетных данных примерно от 75 банковских учреждений и криптовалютных бирж. Выявление случаев злоупотребления UIA со стороны Coyote, которые ранее были обнаружены в феврале 2024 года, подчеркивает эволюцию вредоносного ПО и растущую изощренность его методов.

Для сбора банковской информации Coyote использует традиционные тактики, такие как кейлоггинг и фишинговые оверлеи, а для распространения - программу установки Squirrel. Один из ключевых выводов, сделанных в ходе продолжительного анализа операций Coyote, показывает, что она может использовать UIA для сбора конфиденциальных данных. Во время заражения Coyote собирает исчерпывающую информацию о системе, включая имя компьютера и пользователя жертвы, но основное внимание уделяет финансовым услугам, к которым жертва имеет доступ.

Вредоносная программа использует функцию Windows API GetForegroundWindow() для идентификации активного окна и последующей проверки названия окна на соответствие жестко запрограммированному списку целевых финансовых веб-сайтов. Если совпадений не найдено, Coyote обращается к UIA для проверки дочерних элементов пользовательского интерфейса активного окна, просматривая вкладки браузера или адресные строки, чтобы получить возможные веб-адреса. Этот метод расширяет возможности Coyote по идентификации банковских операций жертвы или операций по обмену криптовалют, даже при работе в автономном режиме.

Более того, использование вредоносным по UIA отражает более широкую тенденцию, в соответствии с которой разработчики вредоносных программ быстро внедряют новые методы в свои атаки. UIA позволяет злоумышленникам манипулировать пользовательскими интерфейсами приложений и взаимодействовать с ними для создания более сложных тактик социальной инженерии, которые включают изменение адресных строк браузера, чтобы ввести жертв в заблуждение и заставить их посещать вредоносные серверы без четких визуальных указателей.

Продолжающееся развитие Coyote демонстрирует необходимость для защитников кибербезопасности сохранять бдительность в отношении возникающих угроз. Служба поиска управляемых угроз Akamai активно отслеживает использование UIA на предмет аномальных моделей и предупреждает пользователей о потенциальной вредоносной активности. Понимание тактики Coyote необходимо организациям для разработки эффективных мер обнаружения и реагирования на эту и подобные угрозы.

#ParsedReport #CompletenessLow
23-07-2025

Scavenger Malware Distributed via eslint-config-prettier NPM Package Supply Chain Compromise

https://invokere.com/posts/2025/07/scavenger-malware-distributed-via-eslint-config-prettier-npm-package-supply-chain-compromise/

Report completeness: Low

Threats:
Supply_chain_technique
Scavenger
Dll_sideloading_technique

Industry:
Energy

ChatGPT TTPs:
do not use without manual check
T1027, T1057, T1071.001, T1132.001, T1140, T1195.002, T1218.011, T1497.001, T1562.001, T1566.002, have more...

IOCs:
File: 26

Soft:
Microsoft Visual Studio, qemu

Wallets:
harmony_wallet, exodus_wallet

Algorithms:
xxtea, crc-32, xor, base64

Functions:
WriteConsoleW, logDiskSpace

Win API:
NtQuerySystemInformation, GetSystemFirmwareTable, IsDebuggerPresent, NTCLose, NtSetInformationThread, NtAllocateVirtualMemory, GetTempFileNameA

Links:
https://github.com/Invoke-RE/community-malware-research/blob/main/Research/Loaders/Scavenger/IOCs.md
https://github.com/JustasMasiulis/xorstr/tree/master
have more...
https://github.com/hexamine22

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Scavenger Loader использует скомпрометированный пакет NPM для проникновения в системы, используя методы антианализа и динамического разрешения функций. Она взаимодействует с серверами C2 по протоколу HTTP, используя зашифрованные ключи и динамическую полезную нагрузку для извлечения конфиденциальных данных, включая файлы конфигурации npm.
-----

Вредоносная программа Scavenger Loader нацелена на жертв с помощью скомпрометированного пакета NPM eslint-config-prettier, который был распространен после фишинговой атаки на его разработчика. После запуска вредоносная программа использует различные методы антианализа, чтобы избежать обнаружения. Он определяет технические характеристики системы и проверяет наличие определенного каталога, указывая, был ли компьютер уже взломан. Вредоносная программа предназначена для определения того, запущена ли она в консольной среде, и использует механизмы защиты от виртуальных машин.

Функциональность основного загрузчика заключена в единую монолитную функцию, которая включает в себя проверку пользовательских перехватчиков — общих индикаторов присутствия антивируса и EDR — в таких функциях, как IsDebuggerPresent и NTCLose. Загрузчик компилируется в виде библиотеки DLL, и его точка входа запускает основные процессы загрузчика в отдельном потоке. Примечательно, что вредоносная программа использует динамическое разрешение функций во время выполнения, что является отклонением от традиционной тактики вредоносных программ, которые обычно разрешают функции заранее.

Для связи с серверами управления (C2) Scavenger Loader выполняет HTTP-запросы с использованием библиотеки C++ libcurl, пытаясь связаться с рядом жестко запрограммированных доменов C2. Он создает сеансовый ключ с помощью комбинации полученных ключей в кодировке Base64 и статических значений, используя блочный шифр XXTEA для защиты связи. Если ожидаемый ответ от C2 не соответствует проверочным проверкам, загрузчик перезапускает свои проверки для предотвращения анализа.

После запуска вредоносная программа запрашивает у C2 доступную полезную нагрузку в формате JSON, которая определяет ее поведение в зависимости от среды зараженной системы. Загрузчик может загружать различные модули-перехватчики, которые собирают конфиденциальные данные на основе определенных конфигураций. Эти модули зашифрованы и загружаются через определенную структуру URL-адресов, а после расшифровки могут быть запущены или загружены в виде DLL-файлов.

Кроме того, Scavenger Loader извлекает файлы конфигурации npm из системы жертвы, которые часто содержат конфиденциальные токены аутентификации, которые могут еще больше усложнить сценарий атаки. Наблюдаемые методы компрометации цепочки поставок указывают на более широкую тенденцию, при которой вредоносное ПО распространяется через законные программные зависимости, что подчеркивает важность бдительности при управлении модулями и их внедрении.

#ParsedReport #CompletenessMedium
23-07-2025

From Help Desk to Hypervisor: Defending Your VMware vSphere Estate from UNC3944

https://cloud.google.com/blog/topics/threat-intelligence/defending-vsphere-from-unc3944/

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: sabotage, financially_motivated)

Threats:
Lolbin_technique
Kerberoasting_technique
Winrm_tool
Teleport_tool

Industry:
Aerospace, Retail, Healthcare, Transport

Geo:
America

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1020, T1021, T1047, T1070, T1078, T1087, T1098, T1106, T1136, have more...

IOCs:
File: 21

Soft:
Active Directory, ESXi, PostgreSQL, Linux, HashiCorp Vault, cURL, sudo, Debian, systemd, vSphere client, have more...

Algorithms:
sha256

Functions:
assert_running_as_root

Languages:
powershell

Links:
https://github.com/lamw/vcenter-event-mapping/blob/master/vsphere-7.0u3.md