#ParsedReport #CompletenessLow
23-07-2025

Surveillance Malware Hidden in npm and PyPI Packages Targets Developers with Keyloggers, Webcam Capture, and Credential Theft

https://socket.dev/blog/surveillance-malware-hidden-in-npm-and-pypi-packages

Report completeness: Low

Threats:
Credential_harvesting_technique
Supply_chain_technique

Victims:
Developers, Users

TTPs:

IOCs:
File: 23
Url: 3

Soft:
Outlook, Slack, Gmail, Node.js

Functions:
setCookie

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Четыре вредоносных пакета для npm и PyPI, которые были загружены более чем 56 000 раз, используются в качестве вредоносных программ для наблюдения, позволяющих вести кейлоггинг, захват экрана и кражу учетных данных. В пакетах используются такие методы, как самовоспроизведение, уклонение от обнаружения и утечка данных по электронной почте, конечные точки C2, веб-узлы и обфускация, чтобы избежать проверки безопасности и выявления уязвимостей в цепочках поставок программного обеспечения.
-----

Исследование Socket выявило четыре вредоносных пакета в реестре npm и индексе пакетов Python (PyPI), общее количество загрузок которых превысило 56 000. Эти пакеты служат проводниками вредоносных программ для слежки, которые компрометируют среду пользователей, интегрируя функции для ведения кейлоггинга, захвата экрана, доступа к веб-камере и кражи учетных данных. Выявленное вредоносное ПО относится к категории вредоносных программ для наблюдения, которые характеризуются скрытыми операциями по мониторингу и извлечению пользовательских данных без согласия пользователя, что отличает его от традиционного шпионского ПО.

Первый проблемный пакет, vfunctions, представляет собой инструмент наблюдения на PyPI, который не только захватывает изображения с веб-камеры, но и обладает возможностями самовоспроизведения в файлах Python. Он обеспечивает постоянство, копируя себя в папку запуска Windows, и использует протоколы SMTP, часто с помощью жестко заданных учетных данных, для отправки данных на адреса электронной почты, контролируемые хакерами.

Другой пакет, dpsdatahub, маскируется под законную утилиту управления данными, в то же время тайно внедряя постоянный кейлоггер. Этот кейлоггер отслеживает вводимые пользователем данные, собирает данные сеанса и отправляет эту информацию на конечную точку управления (C2) каждые пять секунд. Вредоносная программа отслеживает системные данные, собирая важные данные, такие как характеристики браузера и оборудования, и избегая обнаружения за счет использования сетевых запросов, не связанных с cors.

Пакет nodejs-backpack, замаскированный под инструмент разработки для Node.js, выполняет несанкционированное профилирование и захватывает скриншоты. Фильтрация системных метаданных происходит через веб-интерфейс Slack, при этом код предназначен для маскировки конечной точки путем фрагментации URL-адреса, что позволяет избежать статического обнаружения. Он включает в себя законные функциональные возможности для поддержания видимости полезности, что еще больше повышает его потенциал для использования.

Наконец, в пакете m0m0x01d используется браузерный кейлоггинг с упором на формы входа в систему, который позволяет отфильтровывать захваченные нажатия клавиш с помощью сложного двухэтапного механизма, включающего ретрансляцию почтовых сообщений и несколько конечных точек в Burp Collaborator. Такая конструкция позволяет вредоносному ПО маскировать свои действия в рамках законных средств тестирования на проникновение, тем самым избегая элементарного контроля безопасности при осуществлении своей вредоносной деятельности.

Обнаружение этих вредоносных пакетов выявляет уязвимости в цепочках поставок программного обеспечения, подчеркивая важность упреждающих мер и надежных технологий безопасности. Методы, используемые в этих пакетах, включают в себя компрометацию цепочки поставок, маскировку, действия пользователя и различные формы утечки данных. Этот анализ подчеркивает постоянный риск, связанный с вредоносными зависимостями, и подчеркивает необходимость проявлять бдительность при разработке и внедрении для защиты от таких сложных угроз.

#ParsedReport #CompletenessMedium
23-07-2025

Researching a new loader running TorNet and PureHVNC

https://sect.iij.ad.jp/blog/2025/07/loader-executing-tornet-and-purehvnc/

Report completeness: Medium

Threats:
Tornet
Purehvnc_tool
Bloat_technique
Dll_sideloading_technique
Junk_code_technique
Lumma_stealer
Unicorn_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1059.001, T1071.001, T1082, T1105, T1547.001, T1566.001, T1571, have more...

IOCs:
File: 16
Hash: 9
Registry: 1
Path: 1

Soft:
net framework, task scheduler

Algorithms:
lzma, zip, sha256, aes-128-ecb, aes, base64, murmur2, aes-256-cbc, gzip

Functions:
main

Win API:
LoadLibraryA, CreateProcessA, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, SetThreadExecutionState

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 12, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года был обнаружен новый загрузчик, который облегчает запуск двух типов вредоносных программ, TorNet и PureHVNC, используя передовые технологии, такие как дополнительная загрузка DLL и хеширование API с помощью MurmurHash2. TorNet действует как загрузчик, использующий сеть TOR, в то время как PureHVNC - это RAT с расширенными возможностями наблюдения, что указывает на растущую сложность вредоносного ПО.
-----

В мае 2025 года на VirusTotal был загружен ранее незаметный загрузчик, заключенный в ZIP-файл, который включал в себя легальный исполняемый файл и вредоносную DLL-библиотеку, а также другие файлы, предназначенные для сокрытия его истинного назначения. Загрузчик продемонстрировал уникальные характеристики, запустив два специфических типа вредоносных программ: TorNet и PureHVNC. В нем использовалось хеширование API с помощью специального алгоритма MurmurHash2 и была реализована дополнительная загрузка DLL-библиотеки, чтобы загрузить вредоносный компонент, маскируясь при этом законной цифровой подписью.

Вредоносный загрузчик устанавливает атрибуты, позволяющие ему скрываться от стандартных файловых обозревателей, тем самым ограничивая видимость пользователя и создавая путь для сохранения данных путем внесения изменений в реестр. Примечательно, что он использует бессмысленные вызовы функций в обход ключевых взаимодействий с API в качестве средства защиты от анализа, что усложняет отслеживание его операций. Загрузчик хэширует имена API с определенным начальным значением, что также наблюдалось в известных предыдущих вредоносных программах, что указывает на возможную эволюцию методов вредоносного кодирования.

После активации загрузчик внедряет два типа вредоносных программ. TorNet работает как загрузчик, который использует сеть TOR для связи с серверами управления (C2). В нем используется протокол конфигурации, который предусматривает десериализацию с помощью буферов протоколов, что указывает на структурированный подход к безопасному управлению конфигурациями, такими как адреса серверов. Этот метод подчеркивает необходимость использования сложных методов шифрования, включая AES-256-CBC для первоначального хранения и DES3-ECB для последующей передачи данных.

PureHVNC, классифицируемый как троян удаленного доступа (RAT), аналогичным образом использует декодирование и десериализацию base64, обеспечивая постоянный доступ к зараженным устройствам. Его способность собирать информацию об устройстве и передавать ее обратно на сервер C2 расширяет возможности активного наблюдения. Оба типа вредоносных программ демонстрируют сходство в своем дизайне и операционных целях, что указывает на потенциальную связь между их разработчиками.

Анализ этих двух типов вредоносных программ выявил изменения в стратегиях сохранения в PureHVNC, в результате чего были удалены опции хранения в реестре, чтобы избежать судебной экспертизы. Несмотря на то, что функциональные возможности загрузчика не являются полностью новыми, его инновационная интеграция одновременной загрузки вредоносных программ и уникальных методов хэширования свидетельствует о растущей искушенности хакеров, что требует повышенного внимания и готовности к будущим вариантам подобных атак. В исследовании подчеркивается необходимость того, чтобы специалисты по анализу угроз сохраняли бдительность, поскольку методы, рассмотренные здесь, могут проявиться вновь или спровоцировать более сложные кибератаки.

#ParsedReport #CompletenessMedium
24-07-2025

Threat actors go gaming: Electron-based stealers in disguise

https://www.acronis.com/en-us/tru/posts/threat-actors-go-gaming-electron-based-stealers-in-disguise/

Report completeness: Medium

Threats:
Hexon
Cooee
Findzip
Growtopia

Victims:
Individuals, Gamers, Discord users

Industry:
Entertainment

Geo:
Turkish, Brazil, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1071.001, T1078, T1083, T1105, T1176, T1204.001, T1204.002, have more...

IOCs:
Url: 7
File: 31
Hash: 33

Soft:
Discord, Electron, Node.js, Chromium, Slack, Microsoft Teams, Telegram, Steam, Android, macOS, have more...

Algorithms:
sha256, zip

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, использующая Leet Stealer, RMC Stealer и Sniffer Stealer, нацелена на геймеров через установщиков поддельных игр, используя социальную инженерию и Discord для распространения. Эти инфокрады собирают конфиденциальную информацию, такую как данные браузера и токены Discord, что приводит к несанкционированному доступу и финансовым потерям. Кампания подчеркивает использование передовых методов обфускации и вредоносных программ в качестве сервиса, что указывает на эволюцию хакеров.
-----

Подразделение Acronis по исследованию угроз выявило вредоносную кампанию с использованием Leet Stealer, RMC Stealer и Sniffer Stealer, продаваемых как инди-игры. Эти разновидности вредоносного ПО распространяются через мошеннические веб-сайты и поддельные каналы YouTube, в основном через Discord. Кампания использует социальную инженерию, чтобы заставить пользователей загружать вредоносные программы, замаскированные под программы для установки игр. Вредоносное ПО работает как инфокрад, извлекая конфиденциальную информацию, такую как данные браузера, цифровые учетные данные и токены Discord. Жертвы сталкиваются с несанкционированным доступом к учетной записи, финансовыми потерями и попытками вымогательства. Программа RMC Stealer содержала незашифрованный исходный код, который помогал в анализе поведения. Распространение вредоносных программ все чаще использует Discord, особенно для приложений на базе электронных устройств. Leet Stealer, представленный в конце 2024 года, предлагает вредоносное ПО в качестве услуги и активно разрабатывается, включая его разновидности. Вводящие в заблуждение разработчики игр утверждали, что они подключены к законным платформам, таким как Steam. Большинство образцов были получены из Бразилии, что указывает на локальные атаки, но с международным охватом через игровые платформы. Установщик Baruda Quest создавал проблемы с обнаружением из-за большого размера файла и эффективной обфускации; он использовал установщик Nullsoft с вредоносным JavaScript в app.asar. Вредоносная программа использовала методы обхода "песочницы" для отслеживания системных показателей. Она собирает конфиденциальные данные из браузеров и учетных записей Discord, позволяя злоумышленникам захватывать учетные записи без паролей. Вредоносная программа также может загружать дополнительные вредоносные программы, что указывает на потенциал для масштабных атак. Кампания демонстрирует эволюцию тактики, сочетающую технические и психологические манипуляции с целью эксплуатации пользователей.

#ParsedReport #CompletenessHigh
24-07-2025

Unmasking the new Chaos RaaS group attacks

https://blog.talosintelligence.com/new-chaos-ransomware/

Report completeness: High

Actors/Campaigns:
Chaos_raas (motivation: cyber_criminal, financially_motivated)

Threats:
Chaos_ransomware
Blacksuit_ransomware
Royal_ransomware
Lolbin_technique
Microsoft_quick_assist_tool
Nltest_tool
Atexec_tool
Impacket_tool
Anydesk_tool
Screenconnect_tool
Optitune_tool
Syncro_tool
Splashtop_tool
Kerberoasting_technique
Shadow_copies_delete_technique

Industry:
Government

Geo:
New zealand, India

TTPs:
Tactics: 8
Technics: 2

IOCs:
Email: 1
File: 20
Command: 4
Registry: 1
IP: 2
Path: 2
Hash: 3

Soft:
ESXi, Linux, Windows delivery optimization, Windows registry, active directory, GoodSync, Photoshop, Microsoft Outlook, Hyper-V, OpenSSH, have more...

Algorithms:
ecdh, curve25519, aes-256, ecc, xor

Functions:
Set-Location

Languages:
powershell

Platforms:
cross-platform, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/07/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Chaos, входящая в группу RaaS, использует тактику двойного вымогательства, используя спам и социальную инженерию для получения доступа. Особенности включают многопоточное шифрование AES-256, методы антианализа и кроссплатформенный таргетинг. Группа использует инструменты RMM для сохранения и эксфильтрации данных, демонстрируя расширенные возможности уклонения от уплаты налогов и ориентируясь на предприятия в США.
-----

Cisco Talos Incident Response (Talos IR) сообщила о серии атак, совершенных новой группой программ-вымогателей (RaaS), известной как Chaos, которая занимается охотой на крупную дичь с помощью тактики двойного вымогательства. Было замечено, что участники хаоса используют начальные спам-кампании с минимальными усилиями, которые перерастают в социальную инженерию на основе голоса для получения несанкционированного доступа. После компрометации целей они используют инструменты удаленного мониторинга и управления (RMM) для обеспечения постоянных подключений и полагаются на законные приложения для обмена файлами для извлечения конфиденциальных данных. Программа-вымогатель отличается многопоточным быстрым выборочным шифрованием и использует многочисленные методы антианализа, направляя свои атаки как на локальные, так и на сетевые ресурсы.

Программа-вымогатель Chaos использует гибридный криптографический процесс, используя эллиптическую кривую Диффи-Хеллмана (ECDH) в сочетании с AES-256 для шифрования файлов. Группа реализует уникальные ключи шифрования для каждого файла и использует сложные конфигурации командной строки во время операций, чтобы оптимизировать скорость работы, не подвергая риску данные. Операция шифрования сопровождается изменением расширения файла, в результате чего к зашифрованным файлам добавляется ".chaos". Талос с умеренной уверенностью предположил, что в состав этой группировки могут входить бывшие члены банды BlackSuit (Королевской) из-за сходства в командах шифрования и структурах писем с требованием выкупа.

В стратегическом плане Chaos group сделала себе имя, продвигая свою кроссплатформенную программу-вымогатель, совместимую с системами Windows, Linux, ESXi и NAS, и уделяя особое внимание возможностям высокоскоростного шифрования и надежным функциям безопасности. Их деятельность в основном нацелена на предприятия в США, демонстрируя оппортунистический подход без определенной вертикальной направленности. Группа распространяет угрозы в случае неплатежей, включая DDoS-атаки на сервисы жертв и публичное раскрытие украденных данных, что еще больше усиливает давление на жертв.

Технические аспекты их эксплойтов включают манипулирование командами PowerShell, проведение разведки в сетях жертв, чтобы инициировать сбор информации с помощью сведений о контроллере домена и учетных данных пользователя, а также использование существующих законных инструментов для утечки данных. Заслуживающие внимания тактические приемы, которые были замечены в использовании, включают изменение параметров реестра Windows для сокрытия учетных данных для доступа, установку различного программного обеспечения RMM для поддержания присутствия и выполнение сценариев для подготовки среды к дальнейшим атакам.

Программа-вымогатель обладает значительными возможностями обхода средств анализа, такими как прекращение операций при обнаружении сред отладки или изолированных программных блоков, что усложняет работу аналитиков безопасности по обнаружению. Кроме того, он инкапсулирует свои сообщения о выкупе в пользовательский XOR-шифр, чтобы запутать коммуникации, демонстрируя сложный подход к защите данных и операционной безопасности. В целом, появление программы-вымогателя Chaos представляет значительную угрозу в меняющемся мире, поскольку передовые технологии повышают эффективность атак и в то же время затрудняют усилия по смягчению последствий.

#ParsedReport #CompletenessHigh
24-07-2025

Cyber Stealer Analysis: When Your Malware Developer Has FOMO About Features

https://www.esentire.com/blog/cyber-stealer-analysis-when-your-malware-developer-has-fomo-about-features

Report completeness: High

Threats:
Growtopia
Putty_tool
Teamviewer_tool
Anydesk_tool
Dns_amplification_technique
Slowloris_technique
Xmr_miner
Realvnc_tool
Ultra_vnc_tool
Remmina_tool
Radmin_tool

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1056.001, T1059.001, T1071.001, T1078, T1095, T1105, T1112, have more...

IOCs:
Path: 6
Command: 2
File: 16
Registry: 2
Hash: 1
Url: 4

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Opera GX, Vivaldi, Comodo Dragon, Orbitum, Amigo, Torch, Kometa, have more...

Wallets:
atomicwallet, jaxx, electrum, bitcoincore, metamask, coinomi, trezor, daedalus, yoroi, wassabi, have more...

Crypto:
ethereum, cardano, monero, dogecoin, binance, solana, tezos, kucoin, pancakeswap, uniswap, have more...

Algorithms:
zip, sha256, aes, base64, aes-gcm

Functions:
GetMasterKey

Win API:
CryptUnprotectData, GetAsyncKeyState

Languages:
powershell

Platforms:
apple

Links:
https://pastebin.com/u/cyberproduct

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cyber Stealer - это модульный инфокрад и ботнет, который собирает конфиденциальные данные с помощью HTTP POST-запросов и может динамически обновлять URL-адрес своего сервера C2. Он использует передовые методы кражи данных, включая кражу криптовалюты и кейлоггинг, при этом избегая механизмов обнаружения. Кроме того, он использует многоуровневую модель подписки и ориентирован на различные приложения, поддерживая постоянное подключение с помощью проверки работоспособности и резервных URL-адресов.
-----

Киберкрад, обнаруженный в мае 2025 года, представляет собой быстро развивающуюся сеть инфокрадов и ботнетов, которая активно обновляется на основе отзывов пользователей на хакерских форумах. Эта вредоносная программа имеет сложную структуру, способную красть различную конфиденциальную информацию, включая пароли, кредитные карты, файлы cookie и многое другое, и сжимать эти украденные данные в zip-архив для отправки на сервер Command & Control (C2) с помощью HTTP POST-запросов.

Вредоносная программа поддерживает постоянную связь со своим C2 с помощью различных механизмов, включая проверку работоспособности и процессы фильтрации данных, и способна динамически обновлять свой URL-адрес C2 с помощью таких сервисов, как Pastebin. Кроме того, она имеет резервный механизм с жестко заданным URL-адресом для обеспечения постоянного подключения. Его модульная конструкция включает в себя передовые инструменты для кражи криптовалют, майнинга, заражения DNS, кейлоггинга и снятия скриншотов, которые управляются с помощью административной панели, позволяющей точно настраивать их в зависимости от потребностей хакеров.

Cyber Stealer работает по многоуровневой модели подписки, предлагая различные пакеты, начиная от базовых функций и заканчивая расширенными возможностями, такими как защита от DDoS-атак и сертификат с электронной подписью для обхода Windows SmartScreen. Вредоносная программа нацелена на широкий спектр приложений, включая веб-браузеры, криптовалютные кошельки, почтовые сервисы и облачные хранилища, что делает ее универсальным инструментом для кражи данных и других вредоносных действий.

Вредоносная программа написана на C#, планируется выпуск версии на C++, и реализует методы, позволяющие избежать обнаружения, помечая диск C:\ как исключительный в защитнике Windows. Она захватывает отпечаток компьютера жертвы, чтобы создать уникальный идентификатор оборудования (HWID) для отслеживания. Cyber Stealer использует устаревшие методы кражи учетных данных, в частности, из браузеров на базе Chromium и популярных приложений, а также пытается собирать информацию из различных игровых клиентов и менеджеров паролей.

Отфильтрованные данные структурированы таким образом, что позволяют хакерам легко просматривать журналы и управлять ими, предоставляя интерфейс для настройки различных вредоносных действий, от отравления DNS до замены буфера обмена для криптовалютных транзакций. Архитектура вредоносного ПО поддерживает оптимизированные операции по загрузке и выполнению произвольных полезных нагрузок, проведению DDoS-атак и развертыванию обратных прокси-серверов, что позволяет злоумышленникам закрепиться в сети жертвы.

#ParsedReport #CompletenessLow
23-07-2025

Toptals GitHub Organization Hijacked: 10 Malicious Packages Published

https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Toptal, Developer community, Open source projects like prettier, Is package users

TTPs:

IOCs:
File: 1
Url: 2

Soft:
curl, sudo

Links:
https://github.com/toptal/picasso

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с системой безопасности Toptal выявил 73 незащищенных репозитория GitHub, 10 из которых содержали вредоносный код, нацеленный на токены GitHub с помощью скриптов npm. Этот инцидент свидетельствует об эволюции тактики фишинга в экосистеме npm и тенденции к атакам на цепочки поставок. Ключевые методы включают компрометацию цепочки поставок, кражу учетных данных и уничтожение данных.
-----

Недавнее открытие, сделанное исследовательской группой Socket по изучению угроз, выявило серьезный инцидент с безопасностью, связанный с организацией Toptal на GitHub, где 73 хранилища были открыты для публичного доступа. Было обнаружено, что по меньшей мере 10 из этих хранилищ содержат вредоносный код, специально разработанный для извлечения токенов аутентификации GitHub и выполнения разрушительных действий в системах-жертвах. Вредоносные программы были встроены в файлы package.json этих репозиториев и использовали перехватчики жизненного цикла npm, в частности, для сценариев предварительной и последующей установки. Прежде чем эти скомпрометированные пакеты были обнаружены и удалены, их загрузили около 5000 раз.

Атака основана на двухплатформенной стратегии, позволяющей вредоносному по наносить ущерб независимо от операционной системы жертвы. Инцидент свидетельствует об эволюции методов фишинга в экосистеме npm, при этом злоумышленники могут адаптировать свою стратегию для использования различных целей или экспериментировать с новыми методами уничтожения. Также существует вероятность инсайдерской угрозы, поскольку злоумышленник, имеющий законный доступ, может способствовать одновременному внесению изменений в многочисленные репозитории.

Кроме того, инцидент отражает более широкую тенденцию нацеливания на цепочки поставок, при этом злоумышленники, вероятно, сосредоточились на инструментах разработки и системных пакетах для разработки, чтобы максимизировать свое влияние на несколько организаций. Характеристики компрометации совпадают с недавними атаками на цепочки поставок, такими как фишинговая кампания npm, направленная на проекты с открытым исходным кодом, и захват популярных пакетов npm, в которых особое внимание уделяется сбору учетных данных и использованию действительных учетных записей для распространения вредоносного кода.

Как только компрометация была обнаружена, Toptal быстро отреагировала, отменив версии вредоносных пакетов и вернувшись к стабильным версиям, тем самым снизив вероятность дальнейшего распространения вредоносного кода. Это превентивное реагирование, вероятно, минимизировало дополнительный ущерб в сообществе разработчиков.

Методы, использованные в этой атаке, сопоставленные с различными тактиками MITRE ATT&CK, включают в себя компрометацию цепочки поставок (T1195.002), использование действительных учетных записей (T1078), кражу учетных данных из хранилища паролей (T1555), проникновение по каналам управления (C2) (T1041) и уничтожение данных (T1485). Этот инцидент подчеркивает важность бдительности в цепочках поставок программного обеспечения и потенциальных уязвимостей, присутствующих в популярных пакетах с открытым исходным кодом.

#ParsedReport #CompletenessLow
24-07-2025

APT-C-06 (DarkHotel) attack campaign using malware as bait

https://mp.weixin.qq.com/s/Cx-v95Ua8U7I77-yQFckpA

Report completeness: Low

Actors/Campaigns:
Darkhotel

Threats:
Darkseal
Dll_hijacking_technique
Meterpreter_tool
Thinmon_tool
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1053.005, T1055.001, T1105, T1140, T1195.001, T1204.002, T1574.001, T1620

IOCs:
File: 3
Hash: 3

Soft:
WeChat

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4